JSON: add jsons extract variant, to strip quotes from string results
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"authresults",
107   US"certextract",
108   US"dlfunc",
109   US"env",
110   US"extract",
111   US"filter",
112   US"hash",
113   US"hmac",
114   US"if",
115 #ifdef SUPPORT_I18N
116   US"imapfolder",
117 #endif
118   US"length",
119   US"listextract",
120   US"lookup",
121   US"map",
122   US"nhash",
123   US"perl",
124   US"prvs",
125   US"prvscheck",
126   US"readfile",
127   US"readsocket",
128   US"reduce",
129   US"run",
130   US"sg",
131   US"sort",
132   US"substr",
133   US"tr" };
134
135 enum {
136   EITEM_ACL,
137   EITEM_AUTHRESULTS,
138   EITEM_CERTEXTRACT,
139   EITEM_DLFUNC,
140   EITEM_ENV,
141   EITEM_EXTRACT,
142   EITEM_FILTER,
143   EITEM_HASH,
144   EITEM_HMAC,
145   EITEM_IF,
146 #ifdef SUPPORT_I18N
147   EITEM_IMAPFOLDER,
148 #endif
149   EITEM_LENGTH,
150   EITEM_LISTEXTRACT,
151   EITEM_LOOKUP,
152   EITEM_MAP,
153   EITEM_NHASH,
154   EITEM_PERL,
155   EITEM_PRVS,
156   EITEM_PRVSCHECK,
157   EITEM_READFILE,
158   EITEM_READSOCK,
159   EITEM_REDUCE,
160   EITEM_RUN,
161   EITEM_SG,
162   EITEM_SORT,
163   EITEM_SUBSTR,
164   EITEM_TR };
165
166 /* Tables of operator names, and corresponding switch numbers. The names must be
167 in alphabetical order. There are two tables, because underscore is used in some
168 cases to introduce arguments, whereas for other it is part of the name. This is
169 an historical mis-design. */
170
171 static uschar *op_table_underscore[] = {
172   US"from_utf8",
173   US"local_part",
174   US"quote_local_part",
175   US"reverse_ip",
176   US"time_eval",
177   US"time_interval"
178 #ifdef SUPPORT_I18N
179  ,US"utf8_domain_from_alabel",
180   US"utf8_domain_to_alabel",
181   US"utf8_localpart_from_alabel",
182   US"utf8_localpart_to_alabel"
183 #endif
184   };
185
186 enum {
187   EOP_FROM_UTF8,
188   EOP_LOCAL_PART,
189   EOP_QUOTE_LOCAL_PART,
190   EOP_REVERSE_IP,
191   EOP_TIME_EVAL,
192   EOP_TIME_INTERVAL
193 #ifdef SUPPORT_I18N
194  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
195   EOP_UTF8_DOMAIN_TO_ALABEL,
196   EOP_UTF8_LOCALPART_FROM_ALABEL,
197   EOP_UTF8_LOCALPART_TO_ALABEL
198 #endif
199   };
200
201 static uschar *op_table_main[] = {
202   US"address",
203   US"addresses",
204   US"base32",
205   US"base32d",
206   US"base62",
207   US"base62d",
208   US"base64",
209   US"base64d",
210   US"domain",
211   US"escape",
212   US"escape8bit",
213   US"eval",
214   US"eval10",
215   US"expand",
216   US"h",
217   US"hash",
218   US"hex2b64",
219   US"hexquote",
220   US"ipv6denorm",
221   US"ipv6norm",
222   US"l",
223   US"lc",
224   US"length",
225   US"listcount",
226   US"listnamed",
227   US"mask",
228   US"md5",
229   US"nh",
230   US"nhash",
231   US"quote",
232   US"randint",
233   US"rfc2047",
234   US"rfc2047d",
235   US"rxquote",
236   US"s",
237   US"sha1",
238   US"sha256",
239   US"sha3",
240   US"stat",
241   US"str2b64",
242   US"strlen",
243   US"substr",
244   US"uc",
245   US"utf8clean" };
246
247 enum {
248   EOP_ADDRESS =  nelem(op_table_underscore),
249   EOP_ADDRESSES,
250   EOP_BASE32,
251   EOP_BASE32D,
252   EOP_BASE62,
253   EOP_BASE62D,
254   EOP_BASE64,
255   EOP_BASE64D,
256   EOP_DOMAIN,
257   EOP_ESCAPE,
258   EOP_ESCAPE8BIT,
259   EOP_EVAL,
260   EOP_EVAL10,
261   EOP_EXPAND,
262   EOP_H,
263   EOP_HASH,
264   EOP_HEX2B64,
265   EOP_HEXQUOTE,
266   EOP_IPV6DENORM,
267   EOP_IPV6NORM,
268   EOP_L,
269   EOP_LC,
270   EOP_LENGTH,
271   EOP_LISTCOUNT,
272   EOP_LISTNAMED,
273   EOP_MASK,
274   EOP_MD5,
275   EOP_NH,
276   EOP_NHASH,
277   EOP_QUOTE,
278   EOP_RANDINT,
279   EOP_RFC2047,
280   EOP_RFC2047D,
281   EOP_RXQUOTE,
282   EOP_S,
283   EOP_SHA1,
284   EOP_SHA256,
285   EOP_SHA3,
286   EOP_STAT,
287   EOP_STR2B64,
288   EOP_STRLEN,
289   EOP_SUBSTR,
290   EOP_UC,
291   EOP_UTF8CLEAN };
292
293
294 /* Table of condition names, and corresponding switch numbers. The names must
295 be in alphabetical order. */
296
297 static uschar *cond_table[] = {
298   US"<",
299   US"<=",
300   US"=",
301   US"==",     /* Backward compatibility */
302   US">",
303   US">=",
304   US"acl",
305   US"and",
306   US"bool",
307   US"bool_lax",
308   US"crypteq",
309   US"def",
310   US"eq",
311   US"eqi",
312   US"exists",
313   US"first_delivery",
314   US"forall",
315   US"forany",
316   US"ge",
317   US"gei",
318   US"gt",
319   US"gti",
320   US"inlist",
321   US"inlisti",
322   US"isip",
323   US"isip4",
324   US"isip6",
325   US"ldapauth",
326   US"le",
327   US"lei",
328   US"lt",
329   US"lti",
330   US"match",
331   US"match_address",
332   US"match_domain",
333   US"match_ip",
334   US"match_local_part",
335   US"or",
336   US"pam",
337   US"pwcheck",
338   US"queue_running",
339   US"radius",
340   US"saslauthd"
341 };
342
343 enum {
344   ECOND_NUM_L,
345   ECOND_NUM_LE,
346   ECOND_NUM_E,
347   ECOND_NUM_EE,
348   ECOND_NUM_G,
349   ECOND_NUM_GE,
350   ECOND_ACL,
351   ECOND_AND,
352   ECOND_BOOL,
353   ECOND_BOOL_LAX,
354   ECOND_CRYPTEQ,
355   ECOND_DEF,
356   ECOND_STR_EQ,
357   ECOND_STR_EQI,
358   ECOND_EXISTS,
359   ECOND_FIRST_DELIVERY,
360   ECOND_FORALL,
361   ECOND_FORANY,
362   ECOND_STR_GE,
363   ECOND_STR_GEI,
364   ECOND_STR_GT,
365   ECOND_STR_GTI,
366   ECOND_INLIST,
367   ECOND_INLISTI,
368   ECOND_ISIP,
369   ECOND_ISIP4,
370   ECOND_ISIP6,
371   ECOND_LDAPAUTH,
372   ECOND_STR_LE,
373   ECOND_STR_LEI,
374   ECOND_STR_LT,
375   ECOND_STR_LTI,
376   ECOND_MATCH,
377   ECOND_MATCH_ADDRESS,
378   ECOND_MATCH_DOMAIN,
379   ECOND_MATCH_IP,
380   ECOND_MATCH_LOCAL_PART,
381   ECOND_OR,
382   ECOND_PAM,
383   ECOND_PWCHECK,
384   ECOND_QUEUE_RUNNING,
385   ECOND_RADIUS,
386   ECOND_SASLAUTHD
387 };
388
389
390 /* Types of table entry */
391
392 enum vtypes {
393   vtype_int,            /* value is address of int */
394   vtype_filter_int,     /* ditto, but recognized only when filtering */
395   vtype_ino,            /* value is address of ino_t (not always an int) */
396   vtype_uid,            /* value is address of uid_t (not always an int) */
397   vtype_gid,            /* value is address of gid_t (not always an int) */
398   vtype_bool,           /* value is address of bool */
399   vtype_stringptr,      /* value is address of pointer to string */
400   vtype_msgbody,        /* as stringptr, but read when first required */
401   vtype_msgbody_end,    /* ditto, the end of the message */
402   vtype_msgheaders,     /* the message's headers, processed */
403   vtype_msgheaders_raw, /* the message's headers, unprocessed */
404   vtype_localpart,      /* extract local part from string */
405   vtype_domain,         /* extract domain from string */
406   vtype_string_func,    /* value is string returned by given function */
407   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
408   vtype_tode,           /* value not used; generate tod in epoch format */
409   vtype_todel,          /* value not used; generate tod in epoch/usec format */
410   vtype_todf,           /* value not used; generate full tod */
411   vtype_todl,           /* value not used; generate log tod */
412   vtype_todlf,          /* value not used; generate log file datestamp tod */
413   vtype_todzone,        /* value not used; generate time zone only */
414   vtype_todzulu,        /* value not used; generate zulu tod */
415   vtype_reply,          /* value not used; get reply from headers */
416   vtype_pid,            /* value not used; result is pid */
417   vtype_host_lookup,    /* value not used; get host name */
418   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
419   vtype_pspace,         /* partition space; value is T/F for spool/log */
420   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
421   vtype_cert            /* SSL certificate */
422   #ifndef DISABLE_DKIM
423   ,vtype_dkim           /* Lookup of value in DKIM signature */
424   #endif
425 };
426
427 /* Type for main variable table */
428
429 typedef struct {
430   const char *name;
431   enum vtypes type;
432   void       *value;
433 } var_entry;
434
435 /* Type for entries pointing to address/length pairs. Not currently
436 in use. */
437
438 typedef struct {
439   uschar **address;
440   int  *length;
441 } alblock;
442
443 static uschar * fn_recipients(void);
444
445 /* This table must be kept in alphabetical order. */
446
447 static var_entry var_table[] = {
448   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
449      they will be confused with user-creatable ACL variables. */
450   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
451   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
452   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
453   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
454   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
455   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
456   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
457   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
458   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
459   { "acl_narg",            vtype_int,         &acl_narg },
460   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
461   { "address_data",        vtype_stringptr,   &deliver_address_data },
462   { "address_file",        vtype_stringptr,   &address_file },
463   { "address_pipe",        vtype_stringptr,   &address_pipe },
464 #ifdef EXPERIMENTAL_ARC
465   { "arc_domains",         vtype_string_func, &fn_arc_domains },
466   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
467   { "arc_state",           vtype_stringptr,   &arc_state },
468   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
469 #endif
470   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
471   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
472   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
473   { "authentication_failed",vtype_int,        &authentication_failed },
474 #ifdef WITH_CONTENT_SCAN
475   { "av_failed",           vtype_int,         &av_failed },
476 #endif
477 #ifdef EXPERIMENTAL_BRIGHTMAIL
478   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
479   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
480   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
481   { "bmi_deliver",         vtype_int,         &bmi_deliver },
482 #endif
483   { "body_linecount",      vtype_int,         &body_linecount },
484   { "body_zerocount",      vtype_int,         &body_zerocount },
485   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
486   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
487   { "caller_gid",          vtype_gid,         &real_gid },
488   { "caller_uid",          vtype_uid,         &real_uid },
489   { "callout_address",     vtype_stringptr,   &callout_address },
490   { "compile_date",        vtype_stringptr,   &version_date },
491   { "compile_number",      vtype_stringptr,   &version_cnumber },
492   { "config_dir",          vtype_stringptr,   &config_main_directory },
493   { "config_file",         vtype_stringptr,   &config_main_filename },
494   { "csa_status",          vtype_stringptr,   &csa_status },
495 #ifdef EXPERIMENTAL_DCC
496   { "dcc_header",          vtype_stringptr,   &dcc_header },
497   { "dcc_result",          vtype_stringptr,   &dcc_result },
498 #endif
499 #ifndef DISABLE_DKIM
500   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
501   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
502   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
503   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
504   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
505   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
506   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
507   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
508   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
509   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
510   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
511   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
512   { "dkim_key_length",     vtype_int,         &dkim_key_length },
513   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
514   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
515   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
516   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
517   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
518   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
519   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
520   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
521 #endif
522 #ifdef EXPERIMENTAL_DMARC
523   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
524   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
525   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
526   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
527 #endif
528   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
529   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
530   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
531   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
532   { "domain",              vtype_stringptr,   &deliver_domain },
533   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
534 #ifndef DISABLE_EVENT
535   { "event_data",          vtype_stringptr,   &event_data },
536
537   /*XXX want to use generic vars for as many of these as possible*/
538   { "event_defer_errno",   vtype_int,         &event_defer_errno },
539
540   { "event_name",          vtype_stringptr,   &event_name },
541 #endif
542   { "exim_gid",            vtype_gid,         &exim_gid },
543   { "exim_path",           vtype_stringptr,   &exim_path },
544   { "exim_uid",            vtype_uid,         &exim_uid },
545   { "exim_version",        vtype_stringptr,   &version_string },
546   { "headers_added",       vtype_string_func, &fn_hdrs_added },
547   { "home",                vtype_stringptr,   &deliver_home },
548   { "host",                vtype_stringptr,   &deliver_host },
549   { "host_address",        vtype_stringptr,   &deliver_host_address },
550   { "host_data",           vtype_stringptr,   &host_data },
551   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
552   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
553   { "host_port",           vtype_int,         &deliver_host_port },
554   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
555   { "inode",               vtype_ino,         &deliver_inode },
556   { "interface_address",   vtype_stringptr,   &interface_address },
557   { "interface_port",      vtype_int,         &interface_port },
558   { "item",                vtype_stringptr,   &iterate_item },
559   #ifdef LOOKUP_LDAP
560   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
561   #endif
562   { "load_average",        vtype_load_avg,    NULL },
563   { "local_part",          vtype_stringptr,   &deliver_localpart },
564   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
565   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
566   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
567 #ifdef HAVE_LOCAL_SCAN
568   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
569 #endif
570   { "local_user_gid",      vtype_gid,         &local_user_gid },
571   { "local_user_uid",      vtype_uid,         &local_user_uid },
572   { "localhost_number",    vtype_int,         &host_number },
573   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
574   { "log_space",           vtype_pspace,      (void *)FALSE },
575   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
576   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
577 #ifdef WITH_CONTENT_SCAN
578   { "malware_name",        vtype_stringptr,   &malware_name },
579 #endif
580   { "max_received_linelength", vtype_int,     &max_received_linelength },
581   { "message_age",         vtype_int,         &message_age },
582   { "message_body",        vtype_msgbody,     &message_body },
583   { "message_body_end",    vtype_msgbody_end, &message_body_end },
584   { "message_body_size",   vtype_int,         &message_body_size },
585   { "message_exim_id",     vtype_stringptr,   &message_id },
586   { "message_headers",     vtype_msgheaders,  NULL },
587   { "message_headers_raw", vtype_msgheaders_raw, NULL },
588   { "message_id",          vtype_stringptr,   &message_id },
589   { "message_linecount",   vtype_int,         &message_linecount },
590   { "message_size",        vtype_int,         &message_size },
591 #ifdef SUPPORT_I18N
592   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
593 #endif
594 #ifdef WITH_CONTENT_SCAN
595   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
596   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
597   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
598   { "mime_charset",        vtype_stringptr,   &mime_charset },
599   { "mime_content_description", vtype_stringptr, &mime_content_description },
600   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
601   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
602   { "mime_content_size",   vtype_int,         &mime_content_size },
603   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
604   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
605   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
606   { "mime_filename",       vtype_stringptr,   &mime_filename },
607   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
608   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
609   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
610   { "mime_part_count",     vtype_int,         &mime_part_count },
611 #endif
612   { "n0",                  vtype_filter_int,  &filter_n[0] },
613   { "n1",                  vtype_filter_int,  &filter_n[1] },
614   { "n2",                  vtype_filter_int,  &filter_n[2] },
615   { "n3",                  vtype_filter_int,  &filter_n[3] },
616   { "n4",                  vtype_filter_int,  &filter_n[4] },
617   { "n5",                  vtype_filter_int,  &filter_n[5] },
618   { "n6",                  vtype_filter_int,  &filter_n[6] },
619   { "n7",                  vtype_filter_int,  &filter_n[7] },
620   { "n8",                  vtype_filter_int,  &filter_n[8] },
621   { "n9",                  vtype_filter_int,  &filter_n[9] },
622   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
623   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
624   { "originator_gid",      vtype_gid,         &originator_gid },
625   { "originator_uid",      vtype_uid,         &originator_uid },
626   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
627   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
628   { "pid",                 vtype_pid,         NULL },
629 #ifndef DISABLE_PRDR
630   { "prdr_requested",      vtype_bool,        &prdr_requested },
631 #endif
632   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
633 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
634   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
635   { "proxy_external_port", vtype_int,         &proxy_external_port },
636   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
637   { "proxy_local_port",    vtype_int,         &proxy_local_port },
638   { "proxy_session",       vtype_bool,        &proxy_session },
639 #endif
640   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
641   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
642   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
643   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
644   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
645   { "queue_name",          vtype_stringptr,   &queue_name },
646   { "rcpt_count",          vtype_int,         &rcpt_count },
647   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
648   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
649   { "received_count",      vtype_int,         &received_count },
650   { "received_for",        vtype_stringptr,   &received_for },
651   { "received_ip_address", vtype_stringptr,   &interface_address },
652   { "received_port",       vtype_int,         &interface_port },
653   { "received_protocol",   vtype_stringptr,   &received_protocol },
654   { "received_time",       vtype_int,         &received_time.tv_sec },
655   { "recipient_data",      vtype_stringptr,   &recipient_data },
656   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
657   { "recipients",          vtype_string_func, &fn_recipients },
658   { "recipients_count",    vtype_int,         &recipients_count },
659 #ifdef WITH_CONTENT_SCAN
660   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
661 #endif
662   { "reply_address",       vtype_reply,       NULL },
663 #if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_REQUIRETLS)
664   { "requiretls",          vtype_bool,        &tls_requiretls },
665 #endif
666   { "return_path",         vtype_stringptr,   &return_path },
667   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
668   { "router_name",         vtype_stringptr,   &router_name },
669   { "runrc",               vtype_int,         &runrc },
670   { "self_hostname",       vtype_stringptr,   &self_hostname },
671   { "sender_address",      vtype_stringptr,   &sender_address },
672   { "sender_address_data", vtype_stringptr,   &sender_address_data },
673   { "sender_address_domain", vtype_domain,    &sender_address },
674   { "sender_address_local_part", vtype_localpart, &sender_address },
675   { "sender_data",         vtype_stringptr,   &sender_data },
676   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
677   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
678   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
679   { "sender_host_address", vtype_stringptr,   &sender_host_address },
680   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
681   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
682   { "sender_host_name",    vtype_host_lookup, NULL },
683   { "sender_host_port",    vtype_int,         &sender_host_port },
684   { "sender_ident",        vtype_stringptr,   &sender_ident },
685   { "sender_rate",         vtype_stringptr,   &sender_rate },
686   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
687   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
688   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
689   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
690   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
691   { "sending_port",        vtype_int,         &sending_port },
692   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
693   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
694   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
695   { "smtp_command_history", vtype_string_func, &smtp_cmd_hist },
696   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
697   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
698   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
699   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
700   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
701   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
702   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
703   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
704   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
705   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
706   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
707   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
708 #ifdef WITH_CONTENT_SCAN
709   { "spam_action",         vtype_stringptr,   &spam_action },
710   { "spam_bar",            vtype_stringptr,   &spam_bar },
711   { "spam_report",         vtype_stringptr,   &spam_report },
712   { "spam_score",          vtype_stringptr,   &spam_score },
713   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
714 #endif
715 #ifdef SUPPORT_SPF
716   { "spf_guess",           vtype_stringptr,   &spf_guess },
717   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
718   { "spf_received",        vtype_stringptr,   &spf_received },
719   { "spf_result",          vtype_stringptr,   &spf_result },
720   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
721   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
722 #endif
723   { "spool_directory",     vtype_stringptr,   &spool_directory },
724   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
725   { "spool_space",         vtype_pspace,      (void *)TRUE },
726 #ifdef EXPERIMENTAL_SRS
727   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
728   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
729   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
730   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
731   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
732   { "srs_status",          vtype_stringptr,   &srs_status },
733 #endif
734   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
735
736   /* The non-(in,out) variables are now deprecated */
737   { "tls_bits",            vtype_int,         &tls_in.bits },
738   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
739   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
740
741   { "tls_in_bits",         vtype_int,         &tls_in.bits },
742   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
743   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
744   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
745   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
746   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
747   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
748 #if defined(SUPPORT_TLS)
749   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
750 #endif
751   { "tls_out_bits",        vtype_int,         &tls_out.bits },
752   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
753   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
754 #ifdef SUPPORT_DANE
755   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
756 #endif
757   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
758   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
759   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
760   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
761 #if defined(SUPPORT_TLS)
762   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
763 #endif
764 #ifdef SUPPORT_DANE
765   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
766 #endif
767
768   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
769 #if defined(SUPPORT_TLS)
770   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
771 #endif
772
773   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
774   { "tod_epoch",           vtype_tode,        NULL },
775   { "tod_epoch_l",         vtype_todel,       NULL },
776   { "tod_full",            vtype_todf,        NULL },
777   { "tod_log",             vtype_todl,        NULL },
778   { "tod_logfile",         vtype_todlf,       NULL },
779   { "tod_zone",            vtype_todzone,     NULL },
780   { "tod_zulu",            vtype_todzulu,     NULL },
781   { "transport_name",      vtype_stringptr,   &transport_name },
782   { "value",               vtype_stringptr,   &lookup_value },
783   { "verify_mode",         vtype_stringptr,   &verify_mode },
784   { "version_number",      vtype_stringptr,   &version_string },
785   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
786   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
787   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
788   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
789   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
790   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
791 };
792
793 static int var_table_size = nelem(var_table);
794 static uschar var_buffer[256];
795 static BOOL malformed_header;
796
797 /* For textual hashes */
798
799 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
800                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
801                                "0123456789";
802
803 enum { HMAC_MD5, HMAC_SHA1 };
804
805 /* For numeric hashes */
806
807 static unsigned int prime[] = {
808   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
809  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
810  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
811
812 /* For printing modes in symbolic form */
813
814 static uschar *mtable_normal[] =
815   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
816
817 static uschar *mtable_setid[] =
818   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
819
820 static uschar *mtable_sticky[] =
821   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
822
823 /* flags for find_header() */
824 #define FH_EXISTS_ONLY  BIT(0)
825 #define FH_WANT_RAW     BIT(1)
826 #define FH_WANT_LIST    BIT(2)
827
828
829 /*************************************************
830 *           Tables for UTF-8 support             *
831 *************************************************/
832
833 /* Table of the number of extra characters, indexed by the first character
834 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
835 0x3d. */
836
837 static uschar utf8_table1[] = {
838   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
839   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
840   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
841   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
842
843 /* These are the masks for the data bits in the first byte of a character,
844 indexed by the number of additional bytes. */
845
846 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
847
848 /* Get the next UTF-8 character, advancing the pointer. */
849
850 #define GETUTF8INC(c, ptr) \
851   c = *ptr++; \
852   if ((c & 0xc0) == 0xc0) \
853     { \
854     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
855     int s = 6*a; \
856     c = (c & utf8_table2[a]) << s; \
857     while (a-- > 0) \
858       { \
859       s -= 6; \
860       c |= (*ptr++ & 0x3f) << s; \
861       } \
862     }
863
864
865
866 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
867
868 /*************************************************
869 *           Binary chop search on a table        *
870 *************************************************/
871
872 /* This is used for matching expansion items and operators.
873
874 Arguments:
875   name        the name that is being sought
876   table       the table to search
877   table_size  the number of items in the table
878
879 Returns:      the offset in the table, or -1
880 */
881
882 static int
883 chop_match(uschar *name, uschar **table, int table_size)
884 {
885 uschar **bot = table;
886 uschar **top = table + table_size;
887
888 while (top > bot)
889   {
890   uschar **mid = bot + (top - bot)/2;
891   int c = Ustrcmp(name, *mid);
892   if (c == 0) return mid - table;
893   if (c > 0) bot = mid + 1; else top = mid;
894   }
895
896 return -1;
897 }
898
899
900
901 /*************************************************
902 *          Check a condition string              *
903 *************************************************/
904
905 /* This function is called to expand a string, and test the result for a "true"
906 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
907 forced fail or lookup defer.
908
909 We used to release all store used, but this is not not safe due
910 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
911 is reasonably careful to release what it can.
912
913 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
914
915 Arguments:
916   condition     the condition string
917   m1            text to be incorporated in panic error
918   m2            ditto
919
920 Returns:        TRUE if condition is met, FALSE if not
921 */
922
923 BOOL
924 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
925 {
926 int rc;
927 uschar *ss = expand_string(condition);
928 if (ss == NULL)
929   {
930   if (!f.expand_string_forcedfail && !f.search_find_defer)
931     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
932       "for %s %s: %s", condition, m1, m2, expand_string_message);
933   return FALSE;
934   }
935 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
936   strcmpic(ss, US"false") != 0;
937 return rc;
938 }
939
940
941
942
943 /*************************************************
944 *        Pseudo-random number generation         *
945 *************************************************/
946
947 /* Pseudo-random number generation.  The result is not "expected" to be
948 cryptographically strong but not so weak that someone will shoot themselves
949 in the foot using it as a nonce in some email header scheme or whatever
950 weirdness they'll twist this into.  The result should ideally handle fork().
951
952 However, if we're stuck unable to provide this, then we'll fall back to
953 appallingly bad randomness.
954
955 If SUPPORT_TLS is defined then this will not be used except as an emergency
956 fallback.
957
958 Arguments:
959   max       range maximum
960 Returns     a random number in range [0, max-1]
961 */
962
963 #ifdef SUPPORT_TLS
964 # define vaguely_random_number vaguely_random_number_fallback
965 #endif
966 int
967 vaguely_random_number(int max)
968 {
969 #ifdef SUPPORT_TLS
970 # undef vaguely_random_number
971 #endif
972   static pid_t pid = 0;
973   pid_t p2;
974 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
975   struct timeval tv;
976 #endif
977
978   p2 = getpid();
979   if (p2 != pid)
980     {
981     if (pid != 0)
982       {
983
984 #ifdef HAVE_ARC4RANDOM
985       /* cryptographically strong randomness, common on *BSD platforms, not
986       so much elsewhere.  Alas. */
987 #ifndef NOT_HAVE_ARC4RANDOM_STIR
988       arc4random_stir();
989 #endif
990 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
991 #ifdef HAVE_SRANDOMDEV
992       /* uses random(4) for seeding */
993       srandomdev();
994 #else
995       gettimeofday(&tv, NULL);
996       srandom(tv.tv_sec | tv.tv_usec | getpid());
997 #endif
998 #else
999       /* Poor randomness and no seeding here */
1000 #endif
1001
1002       }
1003     pid = p2;
1004     }
1005
1006 #ifdef HAVE_ARC4RANDOM
1007   return arc4random() % max;
1008 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1009   return random() % max;
1010 #else
1011   /* This one returns a 16-bit number, definitely not crypto-strong */
1012   return random_number(max);
1013 #endif
1014 }
1015
1016
1017
1018
1019 /*************************************************
1020 *             Pick out a name from a string      *
1021 *************************************************/
1022
1023 /* If the name is too long, it is silently truncated.
1024
1025 Arguments:
1026   name      points to a buffer into which to put the name
1027   max       is the length of the buffer
1028   s         points to the first alphabetic character of the name
1029   extras    chars other than alphanumerics to permit
1030
1031 Returns:    pointer to the first character after the name
1032
1033 Note: The test for *s != 0 in the while loop is necessary because
1034 Ustrchr() yields non-NULL if the character is zero (which is not something
1035 I expected). */
1036
1037 static const uschar *
1038 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1039 {
1040 int ptr = 0;
1041 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1042   {
1043   if (ptr < max-1) name[ptr++] = *s;
1044   s++;
1045   }
1046 name[ptr] = 0;
1047 return s;
1048 }
1049
1050
1051
1052 /*************************************************
1053 *     Pick out the rest of a header name         *
1054 *************************************************/
1055
1056 /* A variable name starting $header_ (or just $h_ for those who like
1057 abbreviations) might not be the complete header name because headers can
1058 contain any printing characters in their names, except ':'. This function is
1059 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1060 on the end, if the name was terminated by white space.
1061
1062 Arguments:
1063   name      points to a buffer in which the name read so far exists
1064   max       is the length of the buffer
1065   s         points to the first character after the name so far, i.e. the
1066             first non-alphameric character after $header_xxxxx
1067
1068 Returns:    a pointer to the first character after the header name
1069 */
1070
1071 static const uschar *
1072 read_header_name(uschar *name, int max, const uschar *s)
1073 {
1074 int prelen = Ustrchr(name, '_') - name + 1;
1075 int ptr = Ustrlen(name) - prelen;
1076 if (ptr > 0) memmove(name, name+prelen, ptr);
1077 while (mac_isgraph(*s) && *s != ':')
1078   {
1079   if (ptr < max-1) name[ptr++] = *s;
1080   s++;
1081   }
1082 if (*s == ':') s++;
1083 name[ptr++] = ':';
1084 name[ptr] = 0;
1085 return s;
1086 }
1087
1088
1089
1090 /*************************************************
1091 *           Pick out a number from a string      *
1092 *************************************************/
1093
1094 /* Arguments:
1095   n     points to an integer into which to put the number
1096   s     points to the first digit of the number
1097
1098 Returns:  a pointer to the character after the last digit
1099 */
1100 /*XXX consider expanding to int_eximarith_t.  But the test for
1101 "overbig numbers" in 0002 still needs to overflow it. */
1102
1103 static uschar *
1104 read_number(int *n, uschar *s)
1105 {
1106 *n = 0;
1107 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1108 return s;
1109 }
1110
1111 static const uschar *
1112 read_cnumber(int *n, const uschar *s)
1113 {
1114 *n = 0;
1115 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1116 return s;
1117 }
1118
1119
1120
1121 /*************************************************
1122 *        Extract keyed subfield from a string    *
1123 *************************************************/
1124
1125 /* The yield is in dynamic store; NULL means that the key was not found.
1126
1127 Arguments:
1128   key       points to the name of the key
1129   s         points to the string from which to extract the subfield
1130
1131 Returns:    NULL if the subfield was not found, or
1132             a pointer to the subfield's data
1133 */
1134
1135 static uschar *
1136 expand_getkeyed(uschar * key, const uschar * s)
1137 {
1138 int length = Ustrlen(key);
1139 while (isspace(*s)) s++;
1140
1141 /* Loop to search for the key */
1142
1143 while (*s)
1144   {
1145   int dkeylength;
1146   uschar * data;
1147   const uschar * dkey = s;
1148
1149   while (*s && *s != '=' && !isspace(*s)) s++;
1150   dkeylength = s - dkey;
1151   while (isspace(*s)) s++;
1152   if (*s == '=') while (isspace((*(++s))));
1153
1154   data = string_dequote(&s);
1155   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1156     return data;
1157
1158   while (isspace(*s)) s++;
1159   }
1160
1161 return NULL;
1162 }
1163
1164
1165
1166 static var_entry *
1167 find_var_ent(uschar * name)
1168 {
1169 int first = 0;
1170 int last = var_table_size;
1171
1172 while (last > first)
1173   {
1174   int middle = (first + last)/2;
1175   int c = Ustrcmp(name, var_table[middle].name);
1176
1177   if (c > 0) { first = middle + 1; continue; }
1178   if (c < 0) { last = middle; continue; }
1179   return &var_table[middle];
1180   }
1181 return NULL;
1182 }
1183
1184 /*************************************************
1185 *   Extract numbered subfield from string        *
1186 *************************************************/
1187
1188 /* Extracts a numbered field from a string that is divided by tokens - for
1189 example a line from /etc/passwd is divided by colon characters.  First field is
1190 numbered one.  Negative arguments count from the right. Zero returns the whole
1191 string. Returns NULL if there are insufficient tokens in the string
1192
1193 ***WARNING***
1194 Modifies final argument - this is a dynamically generated string, so that's OK.
1195
1196 Arguments:
1197   field       number of field to be extracted,
1198                 first field = 1, whole string = 0, last field = -1
1199   separators  characters that are used to break string into tokens
1200   s           points to the string from which to extract the subfield
1201
1202 Returns:      NULL if the field was not found,
1203               a pointer to the field's data inside s (modified to add 0)
1204 */
1205
1206 static uschar *
1207 expand_gettokened (int field, uschar *separators, uschar *s)
1208 {
1209 int sep = 1;
1210 int count;
1211 uschar *ss = s;
1212 uschar *fieldtext = NULL;
1213
1214 if (field == 0) return s;
1215
1216 /* Break the line up into fields in place; for field > 0 we stop when we have
1217 done the number of fields we want. For field < 0 we continue till the end of
1218 the string, counting the number of fields. */
1219
1220 count = (field > 0)? field : INT_MAX;
1221
1222 while (count-- > 0)
1223   {
1224   size_t len;
1225
1226   /* Previous field was the last one in the string. For a positive field
1227   number, this means there are not enough fields. For a negative field number,
1228   check that there are enough, and scan back to find the one that is wanted. */
1229
1230   if (sep == 0)
1231     {
1232     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1233     if ((-field) == (INT_MAX - count - 1)) return s;
1234     while (field++ < 0)
1235       {
1236       ss--;
1237       while (ss[-1] != 0) ss--;
1238       }
1239     fieldtext = ss;
1240     break;
1241     }
1242
1243   /* Previous field was not last in the string; save its start and put a
1244   zero at its end. */
1245
1246   fieldtext = ss;
1247   len = Ustrcspn(ss, separators);
1248   sep = ss[len];
1249   ss[len] = 0;
1250   ss += len + 1;
1251   }
1252
1253 return fieldtext;
1254 }
1255
1256
1257 static uschar *
1258 expand_getlistele(int field, const uschar * list)
1259 {
1260 const uschar * tlist = list;
1261 int sep = 0;
1262 uschar dummy;
1263
1264 if (field < 0)
1265   {
1266   for (field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1267   sep = 0;
1268   }
1269 if (field == 0) return NULL;
1270 while (--field > 0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1271 return string_nextinlist(&list, &sep, NULL, 0);
1272 }
1273
1274
1275 /* Certificate fields, by name.  Worry about by-OID later */
1276 /* Names are chosen to not have common prefixes */
1277
1278 #ifdef SUPPORT_TLS
1279 typedef struct
1280 {
1281 uschar * name;
1282 int      namelen;
1283 uschar * (*getfn)(void * cert, uschar * mod);
1284 } certfield;
1285 static certfield certfields[] =
1286 {                       /* linear search; no special order */
1287   { US"version",         7,  &tls_cert_version },
1288   { US"serial_number",   13, &tls_cert_serial_number },
1289   { US"subject",         7,  &tls_cert_subject },
1290   { US"notbefore",       9,  &tls_cert_not_before },
1291   { US"notafter",        8,  &tls_cert_not_after },
1292   { US"issuer",          6,  &tls_cert_issuer },
1293   { US"signature",       9,  &tls_cert_signature },
1294   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1295   { US"subj_altname",    12, &tls_cert_subject_altname },
1296   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1297   { US"crl_uri",         7,  &tls_cert_crl_uri },
1298 };
1299
1300 static uschar *
1301 expand_getcertele(uschar * field, uschar * certvar)
1302 {
1303 var_entry * vp;
1304
1305 if (!(vp = find_var_ent(certvar)))
1306   {
1307   expand_string_message =
1308     string_sprintf("no variable named \"%s\"", certvar);
1309   return NULL;          /* Unknown variable name */
1310   }
1311 /* NB this stops us passing certs around in variable.  Might
1312 want to do that in future */
1313 if (vp->type != vtype_cert)
1314   {
1315   expand_string_message =
1316     string_sprintf("\"%s\" is not a certificate", certvar);
1317   return NULL;          /* Unknown variable name */
1318   }
1319 if (!*(void **)vp->value)
1320   return NULL;
1321
1322 if (*field >= '0' && *field <= '9')
1323   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1324
1325 for (certfield * cp = certfields;
1326      cp < certfields + nelem(certfields);
1327      cp++)
1328   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1329     {
1330     uschar * modifier = *(field += cp->namelen) == ','
1331       ? ++field : NULL;
1332     return (*cp->getfn)( *(void **)vp->value, modifier );
1333     }
1334
1335 expand_string_message =
1336   string_sprintf("bad field selector \"%s\" for certextract", field);
1337 return NULL;
1338 }
1339 #endif  /*SUPPORT_TLS*/
1340
1341 /*************************************************
1342 *        Extract a substring from a string       *
1343 *************************************************/
1344
1345 /* Perform the ${substr or ${length expansion operations.
1346
1347 Arguments:
1348   subject     the input string
1349   value1      the offset from the start of the input string to the start of
1350                 the output string; if negative, count from the right.
1351   value2      the length of the output string, or negative (-1) for unset
1352                 if value1 is positive, unset means "all after"
1353                 if value1 is negative, unset means "all before"
1354   len         set to the length of the returned string
1355
1356 Returns:      pointer to the output string, or NULL if there is an error
1357 */
1358
1359 static uschar *
1360 extract_substr(uschar *subject, int value1, int value2, int *len)
1361 {
1362 int sublen = Ustrlen(subject);
1363
1364 if (value1 < 0)    /* count from right */
1365   {
1366   value1 += sublen;
1367
1368   /* If the position is before the start, skip to the start, and adjust the
1369   length. If the length ends up negative, the substring is null because nothing
1370   can precede. This falls out naturally when the length is unset, meaning "all
1371   to the left". */
1372
1373   if (value1 < 0)
1374     {
1375     value2 += value1;
1376     if (value2 < 0) value2 = 0;
1377     value1 = 0;
1378     }
1379
1380   /* Otherwise an unset length => characters before value1 */
1381
1382   else if (value2 < 0)
1383     {
1384     value2 = value1;
1385     value1 = 0;
1386     }
1387   }
1388
1389 /* For a non-negative offset, if the starting position is past the end of the
1390 string, the result will be the null string. Otherwise, an unset length means
1391 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1392
1393 else
1394   {
1395   if (value1 > sublen)
1396     {
1397     value1 = sublen;
1398     value2 = 0;
1399     }
1400   else if (value2 < 0) value2 = sublen;
1401   }
1402
1403 /* Cut the length down to the maximum possible for the offset value, and get
1404 the required characters. */
1405
1406 if (value1 + value2 > sublen) value2 = sublen - value1;
1407 *len = value2;
1408 return subject + value1;
1409 }
1410
1411
1412
1413
1414 /*************************************************
1415 *            Old-style hash of a string          *
1416 *************************************************/
1417
1418 /* Perform the ${hash expansion operation.
1419
1420 Arguments:
1421   subject     the input string (an expanded substring)
1422   value1      the length of the output string; if greater or equal to the
1423                 length of the input string, the input string is returned
1424   value2      the number of hash characters to use, or 26 if negative
1425   len         set to the length of the returned string
1426
1427 Returns:      pointer to the output string, or NULL if there is an error
1428 */
1429
1430 static uschar *
1431 compute_hash(uschar *subject, int value1, int value2, int *len)
1432 {
1433 int sublen = Ustrlen(subject);
1434
1435 if (value2 < 0) value2 = 26;
1436 else if (value2 > Ustrlen(hashcodes))
1437   {
1438   expand_string_message =
1439     string_sprintf("hash count \"%d\" too big", value2);
1440   return NULL;
1441   }
1442
1443 /* Calculate the hash text. We know it is shorter than the original string, so
1444 can safely place it in subject[] (we know that subject is always itself an
1445 expanded substring). */
1446
1447 if (value1 < sublen)
1448   {
1449   int c;
1450   int i = 0;
1451   int j = value1;
1452   while ((c = (subject[j])) != 0)
1453     {
1454     int shift = (c + j++) & 7;
1455     subject[i] ^= (c << shift) | (c >> (8-shift));
1456     if (++i >= value1) i = 0;
1457     }
1458   for (i = 0; i < value1; i++)
1459     subject[i] = hashcodes[(subject[i]) % value2];
1460   }
1461 else value1 = sublen;
1462
1463 *len = value1;
1464 return subject;
1465 }
1466
1467
1468
1469
1470 /*************************************************
1471 *             Numeric hash of a string           *
1472 *************************************************/
1473
1474 /* Perform the ${nhash expansion operation. The first characters of the
1475 string are treated as most important, and get the highest prime numbers.
1476
1477 Arguments:
1478   subject     the input string
1479   value1      the maximum value of the first part of the result
1480   value2      the maximum value of the second part of the result,
1481                 or negative to produce only a one-part result
1482   len         set to the length of the returned string
1483
1484 Returns:  pointer to the output string, or NULL if there is an error.
1485 */
1486
1487 static uschar *
1488 compute_nhash (uschar *subject, int value1, int value2, int *len)
1489 {
1490 uschar *s = subject;
1491 int i = 0;
1492 unsigned long int total = 0; /* no overflow */
1493
1494 while (*s != 0)
1495   {
1496   if (i == 0) i = nelem(prime) - 1;
1497   total += prime[i--] * (unsigned int)(*s++);
1498   }
1499
1500 /* If value2 is unset, just compute one number */
1501
1502 if (value2 < 0)
1503   s = string_sprintf("%lu", total % value1);
1504
1505 /* Otherwise do a div/mod hash */
1506
1507 else
1508   {
1509   total = total % (value1 * value2);
1510   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1511   }
1512
1513 *len = Ustrlen(s);
1514 return s;
1515 }
1516
1517
1518
1519
1520
1521 /*************************************************
1522 *     Find the value of a header or headers      *
1523 *************************************************/
1524
1525 /* Multiple instances of the same header get concatenated, and this function
1526 can also return a concatenation of all the header lines. When concatenating
1527 specific headers that contain lists of addresses, a comma is inserted between
1528 them. Otherwise we use a straight concatenation. Because some messages can have
1529 pathologically large number of lines, there is a limit on the length that is
1530 returned.
1531
1532 Arguments:
1533   name          the name of the header, without the leading $header_ or $h_,
1534                 or NULL if a concatenation of all headers is required
1535   newsize       return the size of memory block that was obtained; may be NULL
1536                 if exists_only is TRUE
1537   flags         FH_EXISTS_ONLY
1538                   set if called from a def: test; don't need to build a string;
1539                   just return a string that is not "" and not "0" if the header
1540                   exists
1541                 FH_WANT_RAW
1542                   set if called for $rh_ or $rheader_ items; no processing,
1543                   other than concatenating, will be done on the header. Also used
1544                   for $message_headers_raw.
1545                 FH_WANT_LIST
1546                   Double colon chars in the content, and replace newline with
1547                   colon between each element when concatenating; returning a
1548                   colon-sep list (elements might contain newlines)
1549   charset       name of charset to translate MIME words to; used only if
1550                 want_raw is false; if NULL, no translation is done (this is
1551                 used for $bh_ and $bheader_)
1552
1553 Returns:        NULL if the header does not exist, else a pointer to a new
1554                 store block
1555 */
1556
1557 static uschar *
1558 find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
1559 {
1560 BOOL found = !name;
1561 int len = name ? Ustrlen(name) : 0;
1562 BOOL comma = FALSE;
1563 gstring * g = NULL;
1564
1565 for (header_line * h = header_list; h; h = h->next)
1566   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1567     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1568       {
1569       uschar * s, * t;
1570       size_t inc;
1571
1572       if (flags & FH_EXISTS_ONLY)
1573         return US"1";  /* don't need actual string */
1574
1575       found = TRUE;
1576       s = h->text + len;                /* text to insert */
1577       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1578         while (isspace(*s)) s++;        /* remove leading white space */
1579       t = h->text + h->slen;            /* end-point */
1580
1581       /* Unless wanted raw, remove trailing whitespace, including the
1582       newline. */
1583
1584       if (flags & FH_WANT_LIST)
1585         while (t > s && t[-1] == '\n') t--;
1586       else if (!(flags & FH_WANT_RAW))
1587         {
1588         while (t > s && isspace(t[-1])) t--;
1589
1590         /* Set comma if handling a single header and it's one of those
1591         that contains an address list, except when asked for raw headers. Only
1592         need to do this once. */
1593
1594         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1595         }
1596
1597       /* Trim the header roughly if we're approaching limits */
1598       inc = t - s;
1599       if ((g ? g->ptr : 0) + inc > header_insert_maxlen)
1600         inc = header_insert_maxlen - (g ? g->ptr : 0);
1601
1602       /* For raw just copy the data; for a list, add the data as a colon-sep
1603       list-element; for comma-list add as an unchecked comma,newline sep
1604       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1605       stripped trailing WS above including the newline). We ignore the potential
1606       expansion due to colon-doubling, just leaving the loop if the limit is met
1607       or exceeded. */
1608
1609       if (flags & FH_WANT_LIST)
1610         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1611       else if (flags & FH_WANT_RAW)
1612         {
1613         g = string_catn(g, s, (unsigned)inc);
1614         (void) string_from_gstring(g);
1615         }
1616       else if (inc > 0)
1617         if (comma)
1618           g = string_append2_listele_n(g, US",\n", s, (unsigned)inc);
1619         else
1620           g = string_append2_listele_n(g, US"\n", s, (unsigned)inc);
1621
1622       if (g && g->ptr >= header_insert_maxlen) break;
1623       }
1624
1625 if (!found) return NULL;        /* No header found */
1626 if (!g) return US"";
1627
1628 /* That's all we do for raw header expansion. */
1629
1630 *newsize = g->size;
1631 if (flags & FH_WANT_RAW)
1632   return g->s;
1633
1634 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1635 The rfc2047_decode2() function can return an error with decoded data if the
1636 charset translation fails. If decoding fails, it returns NULL. */
1637
1638 else
1639   {
1640   uschar *decoded, *error;
1641
1642   decoded = rfc2047_decode2(g->s, check_rfc2047_length, charset, '?', NULL,
1643     newsize, &error);
1644   if (error)
1645     {
1646     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1647       "    input was: %s\n", error, g->s);
1648     }
1649   return decoded ? decoded : g->s;
1650   }
1651 }
1652
1653
1654
1655
1656 /* Append a "local" element to an Authentication-Results: header
1657 if this was a non-smtp message.
1658 */
1659
1660 static gstring *
1661 authres_local(gstring * g, const uschar * sysname)
1662 {
1663 if (!f.authentication_local)
1664   return g;
1665 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1666 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1667 return g;
1668 }
1669
1670
1671 /* Append an "iprev" element to an Authentication-Results: header
1672 if we have attempted to get the calling host's name.
1673 */
1674
1675 static gstring *
1676 authres_iprev(gstring * g)
1677 {
1678 if (sender_host_name)
1679   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1680 else if (host_lookup_deferred)
1681   g = string_catn(g, US";\n\tiprev=temperror", 19);
1682 else if (host_lookup_failed)
1683   g = string_catn(g, US";\n\tiprev=fail", 13);
1684 else
1685   return g;
1686
1687 if (sender_host_address)
1688   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1689 return g;
1690 }
1691
1692
1693
1694 /*************************************************
1695 *               Return list of recipients        *
1696 *************************************************/
1697 /* A recipients list is available only during system message filtering,
1698 during ACL processing after DATA, and while expanding pipe commands
1699 generated from a system filter, but not elsewhere. */
1700
1701 static uschar *
1702 fn_recipients(void)
1703 {
1704 uschar * s;
1705 gstring * g = NULL;
1706
1707 if (!f.enable_dollar_recipients) return NULL;
1708
1709 for (int i = 0; i < recipients_count; i++)
1710   {
1711   s = recipients_list[i].address;
1712   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1713   }
1714 return g ? g->s : NULL;
1715 }
1716
1717
1718 /*************************************************
1719 *               Find value of a variable         *
1720 *************************************************/
1721
1722 /* The table of variables is kept in alphabetic order, so we can search it
1723 using a binary chop. The "choplen" variable is nothing to do with the binary
1724 chop.
1725
1726 Arguments:
1727   name          the name of the variable being sought
1728   exists_only   TRUE if this is a def: test; passed on to find_header()
1729   skipping      TRUE => skip any processing evaluation; this is not the same as
1730                   exists_only because def: may test for values that are first
1731                   evaluated here
1732   newsize       pointer to an int which is initially zero; if the answer is in
1733                 a new memory buffer, *newsize is set to its size
1734
1735 Returns:        NULL if the variable does not exist, or
1736                 a pointer to the variable's contents, or
1737                 something non-NULL if exists_only is TRUE
1738 */
1739
1740 static uschar *
1741 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1742 {
1743 var_entry * vp;
1744 uschar *s, *domain;
1745 uschar **ss;
1746 void * val;
1747
1748 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1749 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1750 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1751 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1752 (this gave backwards compatibility at the changeover). There may be built-in
1753 variables whose names start acl_ but they should never start in this way. This
1754 slightly messy specification is a consequence of the history, needless to say.
1755
1756 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1757 set, in which case give an error. */
1758
1759 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1760      !isalpha(name[5]))
1761   {
1762   tree_node *node =
1763     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1764   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1765   }
1766
1767 /* Handle $auth<n> variables. */
1768
1769 if (Ustrncmp(name, "auth", 4) == 0)
1770   {
1771   uschar *endptr;
1772   int n = Ustrtoul(name + 4, &endptr, 10);
1773   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1774     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1775   }
1776 else if (Ustrncmp(name, "regex", 5) == 0)
1777   {
1778   uschar *endptr;
1779   int n = Ustrtoul(name + 5, &endptr, 10);
1780   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1781     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1782   }
1783
1784 /* For all other variables, search the table */
1785
1786 if (!(vp = find_var_ent(name)))
1787   return NULL;          /* Unknown variable name */
1788
1789 /* Found an existing variable. If in skipping state, the value isn't needed,
1790 and we want to avoid processing (such as looking up the host name). */
1791
1792 if (skipping)
1793   return US"";
1794
1795 val = vp->value;
1796 switch (vp->type)
1797   {
1798   case vtype_filter_int:
1799     if (!f.filter_running) return NULL;
1800     /* Fall through */
1801     /* VVVVVVVVVVVV */
1802   case vtype_int:
1803     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1804     return var_buffer;
1805
1806   case vtype_ino:
1807     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1808     return var_buffer;
1809
1810   case vtype_gid:
1811     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1812     return var_buffer;
1813
1814   case vtype_uid:
1815     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1816     return var_buffer;
1817
1818   case vtype_bool:
1819     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1820     return var_buffer;
1821
1822   case vtype_stringptr:                      /* Pointer to string */
1823     return (s = *((uschar **)(val))) ? s : US"";
1824
1825   case vtype_pid:
1826     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1827     return var_buffer;
1828
1829   case vtype_load_avg:
1830     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1831     return var_buffer;
1832
1833   case vtype_host_lookup:                    /* Lookup if not done so */
1834     if (  !sender_host_name && sender_host_address
1835        && !host_lookup_failed && host_name_lookup() == OK)
1836       host_build_sender_fullhost();
1837     return sender_host_name ? sender_host_name : US"";
1838
1839   case vtype_localpart:                      /* Get local part from address */
1840     s = *((uschar **)(val));
1841     if (s == NULL) return US"";
1842     domain = Ustrrchr(s, '@');
1843     if (domain == NULL) return s;
1844     if (domain - s > sizeof(var_buffer) - 1)
1845       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1846           " in string expansion", sizeof(var_buffer));
1847     Ustrncpy(var_buffer, s, domain - s);
1848     var_buffer[domain - s] = 0;
1849     return var_buffer;
1850
1851   case vtype_domain:                         /* Get domain from address */
1852     s = *((uschar **)(val));
1853     if (s == NULL) return US"";
1854     domain = Ustrrchr(s, '@');
1855     return (domain == NULL)? US"" : domain + 1;
1856
1857   case vtype_msgheaders:
1858     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
1859
1860   case vtype_msgheaders_raw:
1861     return find_header(NULL, newsize,
1862                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
1863
1864   case vtype_msgbody:                        /* Pointer to msgbody string */
1865   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1866     ss = (uschar **)(val);
1867     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1868       {
1869       uschar *body;
1870       off_t start_offset = SPOOL_DATA_START_OFFSET;
1871       int len = message_body_visible;
1872       if (len > message_size) len = message_size;
1873       *ss = body = store_malloc(len+1);
1874       body[0] = 0;
1875       if (vp->type == vtype_msgbody_end)
1876         {
1877         struct stat statbuf;
1878         if (fstat(deliver_datafile, &statbuf) == 0)
1879           {
1880           start_offset = statbuf.st_size - len;
1881           if (start_offset < SPOOL_DATA_START_OFFSET)
1882             start_offset = SPOOL_DATA_START_OFFSET;
1883           }
1884         }
1885       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1886         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1887           strerror(errno));
1888       len = read(deliver_datafile, body, len);
1889       if (len > 0)
1890         {
1891         body[len] = 0;
1892         if (message_body_newlines)   /* Separate loops for efficiency */
1893           while (len > 0)
1894             { if (body[--len] == 0) body[len] = ' '; }
1895         else
1896           while (len > 0)
1897             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1898         }
1899       }
1900     return *ss ? *ss : US"";
1901
1902   case vtype_todbsdin:                       /* BSD inbox time of day */
1903     return tod_stamp(tod_bsdin);
1904
1905   case vtype_tode:                           /* Unix epoch time of day */
1906     return tod_stamp(tod_epoch);
1907
1908   case vtype_todel:                          /* Unix epoch/usec time of day */
1909     return tod_stamp(tod_epoch_l);
1910
1911   case vtype_todf:                           /* Full time of day */
1912     return tod_stamp(tod_full);
1913
1914   case vtype_todl:                           /* Log format time of day */
1915     return tod_stamp(tod_log_bare);            /* (without timezone) */
1916
1917   case vtype_todzone:                        /* Time zone offset only */
1918     return tod_stamp(tod_zone);
1919
1920   case vtype_todzulu:                        /* Zulu time */
1921     return tod_stamp(tod_zulu);
1922
1923   case vtype_todlf:                          /* Log file datestamp tod */
1924     return tod_stamp(tod_log_datestamp_daily);
1925
1926   case vtype_reply:                          /* Get reply address */
1927     s = find_header(US"reply-to:", newsize,
1928                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1929                 headers_charset);
1930     if (s) while (isspace(*s)) s++;
1931     if (!s || !*s)
1932       {
1933       *newsize = 0;                            /* For the *s==0 case */
1934       s = find_header(US"from:", newsize,
1935                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1936                 headers_charset);
1937       }
1938     if (s)
1939       {
1940       uschar *t;
1941       while (isspace(*s)) s++;
1942       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1943       while (t > s && isspace(t[-1])) t--;
1944       *t = 0;
1945       }
1946     return s ? s : US"";
1947
1948   case vtype_string_func:
1949     {
1950     uschar * (*fn)() = val;
1951     return fn();
1952     }
1953
1954   case vtype_pspace:
1955     {
1956     int inodes;
1957     sprintf(CS var_buffer, PR_EXIM_ARITH,
1958       receive_statvfs(val == (void *)TRUE, &inodes));
1959     }
1960   return var_buffer;
1961
1962   case vtype_pinodes:
1963     {
1964     int inodes;
1965     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1966     sprintf(CS var_buffer, "%d", inodes);
1967     }
1968   return var_buffer;
1969
1970   case vtype_cert:
1971     return *(void **)val ? US"<cert>" : US"";
1972
1973 #ifndef DISABLE_DKIM
1974   case vtype_dkim:
1975     return dkim_exim_expand_query((int)(long)val);
1976 #endif
1977
1978   }
1979
1980 return NULL;  /* Unknown variable. Silences static checkers. */
1981 }
1982
1983
1984
1985
1986 void
1987 modify_variable(uschar *name, void * value)
1988 {
1989 var_entry * vp;
1990 if ((vp = find_var_ent(name))) vp->value = value;
1991 return;          /* Unknown variable name, fail silently */
1992 }
1993
1994
1995
1996
1997
1998
1999 /*************************************************
2000 *           Read and expand substrings           *
2001 *************************************************/
2002
2003 /* This function is called to read and expand argument substrings for various
2004 expansion items. Some have a minimum requirement that is less than the maximum;
2005 in these cases, the first non-present one is set to NULL.
2006
2007 Arguments:
2008   sub        points to vector of pointers to set
2009   n          maximum number of substrings
2010   m          minimum required
2011   sptr       points to current string pointer
2012   skipping   the skipping flag
2013   check_end  if TRUE, check for final '}'
2014   name       name of item, for error message
2015   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2016              the store.
2017
2018 Returns:     0 OK; string pointer updated
2019              1 curly bracketing error (too few arguments)
2020              2 too many arguments (only if check_end is set); message set
2021              3 other error (expansion failure)
2022 */
2023
2024 static int
2025 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
2026   BOOL check_end, uschar *name, BOOL *resetok)
2027 {
2028 const uschar *s = *sptr;
2029
2030 while (isspace(*s)) s++;
2031 for (int i = 0; i < n; i++)
2032   {
2033   if (*s != '{')
2034     {
2035     if (i < m)
2036       {
2037       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2038         "(min is %d)", name, m);
2039       return 1;
2040       }
2041     sub[i] = NULL;
2042     break;
2043     }
2044   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2045     return 3;
2046   if (*s++ != '}') return 1;
2047   while (isspace(*s)) s++;
2048   }
2049 if (check_end && *s++ != '}')
2050   {
2051   if (s[-1] == '{')
2052     {
2053     expand_string_message = string_sprintf("Too many arguments for '%s' "
2054       "(max is %d)", name, n);
2055     return 2;
2056     }
2057   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2058   return 1;
2059   }
2060
2061 *sptr = s;
2062 return 0;
2063 }
2064
2065
2066
2067
2068 /*************************************************
2069 *     Elaborate message for bad variable         *
2070 *************************************************/
2071
2072 /* For the "unknown variable" message, take a look at the variable's name, and
2073 give additional information about possible ACL variables. The extra information
2074 is added on to expand_string_message.
2075
2076 Argument:   the name of the variable
2077 Returns:    nothing
2078 */
2079
2080 static void
2081 check_variable_error_message(uschar *name)
2082 {
2083 if (Ustrncmp(name, "acl_", 4) == 0)
2084   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2085     (name[4] == 'c' || name[4] == 'm')?
2086       (isalpha(name[5])?
2087         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2088         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2089       ) :
2090       US"user-defined ACL variables must start acl_c or acl_m");
2091 }
2092
2093
2094
2095 /*
2096 Load args from sub array to globals, and call acl_check().
2097 Sub array will be corrupted on return.
2098
2099 Returns:       OK         access is granted by an ACCEPT verb
2100                DISCARD    access is (apparently) granted by a DISCARD verb
2101                FAIL       access is denied
2102                FAIL_DROP  access is denied; drop the connection
2103                DEFER      can't tell at the moment
2104                ERROR      disaster
2105 */
2106 static int
2107 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2108 {
2109 int i;
2110 int sav_narg = acl_narg;
2111 int ret;
2112 uschar * dummy_logmsg;
2113 extern int acl_where;
2114
2115 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2116 for (i = 0; i < nsub && sub[i+1]; i++)
2117   {
2118   uschar * tmp = acl_arg[i];
2119   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2120   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2121   }
2122 acl_narg = i;
2123 while (i < nsub)
2124   {
2125   sub[i+1] = acl_arg[i];
2126   acl_arg[i++] = NULL;
2127   }
2128
2129 DEBUG(D_expand)
2130   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2131     sub[0],
2132     acl_narg>0 ? acl_arg[0] : US"<none>",
2133     acl_narg>1 ? " +more"   : "");
2134
2135 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2136
2137 for (i = 0; i < nsub; i++)
2138   acl_arg[i] = sub[i+1];        /* restore old args */
2139 acl_narg = sav_narg;
2140
2141 return ret;
2142 }
2143
2144
2145
2146
2147 /*************************************************
2148 *        Read and evaluate a condition           *
2149 *************************************************/
2150
2151 /*
2152 Arguments:
2153   s        points to the start of the condition text
2154   resetok  points to a BOOL which is written false if it is unsafe to
2155            free memory. Certain condition types (acl) may have side-effect
2156            allocation which must be preserved.
2157   yield    points to a BOOL to hold the result of the condition test;
2158            if NULL, we are just reading through a condition that is
2159            part of an "or" combination to check syntax, or in a state
2160            where the answer isn't required
2161
2162 Returns:   a pointer to the first character after the condition, or
2163            NULL after an error
2164 */
2165
2166 static const uschar *
2167 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2168 {
2169 BOOL testfor = TRUE;
2170 BOOL tempcond, combined_cond;
2171 BOOL *subcondptr;
2172 BOOL sub2_honour_dollar = TRUE;
2173 int rc, cond_type, roffset;
2174 int_eximarith_t num[2];
2175 struct stat statbuf;
2176 uschar name[256];
2177 const uschar *sub[10];
2178
2179 const pcre *re;
2180 const uschar *rerror;
2181
2182 for (;;)
2183   {
2184   while (isspace(*s)) s++;
2185   if (*s == '!') { testfor = !testfor; s++; } else break;
2186   }
2187
2188 /* Numeric comparisons are symbolic */
2189
2190 if (*s == '=' || *s == '>' || *s == '<')
2191   {
2192   int p = 0;
2193   name[p++] = *s++;
2194   if (*s == '=')
2195     {
2196     name[p++] = '=';
2197     s++;
2198     }
2199   name[p] = 0;
2200   }
2201
2202 /* All other conditions are named */
2203
2204 else s = read_name(name, 256, s, US"_");
2205
2206 /* If we haven't read a name, it means some non-alpha character is first. */
2207
2208 if (name[0] == 0)
2209   {
2210   expand_string_message = string_sprintf("condition name expected, "
2211     "but found \"%.16s\"", s);
2212   return NULL;
2213   }
2214
2215 /* Find which condition we are dealing with, and switch on it */
2216
2217 cond_type = chop_match(name, cond_table, nelem(cond_table));
2218 switch(cond_type)
2219   {
2220   /* def: tests for a non-empty variable, or for the existence of a header. If
2221   yield == NULL we are in a skipping state, and don't care about the answer. */
2222
2223   case ECOND_DEF:
2224     {
2225     uschar * t;
2226
2227     if (*s != ':')
2228       {
2229       expand_string_message = US"\":\" expected after \"def\"";
2230       return NULL;
2231       }
2232
2233     s = read_name(name, 256, s+1, US"_");
2234
2235     /* Test for a header's existence. If the name contains a closing brace
2236     character, this may be a user error where the terminating colon has been
2237     omitted. Set a flag to adjust a subsequent error message in this case. */
2238
2239     if (  ( *(t = name) == 'h'
2240           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2241           )
2242        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2243        )
2244       {
2245       s = read_header_name(name, 256, s);
2246       /* {-for-text-editors */
2247       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2248       if (yield) *yield =
2249         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2250       }
2251
2252     /* Test for a variable's having a non-empty value. A non-existent variable
2253     causes an expansion failure. */
2254
2255     else
2256       {
2257       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2258         {
2259         expand_string_message = (name[0] == 0)?
2260           string_sprintf("variable name omitted after \"def:\"") :
2261           string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2262         check_variable_error_message(name);
2263         return NULL;
2264         }
2265       if (yield) *yield = (t[0] != 0) == testfor;
2266       }
2267
2268     return s;
2269     }
2270
2271
2272   /* first_delivery tests for first delivery attempt */
2273
2274   case ECOND_FIRST_DELIVERY:
2275   if (yield != NULL) *yield = f.deliver_firsttime == testfor;
2276   return s;
2277
2278
2279   /* queue_running tests for any process started by a queue runner */
2280
2281   case ECOND_QUEUE_RUNNING:
2282   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2283   return s;
2284
2285
2286   /* exists:  tests for file existence
2287        isip:  tests for any IP address
2288       isip4:  tests for an IPv4 address
2289       isip6:  tests for an IPv6 address
2290         pam:  does PAM authentication
2291      radius:  does RADIUS authentication
2292    ldapauth:  does LDAP authentication
2293     pwcheck:  does Cyrus SASL pwcheck authentication
2294   */
2295
2296   case ECOND_EXISTS:
2297   case ECOND_ISIP:
2298   case ECOND_ISIP4:
2299   case ECOND_ISIP6:
2300   case ECOND_PAM:
2301   case ECOND_RADIUS:
2302   case ECOND_LDAPAUTH:
2303   case ECOND_PWCHECK:
2304
2305   while (isspace(*s)) s++;
2306   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2307
2308   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2309   if (sub[0] == NULL) return NULL;
2310   /* {-for-text-editors */
2311   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2312
2313   if (yield == NULL) return s;   /* No need to run the test if skipping */
2314
2315   switch(cond_type)
2316     {
2317     case ECOND_EXISTS:
2318     if ((expand_forbid & RDO_EXISTS) != 0)
2319       {
2320       expand_string_message = US"File existence tests are not permitted";
2321       return NULL;
2322       }
2323     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2324     break;
2325
2326     case ECOND_ISIP:
2327     case ECOND_ISIP4:
2328     case ECOND_ISIP6:
2329     rc = string_is_ip_address(sub[0], NULL);
2330     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2331              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2332     break;
2333
2334     /* Various authentication tests - all optionally compiled */
2335
2336     case ECOND_PAM:
2337     #ifdef SUPPORT_PAM
2338     rc = auth_call_pam(sub[0], &expand_string_message);
2339     goto END_AUTH;
2340     #else
2341     goto COND_FAILED_NOT_COMPILED;
2342     #endif  /* SUPPORT_PAM */
2343
2344     case ECOND_RADIUS:
2345     #ifdef RADIUS_CONFIG_FILE
2346     rc = auth_call_radius(sub[0], &expand_string_message);
2347     goto END_AUTH;
2348     #else
2349     goto COND_FAILED_NOT_COMPILED;
2350     #endif  /* RADIUS_CONFIG_FILE */
2351
2352     case ECOND_LDAPAUTH:
2353     #ifdef LOOKUP_LDAP
2354       {
2355       /* Just to keep the interface the same */
2356       BOOL do_cache;
2357       int old_pool = store_pool;
2358       store_pool = POOL_SEARCH;
2359       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2360         &expand_string_message, &do_cache);
2361       store_pool = old_pool;
2362       }
2363     goto END_AUTH;
2364     #else
2365     goto COND_FAILED_NOT_COMPILED;
2366     #endif  /* LOOKUP_LDAP */
2367
2368     case ECOND_PWCHECK:
2369     #ifdef CYRUS_PWCHECK_SOCKET
2370     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2371     goto END_AUTH;
2372     #else
2373     goto COND_FAILED_NOT_COMPILED;
2374     #endif  /* CYRUS_PWCHECK_SOCKET */
2375
2376     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2377         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2378     END_AUTH:
2379     if (rc == ERROR || rc == DEFER) return NULL;
2380     *yield = (rc == OK) == testfor;
2381     #endif
2382     }
2383   return s;
2384
2385
2386   /* call ACL (in a conditional context).  Accept true, deny false.
2387   Defer is a forced-fail.  Anything set by message= goes to $value.
2388   Up to ten parameters are used; we use the braces round the name+args
2389   like the saslauthd condition does, to permit a variable number of args.
2390   See also the expansion-item version EITEM_ACL and the traditional
2391   acl modifier ACLC_ACL.
2392   Since the ACL may allocate new global variables, tell our caller to not
2393   reclaim memory.
2394   */
2395
2396   case ECOND_ACL:
2397     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2398     {
2399     uschar *sub[10];
2400     uschar *user_msg;
2401     BOOL cond = FALSE;
2402
2403     while (isspace(*s)) s++;
2404     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2405
2406     switch(read_subs(sub, nelem(sub), 1,
2407       &s, yield == NULL, TRUE, US"acl", resetok))
2408       {
2409       case 1: expand_string_message = US"too few arguments or bracketing "
2410         "error for acl";
2411       case 2:
2412       case 3: return NULL;
2413       }
2414
2415     if (yield != NULL)
2416       {
2417       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2418       switch(eval_acl(sub, nelem(sub), &user_msg))
2419         {
2420         case OK:
2421           cond = TRUE;
2422         case FAIL:
2423           lookup_value = NULL;
2424           if (user_msg)
2425             lookup_value = string_copy(user_msg);
2426           *yield = cond == testfor;
2427           break;
2428
2429         case DEFER:
2430           f.expand_string_forcedfail = TRUE;
2431           /*FALLTHROUGH*/
2432         default:
2433           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2434           return NULL;
2435         }
2436       }
2437     return s;
2438     }
2439
2440
2441   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2442
2443      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2444
2445   However, the last two are optional. That is why the whole set is enclosed
2446   in their own set of braces. */
2447
2448   case ECOND_SASLAUTHD:
2449 #ifndef CYRUS_SASLAUTHD_SOCKET
2450     goto COND_FAILED_NOT_COMPILED;
2451 #else
2452     {
2453     uschar *sub[4];
2454     while (isspace(*s)) s++;
2455     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2456     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2457                     resetok))
2458       {
2459       case 1: expand_string_message = US"too few arguments or bracketing "
2460         "error for saslauthd";
2461       case 2:
2462       case 3: return NULL;
2463       }
2464     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2465     if (yield != NULL)
2466       {
2467       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2468         &expand_string_message);
2469       if (rc == ERROR || rc == DEFER) return NULL;
2470       *yield = (rc == OK) == testfor;
2471       }
2472     return s;
2473     }
2474 #endif /* CYRUS_SASLAUTHD_SOCKET */
2475
2476
2477   /* symbolic operators for numeric and string comparison, and a number of
2478   other operators, all requiring two arguments.
2479
2480   crypteq:           encrypts plaintext and compares against an encrypted text,
2481                        using crypt(), crypt16(), MD5 or SHA-1
2482   inlist/inlisti:    checks if first argument is in the list of the second
2483   match:             does a regular expression match and sets up the numerical
2484                        variables if it succeeds
2485   match_address:     matches in an address list
2486   match_domain:      matches in a domain list
2487   match_ip:          matches a host list that is restricted to IP addresses
2488   match_local_part:  matches in a local part list
2489   */
2490
2491   case ECOND_MATCH_ADDRESS:
2492   case ECOND_MATCH_DOMAIN:
2493   case ECOND_MATCH_IP:
2494   case ECOND_MATCH_LOCAL_PART:
2495 #ifndef EXPAND_LISTMATCH_RHS
2496     sub2_honour_dollar = FALSE;
2497 #endif
2498     /* FALLTHROUGH */
2499
2500   case ECOND_CRYPTEQ:
2501   case ECOND_INLIST:
2502   case ECOND_INLISTI:
2503   case ECOND_MATCH:
2504
2505   case ECOND_NUM_L:     /* Numerical comparisons */
2506   case ECOND_NUM_LE:
2507   case ECOND_NUM_E:
2508   case ECOND_NUM_EE:
2509   case ECOND_NUM_G:
2510   case ECOND_NUM_GE:
2511
2512   case ECOND_STR_LT:    /* String comparisons */
2513   case ECOND_STR_LTI:
2514   case ECOND_STR_LE:
2515   case ECOND_STR_LEI:
2516   case ECOND_STR_EQ:
2517   case ECOND_STR_EQI:
2518   case ECOND_STR_GT:
2519   case ECOND_STR_GTI:
2520   case ECOND_STR_GE:
2521   case ECOND_STR_GEI:
2522
2523   for (int i = 0; i < 2; i++)
2524     {
2525     /* Sometimes, we don't expand substrings; too many insecure configurations
2526     created using match_address{}{} and friends, where the second param
2527     includes information from untrustworthy sources. */
2528     BOOL honour_dollar = TRUE;
2529     if ((i > 0) && !sub2_honour_dollar)
2530       honour_dollar = FALSE;
2531
2532     while (isspace(*s)) s++;
2533     if (*s != '{')
2534       {
2535       if (i == 0) goto COND_FAILED_CURLY_START;
2536       expand_string_message = string_sprintf("missing 2nd string in {} "
2537         "after \"%s\"", name);
2538       return NULL;
2539       }
2540     if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2541         honour_dollar, resetok)))
2542       return NULL;
2543     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2544       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2545                         " for security reasons\n");
2546     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2547
2548     /* Convert to numerical if required; we know that the names of all the
2549     conditions that compare numbers do not start with a letter. This just saves
2550     checking for them individually. */
2551
2552     if (!isalpha(name[0]) && yield != NULL)
2553       if (sub[i][0] == 0)
2554         {
2555         num[i] = 0;
2556         DEBUG(D_expand)
2557           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2558         }
2559       else
2560         {
2561         num[i] = expanded_string_integer(sub[i], FALSE);
2562         if (expand_string_message != NULL) return NULL;
2563         }
2564     }
2565
2566   /* Result not required */
2567
2568   if (yield == NULL) return s;
2569
2570   /* Do an appropriate comparison */
2571
2572   switch(cond_type)
2573     {
2574     case ECOND_NUM_E:
2575     case ECOND_NUM_EE:
2576     tempcond = (num[0] == num[1]);
2577     break;
2578
2579     case ECOND_NUM_G:
2580     tempcond = (num[0] > num[1]);
2581     break;
2582
2583     case ECOND_NUM_GE:
2584     tempcond = (num[0] >= num[1]);
2585     break;
2586
2587     case ECOND_NUM_L:
2588     tempcond = (num[0] < num[1]);
2589     break;
2590
2591     case ECOND_NUM_LE:
2592     tempcond = (num[0] <= num[1]);
2593     break;
2594
2595     case ECOND_STR_LT:
2596     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2597     break;
2598
2599     case ECOND_STR_LTI:
2600     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2601     break;
2602
2603     case ECOND_STR_LE:
2604     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2605     break;
2606
2607     case ECOND_STR_LEI:
2608     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2609     break;
2610
2611     case ECOND_STR_EQ:
2612     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2613     break;
2614
2615     case ECOND_STR_EQI:
2616     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2617     break;
2618
2619     case ECOND_STR_GT:
2620     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2621     break;
2622
2623     case ECOND_STR_GTI:
2624     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2625     break;
2626
2627     case ECOND_STR_GE:
2628     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2629     break;
2630
2631     case ECOND_STR_GEI:
2632     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2633     break;
2634
2635     case ECOND_MATCH:   /* Regular expression match */
2636     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2637       NULL);
2638     if (re == NULL)
2639       {
2640       expand_string_message = string_sprintf("regular expression error in "
2641         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2642       return NULL;
2643       }
2644     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2645     break;
2646
2647     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2648     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2649     goto MATCHED_SOMETHING;
2650
2651     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2652     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2653       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2654     goto MATCHED_SOMETHING;
2655
2656     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2657     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2658       {
2659       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2660         sub[0]);
2661       return NULL;
2662       }
2663     else
2664       {
2665       unsigned int *nullcache = NULL;
2666       check_host_block cb;
2667
2668       cb.host_name = US"";
2669       cb.host_address = sub[0];
2670
2671       /* If the host address starts off ::ffff: it is an IPv6 address in
2672       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2673       addresses. */
2674
2675       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2676         cb.host_address + 7 : cb.host_address;
2677
2678       rc = match_check_list(
2679              &sub[1],                   /* the list */
2680              0,                         /* separator character */
2681              &hostlist_anchor,          /* anchor pointer */
2682              &nullcache,                /* cache pointer */
2683              check_host,                /* function for testing */
2684              &cb,                       /* argument for function */
2685              MCL_HOST,                  /* type of check */
2686              sub[0],                    /* text for debugging */
2687              NULL);                     /* where to pass back data */
2688       }
2689     goto MATCHED_SOMETHING;
2690
2691     case ECOND_MATCH_LOCAL_PART:
2692     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2693       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2694     /* Fall through */
2695     /* VVVVVVVVVVVV */
2696     MATCHED_SOMETHING:
2697     switch(rc)
2698       {
2699       case OK:
2700       tempcond = TRUE;
2701       break;
2702
2703       case FAIL:
2704       tempcond = FALSE;
2705       break;
2706
2707       case DEFER:
2708       expand_string_message = string_sprintf("unable to complete match "
2709         "against \"%s\": %s", sub[1], search_error_message);
2710       return NULL;
2711       }
2712
2713     break;
2714
2715     /* Various "encrypted" comparisons. If the second string starts with
2716     "{" then an encryption type is given. Default to crypt() or crypt16()
2717     (build-time choice). */
2718     /* }-for-text-editors */
2719
2720     case ECOND_CRYPTEQ:
2721     #ifndef SUPPORT_CRYPTEQ
2722     goto COND_FAILED_NOT_COMPILED;
2723     #else
2724     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2725       {
2726       int sublen = Ustrlen(sub[1]+5);
2727       md5 base;
2728       uschar digest[16];
2729
2730       md5_start(&base);
2731       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2732
2733       /* If the length that we are comparing against is 24, the MD5 digest
2734       is expressed as a base64 string. This is the way LDAP does it. However,
2735       some other software uses a straightforward hex representation. We assume
2736       this if the length is 32. Other lengths fail. */
2737
2738       if (sublen == 24)
2739         {
2740         uschar *coded = b64encode(CUS digest, 16);
2741         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2742           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2743         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2744         }
2745       else if (sublen == 32)
2746         {
2747         uschar coded[36];
2748         for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2749         coded[32] = 0;
2750         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2751           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2752         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2753         }
2754       else
2755         {
2756         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2757           "fail\n  crypted=%s\n", sub[1]+5);
2758         tempcond = FALSE;
2759         }
2760       }
2761
2762     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2763       {
2764       int sublen = Ustrlen(sub[1]+6);
2765       hctx h;
2766       uschar digest[20];
2767
2768       sha1_start(&h);
2769       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
2770
2771       /* If the length that we are comparing against is 28, assume the SHA1
2772       digest is expressed as a base64 string. If the length is 40, assume a
2773       straightforward hex representation. Other lengths fail. */
2774
2775       if (sublen == 28)
2776         {
2777         uschar *coded = b64encode(CUS digest, 20);
2778         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2779           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2780         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2781         }
2782       else if (sublen == 40)
2783         {
2784         uschar coded[44];
2785         for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2786         coded[40] = 0;
2787         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2788           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2789         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2790         }
2791       else
2792         {
2793         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2794           "fail\n  crypted=%s\n", sub[1]+6);
2795         tempcond = FALSE;
2796         }
2797       }
2798
2799     else   /* {crypt} or {crypt16} and non-{ at start */
2800            /* }-for-text-editors */
2801       {
2802       int which = 0;
2803       uschar *coded;
2804
2805       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2806         {
2807         sub[1] += 7;
2808         which = 1;
2809         }
2810       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2811         {
2812         sub[1] += 9;
2813         which = 2;
2814         }
2815       else if (sub[1][0] == '{')                /* }-for-text-editors */
2816         {
2817         expand_string_message = string_sprintf("unknown encryption mechanism "
2818           "in \"%s\"", sub[1]);
2819         return NULL;
2820         }
2821
2822       switch(which)
2823         {
2824         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2825         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2826         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2827         }
2828
2829       #define STR(s) # s
2830       #define XSTR(s) STR(s)
2831       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2832         "  subject=%s\n  crypted=%s\n",
2833         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2834         coded, sub[1]);
2835       #undef STR
2836       #undef XSTR
2837
2838       /* If the encrypted string contains fewer than two characters (for the
2839       salt), force failure. Otherwise we get false positives: with an empty
2840       string the yield of crypt() is an empty string! */
2841
2842       if (coded)
2843         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2844       else if (errno == EINVAL)
2845         tempcond = FALSE;
2846       else
2847         {
2848         expand_string_message = string_sprintf("crypt error: %s\n",
2849           US strerror(errno));
2850         return NULL;
2851         }
2852       }
2853     break;
2854     #endif  /* SUPPORT_CRYPTEQ */
2855
2856     case ECOND_INLIST:
2857     case ECOND_INLISTI:
2858       {
2859       const uschar * list = sub[1];
2860       int sep = 0;
2861       uschar *save_iterate_item = iterate_item;
2862       int (*compare)(const uschar *, const uschar *);
2863
2864       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", name, sub[0]);
2865
2866       tempcond = FALSE;
2867       compare = cond_type == ECOND_INLISTI
2868         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2869
2870       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2871         {
2872         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
2873         if (compare(sub[0], iterate_item) == 0)
2874           {
2875           tempcond = TRUE;
2876           break;
2877           }
2878         }
2879       iterate_item = save_iterate_item;
2880       }
2881
2882     }   /* Switch for comparison conditions */
2883
2884   *yield = tempcond == testfor;
2885   return s;    /* End of comparison conditions */
2886
2887
2888   /* and/or: computes logical and/or of several conditions */
2889
2890   case ECOND_AND:
2891   case ECOND_OR:
2892   subcondptr = (yield == NULL)? NULL : &tempcond;
2893   combined_cond = (cond_type == ECOND_AND);
2894
2895   while (isspace(*s)) s++;
2896   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2897
2898   for (;;)
2899     {
2900     while (isspace(*s)) s++;
2901     /* {-for-text-editors */
2902     if (*s == '}') break;
2903     if (*s != '{')                                      /* }-for-text-editors */
2904       {
2905       expand_string_message = string_sprintf("each subcondition "
2906         "inside an \"%s{...}\" condition must be in its own {}", name);
2907       return NULL;
2908       }
2909
2910     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2911       {
2912       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2913         expand_string_message, name);
2914       return NULL;
2915       }
2916     while (isspace(*s)) s++;
2917
2918     /* {-for-text-editors */
2919     if (*s++ != '}')
2920       {
2921       /* {-for-text-editors */
2922       expand_string_message = string_sprintf("missing } at end of condition "
2923         "inside \"%s\" group", name);
2924       return NULL;
2925       }
2926
2927     if (yield != NULL)
2928       {
2929       if (cond_type == ECOND_AND)
2930         {
2931         combined_cond &= tempcond;
2932         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2933         }                                       /* evaluate any more */
2934       else
2935         {
2936         combined_cond |= tempcond;
2937         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2938         }                                       /* evaluate any more */
2939       }
2940     }
2941
2942   if (yield != NULL) *yield = (combined_cond == testfor);
2943   return ++s;
2944
2945
2946   /* forall/forany: iterates a condition with different values */
2947
2948   case ECOND_FORALL:
2949   case ECOND_FORANY:
2950     {
2951     const uschar * list;
2952     int sep = 0;
2953     uschar *save_iterate_item = iterate_item;
2954
2955     DEBUG(D_expand) debug_printf_indent("condition: %s\n", name);
2956
2957     while (isspace(*s)) s++;
2958     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2959     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2960     if (sub[0] == NULL) return NULL;
2961     /* {-for-text-editors */
2962     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2963
2964     while (isspace(*s)) s++;
2965     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2966
2967     sub[1] = s;
2968
2969     /* Call eval_condition once, with result discarded (as if scanning a
2970     "false" part). This allows us to find the end of the condition, because if
2971     the list it empty, we won't actually evaluate the condition for real. */
2972
2973     if (!(s = eval_condition(sub[1], resetok, NULL)))
2974       {
2975       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2976         expand_string_message, name);
2977       return NULL;
2978       }
2979     while (isspace(*s)) s++;
2980
2981     /* {-for-text-editors */
2982     if (*s++ != '}')
2983       {
2984       /* {-for-text-editors */
2985       expand_string_message = string_sprintf("missing } at end of condition "
2986         "inside \"%s\"", name);
2987       return NULL;
2988       }
2989
2990     if (yield != NULL) *yield = !testfor;
2991     list = sub[0];
2992     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2993       {
2994       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, iterate_item);
2995       if (!eval_condition(sub[1], resetok, &tempcond))
2996         {
2997         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2998           expand_string_message, name);
2999         iterate_item = save_iterate_item;
3000         return NULL;
3001         }
3002       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", name,
3003         tempcond? "true":"false");
3004
3005       if (yield != NULL) *yield = (tempcond == testfor);
3006       if (tempcond == (cond_type == ECOND_FORANY)) break;
3007       }
3008
3009     iterate_item = save_iterate_item;
3010     return s;
3011     }
3012
3013
3014   /* The bool{} expansion condition maps a string to boolean.
3015   The values supported should match those supported by the ACL condition
3016   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3017   of true/false.  Note that Router "condition" rules have a different
3018   interpretation, where general data can be used and only a few values
3019   map to FALSE.
3020   Note that readconf.c boolean matching, for boolean configuration options,
3021   only matches true/yes/false/no.
3022   The bool_lax{} condition matches the Router logic, which is much more
3023   liberal. */
3024   case ECOND_BOOL:
3025   case ECOND_BOOL_LAX:
3026     {
3027     uschar *sub_arg[1];
3028     uschar *t, *t2;
3029     uschar *ourname;
3030     size_t len;
3031     BOOL boolvalue = FALSE;
3032     while (isspace(*s)) s++;
3033     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3034     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3035     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3036       {
3037       case 1: expand_string_message = string_sprintf(
3038                   "too few arguments or bracketing error for %s",
3039                   ourname);
3040       /*FALLTHROUGH*/
3041       case 2:
3042       case 3: return NULL;
3043       }
3044     t = sub_arg[0];
3045     while (isspace(*t)) t++;
3046     len = Ustrlen(t);
3047     if (len)
3048       {
3049       /* trailing whitespace: seems like a good idea to ignore it too */
3050       t2 = t + len - 1;
3051       while (isspace(*t2)) t2--;
3052       if (t2 != (t + len))
3053         {
3054         *++t2 = '\0';
3055         len = t2 - t;
3056         }
3057       }
3058     DEBUG(D_expand)
3059       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3060     /* logic for the lax case from expand_check_condition(), which also does
3061     expands, and the logic is both short and stable enough that there should
3062     be no maintenance burden from replicating it. */
3063     if (len == 0)
3064       boolvalue = FALSE;
3065     else if (*t == '-'
3066              ? Ustrspn(t+1, "0123456789") == len-1
3067              : Ustrspn(t,   "0123456789") == len)
3068       {
3069       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3070       /* expand_check_condition only does a literal string "0" check */
3071       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3072         boolvalue = TRUE;
3073       }
3074     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3075       boolvalue = TRUE;
3076     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3077       boolvalue = FALSE;
3078     else if (cond_type == ECOND_BOOL_LAX)
3079       boolvalue = TRUE;
3080     else
3081       {
3082       expand_string_message = string_sprintf("unrecognised boolean "
3083        "value \"%s\"", t);
3084       return NULL;
3085       }
3086     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3087         boolvalue? "true":"false");
3088     if (yield != NULL) *yield = (boolvalue == testfor);
3089     return s;
3090     }
3091
3092   /* Unknown condition */
3093
3094   default:
3095   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3096   return NULL;
3097   }   /* End switch on condition type */
3098
3099 /* Missing braces at start and end of data */
3100
3101 COND_FAILED_CURLY_START:
3102 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3103 return NULL;
3104
3105 COND_FAILED_CURLY_END:
3106 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3107   name);
3108 return NULL;
3109
3110 /* A condition requires code that is not compiled */
3111
3112 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3113     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3114     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3115 COND_FAILED_NOT_COMPILED:
3116 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3117   name);
3118 return NULL;
3119 #endif
3120 }
3121
3122
3123
3124
3125 /*************************************************
3126 *          Save numerical variables              *
3127 *************************************************/
3128
3129 /* This function is called from items such as "if" that want to preserve and
3130 restore the numbered variables.
3131
3132 Arguments:
3133   save_expand_string    points to an array of pointers to set
3134   save_expand_nlength   points to an array of ints for the lengths
3135
3136 Returns:                the value of expand max to save
3137 */
3138
3139 static int
3140 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3141 {
3142 for (int i = 0; i <= expand_nmax; i++)
3143   {
3144   save_expand_nstring[i] = expand_nstring[i];
3145   save_expand_nlength[i] = expand_nlength[i];
3146   }
3147 return expand_nmax;
3148 }
3149
3150
3151
3152 /*************************************************
3153 *           Restore numerical variables          *
3154 *************************************************/
3155
3156 /* This function restored saved values of numerical strings.
3157
3158 Arguments:
3159   save_expand_nmax      the number of strings to restore
3160   save_expand_string    points to an array of pointers
3161   save_expand_nlength   points to an array of ints
3162
3163 Returns:                nothing
3164 */
3165
3166 static void
3167 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3168   int *save_expand_nlength)
3169 {
3170 expand_nmax = save_expand_nmax;
3171 for (int i = 0; i <= expand_nmax; i++)
3172   {
3173   expand_nstring[i] = save_expand_nstring[i];
3174   expand_nlength[i] = save_expand_nlength[i];
3175   }
3176 }
3177
3178
3179
3180
3181
3182 /*************************************************
3183 *            Handle yes/no substrings            *
3184 *************************************************/
3185
3186 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3187 alternative substrings that depend on whether or not the condition was true,
3188 or the lookup or extraction succeeded. The substrings always have to be
3189 expanded, to check their syntax, but "skipping" is set when the result is not
3190 needed - this avoids unnecessary nested lookups.
3191
3192 Arguments:
3193   skipping       TRUE if we were skipping when this item was reached
3194   yes            TRUE if the first string is to be used, else use the second
3195   save_lookup    a value to put back into lookup_value before the 2nd expansion
3196   sptr           points to the input string pointer
3197   yieldptr       points to the output growable-string pointer
3198   type           "lookup", "if", "extract", "run", "env", "listextract" or
3199                  "certextract" for error message
3200   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3201                 the store.
3202
3203 Returns:         0 OK; lookup_value has been reset to save_lookup
3204                  1 expansion failed
3205                  2 expansion failed because of bracketing error
3206 */
3207
3208 static int
3209 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3210   gstring ** yieldptr, uschar *type, BOOL *resetok)
3211 {
3212 int rc = 0;
3213 const uschar *s = *sptr;    /* Local value */
3214 uschar *sub1, *sub2;
3215 const uschar * errwhere;
3216
3217 /* If there are no following strings, we substitute the contents of $value for
3218 lookups and for extractions in the success case. For the ${if item, the string
3219 "true" is substituted. In the fail case, nothing is substituted for all three
3220 items. */
3221
3222 while (isspace(*s)) s++;
3223 if (*s == '}')
3224   {
3225   if (type[0] == 'i')
3226     {
3227     if (yes && !skipping)
3228       *yieldptr = string_catn(*yieldptr, US"true", 4);
3229     }
3230   else
3231     {
3232     if (yes && lookup_value && !skipping)
3233       *yieldptr = string_cat(*yieldptr, lookup_value);
3234     lookup_value = save_lookup;
3235     }
3236   s++;
3237   goto RETURN;
3238   }
3239
3240 /* The first following string must be braced. */
3241
3242 if (*s++ != '{')
3243   {
3244   errwhere = US"'yes' part did not start with '{'";
3245   goto FAILED_CURLY;
3246   }
3247
3248 /* Expand the first substring. Forced failures are noticed only if we actually
3249 want this string. Set skipping in the call in the fail case (this will always
3250 be the case if we were already skipping). */
3251
3252 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3253 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3254 f.expand_string_forcedfail = FALSE;
3255 if (*s++ != '}')
3256   {
3257   errwhere = US"'yes' part did not end with '}'";
3258   goto FAILED_CURLY;
3259   }
3260
3261 /* If we want the first string, add it to the output */
3262
3263 if (yes)
3264   *yieldptr = string_cat(*yieldptr, sub1);
3265
3266 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3267 $value to what it was at the start of the item, so that it has this value
3268 during the second string expansion. For the call from "if" or "run" to this
3269 function, save_lookup is set to lookup_value, so that this statement does
3270 nothing. */
3271
3272 lookup_value = save_lookup;
3273
3274 /* There now follows either another substring, or "fail", or nothing. This
3275 time, forced failures are noticed only if we want the second string. We must
3276 set skipping in the nested call if we don't want this string, or if we were
3277 already skipping. */
3278
3279 while (isspace(*s)) s++;
3280 if (*s == '{')
3281   {
3282   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3283   if (sub2 == NULL && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3284   f.expand_string_forcedfail = FALSE;
3285   if (*s++ != '}')
3286     {
3287     errwhere = US"'no' part did not start with '{'";
3288     goto FAILED_CURLY;
3289     }
3290
3291   /* If we want the second string, add it to the output */
3292
3293   if (!yes)
3294     *yieldptr = string_cat(*yieldptr, sub2);
3295   }
3296
3297 /* If there is no second string, but the word "fail" is present when the use of
3298 the second string is wanted, set a flag indicating it was a forced failure
3299 rather than a syntactic error. Swallow the terminating } in case this is nested
3300 inside another lookup or if or extract. */
3301
3302 else if (*s != '}')
3303   {
3304   uschar name[256];
3305   /* deconst cast ok here as source is s anyway */
3306   s = US read_name(name, sizeof(name), s, US"_");
3307   if (Ustrcmp(name, "fail") == 0)
3308     {
3309     if (!yes && !skipping)
3310       {
3311       while (isspace(*s)) s++;
3312       if (*s++ != '}')
3313         {
3314         errwhere = US"did not close with '}' after forcedfail";
3315         goto FAILED_CURLY;
3316         }
3317       expand_string_message =
3318         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3319       f.expand_string_forcedfail = TRUE;
3320       goto FAILED;
3321       }
3322     }
3323   else
3324     {
3325     expand_string_message =
3326       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3327     goto FAILED;
3328     }
3329   }
3330
3331 /* All we have to do now is to check on the final closing brace. */
3332
3333 while (isspace(*s)) s++;
3334 if (*s++ != '}')
3335   {
3336   errwhere = US"did not close with '}'";
3337   goto FAILED_CURLY;
3338   }
3339
3340
3341 RETURN:
3342 /* Update the input pointer value before returning */
3343 *sptr = s;
3344 return rc;
3345
3346 FAILED_CURLY:
3347   /* Get here if there is a bracketing failure */
3348   expand_string_message = string_sprintf(
3349     "curly-bracket problem in conditional yes/no parsing: %s\n"
3350     " remaining string is '%s'", errwhere, --s);
3351   rc = 2;
3352   goto RETURN;
3353
3354 FAILED:
3355   /* Get here for other failures */
3356   rc = 1;
3357   goto RETURN;
3358 }
3359
3360
3361
3362
3363 /*************************************************
3364 *    Handle MD5 or SHA-1 computation for HMAC    *
3365 *************************************************/
3366
3367 /* These are some wrapping functions that enable the HMAC code to be a bit
3368 cleaner. A good compiler will spot the tail recursion.
3369
3370 Arguments:
3371   type         HMAC_MD5 or HMAC_SHA1
3372   remaining    are as for the cryptographic hash functions
3373
3374 Returns:       nothing
3375 */
3376
3377 static void
3378 chash_start(int type, void *base)
3379 {
3380 if (type == HMAC_MD5)
3381   md5_start((md5 *)base);
3382 else
3383   sha1_start((hctx *)base);
3384 }
3385
3386 static void
3387 chash_mid(int type, void *base, uschar *string)
3388 {
3389 if (type == HMAC_MD5)
3390   md5_mid((md5 *)base, string);
3391 else
3392   sha1_mid((hctx *)base, string);
3393 }
3394
3395 static void
3396 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3397 {
3398 if (type == HMAC_MD5)
3399   md5_end((md5 *)base, string, length, digest);
3400 else
3401   sha1_end((hctx *)base, string, length, digest);
3402 }
3403
3404
3405
3406
3407
3408 /********************************************************
3409 * prvs: Get last three digits of days since Jan 1, 1970 *
3410 ********************************************************/
3411
3412 /* This is needed to implement the "prvs" BATV reverse
3413    path signing scheme
3414
3415 Argument: integer "days" offset to add or substract to
3416           or from the current number of days.
3417
3418 Returns:  pointer to string containing the last three
3419           digits of the number of days since Jan 1, 1970,
3420           modified by the offset argument, NULL if there
3421           was an error in the conversion.
3422
3423 */
3424
3425 static uschar *
3426 prvs_daystamp(int day_offset)
3427 {
3428 uschar *days = store_get(32);                /* Need at least 24 for cases */
3429 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3430   (time(NULL) + day_offset*86400)/86400);
3431 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3432 }
3433
3434
3435
3436 /********************************************************
3437 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3438 ********************************************************/
3439
3440 /* This is needed to implement the "prvs" BATV reverse
3441    path signing scheme
3442
3443 Arguments:
3444   address RFC2821 Address to use
3445       key The key to use (must be less than 64 characters
3446           in size)
3447   key_num Single-digit key number to use. Defaults to
3448           '0' when NULL.
3449
3450 Returns:  pointer to string containing the first three
3451           bytes of the final hash in hex format, NULL if
3452           there was an error in the process.
3453 */
3454
3455 static uschar *
3456 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3457 {
3458 gstring * hash_source;
3459 uschar * p;
3460 hctx h;
3461 uschar innerhash[20];
3462 uschar finalhash[20];
3463 uschar innerkey[64];
3464 uschar outerkey[64];
3465 uschar *finalhash_hex = store_get(40);
3466
3467 if (key_num == NULL)
3468   key_num = US"0";
3469
3470 if (Ustrlen(key) > 64)
3471   return NULL;
3472
3473 hash_source = string_catn(NULL, key_num, 1);
3474 hash_source = string_catn(hash_source, daystamp, 3);
3475 hash_source = string_cat(hash_source, address);
3476 (void) string_from_gstring(hash_source);
3477
3478 DEBUG(D_expand)
3479   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3480
3481 memset(innerkey, 0x36, 64);
3482 memset(outerkey, 0x5c, 64);
3483
3484 for (int i = 0; i < Ustrlen(key); i++)
3485   {
3486   innerkey[i] ^= key[i];
3487   outerkey[i] ^= key[i];
3488   }
3489
3490 chash_start(HMAC_SHA1, &h);
3491 chash_mid(HMAC_SHA1, &h, innerkey);
3492 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3493
3494 chash_start(HMAC_SHA1, &h);
3495 chash_mid(HMAC_SHA1, &h, outerkey);
3496 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3497
3498 p = finalhash_hex;
3499 for (int i = 0; i < 3; i++)
3500   {
3501   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3502   *p++ = hex_digits[finalhash[i] & 0x0f];
3503   }
3504 *p = '\0';
3505
3506 return finalhash_hex;
3507 }
3508
3509
3510
3511
3512 /*************************************************
3513 *        Join a file onto the output string      *
3514 *************************************************/
3515
3516 /* This is used for readfile/readsock and after a run expansion.
3517 It joins the contents of a file onto the output string, globally replacing
3518 newlines with a given string (optionally).
3519
3520 Arguments:
3521   f            the FILE
3522   yield        pointer to the expandable string struct
3523   eol          newline replacement string, or NULL
3524
3525 Returns:       new pointer for expandable string, terminated if non-null
3526 */
3527
3528 static gstring *
3529 cat_file(FILE *f, gstring *yield, uschar *eol)
3530 {
3531 uschar buffer[1024];
3532
3533 while (Ufgets(buffer, sizeof(buffer), f))
3534   {
3535   int len = Ustrlen(buffer);
3536   if (eol && buffer[len-1] == '\n') len--;
3537   yield = string_catn(yield, buffer, len);
3538   if (eol && buffer[len])
3539     yield = string_cat(yield, eol);
3540   }
3541
3542 (void) string_from_gstring(yield);
3543 return yield;
3544 }
3545
3546
3547 #ifdef SUPPORT_TLS
3548 static gstring *
3549 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
3550 {
3551 int rc;
3552 uschar buffer[1024];
3553
3554 /*XXX could we read direct into a pre-grown string? */
3555
3556 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
3557   for (uschar * s = buffer; rc--; s++)
3558     yield = eol && *s == '\n'
3559       ? string_cat(yield, eol) : string_catn(yield, s, 1);
3560
3561 /* We assume that all errors, and any returns of zero bytes,
3562 are actually EOF. */
3563
3564 (void) string_from_gstring(yield);
3565 return yield;
3566 }
3567 #endif
3568
3569
3570 /*************************************************
3571 *          Evaluate numeric expression           *
3572 *************************************************/
3573
3574 /* This is a set of mutually recursive functions that evaluate an arithmetic
3575 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3576 these functions that is called from elsewhere is eval_expr, whose interface is:
3577
3578 Arguments:
3579   sptr        pointer to the pointer to the string - gets updated
3580   decimal     TRUE if numbers are to be assumed decimal
3581   error       pointer to where to put an error message - must be NULL on input
3582   endket      TRUE if ')' must terminate - FALSE for external call
3583
3584 Returns:      on success: the value of the expression, with *error still NULL
3585               on failure: an undefined value, with *error = a message
3586 */
3587
3588 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3589
3590
3591 static int_eximarith_t
3592 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3593 {
3594 uschar *s = *sptr;
3595 int_eximarith_t x = eval_op_or(&s, decimal, error);
3596 if (*error == NULL)
3597   {
3598   if (endket)
3599     {
3600     if (*s != ')')
3601       *error = US"expecting closing parenthesis";
3602     else
3603       while (isspace(*(++s)));
3604     }
3605   else if (*s != 0) *error = US"expecting operator";
3606   }
3607 *sptr = s;
3608 return x;
3609 }
3610
3611
3612 static int_eximarith_t
3613 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3614 {
3615 register int c;
3616 int_eximarith_t n;
3617 uschar *s = *sptr;
3618 while (isspace(*s)) s++;
3619 c = *s;
3620 if (isdigit(c))
3621   {
3622   int count;
3623   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3624   s += count;
3625   switch (tolower(*s))
3626     {
3627     default: break;
3628     case 'k': n *= 1024; s++; break;
3629     case 'm': n *= 1024*1024; s++; break;
3630     case 'g': n *= 1024*1024*1024; s++; break;
3631     }
3632   while (isspace (*s)) s++;
3633   }
3634 else if (c == '(')
3635   {
3636   s++;
3637   n = eval_expr(&s, decimal, error, 1);
3638   }
3639 else
3640   {
3641   *error = US"expecting number or opening parenthesis";
3642   n = 0;
3643   }
3644 *sptr = s;
3645 return n;
3646 }
3647
3648
3649 static int_eximarith_t
3650 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3651 {
3652 uschar *s = *sptr;
3653 int_eximarith_t x;
3654 while (isspace(*s)) s++;
3655 if (*s == '+' || *s == '-' || *s == '~')
3656   {
3657   int op = *s++;
3658   x = eval_op_unary(&s, decimal, error);
3659   if (op == '-') x = -x;
3660     else if (op == '~') x = ~x;
3661   }
3662 else
3663   {
3664   x = eval_number(&s, decimal, error);
3665   }
3666 *sptr = s;
3667 return x;
3668 }
3669
3670
3671 static int_eximarith_t
3672 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3673 {
3674 uschar *s = *sptr;
3675 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3676 if (*error == NULL)
3677   {
3678   while (*s == '*' || *s == '/' || *s == '%')
3679     {
3680     int op = *s++;
3681     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3682     if (*error != NULL) break;
3683     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3684      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3685      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3686      * -N*M is INT_MIN will yield INT_MIN.
3687      * Since we don't support floating point, this is somewhat simpler.
3688      * Ideally, we'd return an error, but since we overflow for all other
3689      * arithmetic, consistency suggests otherwise, but what's the correct value
3690      * to use?  There is none.
3691      * The C standard guarantees overflow for unsigned arithmetic but signed
3692      * overflow invokes undefined behaviour; in practice, this is overflow
3693      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3694      * that long/longlong larger than int are available, or we could just work
3695      * with larger types.  We should consider whether to guarantee 32bit eval
3696      * and 64-bit working variables, with errors returned.  For now ...
3697      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3698      * can just let the other invalid results occur otherwise, as they have
3699      * until now.  For this one case, we can coerce.
3700      */
3701     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3702       {
3703       DEBUG(D_expand)
3704         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3705             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3706       x = EXIM_ARITH_MAX;
3707       continue;
3708       }
3709     if (op == '*')
3710       x *= y;
3711     else
3712       {
3713       if (y == 0)
3714         {
3715         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3716         x = 0;
3717         break;
3718         }
3719       if (op == '/')
3720         x /= y;
3721       else
3722         x %= y;
3723       }
3724     }
3725   }
3726 *sptr = s;
3727 return x;
3728 }
3729
3730
3731 static int_eximarith_t
3732 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3733 {
3734 uschar *s = *sptr;
3735 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3736 if (!*error)
3737   {
3738   while (*s == '+' || *s == '-')
3739     {
3740     int op = *s++;
3741     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3742     if (*error) break;
3743     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3744        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3745       {                 /* over-conservative check */
3746       *error = op == '+'
3747         ? US"overflow in sum" : US"overflow in difference";
3748       break;
3749       }
3750     if (op == '+') x += y; else x -= y;
3751     }
3752   }
3753 *sptr = s;
3754 return x;
3755 }
3756
3757
3758 static int_eximarith_t
3759 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3760 {
3761 uschar *s = *sptr;
3762 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3763 if (*error == NULL)
3764   {
3765   while ((*s == '<' || *s == '>') && s[1] == s[0])
3766     {
3767     int_eximarith_t y;
3768     int op = *s++;
3769     s++;
3770     y = eval_op_sum(&s, decimal, error);
3771     if (*error != NULL) break;
3772     if (op == '<') x <<= y; else x >>= y;
3773     }
3774   }
3775 *sptr = s;
3776 return x;
3777 }
3778
3779
3780 static int_eximarith_t
3781 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3782 {
3783 uschar *s = *sptr;
3784 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3785 if (*error == NULL)
3786   {
3787   while (*s == '&')
3788     {
3789     int_eximarith_t y;
3790     s++;
3791     y = eval_op_shift(&s, decimal, error);
3792     if (*error != NULL) break;
3793     x &= y;
3794     }
3795   }
3796 *sptr = s;
3797 return x;
3798 }
3799
3800
3801 static int_eximarith_t
3802 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3803 {
3804 uschar *s = *sptr;
3805 int_eximarith_t x = eval_op_and(&s, decimal, error);
3806 if (*error == NULL)
3807   {
3808   while (*s == '^')
3809     {
3810     int_eximarith_t y;
3811     s++;
3812     y = eval_op_and(&s, decimal, error);
3813     if (*error != NULL) break;
3814     x ^= y;
3815     }
3816   }
3817 *sptr = s;
3818 return x;
3819 }
3820
3821
3822 static int_eximarith_t
3823 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3824 {
3825 uschar *s = *sptr;
3826 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3827 if (*error == NULL)
3828   {
3829   while (*s == '|')
3830     {
3831     int_eximarith_t y;
3832     s++;
3833     y = eval_op_xor(&s, decimal, error);
3834     if (*error != NULL) break;
3835     x |= y;
3836     }
3837   }
3838 *sptr = s;
3839 return x;
3840 }
3841
3842
3843
3844 /* Return pointer to dewrapped string, with enclosing specified chars removed.
3845 The given string is modified on return.  Leading whitespace is skipped while
3846 looking for the opening wrap character, then the rest is scanned for the trailing
3847 (non-escaped) wrap character.  A backslash in the string will act as an escape.
3848
3849 A nul is written over the trailing wrap, and a pointer to the char after the
3850 leading wrap is returned.
3851
3852 Arguments:
3853   s     String for de-wrapping
3854   wrap  Two-char string, the first being the opener, second the closer wrapping
3855         character
3856 Return:
3857   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
3858 */
3859
3860 static uschar *
3861 dewrap(uschar * s, const uschar * wrap)
3862 {
3863 uschar * p = s;
3864 unsigned depth = 0;
3865 BOOL quotesmode = wrap[0] == wrap[1];
3866
3867 while (isspace(*p)) p++;
3868
3869 if (*p == *wrap)
3870   {
3871   s = ++p;
3872   wrap++;
3873   while (*p)
3874     {
3875     if (*p == '\\') p++;
3876     else if (!quotesmode && *p == wrap[-1]) depth++;
3877     else if (*p == *wrap)
3878       if (depth == 0)
3879         {
3880         *p = '\0';
3881         return s;
3882         }
3883       else
3884         depth--;
3885     p++;
3886     }
3887   }
3888 expand_string_message = string_sprintf("missing '%c'", *wrap);
3889 return NULL;
3890 }
3891
3892
3893 /* Pull off the leading array or object element, returning
3894 a copy in an allocated string.  Update the list pointer.
3895
3896 The element may itself be an abject or array.
3897 Return NULL when the list is empty.
3898 */
3899
3900 uschar *
3901 json_nextinlist(const uschar ** list)
3902 {
3903 unsigned array_depth = 0, object_depth = 0;
3904 const uschar * s = *list, * item;
3905
3906 while (isspace(*s)) s++;
3907
3908 for (item = s;
3909      *s && (*s != ',' || array_depth != 0 || object_depth != 0);
3910      s++)
3911   switch (*s)
3912     {
3913     case '[': array_depth++; break;
3914     case ']': array_depth--; break;
3915     case '{': object_depth++; break;
3916     case '}': object_depth--; break;
3917     }
3918 *list = *s ? s+1 : s;
3919 if (item == s) return NULL;
3920 item = string_copyn(item, s - item);
3921 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
3922 return US item;
3923 }
3924
3925
3926
3927 /*************************************************
3928 *                 Expand string                  *
3929 *************************************************/
3930
3931 /* Returns either an unchanged string, or the expanded string in stacking pool
3932 store. Interpreted sequences are:
3933
3934    \...                    normal escaping rules
3935    $name                   substitutes the variable
3936    ${name}                 ditto
3937    ${op:string}            operates on the expanded string value
3938    ${item{arg1}{arg2}...}  expands the args and then does the business
3939                              some literal args are not enclosed in {}
3940
3941 There are now far too many operators and item types to make it worth listing
3942 them here in detail any more.
3943
3944 We use an internal routine recursively to handle embedded substrings. The
3945 external function follows. The yield is NULL if the expansion failed, and there
3946 are two cases: if something collapsed syntactically, or if "fail" was given
3947 as the action on a lookup failure. These can be distinguished by looking at the
3948 variable expand_string_forcedfail, which is TRUE in the latter case.
3949
3950 The skipping flag is set true when expanding a substring that isn't actually
3951 going to be used (after "if" or "lookup") and it prevents lookups from
3952 happening lower down.
3953
3954 Store usage: At start, a store block of the length of the input plus 64
3955 is obtained. This is expanded as necessary by string_cat(), which might have to
3956 get a new block, or might be able to expand the original. At the end of the
3957 function we can release any store above that portion of the yield block that
3958 was actually used. In many cases this will be optimal.
3959
3960 However: if the first item in the expansion is a variable name or header name,
3961 we reset the store before processing it; if the result is in fresh store, we
3962 use that without copying. This is helpful for expanding strings like
3963 $message_headers which can get very long.
3964
3965 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3966 since resetting the store at the end of the expansion will free store that was
3967 allocated by the plugin code as well as the slop after the expanded string. So
3968 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3969 and, given the acl condition, ${if }. This is an unfortunate consequence of
3970 string expansion becoming too powerful.
3971
3972 Arguments:
3973   string         the string to be expanded
3974   ket_ends       true if expansion is to stop at }
3975   left           if not NULL, a pointer to the first character after the
3976                  expansion is placed here (typically used with ket_ends)
3977   skipping       TRUE for recursive calls when the value isn't actually going
3978                  to be used (to allow for optimisation)
3979   honour_dollar  TRUE if $ is to be expanded,
3980                  FALSE if it's just another character
3981   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3982                  the store.
3983
3984 Returns:         NULL if expansion fails:
3985                    expand_string_forcedfail is set TRUE if failure was forced
3986                    expand_string_message contains a textual error message
3987                  a pointer to the expanded string on success
3988 */
3989
3990 static uschar *
3991 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3992   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3993 {
3994 gstring * yield = string_get(Ustrlen(string) + 64);
3995 int item_type;
3996 const uschar *s = string;
3997 uschar *save_expand_nstring[EXPAND_MAXN+1];
3998 int save_expand_nlength[EXPAND_MAXN+1];
3999 BOOL resetok = TRUE;
4000
4001 expand_level++;
4002 DEBUG(D_expand)
4003   DEBUG(D_noutf8)
4004     debug_printf_indent("/%s: %s\n",
4005       skipping ? "---scanning" : "considering", string);
4006   else
4007     debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
4008       skipping
4009       ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
4010       : "considering",
4011       string);
4012
4013 f.expand_string_forcedfail = FALSE;
4014 expand_string_message = US"";
4015
4016 while (*s != 0)
4017   {
4018   uschar *value;
4019   uschar name[256];
4020
4021   /* \ escapes the next character, which must exist, or else
4022   the expansion fails. There's a special escape, \N, which causes
4023   copying of the subject verbatim up to the next \N. Otherwise,
4024   the escapes are the standard set. */
4025
4026   if (*s == '\\')
4027     {
4028     if (s[1] == 0)
4029       {
4030       expand_string_message = US"\\ at end of string";
4031       goto EXPAND_FAILED;
4032       }
4033
4034     if (s[1] == 'N')
4035       {
4036       const uschar * t = s + 2;
4037       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
4038       yield = string_catn(yield, t, s - t);
4039       if (*s != 0) s += 2;
4040       }
4041
4042     else
4043       {
4044       uschar ch[1];
4045       ch[0] = string_interpret_escape(&s);
4046       s++;
4047       yield = string_catn(yield, ch, 1);
4048       }
4049
4050     continue;
4051     }
4052
4053   /*{*/
4054   /* Anything other than $ is just copied verbatim, unless we are
4055   looking for a terminating } character. */
4056
4057   /*{*/
4058   if (ket_ends && *s == '}') break;
4059
4060   if (*s != '$' || !honour_dollar)
4061     {
4062     yield = string_catn(yield, s++, 1);
4063     continue;
4064     }
4065
4066   /* No { after the $ - must be a plain name or a number for string
4067   match variable. There has to be a fudge for variables that are the
4068   names of header fields preceded by "$header_" because header field
4069   names can contain any printing characters except space and colon.
4070   For those that don't like typing this much, "$h_" is a synonym for
4071   "$header_". A non-existent header yields a NULL value; nothing is
4072   inserted. */  /*}*/
4073
4074   if (isalpha((*(++s))))
4075     {
4076     int len;
4077     int newsize = 0;
4078     gstring * g = NULL;
4079     uschar * t;
4080
4081     s = read_name(name, sizeof(name), s, US"_");
4082
4083     /* If this is the first thing to be expanded, release the pre-allocated
4084     buffer. */
4085
4086     if (!yield)
4087       g = store_get(sizeof(gstring));
4088     else if (yield->ptr == 0)
4089       {
4090       if (resetok) store_reset(yield);
4091       yield = NULL;
4092       g = store_get(sizeof(gstring));   /* alloc _before_ calling find_variable() */
4093       }
4094
4095     /* Header */
4096
4097     if (  ( *(t = name) == 'h'
4098           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4099           )
4100        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4101        )
4102       {
4103       unsigned flags = *name == 'r' ? FH_WANT_RAW
4104                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4105                       : 0;
4106       uschar * charset = *name == 'b' ? NULL : headers_charset;
4107
4108       s = read_header_name(name, sizeof(name), s);
4109       value = find_header(name, &newsize, flags, charset);
4110
4111       /* If we didn't find the header, and the header contains a closing brace
4112       character, this may be a user error where the terminating colon
4113       has been omitted. Set a flag to adjust the error message in this case.
4114       But there is no error here - nothing gets inserted. */
4115
4116       if (!value)
4117         {
4118         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
4119         continue;
4120         }
4121       }
4122
4123     /* Variable */
4124
4125     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
4126       {
4127       expand_string_message =
4128         string_sprintf("unknown variable name \"%s\"", name);
4129         check_variable_error_message(name);
4130       goto EXPAND_FAILED;
4131       }
4132
4133     /* If the data is known to be in a new buffer, newsize will be set to the
4134     size of that buffer. If this is the first thing in an expansion string,
4135     yield will be NULL; just point it at the new store instead of copying. Many
4136     expansion strings contain just one reference, so this is a useful
4137     optimization, especially for humungous headers.  We need to use a gstring
4138     structure that is not allocated after that new-buffer, else a later store
4139     reset in the middle of the buffer will make it inaccessible. */
4140
4141     len = Ustrlen(value);
4142     if (!yield && newsize != 0)
4143       {
4144       yield = g;
4145       yield->size = newsize;
4146       yield->ptr = len;
4147       yield->s = value;
4148       }
4149     else
4150       yield = string_catn(yield, value, len);
4151
4152     continue;
4153     }
4154
4155   if (isdigit(*s))
4156     {
4157     int n;
4158     s = read_cnumber(&n, s);
4159     if (n >= 0 && n <= expand_nmax)
4160       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4161     continue;
4162     }
4163
4164   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4165
4166   if (*s != '{')                                                        /*}*/
4167     {
4168     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4169     goto EXPAND_FAILED;
4170     }
4171
4172   /* After { there can be various things, but they all start with
4173   an initial word, except for a number for a string match variable. */
4174
4175   if (isdigit((*(++s))))
4176     {
4177     int n;
4178     s = read_cnumber(&n, s);            /*{*/
4179     if (*s++ != '}')
4180       {                                 /*{*/
4181       expand_string_message = US"} expected after number";
4182       goto EXPAND_FAILED;
4183       }
4184     if (n >= 0 && n <= expand_nmax)
4185       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4186     continue;
4187     }
4188
4189   if (!isalpha(*s))
4190     {
4191     expand_string_message = US"letter or digit expected after ${";      /*}*/
4192     goto EXPAND_FAILED;
4193     }
4194
4195   /* Allow "-" in names to cater for substrings with negative
4196   arguments. Since we are checking for known names after { this is
4197   OK. */
4198
4199   s = read_name(name, sizeof(name), s, US"_-");
4200   item_type = chop_match(name, item_table, nelem(item_table));
4201
4202   switch(item_type)
4203     {
4204     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4205     If the ACL returns accept or reject we return content set by "message ="
4206     There is currently no limit on recursion; this would have us call
4207     acl_check_internal() directly and get a current level from somewhere.
4208     See also the acl expansion condition ECOND_ACL and the traditional
4209     acl modifier ACLC_ACL.
4210     Assume that the function has side-effects on the store that must be preserved.
4211     */
4212
4213     case EITEM_ACL:
4214       /* ${acl {name} {arg1}{arg2}...} */
4215       {
4216       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4217       uschar *user_msg;
4218
4219       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4220                       &resetok))
4221         {
4222         case 1: goto EXPAND_FAILED_CURLY;
4223         case 2:
4224         case 3: goto EXPAND_FAILED;
4225         }
4226       if (skipping) continue;
4227
4228       resetok = FALSE;
4229       switch(eval_acl(sub, nelem(sub), &user_msg))
4230         {
4231         case OK:
4232         case FAIL:
4233           DEBUG(D_expand)
4234             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4235           if (user_msg)
4236             yield = string_cat(yield, user_msg);
4237           continue;
4238
4239         case DEFER:
4240           f.expand_string_forcedfail = TRUE;
4241           /*FALLTHROUGH*/
4242         default:
4243           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4244           goto EXPAND_FAILED;
4245         }
4246       }
4247
4248     case EITEM_AUTHRESULTS:
4249       /* ${authresults {mysystemname}} */
4250       {
4251       uschar *sub_arg[1];
4252
4253       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4254                       &resetok))
4255         {
4256         case 1: goto EXPAND_FAILED_CURLY;
4257         case 2:
4258         case 3: goto EXPAND_FAILED;
4259         }
4260
4261       yield = string_append(yield, 3,
4262                         US"Authentication-Results: ", sub_arg[0], US"; none");
4263       yield->ptr -= 6;
4264
4265       yield = authres_local(yield, sub_arg[0]);
4266       yield = authres_iprev(yield);
4267       yield = authres_smtpauth(yield);
4268 #ifdef SUPPORT_SPF
4269       yield = authres_spf(yield);
4270 #endif
4271 #ifndef DISABLE_DKIM
4272       yield = authres_dkim(yield);
4273 #endif
4274 #ifdef EXPERIMENTAL_DMARC
4275       yield = authres_dmarc(yield);
4276 #endif
4277 #ifdef EXPERIMENTAL_ARC
4278       yield = authres_arc(yield);
4279 #endif
4280       continue;
4281       }
4282
4283     /* Handle conditionals - preserve the values of the numerical expansion
4284     variables in case they get changed by a regular expression match in the
4285     condition. If not, they retain their external settings. At the end
4286     of this "if" section, they get restored to their previous values. */
4287
4288     case EITEM_IF:
4289       {
4290       BOOL cond = FALSE;
4291       const uschar *next_s;
4292       int save_expand_nmax =
4293         save_expand_strings(save_expand_nstring, save_expand_nlength);
4294
4295       while (isspace(*s)) s++;
4296       next_s = eval_condition(s, &resetok, skipping ? NULL : &cond);
4297       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4298
4299       DEBUG(D_expand)
4300         DEBUG(D_noutf8)
4301           {
4302           debug_printf_indent("|--condition: %.*s\n", (int)(next_s - s), s);
4303           debug_printf_indent("|-----result: %s\n", cond ? "true" : "false");
4304           }
4305         else
4306           {
4307           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4308             "condition: %.*s\n",
4309             (int)(next_s - s), s);
4310           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4311             UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4312             "result: %s\n",
4313             cond ? "true" : "false");
4314           }
4315
4316       s = next_s;
4317
4318       /* The handling of "yes" and "no" result strings is now in a separate
4319       function that is also used by ${lookup} and ${extract} and ${run}. */
4320
4321       switch(process_yesno(
4322                skipping,                     /* were previously skipping */
4323                cond,                         /* success/failure indicator */
4324                lookup_value,                 /* value to reset for string2 */
4325                &s,                           /* input pointer */
4326                &yield,                       /* output pointer */
4327                US"if",                       /* condition type */
4328                &resetok))
4329         {
4330         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4331         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4332         }
4333
4334       /* Restore external setting of expansion variables for continuation
4335       at this level. */
4336
4337       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4338         save_expand_nlength);
4339       continue;
4340       }
4341
4342 #ifdef SUPPORT_I18N
4343     case EITEM_IMAPFOLDER:
4344       {                         /* ${imapfolder {name}{sep]{specials}} */
4345       uschar *sub_arg[3];
4346       uschar *encoded;
4347
4348       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4349                       &resetok))
4350         {
4351         case 1: goto EXPAND_FAILED_CURLY;
4352         case 2:
4353         case 3: goto EXPAND_FAILED;
4354         }
4355
4356       if (sub_arg[1] == NULL)           /* One argument */
4357         {
4358         sub_arg[1] = US"/";             /* default separator */
4359         sub_arg[2] = NULL;
4360         }
4361       else if (Ustrlen(sub_arg[1]) != 1)
4362         {
4363         expand_string_message =
4364           string_sprintf(
4365                 "IMAP folder separator must be one character, found \"%s\"",
4366                 sub_arg[1]);
4367         goto EXPAND_FAILED;
4368         }
4369
4370       if (!skipping)
4371         {
4372         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4373                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4374           goto EXPAND_FAILED;
4375         yield = string_cat(yield, encoded);
4376         }
4377       continue;
4378       }
4379 #endif
4380
4381     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4382     expanding an internal string that isn't actually going to be used. All we
4383     need to do is check the syntax, so don't do a lookup at all. Preserve the
4384     values of the numerical expansion variables in case they get changed by a
4385     partial lookup. If not, they retain their external settings. At the end
4386     of this "lookup" section, they get restored to their previous values. */
4387
4388     case EITEM_LOOKUP:
4389       {
4390       int stype, partial, affixlen, starflags;
4391       int expand_setup = 0;
4392       int nameptr = 0;
4393       uschar *key, *filename;
4394       const uschar *affix;
4395       uschar *save_lookup_value = lookup_value;
4396       int save_expand_nmax =
4397         save_expand_strings(save_expand_nstring, save_expand_nlength);
4398
4399       if ((expand_forbid & RDO_LOOKUP) != 0)
4400         {
4401         expand_string_message = US"lookup expansions are not permitted";
4402         goto EXPAND_FAILED;
4403         }
4404
4405       /* Get the key we are to look up for single-key+file style lookups.
4406       Otherwise set the key NULL pro-tem. */
4407
4408       while (isspace(*s)) s++;
4409       if (*s == '{')                                    /*}*/
4410         {
4411         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4412         if (!key) goto EXPAND_FAILED;                   /*{{*/
4413         if (*s++ != '}')
4414           {
4415           expand_string_message = US"missing '}' after lookup key";
4416           goto EXPAND_FAILED_CURLY;
4417           }
4418         while (isspace(*s)) s++;
4419         }
4420       else key = NULL;
4421
4422       /* Find out the type of database */
4423
4424       if (!isalpha(*s))
4425         {
4426         expand_string_message = US"missing lookup type";
4427         goto EXPAND_FAILED;
4428         }
4429
4430       /* The type is a string that may contain special characters of various
4431       kinds. Allow everything except space or { to appear; the actual content
4432       is checked by search_findtype_partial. */         /*}*/
4433
4434       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4435         {
4436         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4437         s++;
4438         }
4439       name[nameptr] = 0;
4440       while (isspace(*s)) s++;
4441
4442       /* Now check for the individual search type and any partial or default
4443       options. Only those types that are actually in the binary are valid. */
4444
4445       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4446         &starflags);
4447       if (stype < 0)
4448         {
4449         expand_string_message = search_error_message;
4450         goto EXPAND_FAILED;
4451         }
4452
4453       /* Check that a key was provided for those lookup types that need it,
4454       and was not supplied for those that use the query style. */
4455
4456       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4457         {
4458         if (key == NULL)
4459           {
4460           expand_string_message = string_sprintf("missing {key} for single-"
4461             "key \"%s\" lookup", name);
4462           goto EXPAND_FAILED;
4463           }
4464         }
4465       else
4466         {
4467         if (key != NULL)
4468           {
4469           expand_string_message = string_sprintf("a single key was given for "
4470             "lookup type \"%s\", which is not a single-key lookup type", name);
4471           goto EXPAND_FAILED;
4472           }
4473         }
4474
4475       /* Get the next string in brackets and expand it. It is the file name for
4476       single-key+file lookups, and the whole query otherwise. In the case of
4477       queries that also require a file name (e.g. sqlite), the file name comes
4478       first. */
4479
4480       if (*s != '{')
4481         {
4482         expand_string_message = US"missing '{' for lookup file-or-query arg";
4483         goto EXPAND_FAILED_CURLY;
4484         }
4485       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4486       if (filename == NULL) goto EXPAND_FAILED;
4487       if (*s++ != '}')
4488         {
4489         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4490         goto EXPAND_FAILED_CURLY;
4491         }
4492       while (isspace(*s)) s++;
4493
4494       /* If this isn't a single-key+file lookup, re-arrange the variables
4495       to be appropriate for the search_ functions. For query-style lookups,
4496       there is just a "key", and no file name. For the special query-style +
4497       file types, the query (i.e. "key") starts with a file name. */
4498
4499       if (!key)
4500         {
4501         while (isspace(*filename)) filename++;
4502         key = filename;
4503
4504         if (mac_islookup(stype, lookup_querystyle))
4505           filename = NULL;
4506         else
4507           {
4508           if (*filename != '/')
4509             {
4510             expand_string_message = string_sprintf(
4511               "absolute file name expected for \"%s\" lookup", name);
4512             goto EXPAND_FAILED;
4513             }
4514           while (*key != 0 && !isspace(*key)) key++;
4515           if (*key != 0) *key++ = 0;
4516           }
4517         }
4518
4519       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4520       the entry was not found. Note that there is no search_close() function.
4521       Files are left open in case of re-use. At suitable places in higher logic,
4522       search_tidyup() is called to tidy all open files. This can save opening
4523       the same file several times. However, files may also get closed when
4524       others are opened, if too many are open at once. The rule is that a
4525       handle should not be used after a second search_open().
4526
4527       Request that a partial search sets up $1 and maybe $2 by passing
4528       expand_setup containing zero. If its value changes, reset expand_nmax,
4529       since new variables will have been set. Note that at the end of this
4530       "lookup" section, the old numeric variables are restored. */
4531
4532       if (skipping)
4533         lookup_value = NULL;
4534       else
4535         {
4536         void *handle = search_open(filename, stype, 0, NULL, NULL);
4537         if (handle == NULL)
4538           {
4539           expand_string_message = search_error_message;
4540           goto EXPAND_FAILED;
4541           }
4542         lookup_value = search_find(handle, filename, key, partial, affix,
4543           affixlen, starflags, &expand_setup);
4544         if (f.search_find_defer)
4545           {
4546           expand_string_message =
4547             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4548               string_printing2(key, FALSE), search_error_message);
4549           goto EXPAND_FAILED;
4550           }
4551         if (expand_setup > 0) expand_nmax = expand_setup;
4552         }
4553
4554       /* The handling of "yes" and "no" result strings is now in a separate
4555       function that is also used by ${if} and ${extract}. */
4556
4557       switch(process_yesno(
4558                skipping,                     /* were previously skipping */
4559                lookup_value != NULL,         /* success/failure indicator */
4560                save_lookup_value,            /* value to reset for string2 */
4561                &s,                           /* input pointer */
4562                &yield,                       /* output pointer */
4563                US"lookup",                   /* condition type */
4564                &resetok))
4565         {
4566         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4567         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4568         }
4569
4570       /* Restore external setting of expansion variables for carrying on
4571       at this level, and continue. */
4572
4573       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4574         save_expand_nlength);
4575       continue;
4576       }
4577
4578     /* If Perl support is configured, handle calling embedded perl subroutines,
4579     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4580     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4581     arguments (defined below). */
4582
4583     #define EXIM_PERL_MAX_ARGS 8
4584
4585     case EITEM_PERL:
4586     #ifndef EXIM_PERL
4587     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4588       "is not included in this binary";
4589     goto EXPAND_FAILED;
4590
4591     #else   /* EXIM_PERL */
4592       {
4593       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4594       gstring *new_yield;
4595
4596       if ((expand_forbid & RDO_PERL) != 0)
4597         {
4598         expand_string_message = US"Perl calls are not permitted";
4599         goto EXPAND_FAILED;
4600         }
4601
4602       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4603            US"perl", &resetok))
4604         {
4605         case 1: goto EXPAND_FAILED_CURLY;
4606         case 2:
4607         case 3: goto EXPAND_FAILED;
4608         }
4609
4610       /* If skipping, we don't actually do anything */
4611
4612       if (skipping) continue;
4613
4614       /* Start the interpreter if necessary */
4615
4616       if (!opt_perl_started)
4617         {
4618         uschar *initerror;
4619         if (opt_perl_startup == NULL)
4620           {
4621           expand_string_message = US"A setting of perl_startup is needed when "
4622             "using the Perl interpreter";
4623           goto EXPAND_FAILED;
4624           }
4625         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4626         initerror = init_perl(opt_perl_startup);
4627         if (initerror != NULL)
4628           {
4629           expand_string_message =
4630             string_sprintf("error in perl_startup code: %s\n", initerror);
4631           goto EXPAND_FAILED;
4632           }
4633         opt_perl_started = TRUE;
4634         }
4635
4636       /* Call the function */
4637
4638       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4639       new_yield = call_perl_cat(yield, &expand_string_message,
4640         sub_arg[0], sub_arg + 1);
4641
4642       /* NULL yield indicates failure; if the message pointer has been set to
4643       NULL, the yield was undef, indicating a forced failure. Otherwise the
4644       message will indicate some kind of Perl error. */
4645
4646       if (new_yield == NULL)
4647         {
4648         if (expand_string_message == NULL)
4649           {
4650           expand_string_message =
4651             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4652               "failure", sub_arg[0]);
4653           f.expand_string_forcedfail = TRUE;
4654           }
4655         goto EXPAND_FAILED;
4656         }
4657
4658       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4659       set during a callback from Perl. */
4660
4661       f.expand_string_forcedfail = FALSE;
4662       yield = new_yield;
4663       continue;
4664       }
4665     #endif /* EXIM_PERL */
4666
4667     /* Transform email address to "prvs" scheme to use
4668        as BATV-signed return path */
4669
4670     case EITEM_PRVS:
4671       {
4672       uschar *sub_arg[3];
4673       uschar *p,*domain;
4674
4675       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4676         {
4677         case 1: goto EXPAND_FAILED_CURLY;
4678         case 2:
4679         case 3: goto EXPAND_FAILED;
4680         }
4681
4682       /* If skipping, we don't actually do anything */
4683       if (skipping) continue;
4684
4685       /* sub_arg[0] is the address */
4686       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
4687          || domain == sub_arg[0] || Ustrlen(domain) == 1)
4688         {
4689         expand_string_message = US"prvs first argument must be a qualified email address";
4690         goto EXPAND_FAILED;
4691         }
4692
4693       /* Calculate the hash. The third argument must be a single-digit
4694       key number, or unset. */
4695
4696       if (  sub_arg[2]
4697          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4698         {
4699         expand_string_message = US"prvs third argument must be a single digit";
4700         goto EXPAND_FAILED;
4701         }
4702
4703       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
4704       if (!p)
4705         {
4706         expand_string_message = US"prvs hmac-sha1 conversion failed";
4707         goto EXPAND_FAILED;
4708         }
4709
4710       /* Now separate the domain from the local part */
4711       *domain++ = '\0';
4712
4713       yield = string_catn(yield, US"prvs=", 5);
4714       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
4715       yield = string_catn(yield, prvs_daystamp(7), 3);
4716       yield = string_catn(yield, p, 6);
4717       yield = string_catn(yield, US"=", 1);
4718       yield = string_cat (yield, sub_arg[0]);
4719       yield = string_catn(yield, US"@", 1);
4720       yield = string_cat (yield, domain);
4721
4722       continue;
4723       }
4724
4725     /* Check a prvs-encoded address for validity */
4726
4727     case EITEM_PRVSCHECK:
4728       {
4729       uschar *sub_arg[3];
4730       gstring * g;
4731       const pcre *re;
4732       uschar *p;
4733
4734       /* TF: Ugliness: We want to expand parameter 1 first, then set
4735          up expansion variables that are used in the expansion of
4736          parameter 2. So we clone the string for the first
4737          expansion, where we only expand parameter 1.
4738
4739          PH: Actually, that isn't necessary. The read_subs() function is
4740          designed to work this way for the ${if and ${lookup expansions. I've
4741          tidied the code.
4742       */
4743
4744       /* Reset expansion variables */
4745       prvscheck_result = NULL;
4746       prvscheck_address = NULL;
4747       prvscheck_keynum = NULL;
4748
4749       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4750         {
4751         case 1: goto EXPAND_FAILED_CURLY;
4752         case 2:
4753         case 3: goto EXPAND_FAILED;
4754         }
4755
4756       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4757                               TRUE,FALSE);
4758
4759       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4760         {
4761         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4762         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4763         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4764         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4765         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4766
4767         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
4768         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
4769         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
4770         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
4771         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
4772
4773         /* Set up expansion variables */
4774         g = string_cat (NULL, local_part);
4775         g = string_catn(g, US"@", 1);
4776         g = string_cat (g, domain);
4777         prvscheck_address = string_from_gstring(g);
4778         prvscheck_keynum = string_copy(key_num);
4779
4780         /* Now expand the second argument */
4781         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4782           {
4783           case 1: goto EXPAND_FAILED_CURLY;
4784           case 2:
4785           case 3: goto EXPAND_FAILED;
4786           }
4787
4788         /* Now we have the key and can check the address. */
4789
4790         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4791           daystamp);
4792
4793         if (!p)
4794           {
4795           expand_string_message = US"hmac-sha1 conversion failed";
4796           goto EXPAND_FAILED;
4797           }
4798
4799         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
4800         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
4801
4802         if (Ustrcmp(p,hash) == 0)
4803           {
4804           /* Success, valid BATV address. Now check the expiry date. */
4805           uschar *now = prvs_daystamp(0);
4806           unsigned int inow = 0,iexpire = 1;
4807
4808           (void)sscanf(CS now,"%u",&inow);
4809           (void)sscanf(CS daystamp,"%u",&iexpire);
4810
4811           /* When "iexpire" is < 7, a "flip" has occured.
4812              Adjust "inow" accordingly. */
4813           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4814
4815           if (iexpire >= inow)
4816             {
4817             prvscheck_result = US"1";
4818             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
4819             }
4820           else
4821             {
4822             prvscheck_result = NULL;
4823             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
4824             }
4825           }
4826         else
4827           {
4828           prvscheck_result = NULL;
4829           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
4830           }
4831
4832         /* Now expand the final argument. We leave this till now so that
4833         it can include $prvscheck_result. */
4834
4835         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4836           {
4837           case 1: goto EXPAND_FAILED_CURLY;
4838           case 2:
4839           case 3: goto EXPAND_FAILED;
4840           }
4841
4842         yield = string_cat(yield,
4843           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
4844
4845         /* Reset the "internal" variables afterwards, because they are in
4846         dynamic store that will be reclaimed if the expansion succeeded. */
4847
4848         prvscheck_address = NULL;
4849         prvscheck_keynum = NULL;
4850         }
4851       else
4852         /* Does not look like a prvs encoded address, return the empty string.
4853            We need to make sure all subs are expanded first, so as to skip over
4854            the entire item. */
4855
4856         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4857           {
4858           case 1: goto EXPAND_FAILED_CURLY;
4859           case 2:
4860           case 3: goto EXPAND_FAILED;
4861           }
4862
4863       continue;
4864       }
4865
4866     /* Handle "readfile" to insert an entire file */
4867
4868     case EITEM_READFILE:
4869       {
4870       FILE *f;
4871       uschar *sub_arg[2];
4872
4873       if ((expand_forbid & RDO_READFILE) != 0)
4874         {
4875         expand_string_message = US"file insertions are not permitted";
4876         goto EXPAND_FAILED;
4877         }
4878
4879       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4880         {
4881         case 1: goto EXPAND_FAILED_CURLY;
4882         case 2:
4883         case 3: goto EXPAND_FAILED;
4884         }
4885
4886       /* If skipping, we don't actually do anything */
4887
4888       if (skipping) continue;
4889
4890       /* Open the file and read it */
4891
4892       if (!(f = Ufopen(sub_arg[0], "rb")))
4893         {
4894         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4895         goto EXPAND_FAILED;
4896         }
4897
4898       yield = cat_file(f, yield, sub_arg[1]);
4899       (void)fclose(f);
4900       continue;
4901       }
4902
4903     /* Handle "readsocket" to insert data from a socket, either
4904     Inet or Unix domain */
4905
4906     case EITEM_READSOCK:
4907       {
4908       int fd;
4909       int timeout = 5;
4910       int save_ptr = yield->ptr;
4911       FILE * fp;
4912       uschar * arg;
4913       uschar * sub_arg[4];
4914       uschar * server_name = NULL;
4915       host_item host;
4916       BOOL do_shutdown = TRUE;
4917       BOOL do_tls = FALSE;      /* Only set under SUPPORT_TLS */
4918       void * tls_ctx = NULL;    /* ditto                      */
4919       blob reqstr;
4920
4921       if (expand_forbid & RDO_READSOCK)
4922         {
4923         expand_string_message = US"socket insertions are not permitted";
4924         goto EXPAND_FAILED;
4925         }
4926
4927       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4928       because there may be a string for expansion on failure. */
4929
4930       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4931         {
4932         case 1: goto EXPAND_FAILED_CURLY;
4933         case 2:                             /* Won't occur: no end check */
4934         case 3: goto EXPAND_FAILED;
4935         }
4936
4937       /* Grab the request string, if any */
4938
4939       reqstr.data = sub_arg[1];
4940       reqstr.len = Ustrlen(sub_arg[1]);
4941
4942       /* Sort out timeout, if given.  The second arg is a list with the first element
4943       being a time value.  Any more are options of form "name=value".  Currently the
4944       only option recognised is "shutdown". */
4945
4946       if (sub_arg[2])
4947         {
4948         const uschar * list = sub_arg[2];
4949         uschar * item;
4950         int sep = 0;
4951
4952         item = string_nextinlist(&list, &sep, NULL, 0);
4953         if ((timeout = readconf_readtime(item, 0, FALSE)) < 0)
4954           {
4955           expand_string_message = string_sprintf("bad time value %s", item);
4956           goto EXPAND_FAILED;
4957           }
4958
4959         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
4960           if (Ustrncmp(item, US"shutdown=", 9) == 0)
4961             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
4962 #ifdef SUPPORT_TLS
4963           else if (Ustrncmp(item, US"tls=", 4) == 0)
4964             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
4965 #endif
4966         }
4967       else
4968         sub_arg[3] = NULL;                     /* No eol if no timeout */
4969
4970       /* If skipping, we don't actually do anything. Otherwise, arrange to
4971       connect to either an IP or a Unix socket. */
4972
4973       if (!skipping)
4974         {
4975         /* Handle an IP (internet) domain */
4976
4977         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4978           {
4979           int port;
4980           uschar * port_name;
4981
4982           server_name = sub_arg[0] + 5;
4983           port_name = Ustrrchr(server_name, ':');
4984
4985           /* Sort out the port */
4986
4987           if (!port_name)
4988             {
4989             expand_string_message =
4990               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4991             goto EXPAND_FAILED;
4992             }
4993           *port_name++ = 0;           /* Terminate server name */
4994
4995           if (isdigit(*port_name))
4996             {
4997             uschar *end;
4998             port = Ustrtol(port_name, &end, 0);
4999             if (end != port_name + Ustrlen(port_name))
5000               {
5001               expand_string_message =
5002                 string_sprintf("invalid port number %s", port_name);
5003               goto EXPAND_FAILED;
5004               }
5005             }
5006           else
5007             {
5008             struct servent *service_info = getservbyname(CS port_name, "tcp");
5009             if (!service_info)
5010               {
5011               expand_string_message = string_sprintf("unknown port \"%s\"",
5012                 port_name);
5013               goto EXPAND_FAILED;
5014               }
5015             port = ntohs(service_info->s_port);
5016             }
5017
5018           /*XXX we trust that the request is idempotent.  Hmm. */
5019           fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
5020                   timeout, &host, &expand_string_message,
5021                   do_tls ? NULL : &reqstr);
5022           callout_address = NULL;
5023           if (fd < 0)
5024             goto SOCK_FAIL;
5025           if (!do_tls)
5026             reqstr.len = 0;
5027           }
5028
5029         /* Handle a Unix domain socket */
5030
5031         else
5032           {
5033           struct sockaddr_un sockun;         /* don't call this "sun" ! */
5034           int rc;
5035
5036           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
5037             {
5038             expand_string_message = string_sprintf("failed to create socket: %s",
5039               strerror(errno));
5040             goto SOCK_FAIL;
5041             }
5042
5043           sockun.sun_family = AF_UNIX;
5044           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
5045             sub_arg[0]);
5046           server_name = US sockun.sun_path;
5047
5048           sigalrm_seen = FALSE;
5049           ALARM(timeout);
5050           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
5051           ALARM_CLR(0);
5052           if (sigalrm_seen)
5053             {
5054             expand_string_message = US "socket connect timed out";
5055             goto SOCK_FAIL;
5056             }
5057           if (rc < 0)
5058             {
5059             expand_string_message = string_sprintf("failed to connect to socket "
5060               "%s: %s", sub_arg[0], strerror(errno));
5061             goto SOCK_FAIL;
5062             }
5063           host.name = server_name;
5064           host.address = US"";
5065           }
5066
5067         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
5068
5069 #ifdef SUPPORT_TLS
5070         if (do_tls)
5071           {
5072           tls_support tls_dummy = {.sni=NULL};
5073           uschar * errstr;
5074
5075           if (!(tls_ctx = tls_client_start(fd, &host, NULL, NULL,
5076 # ifdef SUPPORT_DANE
5077                                 NULL,
5078 # endif
5079                                 &tls_dummy, &errstr)))
5080             {
5081             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
5082             goto SOCK_FAIL;
5083             }
5084           }
5085 #endif
5086
5087         /* Allow sequencing of test actions */
5088         if (f.running_in_test_harness) millisleep(100);
5089
5090         /* Write the request string, if not empty or already done */
5091
5092         if (reqstr.len)
5093           {
5094           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
5095             reqstr.data);
5096           if ( (
5097 #ifdef SUPPORT_TLS
5098               tls_ctx ? tls_write(tls_ctx, reqstr.data, reqstr.len, FALSE) :
5099 #endif
5100                         write(fd, reqstr.data, reqstr.len)) != reqstr.len)
5101             {
5102             expand_string_message = string_sprintf("request write to socket "
5103               "failed: %s", strerror(errno));
5104             goto SOCK_FAIL;
5105             }
5106           }
5107
5108         /* Shut down the sending side of the socket. This helps some servers to
5109         recognise that it is their turn to do some work. Just in case some
5110         system doesn't have this function, make it conditional. */
5111
5112 #ifdef SHUT_WR
5113         if (!tls_ctx && do_shutdown) shutdown(fd, SHUT_WR);
5114 #endif
5115
5116         if (f.running_in_test_harness) millisleep(100);
5117
5118         /* Now we need to read from the socket, under a timeout. The function
5119         that reads a file can be used. */
5120
5121         if (!tls_ctx)
5122           fp = fdopen(fd, "rb");
5123         sigalrm_seen = FALSE;
5124         ALARM(timeout);
5125         yield =
5126 #ifdef SUPPORT_TLS
5127           tls_ctx ? cat_file_tls(tls_ctx, yield, sub_arg[3]) :
5128 #endif
5129                     cat_file(fp, yield, sub_arg[3]);
5130         ALARM_CLR(0);
5131
5132 #ifdef SUPPORT_TLS
5133         if (tls_ctx)
5134           {
5135           tls_close(tls_ctx, TRUE);
5136           close(fd);
5137           }
5138         else
5139 #endif
5140           (void)fclose(fp);
5141
5142         /* After a timeout, we restore the pointer in the result, that is,
5143         make sure we add nothing from the socket. */
5144
5145         if (sigalrm_seen)
5146           {
5147           yield->ptr = save_ptr;
5148           expand_string_message = US "socket read timed out";
5149           goto SOCK_FAIL;
5150           }
5151         }
5152
5153       /* The whole thing has worked (or we were skipping). If there is a
5154       failure string following, we need to skip it. */
5155
5156       if (*s == '{')
5157         {
5158         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
5159           goto EXPAND_FAILED;
5160         if (*s++ != '}')
5161           {
5162           expand_string_message = US"missing '}' closing failstring for readsocket";
5163           goto EXPAND_FAILED_CURLY;
5164           }
5165         while (isspace(*s)) s++;
5166         }
5167
5168     READSOCK_DONE:
5169       if (*s++ != '}')
5170         {
5171         expand_string_message = US"missing '}' closing readsocket";
5172         goto EXPAND_FAILED_CURLY;
5173         }
5174       continue;
5175
5176       /* Come here on failure to create socket, connect socket, write to the
5177       socket, or timeout on reading. If another substring follows, expand and
5178       use it. Otherwise, those conditions give expand errors. */
5179
5180     SOCK_FAIL:
5181       if (*s != '{') goto EXPAND_FAILED;
5182       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5183       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
5184         goto EXPAND_FAILED;
5185       yield = string_cat(yield, arg);
5186       if (*s++ != '}')
5187         {
5188         expand_string_message = US"missing '}' closing failstring for readsocket";
5189         goto EXPAND_FAILED_CURLY;
5190         }
5191       while (isspace(*s)) s++;
5192       goto READSOCK_DONE;
5193       }
5194
5195     /* Handle "run" to execute a program. */
5196
5197     case EITEM_RUN:
5198       {
5199       FILE *f;
5200       uschar *arg;
5201       const uschar **argv;
5202       pid_t pid;
5203       int fd_in, fd_out;
5204
5205       if ((expand_forbid & RDO_RUN) != 0)
5206         {
5207         expand_string_message = US"running a command is not permitted";
5208         goto EXPAND_FAILED;
5209         }
5210
5211       while (isspace(*s)) s++;
5212       if (*s != '{')
5213         {
5214         expand_string_message = US"missing '{' for command arg of run";
5215         goto EXPAND_FAILED_CURLY;
5216         }
5217       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5218       if (arg == NULL) goto EXPAND_FAILED;
5219       while (isspace(*s)) s++;
5220       if (*s++ != '}')
5221         {
5222         expand_string_message = US"missing '}' closing command arg of run";
5223         goto EXPAND_FAILED_CURLY;
5224         }
5225
5226       if (skipping)   /* Just pretend it worked when we're skipping */
5227         {
5228         runrc = 0;
5229         lookup_value = NULL;
5230         }
5231       else
5232         {
5233         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5234             arg,                                /* raw command */
5235             FALSE,                              /* don't expand the arguments */
5236             0,                                  /* not relevant when... */
5237             NULL,                               /* no transporting address */
5238             US"${run} expansion",               /* for error messages */
5239             &expand_string_message))            /* where to put error message */
5240           goto EXPAND_FAILED;
5241
5242         /* Create the child process, making it a group leader. */
5243
5244         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
5245           {
5246           expand_string_message =
5247             string_sprintf("couldn't create child process: %s", strerror(errno));
5248           goto EXPAND_FAILED;
5249           }
5250
5251         /* Nothing is written to the standard input. */
5252
5253         (void)close(fd_in);
5254
5255         /* Read the pipe to get the command's output into $value (which is kept
5256         in lookup_value). Read during execution, so that if the output exceeds
5257         the OS pipe buffer limit, we don't block forever. Remember to not release
5258         memory just allocated for $value. */
5259
5260         resetok = FALSE;
5261         f = fdopen(fd_out, "rb");
5262         sigalrm_seen = FALSE;
5263         ALARM(60);
5264         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5265         ALARM_CLR(0);
5266         (void)fclose(f);
5267
5268         /* Wait for the process to finish, applying the timeout, and inspect its
5269         return code for serious disasters. Simple non-zero returns are passed on.
5270         */
5271
5272         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5273           {
5274           if (sigalrm_seen || runrc == -256)
5275             {
5276             expand_string_message = string_sprintf("command timed out");
5277             killpg(pid, SIGKILL);       /* Kill the whole process group */
5278             }
5279
5280           else if (runrc == -257)
5281             expand_string_message = string_sprintf("wait() failed: %s",
5282               strerror(errno));
5283
5284           else
5285             expand_string_message = string_sprintf("command killed by signal %d",
5286               -runrc);
5287
5288           goto EXPAND_FAILED;
5289           }
5290         }
5291
5292       /* Process the yes/no strings; $value may be useful in both cases */
5293
5294       switch(process_yesno(
5295                skipping,                     /* were previously skipping */
5296                runrc == 0,                   /* success/failure indicator */
5297                lookup_value,                 /* value to reset for string2 */
5298                &s,                           /* input pointer */
5299                &yield,                       /* output pointer */
5300                US"run",                      /* condition type */
5301                &resetok))
5302         {
5303         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5304         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5305         }
5306
5307       continue;
5308       }
5309
5310     /* Handle character translation for "tr" */
5311
5312     case EITEM_TR:
5313       {
5314       int oldptr = yield->ptr;
5315       int o2m;
5316       uschar *sub[3];
5317
5318       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5319         {
5320         case 1: goto EXPAND_FAILED_CURLY;
5321         case 2:
5322         case 3: goto EXPAND_FAILED;
5323         }
5324
5325       yield = string_cat(yield, sub[0]);
5326       o2m = Ustrlen(sub[2]) - 1;
5327
5328       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5329         {
5330         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5331         if (m != NULL)
5332           {
5333           int o = m - sub[1];
5334           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5335           }
5336         }
5337
5338       continue;
5339       }
5340
5341     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5342     expanded arguments. */
5343
5344     case EITEM_HASH:
5345     case EITEM_LENGTH:
5346     case EITEM_NHASH:
5347     case EITEM_SUBSTR:
5348       {
5349       int len;
5350       uschar *ret;
5351       int val[2] = { 0, -1 };
5352       uschar *sub[3];
5353
5354       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5355       Ensure that sub[2] is set in the ${length } case. */
5356
5357       sub[2] = NULL;
5358       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5359              TRUE, name, &resetok))
5360         {
5361         case 1: goto EXPAND_FAILED_CURLY;
5362         case 2:
5363         case 3: goto EXPAND_FAILED;
5364         }
5365
5366       /* Juggle the arguments if there are only two of them: always move the
5367       string to the last position and make ${length{n}{str}} equivalent to
5368       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5369
5370       if (sub[2] == NULL)
5371         {
5372         sub[2] = sub[1];
5373         sub[1] = NULL;
5374         if (item_type == EITEM_LENGTH)
5375           {
5376           sub[1] = sub[0];
5377           sub[0] = NULL;
5378           }
5379         }
5380
5381       for (int i = 0; i < 2; i++) if (sub[i])
5382         {
5383         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5384         if (*ret != 0 || (i != 0 && val[i] < 0))
5385           {
5386           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5387             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5388           goto EXPAND_FAILED;
5389           }
5390         }
5391
5392       ret =
5393         (item_type == EITEM_HASH)?
5394           compute_hash(sub[2], val[0], val[1], &len) :
5395         (item_type == EITEM_NHASH)?
5396           compute_nhash(sub[2], val[0], val[1], &len) :
5397           extract_substr(sub[2], val[0], val[1], &len);
5398
5399       if (ret == NULL) goto EXPAND_FAILED;
5400       yield = string_catn(yield, ret, len);
5401       continue;
5402       }
5403
5404     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5405     This code originally contributed by Steve Haslam. It currently supports
5406     the use of MD5 and SHA-1 hashes.
5407
5408     We need some workspace that is large enough to handle all the supported
5409     hash types. Use macros to set the sizes rather than be too elaborate. */
5410
5411     #define MAX_HASHLEN      20
5412     #define MAX_HASHBLOCKLEN 64
5413
5414     case EITEM_HMAC:
5415       {
5416       uschar *sub[3];
5417       md5 md5_base;
5418       hctx sha1_ctx;
5419       void *use_base;
5420       int type;
5421       int hashlen;      /* Number of octets for the hash algorithm's output */
5422       int hashblocklen; /* Number of octets the hash algorithm processes */
5423       uschar *keyptr, *p;
5424       unsigned int keylen;
5425
5426       uschar keyhash[MAX_HASHLEN];
5427       uschar innerhash[MAX_HASHLEN];
5428       uschar finalhash[MAX_HASHLEN];
5429       uschar finalhash_hex[2*MAX_HASHLEN];
5430       uschar innerkey[MAX_HASHBLOCKLEN];
5431       uschar outerkey[MAX_HASHBLOCKLEN];
5432
5433       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5434         {
5435         case 1: goto EXPAND_FAILED_CURLY;
5436         case 2:
5437         case 3: goto EXPAND_FAILED;
5438         }
5439
5440       if (!skipping)
5441         {
5442         if (Ustrcmp(sub[0], "md5") == 0)
5443           {
5444           type = HMAC_MD5;
5445           use_base = &md5_base;
5446           hashlen = 16;
5447           hashblocklen = 64;
5448           }
5449         else if (Ustrcmp(sub[0], "sha1") == 0)
5450           {
5451           type = HMAC_SHA1;
5452           use_base = &sha1_ctx;
5453           hashlen = 20;
5454           hashblocklen = 64;
5455           }
5456         else
5457           {
5458           expand_string_message =
5459             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5460           goto EXPAND_FAILED;
5461           }
5462
5463         keyptr = sub[1];
5464         keylen = Ustrlen(keyptr);
5465
5466         /* If the key is longer than the hash block length, then hash the key
5467         first */
5468
5469         if (keylen > hashblocklen)
5470           {
5471           chash_start(type, use_base);
5472           chash_end(type, use_base, keyptr, keylen, keyhash);
5473           keyptr = keyhash;
5474           keylen = hashlen;
5475           }
5476
5477         /* Now make the inner and outer key values */
5478
5479         memset(innerkey, 0x36, hashblocklen);
5480         memset(outerkey, 0x5c, hashblocklen);
5481
5482         for (int i = 0; i < keylen; i++)
5483           {
5484           innerkey[i] ^= keyptr[i];
5485           outerkey[i] ^= keyptr[i];
5486           }
5487
5488         /* Now do the hashes */
5489
5490         chash_start(type, use_base);
5491         chash_mid(type, use_base, innerkey);
5492         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5493
5494         chash_start(type, use_base);
5495         chash_mid(type, use_base, outerkey);
5496         chash_end(type, use_base, innerhash, hashlen, finalhash);
5497
5498         /* Encode the final hash as a hex string */
5499
5500         p = finalhash_hex;
5501         for (int i = 0; i < hashlen; i++)
5502           {
5503           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5504           *p++ = hex_digits[finalhash[i] & 0x0f];
5505           }
5506
5507         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5508           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5509
5510         yield = string_catn(yield, finalhash_hex, hashlen*2);
5511         }
5512       continue;
5513       }
5514
5515     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5516     We have to save the numerical variables and restore them afterwards. */
5517
5518     case EITEM_SG:
5519       {
5520       const pcre *re;
5521       int moffset, moffsetextra, slen;
5522       int roffset;
5523       int emptyopt;
5524       const uschar *rerror;
5525       uschar *subject;
5526       uschar *sub[3];
5527       int save_expand_nmax =
5528         save_expand_strings(save_expand_nstring, save_expand_nlength);
5529
5530       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5531         {
5532         case 1: goto EXPAND_FAILED_CURLY;
5533         case 2:
5534         case 3: goto EXPAND_FAILED;
5535         }
5536
5537       /* Compile the regular expression */
5538
5539       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5540         NULL);
5541
5542       if (re == NULL)
5543         {
5544         expand_string_message = string_sprintf("regular expression error in "
5545           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5546         goto EXPAND_FAILED;
5547         }
5548
5549       /* Now run a loop to do the substitutions as often as necessary. It ends
5550       when there are no more matches. Take care over matches of the null string;
5551       do the same thing as Perl does. */
5552
5553       subject = sub[0];
5554       slen = Ustrlen(sub[0]);
5555       moffset = moffsetextra = 0;
5556       emptyopt = 0;
5557
5558       for (;;)
5559         {
5560         int ovector[3*(EXPAND_MAXN+1)];
5561         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5562           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5563         uschar *insert;
5564
5565         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5566         is not necessarily the end. We want to repeat the match from one
5567         character further along, but leaving the basic offset the same (for
5568         copying below). We can't be at the end of the string - that was checked
5569         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5570         finished; copy the remaining string and end the loop. */
5571
5572         if (n < 0)
5573           {
5574           if (emptyopt != 0)
5575             {
5576             moffsetextra = 1;
5577             emptyopt = 0;
5578             continue;
5579             }
5580           yield = string_catn(yield, subject+moffset, slen-moffset);
5581           break;
5582           }
5583
5584         /* Match - set up for expanding the replacement. */
5585
5586         if (n == 0) n = EXPAND_MAXN + 1;
5587         expand_nmax = 0;
5588         for (int nn = 0; nn < n*2; nn += 2)
5589           {
5590           expand_nstring[expand_nmax] = subject + ovector[nn];
5591           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5592           }
5593         expand_nmax--;
5594
5595         /* Copy the characters before the match, plus the expanded insertion. */
5596
5597         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5598         insert = expand_string(sub[2]);
5599         if (insert == NULL) goto EXPAND_FAILED;
5600         yield = string_cat(yield, insert);
5601
5602         moffset = ovector[1];
5603         moffsetextra = 0;
5604         emptyopt = 0;
5605
5606         /* If we have matched an empty string, first check to see if we are at
5607         the end of the subject. If so, the loop is over. Otherwise, mimic
5608         what Perl's /g options does. This turns out to be rather cunning. First
5609         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5610         string at the same point. If this fails (picked up above) we advance to
5611         the next character. */
5612
5613         if (ovector[0] == ovector[1])
5614           {
5615           if (ovector[0] == slen) break;
5616           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5617           }
5618         }
5619
5620       /* All done - restore numerical variables. */
5621
5622       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5623         save_expand_nlength);
5624       continue;
5625       }
5626
5627     /* Handle keyed and numbered substring extraction. If the first argument
5628     consists entirely of digits, then a numerical extraction is assumed. */
5629
5630     case EITEM_EXTRACT:
5631       {
5632       int field_number = 1;
5633       BOOL field_number_set = FALSE;
5634       uschar *save_lookup_value = lookup_value;
5635       uschar *sub[3];
5636       int save_expand_nmax =
5637         save_expand_strings(save_expand_nstring, save_expand_nlength);
5638       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
5639
5640       while (isspace(*s)) s++;
5641
5642       /* Check for a format-variant specifier */
5643
5644       if (*s != '{')                                    /*}*/
5645         if (Ustrncmp(s, "json", 4) == 0)
5646           if (*(s += 4) == 's')
5647             {fmt = extract_jsons; s++;}
5648           else
5649             fmt = extract_json;
5650
5651       /* While skipping we cannot rely on the data for expansions being
5652       available (eg. $item) hence cannot decide on numeric vs. keyed.
5653       Read a maximum of 5 arguments (including the yes/no) */
5654
5655       if (skipping)
5656         {
5657         for (int j = 5; j > 0 && *s == '{'; j--)                /*'}'*/
5658           {
5659           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5660             goto EXPAND_FAILED;                                 /*'{'*/
5661           if (*s++ != '}')
5662             {
5663             expand_string_message = US"missing '{' for arg of extract";
5664             goto EXPAND_FAILED_CURLY;
5665             }
5666           while (isspace(*s)) s++;
5667           }
5668         if (  Ustrncmp(s, "fail", 4) == 0                       /*'{'*/
5669            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5670            )
5671           {
5672           s += 4;
5673           while (isspace(*s)) s++;
5674           }                                                     /*'{'*/
5675         if (*s != '}')
5676           {
5677           expand_string_message = US"missing '}' closing extract";
5678           goto EXPAND_FAILED_CURLY;
5679           }
5680         }
5681
5682       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5683         {
5684         while (isspace(*s)) s++;
5685         if (*s == '{')                                          /*'}'*/
5686           {
5687           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5688           if (sub[i] == NULL) goto EXPAND_FAILED;               /*'{'*/
5689           if (*s++ != '}')
5690             {
5691             expand_string_message = string_sprintf(
5692               "missing '}' closing arg %d of extract", i+1);
5693             goto EXPAND_FAILED_CURLY;
5694             }
5695
5696           /* After removal of leading and trailing white space, the first
5697           argument must not be empty; if it consists entirely of digits
5698           (optionally preceded by a minus sign), this is a numerical
5699           extraction, and we expect 3 arguments (normal) or 2 (json). */
5700
5701           if (i == 0)
5702             {
5703             int len;
5704             int x = 0;
5705             uschar *p = sub[0];
5706
5707             while (isspace(*p)) p++;
5708             sub[0] = p;
5709
5710             len = Ustrlen(p);
5711             while (len > 0 && isspace(p[len-1])) len--;
5712             p[len] = 0;
5713
5714             if (*p == 0)
5715               {
5716               expand_string_message = US"first argument of \"extract\" must "
5717                 "not be empty";
5718               goto EXPAND_FAILED;
5719               }
5720
5721             if (*p == '-')
5722               {
5723               field_number = -1;
5724               p++;
5725               }
5726             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5727             if (*p == 0)
5728               {
5729               field_number *= x;
5730               if (fmt == extract_basic) j = 3;               /* Need 3 args */
5731               field_number_set = TRUE;
5732               }
5733             }
5734           }
5735         else
5736           {
5737           expand_string_message = string_sprintf(
5738             "missing '{' for arg %d of extract", i+1);
5739           goto EXPAND_FAILED_CURLY;
5740           }
5741         }
5742
5743       /* Extract either the numbered or the keyed substring into $value. If
5744       skipping, just pretend the extraction failed. */
5745
5746       if (skipping)
5747         lookup_value = NULL;
5748       else switch (fmt)
5749         {
5750         case extract_basic:
5751           lookup_value = field_number_set
5752             ? expand_gettokened(field_number, sub[1], sub[2])
5753             : expand_getkeyed(sub[0], sub[1]);
5754           break;
5755
5756         case extract_json:
5757         case extract_jsons:
5758           {
5759           uschar * s, * item;
5760           const uschar * list;
5761
5762           /* Array: Bracket-enclosed and comma-separated.
5763           Object: Brace-enclosed, comma-sep list of name:value pairs */
5764
5765           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
5766             {
5767             expand_string_message =
5768               string_sprintf("%s wrapping %s for extract json",
5769                 expand_string_message,
5770                 field_number_set ? "array" : "object");
5771             goto EXPAND_FAILED_CURLY;
5772             }
5773
5774           list = s;
5775           if (field_number_set)
5776             {
5777             if (field_number <= 0)
5778               {
5779               expand_string_message = US"first argument of \"extract\" must "
5780                 "be greater than zero";
5781               goto EXPAND_FAILED;
5782               }
5783             while (field_number > 0 && (item = json_nextinlist(&list)))
5784               field_number--;
5785             s = item;
5786             lookup_value = s;
5787             while (*s) s++;
5788             while (--s >= lookup_value && isspace(*s)) *s = '\0';
5789             }
5790           else
5791             {
5792             lookup_value = NULL;
5793             while ((item = json_nextinlist(&list)))
5794               {
5795               /* Item is:  string name-sep value.  string is quoted.
5796               Dequote the string and compare with the search key. */
5797
5798               if (!(item = dewrap(item, US"\"\"")))
5799                 {
5800                 expand_string_message =
5801                   string_sprintf("%s wrapping string key for extract json",
5802                     expand_string_message);
5803                 goto EXPAND_FAILED_CURLY;
5804                 }
5805               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
5806                 {
5807                 s = item + Ustrlen(item) + 1;
5808                 while (isspace(*s)) s++;
5809                 if (*s != ':')
5810                   {
5811                   expand_string_message = string_sprintf(
5812                     "missing object value-separator for extract json");
5813                   goto EXPAND_FAILED_CURLY;
5814                   }
5815                 s++;
5816                 while (isspace(*s)) s++;
5817                 lookup_value = s;
5818                 break;
5819                 }
5820               }
5821             }
5822           }
5823
5824           if (fmt == extract_jsons)
5825             if (!(lookup_value = dewrap(lookup_value, US"\"\"")))
5826               {
5827               expand_string_message =
5828                 string_sprintf("%s wrapping string result for extract jsons",
5829                   expand_string_message);
5830               goto EXPAND_FAILED_CURLY;
5831               }
5832         }
5833
5834       /* If no string follows, $value gets substituted; otherwise there can
5835       be yes/no strings, as for lookup or if. */
5836
5837       switch(process_yesno(
5838                skipping,                     /* were previously skipping */
5839                lookup_value != NULL,         /* success/failure indicator */
5840                save_lookup_value,            /* value to reset for string2 */
5841                &s,                           /* input pointer */
5842                &yield,                       /* output pointer */
5843                US"extract",                  /* condition type */
5844                &resetok))
5845         {
5846         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5847         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5848         }
5849
5850       /* All done - restore numerical variables. */
5851
5852       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5853         save_expand_nlength);
5854
5855       continue;
5856       }
5857
5858     /* return the Nth item from a list */
5859
5860     case EITEM_LISTEXTRACT:
5861       {
5862       int field_number = 1;
5863       uschar *save_lookup_value = lookup_value;
5864       uschar *sub[2];
5865       int save_expand_nmax =
5866         save_expand_strings(save_expand_nstring, save_expand_nlength);
5867
5868       /* Read the field & list arguments */
5869
5870       for (int i = 0; i < 2; i++)
5871         {
5872         while (isspace(*s)) s++;
5873         if (*s != '{')                                  /*'}'*/
5874           {
5875           expand_string_message = string_sprintf(
5876             "missing '{' for arg %d of listextract", i+1);
5877           goto EXPAND_FAILED_CURLY;
5878           }
5879
5880         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5881         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5882         if (*s++ != '}')
5883           {
5884           expand_string_message = string_sprintf(
5885             "missing '}' closing arg %d of listextract", i+1);
5886           goto EXPAND_FAILED_CURLY;
5887           }
5888
5889         /* After removal of leading and trailing white space, the first
5890         argument must be numeric and nonempty. */
5891
5892         if (i == 0)
5893           {
5894           int len;
5895           int x = 0;
5896           uschar *p = sub[0];
5897
5898           while (isspace(*p)) p++;
5899           sub[0] = p;
5900
5901           len = Ustrlen(p);
5902           while (len > 0 && isspace(p[len-1])) len--;
5903           p[len] = 0;
5904
5905           if (!*p && !skipping)
5906             {
5907             expand_string_message = US"first argument of \"listextract\" must "
5908               "not be empty";
5909             goto EXPAND_FAILED;
5910             }
5911
5912           if (*p == '-')
5913             {
5914             field_number = -1;
5915             p++;
5916             }
5917           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5918           if (*p)
5919             {
5920             expand_string_message = US"first argument of \"listextract\" must "
5921               "be numeric";
5922             goto EXPAND_FAILED;
5923             }
5924           field_number *= x;
5925           }
5926         }
5927
5928       /* Extract the numbered element into $value. If
5929       skipping, just pretend the extraction failed. */
5930
5931       lookup_value = skipping ? NULL : expand_getlistele(field_number, sub[1]);
5932
5933       /* If no string follows, $value gets substituted; otherwise there can
5934       be yes/no strings, as for lookup or if. */
5935
5936       switch(process_yesno(
5937                skipping,                     /* were previously skipping */
5938                lookup_value != NULL,         /* success/failure indicator */
5939                save_lookup_value,            /* value to reset for string2 */
5940                &s,                           /* input pointer */
5941                &yield,                       /* output pointer */
5942                US"listextract",              /* condition type */
5943                &resetok))
5944         {
5945         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5946         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5947         }
5948
5949       /* All done - restore numerical variables. */
5950
5951       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5952         save_expand_nlength);
5953
5954       continue;
5955       }
5956
5957 #ifdef SUPPORT_TLS
5958     case EITEM_CERTEXTRACT:
5959       {
5960       uschar *save_lookup_value = lookup_value;
5961       uschar *sub[2];
5962       int save_expand_nmax =
5963         save_expand_strings(save_expand_nstring, save_expand_nlength);
5964
5965       /* Read the field argument */
5966       while (isspace(*s)) s++;
5967       if (*s != '{')                                    /*}*/
5968         {
5969         expand_string_message = US"missing '{' for field arg of certextract";
5970         goto EXPAND_FAILED_CURLY;
5971         }
5972       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5973       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5974       if (*s++ != '}')
5975         {
5976         expand_string_message = US"missing '}' closing field arg of certextract";
5977         goto EXPAND_FAILED_CURLY;
5978         }
5979       /* strip spaces fore & aft */
5980       {
5981       int len;
5982       uschar *p = sub[0];
5983
5984       while (isspace(*p)) p++;
5985       sub[0] = p;
5986
5987       len = Ustrlen(p);
5988       while (len > 0 && isspace(p[len-1])) len--;
5989       p[len] = 0;
5990       }
5991
5992       /* inspect the cert argument */
5993       while (isspace(*s)) s++;
5994       if (*s != '{')                                    /*}*/
5995         {
5996         expand_string_message = US"missing '{' for cert variable arg of certextract";
5997         goto EXPAND_FAILED_CURLY;
5998         }
5999       if (*++s != '$')
6000         {
6001         expand_string_message = US"second argument of \"certextract\" must "
6002           "be a certificate variable";
6003         goto EXPAND_FAILED;
6004         }
6005       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
6006       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
6007       if (*s++ != '}')
6008         {
6009         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6010         goto EXPAND_FAILED_CURLY;
6011         }
6012
6013       if (skipping)
6014         lookup_value = NULL;
6015       else
6016         {
6017         lookup_value = expand_getcertele(sub[0], sub[1]);
6018         if (*expand_string_message) goto EXPAND_FAILED;
6019         }
6020       switch(process_yesno(
6021                skipping,                     /* were previously skipping */
6022                lookup_value != NULL,         /* success/failure indicator */
6023                save_lookup_value,            /* value to reset for string2 */
6024                &s,                           /* input pointer */
6025                &yield,                       /* output pointer */
6026                US"certextract",              /* condition type */
6027                &resetok))
6028         {
6029         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6030         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6031         }
6032
6033       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6034         save_expand_nlength);
6035       continue;
6036       }
6037 #endif  /*SUPPORT_TLS*/
6038
6039     /* Handle list operations */
6040
6041     case EITEM_FILTER:
6042     case EITEM_MAP:
6043     case EITEM_REDUCE:
6044       {
6045       int sep = 0;
6046       int save_ptr = yield->ptr;
6047       uschar outsep[2] = { '\0', '\0' };
6048       const uschar *list, *expr, *temp;
6049       uschar *save_iterate_item = iterate_item;
6050       uschar *save_lookup_value = lookup_value;
6051
6052       while (isspace(*s)) s++;
6053       if (*s++ != '{')
6054         {
6055         expand_string_message =
6056           string_sprintf("missing '{' for first arg of %s", name);
6057         goto EXPAND_FAILED_CURLY;
6058         }
6059
6060       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6061       if (list == NULL) goto EXPAND_FAILED;
6062       if (*s++ != '}')
6063         {
6064         expand_string_message =
6065           string_sprintf("missing '}' closing first arg of %s", name);
6066         goto EXPAND_FAILED_CURLY;
6067         }
6068
6069       if (item_type == EITEM_REDUCE)
6070         {
6071         uschar * t;
6072         while (isspace(*s)) s++;
6073         if (*s++ != '{')
6074           {
6075           expand_string_message = US"missing '{' for second arg of reduce";
6076           goto EXPAND_FAILED_CURLY;
6077           }
6078         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6079         if (!t) goto EXPAND_FAILED;
6080         lookup_value = t;
6081         if (*s++ != '}')
6082           {
6083           expand_string_message = US"missing '}' closing second arg of reduce";
6084           goto EXPAND_FAILED_CURLY;
6085           }
6086         }
6087
6088       while (isspace(*s)) s++;
6089       if (*s++ != '{')
6090         {
6091         expand_string_message =
6092           string_sprintf("missing '{' for last arg of %s", name);
6093         goto EXPAND_FAILED_CURLY;
6094         }
6095
6096       expr = s;
6097
6098       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6099       if scanning a "false" part). This allows us to find the end of the
6100       condition, because if the list is empty, we won't actually evaluate the
6101       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6102       the normal internal expansion function. */
6103
6104       if (item_type == EITEM_FILTER)
6105         {
6106         temp = eval_condition(expr, &resetok, NULL);
6107         if (temp != NULL) s = temp;
6108         }
6109       else
6110         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6111
6112       if (temp == NULL)
6113         {
6114         expand_string_message = string_sprintf("%s inside \"%s\" item",
6115           expand_string_message, name);
6116         goto EXPAND_FAILED;
6117         }
6118
6119       while (isspace(*s)) s++;
6120       if (*s++ != '}')
6121         {                                               /*{*/
6122         expand_string_message = string_sprintf("missing } at end of condition "
6123           "or expression inside \"%s\"; could be an unquoted } in the content",
6124           name);
6125         goto EXPAND_FAILED;
6126         }
6127
6128       while (isspace(*s)) s++;                          /*{*/
6129       if (*s++ != '}')
6130         {                                               /*{*/
6131         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6132           name);
6133         goto EXPAND_FAILED;
6134         }
6135
6136       /* If we are skipping, we can now just move on to the next item. When
6137       processing for real, we perform the iteration. */
6138
6139       if (skipping) continue;
6140       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6141         {
6142         *outsep = (uschar)sep;      /* Separator as a string */
6143
6144         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6145                           name, iterate_item, lookup_value);
6146
6147         if (item_type == EITEM_FILTER)
6148           {
6149           BOOL condresult;
6150           if (eval_condition(expr, &resetok, &condresult) == NULL)
6151             {
6152             iterate_item = save_iterate_item;
6153             lookup_value = save_lookup_value;
6154             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6155               expand_string_message, name);
6156             goto EXPAND_FAILED;
6157             }
6158           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6159             condresult? "true":"false");
6160           if (condresult)
6161             temp = iterate_item;    /* TRUE => include this item */
6162           else
6163             continue;               /* FALSE => skip this item */
6164           }
6165
6166         /* EITEM_MAP and EITEM_REDUCE */
6167
6168         else
6169           {
6170           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
6171           temp = t;
6172           if (temp == NULL)
6173             {
6174             iterate_item = save_iterate_item;
6175             expand_string_message = string_sprintf("%s inside \"%s\" item",
6176               expand_string_message, name);
6177             goto EXPAND_FAILED;
6178             }
6179           if (item_type == EITEM_REDUCE)
6180             {
6181             lookup_value = t;         /* Update the value of $value */
6182             continue;                 /* and continue the iteration */
6183             }
6184           }
6185
6186         /* We reach here for FILTER if the condition is true, always for MAP,
6187         and never for REDUCE. The value in "temp" is to be added to the output
6188         list that is being created, ensuring that any occurrences of the
6189         separator character are doubled. Unless we are dealing with the first
6190         item of the output list, add in a space if the new item begins with the
6191         separator character, or is an empty string. */
6192
6193         if (yield->ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
6194           yield = string_catn(yield, US" ", 1);
6195
6196         /* Add the string in "temp" to the output list that we are building,
6197         This is done in chunks by searching for the separator character. */
6198
6199         for (;;)
6200           {
6201           size_t seglen = Ustrcspn(temp, outsep);
6202
6203           yield = string_catn(yield, temp, seglen + 1);
6204
6205           /* If we got to the end of the string we output one character
6206           too many; backup and end the loop. Otherwise arrange to double the
6207           separator. */
6208
6209           if (temp[seglen] == '\0') { yield->ptr--; break; }
6210           yield = string_catn(yield, outsep, 1);
6211           temp += seglen + 1;
6212           }
6213
6214         /* Output a separator after the string: we will remove the redundant
6215         final one at the end. */
6216
6217         yield = string_catn(yield, outsep, 1);
6218         }   /* End of iteration over the list loop */
6219
6220       /* REDUCE has generated no output above: output the final value of
6221       $value. */
6222
6223       if (item_type == EITEM_REDUCE)
6224         {
6225         yield = string_cat(yield, lookup_value);
6226         lookup_value = save_lookup_value;  /* Restore $value */
6227         }
6228
6229       /* FILTER and MAP generate lists: if they have generated anything, remove
6230       the redundant final separator. Even though an empty item at the end of a
6231       list does not count, this is tidier. */
6232
6233       else if (yield->ptr != save_ptr) yield->ptr--;
6234
6235       /* Restore preserved $item */
6236
6237       iterate_item = save_iterate_item;
6238       continue;
6239       }
6240
6241     case EITEM_SORT:
6242       {
6243       int sep = 0;
6244       const uschar *srclist, *cmp, *xtract;
6245       uschar *srcitem;
6246       const uschar *dstlist = NULL, *dstkeylist = NULL;
6247       uschar * tmp;
6248       uschar *save_iterate_item = iterate_item;
6249
6250       while (isspace(*s)) s++;
6251       if (*s++ != '{')
6252         {
6253         expand_string_message = US"missing '{' for list arg of sort";
6254         goto EXPAND_FAILED_CURLY;
6255         }
6256
6257       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6258       if (!srclist) goto EXPAND_FAILED;
6259       if (*s++ != '}')
6260         {
6261         expand_string_message = US"missing '}' closing list arg of sort";
6262         goto EXPAND_FAILED_CURLY;
6263         }
6264
6265       while (isspace(*s)) s++;
6266       if (*s++ != '{')
6267         {
6268         expand_string_message = US"missing '{' for comparator arg of sort";
6269         goto EXPAND_FAILED_CURLY;
6270         }
6271
6272       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
6273       if (!cmp) goto EXPAND_FAILED;
6274       if (*s++ != '}')
6275         {
6276         expand_string_message = US"missing '}' closing comparator arg of sort";
6277         goto EXPAND_FAILED_CURLY;
6278         }
6279
6280       while (isspace(*s)) s++;
6281       if (*s++ != '{')
6282         {
6283         expand_string_message = US"missing '{' for extractor arg of sort";
6284         goto EXPAND_FAILED_CURLY;
6285         }
6286
6287       xtract = s;
6288       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6289       if (!tmp) goto EXPAND_FAILED;
6290       xtract = string_copyn(xtract, s - xtract);
6291
6292       if (*s++ != '}')
6293         {
6294         expand_string_message = US"missing '}' closing extractor arg of sort";
6295         goto EXPAND_FAILED_CURLY;
6296         }
6297                                                         /*{*/
6298       if (*s++ != '}')
6299         {                                               /*{*/
6300         expand_string_message = US"missing } at end of \"sort\"";
6301         goto EXPAND_FAILED;
6302         }
6303
6304       if (skipping) continue;
6305
6306       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6307         {
6308         uschar * dstitem;
6309         gstring * newlist = NULL;
6310         gstring * newkeylist = NULL;
6311         uschar * srcfield;
6312
6313         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6314
6315         /* extract field for comparisons */
6316         iterate_item = srcitem;
6317         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
6318                                           TRUE, &resetok))
6319            || !*srcfield)
6320           {
6321           expand_string_message = string_sprintf(
6322               "field-extract in sort: \"%s\"", xtract);
6323           goto EXPAND_FAILED;
6324           }
6325
6326         /* Insertion sort */
6327
6328         /* copy output list until new-item < list-item */
6329         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6330           {
6331           uschar * dstfield;
6332           uschar * expr;
6333           BOOL before;
6334
6335           /* field for comparison */
6336           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6337             goto sort_mismatch;
6338
6339           /* build and run condition string */
6340           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
6341
6342           DEBUG(D_expand) debug_printf_indent("%s: cond = \"%s\"\n", name, expr);
6343           if (!eval_condition(expr, &resetok, &before))
6344             {
6345             expand_string_message = string_sprintf("comparison in sort: %s",
6346                 expr);
6347             goto EXPAND_FAILED;
6348             }
6349
6350           if (before)
6351             {
6352             /* New-item sorts before this dst-item.  Append new-item,
6353             then dst-item, then remainder of dst list. */
6354
6355             newlist = string_append_listele(newlist, sep, srcitem);
6356             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6357             srcitem = NULL;
6358
6359             newlist = string_append_listele(newlist, sep, dstitem);
6360             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6361
6362             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6363               {
6364               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6365                 goto sort_mismatch;
6366               newlist = string_append_listele(newlist, sep, dstitem);
6367               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6368               }
6369
6370             break;
6371             }
6372
6373           newlist = string_append_listele(newlist, sep, dstitem);
6374           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6375           }
6376
6377         /* If we ran out of dstlist without consuming srcitem, append it */
6378         if (srcitem)
6379           {
6380           newlist = string_append_listele(newlist, sep, srcitem);
6381           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6382           }
6383
6384         dstlist = newlist->s;
6385         dstkeylist = newkeylist->s;
6386
6387         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6388         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6389         }
6390
6391       if (dstlist)
6392         yield = string_cat(yield, dstlist);
6393
6394       /* Restore preserved $item */
6395       iterate_item = save_iterate_item;
6396       continue;
6397
6398       sort_mismatch:
6399         expand_string_message = US"Internal error in sort (list mismatch)";
6400         goto EXPAND_FAILED;
6401       }
6402
6403
6404     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6405     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6406     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6407     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6408
6409     #define EXPAND_DLFUNC_MAX_ARGS 8
6410
6411     case EITEM_DLFUNC:
6412 #ifndef EXPAND_DLFUNC
6413       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6414         "is not included in this binary";
6415       goto EXPAND_FAILED;
6416
6417 #else   /* EXPAND_DLFUNC */
6418       {
6419       tree_node *t;
6420       exim_dlfunc_t *func;
6421       uschar *result;
6422       int status, argc;
6423       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6424
6425       if ((expand_forbid & RDO_DLFUNC) != 0)
6426         {
6427         expand_string_message =
6428           US"dynamically-loaded functions are not permitted";
6429         goto EXPAND_FAILED;
6430         }
6431
6432       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6433            TRUE, US"dlfunc", &resetok))
6434         {
6435         case 1: goto EXPAND_FAILED_CURLY;
6436         case 2:
6437         case 3: goto EXPAND_FAILED;
6438         }
6439
6440       /* If skipping, we don't actually do anything */
6441
6442       if (skipping) continue;
6443
6444       /* Look up the dynamically loaded object handle in the tree. If it isn't
6445       found, dlopen() the file and put the handle in the tree for next time. */
6446
6447       if (!(t = tree_search(dlobj_anchor, argv[0])))
6448         {
6449         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6450         if (handle == NULL)
6451           {
6452           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6453             argv[0], dlerror());
6454           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6455           goto EXPAND_FAILED;
6456           }
6457         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
6458         Ustrcpy(t->name, argv[0]);
6459         t->data.ptr = handle;
6460         (void)tree_insertnode(&dlobj_anchor, t);
6461         }
6462
6463       /* Having obtained the dynamically loaded object handle, look up the
6464       function pointer. */
6465
6466       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
6467       if (func == NULL)
6468         {
6469         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6470           "%s", argv[1], argv[0], dlerror());
6471         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6472         goto EXPAND_FAILED;
6473         }
6474
6475       /* Call the function and work out what to do with the result. If it
6476       returns OK, we have a replacement string; if it returns DEFER then
6477       expansion has failed in a non-forced manner; if it returns FAIL then
6478       failure was forced; if it returns ERROR or any other value there's a
6479       problem, so panic slightly. In any case, assume that the function has
6480       side-effects on the store that must be preserved. */
6481
6482       resetok = FALSE;
6483       result = NULL;
6484       for (argc = 0; argv[argc] != NULL; argc++);
6485       status = func(&result, argc - 2, &argv[2]);
6486       if(status == OK)
6487         {
6488         if (result == NULL) result = US"";
6489         yield = string_cat(yield, result);
6490         continue;
6491         }
6492       else
6493         {
6494         expand_string_message = result == NULL ? US"(no message)" : result;
6495         if(status == FAIL_FORCED) f.expand_string_forcedfail = TRUE;
6496           else if(status != FAIL)
6497             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6498               argv[0], argv[1], status, expand_string_message);
6499         goto EXPAND_FAILED;
6500         }
6501       }
6502 #endif /* EXPAND_DLFUNC */
6503
6504     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6505       {
6506       uschar * key;
6507       uschar *save_lookup_value = lookup_value;
6508
6509       while (isspace(*s)) s++;
6510       if (*s != '{')                                    /*}*/
6511         goto EXPAND_FAILED;
6512
6513       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6514       if (!key) goto EXPAND_FAILED;                     /*{*/
6515       if (*s++ != '}')
6516         {
6517         expand_string_message = US"missing '{' for name arg of env";
6518         goto EXPAND_FAILED_CURLY;
6519         }
6520
6521       lookup_value = US getenv(CS key);
6522
6523       switch(process_yesno(
6524                skipping,                     /* were previously skipping */
6525                lookup_value != NULL,         /* success/failure indicator */
6526                save_lookup_value,            /* value to reset for string2 */
6527                &s,                           /* input pointer */
6528                &yield,                       /* output pointer */
6529                US"env",                      /* condition type */
6530                &resetok))
6531         {
6532         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6533         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6534         }
6535       continue;
6536       }
6537     }   /* EITEM_* switch */
6538
6539   /* Control reaches here if the name is not recognized as one of the more
6540   complicated expansion items. Check for the "operator" syntax (name terminated
6541   by a colon). Some of the operators have arguments, separated by _ from the
6542   name. */
6543
6544   if (*s == ':')
6545     {
6546     int c;
6547     uschar *arg = NULL;
6548     uschar *sub;
6549 #ifdef SUPPORT_TLS
6550     var_entry *vp = NULL;
6551 #endif
6552
6553     /* Owing to an historical mis-design, an underscore may be part of the
6554     operator name, or it may introduce arguments.  We therefore first scan the
6555     table of names that contain underscores. If there is no match, we cut off
6556     the arguments and then scan the main table. */
6557
6558     if ((c = chop_match(name, op_table_underscore,
6559                         nelem(op_table_underscore))) < 0)
6560       {
6561       arg = Ustrchr(name, '_');
6562       if (arg != NULL) *arg = 0;
6563       c = chop_match(name, op_table_main, nelem(op_table_main));
6564       if (c >= 0) c += nelem(op_table_underscore);
6565       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6566       }
6567
6568     /* Deal specially with operators that might take a certificate variable
6569     as we do not want to do the usual expansion. For most, expand the string.*/
6570     switch(c)
6571       {
6572 #ifdef SUPPORT_TLS
6573       case EOP_MD5:
6574       case EOP_SHA1:
6575       case EOP_SHA256:
6576       case EOP_BASE64:
6577         if (s[1] == '$')
6578           {
6579           const uschar * s1 = s;
6580           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6581                   FALSE, &resetok);
6582           if (!sub)       goto EXPAND_FAILED;           /*{*/
6583           if (*s1 != '}')
6584             {
6585             expand_string_message =
6586               string_sprintf("missing '}' closing cert arg of %s", name);
6587             goto EXPAND_FAILED_CURLY;
6588             }
6589           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6590             {
6591             s = s1+1;
6592             break;
6593             }
6594           vp = NULL;
6595           }
6596         /*FALLTHROUGH*/
6597 #endif
6598       default:
6599         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6600         if (!sub) goto EXPAND_FAILED;
6601         s++;
6602         break;
6603       }
6604
6605     /* If we are skipping, we don't need to perform the operation at all.
6606     This matters for operations like "mask", because the data may not be
6607     in the correct format when skipping. For example, the expression may test
6608     for the existence of $sender_host_address before trying to mask it. For
6609     other operations, doing them may not fail, but it is a waste of time. */
6610
6611     if (skipping && c >= 0) continue;
6612
6613     /* Otherwise, switch on the operator type */
6614
6615     switch(c)
6616       {
6617       case EOP_BASE32:
6618         {
6619         uschar *t;
6620         unsigned long int n = Ustrtoul(sub, &t, 10);
6621         gstring * g = NULL;
6622
6623         if (*t != 0)
6624           {
6625           expand_string_message = string_sprintf("argument for base32 "
6626             "operator is \"%s\", which is not a decimal number", sub);
6627           goto EXPAND_FAILED;
6628           }
6629         for ( ; n; n >>= 5)
6630           g = string_catn(g, &base32_chars[n & 0x1f], 1);
6631
6632         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
6633         continue;
6634         }
6635
6636       case EOP_BASE32D:
6637         {
6638         uschar *tt = sub;
6639         unsigned long int n = 0;
6640         uschar * s;
6641         while (*tt)
6642           {
6643           uschar * t = Ustrchr(base32_chars, *tt++);
6644           if (t == NULL)
6645             {
6646             expand_string_message = string_sprintf("argument for base32d "
6647               "operator is \"%s\", which is not a base 32 number", sub);
6648             goto EXPAND_FAILED;
6649             }
6650           n = n * 32 + (t - base32_chars);
6651           }
6652         s = string_sprintf("%ld", n);
6653         yield = string_cat(yield, s);
6654         continue;
6655         }
6656
6657       case EOP_BASE62:
6658         {
6659         uschar *t;
6660         unsigned long int n = Ustrtoul(sub, &t, 10);
6661         if (*t != 0)
6662           {
6663           expand_string_message = string_sprintf("argument for base62 "
6664             "operator is \"%s\", which is not a decimal number", sub);
6665           goto EXPAND_FAILED;
6666           }
6667         t = string_base62(n);
6668         yield = string_cat(yield, t);
6669         continue;
6670         }
6671
6672       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6673
6674       case EOP_BASE62D:
6675         {
6676         uschar *tt = sub;
6677         unsigned long int n = 0;
6678         while (*tt != 0)
6679           {
6680           uschar *t = Ustrchr(base62_chars, *tt++);
6681           if (t == NULL)
6682             {
6683             expand_string_message = string_sprintf("argument for base62d "
6684               "operator is \"%s\", which is not a base %d number", sub,
6685               BASE_62);
6686             goto EXPAND_FAILED;
6687             }
6688           n = n * BASE_62 + (t - base62_chars);
6689           }
6690         yield = string_fmt_append(yield, "%ld", n);
6691         continue;
6692         }
6693
6694       case EOP_EXPAND:
6695         {
6696         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6697         if (expanded == NULL)
6698           {
6699           expand_string_message =
6700             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6701               expand_string_message);
6702           goto EXPAND_FAILED;
6703           }
6704         yield = string_cat(yield, expanded);
6705         continue;
6706         }
6707
6708       case EOP_LC:
6709         {
6710         int count = 0;
6711         uschar *t = sub - 1;
6712         while (*(++t) != 0) { *t = tolower(*t); count++; }
6713         yield = string_catn(yield, sub, count);
6714         continue;
6715         }
6716
6717       case EOP_UC:
6718         {
6719         int count = 0;
6720         uschar *t = sub - 1;
6721         while (*(++t) != 0) { *t = toupper(*t); count++; }
6722         yield = string_catn(yield, sub, count);
6723         continue;
6724         }
6725
6726       case EOP_MD5:
6727 #ifdef SUPPORT_TLS
6728         if (vp && *(void **)vp->value)
6729           {
6730           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6731           yield = string_cat(yield, cp);
6732           }
6733         else
6734 #endif
6735           {
6736           md5 base;
6737           uschar digest[16];
6738           md5_start(&base);
6739           md5_end(&base, sub, Ustrlen(sub), digest);
6740           for (int j = 0; j < 16; j++)
6741             yield = string_fmt_append(yield, "%02x", digest[j]);
6742           }
6743         continue;
6744
6745       case EOP_SHA1:
6746 #ifdef SUPPORT_TLS
6747         if (vp && *(void **)vp->value)
6748           {
6749           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6750           yield = string_cat(yield, cp);
6751           }
6752         else
6753 #endif
6754           {
6755           hctx h;
6756           uschar digest[20];
6757           sha1_start(&h);
6758           sha1_end(&h, sub, Ustrlen(sub), digest);
6759           for (int j = 0; j < 20; j++)
6760             yield = string_fmt_append(yield, "%02X", digest[j]);
6761           }
6762         continue;
6763
6764       case EOP_SHA256:
6765 #ifdef EXIM_HAVE_SHA2
6766         if (vp && *(void **)vp->value)
6767           {
6768           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6769           yield = string_cat(yield, cp);
6770           }
6771         else
6772           {
6773           hctx h;
6774           blob b;
6775
6776           if (!exim_sha_init(&h, HASH_SHA2_256))
6777             {
6778             expand_string_message = US"unrecognised sha256 variant";
6779             goto EXPAND_FAILED;
6780             }
6781           exim_sha_update(&h, sub, Ustrlen(sub));
6782           exim_sha_finish(&h, &b);
6783           while (b.len-- > 0)
6784             yield = string_fmt_append(yield, "%02X", *b.data++);
6785           }
6786 #else
6787           expand_string_message = US"sha256 only supported with TLS";
6788 #endif
6789         continue;
6790
6791       case EOP_SHA3:
6792 #ifdef EXIM_HAVE_SHA3
6793         {
6794         hctx h;
6795         blob b;
6796         hashmethod m = !arg ? HASH_SHA3_256
6797           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
6798           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
6799           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
6800           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
6801           : HASH_BADTYPE;
6802
6803         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
6804           {
6805           expand_string_message = US"unrecognised sha3 variant";
6806           goto EXPAND_FAILED;
6807           }
6808
6809         exim_sha_update(&h, sub, Ustrlen(sub));
6810         exim_sha_finish(&h, &b);
6811         while (b.len-- > 0)
6812           yield = string_fmt_append(yield, "%02X", *b.data++);
6813         }
6814         continue;
6815 #else
6816         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
6817         goto EXPAND_FAILED;
6818 #endif
6819
6820       /* Convert hex encoding to base64 encoding */
6821
6822       case EOP_HEX2B64:
6823         {
6824         int c = 0;
6825         int b = -1;
6826         uschar *in = sub;
6827         uschar *out = sub;
6828         uschar *enc;
6829
6830         for (enc = sub; *enc; enc++)
6831           {
6832           if (!isxdigit(*enc))
6833             {
6834             expand_string_message = string_sprintf("\"%s\" is not a hex "
6835               "string", sub);
6836             goto EXPAND_FAILED;
6837             }
6838           c++;
6839           }
6840
6841         if ((c & 1) != 0)
6842           {
6843           expand_string_message = string_sprintf("\"%s\" contains an odd "
6844             "number of characters", sub);
6845           goto EXPAND_FAILED;
6846           }
6847
6848         while ((c = *in++) != 0)
6849           {
6850           if (isdigit(c)) c -= '0';
6851           else c = toupper(c) - 'A' + 10;
6852           if (b == -1)
6853             b = c << 4;
6854           else
6855             {
6856             *out++ = b | c;
6857             b = -1;
6858             }
6859           }
6860
6861         enc = b64encode(CUS sub, out - sub);
6862         yield = string_cat(yield, enc);
6863         continue;
6864         }
6865
6866       /* Convert octets outside 0x21..0x7E to \xXX form */
6867
6868       case EOP_HEXQUOTE:
6869         {
6870         uschar *t = sub - 1;
6871         while (*(++t) != 0)
6872           {
6873           if (*t < 0x21 || 0x7E < *t)
6874             yield = string_fmt_append(yield, "\\x%02x", *t);
6875           else
6876             yield = string_catn(yield, t, 1);
6877           }
6878         continue;
6879         }
6880
6881       /* count the number of list elements */
6882
6883       case EOP_LISTCOUNT:
6884         {
6885         int cnt = 0;
6886         int sep = 0;
6887         uschar buffer[256];
6888
6889         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6890         yield = string_fmt_append(yield, "%d", cnt);
6891         continue;
6892         }
6893
6894       /* expand a named list given the name */
6895       /* handles nested named lists; requotes as colon-sep list */
6896
6897       case EOP_LISTNAMED:
6898         {
6899         tree_node *t = NULL;
6900         const uschar * list;
6901         int sep = 0;
6902         uschar * item;
6903         uschar * suffix = US"";
6904         BOOL needsep = FALSE;
6905         uschar buffer[256];
6906
6907         if (*sub == '+') sub++;
6908         if (arg == NULL)        /* no-argument version */
6909           {
6910           if (!(t = tree_search(addresslist_anchor, sub)) &&
6911               !(t = tree_search(domainlist_anchor,  sub)) &&
6912               !(t = tree_search(hostlist_anchor,    sub)))
6913             t = tree_search(localpartlist_anchor, sub);
6914           }
6915         else switch(*arg)       /* specific list-type version */
6916           {
6917           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6918           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6919           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6920           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6921           default:
6922             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6923             goto EXPAND_FAILED;
6924           }
6925
6926         if(!t)
6927           {
6928           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6929             sub, !arg?""
6930               : *arg=='a'?"address "
6931               : *arg=='d'?"domain "
6932               : *arg=='h'?"host "
6933               : *arg=='l'?"localpart "
6934               : 0);
6935           goto EXPAND_FAILED;
6936           }
6937
6938         list = ((namedlist_block *)(t->data.ptr))->string;
6939
6940         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
6941           {
6942           uschar * buf = US" : ";
6943           if (needsep)
6944             yield = string_catn(yield, buf, 3);
6945           else
6946             needsep = TRUE;
6947
6948           if (*item == '+')     /* list item is itself a named list */
6949             {
6950             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6951             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6952             }
6953           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6954             {
6955             char * cp;
6956             char tok[3];
6957             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6958             while ((cp= strpbrk(CCS item, tok)))
6959               {
6960               yield = string_catn(yield, item, cp - CS item);
6961               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6962                 {
6963                 yield = string_catn(yield, US"::", 2);
6964                 item = US cp;
6965                 }
6966               else              /* sep in item; should already be doubled; emit once */
6967                 {
6968                 yield = string_catn(yield, US tok, 1);
6969                 if (*cp == sep) cp++;
6970                 item = US cp;
6971                 }
6972               }
6973             }
6974           yield = string_cat(yield, item);
6975           }
6976         continue;
6977         }
6978
6979       /* mask applies a mask to an IP address; for example the result of
6980       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6981
6982       case EOP_MASK:
6983         {
6984         int count;
6985         uschar *endptr;
6986         int binary[4];
6987         int mask, maskoffset;
6988         int type = string_is_ip_address(sub, &maskoffset);
6989         uschar buffer[64];
6990
6991         if (type == 0)
6992           {
6993           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6994            sub);
6995           goto EXPAND_FAILED;
6996           }
6997
6998         if (maskoffset == 0)
6999           {
7000           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7001             sub);
7002           goto EXPAND_FAILED;
7003           }
7004
7005         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7006
7007         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
7008           {
7009           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7010             sub);
7011           goto EXPAND_FAILED;
7012           }
7013
7014         /* Convert the address to binary integer(s) and apply the mask */
7015
7016         sub[maskoffset] = 0;
7017         count = host_aton(sub, binary);
7018         host_mask(count, binary, mask);
7019
7020         /* Convert to masked textual format and add to output. */
7021
7022         yield = string_catn(yield, buffer,
7023           host_nmtoa(count, binary, mask, buffer, '.'));
7024         continue;
7025         }
7026
7027       case EOP_IPV6NORM:
7028       case EOP_IPV6DENORM:
7029         {
7030         int type = string_is_ip_address(sub, NULL);
7031         int binary[4];
7032         uschar buffer[44];
7033
7034         switch (type)
7035           {
7036           case 6:
7037             (void) host_aton(sub, binary);
7038             break;
7039
7040           case 4:       /* convert to IPv4-mapped IPv6 */
7041             binary[0] = binary[1] = 0;
7042             binary[2] = 0x0000ffff;
7043             (void) host_aton(sub, binary+3);
7044             break;
7045
7046           case 0:
7047             expand_string_message =
7048               string_sprintf("\"%s\" is not an IP address", sub);
7049             goto EXPAND_FAILED;
7050           }
7051
7052         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7053                     ? ipv6_nmtoa(binary, buffer)
7054                     : host_nmtoa(4, binary, -1, buffer, ':')
7055                   );
7056         continue;
7057         }
7058
7059       case EOP_ADDRESS:
7060       case EOP_LOCAL_PART:
7061       case EOP_DOMAIN:
7062         {
7063         uschar * error;
7064         int start, end, domain;
7065         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7066           FALSE);
7067         if (t)
7068           if (c != EOP_DOMAIN)
7069             {
7070             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
7071             yield = string_catn(yield, sub+start, end-start);
7072             }
7073           else if (domain != 0)
7074             {
7075             domain += start;
7076             yield = string_catn(yield, sub+domain, end-domain);
7077             }
7078         continue;
7079         }
7080
7081       case EOP_ADDRESSES:
7082         {
7083         uschar outsep[2] = { ':', '\0' };
7084         uschar *address, *error;
7085         int save_ptr = yield->ptr;
7086         int start, end, domain;  /* Not really used */
7087
7088         while (isspace(*sub)) sub++;
7089         if (*sub == '>')
7090           if (*outsep = *++sub) ++sub;
7091           else
7092             {
7093             expand_string_message = string_sprintf("output separator "
7094               "missing in expanding ${addresses:%s}", --sub);
7095             goto EXPAND_FAILED;
7096             }
7097         f.parse_allow_group = TRUE;
7098
7099         for (;;)
7100           {
7101           uschar *p = parse_find_address_end(sub, FALSE);
7102           uschar saveend = *p;
7103           *p = '\0';
7104           address = parse_extract_address(sub, &error, &start, &end, &domain,
7105             FALSE);
7106           *p = saveend;
7107
7108           /* Add the address to the output list that we are building. This is
7109           done in chunks by searching for the separator character. At the
7110           start, unless we are dealing with the first address of the output
7111           list, add in a space if the new address begins with the separator
7112           character, or is an empty string. */
7113
7114           if (address != NULL)
7115             {
7116             if (yield->ptr != save_ptr && address[0] == *outsep)
7117               yield = string_catn(yield, US" ", 1);
7118
7119             for (;;)
7120               {
7121               size_t seglen = Ustrcspn(address, outsep);
7122               yield = string_catn(yield, address, seglen + 1);
7123
7124               /* If we got to the end of the string we output one character
7125               too many. */
7126
7127               if (address[seglen] == '\0') { yield->ptr--; break; }
7128               yield = string_catn(yield, outsep, 1);
7129               address += seglen + 1;
7130               }
7131
7132             /* Output a separator after the string: we will remove the
7133             redundant final one at the end. */
7134
7135             yield = string_catn(yield, outsep, 1);
7136             }
7137
7138           if (saveend == '\0') break;
7139           sub = p + 1;
7140           }
7141
7142         /* If we have generated anything, remove the redundant final
7143         separator. */
7144
7145         if (yield->ptr != save_ptr) yield->ptr--;
7146         f.parse_allow_group = FALSE;
7147         continue;
7148         }
7149
7150
7151       /* quote puts a string in quotes if it is empty or contains anything
7152       other than alphamerics, underscore, dot, or hyphen.
7153
7154       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7155       be quoted in order to be a valid local part.
7156
7157       In both cases, newlines and carriage returns are converted into \n and \r
7158       respectively */
7159
7160       case EOP_QUOTE:
7161       case EOP_QUOTE_LOCAL_PART:
7162       if (arg == NULL)
7163         {
7164         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
7165         uschar *t = sub - 1;
7166
7167         if (c == EOP_QUOTE)
7168           {
7169           while (!needs_quote && *(++t) != 0)
7170             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7171           }
7172         else  /* EOP_QUOTE_LOCAL_PART */
7173           {
7174           while (!needs_quote && *(++t) != 0)
7175             needs_quote = !isalnum(*t) &&
7176               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
7177               (*t != '.' || t == sub || t[1] == 0);
7178           }
7179
7180         if (needs_quote)
7181           {
7182           yield = string_catn(yield, US"\"", 1);
7183           t = sub - 1;
7184           while (*(++t) != 0)
7185             {
7186             if (*t == '\n')
7187               yield = string_catn(yield, US"\\n", 2);
7188             else if (*t == '\r')
7189               yield = string_catn(yield, US"\\r", 2);
7190             else
7191               {
7192               if (*t == '\\' || *t == '"')
7193                 yield = string_catn(yield, US"\\", 1);
7194               yield = string_catn(yield, t, 1);
7195               }
7196             }
7197           yield = string_catn(yield, US"\"", 1);
7198           }
7199         else yield = string_cat(yield, sub);
7200         continue;
7201         }
7202
7203       /* quote_lookuptype does lookup-specific quoting */
7204
7205       else
7206         {
7207         int n;
7208         uschar *opt = Ustrchr(arg, '_');
7209
7210         if (opt != NULL) *opt++ = 0;
7211
7212         n = search_findtype(arg, Ustrlen(arg));
7213         if (n < 0)
7214           {
7215           expand_string_message = search_error_message;
7216           goto EXPAND_FAILED;
7217           }
7218
7219         if (lookup_list[n]->quote != NULL)
7220           sub = (lookup_list[n]->quote)(sub, opt);
7221         else if (opt != NULL) sub = NULL;
7222
7223         if (sub == NULL)
7224           {
7225           expand_string_message = string_sprintf(
7226             "\"%s\" unrecognized after \"${quote_%s\"",
7227             opt, arg);
7228           goto EXPAND_FAILED;
7229           }
7230
7231         yield = string_cat(yield, sub);
7232         continue;
7233         }
7234
7235       /* rx quote sticks in \ before any non-alphameric character so that
7236       the insertion works in a regular expression. */
7237
7238       case EOP_RXQUOTE:
7239         {
7240         uschar *t = sub - 1;
7241         while (*(++t) != 0)
7242           {
7243           if (!isalnum(*t))
7244             yield = string_catn(yield, US"\\", 1);
7245           yield = string_catn(yield, t, 1);
7246           }
7247         continue;
7248         }
7249
7250       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7251       prescribed by the RFC, if there are characters that need to be encoded */
7252
7253       case EOP_RFC2047:
7254         {
7255         uschar buffer[2048];
7256         yield = string_cat(yield,
7257                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7258                               buffer, sizeof(buffer), FALSE));
7259         continue;
7260         }
7261
7262       /* RFC 2047 decode */
7263
7264       case EOP_RFC2047D:
7265         {
7266         int len;
7267         uschar *error;
7268         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7269           headers_charset, '?', &len, &error);
7270         if (error != NULL)
7271           {
7272           expand_string_message = error;
7273           goto EXPAND_FAILED;
7274           }
7275         yield = string_catn(yield, decoded, len);
7276         continue;
7277         }
7278
7279       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7280       underscores */
7281
7282       case EOP_FROM_UTF8:
7283         {
7284         while (*sub != 0)
7285           {
7286           int c;
7287           uschar buff[4];
7288           GETUTF8INC(c, sub);
7289           if (c > 255) c = '_';
7290           buff[0] = c;
7291           yield = string_catn(yield, buff, 1);
7292           }
7293         continue;
7294         }
7295
7296           /* replace illegal UTF-8 sequences by replacement character  */
7297
7298       #define UTF8_REPLACEMENT_CHAR US"?"
7299
7300       case EOP_UTF8CLEAN:
7301         {
7302         int seq_len = 0, index = 0;
7303         int bytes_left = 0;
7304         long codepoint = -1;
7305         int complete;
7306         uschar seq_buff[4];                     /* accumulate utf-8 here */
7307
7308         while (*sub != 0)
7309           {
7310           complete = 0;
7311           uschar c = *sub++;
7312
7313           if (bytes_left)
7314             {
7315             if ((c & 0xc0) != 0x80)
7316                     /* wrong continuation byte; invalidate all bytes */
7317               complete = 1; /* error */
7318             else
7319               {
7320               codepoint = (codepoint << 6) | (c & 0x3f);
7321               seq_buff[index++] = c;
7322               if (--bytes_left == 0)            /* codepoint complete */
7323                 if(codepoint > 0x10FFFF)        /* is it too large? */
7324                   complete = -1;        /* error (RFC3629 limit) */
7325                 else
7326                   {             /* finished; output utf-8 sequence */
7327                   yield = string_catn(yield, seq_buff, seq_len);
7328                   index = 0;
7329                   }
7330               }
7331             }
7332           else  /* no bytes left: new sequence */
7333             {
7334             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7335               {
7336               yield = string_catn(yield, &c, 1);
7337               continue;
7338               }
7339             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7340               {
7341               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7342                 complete = -1;
7343               else
7344                 {
7345                   bytes_left = 1;
7346                   codepoint = c & 0x1f;
7347                 }
7348               }
7349             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7350               {
7351               bytes_left = 2;
7352               codepoint = c & 0x0f;
7353               }
7354             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7355               {
7356               bytes_left = 3;
7357               codepoint = c & 0x07;
7358               }
7359             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7360               complete = -1;
7361
7362             seq_buff[index++] = c;
7363             seq_len = bytes_left + 1;
7364             }           /* if(bytes_left) */
7365
7366           if (complete != 0)
7367             {
7368             bytes_left = index = 0;
7369             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7370             }
7371           if ((complete == 1) && ((c & 0x80) == 0))
7372                         /* ASCII character follows incomplete sequence */
7373               yield = string_catn(yield, &c, 1);
7374           }
7375         /* If given a sequence truncated mid-character, we also want to report ?
7376         * Eg, ${length_1:フィル} is one byte, not one character, so we expect
7377         * ${utf8clean:${length_1:フィル}} to yield '?' */
7378         if (bytes_left != 0)
7379           {
7380           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7381           }
7382         continue;
7383         }
7384
7385 #ifdef SUPPORT_I18N
7386       case EOP_UTF8_DOMAIN_TO_ALABEL:
7387         {
7388         uschar * error = NULL;
7389         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7390         if (error)
7391           {
7392           expand_string_message = string_sprintf(
7393             "error converting utf8 (%s) to alabel: %s",
7394             string_printing(sub), error);
7395           goto EXPAND_FAILED;
7396           }
7397         yield = string_cat(yield, s);
7398         continue;
7399         }
7400
7401       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7402         {
7403         uschar * error = NULL;
7404         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7405         if (error)
7406           {
7407           expand_string_message = string_sprintf(
7408             "error converting alabel (%s) to utf8: %s",
7409             string_printing(sub), error);
7410           goto EXPAND_FAILED;
7411           }
7412         yield = string_cat(yield, s);
7413         continue;
7414         }
7415
7416       case EOP_UTF8_LOCALPART_TO_ALABEL:
7417         {
7418         uschar * error = NULL;
7419         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7420         if (error)
7421           {
7422           expand_string_message = string_sprintf(
7423             "error converting utf8 (%s) to alabel: %s",
7424             string_printing(sub), error);
7425           goto EXPAND_FAILED;
7426           }
7427         yield = string_cat(yield, s);
7428         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7429         continue;
7430         }
7431
7432       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7433         {
7434         uschar * error = NULL;
7435         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7436         if (error)
7437           {
7438           expand_string_message = string_sprintf(
7439             "error converting alabel (%s) to utf8: %s",
7440             string_printing(sub), error);
7441           goto EXPAND_FAILED;
7442           }
7443         yield = string_cat(yield, s);
7444         continue;
7445         }
7446 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7447
7448       /* escape turns all non-printing characters into escape sequences. */
7449
7450       case EOP_ESCAPE:
7451         {
7452         const uschar * t = string_printing(sub);
7453         yield = string_cat(yield, t);
7454         continue;
7455         }
7456
7457       case EOP_ESCAPE8BIT:
7458         {
7459         uschar c;
7460
7461         for (const uschar * s = sub; (c = *s); s++)
7462           yield = c < 127 && c != '\\'
7463             ? string_catn(yield, s, 1)
7464             : string_fmt_append(yield, "\\%03o", c);
7465         continue;
7466         }
7467
7468       /* Handle numeric expression evaluation */
7469
7470       case EOP_EVAL:
7471       case EOP_EVAL10:
7472         {
7473         uschar *save_sub = sub;
7474         uschar *error = NULL;
7475         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7476         if (error)
7477           {
7478           expand_string_message = string_sprintf("error in expression "
7479             "evaluation: %s (after processing \"%.*s\")", error,
7480             (int)(sub-save_sub), save_sub);
7481           goto EXPAND_FAILED;
7482           }
7483         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
7484         continue;
7485         }
7486
7487       /* Handle time period formating */
7488
7489       case EOP_TIME_EVAL:
7490         {
7491         int n = readconf_readtime(sub, 0, FALSE);
7492         if (n < 0)
7493           {
7494           expand_string_message = string_sprintf("string \"%s\" is not an "
7495             "Exim time interval in \"%s\" operator", sub, name);
7496           goto EXPAND_FAILED;
7497           }
7498         yield = string_fmt_append(yield, "%d", n);
7499         continue;
7500         }
7501
7502       case EOP_TIME_INTERVAL:
7503         {
7504         int n;
7505         uschar *t = read_number(&n, sub);
7506         if (*t != 0) /* Not A Number*/
7507           {
7508           expand_string_message = string_sprintf("string \"%s\" is not a "
7509             "positive number in \"%s\" operator", sub, name);
7510           goto EXPAND_FAILED;
7511           }
7512         t = readconf_printtime(n);
7513         yield = string_cat(yield, t);
7514         continue;
7515         }
7516
7517       /* Convert string to base64 encoding */
7518
7519       case EOP_STR2B64:
7520       case EOP_BASE64:
7521         {
7522 #ifdef SUPPORT_TLS
7523         uschar * s = vp && *(void **)vp->value
7524           ? tls_cert_der_b64(*(void **)vp->value)
7525           : b64encode(CUS sub, Ustrlen(sub));
7526 #else
7527         uschar * s = b64encode(CUS sub, Ustrlen(sub));
7528 #endif
7529         yield = string_cat(yield, s);
7530         continue;
7531         }
7532
7533       case EOP_BASE64D:
7534         {
7535         uschar * s;
7536         int len = b64decode(sub, &s);
7537         if (len < 0)
7538           {
7539           expand_string_message = string_sprintf("string \"%s\" is not "
7540             "well-formed for \"%s\" operator", sub, name);
7541           goto EXPAND_FAILED;
7542           }
7543         yield = string_cat(yield, s);
7544         continue;
7545         }
7546
7547       /* strlen returns the length of the string */
7548
7549       case EOP_STRLEN:
7550         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
7551         continue;
7552
7553       /* length_n or l_n takes just the first n characters or the whole string,
7554       whichever is the shorter;
7555
7556       substr_m_n, and s_m_n take n characters from offset m; negative m take
7557       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7558       takes the rest, either to the right or to the left.
7559
7560       hash_n or h_n makes a hash of length n from the string, yielding n
7561       characters from the set a-z; hash_n_m makes a hash of length n, but
7562       uses m characters from the set a-zA-Z0-9.
7563
7564       nhash_n returns a single number between 0 and n-1 (in text form), while
7565       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7566       between 0 and n-1 and the second between 0 and m-1. */
7567
7568       case EOP_LENGTH:
7569       case EOP_L:
7570       case EOP_SUBSTR:
7571       case EOP_S:
7572       case EOP_HASH:
7573       case EOP_H:
7574       case EOP_NHASH:
7575       case EOP_NH:
7576         {
7577         int sign = 1;
7578         int value1 = 0;
7579         int value2 = -1;
7580         int *pn;
7581         int len;
7582         uschar *ret;
7583
7584         if (!arg)
7585           {
7586           expand_string_message = string_sprintf("missing values after %s",
7587             name);
7588           goto EXPAND_FAILED;
7589           }
7590
7591         /* "length" has only one argument, effectively being synonymous with
7592         substr_0_n. */
7593
7594         if (c == EOP_LENGTH || c == EOP_L)
7595           {
7596           pn = &value2;
7597           value2 = 0;
7598           }
7599
7600         /* The others have one or two arguments; for "substr" the first may be
7601         negative. The second being negative means "not supplied". */
7602
7603         else
7604           {
7605           pn = &value1;
7606           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7607           }
7608
7609         /* Read up to two numbers, separated by underscores */
7610
7611         ret = arg;
7612         while (*arg != 0)
7613           {
7614           if (arg != ret && *arg == '_' && pn == &value1)
7615             {
7616             pn = &value2;
7617             value2 = 0;
7618             if (arg[1] != 0) arg++;
7619             }
7620           else if (!isdigit(*arg))
7621             {
7622             expand_string_message =
7623               string_sprintf("non-digit after underscore in \"%s\"", name);
7624             goto EXPAND_FAILED;
7625             }
7626           else *pn = (*pn)*10 + *arg++ - '0';
7627           }
7628         value1 *= sign;
7629
7630         /* Perform the required operation */
7631
7632         ret =
7633           (c == EOP_HASH || c == EOP_H)?
7634              compute_hash(sub, value1, value2, &len) :
7635           (c == EOP_NHASH || c == EOP_NH)?
7636              compute_nhash(sub, value1, value2, &len) :
7637              extract_substr(sub, value1, value2, &len);
7638
7639         if (ret == NULL) goto EXPAND_FAILED;
7640         yield = string_catn(yield, ret, len);
7641         continue;
7642         }
7643
7644       /* Stat a path */
7645
7646       case EOP_STAT:
7647         {
7648         uschar smode[12];
7649         uschar **modetable[3];
7650         mode_t mode;
7651         struct stat st;
7652
7653         if (expand_forbid & RDO_EXISTS)
7654           {
7655           expand_string_message = US"Use of the stat() expansion is not permitted";
7656           goto EXPAND_FAILED;
7657           }
7658
7659         if (stat(CS sub, &st) < 0)
7660           {
7661           expand_string_message = string_sprintf("stat(%s) failed: %s",
7662             sub, strerror(errno));
7663           goto EXPAND_FAILED;
7664           }
7665         mode = st.st_mode;
7666         switch (mode & S_IFMT)
7667           {
7668           case S_IFIFO: smode[0] = 'p'; break;
7669           case S_IFCHR: smode[0] = 'c'; break;
7670           case S_IFDIR: smode[0] = 'd'; break;
7671           case S_IFBLK: smode[0] = 'b'; break;
7672           case S_IFREG: smode[0] = '-'; break;
7673           default: smode[0] = '?'; break;
7674           }
7675
7676         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7677         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7678         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7679
7680         for (int i = 0; i < 3; i++)
7681           {
7682           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7683           mode >>= 3;
7684           }
7685
7686         smode[10] = 0;
7687         yield = string_fmt_append(yield,
7688           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7689           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7690           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7691           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7692           (long)st.st_gid, st.st_size, (long)st.st_atime,
7693           (long)st.st_mtime, (long)st.st_ctime);
7694         continue;
7695         }
7696
7697       /* vaguely random number less than N */
7698
7699       case EOP_RANDINT:
7700         {
7701         int_eximarith_t max = expanded_string_integer(sub, TRUE);
7702
7703         if (expand_string_message)
7704           goto EXPAND_FAILED;
7705         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
7706         continue;
7707         }
7708
7709       /* Reverse IP, including IPv6 to dotted-nibble */
7710
7711       case EOP_REVERSE_IP:
7712         {
7713         int family, maskptr;
7714         uschar reversed[128];
7715
7716         family = string_is_ip_address(sub, &maskptr);
7717         if (family == 0)
7718           {
7719           expand_string_message = string_sprintf(
7720               "reverse_ip() not given an IP address [%s]", sub);
7721           goto EXPAND_FAILED;
7722           }
7723         invert_address(reversed, sub);
7724         yield = string_cat(yield, reversed);
7725         continue;
7726         }
7727
7728       /* Unknown operator */
7729
7730       default:
7731         expand_string_message =
7732           string_sprintf("unknown expansion operator \"%s\"", name);
7733         goto EXPAND_FAILED;
7734       }
7735     }
7736
7737   /* Handle a plain name. If this is the first thing in the expansion, release
7738   the pre-allocated buffer. If the result data is known to be in a new buffer,
7739   newsize will be set to the size of that buffer, and we can just point at that
7740   store instead of copying. Many expansion strings contain just one reference,
7741   so this is a useful optimization, especially for humungous headers
7742   ($message_headers). */
7743                                                 /*{*/
7744   if (*s++ == '}')
7745     {
7746     int len;
7747     int newsize = 0;
7748     gstring * g = NULL;
7749
7750     if (!yield)
7751       g = store_get(sizeof(gstring));
7752     else if (yield->ptr == 0)
7753       {
7754       if (resetok) store_reset(yield);
7755       yield = NULL;
7756       g = store_get(sizeof(gstring));   /* alloc _before_ calling find_variable() */
7757       }
7758     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
7759       {
7760       expand_string_message =
7761         string_sprintf("unknown variable in \"${%s}\"", name);
7762       check_variable_error_message(name);
7763       goto EXPAND_FAILED;
7764       }
7765     len = Ustrlen(value);
7766     if (!yield && newsize)
7767       {
7768       yield = g;
7769       yield->size = newsize;
7770       yield->ptr = len;
7771       yield->s = value;
7772       }
7773     else
7774       yield = string_catn(yield, value, len);
7775     continue;
7776     }
7777
7778   /* Else there's something wrong */
7779
7780   expand_string_message =
7781     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7782     "in a variable reference)", name);
7783   goto EXPAND_FAILED;
7784   }
7785
7786 /* If we hit the end of the string when ket_ends is set, there is a missing
7787 terminating brace. */
7788
7789 if (ket_ends && *s == 0)
7790   {
7791   expand_string_message = malformed_header
7792     ? US"missing } at end of string - could be header name not terminated by colon"
7793     : US"missing } at end of string";
7794   goto EXPAND_FAILED;
7795   }
7796
7797 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7798 added to the string. If so, set up an empty string. Add a terminating zero. If
7799 left != NULL, return a pointer to the terminator. */
7800
7801 if (!yield)
7802   yield = string_get(1);
7803 (void) string_from_gstring(yield);
7804 if (left) *left = s;
7805
7806 /* Any stacking store that was used above the final string is no longer needed.
7807 In many cases the final string will be the first one that was got and so there
7808 will be optimal store usage. */
7809
7810 if (resetok) store_reset(yield->s + (yield->size = yield->ptr + 1));
7811 else if (resetok_p) *resetok_p = FALSE;
7812
7813 DEBUG(D_expand)
7814   DEBUG(D_noutf8)
7815     {
7816     debug_printf_indent("|--expanding: %.*s\n", (int)(s - string), string);
7817     debug_printf_indent("%sresult: %s\n",
7818       skipping ? "|-----" : "\\_____", yield->s);
7819     if (skipping)
7820       debug_printf_indent("\\___skipping: result is not used\n");
7821     }
7822   else
7823     {
7824     debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
7825       "expanding: %.*s\n",
7826       (int)(s - string), string);
7827     debug_printf_indent("%s"
7828       UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7829       "result: %s\n",
7830       skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7831       yield->s);
7832     if (skipping)
7833       debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7834         "skipping: result is not used\n");
7835     }
7836 expand_level--;
7837 return yield->s;
7838
7839 /* This is the failure exit: easiest to program with a goto. We still need
7840 to update the pointer to the terminator, for cases of nested calls with "fail".
7841 */
7842
7843 EXPAND_FAILED_CURLY:
7844 if (malformed_header)
7845   expand_string_message =
7846     US"missing or misplaced { or } - could be header name not terminated by colon";
7847
7848 else if (!expand_string_message || !*expand_string_message)
7849   expand_string_message = US"missing or misplaced { or }";
7850
7851 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7852 that is a bad idea, because expand_string_message is in dynamic store. */
7853
7854 EXPAND_FAILED:
7855 if (left) *left = s;
7856 DEBUG(D_expand)
7857   DEBUG(D_noutf8)
7858     {
7859     debug_printf_indent("|failed to expand: %s\n", string);
7860     debug_printf_indent("%serror message: %s\n",
7861       f.expand_string_forcedfail ? "|---" : "\\___", expand_string_message);
7862     if (f.expand_string_forcedfail)
7863       debug_printf_indent("\\failure was forced\n");
7864     }
7865   else
7866     {
7867     debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
7868       string);
7869     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7870       "error message: %s\n",
7871       f.expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7872       expand_string_message);
7873     if (f.expand_string_forcedfail)
7874       debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
7875     }
7876 if (resetok_p && !resetok) *resetok_p = FALSE;
7877 expand_level--;
7878 return NULL;
7879 }
7880
7881
7882 /* This is the external function call. Do a quick check for any expansion
7883 metacharacters, and if there are none, just return the input string.
7884
7885 Argument: the string to be expanded
7886 Returns:  the expanded string, or NULL if expansion failed; if failure was
7887           due to a lookup deferring, search_find_defer will be TRUE
7888 */
7889
7890 const uschar *
7891 expand_cstring(const uschar * string)
7892 {
7893 if (Ustrpbrk(string, "$\\") != NULL)
7894   {
7895   int old_pool = store_pool;
7896   uschar * s;
7897
7898   f.search_find_defer = FALSE;
7899   malformed_header = FALSE;
7900   store_pool = POOL_MAIN;
7901     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7902   store_pool = old_pool;
7903   return s;
7904   }
7905 return string;
7906 }
7907
7908
7909 uschar *
7910 expand_string(uschar * string)
7911 {
7912 return US expand_cstring(CUS string);
7913 }
7914
7915
7916
7917
7918
7919 /*************************************************
7920 *              Expand and copy                   *
7921 *************************************************/
7922
7923 /* Now and again we want to expand a string and be sure that the result is in a
7924 new bit of store. This function does that.
7925 Since we know it has been copied, the de-const cast is safe.
7926
7927 Argument: the string to be expanded
7928 Returns:  the expanded string, always in a new bit of store, or NULL
7929 */
7930
7931 uschar *
7932 expand_string_copy(const uschar *string)
7933 {
7934 const uschar *yield = expand_cstring(string);
7935 if (yield == string) yield = string_copy(string);
7936 return US yield;
7937 }
7938
7939
7940
7941 /*************************************************
7942 *        Expand and interpret as an integer      *
7943 *************************************************/
7944
7945 /* Expand a string, and convert the result into an integer.
7946
7947 Arguments:
7948   string  the string to be expanded
7949   isplus  TRUE if a non-negative number is expected
7950
7951 Returns:  the integer value, or
7952           -1 for an expansion error               ) in both cases, message in
7953           -2 for an integer interpretation error  ) expand_string_message
7954           expand_string_message is set NULL for an OK integer
7955 */
7956
7957 int_eximarith_t
7958 expand_string_integer(uschar *string, BOOL isplus)
7959 {
7960 return expanded_string_integer(expand_string(string), isplus);
7961 }
7962
7963
7964 /*************************************************
7965  *         Interpret string as an integer        *
7966  *************************************************/
7967
7968 /* Convert a string (that has already been expanded) into an integer.
7969
7970 This function is used inside the expansion code.
7971
7972 Arguments:
7973   s       the string to be expanded
7974   isplus  TRUE if a non-negative number is expected
7975
7976 Returns:  the integer value, or
7977           -1 if string is NULL (which implies an expansion error)
7978           -2 for an integer interpretation error
7979           expand_string_message is set NULL for an OK integer
7980 */
7981
7982 static int_eximarith_t
7983 expanded_string_integer(const uschar *s, BOOL isplus)
7984 {
7985 int_eximarith_t value;
7986 uschar *msg = US"invalid integer \"%s\"";
7987 uschar *endptr;
7988
7989 /* If expansion failed, expand_string_message will be set. */
7990
7991 if (s == NULL) return -1;
7992
7993 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7994 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7995 systems, so we set it zero ourselves. */
7996
7997 errno = 0;
7998 expand_string_message = NULL;               /* Indicates no error */
7999
8000 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8001 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8002 the behaviour explicitly.  Stripping leading whitespace is a harmless
8003 noop change since strtol skips it anyway (provided that there is a number
8004 to find at all). */
8005 if (isspace(*s))
8006   {
8007   while (isspace(*s)) ++s;
8008   if (*s == '\0')
8009     {
8010       DEBUG(D_expand)
8011        debug_printf_indent("treating blank string as number 0\n");
8012       return 0;
8013     }
8014   }
8015
8016 value = strtoll(CS s, CSS &endptr, 10);
8017
8018 if (endptr == s)
8019   {
8020   msg = US"integer expected but \"%s\" found";
8021   }
8022 else if (value < 0 && isplus)
8023   {
8024   msg = US"non-negative integer expected but \"%s\" found";
8025   }
8026 else
8027   {
8028   switch (tolower(*endptr))
8029     {
8030     default:
8031       break;
8032     case 'k':
8033       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8034       else value *= 1024;
8035       endptr++;
8036       break;
8037     case 'm':
8038       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8039       else value *= 1024*1024;
8040       endptr++;
8041       break;
8042     case 'g':
8043       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8044       else value *= 1024*1024*1024;
8045       endptr++;
8046       break;
8047     }
8048   if (errno == ERANGE)
8049     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8050   else
8051     {
8052     while (isspace(*endptr)) endptr++;
8053     if (*endptr == 0) return value;
8054     }
8055   }
8056
8057 expand_string_message = string_sprintf(CS msg, s);
8058 return -2;
8059 }
8060
8061
8062 /* These values are usually fixed boolean values, but they are permitted to be
8063 expanded strings.
8064
8065 Arguments:
8066   addr       address being routed
8067   mtype      the module type
8068   mname      the module name
8069   dbg_opt    debug selectors
8070   oname      the option name
8071   bvalue     the router's boolean value
8072   svalue     the router's string value
8073   rvalue     where to put the returned value
8074
8075 Returns:     OK     value placed in rvalue
8076              DEFER  expansion failed
8077 */
8078
8079 int
8080 exp_bool(address_item *addr,
8081   uschar *mtype, uschar *mname, unsigned dbg_opt,
8082   uschar *oname, BOOL bvalue,
8083   uschar *svalue, BOOL *rvalue)
8084 {
8085 uschar *expanded;
8086 if (svalue == NULL) { *rvalue = bvalue; return OK; }
8087
8088 expanded = expand_string(svalue);
8089 if (expanded == NULL)
8090   {
8091   if (f.expand_string_forcedfail)
8092     {
8093     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8094     *rvalue = bvalue;
8095     return OK;
8096     }
8097   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8098       oname, mname, mtype, expand_string_message);
8099   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8100   return DEFER;
8101   }
8102
8103 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8104   expanded);
8105
8106 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8107   *rvalue = TRUE;
8108 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8109   *rvalue = FALSE;
8110 else
8111   {
8112   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8113     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8114   return DEFER;
8115   }
8116
8117 return OK;
8118 }
8119
8120
8121
8122 /* Avoid potentially exposing a password in a string about to be logged */
8123
8124 uschar *
8125 expand_hide_passwords(uschar * s)
8126 {
8127 return (  (  Ustrstr(s, "failed to expand") != NULL
8128           || Ustrstr(s, "expansion of ")    != NULL
8129           )
8130        && (  Ustrstr(s, "mysql")   != NULL
8131           || Ustrstr(s, "pgsql")   != NULL
8132           || Ustrstr(s, "redis")   != NULL
8133           || Ustrstr(s, "sqlite")  != NULL
8134           || Ustrstr(s, "ldap:")   != NULL
8135           || Ustrstr(s, "ldaps:")  != NULL
8136           || Ustrstr(s, "ldapi:")  != NULL
8137           || Ustrstr(s, "ldapdn:") != NULL
8138           || Ustrstr(s, "ldapm:")  != NULL
8139        )  )
8140   ? US"Temporary internal error" : s;
8141 }
8142
8143
8144 /* Read given named file into big_buffer.  Use for keying material etc.
8145 The content will have an ascii NUL appended.
8146
8147 Arguments:
8148  filename       as it says
8149
8150 Return:  pointer to buffer, or NULL on error.
8151 */
8152
8153 uschar *
8154 expand_file_big_buffer(const uschar * filename)
8155 {
8156 int fd, off = 0, len;
8157
8158 if ((fd = open(CS filename, O_RDONLY)) < 0)
8159   {
8160   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8161              filename);
8162   return NULL;
8163   }
8164
8165 do
8166   {
8167   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8168     {
8169     (void) close(fd);
8170     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8171     return NULL;
8172     }
8173   off += len;
8174   }
8175 while (len > 0);
8176
8177 (void) close(fd);
8178 big_buffer[off] = '\0';
8179 return big_buffer;
8180 }
8181
8182
8183
8184 /*************************************************
8185 * Error-checking for testsuite                   *
8186 *************************************************/
8187 typedef struct {
8188   uschar *      region_start;
8189   uschar *      region_end;
8190   const uschar *var_name;
8191   const uschar *var_data;
8192 } err_ctx;
8193
8194 static void
8195 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8196 {
8197 err_ctx * e = ctx;
8198 if (var_data >= e->region_start  &&  var_data < e->region_end)
8199   {
8200   e->var_name = CUS var_name;
8201   e->var_data = CUS var_data;
8202   }
8203 }
8204
8205 void
8206 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8207 {
8208 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8209               .var_name = NULL, .var_data = NULL };
8210
8211 /* check acl_ variables */
8212 tree_walk(acl_var_c, assert_variable_notin, &e);
8213 tree_walk(acl_var_m, assert_variable_notin, &e);
8214
8215 /* check auth<n> variables */
8216 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8217   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
8218
8219 /* check regex<n> variables */
8220 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8221   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
8222
8223 /* check known-name variables */
8224 for (var_entry * v = var_table; v < var_table + var_table_size; v++)
8225   if (v->type == vtype_stringptr)
8226     assert_variable_notin(US v->name, *(USS v->value), &e);
8227
8228 /* check dns and address trees */
8229 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8230 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8231 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8232 tree_walk(tree_unusable,      assert_variable_notin, &e);
8233
8234 if (e.var_name)
8235   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8236     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8237     e.var_name, filename, linenumber, e.var_data);
8238 }
8239
8240
8241
8242 /*************************************************
8243 **************************************************
8244 *             Stand-alone test program           *
8245 **************************************************
8246 *************************************************/
8247
8248 #ifdef STAND_ALONE
8249
8250
8251 BOOL
8252 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
8253 {
8254 int ovector[3*(EXPAND_MAXN+1)];
8255 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8256   ovector, nelem(ovector));
8257 BOOL yield = n >= 0;
8258 if (n == 0) n = EXPAND_MAXN + 1;
8259 if (yield)
8260   {
8261   expand_nmax = setup < 0 ? 0 : setup + 1;
8262   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8263     {
8264     expand_nstring[expand_nmax] = subject + ovector[nn];
8265     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
8266     }
8267   expand_nmax--;
8268   }
8269 return yield;
8270 }
8271
8272
8273 int main(int argc, uschar **argv)
8274 {
8275 uschar buffer[1024];
8276
8277 debug_selector = D_v;
8278 debug_file = stderr;
8279 debug_fd = fileno(debug_file);
8280 big_buffer = malloc(big_buffer_size);
8281
8282 for (int i = 1; i < argc; i++)
8283   {
8284   if (argv[i][0] == '+')
8285     {
8286     debug_trace_memory = 2;
8287     argv[i]++;
8288     }
8289   if (isdigit(argv[i][0]))
8290     debug_selector = Ustrtol(argv[i], NULL, 0);
8291   else
8292     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8293         Ustrlen(argv[i]))
8294       {
8295 #ifdef LOOKUP_LDAP
8296       eldap_default_servers = argv[i];
8297 #endif
8298 #ifdef LOOKUP_MYSQL
8299       mysql_servers = argv[i];
8300 #endif
8301 #ifdef LOOKUP_PGSQL
8302       pgsql_servers = argv[i];
8303 #endif
8304 #ifdef LOOKUP_REDIS
8305       redis_servers = argv[i];
8306 #endif
8307       }
8308 #ifdef EXIM_PERL
8309   else opt_perl_startup = argv[i];
8310 #endif
8311   }
8312
8313 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8314
8315 expand_nstring[1] = US"string 1....";
8316 expand_nlength[1] = 8;
8317 expand_nmax = 1;
8318
8319 #ifdef EXIM_PERL
8320 if (opt_perl_startup != NULL)
8321   {
8322   uschar *errstr;
8323   printf("Starting Perl interpreter\n");
8324   errstr = init_perl(opt_perl_startup);
8325   if (errstr != NULL)
8326     {
8327     printf("** error in perl_startup code: %s\n", errstr);
8328     return EXIT_FAILURE;
8329     }
8330   }
8331 #endif /* EXIM_PERL */
8332
8333 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8334   {
8335   void *reset_point = store_get(0);
8336   uschar *yield = expand_string(buffer);
8337   if (yield != NULL)
8338     {
8339     printf("%s\n", yield);
8340     store_reset(reset_point);
8341     }
8342   else
8343     {
8344     if (f.search_find_defer) printf("search_find deferred\n");
8345     printf("Failed: %s\n", expand_string_message);
8346     if (f.expand_string_forcedfail) printf("Forced failure\n");
8347     printf("\n");
8348     }
8349   }
8350
8351 search_tidyup();
8352
8353 return 0;
8354 }
8355
8356 #endif
8357
8358 /* vi: aw ai sw=2
8359 */
8360 /* End of expand.c */