src/src/lookups/dnsdb.c

   1 /*************************************************
   2 *     Exim - an Internet mail transport agent    *
   3 *************************************************/
   4
   5 /* Copyright (c) The Exim Maintainers 2020 - 2022 */
   6 /* Copyright (c) University of Cambridge 1995 - 2018 */
   7 /* See the file NOTICE for conditions of use and distribution. */
   8 /* SPDX-License-Identifier: GPL-2.0-or-later */
   9
  10 #include "../exim.h"
  11 #include "lf_functions.h"
  12
  13
  14
  15 /* Ancient systems (e.g. SunOS4) don't appear to have T_TXT defined in their
  16 header files. */
  17
  18 #ifndef T_TXT
  19 # define T_TXT 16
  20 #endif
  21
  22 /* Many systems do not have T_SPF. */
  23 #ifndef T_SPF
  24 # define T_SPF 99
  25 #endif
  26
  27 /* New TLSA record for DANE */
  28 #ifndef T_TLSA
  29 # define T_TLSA 52
  30 #endif
  31
  32 /* Table of recognized DNS record types and their integer values. */
  33
  34 static const char *type_names[] = {
  35   "a",
  36 #if HAVE_IPV6
  37   "a+",
  38   "aaaa",
  39 #endif
  40   "cname",
  41   "csa",
  42   "mx",
  43   "mxh",
  44   "ns",
  45   "ptr",
  46   "soa",
  47   "spf",
  48   "srv",
  49   "tlsa",
  50   "txt",
  51   "zns"
  52 };
  53
  54 static int type_values[] = {
  55   T_A,
  56 #if HAVE_IPV6
  57   T_ADDRESSES,     /* Private type for AAAA + A */
  58   T_AAAA,
  59 #endif
  60   T_CNAME,
  61   T_CSA,     /* Private type for "Client SMTP Authorization". */
  62   T_MX,
  63   T_MXH,     /* Private type for "MX hostnames" */
  64   T_NS,
  65   T_PTR,
  66   T_SOA,
  67   T_SPF,
  68   T_SRV,
  69   T_TLSA,
  70   T_TXT,
  71   T_ZNS      /* Private type for "zone nameservers" */
  72 };
  73
  74
  75 /*************************************************
  76 *              Open entry point                  *
  77 *************************************************/
  78
  79 /* See local README for interface description. */
  80
  81 static void *
  82 dnsdb_open(const uschar * filename, uschar **errmsg)
  83 {
  84 return (void *)(-1);   /* Any non-0 value */
  85 }
  86
  87
  88
  89 /*************************************************
  90 *           Find entry point for dnsdb           *
  91 *************************************************/
  92
  93 /* See local README for interface description. The query in the "keystring" may
  94 consist of a number of parts.
  95
  96 (a) If the first significant character is '>' then the next character is the
  97 separator character that is used when multiple records are found. The default
  98 separator is newline.
  99
 100 (b) If the next character is ',' then the next character is the separator
 101 character used for multiple items of text in "TXT" records. Alternatively,
 102 if the next character is ';' then these multiple items are concatenated with
 103 no separator. With neither of these options specified, only the first item
 104 is output.  Similarly for "SPF" records, but the default for joining multiple
 105 items in one SPF record is the empty string, for direct concatenation.
 106
 107 (c) Options, all comma-terminated, in any order.  Any unrecognised option
 108 terminates option processing.  Recognised options are:
 109
 110 - 'defer_FOO':  set the defer behaviour to FOO.  The possible behaviours are:
 111 'strict', where any defer causes the whole lookup to defer; 'lax', where a defer
 112 causes the whole lookup to defer only if none of the DNS queries succeeds; and
 113 'never', where all defers are as if the lookup failed. The default is 'lax'.
 114
 115 - 'dnssec_FOO', with 'strict', 'lax' (default), and 'never'.  The meanings are
 116 require, try and don't-try dnssec respectively.
 117
 118 - 'retrans_VAL', set the timeout value.  VAL is an Exim time specification
 119 (eg "5s").  The default is set by the main configuration option 'dns_retrans'.
 120
 121 - 'retry_VAL', set the retry count on timeouts.  VAL is an integer.  The
 122 default is set by the main configuration option "dns_retry".
 123
 124 (d) If the next sequence of characters is a sequence of letters and digits
 125 followed by '=', it is interpreted as the name of the DNS record type. The
 126 default is "TXT".
 127
 128 (e) Then there follows list of domain names. This is a generalized Exim list,
 129 which may start with '<' in order to set a specific separator. The default
 130 separator, as always, is colon. */
 131
 132 static int
 133 dnsdb_find(void * handle, const uschar * filename, const uschar * keystring,
 134  int length, uschar ** result, uschar ** errmsg, uint * do_cache,
 135  const uschar * opts)
 136 {
 137 int rc;
 138 int sep = 0;
 139 int defer_mode = PASS, dnssec_mode = PASS;
 140 int save_retrans = dns_retrans, save_retry =   dns_retry;
 141 int type;
 142 int failrc = FAIL;
 143 const uschar * outsep = CUS"\n", * outsep2 = NULL;
 144 uschar * equals, * domain, * found;
 145
 146 dns_answer * dnsa = store_get_dns_answer();
 147 dns_scan dnss;
 148
 149 /* Because we're working in the search pool, we try to reclaim as much
 150 store as possible later, so we preallocate the result here */
 151
 152 gstring * yield = string_get(256);
 153
 154 /* If the string starts with '>' we change the output separator.
 155 If it's followed by ';' or ',' we set the TXT output separator. */
 156
 157 while (isspace(*keystring)) keystring++;
 158 if (*keystring == '>')
 159   {
 160   outsep = keystring + 1;
 161   keystring += 2;
 162   if (*keystring == ',')
 163     {
 164     outsep2 = keystring + 1;
 165     keystring += 2;
 166     }
 167   else if (*keystring == ';')
 168     {
 169     outsep2 = US"";
 170     keystring++;
 171     }
 172   while (isspace(*keystring)) keystring++;
 173   }
 174
 175 /* Check for a modifier keyword. */
 176
 177 for (;;)
 178   {
 179   if (strncmpic(keystring, US"defer_", 6) == 0)
 180     {
 181     keystring += 6;
 182     if (strncmpic(keystring, US"strict", 6) == 0)
 183       { defer_mode = DEFER; keystring += 6; }
 184     else if (strncmpic(keystring, US"lax", 3) == 0)
 185       { defer_mode = PASS; keystring += 3; }
 186     else if (strncmpic(keystring, US"never", 5) == 0)
 187       { defer_mode = OK; keystring += 5; }
 188     else
 189       {
 190       *errmsg = US"unsupported dnsdb defer behaviour";
 191       rc = DEFER;
 192       goto out;
 193       }
 194     }
 195   else if (strncmpic(keystring, US"dnssec_", 7) == 0)
 196     {
 197     keystring += 7;
 198     if (strncmpic(keystring, US"strict", 6) == 0)
 199       { dnssec_mode = DEFER; keystring += 6; }
 200     else if (strncmpic(keystring, US"lax", 3) == 0)
 201       { dnssec_mode = PASS; keystring += 3; }
 202     else if (strncmpic(keystring, US"never", 5) == 0)
 203       { dnssec_mode = OK; keystring += 5; }
 204     else
 205       {
 206       *errmsg = US"unsupported dnsdb dnssec behaviour";
 207       rc = DEFER;
 208       goto out;
 209       }
 210     }
 211   else if (strncmpic(keystring, US"retrans_", 8) == 0)
 212     {
 213     int timeout_sec;
 214     if ((timeout_sec = readconf_readtime(keystring += 8, ',', FALSE)) <= 0)
 215       {
 216       *errmsg = US"unsupported dnsdb timeout value";
 217       rc = DEFER;
 218       goto out;
 219       }
 220     dns_retrans = timeout_sec;
 221     while (*keystring != ',') keystring++;
 222     }
 223   else if (strncmpic(keystring, US"retry_", 6) == 0)
 224     {
 225     int retries;
 226     if ((retries = (int)strtol(CCS keystring + 6, CSS &keystring, 0)) < 0)
 227       {
 228       *errmsg = US"unsupported dnsdb retry count";
 229       rc = DEFER;
 230       goto out;
 231       }
 232     dns_retry = retries;
 233     }
 234   else
 235     break;
 236
 237   while (isspace(*keystring)) keystring++;
 238   if (*keystring++ != ',')
 239     {
 240     *errmsg = US"dnsdb modifier syntax error";
 241     rc = DEFER;
 242     goto out;
 243     }
 244   while (isspace(*keystring)) keystring++;
 245   }
 246
 247 /* Figure out the "type" value if it is not T_TXT.
 248 If the keystring contains an = this must be preceded by a valid type name. */
 249
 250 type = T_TXT;
 251 if ((equals = Ustrchr(keystring, '=')) != NULL)
 252   {
 253   int i, len;
 254   uschar *tend = equals;
 255
 256   while (tend > keystring && isspace(tend[-1])) tend--;
 257   len = tend - keystring;
 258
 259   for (i = 0; i < nelem(type_names); i++)
 260     if (len == Ustrlen(type_names[i]) &&
 261         strncmpic(keystring, US type_names[i], len) == 0)
 262       {
 263       type = type_values[i];
 264       break;
 265       }
 266
 267   if (i >= nelem(type_names))
 268     {
 269     *errmsg = US"unsupported DNS record type";
 270     rc = DEFER;
 271     goto out;
 272     }
 273
 274   keystring = equals + 1;
 275   while (isspace(*keystring)) keystring++;
 276   }
 277
 278 /* Initialize the resolver in case this is the first time it has been used. */
 279
 280 dns_init(FALSE, FALSE, dnssec_mode != OK);
 281
 282 /* The remainder of the string must be a list of domains. As long as the lookup
 283 for at least one of them succeeds, we return success. Failure means that none
 284 of them were found.
 285
 286 The original implementation did not support a list of domains. Adding the list
 287 feature is compatible, except in one case: when PTR records are being looked up
 288 for a single IPv6 address. Fortunately, we can hack in a compatibility feature
 289 here: If the type is PTR and no list separator is specified, and the entire
 290 remaining string is valid as an IP address, set an impossible separator so that
 291 it is treated as one item. */
 292
 293 if (type == T_PTR && keystring[0] != '<' &&
 294     string_is_ip_address(keystring, NULL) != 0)
 295   sep = -1;
 296
 297 /* SPF strings should be concatenated without a separator, thus make
 298 it the default if not defined (see RFC 4408 section 3.1.3).
 299 Multiple SPF records are forbidden (section 3.1.2) but are currently
 300 not handled specially, thus they are concatenated with \n by default.
 301 MX priority and value are space-separated by default.
 302 SRV and TLSA record parts are space-separated by default. */
 303
 304 if (!outsep2) switch(type)
 305   {
 306   case T_SPF:                         outsep2 = US"";  break;
 307   case T_SRV: case T_MX: case T_TLSA: outsep2 = US" "; break;
 308   }
 309
 310 /* Now scan the list and do a lookup for each item */
 311
 312 while ((domain = string_nextinlist(&keystring, &sep, NULL, 0)))
 313   {
 314   int searchtype = type == T_CSA ? T_SRV :         /* record type we want */
 315                    type == T_MXH ? T_MX :
 316                    type == T_ZNS ? T_NS : type;
 317
 318   /* If the type is PTR or CSA, we have to construct the relevant magic lookup
 319   key if the original is an IP address (some experimental protocols are using
 320   PTR records for different purposes where the key string is a host name, and
 321   Exim's extended CSA can be keyed by domains or IP addresses). This code for
 322   doing the reversal is now in a separate function. */
 323
 324   if ((type == T_PTR || type == T_CSA) &&
 325       string_is_ip_address(domain, NULL) != 0)
 326     domain = dns_build_reverse(domain);
 327
 328   do
 329     {
 330     DEBUG(D_lookup) debug_printf_indent("dnsdb key: %s\n", domain);
 331
 332     /* Do the lookup and sort out the result. There are four special types that
 333     are handled specially: T_CSA, T_ZNS, T_ADDRESSES and T_MXH.
 334     The first two are handled in a special lookup function so that the facility
 335     could be used from other parts of the Exim code. T_ADDRESSES is handled by looping
 336     over the types of A lookup.  T_MXH affects only what happens later on in
 337     this function, but for tidiness it is handled by the "special". If the
 338     lookup fails, continue with the next domain. In the case of DEFER, adjust
 339     the final "nothing found" result, but carry on to the next domain. */
 340
 341     found = domain;
 342 #if HAVE_IPV6
 343     if (type == T_ADDRESSES)            /* NB cannot happen unless HAVE_IPV6 */
 344       {
 345       if (searchtype == T_ADDRESSES) searchtype = T_AAAA;
 346       else if (searchtype == T_AAAA) searchtype = T_A;
 347       rc = dns_special_lookup(dnsa, domain, searchtype, CUSS &found);
 348       }
 349     else
 350 #endif
 351       rc = dns_special_lookup(dnsa, domain, type, CUSS &found);
 352
 353     lookup_dnssec_authenticated = dnssec_mode==OK ? NULL
 354       : dns_is_secure(dnsa) ? US"yes" : US"no";
 355
 356     if (rc == DNS_NOMATCH || rc == DNS_NODATA) continue;
 357     if (  rc != DNS_SUCCEED
 358        || (dnssec_mode == DEFER && !dns_is_secure(dnsa))
 359        )
 360       {
 361       if (defer_mode == DEFER)
 362         {
 363         dns_retrans = save_retrans;
 364         dns_retry = save_retry;
 365         dns_init(FALSE, FALSE, FALSE);                  /* clr dnssec bit */
 366         rc = DEFER;                                     /* always defer */
 367         goto out;
 368         }
 369       if (defer_mode == PASS) failrc = DEFER;         /* defer only if all do */
 370       continue;                                       /* treat defer as fail */
 371       }
 372
 373
 374     /* Search the returned records */
 375
 376     for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
 377          rr = dns_next_rr(dnsa, &dnss, RESET_NEXT)) if (rr->type == searchtype)
 378       {
 379       if (*do_cache > rr->ttl)
 380         *do_cache = rr->ttl;
 381
 382       if (type == T_A || type == T_AAAA || type == T_ADDRESSES)
 383         {
 384         for (dns_address * da = dns_address_from_rr(dnsa, rr); da; da = da->next)
 385           yield = string_append_listele(yield, *outsep, da->address);
 386         continue;
 387         }
 388
 389       /* Other kinds of record just have one piece of data each, but there may be
 390       several of them, of course. */
 391
 392       if (yield->ptr) yield = string_catn(yield, outsep, 1);
 393
 394       if (type == T_TXT || type == T_SPF)
 395         {
 396         if (!outsep2)                   /* output only the first item of data */
 397           yield = string_catn(yield, US (rr->data+1), (rr->data)[0]);
 398         else
 399           for (unsigned data_offset = 0; data_offset < rr->size; )
 400             {
 401             uschar chunk_len = (rr->data)[data_offset];
 402             if (*outsep2  && data_offset != 0)
 403               yield = string_catn(yield, outsep2, 1);
 404             yield = string_catn(yield, US ((rr->data) + ++data_offset), chunk_len);
 405             data_offset += chunk_len;
 406             }
 407         }
 408       else if (type == T_TLSA)
 409         {
 410         uint8_t usage, selector, matching_type;
 411         uint16_t payload_length;
 412         uschar s[MAX_TLSA_EXPANDED_SIZE];
 413         uschar * sp = s;
 414         uschar * p = US rr->data;
 415
 416         usage = *p++;
 417         selector = *p++;
 418         matching_type = *p++;
 419         /* What's left after removing the first 3 bytes above */
 420         payload_length = rr->size - 3;
 421         sp += sprintf(CS s, "%d%c%d%c%d%c", usage, *outsep2,
 422                 selector, *outsep2, matching_type, *outsep2);
 423         /* Now append the cert/identifier, one hex char at a time */
 424         while (payload_length-- > 0 && sp-s < (MAX_TLSA_EXPANDED_SIZE - 4))
 425           sp += sprintf(CS sp, "%02x", *p++);
 426
 427         yield = string_cat(yield, s);
 428         }
 429       else   /* T_CNAME, T_CSA, T_MX, T_MXH, T_NS, T_PTR, T_SOA, T_SRV */
 430         {
 431         int priority, weight, port;
 432         uschar s[264];
 433         uschar * p = US rr->data;
 434
 435         switch (type)
 436           {
 437           case T_MXH:
 438             /* mxh ignores the priority number and includes only the hostnames */
 439             GETSHORT(priority, p);
 440             break;
 441
 442           case T_MX:
 443             GETSHORT(priority, p);
 444             sprintf(CS s, "%d%c", priority, *outsep2);
 445             yield = string_cat(yield, s);
 446             break;
 447
 448           case T_SRV:
 449             GETSHORT(priority, p);
 450             GETSHORT(weight, p);
 451             GETSHORT(port, p);
 452             sprintf(CS s, "%d%c%d%c%d%c", priority, *outsep2,
 453                               weight, *outsep2, port, *outsep2);
 454             yield = string_cat(yield, s);
 455             break;
 456
 457           case T_CSA:
 458             /* See acl_verify_csa() for more comments about CSA. */
 459             GETSHORT(priority, p);
 460             GETSHORT(weight, p);
 461             GETSHORT(port, p);
 462
 463             if (priority != 1) continue;      /* CSA version must be 1 */
 464
 465             /* If the CSA record we found is not the one we asked for, analyse
 466             the subdomain assertions in the port field, else analyse the direct
 467             authorization status in the weight field. */
 468
 469             if (Ustrcmp(found, domain) != 0)
 470               {
 471               if (port & 1) *s = 'X';         /* explicit authorization required */
 472               else *s = '?';                  /* no subdomain assertions here */
 473               }
 474             else
 475               {
 476               if (weight < 2) *s = 'N';       /* not authorized */
 477               else if (weight == 2) *s = 'Y'; /* authorized */
 478               else if (weight == 3) *s = '?'; /* unauthorizable */
 479               else continue;                  /* invalid */
 480               }
 481
 482             s[1] = ' ';
 483             yield = string_catn(yield, s, 2);
 484             break;
 485
 486           default:
 487             break;
 488           }
 489
 490         /* GETSHORT() has advanced the pointer to the target domain. */
 491
 492         rc = dn_expand(dnsa->answer, dnsa->answer + dnsa->answerlen, p,
 493           (DN_EXPAND_ARG4_TYPE)s, sizeof(s));
 494
 495         /* If an overlong response was received, the data will have been
 496         truncated and dn_expand may fail. */
 497
 498         if (rc < 0)
 499           {
 500           log_write(0, LOG_MAIN, "host name alias list truncated: type=%s "
 501             "domain=%s", dns_text_type(type), domain);
 502           break;
 503           }
 504         else yield = string_cat(yield, s);
 505
 506         if (type == T_SOA && outsep2 != NULL)
 507           {
 508           unsigned long serial, refresh, retry, expire, minimum;
 509
 510           p += rc;
 511           yield = string_catn(yield, outsep2, 1);
 512
 513           rc = dn_expand(dnsa->answer, dnsa->answer + dnsa->answerlen, p,
 514             (DN_EXPAND_ARG4_TYPE)s, sizeof(s));
 515           if (rc < 0)
 516             {
 517             log_write(0, LOG_MAIN, "responsible-mailbox truncated: type=%s "
 518               "domain=%s", dns_text_type(type), domain);
 519             break;
 520             }
 521           else yield = string_cat(yield, s);
 522
 523           p += rc;
 524           GETLONG(serial, p); GETLONG(refresh, p);
 525           GETLONG(retry,  p); GETLONG(expire,  p); GETLONG(minimum, p);
 526           sprintf(CS s, "%c%lu%c%lu%c%lu%c%lu%c%lu",
 527             *outsep2, serial, *outsep2, refresh,
 528             *outsep2, retry,  *outsep2, expire,  *outsep2, minimum);
 529           yield = string_cat(yield, s);
 530           }
 531         }
 532       }    /* Loop for list of returned records */
 533
 534            /* Loop for set of A-lookup types */
 535     } while (type == T_ADDRESSES && searchtype != T_A);
 536
 537   }        /* Loop for list of domains */
 538
 539 /* Reclaim unused memory */
 540
 541 gstring_release_unused(yield);
 542
 543 /* If yield NULL we have not found anything. Otherwise, insert the terminating
 544 zero and return the result. */
 545
 546 dns_retrans = save_retrans;
 547 dns_retry = save_retry;
 548 dns_init(FALSE, FALSE, FALSE);  /* clear the dnssec bit for getaddrbyname */
 549
 550 if (!yield || !yield->ptr)
 551   rc = failrc;
 552 else
 553   {
 554   *result = string_from_gstring(yield);
 555   rc = OK;
 556   }
 557
 558 out:
 559
 560 store_free_dns_answer(dnsa);
 561 return rc;
 562 }
 563
 564
 565
 566 /*************************************************
 567 *         Version reporting entry point          *
 568 *************************************************/
 569
 570 /* See local README for interface description. */
 571
 572 #include "../version.h"
 573
 574 gstring *
 575 dnsdb_version_report(gstring * g)
 576 {
 577 #ifdef DYNLOOKUP
 578 g = string_fmt_append(g, "Library version: DNSDB: Exim version %s\n", EXIM_VERSION_STR);
 579 #endif
 580 return g;
 581 }
 582
 583
 584 static lookup_info _lookup_info = {
 585   .name = US"dnsdb",                    /* lookup name */
 586   .type = lookup_querystyle,            /* query style */
 587   .open = dnsdb_open,                   /* open function */
 588   .check = NULL,                        /* check function */
 589   .find = dnsdb_find,                   /* find function */
 590   .close = NULL,                        /* no close function */
 591   .tidy = NULL,                         /* no tidy function */
 592   .quote = NULL,                        /* no quoting function */
 593   .version_report = dnsdb_version_report           /* version reporting */
 594 };
 595
 596 #ifdef DYNLOOKUP
 597 #define dnsdb_lookup_module_info _lookup_module_info
 598 #endif
 599
 600 static lookup_info *_lookup_list[] = { &_lookup_info };
 601 lookup_module_info dnsdb_lookup_module_info = { LOOKUP_MODULE_INFO_MAGIC, _lookup_list, 1 };
 602
 603 /* vi: aw ai sw=2
 604 */
 605 /* End of lookups/dnsdb.c */