58c2dc9af95ca08f2b3c0275a4e29007affede49
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 #if defined(__GLIBC__) && !defined(__UCLIBC__)
16 # include <gnu/libc-version.h>
17 #endif
18
19 #ifdef USE_GNUTLS
20 # include <gnutls/gnutls.h>
21 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
22 #  define DISABLE_OCSP
23 # endif
24 #endif
25
26 extern void init_lookup_list(void);
27
28
29
30 /*************************************************
31 *      Function interface to store functions     *
32 *************************************************/
33
34 /* We need some real functions to pass to the PCRE regular expression library
35 for store allocation via Exim's store manager. The normal calls are actually
36 macros that pass over location information to make tracing easier. These
37 functions just interface to the standard macro calls. A good compiler will
38 optimize out the tail recursion and so not make them too expensive. There
39 are two sets of functions; one for use when we want to retain the compiled
40 regular expression for a long time; the other for short-term use. */
41
42 static void *
43 function_store_get(size_t size)
44 {
45 return store_get((int)size);
46 }
47
48 static void
49 function_dummy_free(void *block) { block = block; }
50
51 static void *
52 function_store_malloc(size_t size)
53 {
54 return store_malloc((int)size);
55 }
56
57 static void
58 function_store_free(void *block)
59 {
60 store_free(block);
61 }
62
63
64
65
66 /*************************************************
67 *         Enums for cmdline interface            *
68 *************************************************/
69
70 enum commandline_info { CMDINFO_NONE=0,
71   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
72
73
74
75
76 /*************************************************
77 *  Compile regular expression and panic on fail  *
78 *************************************************/
79
80 /* This function is called when failure to compile a regular expression leads
81 to a panic exit. In other cases, pcre_compile() is called directly. In many
82 cases where this function is used, the results of the compilation are to be
83 placed in long-lived store, so we temporarily reset the store management
84 functions that PCRE uses if the use_malloc flag is set.
85
86 Argument:
87   pattern     the pattern to compile
88   caseless    TRUE if caseless matching is required
89   use_malloc  TRUE if compile into malloc store
90
91 Returns:      pointer to the compiled pattern
92 */
93
94 const pcre *
95 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
96 {
97 int offset;
98 int options = PCRE_COPT;
99 const pcre *yield;
100 const uschar *error;
101 if (use_malloc)
102   {
103   pcre_malloc = function_store_malloc;
104   pcre_free = function_store_free;
105   }
106 if (caseless) options |= PCRE_CASELESS;
107 yield = pcre_compile(CCS pattern, options, (const char **)&error, &offset, NULL);
108 pcre_malloc = function_store_get;
109 pcre_free = function_dummy_free;
110 if (yield == NULL)
111   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
112     "%s at offset %d while compiling %s", error, offset, pattern);
113 return yield;
114 }
115
116
117
118
119 /*************************************************
120 *   Execute regular expression and set strings   *
121 *************************************************/
122
123 /* This function runs a regular expression match, and sets up the pointers to
124 the matched substrings.
125
126 Arguments:
127   re          the compiled expression
128   subject     the subject string
129   options     additional PCRE options
130   setup       if < 0 do full setup
131               if >= 0 setup from setup+1 onwards,
132                 excluding the full matched string
133
134 Returns:      TRUE or FALSE
135 */
136
137 BOOL
138 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
139 {
140 int ovector[3*(EXPAND_MAXN+1)];
141 uschar * s = string_copy(subject);      /* de-constifying */
142 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
143   PCRE_EOPT | options, ovector, sizeof(ovector)/sizeof(int));
144 BOOL yield = n >= 0;
145 if (n == 0) n = EXPAND_MAXN + 1;
146 if (yield)
147   {
148   int nn;
149   expand_nmax = (setup < 0)? 0 : setup + 1;
150   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
151     {
152     expand_nstring[expand_nmax] = s + ovector[nn];
153     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
154     }
155   expand_nmax--;
156   }
157 return yield;
158 }
159
160
161
162
163 /*************************************************
164 *            Set up processing details           *
165 *************************************************/
166
167 /* Save a text string for dumping when SIGUSR1 is received.
168 Do checks for overruns.
169
170 Arguments: format and arguments, as for printf()
171 Returns:   nothing
172 */
173
174 void
175 set_process_info(const char *format, ...)
176 {
177 int len = sprintf(CS process_info, "%5d ", (int)getpid());
178 va_list ap;
179 va_start(ap, format);
180 if (!string_vformat(process_info + len, PROCESS_INFO_SIZE - len - 2, format, ap))
181   Ustrcpy(process_info + len, "**** string overflowed buffer ****");
182 len = Ustrlen(process_info);
183 process_info[len+0] = '\n';
184 process_info[len+1] = '\0';
185 process_info_len = len + 1;
186 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
187 va_end(ap);
188 }
189
190 /***********************************************
191 *            Handler for SIGTERM               *
192 ***********************************************/
193
194 static void
195 term_handler(int sig)
196 {
197   exit(1);
198 }
199
200
201 /*************************************************
202 *             Handler for SIGUSR1                *
203 *************************************************/
204
205 /* SIGUSR1 causes any exim process to write to the process log details of
206 what it is currently doing. It will only be used if the OS is capable of
207 setting up a handler that causes automatic restarting of any system call
208 that is in progress at the time.
209
210 This function takes care to be signal-safe.
211
212 Argument: the signal number (SIGUSR1)
213 Returns:  nothing
214 */
215
216 static void
217 usr1_handler(int sig)
218 {
219 int fd;
220
221 os_restarting_signal(sig, usr1_handler);
222
223 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
224   {
225   /* If we are already running as the Exim user, try to create it in the
226   current process (assuming spool_directory exists). Otherwise, if we are
227   root, do the creation in an exim:exim subprocess. */
228
229   int euid = geteuid();
230   if (euid == exim_uid)
231     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
232   else if (euid == root_uid)
233     fd = log_create_as_exim(process_log_path);
234   }
235
236 /* If we are neither exim nor root, or if we failed to create the log file,
237 give up. There is not much useful we can do with errors, since we don't want
238 to disrupt whatever is going on outside the signal handler. */
239
240 if (fd < 0) return;
241
242 (void)write(fd, process_info, process_info_len);
243 (void)close(fd);
244 }
245
246
247
248 /*************************************************
249 *             Timeout handler                    *
250 *************************************************/
251
252 /* This handler is enabled most of the time that Exim is running. The handler
253 doesn't actually get used unless alarm() has been called to set a timer, to
254 place a time limit on a system call of some kind. When the handler is run, it
255 re-enables itself.
256
257 There are some other SIGALRM handlers that are used in special cases when more
258 than just a flag setting is required; for example, when reading a message's
259 input. These are normally set up in the code module that uses them, and the
260 SIGALRM handler is reset to this one afterwards.
261
262 Argument: the signal value (SIGALRM)
263 Returns:  nothing
264 */
265
266 void
267 sigalrm_handler(int sig)
268 {
269 sig = sig;      /* Keep picky compilers happy */
270 sigalrm_seen = TRUE;
271 os_non_restarting_signal(SIGALRM, sigalrm_handler);
272 }
273
274
275
276 /*************************************************
277 *      Sleep for a fractional time interval      *
278 *************************************************/
279
280 /* This function is called by millisleep() and exim_wait_tick() to wait for a
281 period of time that may include a fraction of a second. The coding is somewhat
282 tedious. We do not expect setitimer() ever to fail, but if it does, the process
283 will wait for ever, so we panic in this instance. (There was a case of this
284 when a bug in a function that calls milliwait() caused it to pass invalid data.
285 That's when I added the check. :-)
286
287 We assume it to be not worth sleeping for under 100us; this value will
288 require revisiting as hardware advances.  This avoids the issue of
289 a zero-valued timer setting meaning "never fire".
290
291 Argument:  an itimerval structure containing the interval
292 Returns:   nothing
293 */
294
295 static void
296 milliwait(struct itimerval *itval)
297 {
298 sigset_t sigmask;
299 sigset_t old_sigmask;
300
301 if (itval->it_value.tv_usec < 100 && itval->it_value.tv_sec == 0)
302   return;
303 (void)sigemptyset(&sigmask);                           /* Empty mask */
304 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
305 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
306 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
307   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
308     "setitimer() failed: %s", strerror(errno));
309 (void)sigfillset(&sigmask);                            /* All signals */
310 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
311 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
312 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
313 }
314
315
316
317
318 /*************************************************
319 *         Millisecond sleep function             *
320 *************************************************/
321
322 /* The basic sleep() function has a granularity of 1 second, which is too rough
323 in some cases - for example, when using an increasing delay to slow down
324 spammers.
325
326 Argument:    number of millseconds
327 Returns:     nothing
328 */
329
330 void
331 millisleep(int msec)
332 {
333 struct itimerval itval;
334 itval.it_interval.tv_sec = 0;
335 itval.it_interval.tv_usec = 0;
336 itval.it_value.tv_sec = msec/1000;
337 itval.it_value.tv_usec = (msec % 1000) * 1000;
338 milliwait(&itval);
339 }
340
341
342
343 /*************************************************
344 *         Compare microsecond times              *
345 *************************************************/
346
347 /*
348 Arguments:
349   tv1         the first time
350   tv2         the second time
351
352 Returns:      -1, 0, or +1
353 */
354
355 static int
356 exim_tvcmp(struct timeval *t1, struct timeval *t2)
357 {
358 if (t1->tv_sec > t2->tv_sec) return +1;
359 if (t1->tv_sec < t2->tv_sec) return -1;
360 if (t1->tv_usec > t2->tv_usec) return +1;
361 if (t1->tv_usec < t2->tv_usec) return -1;
362 return 0;
363 }
364
365
366
367
368 /*************************************************
369 *          Clock tick wait function              *
370 *************************************************/
371
372 /* Exim uses a time + a pid to generate a unique identifier in two places: its
373 message IDs, and in file names for maildir deliveries. Because some OS now
374 re-use pids within the same second, sub-second times are now being used.
375 However, for absolute certainty, we must ensure the clock has ticked before
376 allowing the relevant process to complete. At the time of implementation of
377 this code (February 2003), the speed of processors is such that the clock will
378 invariably have ticked already by the time a process has done its job. This
379 function prepares for the time when things are faster - and it also copes with
380 clocks that go backwards.
381
382 Arguments:
383   then_tv      A timeval which was used to create uniqueness; its usec field
384                  has been rounded down to the value of the resolution.
385                  We want to be sure the current time is greater than this.
386   resolution   The resolution that was used to divide the microseconds
387                  (1 for maildir, larger for message ids)
388
389 Returns:       nothing
390 */
391
392 void
393 exim_wait_tick(struct timeval *then_tv, int resolution)
394 {
395 struct timeval now_tv;
396 long int now_true_usec;
397
398 (void)gettimeofday(&now_tv, NULL);
399 now_true_usec = now_tv.tv_usec;
400 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
401
402 if (exim_tvcmp(&now_tv, then_tv) <= 0)
403   {
404   struct itimerval itval;
405   itval.it_interval.tv_sec = 0;
406   itval.it_interval.tv_usec = 0;
407   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
408   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
409
410   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
411   negative value for the microseconds is possible only in the case when "now"
412   is more than a second less than "then". That means that itval.it_value.tv_sec
413   is greater than zero. The following correction is therefore safe. */
414
415   if (itval.it_value.tv_usec < 0)
416     {
417     itval.it_value.tv_usec += 1000000;
418     itval.it_value.tv_sec -= 1;
419     }
420
421   DEBUG(D_transport|D_receive)
422     {
423     if (!running_in_test_harness)
424       {
425       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
426         then_tv->tv_sec, (long) then_tv->tv_usec,
427         now_tv.tv_sec, (long) now_tv.tv_usec);
428       debug_printf("waiting " TIME_T_FMT ".%06lu\n",
429         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
430       }
431     }
432
433   milliwait(&itval);
434   }
435 }
436
437
438
439
440 /*************************************************
441 *   Call fopen() with umask 777 and adjust mode  *
442 *************************************************/
443
444 /* Exim runs with umask(0) so that files created with open() have the mode that
445 is specified in the open() call. However, there are some files, typically in
446 the spool directory, that are created with fopen(). They end up world-writeable
447 if no precautions are taken. Although the spool directory is not accessible to
448 the world, this is an untidiness. So this is a wrapper function for fopen()
449 that sorts out the mode of the created file.
450
451 Arguments:
452    filename       the file name
453    options        the fopen() options
454    mode           the required mode
455
456 Returns:          the fopened FILE or NULL
457 */
458
459 FILE *
460 modefopen(const uschar *filename, const char *options, mode_t mode)
461 {
462 mode_t saved_umask = umask(0777);
463 FILE *f = Ufopen(filename, options);
464 (void)umask(saved_umask);
465 if (f != NULL) (void)fchmod(fileno(f), mode);
466 return f;
467 }
468
469
470
471
472 /*************************************************
473 *   Ensure stdin, stdout, and stderr exist       *
474 *************************************************/
475
476 /* Some operating systems grumble if an exec() happens without a standard
477 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
478 file will be opened and will use these fd values, and then some other bit of
479 code will assume, for example, that it can write error messages to stderr.
480 This function ensures that fds 0, 1, and 2 are open if they do not already
481 exist, by connecting them to /dev/null.
482
483 This function is also used to ensure that std{in,out,err} exist at all times,
484 so that if any library that Exim calls tries to use them, it doesn't crash.
485
486 Arguments:  None
487 Returns:    Nothing
488 */
489
490 void
491 exim_nullstd(void)
492 {
493 int i;
494 int devnull = -1;
495 struct stat statbuf;
496 for (i = 0; i <= 2; i++)
497   {
498   if (fstat(i, &statbuf) < 0 && errno == EBADF)
499     {
500     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
501     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
502       string_open_failed(errno, "/dev/null"));
503     if (devnull != i) (void)dup2(devnull, i);
504     }
505   }
506 if (devnull > 2) (void)close(devnull);
507 }
508
509
510
511
512 /*************************************************
513 *   Close unwanted file descriptors for delivery *
514 *************************************************/
515
516 /* This function is called from a new process that has been forked to deliver
517 an incoming message, either directly, or using exec.
518
519 We want any smtp input streams to be closed in this new process. However, it
520 has been observed that using fclose() here causes trouble. When reading in -bS
521 input, duplicate copies of messages have been seen. The files will be sharing a
522 file pointer with the parent process, and it seems that fclose() (at least on
523 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
524 least sometimes. Hence we go for closing the underlying file descriptors.
525
526 If TLS is active, we want to shut down the TLS library, but without molesting
527 the parent's SSL connection.
528
529 For delivery of a non-SMTP message, we want to close stdin and stdout (and
530 stderr unless debugging) because the calling process might have set them up as
531 pipes and be waiting for them to close before it waits for the submission
532 process to terminate. If they aren't closed, they hold up the calling process
533 until the initial delivery process finishes, which is not what we want.
534
535 Exception: We do want it for synchronous delivery!
536
537 And notwithstanding all the above, if D_resolver is set, implying resolver
538 debugging, leave stdout open, because that's where the resolver writes its
539 debugging output.
540
541 When we close stderr (which implies we've also closed stdout), we also get rid
542 of any controlling terminal.
543
544 Arguments:   None
545 Returns:     Nothing
546 */
547
548 static void
549 close_unwanted(void)
550 {
551 if (smtp_input)
552   {
553   #ifdef SUPPORT_TLS
554   tls_close(TRUE, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
555   #endif
556   (void)close(fileno(smtp_in));
557   (void)close(fileno(smtp_out));
558   smtp_in = NULL;
559   }
560 else
561   {
562   (void)close(0);                                          /* stdin */
563   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
564   if (debug_selector == 0)                                 /* stderr */
565     {
566     if (!synchronous_delivery)
567       {
568       (void)close(2);
569       log_stderr = NULL;
570       }
571     (void)setsid();
572     }
573   }
574 }
575
576
577
578
579 /*************************************************
580 *          Set uid and gid                       *
581 *************************************************/
582
583 /* This function sets a new uid and gid permanently, optionally calling
584 initgroups() to set auxiliary groups. There are some special cases when running
585 Exim in unprivileged modes. In these situations the effective uid will not be
586 root; if we already have the right effective uid/gid, and don't need to
587 initialize any groups, leave things as they are.
588
589 Arguments:
590   uid        the uid
591   gid        the gid
592   igflag     TRUE if initgroups() wanted
593   msg        text to use in debugging output and failure log
594
595 Returns:     nothing; bombs out on failure
596 */
597
598 void
599 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
600 {
601 uid_t euid = geteuid();
602 gid_t egid = getegid();
603
604 if (euid == root_uid || euid != uid || egid != gid || igflag)
605   {
606   /* At least one OS returns +1 for initgroups failure, so just check for
607   non-zero. */
608
609   if (igflag)
610     {
611     struct passwd *pw = getpwuid(uid);
612     if (pw != NULL)
613       {
614       if (initgroups(pw->pw_name, gid) != 0)
615         log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
616           (long int)uid, strerror(errno));
617       }
618     else log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
619       "no passwd entry for uid=%ld", (long int)uid);
620     }
621
622   if (setgid(gid) < 0 || setuid(uid) < 0)
623     {
624     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
625       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
626     }
627   }
628
629 /* Debugging output included uid/gid and all groups */
630
631 DEBUG(D_uid)
632   {
633   int group_count, save_errno;
634   gid_t group_list[NGROUPS_MAX];
635   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
636     (long int)geteuid(), (long int)getegid(), (long int)getpid());
637   group_count = getgroups(NGROUPS_MAX, group_list);
638   save_errno = errno;
639   debug_printf("  auxiliary group list:");
640   if (group_count > 0)
641     {
642     int i;
643     for (i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
644     }
645   else if (group_count < 0)
646     debug_printf(" <error: %s>", strerror(save_errno));
647   else debug_printf(" <none>");
648   debug_printf("\n");
649   }
650 }
651
652
653
654
655 /*************************************************
656 *               Exit point                       *
657 *************************************************/
658
659 /* Exim exits via this function so that it always clears up any open
660 databases.
661
662 Arguments:
663   rc         return code
664
665 Returns:     does not return
666 */
667
668 void
669 exim_exit(int rc, const uschar * process)
670 {
671 search_tidyup();
672 DEBUG(D_any)
673   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d %s%s%sterminating with rc=%d "
674     ">>>>>>>>>>>>>>>>\n", (int)getpid(),
675     process ? "(" : "", process, process ? ") " : "", rc);
676 exit(rc);
677 }
678
679
680
681
682 /*************************************************
683 *         Extract port from host address         *
684 *************************************************/
685
686 /* Called to extract the port from the values given to -oMa and -oMi.
687 It also checks the syntax of the address, and terminates it before the
688 port data when a port is extracted.
689
690 Argument:
691   address   the address, with possible port on the end
692
693 Returns:    the port, or zero if there isn't one
694             bombs out on a syntax error
695 */
696
697 static int
698 check_port(uschar *address)
699 {
700 int port = host_address_extract_port(address);
701 if (string_is_ip_address(address, NULL) == 0)
702   {
703   fprintf(stderr, "exim abandoned: \"%s\" is not an IP address\n", address);
704   exit(EXIT_FAILURE);
705   }
706 return port;
707 }
708
709
710
711 /*************************************************
712 *              Test/verify an address            *
713 *************************************************/
714
715 /* This function is called by the -bv and -bt code. It extracts a working
716 address from a full RFC 822 address. This isn't really necessary per se, but it
717 has the effect of collapsing source routes.
718
719 Arguments:
720   s            the address string
721   flags        flag bits for verify_address()
722   exit_value   to be set for failures
723
724 Returns:       nothing
725 */
726
727 static void
728 test_address(uschar *s, int flags, int *exit_value)
729 {
730 int start, end, domain;
731 uschar *parse_error = NULL;
732 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
733   FALSE);
734 if (address == NULL)
735   {
736   fprintf(stdout, "syntax error: %s\n", parse_error);
737   *exit_value = 2;
738   }
739 else
740   {
741   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
742     -1, -1, NULL, NULL, NULL);
743   if (rc == FAIL) *exit_value = 2;
744     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
745   }
746 }
747
748
749
750 /*************************************************
751 *          Show supported features               *
752 *************************************************/
753
754 static void
755 show_db_version(FILE * f)
756 {
757 #ifdef DB_VERSION_STRING
758 DEBUG(D_any)
759   {
760   fprintf(f, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
761   fprintf(f, "                      Runtime: %s\n",
762     db_version(NULL, NULL, NULL));
763   }
764 else
765   fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
766
767 #elif defined(BTREEVERSION) && defined(HASHVERSION)
768   #ifdef USE_DB
769   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
770   #else
771   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
772   #endif
773
774 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
775 fprintf(f, "Probably ndbm\n");
776 #elif defined(USE_TDB)
777 fprintf(f, "Using tdb\n");
778 #else
779   #ifdef USE_GDBM
780   fprintf(f, "Probably GDBM (native mode)\n");
781   #else
782   fprintf(f, "Probably GDBM (compatibility mode)\n");
783   #endif
784 #endif
785 }
786
787
788 /* This function is called for -bV/--version and for -d to output the optional
789 features of the current Exim binary.
790
791 Arguments:  a FILE for printing
792 Returns:    nothing
793 */
794
795 static void
796 show_whats_supported(FILE * f)
797 {
798 auth_info * authi;
799
800 DEBUG(D_any) {} else show_db_version(f);
801
802 fprintf(f, "Support for:");
803 #ifdef SUPPORT_CRYPTEQ
804   fprintf(f, " crypteq");
805 #endif
806 #if HAVE_ICONV
807   fprintf(f, " iconv()");
808 #endif
809 #if HAVE_IPV6
810   fprintf(f, " IPv6");
811 #endif
812 #ifdef HAVE_SETCLASSRESOURCES
813   fprintf(f, " use_setclassresources");
814 #endif
815 #ifdef SUPPORT_PAM
816   fprintf(f, " PAM");
817 #endif
818 #ifdef EXIM_PERL
819   fprintf(f, " Perl");
820 #endif
821 #ifdef EXPAND_DLFUNC
822   fprintf(f, " Expand_dlfunc");
823 #endif
824 #ifdef USE_TCP_WRAPPERS
825   fprintf(f, " TCPwrappers");
826 #endif
827 #ifdef SUPPORT_TLS
828 # ifdef USE_GNUTLS
829   fprintf(f, " GnuTLS");
830 # else
831   fprintf(f, " OpenSSL");
832 # endif
833 #endif
834 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
835   fprintf(f, " translate_ip_address");
836 #endif
837 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
838   fprintf(f, " move_frozen_messages");
839 #endif
840 #ifdef WITH_CONTENT_SCAN
841   fprintf(f, " Content_Scanning");
842 #endif
843 #ifdef SUPPORT_DANE
844   fprintf(f, " DANE");
845 #endif
846 #ifndef DISABLE_DKIM
847   fprintf(f, " DKIM");
848 #endif
849 #ifndef DISABLE_DNSSEC
850   fprintf(f, " DNSSEC");
851 #endif
852 #ifndef DISABLE_EVENT
853   fprintf(f, " Event");
854 #endif
855 #ifdef SUPPORT_I18N
856   fprintf(f, " I18N");
857 #endif
858 #ifndef DISABLE_OCSP
859   fprintf(f, " OCSP");
860 #endif
861 #ifndef DISABLE_PRDR
862   fprintf(f, " PRDR");
863 #endif
864 #ifdef SUPPORT_PROXY
865   fprintf(f, " PROXY");
866 #endif
867 #ifdef SUPPORT_SOCKS
868   fprintf(f, " SOCKS");
869 #endif
870 #ifdef SUPPORT_SPF
871   fprintf(f, " SPF");
872 #endif
873 #ifdef TCP_FASTOPEN
874   deliver_init();
875   if (tcp_fastopen_ok) fprintf(f, " TCP_Fast_Open");
876 #endif
877 #ifdef EXPERIMENTAL_LMDB
878   fprintf(f, " Experimental_LMDB");
879 #endif
880 #ifdef EXPERIMENTAL_QUEUEFILE
881   fprintf(f, " Experimental_QUEUEFILE");
882 #endif
883 #ifdef EXPERIMENTAL_SRS
884   fprintf(f, " Experimental_SRS");
885 #endif
886 #ifdef EXPERIMENTAL_ARC
887   fprintf(f, " Experimental_ARC");
888 #endif
889 #ifdef EXPERIMENTAL_BRIGHTMAIL
890   fprintf(f, " Experimental_Brightmail");
891 #endif
892 #ifdef EXPERIMENTAL_DCC
893   fprintf(f, " Experimental_DCC");
894 #endif
895 #ifdef EXPERIMENTAL_DMARC
896   fprintf(f, " Experimental_DMARC");
897 #endif
898 #ifdef EXPERIMENTAL_DSN_INFO
899   fprintf(f, " Experimental_DSN_info");
900 #endif
901 fprintf(f, "\n");
902
903 fprintf(f, "Lookups (built-in):");
904 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
905   fprintf(f, " lsearch wildlsearch nwildlsearch iplsearch");
906 #endif
907 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
908   fprintf(f, " cdb");
909 #endif
910 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
911   fprintf(f, " dbm dbmjz dbmnz");
912 #endif
913 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
914   fprintf(f, " dnsdb");
915 #endif
916 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
917   fprintf(f, " dsearch");
918 #endif
919 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
920   fprintf(f, " ibase");
921 #endif
922 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
923   fprintf(f, " ldap ldapdn ldapm");
924 #endif
925 #ifdef EXPERIMENTAL_LMDB
926   fprintf(f, " lmdb");
927 #endif
928 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
929   fprintf(f, " mysql");
930 #endif
931 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
932   fprintf(f, " nis nis0");
933 #endif
934 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
935   fprintf(f, " nisplus");
936 #endif
937 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
938   fprintf(f, " oracle");
939 #endif
940 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
941   fprintf(f, " passwd");
942 #endif
943 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
944   fprintf(f, " pgsql");
945 #endif
946 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
947   fprintf(f, " redis");
948 #endif
949 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
950   fprintf(f, " sqlite");
951 #endif
952 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
953   fprintf(f, " testdb");
954 #endif
955 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
956   fprintf(f, " whoson");
957 #endif
958 fprintf(f, "\n");
959
960 auth_show_supported(f);
961 route_show_supported(f);
962 transport_show_supported(f);
963
964 #ifdef WITH_CONTENT_SCAN
965 malware_show_supported(f);
966 #endif
967
968 if (fixed_never_users[0] > 0)
969   {
970   int i;
971   fprintf(f, "Fixed never_users: ");
972   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
973     fprintf(f, "%d:", (unsigned int)fixed_never_users[i]);
974   fprintf(f, "%d\n", (unsigned int)fixed_never_users[i]);
975   }
976
977 fprintf(f, "Configure owner: %d:%d\n", config_uid, config_gid);
978
979 fprintf(f, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
980
981 /* Everything else is details which are only worth reporting when debugging.
982 Perhaps the tls_version_report should move into this too. */
983 DEBUG(D_any) do {
984
985   int i;
986
987 /* clang defines __GNUC__ (at least, for me) so test for it first */
988 #if defined(__clang__)
989   fprintf(f, "Compiler: CLang [%s]\n", __clang_version__);
990 #elif defined(__GNUC__)
991   fprintf(f, "Compiler: GCC [%s]\n",
992 # ifdef __VERSION__
993       __VERSION__
994 # else
995       "? unknown version ?"
996 # endif
997       );
998 #else
999   fprintf(f, "Compiler: <unknown>\n");
1000 #endif
1001
1002 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1003   fprintf(f, "Library version: Glibc: Compile: %d.%d\n",
1004                 __GLIBC__, __GLIBC_MINOR__);
1005   if (__GLIBC_PREREQ(2, 1))
1006     fprintf(f, "                        Runtime: %s\n",
1007                 gnu_get_libc_version());
1008 #endif
1009
1010 show_db_version(f);
1011
1012 #ifdef SUPPORT_TLS
1013   tls_version_report(f);
1014 #endif
1015 #ifdef SUPPORT_I18N
1016   utf8_version_report(f);
1017 #endif
1018
1019   for (authi = auths_available; *authi->driver_name != '\0'; ++authi)
1020     if (authi->version_report)
1021       (*authi->version_report)(f);
1022
1023   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1024   characters; unless it's an ancient version of PCRE in which case it
1025   is not defined. */
1026 #ifndef PCRE_PRERELEASE
1027 # define PCRE_PRERELEASE
1028 #endif
1029 #define QUOTE(X) #X
1030 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1031   fprintf(f, "Library version: PCRE: Compile: %d.%d%s\n"
1032              "                       Runtime: %s\n",
1033           PCRE_MAJOR, PCRE_MINOR,
1034           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1035           pcre_version());
1036 #undef QUOTE
1037 #undef EXPAND_AND_QUOTE
1038
1039   init_lookup_list();
1040   for (i = 0; i < lookup_list_count; i++)
1041     if (lookup_list[i]->version_report)
1042       lookup_list[i]->version_report(f);
1043
1044 #ifdef WHITELIST_D_MACROS
1045   fprintf(f, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1046 #else
1047   fprintf(f, "WHITELIST_D_MACROS unset\n");
1048 #endif
1049 #ifdef TRUSTED_CONFIG_LIST
1050   fprintf(f, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1051 #else
1052   fprintf(f, "TRUSTED_CONFIG_LIST unset\n");
1053 #endif
1054
1055 } while (0);
1056 }
1057
1058
1059 /*************************************************
1060 *     Show auxiliary information about Exim      *
1061 *************************************************/
1062
1063 static void
1064 show_exim_information(enum commandline_info request, FILE *stream)
1065 {
1066 const uschar **pp;
1067
1068 switch(request)
1069   {
1070   case CMDINFO_NONE:
1071     fprintf(stream, "Oops, something went wrong.\n");
1072     return;
1073   case CMDINFO_HELP:
1074     fprintf(stream,
1075 "The -bI: flag takes a string indicating which information to provide.\n"
1076 "If the string is not recognised, you'll get this help (on stderr).\n"
1077 "\n"
1078 "  exim -bI:help    this information\n"
1079 "  exim -bI:dscp    list of known dscp value keywords\n"
1080 "  exim -bI:sieve   list of supported sieve extensions\n"
1081 );
1082     return;
1083   case CMDINFO_SIEVE:
1084     for (pp = exim_sieve_extension_list; *pp; ++pp)
1085       fprintf(stream, "%s\n", *pp);
1086     return;
1087   case CMDINFO_DSCP:
1088     dscp_list_to_stream(stream);
1089     return;
1090   }
1091 }
1092
1093
1094 /*************************************************
1095 *               Quote a local part               *
1096 *************************************************/
1097
1098 /* This function is used when a sender address or a From: or Sender: header
1099 line is being created from the caller's login, or from an authenticated_id. It
1100 applies appropriate quoting rules for a local part.
1101
1102 Argument:    the local part
1103 Returns:     the local part, quoted if necessary
1104 */
1105
1106 uschar *
1107 local_part_quote(uschar *lpart)
1108 {
1109 BOOL needs_quote = FALSE;
1110 gstring * g;
1111 uschar *t;
1112
1113 for (t = lpart; !needs_quote && *t != 0; t++)
1114   {
1115   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1116     (*t != '.' || t == lpart || t[1] == 0);
1117   }
1118
1119 if (!needs_quote) return lpart;
1120
1121 g = string_catn(NULL, US"\"", 1);
1122
1123 for (;;)
1124   {
1125   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1126   if (nq == NULL)
1127     {
1128     g = string_cat(g, lpart);
1129     break;
1130     }
1131   g = string_catn(g, lpart, nq - lpart);
1132   g = string_catn(g, US"\\", 1);
1133   g = string_catn(g, nq, 1);
1134   lpart = nq + 1;
1135   }
1136
1137 g = string_catn(g, US"\"", 1);
1138 return string_from_gstring(g);
1139 }
1140
1141
1142
1143 #ifdef USE_READLINE
1144 /*************************************************
1145 *         Load readline() functions              *
1146 *************************************************/
1147
1148 /* This function is called from testing executions that read data from stdin,
1149 but only when running as the calling user. Currently, only -be does this. The
1150 function loads the readline() function library and passes back the functions.
1151 On some systems, it needs the curses library, so load that too, but try without
1152 it if loading fails. All this functionality has to be requested at build time.
1153
1154 Arguments:
1155   fn_readline_ptr   pointer to where to put the readline pointer
1156   fn_addhist_ptr    pointer to where to put the addhistory function
1157
1158 Returns:            the dlopen handle or NULL on failure
1159 */
1160
1161 static void *
1162 set_readline(char * (**fn_readline_ptr)(const char *),
1163              void   (**fn_addhist_ptr)(const char *))
1164 {
1165 void *dlhandle;
1166 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1167
1168 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1169 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1170
1171 if (dlhandle != NULL)
1172   {
1173   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1174    *   char * readline (const char *prompt);
1175    *   void add_history (const char *string);
1176    */
1177   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1178   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1179   }
1180 else
1181   {
1182   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1183   }
1184
1185 return dlhandle;
1186 }
1187 #endif
1188
1189
1190
1191 /*************************************************
1192 *    Get a line from stdin for testing things    *
1193 *************************************************/
1194
1195 /* This function is called when running tests that can take a number of lines
1196 of input (for example, -be and -bt). It handles continuations and trailing
1197 spaces. And prompting and a blank line output on eof. If readline() is in use,
1198 the arguments are non-NULL and provide the relevant functions.
1199
1200 Arguments:
1201   fn_readline   readline function or NULL
1202   fn_addhist    addhist function or NULL
1203
1204 Returns:        pointer to dynamic memory, or NULL at end of file
1205 */
1206
1207 static uschar *
1208 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1209 {
1210 int i;
1211 gstring * g = NULL;
1212
1213 if (!fn_readline) { printf("> "); fflush(stdout); }
1214
1215 for (i = 0;; i++)
1216   {
1217   uschar buffer[1024];
1218   uschar *p, *ss;
1219
1220   #ifdef USE_READLINE
1221   char *readline_line = NULL;
1222   if (fn_readline != NULL)
1223     {
1224     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1225     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1226     p = US readline_line;
1227     }
1228   else
1229   #endif
1230
1231   /* readline() not in use */
1232
1233     {
1234     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1235     p = buffer;
1236     }
1237
1238   /* Handle the line */
1239
1240   ss = p + (int)Ustrlen(p);
1241   while (ss > p && isspace(ss[-1])) ss--;
1242
1243   if (i > 0)
1244     {
1245     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1246     }
1247
1248   g = string_catn(g, p, ss - p);
1249
1250   #ifdef USE_READLINE
1251   if (fn_readline) free(readline_line);
1252   #endif
1253
1254   /* g can only be NULL if ss==p */
1255   if (ss == p || g->s[g->ptr-1] != '\\')
1256     break;
1257
1258   --g->ptr;
1259   (void) string_from_gstring(g);
1260   }
1261
1262 if (!g) printf("\n");
1263 return string_from_gstring(g);
1264 }
1265
1266
1267
1268 /*************************************************
1269 *    Output usage information for the program    *
1270 *************************************************/
1271
1272 /* This function is called when there are no recipients
1273    or a specific --help argument was added.
1274
1275 Arguments:
1276   progname      information on what name we were called by
1277
1278 Returns:        DOES NOT RETURN
1279 */
1280
1281 static void
1282 exim_usage(uschar *progname)
1283 {
1284
1285 /* Handle specific program invocation variants */
1286 if (Ustrcmp(progname, US"-mailq") == 0)
1287   {
1288   fprintf(stderr,
1289     "mailq - list the contents of the mail queue\n\n"
1290     "For a list of options, see the Exim documentation.\n");
1291   exit(EXIT_FAILURE);
1292   }
1293
1294 /* Generic usage - we output this whatever happens */
1295 fprintf(stderr,
1296   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1297   "not directly from a shell command line. Options and/or arguments control\n"
1298   "what it does when called. For a list of options, see the Exim documentation.\n");
1299
1300 exit(EXIT_FAILURE);
1301 }
1302
1303
1304
1305 /*************************************************
1306 *    Validate that the macros given are okay     *
1307 *************************************************/
1308
1309 /* Typically, Exim will drop privileges if macros are supplied.  In some
1310 cases, we want to not do so.
1311
1312 Arguments:    opt_D_used - true if the commandline had a "-D" option
1313 Returns:      true if trusted, false otherwise
1314 */
1315
1316 static BOOL
1317 macros_trusted(BOOL opt_D_used)
1318 {
1319 #ifdef WHITELIST_D_MACROS
1320 macro_item *m;
1321 uschar *whitelisted, *end, *p, **whites, **w;
1322 int white_count, i, n;
1323 size_t len;
1324 BOOL prev_char_item, found;
1325 #endif
1326
1327 if (!opt_D_used)
1328   return TRUE;
1329 #ifndef WHITELIST_D_MACROS
1330 return FALSE;
1331 #else
1332
1333 /* We only trust -D overrides for some invoking users:
1334 root, the exim run-time user, the optional config owner user.
1335 I don't know why config-owner would be needed, but since they can own the
1336 config files anyway, there's no security risk to letting them override -D. */
1337 if ( ! ((real_uid == root_uid)
1338      || (real_uid == exim_uid)
1339 #ifdef CONFIGURE_OWNER
1340      || (real_uid == config_uid)
1341 #endif
1342    ))
1343   {
1344   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1345   return FALSE;
1346   }
1347
1348 /* Get a list of macros which are whitelisted */
1349 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1350 prev_char_item = FALSE;
1351 white_count = 0;
1352 for (p = whitelisted; *p != '\0'; ++p)
1353   {
1354   if (*p == ':' || isspace(*p))
1355     {
1356     *p = '\0';
1357     if (prev_char_item)
1358       ++white_count;
1359     prev_char_item = FALSE;
1360     continue;
1361     }
1362   if (!prev_char_item)
1363     prev_char_item = TRUE;
1364   }
1365 end = p;
1366 if (prev_char_item)
1367   ++white_count;
1368 if (!white_count)
1369   return FALSE;
1370 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1371 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1372   {
1373   if (*p != '\0')
1374     {
1375     whites[i++] = p;
1376     if (i == white_count)
1377       break;
1378     while (*p != '\0' && p < end)
1379       ++p;
1380     }
1381   }
1382 whites[i] = NULL;
1383
1384 /* The list of commandline macros should be very short.
1385 Accept the N*M complexity. */
1386 for (m = macros_user; m; m = m->next) if (m->command_line)
1387   {
1388   found = FALSE;
1389   for (w = whites; *w; ++w)
1390     if (Ustrcmp(*w, m->name) == 0)
1391       {
1392       found = TRUE;
1393       break;
1394       }
1395   if (!found)
1396     return FALSE;
1397   if (!m->replacement)
1398     continue;
1399   if ((len = m->replen) == 0)
1400     continue;
1401   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1402    0, PCRE_EOPT, NULL, 0);
1403   if (n < 0)
1404     {
1405     if (n != PCRE_ERROR_NOMATCH)
1406       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1407     return FALSE;
1408     }
1409   }
1410 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1411 return TRUE;
1412 #endif
1413 }
1414
1415
1416 /*************************************************
1417 *          Expansion testing                     *
1418 *************************************************/
1419
1420 /* Expand and print one item, doing macro-processing.
1421
1422 Arguments:
1423   item          line for expansion
1424 */
1425
1426 static void
1427 expansion_test_line(uschar * line)
1428 {
1429 int len;
1430 BOOL dummy_macexp;
1431
1432 Ustrncpy(big_buffer, line, big_buffer_size);
1433 big_buffer[big_buffer_size-1] = '\0';
1434 len = Ustrlen(big_buffer);
1435
1436 (void) macros_expand(0, &len, &dummy_macexp);
1437
1438 if (isupper(big_buffer[0]))
1439   {
1440   if (macro_read_assignment(big_buffer))
1441     printf("Defined macro '%s'\n", mlast->name);
1442   }
1443 else
1444   if ((line = expand_string(big_buffer))) printf("%s\n", CS line);
1445   else printf("Failed: %s\n", expand_string_message);
1446 }
1447
1448
1449 /*************************************************
1450 *          Entry point and high-level code       *
1451 *************************************************/
1452
1453 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1454 the appropriate action. All the necessary functions are present in the one
1455 binary. I originally thought one should split it up, but it turns out that so
1456 much of the apparatus is needed in each chunk that one might as well just have
1457 it all available all the time, which then makes the coding easier as well.
1458
1459 Arguments:
1460   argc      count of entries in argv
1461   argv      argument strings, with argv[0] being the program name
1462
1463 Returns:    EXIT_SUCCESS if terminated successfully
1464             EXIT_FAILURE otherwise, except when a message has been sent
1465               to the sender, and -oee was given
1466 */
1467
1468 int
1469 main(int argc, char **cargv)
1470 {
1471 uschar **argv = USS cargv;
1472 int  arg_receive_timeout = -1;
1473 int  arg_smtp_receive_timeout = -1;
1474 int  arg_error_handling = error_handling;
1475 int  filter_sfd = -1;
1476 int  filter_ufd = -1;
1477 int  group_count;
1478 int  i, rv;
1479 int  list_queue_option = 0;
1480 int  msg_action = 0;
1481 int  msg_action_arg = -1;
1482 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1483 int  queue_only_reason = 0;
1484 #ifdef EXIM_PERL
1485 int  perl_start_option = 0;
1486 #endif
1487 int  recipients_arg = argc;
1488 int  sender_address_domain = 0;
1489 int  test_retry_arg = -1;
1490 int  test_rewrite_arg = -1;
1491 BOOL arg_queue_only = FALSE;
1492 BOOL bi_option = FALSE;
1493 BOOL checking = FALSE;
1494 BOOL count_queue = FALSE;
1495 BOOL expansion_test = FALSE;
1496 BOOL extract_recipients = FALSE;
1497 BOOL flag_G = FALSE;
1498 BOOL flag_n = FALSE;
1499 BOOL forced_delivery = FALSE;
1500 BOOL f_end_dot = FALSE;
1501 BOOL deliver_give_up = FALSE;
1502 BOOL list_queue = FALSE;
1503 BOOL list_options = FALSE;
1504 BOOL list_config = FALSE;
1505 BOOL local_queue_only;
1506 BOOL more = TRUE;
1507 BOOL one_msg_action = FALSE;
1508 BOOL opt_D_used = FALSE;
1509 BOOL queue_only_set = FALSE;
1510 BOOL receiving_message = TRUE;
1511 BOOL sender_ident_set = FALSE;
1512 BOOL session_local_queue_only;
1513 BOOL unprivileged;
1514 BOOL removed_privilege = FALSE;
1515 BOOL usage_wanted = FALSE;
1516 BOOL verify_address_mode = FALSE;
1517 BOOL verify_as_sender = FALSE;
1518 BOOL version_printed = FALSE;
1519 uschar *alias_arg = NULL;
1520 uschar *called_as = US"";
1521 uschar *cmdline_syslog_name = NULL;
1522 uschar *start_queue_run_id = NULL;
1523 uschar *stop_queue_run_id = NULL;
1524 uschar *expansion_test_message = NULL;
1525 uschar *ftest_domain = NULL;
1526 uschar *ftest_localpart = NULL;
1527 uschar *ftest_prefix = NULL;
1528 uschar *ftest_suffix = NULL;
1529 uschar *log_oneline = NULL;
1530 uschar *malware_test_file = NULL;
1531 uschar *real_sender_address;
1532 uschar *originator_home = US"/";
1533 size_t sz;
1534 void *reset_point;
1535
1536 struct passwd *pw;
1537 struct stat statbuf;
1538 pid_t passed_qr_pid = (pid_t)0;
1539 int passed_qr_pipe = -1;
1540 gid_t group_list[NGROUPS_MAX];
1541
1542 /* For the -bI: flag */
1543 enum commandline_info info_flag = CMDINFO_NONE;
1544 BOOL info_stdout = FALSE;
1545
1546 /* Possible options for -R and -S */
1547
1548 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1549
1550 /* Need to define this in case we need to change the environment in order
1551 to get rid of a bogus time zone. We have to make it char rather than uschar
1552 because some OS define it in /usr/include/unistd.h. */
1553
1554 extern char **environ;
1555
1556 /* If the Exim user and/or group and/or the configuration file owner/group were
1557 defined by ref:name at build time, we must now find the actual uid/gid values.
1558 This is a feature to make the lives of binary distributors easier. */
1559
1560 #ifdef EXIM_USERNAME
1561 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1562   {
1563   if (exim_uid == 0)
1564     {
1565     fprintf(stderr, "exim: refusing to run with uid 0 for \"%s\"\n",
1566       EXIM_USERNAME);
1567     exit(EXIT_FAILURE);
1568     }
1569   /* If ref:name uses a number as the name, route_finduser() returns
1570   TRUE with exim_uid set and pw coerced to NULL. */
1571   if (pw)
1572     exim_gid = pw->pw_gid;
1573 #ifndef EXIM_GROUPNAME
1574   else
1575     {
1576     fprintf(stderr,
1577         "exim: ref:name should specify a usercode, not a group.\n"
1578         "exim: can't let you get away with it unless you also specify a group.\n");
1579     exit(EXIT_FAILURE);
1580     }
1581 #endif
1582   }
1583 else
1584   {
1585   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1586     EXIM_USERNAME);
1587   exit(EXIT_FAILURE);
1588   }
1589 #endif
1590
1591 #ifdef EXIM_GROUPNAME
1592 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1593   {
1594   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1595     EXIM_GROUPNAME);
1596   exit(EXIT_FAILURE);
1597   }
1598 #endif
1599
1600 #ifdef CONFIGURE_OWNERNAME
1601 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1602   {
1603   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1604     CONFIGURE_OWNERNAME);
1605   exit(EXIT_FAILURE);
1606   }
1607 #endif
1608
1609 /* We default the system_filter_user to be the Exim run-time user, as a
1610 sane non-root value. */
1611 system_filter_uid = exim_uid;
1612
1613 #ifdef CONFIGURE_GROUPNAME
1614 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1615   {
1616   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1617     CONFIGURE_GROUPNAME);
1618   exit(EXIT_FAILURE);
1619   }
1620 #endif
1621
1622 /* In the Cygwin environment, some initialization used to need doing.
1623 It was fudged in by means of this macro; now no longer but we'll leave
1624 it in case of others. */
1625
1626 #ifdef OS_INIT
1627 OS_INIT
1628 #endif
1629
1630 /* Check a field which is patched when we are running Exim within its
1631 testing harness; do a fast initial check, and then the whole thing. */
1632
1633 running_in_test_harness =
1634   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1635 if (running_in_test_harness)
1636   debug_store = TRUE;
1637
1638 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1639 at the start of a program; however, it seems that some environments do not
1640 follow this. A "strange" locale can affect the formatting of timestamps, so we
1641 make quite sure. */
1642
1643 setlocale(LC_ALL, "C");
1644
1645 /* Set up the default handler for timing using alarm(). */
1646
1647 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1648
1649 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1650 because store_malloc writes a log entry on failure. */
1651
1652 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1653   {
1654   fprintf(stderr, "exim: failed to get store for log buffer\n");
1655   exit(EXIT_FAILURE);
1656   }
1657
1658 /* Initialize the default log options. */
1659
1660 bits_set(log_selector, log_selector_size, log_default);
1661
1662 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1663 NULL when the daemon is run and the file is closed. We have to use this
1664 indirection, because some systems don't allow writing to the variable "stderr".
1665 */
1666
1667 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1668
1669 /* Arrange for the PCRE regex library to use our store functions. Note that
1670 the normal calls are actually macros that add additional arguments for
1671 debugging purposes so we have to assign specially constructed functions here.
1672 The default is to use store in the stacking pool, but this is overridden in the
1673 regex_must_compile() function. */
1674
1675 pcre_malloc = function_store_get;
1676 pcre_free = function_dummy_free;
1677
1678 /* Ensure there is a big buffer for temporary use in several places. It is put
1679 in malloc store so that it can be freed for enlargement if necessary. */
1680
1681 big_buffer = store_malloc(big_buffer_size);
1682
1683 /* Set up the handler for the data request signal, and set the initial
1684 descriptive text. */
1685
1686 set_process_info("initializing");
1687 os_restarting_signal(SIGUSR1, usr1_handler);
1688
1689 /* If running in a dockerized environment, the TERM signal is only
1690 delegated to the PID 1 if we request it by setting an signal handler */
1691 if (getpid() == 1) signal(SIGTERM, term_handler);
1692
1693 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1694 in the daemon code. For the rest of Exim's uses, we ignore it. */
1695
1696 signal(SIGHUP, SIG_IGN);
1697
1698 /* We don't want to die on pipe errors as the code is written to handle
1699 the write error instead. */
1700
1701 signal(SIGPIPE, SIG_IGN);
1702
1703 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1704 set to SIG_IGN. This causes subprocesses that complete before the parent
1705 process waits for them not to hang around, so when Exim calls wait(), nothing
1706 is there. The wait() code has been made robust against this, but let's ensure
1707 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1708 ending status. We use sigaction rather than plain signal() on those OS where
1709 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1710 problem on AIX with this.) */
1711
1712 #ifdef SA_NOCLDWAIT
1713   {
1714   struct sigaction act;
1715   act.sa_handler = SIG_DFL;
1716   sigemptyset(&(act.sa_mask));
1717   act.sa_flags = 0;
1718   sigaction(SIGCHLD, &act, NULL);
1719   }
1720 #else
1721 signal(SIGCHLD, SIG_DFL);
1722 #endif
1723
1724 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1725 SIGHUP. */
1726
1727 sighup_argv = argv;
1728
1729 /* Set up the version number. Set up the leading 'E' for the external form of
1730 message ids, set the pointer to the internal form, and initialize it to
1731 indicate no message being processed. */
1732
1733 version_init();
1734 message_id_option[0] = '-';
1735 message_id_external = message_id_option + 1;
1736 message_id_external[0] = 'E';
1737 message_id = message_id_external + 1;
1738 message_id[0] = 0;
1739
1740 /* Set the umask to zero so that any files Exim creates using open() are
1741 created with the modes that it specifies. NOTE: Files created with fopen() have
1742 a problem, which was not recognized till rather late (February 2006). With this
1743 umask, such files will be world writeable. (They are all content scanning files
1744 in the spool directory, which isn't world-accessible, so this is not a
1745 disaster, but it's untidy.) I don't want to change this overall setting,
1746 however, because it will interact badly with the open() calls. Instead, there's
1747 now a function called modefopen() that fiddles with the umask while calling
1748 fopen(). */
1749
1750 (void)umask(0);
1751
1752 /* Precompile the regular expression for matching a message id. Keep this in
1753 step with the code that generates ids in the accept.c module. We need to do
1754 this here, because the -M options check their arguments for syntactic validity
1755 using mac_ismsgid, which uses this. */
1756
1757 regex_ismsgid =
1758   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1759
1760 /* Precompile the regular expression that is used for matching an SMTP error
1761 code, possibly extended, at the start of an error message. Note that the
1762 terminating whitespace character is included. */
1763
1764 regex_smtp_code =
1765   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1766     FALSE, TRUE);
1767
1768 #ifdef WHITELIST_D_MACROS
1769 /* Precompile the regular expression used to filter the content of macros
1770 given to -D for permissibility. */
1771
1772 regex_whitelisted_macro =
1773   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1774 #endif
1775
1776 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1777
1778 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1779 this seems to be a generally accepted convention, since one finds symbolic
1780 links called "mailq" in standard OS configurations. */
1781
1782 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1783     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1784   {
1785   list_queue = TRUE;
1786   receiving_message = FALSE;
1787   called_as = US"-mailq";
1788   }
1789
1790 /* If the program is called as "rmail" treat it as equivalent to
1791 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1792 i.e. preventing a single dot on a line from terminating the message, and
1793 returning with zero return code, even in cases of error (provided an error
1794 message has been sent). */
1795
1796 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1797     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1798   {
1799   dot_ends = FALSE;
1800   called_as = US"-rmail";
1801   errors_sender_rc = EXIT_SUCCESS;
1802   }
1803
1804 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1805 this is a smail convention. */
1806
1807 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1808     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1809   {
1810   smtp_input = smtp_batched_input = TRUE;
1811   called_as = US"-rsmtp";
1812   }
1813
1814 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1815 this is a smail convention. */
1816
1817 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1818     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1819   {
1820   queue_interval = 0;
1821   receiving_message = FALSE;
1822   called_as = US"-runq";
1823   }
1824
1825 /* If the program is called as "newaliases" treat it as equivalent to
1826 "exim -bi"; this is a sendmail convention. */
1827
1828 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1829     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1830   {
1831   bi_option = TRUE;
1832   receiving_message = FALSE;
1833   called_as = US"-newaliases";
1834   }
1835
1836 /* Save the original effective uid for a couple of uses later. It should
1837 normally be root, but in some esoteric environments it may not be. */
1838
1839 original_euid = geteuid();
1840
1841 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1842 to be the same as the real ones. This makes a difference only if Exim is setuid
1843 (or setgid) to something other than root, which could be the case in some
1844 special configurations. */
1845
1846 real_uid = getuid();
1847 real_gid = getgid();
1848
1849 if (real_uid == root_uid)
1850   {
1851   rv = setgid(real_gid);
1852   if (rv)
1853     {
1854     fprintf(stderr, "exim: setgid(%ld) failed: %s\n",
1855         (long int)real_gid, strerror(errno));
1856     exit(EXIT_FAILURE);
1857     }
1858   rv = setuid(real_uid);
1859   if (rv)
1860     {
1861     fprintf(stderr, "exim: setuid(%ld) failed: %s\n",
1862         (long int)real_uid, strerror(errno));
1863     exit(EXIT_FAILURE);
1864     }
1865   }
1866
1867 /* If neither the original real uid nor the original euid was root, Exim is
1868 running in an unprivileged state. */
1869
1870 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1871
1872 /* Scan the program's arguments. Some can be dealt with right away; others are
1873 simply recorded for checking and handling afterwards. Do a high-level switch
1874 on the second character (the one after '-'), to save some effort. */
1875
1876 for (i = 1; i < argc; i++)
1877   {
1878   BOOL badarg = FALSE;
1879   uschar *arg = argv[i];
1880   uschar *argrest;
1881   int switchchar;
1882
1883   /* An argument not starting with '-' is the start of a recipients list;
1884   break out of the options-scanning loop. */
1885
1886   if (arg[0] != '-')
1887     {
1888     recipients_arg = i;
1889     break;
1890     }
1891
1892   /* An option consisting of -- terminates the options */
1893
1894   if (Ustrcmp(arg, "--") == 0)
1895     {
1896     recipients_arg = i + 1;
1897     break;
1898     }
1899
1900   /* Handle flagged options */
1901
1902   switchchar = arg[1];
1903   argrest = arg+2;
1904
1905   /* Make all -ex options synonymous with -oex arguments, since that
1906   is assumed by various callers. Also make -qR options synonymous with -R
1907   options, as that seems to be required as well. Allow for -qqR too, and
1908   the same for -S options. */
1909
1910   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1911       Ustrncmp(arg+1, "qR", 2) == 0 ||
1912       Ustrncmp(arg+1, "qS", 2) == 0)
1913     {
1914     switchchar = arg[2];
1915     argrest++;
1916     }
1917   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1918     {
1919     switchchar = arg[3];
1920     argrest += 2;
1921     queue_2stage = TRUE;
1922     }
1923
1924   /* Make -r synonymous with -f, since it is a documented alias */
1925
1926   else if (arg[1] == 'r') switchchar = 'f';
1927
1928   /* Make -ov synonymous with -v */
1929
1930   else if (Ustrcmp(arg, "-ov") == 0)
1931     {
1932     switchchar = 'v';
1933     argrest++;
1934     }
1935
1936   /* deal with --option_aliases */
1937   else if (switchchar == '-')
1938     {
1939     if (Ustrcmp(argrest, "help") == 0)
1940       {
1941       usage_wanted = TRUE;
1942       break;
1943       }
1944     else if (Ustrcmp(argrest, "version") == 0)
1945       {
1946       switchchar = 'b';
1947       argrest = US"V";
1948       }
1949     }
1950
1951   /* High-level switch on active initial letter */
1952
1953   switch(switchchar)
1954     {
1955
1956     /* sendmail uses -Ac and -Am to control which .cf file is used;
1957     we ignore them. */
1958     case 'A':
1959     if (*argrest == '\0') { badarg = TRUE; break; }
1960     else
1961       {
1962       BOOL ignore = FALSE;
1963       switch (*argrest)
1964         {
1965         case 'c':
1966         case 'm':
1967           if (*(argrest + 1) == '\0')
1968             ignore = TRUE;
1969           break;
1970         }
1971       if (!ignore) { badarg = TRUE; break; }
1972       }
1973     break;
1974
1975     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1976     so has no need of it. */
1977
1978     case 'B':
1979     if (*argrest == 0) i++;       /* Skip over the type */
1980     break;
1981
1982
1983     case 'b':
1984     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1985
1986     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1987        -bdf: Ditto, but in the foreground.
1988     */
1989
1990     if (*argrest == 'd')
1991       {
1992       daemon_listen = TRUE;
1993       if (*(++argrest) == 'f') background_daemon = FALSE;
1994         else if (*argrest != 0) { badarg = TRUE; break; }
1995       }
1996
1997     /* -be:  Run in expansion test mode
1998        -bem: Ditto, but read a message from a file first
1999     */
2000
2001     else if (*argrest == 'e')
2002       {
2003       expansion_test = checking = TRUE;
2004       if (argrest[1] == 'm')
2005         {
2006         if (++i >= argc) { badarg = TRUE; break; }
2007         expansion_test_message = argv[i];
2008         argrest++;
2009         }
2010       if (argrest[1] != 0) { badarg = TRUE; break; }
2011       }
2012
2013     /* -bF:  Run system filter test */
2014
2015     else if (*argrest == 'F')
2016       {
2017       filter_test |= checking = FTEST_SYSTEM;
2018       if (*(++argrest) != 0) { badarg = TRUE; break; }
2019       if (++i < argc) filter_test_sfile = argv[i]; else
2020         {
2021         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2022         exit(EXIT_FAILURE);
2023         }
2024       }
2025
2026     /* -bf:  Run user filter test
2027        -bfd: Set domain for filter testing
2028        -bfl: Set local part for filter testing
2029        -bfp: Set prefix for filter testing
2030        -bfs: Set suffix for filter testing
2031     */
2032
2033     else if (*argrest == 'f')
2034       {
2035       if (*(++argrest) == 0)
2036         {
2037         filter_test |= checking = FTEST_USER;
2038         if (++i < argc) filter_test_ufile = argv[i]; else
2039           {
2040           fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2041           exit(EXIT_FAILURE);
2042           }
2043         }
2044       else
2045         {
2046         if (++i >= argc)
2047           {
2048           fprintf(stderr, "exim: string expected after %s\n", arg);
2049           exit(EXIT_FAILURE);
2050           }
2051         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
2052         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
2053         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
2054         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
2055         else { badarg = TRUE; break; }
2056         }
2057       }
2058
2059     /* -bh: Host checking - an IP address must follow. */
2060
2061     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
2062       {
2063       if (++i >= argc) { badarg = TRUE; break; }
2064       sender_host_address = argv[i];
2065       host_checking = checking = log_testing_mode = TRUE;
2066       host_checking_callout = argrest[1] == 'c';
2067       message_logs = FALSE;
2068       }
2069
2070     /* -bi: This option is used by sendmail to initialize *the* alias file,
2071     though it has the -oA option to specify a different file. Exim has no
2072     concept of *the* alias file, but since Sun's YP make script calls
2073     sendmail this way, some support must be provided. */
2074
2075     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
2076
2077     /* -bI: provide information, of the type to follow after a colon.
2078     This is an Exim flag. */
2079
2080     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
2081       {
2082       uschar *p = &argrest[2];
2083       info_flag = CMDINFO_HELP;
2084       if (Ustrlen(p))
2085         {
2086         if (strcmpic(p, CUS"sieve") == 0)
2087           {
2088           info_flag = CMDINFO_SIEVE;
2089           info_stdout = TRUE;
2090           }
2091         else if (strcmpic(p, CUS"dscp") == 0)
2092           {
2093           info_flag = CMDINFO_DSCP;
2094           info_stdout = TRUE;
2095           }
2096         else if (strcmpic(p, CUS"help") == 0)
2097           {
2098           info_stdout = TRUE;
2099           }
2100         }
2101       }
2102
2103     /* -bm: Accept and deliver message - the default option. Reinstate
2104     receiving_message, which got turned off for all -b options. */
2105
2106     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2107
2108     /* -bmalware: test the filename given for malware */
2109
2110     else if (Ustrcmp(argrest, "malware") == 0)
2111       {
2112       if (++i >= argc) { badarg = TRUE; break; }
2113       checking = TRUE;
2114       malware_test_file = argv[i];
2115       }
2116
2117     /* -bnq: For locally originating messages, do not qualify unqualified
2118     addresses. In the envelope, this causes errors; in header lines they
2119     just get left. */
2120
2121     else if (Ustrcmp(argrest, "nq") == 0)
2122       {
2123       allow_unqualified_sender = FALSE;
2124       allow_unqualified_recipient = FALSE;
2125       }
2126
2127     /* -bpxx: List the contents of the mail queue, in various forms. If
2128     the option is -bpc, just a queue count is needed. Otherwise, if the
2129     first letter after p is r, then order is random. */
2130
2131     else if (*argrest == 'p')
2132       {
2133       if (*(++argrest) == 'c')
2134         {
2135         count_queue = TRUE;
2136         if (*(++argrest) != 0) badarg = TRUE;
2137         break;
2138         }
2139
2140       if (*argrest == 'r')
2141         {
2142         list_queue_option = 8;
2143         argrest++;
2144         }
2145       else list_queue_option = 0;
2146
2147       list_queue = TRUE;
2148
2149       /* -bp: List the contents of the mail queue, top-level only */
2150
2151       if (*argrest == 0) {}
2152
2153       /* -bpu: List the contents of the mail queue, top-level undelivered */
2154
2155       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2156
2157       /* -bpa: List the contents of the mail queue, including all delivered */
2158
2159       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2160
2161       /* Unknown after -bp[r] */
2162
2163       else
2164         {
2165         badarg = TRUE;
2166         break;
2167         }
2168       }
2169
2170
2171     /* -bP: List the configuration variables given as the address list.
2172     Force -v, so configuration errors get displayed. */
2173
2174     else if (Ustrcmp(argrest, "P") == 0)
2175       {
2176       /* -bP config: we need to setup here, because later,
2177        * when list_options is checked, the config is read already */
2178       if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2179         {
2180         list_config = TRUE;
2181         readconf_save_config(version_string);
2182         }
2183       else
2184         {
2185         list_options = TRUE;
2186         debug_selector |= D_v;
2187         debug_file = stderr;
2188         }
2189       }
2190
2191     /* -brt: Test retry configuration lookup */
2192
2193     else if (Ustrcmp(argrest, "rt") == 0)
2194       {
2195       checking = TRUE;
2196       test_retry_arg = i + 1;
2197       goto END_ARG;
2198       }
2199
2200     /* -brw: Test rewrite configuration */
2201
2202     else if (Ustrcmp(argrest, "rw") == 0)
2203       {
2204       checking = TRUE;
2205       test_rewrite_arg = i + 1;
2206       goto END_ARG;
2207       }
2208
2209     /* -bS: Read SMTP commands on standard input, but produce no replies -
2210     all errors are reported by sending messages. */
2211
2212     else if (Ustrcmp(argrest, "S") == 0)
2213       smtp_input = smtp_batched_input = receiving_message = TRUE;
2214
2215     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2216     on standard output. */
2217
2218     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2219
2220     /* -bt: address testing mode */
2221
2222     else if (Ustrcmp(argrest, "t") == 0)
2223       address_test_mode = checking = log_testing_mode = TRUE;
2224
2225     /* -bv: verify addresses */
2226
2227     else if (Ustrcmp(argrest, "v") == 0)
2228       verify_address_mode = checking = log_testing_mode = TRUE;
2229
2230     /* -bvs: verify sender addresses */
2231
2232     else if (Ustrcmp(argrest, "vs") == 0)
2233       {
2234       verify_address_mode = checking = log_testing_mode = TRUE;
2235       verify_as_sender = TRUE;
2236       }
2237
2238     /* -bV: Print version string and support details */
2239
2240     else if (Ustrcmp(argrest, "V") == 0)
2241       {
2242       printf("Exim version %s #%s built %s\n", version_string,
2243         version_cnumber, version_date);
2244       printf("%s\n", CS version_copyright);
2245       version_printed = TRUE;
2246       show_whats_supported(stdout);
2247       log_testing_mode = TRUE;
2248       }
2249
2250     /* -bw: inetd wait mode, accept a listening socket as stdin */
2251
2252     else if (*argrest == 'w')
2253       {
2254       inetd_wait_mode = TRUE;
2255       background_daemon = FALSE;
2256       daemon_listen = TRUE;
2257       if (*(++argrest) != '\0')
2258         {
2259         inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE);
2260         if (inetd_wait_timeout <= 0)
2261           {
2262           fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2263           exit(EXIT_FAILURE);
2264           }
2265         }
2266       }
2267
2268     else badarg = TRUE;
2269     break;
2270
2271
2272     /* -C: change configuration file list; ignore if it isn't really
2273     a change! Enforce a prefix check if required. */
2274
2275     case 'C':
2276     if (*argrest == 0)
2277       {
2278       if(++i < argc) argrest = argv[i]; else
2279         { badarg = TRUE; break; }
2280       }
2281     if (Ustrcmp(config_main_filelist, argrest) != 0)
2282       {
2283       #ifdef ALT_CONFIG_PREFIX
2284       int sep = 0;
2285       int len = Ustrlen(ALT_CONFIG_PREFIX);
2286       const uschar *list = argrest;
2287       uschar *filename;
2288       while((filename = string_nextinlist(&list, &sep, big_buffer,
2289              big_buffer_size)) != NULL)
2290         {
2291         if ((Ustrlen(filename) < len ||
2292              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2293              Ustrstr(filename, "/../") != NULL) &&
2294              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2295           {
2296           fprintf(stderr, "-C Permission denied\n");
2297           exit(EXIT_FAILURE);
2298           }
2299         }
2300       #endif
2301       if (real_uid != root_uid)
2302         {
2303         #ifdef TRUSTED_CONFIG_LIST
2304
2305         if (real_uid != exim_uid
2306             #ifdef CONFIGURE_OWNER
2307             && real_uid != config_uid
2308             #endif
2309             )
2310           trusted_config = FALSE;
2311         else
2312           {
2313           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2314           if (trust_list)
2315             {
2316             struct stat statbuf;
2317
2318             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2319                 (statbuf.st_uid != root_uid        /* owner not root */
2320                  #ifdef CONFIGURE_OWNER
2321                  && statbuf.st_uid != config_uid   /* owner not the special one */
2322                  #endif
2323                    ) ||                            /* or */
2324                 (statbuf.st_gid != root_gid        /* group not root */
2325                  #ifdef CONFIGURE_GROUP
2326                  && statbuf.st_gid != config_gid   /* group not the special one */
2327                  #endif
2328                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2329                    ) ||                            /* or */
2330                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2331               {
2332               trusted_config = FALSE;
2333               fclose(trust_list);
2334               }
2335             else
2336               {
2337               /* Well, the trust list at least is up to scratch... */
2338               void *reset_point = store_get(0);
2339               uschar *trusted_configs[32];
2340               int nr_configs = 0;
2341               int i = 0;
2342
2343               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2344                 {
2345                 uschar *start = big_buffer, *nl;
2346                 while (*start && isspace(*start))
2347                 start++;
2348                 if (*start != '/')
2349                   continue;
2350                 nl = Ustrchr(start, '\n');
2351                 if (nl)
2352                   *nl = 0;
2353                 trusted_configs[nr_configs++] = string_copy(start);
2354                 if (nr_configs == 32)
2355                   break;
2356                 }
2357               fclose(trust_list);
2358
2359               if (nr_configs)
2360                 {
2361                 int sep = 0;
2362                 const uschar *list = argrest;
2363                 uschar *filename;
2364                 while (trusted_config && (filename = string_nextinlist(&list,
2365                         &sep, big_buffer, big_buffer_size)) != NULL)
2366                   {
2367                   for (i=0; i < nr_configs; i++)
2368                     {
2369                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2370                       break;
2371                     }
2372                   if (i == nr_configs)
2373                     {
2374                     trusted_config = FALSE;
2375                     break;
2376                     }
2377                   }
2378                 store_reset(reset_point);
2379                 }
2380               else
2381                 {
2382                 /* No valid prefixes found in trust_list file. */
2383                 trusted_config = FALSE;
2384                 }
2385               }
2386             }
2387           else
2388             {
2389             /* Could not open trust_list file. */
2390             trusted_config = FALSE;
2391             }
2392           }
2393       #else
2394         /* Not root; don't trust config */
2395         trusted_config = FALSE;
2396       #endif
2397         }
2398
2399       config_main_filelist = argrest;
2400       config_changed = TRUE;
2401       }
2402     break;
2403
2404
2405     /* -D: set up a macro definition */
2406
2407     case 'D':
2408     #ifdef DISABLE_D_OPTION
2409     fprintf(stderr, "exim: -D is not available in this Exim binary\n");
2410     exit(EXIT_FAILURE);
2411     #else
2412       {
2413       int ptr = 0;
2414       macro_item *m;
2415       uschar name[24];
2416       uschar *s = argrest;
2417
2418       opt_D_used = TRUE;
2419       while (isspace(*s)) s++;
2420
2421       if (*s < 'A' || *s > 'Z')
2422         {
2423         fprintf(stderr, "exim: macro name set by -D must start with "
2424           "an upper case letter\n");
2425         exit(EXIT_FAILURE);
2426         }
2427
2428       while (isalnum(*s) || *s == '_')
2429         {
2430         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2431         s++;
2432         }
2433       name[ptr] = 0;
2434       if (ptr == 0) { badarg = TRUE; break; }
2435       while (isspace(*s)) s++;
2436       if (*s != 0)
2437         {
2438         if (*s++ != '=') { badarg = TRUE; break; }
2439         while (isspace(*s)) s++;
2440         }
2441
2442       for (m = macros_user; m; m = m->next)
2443         if (Ustrcmp(m->name, name) == 0)
2444           {
2445           fprintf(stderr, "exim: duplicated -D in command line\n");
2446           exit(EXIT_FAILURE);
2447           }
2448
2449       m = macro_create(name, s, TRUE);
2450
2451       if (clmacro_count >= MAX_CLMACROS)
2452         {
2453         fprintf(stderr, "exim: too many -D options on command line\n");
2454         exit(EXIT_FAILURE);
2455         }
2456       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2457         m->replacement);
2458       }
2459     #endif
2460     break;
2461
2462     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2463     The latter is now a no-op, retained for compatibility only. If -dd is used,
2464     debugging subprocesses of the daemon is disabled. */
2465
2466     case 'd':
2467     if (Ustrcmp(argrest, "ropcr") == 0)
2468       {
2469       /* drop_cr = TRUE; */
2470       }
2471
2472     /* Use an intermediate variable so that we don't set debugging while
2473     decoding the debugging bits. */
2474
2475     else
2476       {
2477       unsigned int selector = D_default;
2478       debug_selector = 0;
2479       debug_file = NULL;
2480       if (*argrest == 'd')
2481         {
2482         debug_daemon = TRUE;
2483         argrest++;
2484         }
2485       if (*argrest != 0)
2486         decode_bits(&selector, 1, debug_notall, argrest,
2487           debug_options, debug_options_count, US"debug", 0);
2488       debug_selector = selector;
2489       }
2490     break;
2491
2492
2493     /* -E: This is a local error message. This option is not intended for
2494     external use at all, but is not restricted to trusted callers because it
2495     does no harm (just suppresses certain error messages) and if Exim is run
2496     not setuid root it won't always be trusted when it generates error
2497     messages using this option. If there is a message id following -E, point
2498     message_reference at it, for logging. */
2499
2500     case 'E':
2501     local_error_message = TRUE;
2502     if (mac_ismsgid(argrest)) message_reference = argrest;
2503     break;
2504
2505
2506     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2507     option, so it looks as if historically the -oex options are also callable
2508     without the leading -o. So we have to accept them. Before the switch,
2509     anything starting -oe has been converted to -e. Exim does not support all
2510     of the sendmail error options. */
2511
2512     case 'e':
2513     if (Ustrcmp(argrest, "e") == 0)
2514       {
2515       arg_error_handling = ERRORS_SENDER;
2516       errors_sender_rc = EXIT_SUCCESS;
2517       }
2518     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2519     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2520     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2521     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2522     else badarg = TRUE;
2523     break;
2524
2525
2526     /* -F: Set sender's full name, used instead of the gecos entry from
2527     the password file. Since users can usually alter their gecos entries,
2528     there's no security involved in using this instead. The data can follow
2529     the -F or be in the next argument. */
2530
2531     case 'F':
2532     if (*argrest == 0)
2533       {
2534       if(++i < argc) argrest = argv[i]; else
2535         { badarg = TRUE; break; }
2536       }
2537     originator_name = argrest;
2538     sender_name_forced = TRUE;
2539     break;
2540
2541
2542     /* -f: Set sender's address - this value is only actually used if Exim is
2543     run by a trusted user, or if untrusted_set_sender is set and matches the
2544     address, except that the null address can always be set by any user. The
2545     test for this happens later, when the value given here is ignored when not
2546     permitted. For an untrusted user, the actual sender is still put in Sender:
2547     if it doesn't match the From: header (unless no_local_from_check is set).
2548     The data can follow the -f or be in the next argument. The -r switch is an
2549     obsolete form of -f but since there appear to be programs out there that
2550     use anything that sendmail has ever supported, better accept it - the
2551     synonymizing is done before the switch above.
2552
2553     At this stage, we must allow domain literal addresses, because we don't
2554     know what the setting of allow_domain_literals is yet. Ditto for trailing
2555     dots and strip_trailing_dot. */
2556
2557     case 'f':
2558       {
2559       int dummy_start, dummy_end;
2560       uschar *errmess;
2561       if (*argrest == 0)
2562         {
2563         if (i+1 < argc) argrest = argv[++i]; else
2564           { badarg = TRUE; break; }
2565         }
2566       if (*argrest == 0)
2567         sender_address = string_sprintf("");  /* Ensure writeable memory */
2568       else
2569         {
2570         uschar *temp = argrest + Ustrlen(argrest) - 1;
2571         while (temp >= argrest && isspace(*temp)) temp--;
2572         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2573         allow_domain_literals = TRUE;
2574         strip_trailing_dot = TRUE;
2575 #ifdef SUPPORT_I18N
2576         allow_utf8_domains = TRUE;
2577 #endif
2578         sender_address = parse_extract_address(argrest, &errmess,
2579           &dummy_start, &dummy_end, &sender_address_domain, TRUE);
2580 #ifdef SUPPORT_I18N
2581         message_smtputf8 =  string_is_utf8(sender_address);
2582         allow_utf8_domains = FALSE;
2583 #endif
2584         allow_domain_literals = FALSE;
2585         strip_trailing_dot = FALSE;
2586         if (sender_address == NULL)
2587           {
2588           fprintf(stderr, "exim: bad -f address \"%s\": %s\n", argrest, errmess);
2589           return EXIT_FAILURE;
2590           }
2591         }
2592       sender_address_forced = TRUE;
2593       }
2594     break;
2595
2596     /* -G: sendmail invocation to specify that it's a gateway submission and
2597     sendmail may complain about problems instead of fixing them.
2598     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2599     not at this time complain about problems. */
2600
2601     case 'G':
2602     flag_G = TRUE;
2603     break;
2604
2605     /* -h: Set the hop count for an incoming message. Exim does not currently
2606     support this; it always computes it by counting the Received: headers.
2607     To put it in will require a change to the spool header file format. */
2608
2609     case 'h':
2610     if (*argrest == 0)
2611       {
2612       if(++i < argc) argrest = argv[i]; else
2613         { badarg = TRUE; break; }
2614       }
2615     if (!isdigit(*argrest)) badarg = TRUE;
2616     break;
2617
2618
2619     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2620     not to be documented for sendmail but mailx (at least) uses it) */
2621
2622     case 'i':
2623     if (*argrest == 0) dot_ends = FALSE; else badarg = TRUE;
2624     break;
2625
2626
2627     /* -L: set the identifier used for syslog; equivalent to setting
2628     syslog_processname in the config file, but needs to be an admin option. */
2629
2630     case 'L':
2631     if (*argrest == '\0')
2632       {
2633       if(++i < argc) argrest = argv[i]; else
2634         { badarg = TRUE; break; }
2635       }
2636     sz = Ustrlen(argrest);
2637     if (sz > 32)
2638       {
2639       fprintf(stderr, "exim: the -L syslog name is too long: \"%s\"\n", argrest);
2640       return EXIT_FAILURE;
2641       }
2642     if (sz < 1)
2643       {
2644       fprintf(stderr, "exim: the -L syslog name is too short\n");
2645       return EXIT_FAILURE;
2646       }
2647     cmdline_syslog_name = argrest;
2648     break;
2649
2650     case 'M':
2651     receiving_message = FALSE;
2652
2653     /* -MC:  continue delivery of another message via an existing open
2654     file descriptor. This option is used for an internal call by the
2655     smtp transport when there is a pending message waiting to go to an
2656     address to which it has got a connection. Five subsequent arguments are
2657     required: transport name, host name, IP address, sequence number, and
2658     message_id. Transports may decline to create new processes if the sequence
2659     number gets too big. The channel is stdin. This (-MC) must be the last
2660     argument. There's a subsequent check that the real-uid is privileged.
2661
2662     If we are running in the test harness. delay for a bit, to let the process
2663     that set this one up complete. This makes for repeatability of the logging,
2664     etc. output. */
2665
2666     if (Ustrcmp(argrest, "C") == 0)
2667       {
2668       union sockaddr_46 interface_sock;
2669       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2670
2671       if (argc != i + 6)
2672         {
2673         fprintf(stderr, "exim: too many or too few arguments after -MC\n");
2674         return EXIT_FAILURE;
2675         }
2676
2677       if (msg_action_arg >= 0)
2678         {
2679         fprintf(stderr, "exim: incompatible arguments\n");
2680         return EXIT_FAILURE;
2681         }
2682
2683       continue_transport = argv[++i];
2684       continue_hostname = argv[++i];
2685       continue_host_address = argv[++i];
2686       continue_sequence = Uatoi(argv[++i]);
2687       msg_action = MSG_DELIVER;
2688       msg_action_arg = ++i;
2689       forced_delivery = TRUE;
2690       queue_run_pid = passed_qr_pid;
2691       queue_run_pipe = passed_qr_pipe;
2692
2693       if (!mac_ismsgid(argv[i]))
2694         {
2695         fprintf(stderr, "exim: malformed message id %s after -MC option\n",
2696           argv[i]);
2697         return EXIT_FAILURE;
2698         }
2699
2700       /* Set up $sending_ip_address and $sending_port, unless proxied */
2701
2702       if (!continue_proxy_cipher)
2703         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2704             &size) == 0)
2705           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2706             &sending_port);
2707         else
2708           {
2709           fprintf(stderr, "exim: getsockname() failed after -MC option: %s\n",
2710             strerror(errno));
2711           return EXIT_FAILURE;
2712           }
2713
2714       if (running_in_test_harness) millisleep(500);
2715       break;
2716       }
2717
2718     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2719       {
2720       switch(argrest[1])
2721         {
2722     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2723     precedes -MC (see above). The flag indicates that the host to which
2724     Exim is connected has accepted an AUTH sequence. */
2725
2726         case 'A': smtp_authenticated = TRUE; break;
2727
2728     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2729        that exim is connected to supports the esmtp extension DSN */
2730
2731         case 'D': smtp_peer_options |= OPTION_DSN; break;
2732
2733     /* -MCG: set the queue name, to a non-default value */
2734
2735         case 'G': if (++i < argc) queue_name = string_copy(argv[i]);
2736                   else badarg = TRUE;
2737                   break;
2738
2739     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2740
2741         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2742
2743     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2744     it preceded -MC (see above) */
2745
2746         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2747
2748     /* -MCQ: pass on the pid of the queue-running process that started
2749     this chain of deliveries and the fd of its synchronizing pipe; this
2750     is useful only when it precedes -MC (see above) */
2751
2752         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2753                   else badarg = TRUE;
2754                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2755                   else badarg = TRUE;
2756                   break;
2757
2758     /* -MCS: set the smtp_use_size flag; this is useful only when it
2759     precedes -MC (see above) */
2760
2761         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2762
2763 #ifdef SUPPORT_TLS
2764     /* -MCt: similar to -MCT below but the connection is still open
2765     via a proxy proces which handles the TLS context and coding.
2766     Require three arguments for the proxied local address and port,
2767     and the TLS cipher.  */
2768
2769         case 't': if (++i < argc) sending_ip_address = argv[i];
2770                   else badarg = TRUE;
2771                   if (++i < argc) sending_port = (int)(Uatol(argv[i]));
2772                   else badarg = TRUE;
2773                   if (++i < argc) continue_proxy_cipher = argv[i];
2774                   else badarg = TRUE;
2775                   /*FALLTHROUGH*/
2776
2777     /* -MCT: set the tls_offered flag; this is useful only when it
2778     precedes -MC (see above). The flag indicates that the host to which
2779     Exim is connected has offered TLS support. */
2780
2781         case 'T': smtp_peer_options |= OPTION_TLS; break;
2782 #endif
2783
2784         default:  badarg = TRUE; break;
2785         }
2786         break;
2787       }
2788
2789     /* -M[x]: various operations on the following list of message ids:
2790        -M    deliver the messages, ignoring next retry times and thawing
2791        -Mc   deliver the messages, checking next retry times, no thawing
2792        -Mf   freeze the messages
2793        -Mg   give up on the messages
2794        -Mt   thaw the messages
2795        -Mrm  remove the messages
2796     In the above cases, this must be the last option. There are also the
2797     following options which are followed by a single message id, and which
2798     act on that message. Some of them use the "recipient" addresses as well.
2799        -Mar  add recipient(s)
2800        -Mmad mark all recipients delivered
2801        -Mmd  mark recipients(s) delivered
2802        -Mes  edit sender
2803        -Mset load a message for use with -be
2804        -Mvb  show body
2805        -Mvc  show copy (of whole message, in RFC 2822 format)
2806        -Mvh  show header
2807        -Mvl  show log
2808     */
2809
2810     else if (*argrest == 0)
2811       {
2812       msg_action = MSG_DELIVER;
2813       forced_delivery = deliver_force_thaw = TRUE;
2814       }
2815     else if (Ustrcmp(argrest, "ar") == 0)
2816       {
2817       msg_action = MSG_ADD_RECIPIENT;
2818       one_msg_action = TRUE;
2819       }
2820     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2821     else if (Ustrcmp(argrest, "es") == 0)
2822       {
2823       msg_action = MSG_EDIT_SENDER;
2824       one_msg_action = TRUE;
2825       }
2826     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2827     else if (Ustrcmp(argrest, "g") == 0)
2828       {
2829       msg_action = MSG_DELIVER;
2830       deliver_give_up = TRUE;
2831       }
2832     else if (Ustrcmp(argrest, "mad") == 0)
2833       {
2834       msg_action = MSG_MARK_ALL_DELIVERED;
2835       }
2836     else if (Ustrcmp(argrest, "md") == 0)
2837       {
2838       msg_action = MSG_MARK_DELIVERED;
2839       one_msg_action = TRUE;
2840       }
2841     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2842     else if (Ustrcmp(argrest, "set") == 0)
2843       {
2844       msg_action = MSG_LOAD;
2845       one_msg_action = TRUE;
2846       }
2847     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2848     else if (Ustrcmp(argrest, "vb") == 0)
2849       {
2850       msg_action = MSG_SHOW_BODY;
2851       one_msg_action = TRUE;
2852       }
2853     else if (Ustrcmp(argrest, "vc") == 0)
2854       {
2855       msg_action = MSG_SHOW_COPY;
2856       one_msg_action = TRUE;
2857       }
2858     else if (Ustrcmp(argrest, "vh") == 0)
2859       {
2860       msg_action = MSG_SHOW_HEADER;
2861       one_msg_action = TRUE;
2862       }
2863     else if (Ustrcmp(argrest, "vl") == 0)
2864       {
2865       msg_action = MSG_SHOW_LOG;
2866       one_msg_action = TRUE;
2867       }
2868     else { badarg = TRUE; break; }
2869
2870     /* All the -Mxx options require at least one message id. */
2871
2872     msg_action_arg = i + 1;
2873     if (msg_action_arg >= argc)
2874       {
2875       fprintf(stderr, "exim: no message ids given after %s option\n", arg);
2876       return EXIT_FAILURE;
2877       }
2878
2879     /* Some require only message ids to follow */
2880
2881     if (!one_msg_action)
2882       {
2883       int j;
2884       for (j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2885         {
2886         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2887           argv[j], arg);
2888         return EXIT_FAILURE;
2889         }
2890       goto END_ARG;   /* Remaining args are ids */
2891       }
2892
2893     /* Others require only one message id, possibly followed by addresses,
2894     which will be handled as normal arguments. */
2895
2896     else
2897       {
2898       if (!mac_ismsgid(argv[msg_action_arg]))
2899         {
2900         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2901           argv[msg_action_arg], arg);
2902         return EXIT_FAILURE;
2903         }
2904       i++;
2905       }
2906     break;
2907
2908
2909     /* Some programs seem to call the -om option without the leading o;
2910     for sendmail it askes for "me too". Exim always does this. */
2911
2912     case 'm':
2913     if (*argrest != 0) badarg = TRUE;
2914     break;
2915
2916
2917     /* -N: don't do delivery - a debugging option that stops transports doing
2918     their thing. It implies debugging at the D_v level. */
2919
2920     case 'N':
2921     if (*argrest == 0)
2922       {
2923       dont_deliver = TRUE;
2924       debug_selector |= D_v;
2925       debug_file = stderr;
2926       }
2927     else badarg = TRUE;
2928     break;
2929
2930
2931     /* -n: This means "don't alias" in sendmail, apparently.
2932     For normal invocations, it has no effect.
2933     It may affect some other options. */
2934
2935     case 'n':
2936     flag_n = TRUE;
2937     break;
2938
2939     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2940     option to the specified value. This form uses long names. We need to handle
2941     -O option=value and -Ooption=value. */
2942
2943     case 'O':
2944     if (*argrest == 0)
2945       {
2946       if (++i >= argc)
2947         {
2948         fprintf(stderr, "exim: string expected after -O\n");
2949         exit(EXIT_FAILURE);
2950         }
2951       }
2952     break;
2953
2954     case 'o':
2955
2956     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2957     file" option). */
2958
2959     if (*argrest == 'A')
2960       {
2961       alias_arg = argrest + 1;
2962       if (alias_arg[0] == 0)
2963         {
2964         if (i+1 < argc) alias_arg = argv[++i]; else
2965           {
2966           fprintf(stderr, "exim: string expected after -oA\n");
2967           exit(EXIT_FAILURE);
2968           }
2969         }
2970       }
2971
2972     /* -oB: Set a connection message max value for remote deliveries */
2973
2974     else if (*argrest == 'B')
2975       {
2976       uschar *p = argrest + 1;
2977       if (p[0] == 0)
2978         {
2979         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2980           {
2981           connection_max_messages = 1;
2982           p = NULL;
2983           }
2984         }
2985
2986       if (p != NULL)
2987         {
2988         if (!isdigit(*p))
2989           {
2990           fprintf(stderr, "exim: number expected after -oB\n");
2991           exit(EXIT_FAILURE);
2992           }
2993         connection_max_messages = Uatoi(p);
2994         }
2995       }
2996
2997     /* -odb: background delivery */
2998
2999     else if (Ustrcmp(argrest, "db") == 0)
3000       {
3001       synchronous_delivery = FALSE;
3002       arg_queue_only = FALSE;
3003       queue_only_set = TRUE;
3004       }
3005
3006     /* -odf: foreground delivery (smail-compatible option); same effect as
3007        -odi: interactive (synchronous) delivery (sendmail-compatible option)
3008     */
3009
3010     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
3011       {
3012       synchronous_delivery = TRUE;
3013       arg_queue_only = FALSE;
3014       queue_only_set = TRUE;
3015       }
3016
3017     /* -odq: queue only */
3018
3019     else if (Ustrcmp(argrest, "dq") == 0)
3020       {
3021       synchronous_delivery = FALSE;
3022       arg_queue_only = TRUE;
3023       queue_only_set = TRUE;
3024       }
3025
3026     /* -odqs: queue SMTP only - do local deliveries and remote routing,
3027     but no remote delivery */
3028
3029     else if (Ustrcmp(argrest, "dqs") == 0)
3030       {
3031       queue_smtp = TRUE;
3032       arg_queue_only = FALSE;
3033       queue_only_set = TRUE;
3034       }
3035
3036     /* -oex: Sendmail error flags. As these are also accepted without the
3037     leading -o prefix, for compatibility with vacation and other callers,
3038     they are handled with -e above. */
3039
3040     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3041        -oitrue: Another sendmail syntax for the same */
3042
3043     else if (Ustrcmp(argrest, "i") == 0 ||
3044              Ustrcmp(argrest, "itrue") == 0)
3045       dot_ends = FALSE;
3046
3047     /* -oM*: Set various characteristics for an incoming message; actually
3048     acted on for trusted callers only. */
3049
3050     else if (*argrest == 'M')
3051       {
3052       if (i+1 >= argc)
3053         {
3054         fprintf(stderr, "exim: data expected after -o%s\n", argrest);
3055         exit(EXIT_FAILURE);
3056         }
3057
3058       /* -oMa: Set sender host address */
3059
3060       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
3061
3062       /* -oMaa: Set authenticator name */
3063
3064       else if (Ustrcmp(argrest, "Maa") == 0)
3065         sender_host_authenticated = argv[++i];
3066
3067       /* -oMas: setting authenticated sender */
3068
3069       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
3070
3071       /* -oMai: setting authenticated id */
3072
3073       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
3074
3075       /* -oMi: Set incoming interface address */
3076
3077       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
3078
3079       /* -oMm: Message reference */
3080
3081       else if (Ustrcmp(argrest, "Mm") == 0)
3082         {
3083         if (!mac_ismsgid(argv[i+1]))
3084           {
3085             fprintf(stderr,"-oMm must be a valid message ID\n");
3086             exit(EXIT_FAILURE);
3087           }
3088         if (!trusted_config)
3089           {
3090             fprintf(stderr,"-oMm must be called by a trusted user/config\n");
3091             exit(EXIT_FAILURE);
3092           }
3093           message_reference = argv[++i];
3094         }
3095
3096       /* -oMr: Received protocol */
3097
3098       else if (Ustrcmp(argrest, "Mr") == 0)
3099
3100         if (received_protocol)
3101           {
3102           fprintf(stderr, "received_protocol is set already\n");
3103           exit(EXIT_FAILURE);
3104           }
3105         else received_protocol = argv[++i];
3106
3107       /* -oMs: Set sender host name */
3108
3109       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
3110
3111       /* -oMt: Set sender ident */
3112
3113       else if (Ustrcmp(argrest, "Mt") == 0)
3114         {
3115         sender_ident_set = TRUE;
3116         sender_ident = argv[++i];
3117         }
3118
3119       /* Else a bad argument */
3120
3121       else
3122         {
3123         badarg = TRUE;
3124         break;
3125         }
3126       }
3127
3128     /* -om: Me-too flag for aliases. Exim always does this. Some programs
3129     seem to call this as -m (undocumented), so that is also accepted (see
3130     above). */
3131
3132     else if (Ustrcmp(argrest, "m") == 0) {}
3133
3134     /* -oo: An ancient flag for old-style addresses which still seems to
3135     crop up in some calls (see in SCO). */
3136
3137     else if (Ustrcmp(argrest, "o") == 0) {}
3138
3139     /* -oP <name>: set pid file path for daemon */
3140
3141     else if (Ustrcmp(argrest, "P") == 0)
3142       override_pid_file_path = argv[++i];
3143
3144     /* -or <n>: set timeout for non-SMTP acceptance
3145        -os <n>: set timeout for SMTP acceptance */
3146
3147     else if (*argrest == 'r' || *argrest == 's')
3148       {
3149       int *tp = (*argrest == 'r')?
3150         &arg_receive_timeout : &arg_smtp_receive_timeout;
3151       if (argrest[1] == 0)
3152         {
3153         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
3154         }
3155       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
3156       if (*tp < 0)
3157         {
3158         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3159         exit(EXIT_FAILURE);
3160         }
3161       }
3162
3163     /* -oX <list>: Override local_interfaces and/or default daemon ports */
3164
3165     else if (Ustrcmp(argrest, "X") == 0)
3166       override_local_interfaces = argv[++i];
3167
3168     /* Unknown -o argument */
3169
3170     else badarg = TRUE;
3171     break;
3172
3173
3174     /* -ps: force Perl startup; -pd force delayed Perl startup */
3175
3176     case 'p':
3177     #ifdef EXIM_PERL
3178     if (*argrest == 's' && argrest[1] == 0)
3179       {
3180       perl_start_option = 1;
3181       break;
3182       }
3183     if (*argrest == 'd' && argrest[1] == 0)
3184       {
3185       perl_start_option = -1;
3186       break;
3187       }
3188     #endif
3189
3190     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3191     which sets the host protocol and host name */
3192
3193     if (*argrest == 0)
3194       if (i+1 < argc)
3195         argrest = argv[++i];
3196       else
3197         { badarg = TRUE; break; }
3198
3199     if (*argrest != 0)
3200       {
3201       uschar *hn;
3202
3203       if (received_protocol)
3204         {
3205         fprintf(stderr, "received_protocol is set already\n");
3206         exit(EXIT_FAILURE);
3207         }
3208
3209       hn = Ustrchr(argrest, ':');
3210       if (hn == NULL)
3211         received_protocol = argrest;
3212       else
3213         {
3214         int old_pool = store_pool;
3215         store_pool = POOL_PERM;
3216         received_protocol = string_copyn(argrest, hn - argrest);
3217         store_pool = old_pool;
3218         sender_host_name = hn + 1;
3219         }
3220       }
3221     break;
3222
3223
3224     case 'q':
3225     receiving_message = FALSE;
3226     if (queue_interval >= 0)
3227       {
3228       fprintf(stderr, "exim: -q specified more than once\n");
3229       exit(EXIT_FAILURE);
3230       }
3231
3232     /* -qq...: Do queue runs in a 2-stage manner */
3233
3234     if (*argrest == 'q')
3235       {
3236       queue_2stage = TRUE;
3237       argrest++;
3238       }
3239
3240     /* -qi...: Do only first (initial) deliveries */
3241
3242     if (*argrest == 'i')
3243       {
3244       queue_run_first_delivery = TRUE;
3245       argrest++;
3246       }
3247
3248     /* -qf...: Run the queue, forcing deliveries
3249        -qff..: Ditto, forcing thawing as well */
3250
3251     if (*argrest == 'f')
3252       {
3253       queue_run_force = TRUE;
3254       if (*++argrest == 'f')
3255         {
3256         deliver_force_thaw = TRUE;
3257         argrest++;
3258         }
3259       }
3260
3261     /* -q[f][f]l...: Run the queue only on local deliveries */
3262
3263     if (*argrest == 'l')
3264       {
3265       queue_run_local = TRUE;
3266       argrest++;
3267       }
3268
3269     /* -q[f][f][l][G<name>]... Work on the named queue */
3270
3271     if (*argrest == 'G')
3272       {
3273       int i;
3274       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3275       queue_name = string_copyn(argrest, i);
3276       argrest += i;
3277       if (*argrest == '/') argrest++;
3278       }
3279
3280     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3281     only, optionally named, optionally starting from a given message id. */
3282
3283     if (*argrest == 0 &&
3284         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3285       {
3286       queue_interval = 0;
3287       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3288         start_queue_run_id = argv[++i];
3289       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3290         stop_queue_run_id = argv[++i];
3291       }
3292
3293     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3294     forced, optionally local only, optionally named. */
3295
3296     else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3297                                                 0, FALSE)) <= 0)
3298       {
3299       fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3300       exit(EXIT_FAILURE);
3301       }
3302     break;
3303
3304
3305     case 'R':   /* Synonymous with -qR... */
3306     receiving_message = FALSE;
3307
3308     /* -Rf:   As -R (below) but force all deliveries,
3309        -Rff:  Ditto, but also thaw all frozen messages,
3310        -Rr:   String is regex
3311        -Rrf:  Regex and force
3312        -Rrff: Regex and force and thaw
3313
3314     in all cases provided there are no further characters in this
3315     argument. */
3316
3317     if (*argrest != 0)
3318       {
3319       int i;
3320       for (i = 0; i < nelem(rsopts); i++)
3321         if (Ustrcmp(argrest, rsopts[i]) == 0)
3322           {
3323           if (i != 2) queue_run_force = TRUE;
3324           if (i >= 2) deliver_selectstring_regex = TRUE;
3325           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3326           argrest += Ustrlen(rsopts[i]);
3327           }
3328       }
3329
3330     /* -R: Set string to match in addresses for forced queue run to
3331     pick out particular messages. */
3332
3333     if (*argrest)
3334       deliver_selectstring = argrest;
3335     else if (i+1 < argc)
3336       deliver_selectstring = argv[++i];
3337     else
3338       {
3339       fprintf(stderr, "exim: string expected after -R\n");
3340       exit(EXIT_FAILURE);
3341       }
3342     break;
3343
3344
3345     /* -r: an obsolete synonym for -f (see above) */
3346
3347
3348     /* -S: Like -R but works on sender. */
3349
3350     case 'S':   /* Synonymous with -qS... */
3351     receiving_message = FALSE;
3352
3353     /* -Sf:   As -S (below) but force all deliveries,
3354        -Sff:  Ditto, but also thaw all frozen messages,
3355        -Sr:   String is regex
3356        -Srf:  Regex and force
3357        -Srff: Regex and force and thaw
3358
3359     in all cases provided there are no further characters in this
3360     argument. */
3361
3362     if (*argrest)
3363       {
3364       int i;
3365       for (i = 0; i < nelem(rsopts); i++)
3366         if (Ustrcmp(argrest, rsopts[i]) == 0)
3367           {
3368           if (i != 2) queue_run_force = TRUE;
3369           if (i >= 2) deliver_selectstring_sender_regex = TRUE;
3370           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3371           argrest += Ustrlen(rsopts[i]);
3372           }
3373       }
3374
3375     /* -S: Set string to match in addresses for forced queue run to
3376     pick out particular messages. */
3377
3378     if (*argrest)
3379       deliver_selectstring_sender = argrest;
3380     else if (i+1 < argc)
3381       deliver_selectstring_sender = argv[++i];
3382     else
3383       {
3384       fprintf(stderr, "exim: string expected after -S\n");
3385       exit(EXIT_FAILURE);
3386       }
3387     break;
3388
3389     /* -Tqt is an option that is exclusively for use by the testing suite.
3390     It is not recognized in other circumstances. It allows for the setting up
3391     of explicit "queue times" so that various warning/retry things can be
3392     tested. Otherwise variability of clock ticks etc. cause problems. */
3393
3394     case 'T':
3395     if (running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3396       fudged_queue_times = argv[++i];
3397     else badarg = TRUE;
3398     break;
3399
3400
3401     /* -t: Set flag to extract recipients from body of message. */
3402
3403     case 't':
3404     if (*argrest == 0) extract_recipients = TRUE;
3405
3406     /* -ti: Set flag to extract recipients from body of message, and also
3407     specify that dot does not end the message. */
3408
3409     else if (Ustrcmp(argrest, "i") == 0)
3410       {
3411       extract_recipients = TRUE;
3412       dot_ends = FALSE;
3413       }
3414
3415     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3416
3417     #ifdef SUPPORT_TLS
3418     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3419     #endif
3420
3421     else badarg = TRUE;
3422     break;
3423
3424
3425     /* -U: This means "initial user submission" in sendmail, apparently. The
3426     doc claims that in future sendmail may refuse syntactically invalid
3427     messages instead of fixing them. For the moment, we just ignore it. */
3428
3429     case 'U':
3430     break;
3431
3432
3433     /* -v: verify things - this is a very low-level debugging */
3434
3435     case 'v':
3436     if (*argrest == 0)
3437       {
3438       debug_selector |= D_v;
3439       debug_file = stderr;
3440       }
3441     else badarg = TRUE;
3442     break;
3443
3444
3445     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3446
3447       The -x flag tells the sendmail command that mail from a local
3448       mail program has National Language Support (NLS) extended characters
3449       in the body of the mail item. The sendmail command can send mail with
3450       extended NLS characters across networks that normally corrupts these
3451       8-bit characters.
3452
3453     As Exim is 8-bit clean, it just ignores this flag. */
3454
3455     case 'x':
3456     if (*argrest != 0) badarg = TRUE;
3457     break;
3458
3459     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3460     logs to that file.  We swallow the parameter and otherwise ignore it. */
3461
3462     case 'X':
3463     if (*argrest == '\0')
3464       if (++i >= argc)
3465         {
3466         fprintf(stderr, "exim: string expected after -X\n");
3467         exit(EXIT_FAILURE);
3468         }
3469     break;
3470
3471     case 'z':
3472     if (*argrest == '\0')
3473       if (++i < argc) log_oneline = argv[i]; else
3474         {
3475         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
3476         exit(EXIT_FAILURE);
3477         }
3478     break;
3479
3480     /* All other initial characters are errors */
3481
3482     default:
3483     badarg = TRUE;
3484     break;
3485     }         /* End of high-level switch statement */
3486
3487   /* Failed to recognize the option, or syntax error */
3488
3489   if (badarg)
3490     {
3491     fprintf(stderr, "exim abandoned: unknown, malformed, or incomplete "
3492       "option %s\n", arg);
3493     exit(EXIT_FAILURE);
3494     }
3495   }
3496
3497
3498 /* If -R or -S have been specified without -q, assume a single queue run. */
3499
3500 if (  (deliver_selectstring || deliver_selectstring_sender)
3501    && queue_interval < 0)
3502     queue_interval = 0;
3503
3504
3505 END_ARG:
3506 /* If usage_wanted is set we call the usage function - which never returns */
3507 if (usage_wanted) exim_usage(called_as);
3508
3509 /* Arguments have been processed. Check for incompatibilities. */
3510 if ((
3511     (smtp_input || extract_recipients || recipients_arg < argc) &&
3512     (daemon_listen || queue_interval >= 0 || bi_option ||
3513       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3514       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3515     ) ||
3516     (
3517     msg_action_arg > 0 &&
3518     (daemon_listen || queue_interval > 0 || list_options ||
3519       (checking && msg_action != MSG_LOAD) ||
3520       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3521     ) ||
3522     (
3523     (daemon_listen || queue_interval > 0) &&
3524     (sender_address != NULL || list_options || list_queue || checking ||
3525       bi_option)
3526     ) ||
3527     (
3528     daemon_listen && queue_interval == 0
3529     ) ||
3530     (
3531     inetd_wait_mode && queue_interval >= 0
3532     ) ||
3533     (
3534     list_options &&
3535     (checking || smtp_input || extract_recipients ||
3536       filter_test != FTEST_NONE || bi_option)
3537     ) ||
3538     (
3539     verify_address_mode &&
3540     (address_test_mode || smtp_input || extract_recipients ||
3541       filter_test != FTEST_NONE || bi_option)
3542     ) ||
3543     (
3544     address_test_mode && (smtp_input || extract_recipients ||
3545       filter_test != FTEST_NONE || bi_option)
3546     ) ||
3547     (
3548     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3549       extract_recipients)
3550     ) ||
3551     (
3552     deliver_selectstring != NULL && queue_interval < 0
3553     ) ||
3554     (
3555     msg_action == MSG_LOAD &&
3556       (!expansion_test || expansion_test_message != NULL)
3557     )
3558    )
3559   {
3560   fprintf(stderr, "exim: incompatible command-line options or arguments\n");
3561   exit(EXIT_FAILURE);
3562   }
3563
3564 /* If debugging is set up, set the file and the file descriptor to pass on to
3565 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3566 to run in the foreground. */
3567
3568 if (debug_selector != 0)
3569   {
3570   debug_file = stderr;
3571   debug_fd = fileno(debug_file);
3572   background_daemon = FALSE;
3573   if (running_in_test_harness) millisleep(100);   /* lets caller finish */
3574   if (debug_selector != D_v)    /* -v only doesn't show this */
3575     {
3576     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3577       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3578       debug_selector);
3579     if (!version_printed)
3580       show_whats_supported(stderr);
3581     }
3582   }
3583
3584 /* When started with root privilege, ensure that the limits on the number of
3585 open files and the number of processes (where that is accessible) are
3586 sufficiently large, or are unset, in case Exim has been called from an
3587 environment where the limits are screwed down. Not all OS have the ability to
3588 change some of these limits. */
3589
3590 if (unprivileged)
3591   {
3592   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3593   }
3594 else
3595   {
3596   struct rlimit rlp;
3597
3598   #ifdef RLIMIT_NOFILE
3599   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3600     {
3601     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3602       strerror(errno));
3603     rlp.rlim_cur = rlp.rlim_max = 0;
3604     }
3605
3606   /* I originally chose 1000 as a nice big number that was unlikely to
3607   be exceeded. It turns out that some older OS have a fixed upper limit of
3608   256. */
3609
3610   if (rlp.rlim_cur < 1000)
3611     {
3612     rlp.rlim_cur = rlp.rlim_max = 1000;
3613     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3614       {
3615       rlp.rlim_cur = rlp.rlim_max = 256;
3616       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3617         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3618           strerror(errno));
3619       }
3620     }
3621   #endif
3622
3623   #ifdef RLIMIT_NPROC
3624   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3625     {
3626     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3627       strerror(errno));
3628     rlp.rlim_cur = rlp.rlim_max = 0;
3629     }
3630
3631   #ifdef RLIM_INFINITY
3632   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3633     {
3634     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3635   #else
3636   if (rlp.rlim_cur < 1000)
3637     {
3638     rlp.rlim_cur = rlp.rlim_max = 1000;
3639   #endif
3640     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3641       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3642         strerror(errno));
3643     }
3644   #endif
3645   }
3646
3647 /* Exim is normally entered as root (but some special configurations are
3648 possible that don't do this). However, it always spins off sub-processes that
3649 set their uid and gid as required for local delivery. We don't want to pass on
3650 any extra groups that root may belong to, so we want to get rid of them all at
3651 this point.
3652
3653 We need to obey setgroups() at this stage, before possibly giving up root
3654 privilege for a changed configuration file, but later on we might need to
3655 check on the additional groups for the admin user privilege - can't do that
3656 till after reading the config, which might specify the exim gid. Therefore,
3657 save the group list here first. */
3658
3659 group_count = getgroups(NGROUPS_MAX, group_list);
3660 if (group_count < 0)
3661   {
3662   fprintf(stderr, "exim: getgroups() failed: %s\n", strerror(errno));
3663   exit(EXIT_FAILURE);
3664   }
3665
3666 /* There is a fundamental difference in some BSD systems in the matter of
3667 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3668 known not to be different. On the "different" systems there is a single group
3669 list, and the first entry in it is the current group. On all other versions of
3670 Unix there is a supplementary group list, which is in *addition* to the current
3671 group. Consequently, to get rid of all extraneous groups on a "standard" system
3672 you pass over 0 groups to setgroups(), while on a "different" system you pass
3673 over a single group - the current group, which is always the first group in the
3674 list. Calling setgroups() with zero groups on a "different" system results in
3675 an error return. The following code should cope with both types of system.
3676
3677 However, if this process isn't running as root, setgroups() can't be used
3678 since you have to be root to run it, even if throwing away groups. Not being
3679 root here happens only in some unusual configurations. We just ignore the
3680 error. */
3681
3682 if (setgroups(0, NULL) != 0)
3683   {
3684   if (setgroups(1, group_list) != 0 && !unprivileged)
3685     {
3686     fprintf(stderr, "exim: setgroups() failed: %s\n", strerror(errno));
3687     exit(EXIT_FAILURE);
3688     }
3689   }
3690
3691 /* If the configuration file name has been altered by an argument on the
3692 command line (either a new file name or a macro definition) and the caller is
3693 not root, or if this is a filter testing run, remove any setuid privilege the
3694 program has and run as the underlying user.
3695
3696 The exim user is locked out of this, which severely restricts the use of -C
3697 for some purposes.
3698
3699 Otherwise, set the real ids to the effective values (should be root unless run
3700 from inetd, which it can either be root or the exim uid, if one is configured).
3701
3702 There is a private mechanism for bypassing some of this, in order to make it
3703 possible to test lots of configurations automatically, without having either to
3704 recompile each time, or to patch in an actual configuration file name and other
3705 values (such as the path name). If running in the test harness, pretend that
3706 configuration file changes and macro definitions haven't happened. */
3707
3708 if ((                                            /* EITHER */
3709     (!trusted_config ||                          /* Config changed, or */
3710      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3711     real_uid != root_uid &&                      /* Not root, and */
3712     !running_in_test_harness                     /* Not fudged */
3713     ) ||                                         /*   OR   */
3714     expansion_test                               /* expansion testing */
3715     ||                                           /*   OR   */
3716     filter_test != FTEST_NONE)                   /* Filter testing */
3717   {
3718   setgroups(group_count, group_list);
3719   exim_setugid(real_uid, real_gid, FALSE,
3720     US"-C, -D, -be or -bf forces real uid");
3721   removed_privilege = TRUE;
3722
3723   /* In the normal case when Exim is called like this, stderr is available
3724   and should be used for any logging information because attempts to write
3725   to the log will usually fail. To arrange this, we unset really_exim. However,
3726   if no stderr is available there is no point - we might as well have a go
3727   at the log (if it fails, syslog will be written).
3728
3729   Note that if the invoker is Exim, the logs remain available. Messing with
3730   this causes unlogged successful deliveries.  */
3731
3732   if ((log_stderr != NULL) && (real_uid != exim_uid))
3733     really_exim = FALSE;
3734   }
3735
3736 /* Privilege is to be retained for the moment. It may be dropped later,
3737 depending on the job that this Exim process has been asked to do. For now, set
3738 the real uid to the effective so that subsequent re-execs of Exim are done by a
3739 privileged user. */
3740
3741 else exim_setugid(geteuid(), getegid(), FALSE, US"forcing real = effective");
3742
3743 /* If testing a filter, open the file(s) now, before wasting time doing other
3744 setups and reading the message. */
3745
3746 if ((filter_test & FTEST_SYSTEM) != 0)
3747   {
3748   filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0);
3749   if (filter_sfd < 0)
3750     {
3751     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_sfile,
3752       strerror(errno));
3753     return EXIT_FAILURE;
3754     }
3755   }
3756
3757 if ((filter_test & FTEST_USER) != 0)
3758   {
3759   filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0);
3760   if (filter_ufd < 0)
3761     {
3762     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_ufile,
3763       strerror(errno));
3764     return EXIT_FAILURE;
3765     }
3766   }
3767
3768 /* Initialise lookup_list
3769 If debugging, already called above via version reporting.
3770 In either case, we initialise the list of available lookups while running
3771 as root.  All dynamically modules are loaded from a directory which is
3772 hard-coded into the binary and is code which, if not a module, would be
3773 part of Exim already.  Ability to modify the content of the directory
3774 is equivalent to the ability to modify a setuid binary!
3775
3776 This needs to happen before we read the main configuration. */
3777 init_lookup_list();
3778
3779 #ifdef SUPPORT_I18N
3780 if (running_in_test_harness) smtputf8_advertise_hosts = NULL;
3781 #endif
3782
3783 /* Read the main runtime configuration data; this gives up if there
3784 is a failure. It leaves the configuration file open so that the subsequent
3785 configuration data for delivery can be read if needed.
3786
3787 NOTE: immediatly after opening the configuration file we change the working
3788 directory to "/"! Later we change to $spool_directory. We do it there, because
3789 during readconf_main() some expansion takes place already. */
3790
3791 /* Store the initial cwd before we change directories.  Can be NULL if the
3792 dir has already been unlinked. */
3793 initial_cwd = os_getcwd(NULL, 0);
3794
3795 /* checking:
3796     -be[m] expansion test        -
3797     -b[fF] filter test           new
3798     -bh[c] host test             -
3799     -bmalware malware_test_file  new
3800     -brt   retry test            new
3801     -brw   rewrite test          new
3802     -bt    address test          -
3803     -bv[s] address verify        -
3804    list_options:
3805     -bP <option> (except -bP config, which sets list_config)
3806
3807 If any of these options is set, we suppress warnings about configuration
3808 issues (currently about tls_advertise_hosts and keep_environment not being
3809 defined) */
3810
3811 readconf_main(checking || list_options);
3812
3813
3814 /* Now in directory "/" */
3815
3816 if (cleanup_environment() == FALSE)
3817   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3818
3819
3820 /* If an action on specific messages is requested, or if a daemon or queue
3821 runner is being started, we need to know if Exim was called by an admin user.
3822 This is the case if the real user is root or exim, or if the real group is
3823 exim, or if one of the supplementary groups is exim or a group listed in
3824 admin_groups. We don't fail all message actions immediately if not admin_user,
3825 since some actions can be performed by non-admin users. Instead, set admin_user
3826 for later interrogation. */
3827
3828 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3829   admin_user = TRUE;
3830 else
3831   {
3832   int i, j;
3833   for (i = 0; i < group_count && !admin_user; i++)
3834     if (group_list[i] == exim_gid)
3835       admin_user = TRUE;
3836     else if (admin_groups)
3837       for (j = 1; j <= (int)admin_groups[0] && !admin_user; j++)
3838         if (admin_groups[j] == group_list[i])
3839           admin_user = TRUE;
3840   }
3841
3842 /* Another group of privileged users are the trusted users. These are root,
3843 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3844 are permitted to specify sender_addresses with -f on the command line, and
3845 other message parameters as well. */
3846
3847 if (real_uid == root_uid || real_uid == exim_uid)
3848   trusted_caller = TRUE;
3849 else
3850   {
3851   int i, j;
3852
3853   if (trusted_users)
3854     for (i = 1; i <= (int)trusted_users[0] && !trusted_caller; i++)
3855       if (trusted_users[i] == real_uid)
3856         trusted_caller = TRUE;
3857
3858   if (trusted_groups)
3859     for (i = 1; i <= (int)trusted_groups[0] && !trusted_caller; i++)
3860       if (trusted_groups[i] == real_gid)
3861         trusted_caller = TRUE;
3862       else for (j = 0; j < group_count && !trusted_caller; j++)
3863         if (trusted_groups[i] == group_list[j])
3864           trusted_caller = TRUE;
3865   }
3866
3867 /* At this point, we know if the user is privileged and some command-line
3868 options become possibly impermissible, depending upon the configuration file. */
3869
3870 if (checking && commandline_checks_require_admin && !admin_user) {
3871   fprintf(stderr, "exim: those command-line flags are set to require admin\n");
3872   exit(EXIT_FAILURE);
3873 }
3874
3875 /* Handle the decoding of logging options. */
3876
3877 decode_bits(log_selector, log_selector_size, log_notall,
3878   log_selector_string, log_options, log_options_count, US"log", 0);
3879
3880 DEBUG(D_any)
3881   {
3882   int i;
3883   debug_printf("configuration file is %s\n", config_main_filename);
3884   debug_printf("log selectors =");
3885   for (i = 0; i < log_selector_size; i++)
3886     debug_printf(" %08x", log_selector[i]);
3887   debug_printf("\n");
3888   }
3889
3890 /* If domain literals are not allowed, check the sender address that was
3891 supplied with -f. Ditto for a stripped trailing dot. */
3892
3893 if (sender_address != NULL)
3894   {
3895   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3896     {
3897     fprintf(stderr, "exim: bad -f address \"%s\": domain literals not "
3898       "allowed\n", sender_address);
3899     return EXIT_FAILURE;
3900     }
3901   if (f_end_dot && !strip_trailing_dot)
3902     {
3903     fprintf(stderr, "exim: bad -f address \"%s.\": domain is malformed "
3904       "(trailing dot not allowed)\n", sender_address);
3905     return EXIT_FAILURE;
3906     }
3907   }
3908
3909 /* See if an admin user overrode our logging. */
3910
3911 if (cmdline_syslog_name != NULL)
3912   {
3913   if (admin_user)
3914     {
3915     syslog_processname = cmdline_syslog_name;
3916     log_file_path = string_copy(CUS"syslog");
3917     }
3918   else
3919     {
3920     /* not a panic, non-privileged users should not be able to spam paniclog */
3921     fprintf(stderr,
3922         "exim: you lack sufficient privilege to specify syslog process name\n");
3923     return EXIT_FAILURE;
3924     }
3925   }
3926
3927 /* Paranoia check of maximum lengths of certain strings. There is a check
3928 on the length of the log file path in log.c, which will come into effect
3929 if there are any calls to write the log earlier than this. However, if we
3930 get this far but the string is very long, it is better to stop now than to
3931 carry on and (e.g.) receive a message and then have to collapse. The call to
3932 log_write() from here will cause the ultimate panic collapse if the complete
3933 file name exceeds the buffer length. */
3934
3935 if (Ustrlen(log_file_path) > 200)
3936   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3937     "log_file_path is longer than 200 chars: aborting");
3938
3939 if (Ustrlen(pid_file_path) > 200)
3940   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3941     "pid_file_path is longer than 200 chars: aborting");
3942
3943 if (Ustrlen(spool_directory) > 200)
3944   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3945     "spool_directory is longer than 200 chars: aborting");
3946
3947 /* Length check on the process name given to syslog for its TAG field,
3948 which is only permitted to be 32 characters or less. See RFC 3164. */
3949
3950 if (Ustrlen(syslog_processname) > 32)
3951   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3952     "syslog_processname is longer than 32 chars: aborting");
3953
3954 if (log_oneline)
3955   if (admin_user)
3956     {
3957     log_write(0, LOG_MAIN, "%s", log_oneline);
3958     return EXIT_SUCCESS;
3959     }
3960   else
3961     return EXIT_FAILURE;
3962
3963 /* In some operating systems, the environment variable TMPDIR controls where
3964 temporary files are created; Exim doesn't use these (apart from when delivering
3965 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3966 If TMPDIR is found in the environment, reset it to the value defined in the
3967 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
3968 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
3969 EXIM_TMPDIR by the build scripts.
3970 */
3971
3972 #ifdef EXIM_TMPDIR
3973   {
3974   uschar **p;
3975   if (environ) for (p = USS environ; *p; p++)
3976     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
3977       {
3978       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
3979       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
3980       *p = newp;
3981       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
3982       }
3983   }
3984 #endif
3985
3986 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3987 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
3988 we may need to get rid of a bogus timezone setting. This can arise when Exim is
3989 called by a user who has set the TZ variable. This then affects the timestamps
3990 in log files and in Received: headers, and any created Date: header lines. The
3991 required timezone is settable in the configuration file, so nothing can be done
3992 about this earlier - but hopefully nothing will normally be logged earlier than
3993 this. We have to make a new environment if TZ is wrong, but don't bother if
3994 timestamps_utc is set, because then all times are in UTC anyway. */
3995
3996 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
3997   timestamps_utc = TRUE;
3998 else
3999   {
4000   uschar *envtz = US getenv("TZ");
4001   if (envtz
4002       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4003       : timezone_string != NULL
4004      )
4005     {
4006     uschar **p = USS environ;
4007     uschar **new;
4008     uschar **newp;
4009     int count = 0;
4010     if (environ) while (*p++) count++;
4011     if (!envtz) count++;
4012     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4013     if (environ) for (p = USS environ; *p; p++)
4014       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4015     if (timezone_string)
4016       {
4017       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4018       sprintf(CS *newp++, "TZ=%s", timezone_string);
4019       }
4020     *newp = NULL;
4021     environ = CSS new;
4022     tzset();
4023     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4024       tod_stamp(tod_log));
4025     }
4026   }
4027
4028 /* Handle the case when we have removed the setuid privilege because of -C or
4029 -D. This means that the caller of Exim was not root.
4030
4031 There is a problem if we were running as the Exim user. The sysadmin may
4032 expect this case to retain privilege because "the binary was called by the
4033 Exim user", but it hasn't, because either the -D option set macros, or the
4034 -C option set a non-trusted configuration file. There are two possibilities:
4035
4036   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4037       to do message deliveries. Thus, the fact that it is running as a
4038       non-privileged user is plausible, and might be wanted in some special
4039       configurations. However, really_exim will have been set false when
4040       privilege was dropped, to stop Exim trying to write to its normal log
4041       files. Therefore, re-enable normal log processing, assuming the sysadmin
4042       has set up the log directory correctly.
4043
4044   (2) If deliver_drop_privilege is not set, the configuration won't work as
4045       apparently intended, and so we log a panic message. In order to retain
4046       root for -C or -D, the caller must either be root or be invoking a
4047       trusted configuration file (when deliver_drop_privilege is false). */
4048
4049 if (  removed_privilege
4050    && (!trusted_config || opt_D_used)
4051    && real_uid == exim_uid)
4052   if (deliver_drop_privilege)
4053     really_exim = TRUE; /* let logging work normally */
4054   else
4055     log_write(0, LOG_MAIN|LOG_PANIC,
4056       "exim user lost privilege for using %s option",
4057       trusted_config? "-D" : "-C");
4058
4059 /* Start up Perl interpreter if Perl support is configured and there is a
4060 perl_startup option, and the configuration or the command line specifies
4061 initializing starting. Note that the global variables are actually called
4062 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4063
4064 #ifdef EXIM_PERL
4065 if (perl_start_option != 0)
4066   opt_perl_at_start = (perl_start_option > 0);
4067 if (opt_perl_at_start && opt_perl_startup != NULL)
4068   {
4069   uschar *errstr;
4070   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4071   errstr = init_perl(opt_perl_startup);
4072   if (errstr != NULL)
4073     {
4074     fprintf(stderr, "exim: error in perl_startup code: %s\n", errstr);
4075     return EXIT_FAILURE;
4076     }
4077   opt_perl_started = TRUE;
4078   }
4079 #endif /* EXIM_PERL */
4080
4081 /* Log the arguments of the call if the configuration file said so. This is
4082 a debugging feature for finding out what arguments certain MUAs actually use.
4083 Don't attempt it if logging is disabled, or if listing variables or if
4084 verifying/testing addresses or expansions. */
4085
4086 if (  (debug_selector & D_any  ||  LOGGING(arguments))
4087    && really_exim && !list_options && !checking)
4088   {
4089   int i;
4090   uschar *p = big_buffer;
4091   Ustrcpy(p, "cwd= (failed)");
4092
4093   if (!initial_cwd)
4094     p += 13;
4095   else
4096     {
4097     Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4098     p += 4 + Ustrlen(initial_cwd);
4099     /* in case p is near the end and we don't provide enough space for
4100      * string_format to be willing to write. */
4101     *p = '\0';
4102     }
4103
4104   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4105   while (*p) p++;
4106   for (i = 0; i < argc; i++)
4107     {
4108     int len = Ustrlen(argv[i]);
4109     const uschar *printing;
4110     uschar *quote;
4111     if (p + len + 8 >= big_buffer + big_buffer_size)
4112       {
4113       Ustrcpy(p, " ...");
4114       log_write(0, LOG_MAIN, "%s", big_buffer);
4115       Ustrcpy(big_buffer, "...");
4116       p = big_buffer + 3;
4117       }
4118     printing = string_printing(argv[i]);
4119     if (printing[0] == 0) quote = US"\""; else
4120       {
4121       const uschar *pp = printing;
4122       quote = US"";
4123       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
4124       }
4125     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4126       (p - big_buffer) - 4), printing, quote);
4127     }
4128
4129   if (LOGGING(arguments))
4130     log_write(0, LOG_MAIN, "%s", big_buffer);
4131   else
4132     debug_printf("%s\n", big_buffer);
4133   }
4134
4135 /* Set the working directory to be the top-level spool directory. We don't rely
4136 on this in the code, which always uses fully qualified names, but it's useful
4137 for core dumps etc. Don't complain if it fails - the spool directory might not
4138 be generally accessible and calls with the -C option (and others) have lost
4139 privilege by now. Before the chdir, we try to ensure that the directory exists.
4140 */
4141
4142 if (Uchdir(spool_directory) != 0)
4143   {
4144   int dummy;
4145   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4146   dummy = /* quieten compiler */ Uchdir(spool_directory);
4147   dummy = dummy;        /* yet more compiler quietening, sigh */
4148   }
4149
4150 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4151 alias file. Exim doesn't have such a concept, but this call is screwed into
4152 Sun's YP makefiles. Handle this by calling a configured script, as the real
4153 user who called Exim. The -oA option can be used to pass an argument to the
4154 script. */
4155
4156 if (bi_option)
4157   {
4158   (void)fclose(config_file);
4159   if (bi_command != NULL)
4160     {
4161     int i = 0;
4162     uschar *argv[3];
4163     argv[i++] = bi_command;
4164     if (alias_arg != NULL) argv[i++] = alias_arg;
4165     argv[i++] = NULL;
4166
4167     setgroups(group_count, group_list);
4168     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4169
4170     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
4171       (argv[1] == NULL)? US"" : argv[1]);
4172
4173     execv(CS argv[0], (char *const *)argv);
4174     fprintf(stderr, "exim: exec failed: %s\n", strerror(errno));
4175     exit(EXIT_FAILURE);
4176     }
4177   else
4178     {
4179     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4180     exit(EXIT_SUCCESS);
4181     }
4182   }
4183
4184 /* We moved the admin/trusted check to be immediately after reading the
4185 configuration file.  We leave these prints here to ensure that syslog setup,
4186 logfile setup, and so on has already happened. */
4187
4188 if (trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4189 if (admin_user) DEBUG(D_any) debug_printf("admin user\n");
4190
4191 /* Only an admin user may start the daemon or force a queue run in the default
4192 configuration, but the queue run restriction can be relaxed. Only an admin
4193 user may request that a message be returned to its sender forthwith. Only an
4194 admin user may specify a debug level greater than D_v (because it might show
4195 passwords, etc. in lookup queries). Only an admin user may request a queue
4196 count. Only an admin user can use the test interface to scan for email
4197 (because Exim will be in the spool dir and able to look at mails). */
4198
4199 if (!admin_user)
4200   {
4201   BOOL debugset = (debug_selector & ~D_v) != 0;
4202   if (deliver_give_up || daemon_listen || malware_test_file ||
4203      (count_queue && queue_list_requires_admin) ||
4204      (list_queue && queue_list_requires_admin) ||
4205      (queue_interval >= 0 && prod_requires_admin) ||
4206      (debugset && !running_in_test_harness))
4207     {
4208     fprintf(stderr, "exim:%s permission denied\n", debugset? " debugging" : "");
4209     exit(EXIT_FAILURE);
4210     }
4211   }
4212
4213 /* If the real user is not root or the exim uid, the argument for passing
4214 in an open TCP/IP connection for another message is not permitted, nor is
4215 running with the -N option for any delivery action, unless this call to exim is
4216 one that supplied an input message, or we are using a patched exim for
4217 regression testing. */
4218
4219 if (real_uid != root_uid && real_uid != exim_uid &&
4220      (continue_hostname != NULL ||
4221        (dont_deliver &&
4222          (queue_interval >= 0 || daemon_listen || msg_action_arg > 0)
4223        )) && !running_in_test_harness)
4224   {
4225   fprintf(stderr, "exim: Permission denied\n");
4226   return EXIT_FAILURE;
4227   }
4228
4229 /* If the caller is not trusted, certain arguments are ignored when running for
4230 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4231 Note that authority for performing certain actions on messages is tested in the
4232 queue_action() function. */
4233
4234 if (!trusted_caller && !checking)
4235   {
4236   sender_host_name = sender_host_address = interface_address =
4237     sender_ident = received_protocol = NULL;
4238   sender_host_port = interface_port = 0;
4239   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4240   }
4241
4242 /* If a sender host address is set, extract the optional port number off the
4243 end of it and check its syntax. Do the same thing for the interface address.
4244 Exim exits if the syntax is bad. */
4245
4246 else
4247   {
4248   if (sender_host_address != NULL)
4249     sender_host_port = check_port(sender_host_address);
4250   if (interface_address != NULL)
4251     interface_port = check_port(interface_address);
4252   }
4253
4254 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4255 if (flag_G)
4256   {
4257   if (trusted_caller)
4258     {
4259     suppress_local_fixups = suppress_local_fixups_default = TRUE;
4260     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4261     }
4262   else
4263     {
4264     fprintf(stderr, "exim: permission denied (-G requires a trusted user)\n");
4265     return EXIT_FAILURE;
4266     }
4267   }
4268
4269 /* If an SMTP message is being received check to see if the standard input is a
4270 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4271 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4272 barf. */
4273
4274 if (smtp_input)
4275   {
4276   union sockaddr_46 inetd_sock;
4277   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4278   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4279     {
4280     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4281     if (family == AF_INET || family == AF_INET6)
4282       {
4283       union sockaddr_46 interface_sock;
4284       size = sizeof(interface_sock);
4285
4286       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4287         interface_address = host_ntoa(-1, &interface_sock, NULL,
4288           &interface_port);
4289
4290       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4291
4292       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4293         {
4294         is_inetd = TRUE;
4295         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4296           NULL, &sender_host_port);
4297         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4298           "inetd is not supported when mua_wrapper is set");
4299         }
4300       else
4301         {
4302         fprintf(stderr,
4303           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4304         return EXIT_FAILURE;
4305         }
4306       }
4307     }
4308   }
4309
4310 /* If the load average is going to be needed while receiving a message, get it
4311 now for those OS that require the first call to os_getloadavg() to be done as
4312 root. There will be further calls later for each message received. */
4313
4314 #ifdef LOAD_AVG_NEEDS_ROOT
4315 if (receiving_message &&
4316       (queue_only_load >= 0 ||
4317         (is_inetd && smtp_load_reserve >= 0)
4318       ))
4319   {
4320   load_average = OS_GETLOADAVG();
4321   }
4322 #endif
4323
4324 /* The queue_only configuration option can be overridden by -odx on the command
4325 line, except that if queue_only_override is false, queue_only cannot be unset
4326 from the command line. */
4327
4328 if (queue_only_set && (queue_only_override || arg_queue_only))
4329   queue_only = arg_queue_only;
4330
4331 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4332 -or and -os. */
4333
4334 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4335 if (arg_smtp_receive_timeout >= 0)
4336   smtp_receive_timeout = arg_smtp_receive_timeout;
4337
4338 /* If Exim was started with root privilege, unless we have already removed the
4339 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4340 except when starting the daemon or doing some kind of delivery or address
4341 testing (-bt). These are the only cases when root need to be retained. We run
4342 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4343 retained only for starting the daemon. We always do the initgroups() in this
4344 situation (controlled by the TRUE below), in order to be as close as possible
4345 to the state Exim usually runs in. */
4346
4347 if (!unprivileged &&                      /* originally had root AND */
4348     !removed_privilege &&                 /* still got root AND      */
4349     !daemon_listen &&                     /* not starting the daemon */
4350     queue_interval <= 0 &&                /* (either kind of daemon) */
4351       (                                   /*    AND EITHER           */
4352       deliver_drop_privilege ||           /* requested unprivileged  */
4353         (                                 /*       OR                */
4354         queue_interval < 0 &&             /* not running the queue   */
4355         (msg_action_arg < 0 ||            /*       and               */
4356           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4357         (!checking || !address_test_mode) /* not address checking    */
4358    )  ) )
4359   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4360
4361 /* When we are retaining a privileged uid, we still change to the exim gid. */
4362
4363 else
4364   {
4365   int rv;
4366   rv = setgid(exim_gid);
4367   /* Impact of failure is that some stuff might end up with an incorrect group.
4368   We track this for failures from root, since any attempt to change privilege
4369   by root should succeed and failures should be examined.  For non-root,
4370   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4371   no need to complain then. */
4372   if (rv == -1)
4373     if (!(unprivileged || removed_privilege))
4374       {
4375       fprintf(stderr,
4376           "exim: changing group failed: %s\n", strerror(errno));
4377       exit(EXIT_FAILURE);
4378       }
4379     else
4380       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4381           (long int)exim_gid, strerror(errno));
4382   }
4383
4384 /* Handle a request to scan a file for malware */
4385 if (malware_test_file)
4386   {
4387 #ifdef WITH_CONTENT_SCAN
4388   int result;
4389   set_process_info("scanning file for malware");
4390   result = malware_in_file(malware_test_file);
4391   if (result == FAIL)
4392     {
4393     printf("No malware found.\n");
4394     exit(EXIT_SUCCESS);
4395     }
4396   if (result != OK)
4397     {
4398     printf("Malware lookup returned non-okay/fail: %d\n", result);
4399     exit(EXIT_FAILURE);
4400     }
4401   if (malware_name)
4402     printf("Malware found: %s\n", malware_name);
4403   else
4404     printf("Malware scan detected malware of unknown name.\n");
4405 #else
4406   printf("Malware scanning not enabled at compile time.\n");
4407 #endif
4408   exit(EXIT_FAILURE);
4409   }
4410
4411 /* Handle a request to list the delivery queue */
4412
4413 if (list_queue)
4414   {
4415   set_process_info("listing the queue");
4416   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4417   exit(EXIT_SUCCESS);
4418   }
4419
4420 /* Handle a request to count the delivery queue */
4421
4422 if (count_queue)
4423   {
4424   set_process_info("counting the queue");
4425   queue_count();
4426   exit(EXIT_SUCCESS);
4427   }
4428
4429 /* Handle actions on specific messages, except for the force delivery and
4430 message load actions, which are done below. Some actions take a whole list of
4431 message ids, which are known to continue up to the end of the arguments. Others
4432 take a single message id and then operate on the recipients list. */
4433
4434 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4435   {
4436   int yield = EXIT_SUCCESS;
4437   set_process_info("acting on specified messages");
4438
4439   if (!one_msg_action)
4440     {
4441     for (i = msg_action_arg; i < argc; i++)
4442       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4443         yield = EXIT_FAILURE;
4444     }
4445
4446   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4447     recipients_arg)) yield = EXIT_FAILURE;
4448   exit(yield);
4449   }
4450
4451 /* We used to set up here to skip reading the ACL section, on
4452  (msg_action_arg > 0 || (queue_interval == 0 && !daemon_listen)
4453 Now, since the intro of the ${acl } expansion, ACL definitions may be
4454 needed in transports so we lost the optimisation. */
4455
4456 readconf_rest();
4457
4458 /* The configuration data will have been read into POOL_PERM because we won't
4459 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4460 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4461 configuration were read into POOL_MAIN, because we don't do any resets till
4462 later on. However, it seems right, and it does ensure that both pools get used.
4463 */
4464
4465 store_pool = POOL_MAIN;
4466
4467 /* Handle the -brt option. This is for checking out retry configurations.
4468 The next three arguments are a domain name or a complete address, and
4469 optionally two error numbers. All it does is to call the function that
4470 scans the retry configuration data. */
4471
4472 if (test_retry_arg >= 0)
4473   {
4474   retry_config *yield;
4475   int basic_errno = 0;
4476   int more_errno = 0;
4477   uschar *s1, *s2;
4478
4479   if (test_retry_arg >= argc)
4480     {
4481     printf("-brt needs a domain or address argument\n");
4482     exim_exit(EXIT_FAILURE, US"main");
4483     }
4484   s1 = argv[test_retry_arg++];
4485   s2 = NULL;
4486
4487   /* If the first argument contains no @ and no . it might be a local user
4488   or it might be a single-component name. Treat as a domain. */
4489
4490   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4491     {
4492     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4493       "being \ntreated as a one-component domain, not as a local part.\n\n",
4494       s1);
4495     }
4496
4497   /* There may be an optional second domain arg. */
4498
4499   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4500     s2 = argv[test_retry_arg++];
4501
4502   /* The final arg is an error name */
4503
4504   if (test_retry_arg < argc)
4505     {
4506     uschar *ss = argv[test_retry_arg];
4507     uschar *error =
4508       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4509     if (error != NULL)
4510       {
4511       printf("%s\n", CS error);
4512       return EXIT_FAILURE;
4513       }
4514
4515     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4516     code > 100 as an error is for matching codes to the decade. Turn them into
4517     a real error code, off the decade. */
4518
4519     if (basic_errno == ERRNO_MAIL4XX ||
4520         basic_errno == ERRNO_RCPT4XX ||
4521         basic_errno == ERRNO_DATA4XX)
4522       {
4523       int code = (more_errno >> 8) & 255;
4524       if (code == 255)
4525         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4526       else if (code > 100)
4527         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4528       }
4529     }
4530
4531   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4532     printf("No retry information found\n");
4533   else
4534     {
4535     retry_rule *r;
4536     more_errno = yield->more_errno;
4537     printf("Retry rule: %s  ", yield->pattern);
4538
4539     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4540       {
4541       printf("quota%s%s  ",
4542         (more_errno > 0)? "_" : "",
4543         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4544       }
4545     else if (yield->basic_errno == ECONNREFUSED)
4546       {
4547       printf("refused%s%s  ",
4548         (more_errno > 0)? "_" : "",
4549         (more_errno == 'M')? "MX" :
4550         (more_errno == 'A')? "A" : "");
4551       }
4552     else if (yield->basic_errno == ETIMEDOUT)
4553       {
4554       printf("timeout");
4555       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4556       more_errno &= 255;
4557       if (more_errno != 0) printf("_%s",
4558         (more_errno == 'M')? "MX" : "A");
4559       printf("  ");
4560       }
4561     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4562       printf("auth_failed  ");
4563     else printf("*  ");
4564
4565     for (r = yield->rules; r; r = r->next)
4566       {
4567       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4568       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4569       if (r->rule == 'G')
4570         {
4571         int x = r->p2;
4572         int f = x % 1000;
4573         int d = 100;
4574         printf(",%d.", x/1000);
4575         do
4576           {
4577           printf("%d", f/d);
4578           f %= d;
4579           d /= 10;
4580           }
4581         while (f != 0);
4582         }
4583       printf("; ");
4584       }
4585
4586     printf("\n");
4587     }
4588   exim_exit(EXIT_SUCCESS, US"main");
4589   }
4590
4591 /* Handle a request to list one or more configuration options */
4592 /* If -n was set, we suppress some information */
4593
4594 if (list_options)
4595   {
4596   BOOL fail = FALSE;
4597   set_process_info("listing variables");
4598   if (recipients_arg >= argc)
4599     fail = !readconf_print(US"all", NULL, flag_n);
4600   else for (i = recipients_arg; i < argc; i++)
4601     {
4602     if (i < argc - 1 &&
4603         (Ustrcmp(argv[i], "router") == 0 ||
4604          Ustrcmp(argv[i], "transport") == 0 ||
4605          Ustrcmp(argv[i], "authenticator") == 0 ||
4606          Ustrcmp(argv[i], "macro") == 0 ||
4607          Ustrcmp(argv[i], "environment") == 0))
4608       {
4609       fail |= !readconf_print(argv[i+1], argv[i], flag_n);
4610       i++;
4611       }
4612     else
4613       fail = !readconf_print(argv[i], NULL, flag_n);
4614     }
4615   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS, US"main");
4616   }
4617
4618 if (list_config)
4619   {
4620   set_process_info("listing config");
4621   exim_exit(readconf_print(US"config", NULL, flag_n)
4622                 ? EXIT_SUCCESS : EXIT_FAILURE, US"main");
4623   }
4624
4625
4626 /* Initialise subsystems as required */
4627 #ifndef DISABLE_DKIM
4628 dkim_exim_init();
4629 #endif
4630 deliver_init();
4631
4632
4633 /* Handle a request to deliver one or more messages that are already on the
4634 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4635 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4636
4637 Delivery of specific messages is typically used for a small number when
4638 prodding by hand (when the option forced_delivery will be set) or when
4639 re-execing to regain root privilege. Each message delivery must happen in a
4640 separate process, so we fork a process for each one, and run them sequentially
4641 so that debugging output doesn't get intertwined, and to avoid spawning too
4642 many processes if a long list is given. However, don't fork for the last one;
4643 this saves a process in the common case when Exim is called to deliver just one
4644 message. */
4645
4646 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4647   {
4648   if (prod_requires_admin && !admin_user)
4649     {
4650     fprintf(stderr, "exim: Permission denied\n");
4651     exim_exit(EXIT_FAILURE, US"main");
4652     }
4653   set_process_info("delivering specified messages");
4654   if (deliver_give_up) forced_delivery = deliver_force_thaw = TRUE;
4655   for (i = msg_action_arg; i < argc; i++)
4656     {
4657     int status;
4658     pid_t pid;
4659     if (i == argc - 1)
4660       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4661     else if ((pid = fork()) == 0)
4662       {
4663       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4664       _exit(EXIT_SUCCESS);
4665       }
4666     else if (pid < 0)
4667       {
4668       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4669         strerror(errno));
4670       exim_exit(EXIT_FAILURE, US"main");
4671       }
4672     else wait(&status);
4673     }
4674   exim_exit(EXIT_SUCCESS, US"main");
4675   }
4676
4677
4678 /* If only a single queue run is requested, without SMTP listening, we can just
4679 turn into a queue runner, with an optional starting message id. */
4680
4681 if (queue_interval == 0 && !daemon_listen)
4682   {
4683   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4684     (start_queue_run_id == NULL)? US"" : US" starting at ",
4685     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4686     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4687     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4688   if (*queue_name)
4689     set_process_info("running the '%s' queue (single queue run)", queue_name);
4690   else
4691     set_process_info("running the queue (single queue run)");
4692   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4693   exim_exit(EXIT_SUCCESS, US"main");
4694   }
4695
4696
4697 /* Find the login name of the real user running this process. This is always
4698 needed when receiving a message, because it is written into the spool file. It
4699 may also be used to construct a from: or a sender: header, and in this case we
4700 need the user's full name as well, so save a copy of it, checked for RFC822
4701 syntax and munged if necessary, if it hasn't previously been set by the -F
4702 argument. We may try to get the passwd entry more than once, in case NIS or
4703 other delays are in evidence. Save the home directory for use in filter testing
4704 (only). */
4705
4706 for (i = 0;;)
4707   {
4708   if ((pw = getpwuid(real_uid)) != NULL)
4709     {
4710     originator_login = string_copy(US pw->pw_name);
4711     originator_home = string_copy(US pw->pw_dir);
4712
4713     /* If user name has not been set by -F, set it from the passwd entry
4714     unless -f has been used to set the sender address by a trusted user. */
4715
4716     if (!originator_name)
4717       {
4718       if (!sender_address || (!trusted_caller && filter_test == FTEST_NONE))
4719         {
4720         uschar *name = US pw->pw_gecos;
4721         uschar *amp = Ustrchr(name, '&');
4722         uschar buffer[256];
4723
4724         /* Most Unix specify that a '&' character in the gecos field is
4725         replaced by a copy of the login name, and some even specify that
4726         the first character should be upper cased, so that's what we do. */
4727
4728         if (amp)
4729           {
4730           int loffset;
4731           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4732             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4733           buffer[loffset] = toupper(buffer[loffset]);
4734           name = buffer;
4735           }
4736
4737         /* If a pattern for matching the gecos field was supplied, apply
4738         it and then expand the name string. */
4739
4740         if (gecos_pattern && gecos_name)
4741           {
4742           const pcre *re;
4743           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4744
4745           if (regex_match_and_setup(re, name, 0, -1))
4746             {
4747             uschar *new_name = expand_string(gecos_name);
4748             expand_nmax = -1;
4749             if (new_name)
4750               {
4751               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4752                 "gecos field \"%s\"\n", new_name, name);
4753               name = new_name;
4754               }
4755             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4756               "\"%s\": %s\n", gecos_name, expand_string_message);
4757             }
4758           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4759             "gecos field \"%s\"\n", gecos_pattern, name);
4760           store_free((void *)re);
4761           }
4762         originator_name = string_copy(name);
4763         }
4764
4765       /* A trusted caller has used -f but not -F */
4766
4767       else originator_name = US"";
4768       }
4769
4770     /* Break the retry loop */
4771
4772     break;
4773     }
4774
4775   if (++i > finduser_retries) break;
4776   sleep(1);
4777   }
4778
4779 /* If we cannot get a user login, log the incident and give up, unless the
4780 configuration specifies something to use. When running in the test harness,
4781 any setting of unknown_login overrides the actual name. */
4782
4783 if (originator_login == NULL || running_in_test_harness)
4784   {
4785   if (unknown_login != NULL)
4786     {
4787     originator_login = expand_string(unknown_login);
4788     if (originator_name == NULL && unknown_username != NULL)
4789       originator_name = expand_string(unknown_username);
4790     if (originator_name == NULL) originator_name = US"";
4791     }
4792   if (originator_login == NULL)
4793     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4794       (int)real_uid);
4795   }
4796
4797 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4798 RFC822 address.*/
4799
4800 originator_name = string_copy(parse_fix_phrase(originator_name,
4801   Ustrlen(originator_name), big_buffer, big_buffer_size));
4802
4803 /* If a message is created by this call of Exim, the uid/gid of its originator
4804 are those of the caller. These values are overridden if an existing message is
4805 read in from the spool. */
4806
4807 originator_uid = real_uid;
4808 originator_gid = real_gid;
4809
4810 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4811   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4812
4813 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4814 returns. We leave this till here so that the originator_ fields are available
4815 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4816 mode. */
4817
4818 if (daemon_listen || inetd_wait_mode || queue_interval > 0)
4819   {
4820   if (mua_wrapper)
4821     {
4822     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4823     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4824       "mua_wrapper is set");
4825     }
4826   daemon_go();
4827   }
4828
4829 /* If the sender ident has not been set (by a trusted caller) set it to
4830 the caller. This will get overwritten below for an inetd call. If a trusted
4831 caller has set it empty, unset it. */
4832
4833 if (sender_ident == NULL) sender_ident = originator_login;
4834   else if (sender_ident[0] == 0) sender_ident = NULL;
4835
4836 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4837 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4838 originator_* variables set. */
4839
4840 if (test_rewrite_arg >= 0)
4841   {
4842   really_exim = FALSE;
4843   if (test_rewrite_arg >= argc)
4844     {
4845     printf("-brw needs an address argument\n");
4846     exim_exit(EXIT_FAILURE, US"main");
4847     }
4848   rewrite_test(argv[test_rewrite_arg]);
4849   exim_exit(EXIT_SUCCESS, US"main");
4850   }
4851
4852 /* A locally-supplied message is considered to be coming from a local user
4853 unless a trusted caller supplies a sender address with -f, or is passing in the
4854 message via SMTP (inetd invocation or otherwise). */
4855
4856 if ((sender_address == NULL && !smtp_input) ||
4857     (!trusted_caller && filter_test == FTEST_NONE))
4858   {
4859   sender_local = TRUE;
4860
4861   /* A trusted caller can supply authenticated_sender and authenticated_id
4862   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4863   defaults except when host checking. */
4864
4865   if (authenticated_sender == NULL && !host_checking)
4866     authenticated_sender = string_sprintf("%s@%s", originator_login,
4867       qualify_domain_sender);
4868   if (authenticated_id == NULL && !host_checking)
4869     authenticated_id = originator_login;
4870   }
4871
4872 /* Trusted callers are always permitted to specify the sender address.
4873 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4874 is specified is the empty address. However, if a trusted caller does not
4875 specify a sender address for SMTP input, we leave sender_address unset. This
4876 causes the MAIL commands to be honoured. */
4877
4878 if ((!smtp_input && sender_address == NULL) ||
4879     !receive_check_set_sender(sender_address))
4880   {
4881   /* Either the caller is not permitted to set a general sender, or this is
4882   non-SMTP input and the trusted caller has not set a sender. If there is no
4883   sender, or if a sender other than <> is set, override with the originator's
4884   login (which will get qualified below), except when checking things. */
4885
4886   if (sender_address == NULL             /* No sender_address set */
4887        ||                                /*         OR            */
4888        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4889        !checking))                       /* Not running tests, including filter tests */
4890     {
4891     sender_address = originator_login;
4892     sender_address_forced = FALSE;
4893     sender_address_domain = 0;
4894     }
4895   }
4896
4897 /* Remember whether an untrusted caller set the sender address */
4898
4899 sender_set_untrusted = sender_address != originator_login && !trusted_caller;
4900
4901 /* Ensure that the sender address is fully qualified unless it is the empty
4902 address, which indicates an error message, or doesn't exist (root caller, smtp
4903 interface, no -f argument). */
4904
4905 if (sender_address != NULL && sender_address[0] != 0 &&
4906     sender_address_domain == 0)
4907   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4908     qualify_domain_sender);
4909
4910 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4911
4912 /* Handle a request to verify a list of addresses, or test them for delivery.
4913 This must follow the setting of the sender address, since routers can be
4914 predicated upon the sender. If no arguments are given, read addresses from
4915 stdin. Set debug_level to at least D_v to get full output for address testing.
4916 */
4917
4918 if (verify_address_mode || address_test_mode)
4919   {
4920   int exit_value = 0;
4921   int flags = vopt_qualify;
4922
4923   if (verify_address_mode)
4924     {
4925     if (!verify_as_sender) flags |= vopt_is_recipient;
4926     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4927     }
4928
4929   else
4930     {
4931     flags |= vopt_is_recipient;
4932     debug_selector |= D_v;
4933     debug_file = stderr;
4934     debug_fd = fileno(debug_file);
4935     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4936     }
4937
4938   if (recipients_arg < argc)
4939     {
4940     while (recipients_arg < argc)
4941       {
4942       uschar *s = argv[recipients_arg++];
4943       while (*s != 0)
4944         {
4945         BOOL finished = FALSE;
4946         uschar *ss = parse_find_address_end(s, FALSE);
4947         if (*ss == ',') *ss = 0; else finished = TRUE;
4948         test_address(s, flags, &exit_value);
4949         s = ss;
4950         if (!finished)
4951           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4952         }
4953       }
4954     }
4955
4956   else for (;;)
4957     {
4958     uschar *s = get_stdinput(NULL, NULL);
4959     if (s == NULL) break;
4960     test_address(s, flags, &exit_value);
4961     }
4962
4963   route_tidyup();
4964   exim_exit(exit_value, US"main");
4965   }
4966
4967 /* Handle expansion checking. Either expand items on the command line, or read
4968 from stdin if there aren't any. If -Mset was specified, load the message so
4969 that its variables can be used, but restrict this facility to admin users.
4970 Otherwise, if -bem was used, read a message from stdin. */
4971
4972 if (expansion_test)
4973   {
4974   dns_init(FALSE, FALSE, FALSE);
4975   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4976     {
4977     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4978     if (!admin_user)
4979       {
4980       fprintf(stderr, "exim: permission denied\n");
4981       exit(EXIT_FAILURE);
4982       }
4983     message_id = argv[msg_action_arg];
4984     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4985     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
4986       printf ("Failed to load message datafile %s\n", message_id);
4987     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4988       printf ("Failed to load message %s\n", message_id);
4989     }
4990
4991   /* Read a test message from a file. We fudge it up to be on stdin, saving
4992   stdin itself for later reading of expansion strings. */
4993
4994   else if (expansion_test_message)
4995     {
4996     int save_stdin = dup(0);
4997     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
4998     if (fd < 0)
4999       {
5000       fprintf(stderr, "exim: failed to open %s: %s\n", expansion_test_message,
5001         strerror(errno));
5002       return EXIT_FAILURE;
5003       }
5004     (void) dup2(fd, 0);
5005     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5006     message_ended = END_NOTENDED;
5007     read_message_body(receive_msg(extract_recipients));
5008     message_linecount += body_linecount;
5009     (void)dup2(save_stdin, 0);
5010     (void)close(save_stdin);
5011     clearerr(stdin);               /* Required by Darwin */
5012     }
5013
5014   /* Only admin users may see config-file macros this way */
5015
5016   if (!admin_user) macros_user = macros = mlast = NULL;
5017
5018   /* Allow $recipients for this testing */
5019
5020   enable_dollar_recipients = TRUE;
5021
5022   /* Expand command line items */
5023
5024   if (recipients_arg < argc)
5025     while (recipients_arg < argc)
5026       expansion_test_line(argv[recipients_arg++]);
5027
5028   /* Read stdin */
5029
5030   else
5031     {
5032     char *(*fn_readline)(const char *) = NULL;
5033     void (*fn_addhist)(const char *) = NULL;
5034     uschar * s;
5035
5036 #ifdef USE_READLINE
5037     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5038 #endif
5039
5040     while (s = get_stdinput(fn_readline, fn_addhist))
5041       expansion_test_line(s);
5042
5043 #ifdef USE_READLINE
5044     if (dlhandle) dlclose(dlhandle);
5045 #endif
5046     }
5047
5048   /* The data file will be open after -Mset */
5049
5050   if (deliver_datafile >= 0)
5051     {
5052     (void)close(deliver_datafile);
5053     deliver_datafile = -1;
5054     }
5055
5056   exim_exit(EXIT_SUCCESS, US"main: expansion test");
5057   }
5058
5059
5060 /* The active host name is normally the primary host name, but it can be varied
5061 for hosts that want to play several parts at once. We need to ensure that it is
5062 set for host checking, and for receiving messages. */
5063
5064 smtp_active_hostname = primary_hostname;
5065 if (raw_active_hostname != NULL)
5066   {
5067   uschar *nah = expand_string(raw_active_hostname);
5068   if (nah == NULL)
5069     {
5070     if (!expand_string_forcedfail)
5071       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5072         "(smtp_active_hostname): %s", raw_active_hostname,
5073         expand_string_message);
5074     }
5075   else if (nah[0] != 0) smtp_active_hostname = nah;
5076   }
5077
5078 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5079 given IP address so that the blocking and relay configuration can be tested.
5080 Unless a sender_ident was set by -oMt, we discard it (the default is the
5081 caller's login name). An RFC 1413 call is made only if we are running in the
5082 test harness and an incoming interface and both ports are specified, because
5083 there is no TCP/IP call to find the ident for. */
5084
5085 if (host_checking)
5086   {
5087   int x[4];
5088   int size;
5089
5090   if (!sender_ident_set)
5091     {
5092     sender_ident = NULL;
5093     if (running_in_test_harness && sender_host_port != 0 &&
5094         interface_address != NULL && interface_port != 0)
5095       verify_get_ident(1413);
5096     }
5097
5098   /* In case the given address is a non-canonical IPv6 address, canonicalize
5099   it. The code works for both IPv4 and IPv6, as it happens. */
5100
5101   size = host_aton(sender_host_address, x);
5102   sender_host_address = store_get(48);  /* large enough for full IPv6 */
5103   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5104
5105   /* Now set up for testing */
5106
5107   host_build_sender_fullhost();
5108   smtp_input = TRUE;
5109   smtp_in = stdin;
5110   smtp_out = stdout;
5111   sender_local = FALSE;
5112   sender_host_notsocket = TRUE;
5113   debug_file = stderr;
5114   debug_fd = fileno(debug_file);
5115   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5116     "**** but without any ident (RFC 1413) callback.\n"
5117     "**** This is not for real!\n\n",
5118       sender_host_address);
5119
5120   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5121   if (verify_check_host(&hosts_connection_nolog) == OK)
5122     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5123   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5124
5125   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5126   because a log line has already been written for all its failure exists
5127   (usually "connection refused: <reason>") and writing another one is
5128   unnecessary clutter. */
5129
5130   if (smtp_start_session())
5131     {
5132     for (reset_point = store_get(0); ; store_reset(reset_point))
5133       {
5134       if (smtp_setup_msg() <= 0) break;
5135       if (!receive_msg(FALSE)) break;
5136
5137       return_path = sender_address = NULL;
5138       dnslist_domain = dnslist_matched = NULL;
5139 #ifndef DISABLE_DKIM
5140       dkim_cur_signer = NULL;
5141 #endif
5142       acl_var_m = NULL;
5143       deliver_localpart_orig = NULL;
5144       deliver_domain_orig = NULL;
5145       callout_address = sending_ip_address = NULL;
5146       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5147       }
5148     smtp_log_no_mail();
5149     }
5150   exim_exit(EXIT_SUCCESS, US"main");
5151   }
5152
5153
5154 /* Arrange for message reception if recipients or SMTP were specified;
5155 otherwise complain unless a version print (-bV) happened or this is a filter
5156 verification test or info dump.
5157 In the former case, show the configuration file name. */
5158
5159 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5160   {
5161   if (version_printed)
5162     {
5163     if (Ustrchr(config_main_filelist, ':'))
5164       printf("Configuration file search path is %s\n", config_main_filelist);
5165     printf("Configuration file is %s\n", config_main_filename);
5166     return EXIT_SUCCESS;
5167     }
5168
5169   if (info_flag != CMDINFO_NONE)
5170     {
5171     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5172     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5173     }
5174
5175   if (filter_test == FTEST_NONE)
5176     exim_usage(called_as);
5177   }
5178
5179
5180 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5181 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5182 that we are not called from inetd, because that is rejected above. The
5183 following configuration settings are forced here:
5184
5185   (1) Synchronous delivery (-odi)
5186   (2) Errors to stderr (-oep == -oeq)
5187   (3) No parallel remote delivery
5188   (4) Unprivileged delivery
5189
5190 We don't force overall queueing options because there are several of them;
5191 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5192 to override any SMTP queueing. */
5193
5194 if (mua_wrapper)
5195   {
5196   synchronous_delivery = TRUE;
5197   arg_error_handling = ERRORS_STDERR;
5198   remote_max_parallel = 1;
5199   deliver_drop_privilege = TRUE;
5200   queue_smtp = FALSE;
5201   queue_smtp_domains = NULL;
5202 #ifdef SUPPORT_I18N
5203   message_utf8_downconvert = -1;        /* convert-if-needed */
5204 #endif
5205   }
5206
5207
5208 /* Prepare to accept one or more new messages on the standard input. When a
5209 message has been read, its id is returned in message_id[]. If doing immediate
5210 delivery, we fork a delivery process for each received message, except for the
5211 last one, where we can save a process switch.
5212
5213 It is only in non-smtp mode that error_handling is allowed to be changed from
5214 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5215 sendmail error modes other than -oem ever actually used? Later: yes.) */
5216
5217 if (!smtp_input) error_handling = arg_error_handling;
5218
5219 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5220 logging being sent down the socket and make an identd call to get the
5221 sender_ident. */
5222
5223 else if (is_inetd)
5224   {
5225   (void)fclose(stderr);
5226   exim_nullstd();                       /* Re-open to /dev/null */
5227   verify_get_ident(IDENT_PORT);
5228   host_build_sender_fullhost();
5229   set_process_info("handling incoming connection from %s via inetd",
5230     sender_fullhost);
5231   }
5232
5233 /* If the sender host address has been set, build sender_fullhost if it hasn't
5234 already been done (which it will have been for inetd). This caters for the
5235 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5236 so that the test for IP options is skipped for -bs input. */
5237
5238 if (sender_host_address && !sender_fullhost)
5239   {
5240   host_build_sender_fullhost();
5241   set_process_info("handling incoming connection from %s via -oMa",
5242     sender_fullhost);
5243   sender_host_notsocket = TRUE;
5244   }
5245
5246 /* Otherwise, set the sender host as unknown except for inetd calls. This
5247 prevents host checking in the case of -bs not from inetd and also for -bS. */
5248
5249 else if (!is_inetd) sender_host_unknown = TRUE;
5250
5251 /* If stdout does not exist, then dup stdin to stdout. This can happen
5252 if exim is started from inetd. In this case fd 0 will be set to the socket,
5253 but fd 1 will not be set. This also happens for passed SMTP channels. */
5254
5255 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5256
5257 /* Set up the incoming protocol name and the state of the program. Root is
5258 allowed to force received protocol via the -oMr option above. If we have come
5259 via inetd, the process info has already been set up. We don't set
5260 received_protocol here for smtp input, as it varies according to
5261 batch/HELO/EHLO/AUTH/TLS. */
5262
5263 if (smtp_input)
5264   {
5265   if (!is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5266     smtp_batched_input? "batched " : "",
5267     (sender_address!= NULL)? sender_address : originator_login);
5268   }
5269 else
5270   {
5271   int old_pool = store_pool;
5272   store_pool = POOL_PERM;
5273   if (!received_protocol)
5274     received_protocol = string_sprintf("local%s", called_as);
5275   store_pool = old_pool;
5276   set_process_info("accepting a local non-SMTP message from <%s>",
5277     sender_address);
5278   }
5279
5280 /* Initialize the session_local_queue-only flag (this will be ignored if
5281 mua_wrapper is set) */
5282
5283 queue_check_only();
5284 session_local_queue_only = queue_only;
5285
5286 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5287 the spool if so configured. On failure, we must not attempt to send an error
5288 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5289 error code is given.) */
5290
5291 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5292   {
5293   fprintf(stderr, "exim: insufficient disk space\n");
5294   return EXIT_FAILURE;
5295   }
5296
5297 /* If this is smtp input of any kind, real or batched, handle the start of the
5298 SMTP session.
5299
5300 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5301 because a log line has already been written for all its failure exists
5302 (usually "connection refused: <reason>") and writing another one is
5303 unnecessary clutter. */
5304
5305 if (smtp_input)
5306   {
5307   smtp_in = stdin;
5308   smtp_out = stdout;
5309   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5310   if (verify_check_host(&hosts_connection_nolog) == OK)
5311     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5312   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5313   if (!smtp_start_session())
5314     {
5315     mac_smtp_fflush();
5316     exim_exit(EXIT_SUCCESS, US"smtp_start toplevel");
5317     }
5318   }
5319
5320 /* Otherwise, set up the input size limit here. */
5321
5322 else
5323   {
5324   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5325   if (expand_string_message)
5326     if (thismessage_size_limit == -1)
5327       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5328         "message_size_limit: %s", expand_string_message);
5329     else
5330       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5331         "message_size_limit: %s", expand_string_message);
5332   }
5333
5334 /* Loop for several messages when reading SMTP input. If we fork any child
5335 processes, we don't want to wait for them unless synchronous delivery is
5336 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5337 same as SIG_DFL, despite the fact that documentation often lists the default as
5338 "ignore". This is a confusing area. This is what I know:
5339
5340 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5341 processes that complete simply to go away without ever becoming defunct. You
5342 can't then wait for them - but we don't want to wait for them in the
5343 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5344 happen for all OS (e.g. *BSD is different).
5345
5346 But that's not the end of the story. Some (many? all?) systems have the
5347 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5348 has by default, so it seems that the difference is merely one of default
5349 (compare restarting vs non-restarting signals).
5350
5351 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5352 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5353 of the loop below. Paranoia rules.
5354
5355 February 2003: That's *still* not the end of the story. There are now versions
5356 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5357 process then calls waitpid(), a grumble is written to the system log, because
5358 this is logically inconsistent. In other words, it doesn't like the paranoia.
5359 As a consequence of this, the waitpid() below is now excluded if we are sure
5360 that SIG_IGN works. */
5361
5362 if (!synchronous_delivery)
5363   {
5364   #ifdef SA_NOCLDWAIT
5365   struct sigaction act;
5366   act.sa_handler = SIG_IGN;
5367   sigemptyset(&(act.sa_mask));
5368   act.sa_flags = SA_NOCLDWAIT;
5369   sigaction(SIGCHLD, &act, NULL);
5370   #else
5371   signal(SIGCHLD, SIG_IGN);
5372   #endif
5373   }
5374
5375 /* Save the current store pool point, for resetting at the start of
5376 each message, and save the real sender address, if any. */
5377
5378 reset_point = store_get(0);
5379 real_sender_address = sender_address;
5380
5381 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5382 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5383 collapsed). */
5384
5385 while (more)
5386   {
5387   message_id[0] = 0;
5388
5389   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5390   input and build the recipients list, before calling receive_msg() to read the
5391   message proper. Whatever sender address is given in the SMTP transaction is
5392   often ignored for local senders - we use the actual sender, which is normally
5393   either the underlying user running this process or a -f argument provided by
5394   a trusted caller. It is saved in real_sender_address. The test for whether to
5395   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5396
5397   if (smtp_input)
5398     {
5399     int rc;
5400     if ((rc = smtp_setup_msg()) > 0)
5401       {
5402       if (real_sender_address != NULL &&
5403           !receive_check_set_sender(sender_address))
5404         {
5405         sender_address = raw_sender = real_sender_address;
5406         sender_address_unrewritten = NULL;
5407         }
5408
5409       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5410       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5411       the very end. The result of the ACL is ignored (as for other non-SMTP
5412       messages). It is run for its potential side effects. */
5413
5414       if (smtp_batched_input && acl_not_smtp_start != NULL)
5415         {
5416         uschar *user_msg, *log_msg;
5417         enable_dollar_recipients = TRUE;
5418         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5419           &user_msg, &log_msg);
5420         enable_dollar_recipients = FALSE;
5421         }
5422
5423       /* Now get the data for the message */
5424
5425       more = receive_msg(extract_recipients);
5426       if (message_id[0] == 0)
5427         {
5428         cancel_cutthrough_connection(TRUE, US"receive dropped");
5429         if (more) goto moreloop;
5430         smtp_log_no_mail();               /* Log no mail if configured */
5431         exim_exit(EXIT_FAILURE, US"receive toplevel");
5432         }
5433       }
5434     else
5435       {
5436       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5437       smtp_log_no_mail();               /* Log no mail if configured */
5438       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS, US"msg setup toplevel");
5439       }
5440     }
5441
5442   /* In the non-SMTP case, we have all the information from the command
5443   line, but must process it in case it is in the more general RFC822
5444   format, and in any case, to detect syntax errors. Also, it appears that
5445   the use of comma-separated lists as single arguments is common, so we
5446   had better support them. */
5447
5448   else
5449     {
5450     int i;
5451     int rcount = 0;
5452     int count = argc - recipients_arg;
5453     uschar **list = argv + recipients_arg;
5454
5455     /* These options cannot be changed dynamically for non-SMTP messages */
5456
5457     active_local_sender_retain = local_sender_retain;
5458     active_local_from_check = local_from_check;
5459
5460     /* Save before any rewriting */
5461
5462     raw_sender = string_copy(sender_address);
5463
5464     /* Loop for each argument */
5465
5466     for (i = 0; i < count; i++)
5467       {
5468       int start, end, domain;
5469       uschar *errmess;
5470       uschar *s = list[i];
5471
5472       /* Loop for each comma-separated address */
5473
5474       while (*s != 0)
5475         {
5476         BOOL finished = FALSE;
5477         uschar *recipient;
5478         uschar *ss = parse_find_address_end(s, FALSE);
5479
5480         if (*ss == ',') *ss = 0; else finished = TRUE;
5481
5482         /* Check max recipients - if -t was used, these aren't recipients */
5483
5484         if (recipients_max > 0 && ++rcount > recipients_max &&
5485             !extract_recipients)
5486           if (error_handling == ERRORS_STDERR)
5487             {
5488             fprintf(stderr, "exim: too many recipients\n");
5489             exim_exit(EXIT_FAILURE, US"main");
5490             }
5491           else
5492             return
5493               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5494                 errors_sender_rc : EXIT_FAILURE;
5495
5496 #ifdef SUPPORT_I18N
5497         {
5498         BOOL b = allow_utf8_domains;
5499         allow_utf8_domains = TRUE;
5500 #endif
5501         recipient =
5502           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5503
5504 #ifdef SUPPORT_I18N
5505         if (string_is_utf8(recipient))
5506           message_smtputf8 = TRUE;
5507         else
5508           allow_utf8_domains = b;
5509         }
5510 #endif
5511         if (domain == 0 && !allow_unqualified_recipient)
5512           {
5513           recipient = NULL;
5514           errmess = US"unqualified recipient address not allowed";
5515           }
5516
5517         if (recipient == NULL)
5518           {
5519           if (error_handling == ERRORS_STDERR)
5520             {
5521             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5522               string_printing(list[i]), errmess);
5523             exim_exit(EXIT_FAILURE, US"main");
5524             }
5525           else
5526             {
5527             error_block eblock;
5528             eblock.next = NULL;
5529             eblock.text1 = string_printing(list[i]);
5530             eblock.text2 = errmess;
5531             return
5532               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5533                 errors_sender_rc : EXIT_FAILURE;
5534             }
5535           }
5536
5537         receive_add_recipient(recipient, -1);
5538         s = ss;
5539         if (!finished)
5540           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5541         }
5542       }
5543
5544     /* Show the recipients when debugging */
5545
5546     DEBUG(D_receive)
5547       {
5548       int i;
5549       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5550       if (recipients_list != NULL)
5551         {
5552         debug_printf("Recipients:\n");
5553         for (i = 0; i < recipients_count; i++)
5554           debug_printf("  %s\n", recipients_list[i].address);
5555         }
5556       }
5557
5558     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5559     ignored; rejecting here would just add complication, and it can just as
5560     well be done later. Allow $recipients to be visible in the ACL. */
5561
5562     if (acl_not_smtp_start)
5563       {
5564       uschar *user_msg, *log_msg;
5565       enable_dollar_recipients = TRUE;
5566       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5567         &user_msg, &log_msg);
5568       enable_dollar_recipients = FALSE;
5569       }
5570
5571     /* Pause for a while waiting for input.  If none received in that time,
5572     close the logfile, if we had one open; then if we wait for a long-running
5573     datasource (months, in one use-case) log rotation will not leave us holding
5574     the file copy. */
5575
5576     if (!receive_timeout)
5577       {
5578       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5579       fd_set r;
5580
5581       FD_ZERO(&r); FD_SET(0, &r);
5582       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5583       }
5584
5585     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5586     will just read the headers for the message, and not write anything onto the
5587     spool. */
5588
5589     message_ended = END_NOTENDED;
5590     more = receive_msg(extract_recipients);
5591
5592     /* more is always FALSE here (not SMTP message) when reading a message
5593     for real; when reading the headers of a message for filter testing,
5594     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5595
5596     if (message_id[0] == 0) exim_exit(EXIT_FAILURE, US"main");
5597     }  /* Non-SMTP message reception */
5598
5599   /* If this is a filter testing run, there are headers in store, but
5600   no message on the spool. Run the filtering code in testing mode, setting
5601   the domain to the qualify domain and the local part to the current user,
5602   unless they have been set by options. The prefix and suffix are left unset
5603   unless specified. The the return path is set to to the sender unless it has
5604   already been set from a return-path header in the message. */
5605
5606   if (filter_test != FTEST_NONE)
5607     {
5608     deliver_domain = (ftest_domain != NULL)?
5609       ftest_domain : qualify_domain_recipient;
5610     deliver_domain_orig = deliver_domain;
5611     deliver_localpart = (ftest_localpart != NULL)?
5612       ftest_localpart : originator_login;
5613     deliver_localpart_orig = deliver_localpart;
5614     deliver_localpart_prefix = ftest_prefix;
5615     deliver_localpart_suffix = ftest_suffix;
5616     deliver_home = originator_home;
5617
5618     if (return_path == NULL)
5619       {
5620       printf("Return-path copied from sender\n");
5621       return_path = string_copy(sender_address);
5622       }
5623     else
5624       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5625     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5626
5627     receive_add_recipient(
5628       string_sprintf("%s%s%s@%s",
5629         (ftest_prefix == NULL)? US"" : ftest_prefix,
5630         deliver_localpart,
5631         (ftest_suffix == NULL)? US"" : ftest_suffix,
5632         deliver_domain), -1);
5633
5634     printf("Recipient   = %s\n", recipients_list[0].address);
5635     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5636     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5637
5638     if (chdir("/"))   /* Get away from wherever the user is running this from */
5639       {
5640       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5641       exim_exit(EXIT_FAILURE, US"main");
5642       }
5643
5644     /* Now we run either a system filter test, or a user filter test, or both.
5645     In the latter case, headers added by the system filter will persist and be
5646     available to the user filter. We need to copy the filter variables
5647     explicitly. */
5648
5649     if ((filter_test & FTEST_SYSTEM) != 0)
5650       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5651         exim_exit(EXIT_FAILURE, US"main");
5652
5653     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5654
5655     if ((filter_test & FTEST_USER) != 0)
5656       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5657         exim_exit(EXIT_FAILURE, US"main");
5658
5659     exim_exit(EXIT_SUCCESS, US"main");
5660     }
5661
5662   /* Else act on the result of message reception. We should not get here unless
5663   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5664   will be TRUE. If it is not, check on the number of messages received in this
5665   connection. */
5666
5667   if (!session_local_queue_only &&
5668       smtp_accept_queue_per_connection > 0 &&
5669       receive_messagecount > smtp_accept_queue_per_connection)
5670     {
5671     session_local_queue_only = TRUE;
5672     queue_only_reason = 2;
5673     }
5674
5675   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5676   and queue_only_load is set, check that the load average is below it. If it is
5677   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5678   default), we put the whole session into queue_only mode. It then remains this
5679   way for any subsequent messages on the same SMTP connection. This is a
5680   deliberate choice; even though the load average may fall, it doesn't seem
5681   right to deliver later messages on the same call when not delivering earlier
5682   ones. However, there are odd cases where this is not wanted, so this can be
5683   changed by setting queue_only_load_latch false. */
5684
5685   local_queue_only = session_local_queue_only;
5686   if (!local_queue_only && queue_only_load >= 0)
5687     {
5688     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5689     if (local_queue_only)
5690       {
5691       queue_only_reason = 3;
5692       if (queue_only_load_latch) session_local_queue_only = TRUE;
5693       }
5694     }
5695
5696   /* If running as an MUA wrapper, all queueing options and freezing options
5697   are ignored. */
5698
5699   if (mua_wrapper)
5700     local_queue_only = queue_only_policy = deliver_freeze = FALSE;
5701
5702   /* Log the queueing here, when it will get a message id attached, but
5703   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5704   connections). */
5705
5706   if (local_queue_only)
5707     {
5708     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5709     switch(queue_only_reason)
5710       {
5711       case 2:
5712         log_write(L_delay_delivery,
5713                 LOG_MAIN, "no immediate delivery: more than %d messages "
5714           "received in one connection", smtp_accept_queue_per_connection);
5715         break;
5716
5717       case 3:
5718         log_write(L_delay_delivery,
5719                 LOG_MAIN, "no immediate delivery: load average %.2f",
5720                 (double)load_average/1000.0);
5721       break;
5722       }
5723     }
5724
5725   else if (queue_only_policy || deliver_freeze)
5726     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5727
5728   /* Else do the delivery unless the ACL or local_scan() called for queue only
5729   or froze the message. Always deliver in a separate process. A fork failure is
5730   not a disaster, as the delivery will eventually happen on a subsequent queue
5731   run. The search cache must be tidied before the fork, as the parent will
5732   do it before exiting. The child will trigger a lookup failure and
5733   thereby defer the delivery if it tries to use (for example) a cached ldap
5734   connection that the parent has called unbind on. */
5735
5736   else
5737     {
5738     pid_t pid;
5739     search_tidyup();
5740
5741     if ((pid = fork()) == 0)
5742       {
5743       int rc;
5744       close_unwanted();      /* Close unwanted file descriptors and TLS */
5745       exim_nullstd();        /* Ensure std{in,out,err} exist */
5746
5747       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5748       mode, deliver_drop_privilege is forced TRUE). */
5749
5750       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5751         {
5752         delivery_re_exec(CEE_EXEC_EXIT);
5753         /* Control does not return here. */
5754         }
5755
5756       /* No need to re-exec */
5757
5758       rc = deliver_message(message_id, FALSE, FALSE);
5759       search_tidyup();
5760       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5761         EXIT_SUCCESS : EXIT_FAILURE);
5762       }
5763
5764     if (pid < 0)
5765       {
5766       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5767       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5768         "process: %s", strerror(errno));
5769       }
5770     else
5771       {
5772       release_cutthrough_connection(US"msg passed for delivery");
5773
5774       /* In the parent, wait if synchronous delivery is required. This will
5775       always be the case in MUA wrapper mode. */
5776
5777       if (synchronous_delivery)
5778         {
5779         int status;
5780         while (wait(&status) != pid);
5781         if ((status & 0x00ff) != 0)
5782           log_write(0, LOG_MAIN|LOG_PANIC,
5783             "process %d crashed with signal %d while delivering %s",
5784             (int)pid, status & 0x00ff, message_id);
5785         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE, US"main");
5786         }
5787       }
5788     }
5789
5790   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5791   automatically reaps children (see comments above the loop), clear away any
5792   finished subprocesses here, in case there are lots of messages coming in
5793   from the same source. */
5794
5795   #ifndef SIG_IGN_WORKS
5796   while (waitpid(-1, NULL, WNOHANG) > 0);
5797   #endif
5798
5799 moreloop:
5800   return_path = sender_address = NULL;
5801   authenticated_sender = NULL;
5802   deliver_localpart_orig = NULL;
5803   deliver_domain_orig = NULL;
5804   deliver_host = deliver_host_address = NULL;
5805   dnslist_domain = dnslist_matched = NULL;
5806 #ifdef WITH_CONTENT_SCAN
5807   malware_name = NULL;
5808 #endif
5809   callout_address = NULL;
5810   sending_ip_address = NULL;
5811   acl_var_m = NULL;
5812   { int i; for(i=0; i<REGEX_VARS; i++) regex_vars[i] = NULL; }
5813
5814   store_reset(reset_point);
5815   }
5816
5817 exim_exit(EXIT_SUCCESS, US"main");   /* Never returns */
5818 return 0;                  /* To stop compiler warning */
5819 }
5820
5821
5822 /* End of exim.c */