SECURITY: fix Qualys CVE-2020-SLCWD
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9
10 /* The main function: entry point, initialization, and high-level control.
11 Also a few functions that don't naturally fit elsewhere. */
12
13
14 #include "exim.h"
15
16 #if defined(__GLIBC__) && !defined(__UCLIBC__)
17 # include <gnu/libc-version.h>
18 #endif
19
20 #ifdef USE_GNUTLS
21 # include <gnutls/gnutls.h>
22 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
23 #  define DISABLE_OCSP
24 # endif
25 #endif
26
27 #ifndef _TIME_H
28 # include <time.h>
29 #endif
30
31 extern void init_lookup_list(void);
32
33
34
35 /*************************************************
36 *      Function interface to store functions     *
37 *************************************************/
38
39 /* We need some real functions to pass to the PCRE regular expression library
40 for store allocation via Exim's store manager. The normal calls are actually
41 macros that pass over location information to make tracing easier. These
42 functions just interface to the standard macro calls. A good compiler will
43 optimize out the tail recursion and so not make them too expensive. There
44 are two sets of functions; one for use when we want to retain the compiled
45 regular expression for a long time; the other for short-term use. */
46
47 static void *
48 function_store_get(size_t size)
49 {
50 /* For now, regard all RE results as potentially tainted.  We might need
51 more intelligence on this point. */
52 return store_get((int)size, TRUE);
53 }
54
55 static void
56 function_dummy_free(void * block) {}
57
58 static void *
59 function_store_malloc(size_t size)
60 {
61 return store_malloc((int)size);
62 }
63
64 static void
65 function_store_free(void * block)
66 {
67 store_free(block);
68 }
69
70
71
72
73 /*************************************************
74 *         Enums for cmdline interface            *
75 *************************************************/
76
77 enum commandline_info { CMDINFO_NONE=0,
78   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
79
80
81
82
83 /*************************************************
84 *  Compile regular expression and panic on fail  *
85 *************************************************/
86
87 /* This function is called when failure to compile a regular expression leads
88 to a panic exit. In other cases, pcre_compile() is called directly. In many
89 cases where this function is used, the results of the compilation are to be
90 placed in long-lived store, so we temporarily reset the store management
91 functions that PCRE uses if the use_malloc flag is set.
92
93 Argument:
94   pattern     the pattern to compile
95   caseless    TRUE if caseless matching is required
96   use_malloc  TRUE if compile into malloc store
97
98 Returns:      pointer to the compiled pattern
99 */
100
101 const pcre *
102 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
103 {
104 int offset;
105 int options = PCRE_COPT;
106 const pcre *yield;
107 const uschar *error;
108 if (use_malloc)
109   {
110   pcre_malloc = function_store_malloc;
111   pcre_free = function_store_free;
112   }
113 if (caseless) options |= PCRE_CASELESS;
114 yield = pcre_compile(CCS pattern, options, CCSS &error, &offset, NULL);
115 pcre_malloc = function_store_get;
116 pcre_free = function_dummy_free;
117 if (yield == NULL)
118   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
119     "%s at offset %d while compiling %s", error, offset, pattern);
120 return yield;
121 }
122
123
124
125
126 /*************************************************
127 *   Execute regular expression and set strings   *
128 *************************************************/
129
130 /* This function runs a regular expression match, and sets up the pointers to
131 the matched substrings.
132
133 Arguments:
134   re          the compiled expression
135   subject     the subject string
136   options     additional PCRE options
137   setup       if < 0 do full setup
138               if >= 0 setup from setup+1 onwards,
139                 excluding the full matched string
140
141 Returns:      TRUE or FALSE
142 */
143
144 BOOL
145 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
146 {
147 int ovector[3*(EXPAND_MAXN+1)];
148 uschar * s = string_copy(subject);      /* de-constifying */
149 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
150   PCRE_EOPT | options, ovector, nelem(ovector));
151 BOOL yield = n >= 0;
152 if (n == 0) n = EXPAND_MAXN + 1;
153 if (yield)
154   {
155   expand_nmax = setup < 0 ? 0 : setup + 1;
156   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
157     {
158     expand_nstring[expand_nmax] = s + ovector[nn];
159     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
160     }
161   expand_nmax--;
162   }
163 return yield;
164 }
165
166
167
168
169 /*************************************************
170 *            Set up processing details           *
171 *************************************************/
172
173 /* Save a text string for dumping when SIGUSR1 is received.
174 Do checks for overruns.
175
176 Arguments: format and arguments, as for printf()
177 Returns:   nothing
178 */
179
180 void
181 set_process_info(const char *format, ...)
182 {
183 gstring gs = { .size = PROCESS_INFO_SIZE - 2, .ptr = 0, .s = process_info };
184 gstring * g;
185 int len;
186 va_list ap;
187
188 g = string_fmt_append(&gs, "%5d ", (int)getpid());
189 len = g->ptr;
190 va_start(ap, format);
191 if (!string_vformat(g, 0, format, ap))
192   {
193   gs.ptr = len;
194   g = string_cat(&gs, US"**** string overflowed buffer ****");
195   }
196 g = string_catn(g, US"\n", 1);
197 string_from_gstring(g);
198 process_info_len = g->ptr;
199 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
200 va_end(ap);
201 }
202
203 /***********************************************
204 *            Handler for SIGTERM               *
205 ***********************************************/
206
207 static void
208 term_handler(int sig)
209 {
210 exit(1);
211 }
212
213
214 /*************************************************
215 *             Handler for SIGUSR1                *
216 *************************************************/
217
218 /* SIGUSR1 causes any exim process to write to the process log details of
219 what it is currently doing. It will only be used if the OS is capable of
220 setting up a handler that causes automatic restarting of any system call
221 that is in progress at the time.
222
223 This function takes care to be signal-safe.
224
225 Argument: the signal number (SIGUSR1)
226 Returns:  nothing
227 */
228
229 static void
230 usr1_handler(int sig)
231 {
232 int fd;
233
234 os_restarting_signal(sig, usr1_handler);
235
236 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
237   {
238   /* If we are already running as the Exim user, try to create it in the
239   current process (assuming spool_directory exists). Otherwise, if we are
240   root, do the creation in an exim:exim subprocess. */
241
242   int euid = geteuid();
243   if (euid == exim_uid)
244     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
245   else if (euid == root_uid)
246     fd = log_create_as_exim(process_log_path);
247   }
248
249 /* If we are neither exim nor root, or if we failed to create the log file,
250 give up. There is not much useful we can do with errors, since we don't want
251 to disrupt whatever is going on outside the signal handler. */
252
253 if (fd < 0) return;
254
255 (void)write(fd, process_info, process_info_len);
256 (void)close(fd);
257 }
258
259
260
261 /*************************************************
262 *             Timeout handler                    *
263 *************************************************/
264
265 /* This handler is enabled most of the time that Exim is running. The handler
266 doesn't actually get used unless alarm() has been called to set a timer, to
267 place a time limit on a system call of some kind. When the handler is run, it
268 re-enables itself.
269
270 There are some other SIGALRM handlers that are used in special cases when more
271 than just a flag setting is required; for example, when reading a message's
272 input. These are normally set up in the code module that uses them, and the
273 SIGALRM handler is reset to this one afterwards.
274
275 Argument: the signal value (SIGALRM)
276 Returns:  nothing
277 */
278
279 void
280 sigalrm_handler(int sig)
281 {
282 sigalrm_seen = TRUE;
283 os_non_restarting_signal(SIGALRM, sigalrm_handler);
284 }
285
286
287
288 /*************************************************
289 *      Sleep for a fractional time interval      *
290 *************************************************/
291
292 /* This function is called by millisleep() and exim_wait_tick() to wait for a
293 period of time that may include a fraction of a second. The coding is somewhat
294 tedious. We do not expect setitimer() ever to fail, but if it does, the process
295 will wait for ever, so we panic in this instance. (There was a case of this
296 when a bug in a function that calls milliwait() caused it to pass invalid data.
297 That's when I added the check. :-)
298
299 We assume it to be not worth sleeping for under 50us; this value will
300 require revisiting as hardware advances.  This avoids the issue of
301 a zero-valued timer setting meaning "never fire".
302
303 Argument:  an itimerval structure containing the interval
304 Returns:   nothing
305 */
306
307 static void
308 milliwait(struct itimerval *itval)
309 {
310 sigset_t sigmask;
311 sigset_t old_sigmask;
312 int save_errno = errno;
313
314 if (itval->it_value.tv_usec < 50 && itval->it_value.tv_sec == 0)
315   return;
316 (void)sigemptyset(&sigmask);                           /* Empty mask */
317 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
318 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
319 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
320   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
321     "setitimer() failed: %s", strerror(errno));
322 (void)sigfillset(&sigmask);                            /* All signals */
323 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
324 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
325 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
326 errno = save_errno;
327 sigalrm_seen = FALSE;
328 }
329
330
331
332
333 /*************************************************
334 *         Millisecond sleep function             *
335 *************************************************/
336
337 /* The basic sleep() function has a granularity of 1 second, which is too rough
338 in some cases - for example, when using an increasing delay to slow down
339 spammers.
340
341 Argument:    number of millseconds
342 Returns:     nothing
343 */
344
345 void
346 millisleep(int msec)
347 {
348 struct itimerval itval = {.it_interval = {.tv_sec = 0, .tv_usec = 0},
349                           .it_value = {.tv_sec = msec/1000,
350                                        .tv_usec = (msec % 1000) * 1000}};
351 milliwait(&itval);
352 }
353
354
355
356 /*************************************************
357 *         Compare microsecond times              *
358 *************************************************/
359
360 /*
361 Arguments:
362   tv1         the first time
363   tv2         the second time
364
365 Returns:      -1, 0, or +1
366 */
367
368 static int
369 exim_tvcmp(struct timeval *t1, struct timeval *t2)
370 {
371 if (t1->tv_sec > t2->tv_sec) return +1;
372 if (t1->tv_sec < t2->tv_sec) return -1;
373 if (t1->tv_usec > t2->tv_usec) return +1;
374 if (t1->tv_usec < t2->tv_usec) return -1;
375 return 0;
376 }
377
378
379
380
381 /*************************************************
382 *          Clock tick wait function              *
383 *************************************************/
384
385 #ifdef _POSIX_MONOTONIC_CLOCK
386 # ifdef CLOCK_BOOTTIME
387 #  define EXIM_CLOCKTYPE CLOCK_BOOTTIME
388 # else
389 #  define EXIM_CLOCKTYPE CLOCK_MONOTONIC
390 # endif
391
392 /* Amount EXIM_CLOCK is behind realtime, at startup. */
393 static struct timespec offset_ts;
394
395 static void
396 exim_clock_init(void)
397 {
398 struct timeval tv;
399 if (clock_gettime(EXIM_CLOCKTYPE, &offset_ts) != 0) return;
400 (void)gettimeofday(&tv, NULL);
401 offset_ts.tv_sec = tv.tv_sec - offset_ts.tv_sec;
402 offset_ts.tv_nsec = tv.tv_usec * 1000 - offset_ts.tv_nsec;
403 if (offset_ts.tv_nsec >= 0) return;
404 offset_ts.tv_sec--;
405 offset_ts.tv_nsec += 1000*1000*1000;
406 }
407 #endif
408
409
410 void
411 exim_gettime(struct timeval * tv)
412 {
413 #ifdef _POSIX_MONOTONIC_CLOCK
414 struct timespec now_ts;
415
416 if (clock_gettime(EXIM_CLOCKTYPE, &now_ts) == 0)
417   {
418   now_ts.tv_sec += offset_ts.tv_sec;
419   if ((now_ts.tv_nsec += offset_ts.tv_nsec) >= 1000*1000*1000)
420     {
421     now_ts.tv_sec++;
422     now_ts.tv_nsec -= 1000*1000*1000;
423     }
424   tv->tv_sec = now_ts.tv_sec;
425   tv->tv_usec = now_ts.tv_nsec / 1000;
426   }
427 else
428 #endif
429   (void)gettimeofday(tv, NULL);
430 }
431
432
433 /* Exim uses a time + a pid to generate a unique identifier in two places: its
434 message IDs, and in file names for maildir deliveries. Because some OS now
435 re-use pids within the same second, sub-second times are now being used.
436 However, for absolute certainty, we must ensure the clock has ticked before
437 allowing the relevant process to complete. At the time of implementation of
438 this code (February 2003), the speed of processors is such that the clock will
439 invariably have ticked already by the time a process has done its job. This
440 function prepares for the time when things are faster - and it also copes with
441 clocks that go backwards.
442
443 Arguments:
444   tgt_tv       A timeval which was used to create uniqueness; its usec field
445                  has been rounded down to the value of the resolution.
446                  We want to be sure the current time is greater than this.
447   resolution   The resolution that was used to divide the microseconds
448                  (1 for maildir, larger for message ids)
449
450 Returns:       nothing
451 */
452
453 void
454 exim_wait_tick(struct timeval * tgt_tv, int resolution)
455 {
456 struct timeval now_tv;
457 long int now_true_usec;
458
459 exim_gettime(&now_tv);
460 now_true_usec = now_tv.tv_usec;
461 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
462
463 while (exim_tvcmp(&now_tv, tgt_tv) <= 0)
464   {
465   struct itimerval itval;
466   itval.it_interval.tv_sec = 0;
467   itval.it_interval.tv_usec = 0;
468   itval.it_value.tv_sec = tgt_tv->tv_sec - now_tv.tv_sec;
469   itval.it_value.tv_usec = tgt_tv->tv_usec + resolution - now_true_usec;
470
471   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
472   negative value for the microseconds is possible only in the case when "now"
473   is more than a second less than "tgt". That means that itval.it_value.tv_sec
474   is greater than zero. The following correction is therefore safe. */
475
476   if (itval.it_value.tv_usec < 0)
477     {
478     itval.it_value.tv_usec += 1000000;
479     itval.it_value.tv_sec -= 1;
480     }
481
482   DEBUG(D_transport|D_receive)
483     {
484     if (!f.running_in_test_harness)
485       {
486       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
487         tgt_tv->tv_sec, (long) tgt_tv->tv_usec,
488         now_tv.tv_sec, (long) now_tv.tv_usec);
489       debug_printf("waiting " TIME_T_FMT ".%06lu sec\n",
490         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
491       }
492     }
493
494   milliwait(&itval);
495
496   /* Be prapared to go around if the kernel does not implement subtick
497   granularity (GNU Hurd) */
498
499   exim_gettime(&now_tv);
500   now_true_usec = now_tv.tv_usec;
501   now_tv.tv_usec = (now_true_usec/resolution) * resolution;
502   }
503 }
504
505
506
507
508 /*************************************************
509 *   Call fopen() with umask 777 and adjust mode  *
510 *************************************************/
511
512 /* Exim runs with umask(0) so that files created with open() have the mode that
513 is specified in the open() call. However, there are some files, typically in
514 the spool directory, that are created with fopen(). They end up world-writeable
515 if no precautions are taken. Although the spool directory is not accessible to
516 the world, this is an untidiness. So this is a wrapper function for fopen()
517 that sorts out the mode of the created file.
518
519 Arguments:
520    filename       the file name
521    options        the fopen() options
522    mode           the required mode
523
524 Returns:          the fopened FILE or NULL
525 */
526
527 FILE *
528 modefopen(const uschar *filename, const char *options, mode_t mode)
529 {
530 mode_t saved_umask = umask(0777);
531 FILE *f = Ufopen(filename, options);
532 (void)umask(saved_umask);
533 if (f != NULL) (void)fchmod(fileno(f), mode);
534 return f;
535 }
536
537
538 /*************************************************
539 *   Ensure stdin, stdout, and stderr exist       *
540 *************************************************/
541
542 /* Some operating systems grumble if an exec() happens without a standard
543 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
544 file will be opened and will use these fd values, and then some other bit of
545 code will assume, for example, that it can write error messages to stderr.
546 This function ensures that fds 0, 1, and 2 are open if they do not already
547 exist, by connecting them to /dev/null.
548
549 This function is also used to ensure that std{in,out,err} exist at all times,
550 so that if any library that Exim calls tries to use them, it doesn't crash.
551
552 Arguments:  None
553 Returns:    Nothing
554 */
555
556 void
557 exim_nullstd(void)
558 {
559 int devnull = -1;
560 struct stat statbuf;
561 for (int i = 0; i <= 2; i++)
562   {
563   if (fstat(i, &statbuf) < 0 && errno == EBADF)
564     {
565     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
566     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
567       string_open_failed("/dev/null", NULL));
568     if (devnull != i) (void)dup2(devnull, i);
569     }
570   }
571 if (devnull > 2) (void)close(devnull);
572 }
573
574
575
576
577 /*************************************************
578 *   Close unwanted file descriptors for delivery *
579 *************************************************/
580
581 /* This function is called from a new process that has been forked to deliver
582 an incoming message, either directly, or using exec.
583
584 We want any smtp input streams to be closed in this new process. However, it
585 has been observed that using fclose() here causes trouble. When reading in -bS
586 input, duplicate copies of messages have been seen. The files will be sharing a
587 file pointer with the parent process, and it seems that fclose() (at least on
588 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
589 least sometimes. Hence we go for closing the underlying file descriptors.
590
591 If TLS is active, we want to shut down the TLS library, but without molesting
592 the parent's SSL connection.
593
594 For delivery of a non-SMTP message, we want to close stdin and stdout (and
595 stderr unless debugging) because the calling process might have set them up as
596 pipes and be waiting for them to close before it waits for the submission
597 process to terminate. If they aren't closed, they hold up the calling process
598 until the initial delivery process finishes, which is not what we want.
599
600 Exception: We do want it for synchronous delivery!
601
602 And notwithstanding all the above, if D_resolver is set, implying resolver
603 debugging, leave stdout open, because that's where the resolver writes its
604 debugging output.
605
606 When we close stderr (which implies we've also closed stdout), we also get rid
607 of any controlling terminal.
608
609 Arguments:   None
610 Returns:     Nothing
611 */
612
613 static void
614 close_unwanted(void)
615 {
616 if (smtp_input)
617   {
618 #ifndef DISABLE_TLS
619   tls_close(NULL, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
620 #endif
621   (void)close(fileno(smtp_in));
622   (void)close(fileno(smtp_out));
623   smtp_in = NULL;
624   }
625 else
626   {
627   (void)close(0);                                          /* stdin */
628   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
629   if (debug_selector == 0)                                 /* stderr */
630     {
631     if (!f.synchronous_delivery)
632       {
633       (void)close(2);
634       log_stderr = NULL;
635       }
636     (void)setsid();
637     }
638   }
639 }
640
641
642
643
644 /*************************************************
645 *          Set uid and gid                       *
646 *************************************************/
647
648 /* This function sets a new uid and gid permanently, optionally calling
649 initgroups() to set auxiliary groups. There are some special cases when running
650 Exim in unprivileged modes. In these situations the effective uid will not be
651 root; if we already have the right effective uid/gid, and don't need to
652 initialize any groups, leave things as they are.
653
654 Arguments:
655   uid        the uid
656   gid        the gid
657   igflag     TRUE if initgroups() wanted
658   msg        text to use in debugging output and failure log
659
660 Returns:     nothing; bombs out on failure
661 */
662
663 void
664 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
665 {
666 uid_t euid = geteuid();
667 gid_t egid = getegid();
668
669 if (euid == root_uid || euid != uid || egid != gid || igflag)
670   {
671   /* At least one OS returns +1 for initgroups failure, so just check for
672   non-zero. */
673
674   if (igflag)
675     {
676     struct passwd *pw = getpwuid(uid);
677     if (!pw)
678       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
679         "no passwd entry for uid=%ld", (long int)uid);
680
681     if (initgroups(pw->pw_name, gid) != 0)
682       log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
683         (long int)uid, strerror(errno));
684     }
685
686   if (setgid(gid) < 0 || setuid(uid) < 0)
687     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
688       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
689   }
690
691 /* Debugging output included uid/gid and all groups */
692
693 DEBUG(D_uid)
694   {
695   int group_count, save_errno;
696   gid_t group_list[EXIM_GROUPLIST_SIZE];
697   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
698     (long int)geteuid(), (long int)getegid(), (long int)getpid());
699   group_count = getgroups(nelem(group_list), group_list);
700   save_errno = errno;
701   debug_printf("  auxiliary group list:");
702   if (group_count > 0)
703     for (int i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
704   else if (group_count < 0)
705     debug_printf(" <error: %s>", strerror(save_errno));
706   else debug_printf(" <none>");
707   debug_printf("\n");
708   }
709 }
710
711
712
713
714 /*************************************************
715 *               Exit point                       *
716 *************************************************/
717
718 /* Exim exits via this function so that it always clears up any open
719 databases.
720
721 Arguments:
722   rc         return code
723
724 Returns:     does not return
725 */
726
727 void
728 exim_exit(int rc)
729 {
730 search_tidyup();
731 store_exit();
732 DEBUG(D_any)
733   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
734     ">>>>>>>>>>>>>>>>\n",
735     (int)getpid(), process_purpose, rc);
736 exit(rc);
737 }
738
739
740 void
741 exim_underbar_exit(int rc)
742 {
743 store_exit();
744 DEBUG(D_any)
745   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
746     ">>>>>>>>>>>>>>>>\n",
747     (int)getpid(), process_purpose, rc);
748 _exit(rc);
749 }
750
751
752
753 /* Print error string, then die */
754 static void
755 exim_fail(const char * fmt, ...)
756 {
757 va_list ap;
758 va_start(ap, fmt);
759 vfprintf(stderr, fmt, ap);
760 exit(EXIT_FAILURE);
761 }
762
763 /* fail if a length is too long */
764 static void
765 exim_len_fail_toolong(int itemlen, int maxlen, const char *description)
766 {
767 if (itemlen <= maxlen)
768   return;
769 fprintf(stderr, "exim: length limit exceeded (%d > %d) for: %s\n",
770         len, maxlen, description)
771 exit(EXIT_FAILURE);
772 }
773
774 /* only pass through the string item back to the caller if it's short enough */
775 static const uschar *
776 exim_str_fail_toolong(const uschar *item, int maxlen, const char *description)
777 {
778 exim_len_fail_toolong(Ustrlen(item), maxlen, description);
779 return item;
780 }
781
782 /* exim_chown_failure() called from exim_chown()/exim_fchown() on failure
783 of chown()/fchown().  See src/functions.h for more explanation */
784 int
785 exim_chown_failure(int fd, const uschar *name, uid_t owner, gid_t group)
786 {
787 int saved_errno = errno;  /* from the preceeding chown call */
788 #if 1
789 log_write(0, LOG_MAIN|LOG_PANIC,
790   __FILE__ ":%d: chown(%s, %d:%d) failed (%s)."
791   " Please contact the authors and refer to https://bugs.exim.org/show_bug.cgi?id=2391",
792   __LINE__, name?name:US"<unknown>", owner, group, strerror(errno));
793 #else
794 /* I leave this here, commented, in case the "bug"(?) comes up again.
795    It is not an Exim bug, but we can provide a workaround.
796    See Bug 2391
797    HS 2019-04-18 */
798
799 struct stat buf;
800
801 if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
802 {
803   if (buf.st_uid == owner && buf.st_gid == group) return 0;
804   log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
805 }
806 else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
807
808 #endif
809 errno = saved_errno;
810 return -1;
811 }
812
813
814 /*************************************************
815 *         Extract port from host address         *
816 *************************************************/
817
818 /* Called to extract the port from the values given to -oMa and -oMi.
819 It also checks the syntax of the address, and terminates it before the
820 port data when a port is extracted.
821
822 Argument:
823   address   the address, with possible port on the end
824
825 Returns:    the port, or zero if there isn't one
826             bombs out on a syntax error
827 */
828
829 static int
830 check_port(uschar *address)
831 {
832 int port = host_address_extract_port(address);
833 if (string_is_ip_address(address, NULL) == 0)
834   exim_fail("exim abandoned: \"%s\" is not an IP address\n", address);
835 return port;
836 }
837
838
839
840 /*************************************************
841 *              Test/verify an address            *
842 *************************************************/
843
844 /* This function is called by the -bv and -bt code. It extracts a working
845 address from a full RFC 822 address. This isn't really necessary per se, but it
846 has the effect of collapsing source routes.
847
848 Arguments:
849   s            the address string
850   flags        flag bits for verify_address()
851   exit_value   to be set for failures
852
853 Returns:       nothing
854 */
855
856 static void
857 test_address(uschar *s, int flags, int *exit_value)
858 {
859 int start, end, domain;
860 uschar *parse_error = NULL;
861 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
862   FALSE);
863 if (!address)
864   {
865   fprintf(stdout, "syntax error: %s\n", parse_error);
866   *exit_value = 2;
867   }
868 else
869   {
870   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
871     -1, -1, NULL, NULL, NULL);
872   if (rc == FAIL) *exit_value = 2;
873     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
874   }
875 }
876
877
878
879 /*************************************************
880 *          Show supported features               *
881 *************************************************/
882
883 static void
884 show_db_version(FILE * f)
885 {
886 #ifdef DB_VERSION_STRING
887 DEBUG(D_any)
888   {
889   fprintf(f, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
890   fprintf(f, "                      Runtime: %s\n",
891     db_version(NULL, NULL, NULL));
892   }
893 else
894   fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
895
896 #elif defined(BTREEVERSION) && defined(HASHVERSION)
897   #ifdef USE_DB
898   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
899   #else
900   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
901   #endif
902
903 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
904 fprintf(f, "Probably ndbm\n");
905 #elif defined(USE_TDB)
906 fprintf(f, "Using tdb\n");
907 #else
908   #ifdef USE_GDBM
909   fprintf(f, "Probably GDBM (native mode)\n");
910   #else
911   fprintf(f, "Probably GDBM (compatibility mode)\n");
912   #endif
913 #endif
914 }
915
916
917 /* This function is called for -bV/--version and for -d to output the optional
918 features of the current Exim binary.
919
920 Arguments:  a FILE for printing
921 Returns:    nothing
922 */
923
924 static void
925 show_whats_supported(FILE * fp)
926 {
927 rmark reset_point = store_mark();
928 gstring * g;
929 DEBUG(D_any) {} else show_db_version(fp);
930
931 g = string_cat(NULL, US"Support for:");
932 #ifdef SUPPORT_CRYPTEQ
933   g = string_cat(g, US" crypteq");
934 #endif
935 #if HAVE_ICONV
936   g = string_cat(g, US" iconv()");
937 #endif
938 #if HAVE_IPV6
939   g = string_cat(g, US" IPv6");
940 #endif
941 #ifdef HAVE_SETCLASSRESOURCES
942   g = string_cat(g, US" use_setclassresources");
943 #endif
944 #ifdef SUPPORT_PAM
945   g = string_cat(g, US" PAM");
946 #endif
947 #ifdef EXIM_PERL
948   g = string_cat(g, US" Perl");
949 #endif
950 #ifdef EXPAND_DLFUNC
951   g = string_cat(g, US" Expand_dlfunc");
952 #endif
953 #ifdef USE_TCP_WRAPPERS
954   g = string_cat(g, US" TCPwrappers");
955 #endif
956 #ifdef USE_GNUTLS
957   g = string_cat(g, US" GnuTLS");
958 #endif
959 #ifdef USE_OPENSSL
960   g = string_cat(g, US" OpenSSL");
961 #endif
962 #ifndef DISABLE_TLS_RESUME
963   g = string_cat(g, US" TLS_resume");
964 #endif
965 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
966   g = string_cat(g, US" translate_ip_address");
967 #endif
968 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
969   g = string_cat(g, US" move_frozen_messages");
970 #endif
971 #ifdef WITH_CONTENT_SCAN
972   g = string_cat(g, US" Content_Scanning");
973 #endif
974 #ifdef SUPPORT_DANE
975   g = string_cat(g, US" DANE");
976 #endif
977 #ifndef DISABLE_DKIM
978   g = string_cat(g, US" DKIM");
979 #endif
980 #ifdef SUPPORT_DMARC
981   g = string_cat(g, US" DMARC");
982 #endif
983 #ifndef DISABLE_DNSSEC
984   g = string_cat(g, US" DNSSEC");
985 #endif
986 #ifndef DISABLE_EVENT
987   g = string_cat(g, US" Event");
988 #endif
989 #ifdef SUPPORT_I18N
990   g = string_cat(g, US" I18N");
991 #endif
992 #ifndef DISABLE_OCSP
993   g = string_cat(g, US" OCSP");
994 #endif
995 #ifndef DISABLE_PIPE_CONNECT
996   g = string_cat(g, US" PIPE_CONNECT");
997 #endif
998 #ifndef DISABLE_PRDR
999   g = string_cat(g, US" PRDR");
1000 #endif
1001 #ifdef SUPPORT_PROXY
1002   g = string_cat(g, US" PROXY");
1003 #endif
1004 #ifndef DISABLE_QUEUE_RAMP
1005   g = string_cat(g, US" Experimental_Queue_Ramp");
1006 #endif
1007 #ifdef SUPPORT_SOCKS
1008   g = string_cat(g, US" SOCKS");
1009 #endif
1010 #ifdef SUPPORT_SPF
1011   g = string_cat(g, US" SPF");
1012 #endif
1013 #if defined(SUPPORT_SRS)
1014   g = string_cat(g, US" SRS");
1015 #endif
1016 #ifdef TCP_FASTOPEN
1017   tcp_init();
1018   if (f.tcp_fastopen_ok) g = string_cat(g, US" TCP_Fast_Open");
1019 #endif
1020 #ifdef EXPERIMENTAL_ARC
1021   g = string_cat(g, US" Experimental_ARC");
1022 #endif
1023 #ifdef EXPERIMENTAL_BRIGHTMAIL
1024   g = string_cat(g, US" Experimental_Brightmail");
1025 #endif
1026 #ifdef EXPERIMENTAL_DCC
1027   g = string_cat(g, US" Experimental_DCC");
1028 #endif
1029 #ifdef EXPERIMENTAL_DSN_INFO
1030   g = string_cat(g, US" Experimental_DSN_info");
1031 #endif
1032 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1033   g = string_cat(g, US" Experimental_ESMTP_Limits");
1034 #endif
1035 #ifdef EXPERIMENTAL_QUEUEFILE
1036   g = string_cat(g, US" Experimental_QUEUEFILE");
1037 #endif
1038 #if defined(EXPERIMENTAL_SRS_ALT)
1039   g = string_cat(g, US" Experimental_SRS");
1040 #endif
1041 g = string_cat(g, US"\n");
1042
1043 g = string_cat(g, US"Lookups (built-in):");
1044 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
1045   g = string_cat(g, US" lsearch wildlsearch nwildlsearch iplsearch");
1046 #endif
1047 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
1048   g = string_cat(g, US" cdb");
1049 #endif
1050 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
1051   g = string_cat(g, US" dbm dbmjz dbmnz");
1052 #endif
1053 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
1054   g = string_cat(g, US" dnsdb");
1055 #endif
1056 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
1057   g = string_cat(g, US" dsearch");
1058 #endif
1059 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
1060   g = string_cat(g, US" ibase");
1061 #endif
1062 #if defined(LOOKUP_JSON) && LOOKUP_JSON!=2
1063   g = string_cat(g, US" json");
1064 #endif
1065 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
1066   g = string_cat(g, US" ldap ldapdn ldapm");
1067 #endif
1068 #ifdef LOOKUP_LMDB
1069   g = string_cat(g, US" lmdb");
1070 #endif
1071 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
1072   g = string_cat(g, US" mysql");
1073 #endif
1074 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
1075   g = string_cat(g, US" nis nis0");
1076 #endif
1077 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
1078   g = string_cat(g, US" nisplus");
1079 #endif
1080 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
1081   g = string_cat(g, US" oracle");
1082 #endif
1083 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
1084   g = string_cat(g, US" passwd");
1085 #endif
1086 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
1087   g = string_cat(g, US" pgsql");
1088 #endif
1089 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
1090   g = string_cat(g, US" redis");
1091 #endif
1092 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
1093   g = string_cat(g, US" sqlite");
1094 #endif
1095 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
1096   g = string_cat(g, US" testdb");
1097 #endif
1098 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
1099   g = string_cat(g, US" whoson");
1100 #endif
1101 g = string_cat(g, US"\n");
1102
1103 g = auth_show_supported(g);
1104 g = route_show_supported(g);
1105 g = transport_show_supported(g);
1106
1107 #ifdef WITH_CONTENT_SCAN
1108 g = malware_show_supported(g);
1109 #endif
1110
1111 if (fixed_never_users[0] > 0)
1112   {
1113   int i;
1114   g = string_cat(g, US"Fixed never_users: ");
1115   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1116     string_fmt_append(g, "%u:", (unsigned)fixed_never_users[i]);
1117   g = string_fmt_append(g, "%u\n", (unsigned)fixed_never_users[i]);
1118   }
1119
1120 g = string_fmt_append(g, "Configure owner: %d:%d\n", config_uid, config_gid);
1121 fputs(CS string_from_gstring(g), fp);
1122
1123 fprintf(fp, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1124
1125 /* Everything else is details which are only worth reporting when debugging.
1126 Perhaps the tls_version_report should move into this too. */
1127 DEBUG(D_any) do {
1128
1129 /* clang defines __GNUC__ (at least, for me) so test for it first */
1130 #if defined(__clang__)
1131   fprintf(fp, "Compiler: CLang [%s]\n", __clang_version__);
1132 #elif defined(__GNUC__)
1133   fprintf(fp, "Compiler: GCC [%s]\n",
1134 # ifdef __VERSION__
1135       __VERSION__
1136 # else
1137       "? unknown version ?"
1138 # endif
1139       );
1140 #else
1141   fprintf(fp, "Compiler: <unknown>\n");
1142 #endif
1143
1144 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1145   fprintf(fp, "Library version: Glibc: Compile: %d.%d\n",
1146                 __GLIBC__, __GLIBC_MINOR__);
1147   if (__GLIBC_PREREQ(2, 1))
1148     fprintf(fp, "                        Runtime: %s\n",
1149                 gnu_get_libc_version());
1150 #endif
1151
1152 show_db_version(fp);
1153
1154 #ifndef DISABLE_TLS
1155   tls_version_report(fp);
1156 #endif
1157 #ifdef SUPPORT_I18N
1158   utf8_version_report(fp);
1159 #endif
1160 #ifdef SUPPORT_DMARC
1161   dmarc_version_report(fp);
1162 #endif
1163 #ifdef SUPPORT_SPF
1164   spf_lib_version_report(fp);
1165 #endif
1166
1167   for (auth_info * authi = auths_available; *authi->driver_name != '\0'; ++authi)
1168     if (authi->version_report)
1169       (*authi->version_report)(fp);
1170
1171   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1172   characters; unless it's an ancient version of PCRE in which case it
1173   is not defined. */
1174 #ifndef PCRE_PRERELEASE
1175 # define PCRE_PRERELEASE
1176 #endif
1177 #define QUOTE(X) #X
1178 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1179   fprintf(fp, "Library version: PCRE: Compile: %d.%d%s\n"
1180              "                       Runtime: %s\n",
1181           PCRE_MAJOR, PCRE_MINOR,
1182           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1183           pcre_version());
1184 #undef QUOTE
1185 #undef EXPAND_AND_QUOTE
1186
1187   init_lookup_list();
1188   for (int i = 0; i < lookup_list_count; i++)
1189     if (lookup_list[i]->version_report)
1190       lookup_list[i]->version_report(fp);
1191
1192 #ifdef WHITELIST_D_MACROS
1193   fprintf(fp, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1194 #else
1195   fprintf(fp, "WHITELIST_D_MACROS unset\n");
1196 #endif
1197 #ifdef TRUSTED_CONFIG_LIST
1198   fprintf(fp, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1199 #else
1200   fprintf(fp, "TRUSTED_CONFIG_LIST unset\n");
1201 #endif
1202
1203 } while (0);
1204 store_reset(reset_point);
1205 }
1206
1207
1208 /*************************************************
1209 *     Show auxiliary information about Exim      *
1210 *************************************************/
1211
1212 static void
1213 show_exim_information(enum commandline_info request, FILE *stream)
1214 {
1215 switch(request)
1216   {
1217   case CMDINFO_NONE:
1218     fprintf(stream, "Oops, something went wrong.\n");
1219     return;
1220   case CMDINFO_HELP:
1221     fprintf(stream,
1222 "The -bI: flag takes a string indicating which information to provide.\n"
1223 "If the string is not recognised, you'll get this help (on stderr).\n"
1224 "\n"
1225 "  exim -bI:help    this information\n"
1226 "  exim -bI:dscp    list of known dscp value keywords\n"
1227 "  exim -bI:sieve   list of supported sieve extensions\n"
1228 );
1229     return;
1230   case CMDINFO_SIEVE:
1231     for (const uschar ** pp = exim_sieve_extension_list; *pp; ++pp)
1232       fprintf(stream, "%s\n", *pp);
1233     return;
1234   case CMDINFO_DSCP:
1235     dscp_list_to_stream(stream);
1236     return;
1237   }
1238 }
1239
1240
1241 /*************************************************
1242 *               Quote a local part               *
1243 *************************************************/
1244
1245 /* This function is used when a sender address or a From: or Sender: header
1246 line is being created from the caller's login, or from an authenticated_id. It
1247 applies appropriate quoting rules for a local part.
1248
1249 Argument:    the local part
1250 Returns:     the local part, quoted if necessary
1251 */
1252
1253 uschar *
1254 local_part_quote(uschar *lpart)
1255 {
1256 BOOL needs_quote = FALSE;
1257 gstring * g;
1258
1259 for (uschar * t = lpart; !needs_quote && *t != 0; t++)
1260   {
1261   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1262     (*t != '.' || t == lpart || t[1] == 0);
1263   }
1264
1265 if (!needs_quote) return lpart;
1266
1267 g = string_catn(NULL, US"\"", 1);
1268
1269 for (;;)
1270   {
1271   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1272   if (nq == NULL)
1273     {
1274     g = string_cat(g, lpart);
1275     break;
1276     }
1277   g = string_catn(g, lpart, nq - lpart);
1278   g = string_catn(g, US"\\", 1);
1279   g = string_catn(g, nq, 1);
1280   lpart = nq + 1;
1281   }
1282
1283 g = string_catn(g, US"\"", 1);
1284 return string_from_gstring(g);
1285 }
1286
1287
1288
1289 #ifdef USE_READLINE
1290 /*************************************************
1291 *         Load readline() functions              *
1292 *************************************************/
1293
1294 /* This function is called from testing executions that read data from stdin,
1295 but only when running as the calling user. Currently, only -be does this. The
1296 function loads the readline() function library and passes back the functions.
1297 On some systems, it needs the curses library, so load that too, but try without
1298 it if loading fails. All this functionality has to be requested at build time.
1299
1300 Arguments:
1301   fn_readline_ptr   pointer to where to put the readline pointer
1302   fn_addhist_ptr    pointer to where to put the addhistory function
1303
1304 Returns:            the dlopen handle or NULL on failure
1305 */
1306
1307 static void *
1308 set_readline(char * (**fn_readline_ptr)(const char *),
1309              void   (**fn_addhist_ptr)(const char *))
1310 {
1311 void *dlhandle;
1312 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1313
1314 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1315 if (dlhandle_curses) dlclose(dlhandle_curses);
1316
1317 if (dlhandle)
1318   {
1319   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1320    *   char * readline (const char *prompt);
1321    *   void add_history (const char *string);
1322    */
1323   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1324   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1325   }
1326 else
1327   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1328
1329 return dlhandle;
1330 }
1331 #endif
1332
1333
1334
1335 /*************************************************
1336 *    Get a line from stdin for testing things    *
1337 *************************************************/
1338
1339 /* This function is called when running tests that can take a number of lines
1340 of input (for example, -be and -bt). It handles continuations and trailing
1341 spaces. And prompting and a blank line output on eof. If readline() is in use,
1342 the arguments are non-NULL and provide the relevant functions.
1343
1344 Arguments:
1345   fn_readline   readline function or NULL
1346   fn_addhist    addhist function or NULL
1347
1348 Returns:        pointer to dynamic memory, or NULL at end of file
1349 */
1350
1351 static uschar *
1352 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1353 {
1354 gstring * g = NULL;
1355
1356 if (!fn_readline) { printf("> "); fflush(stdout); }
1357
1358 for (int i = 0;; i++)
1359   {
1360   uschar buffer[1024];
1361   uschar *p, *ss;
1362
1363   #ifdef USE_READLINE
1364   char *readline_line = NULL;
1365   if (fn_readline)
1366     {
1367     if (!(readline_line = fn_readline((i > 0)? "":"> "))) break;
1368     if (*readline_line != 0 && fn_addhist) fn_addhist(readline_line);
1369     p = US readline_line;
1370     }
1371   else
1372   #endif
1373
1374   /* readline() not in use */
1375
1376     {
1377     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1378     p = buffer;
1379     }
1380
1381   /* Handle the line */
1382
1383   ss = p + (int)Ustrlen(p);
1384   while (ss > p && isspace(ss[-1])) ss--;
1385
1386   if (i > 0)
1387     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1388
1389   g = string_catn(g, p, ss - p);
1390
1391   #ifdef USE_READLINE
1392   if (fn_readline) free(readline_line);
1393   #endif
1394
1395   /* g can only be NULL if ss==p */
1396   if (ss == p || g->s[g->ptr-1] != '\\')
1397     break;
1398
1399   --g->ptr;
1400   (void) string_from_gstring(g);
1401   }
1402
1403 if (!g) printf("\n");
1404 return string_from_gstring(g);
1405 }
1406
1407
1408
1409 /*************************************************
1410 *    Output usage information for the program    *
1411 *************************************************/
1412
1413 /* This function is called when there are no recipients
1414    or a specific --help argument was added.
1415
1416 Arguments:
1417   progname      information on what name we were called by
1418
1419 Returns:        DOES NOT RETURN
1420 */
1421
1422 static void
1423 exim_usage(uschar *progname)
1424 {
1425
1426 /* Handle specific program invocation variants */
1427 if (Ustrcmp(progname, US"-mailq") == 0)
1428   exim_fail(
1429     "mailq - list the contents of the mail queue\n\n"
1430     "For a list of options, see the Exim documentation.\n");
1431
1432 /* Generic usage - we output this whatever happens */
1433 exim_fail(
1434   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1435   "not directly from a shell command line. Options and/or arguments control\n"
1436   "what it does when called. For a list of options, see the Exim documentation.\n");
1437 }
1438
1439
1440
1441 /*************************************************
1442 *    Validate that the macros given are okay     *
1443 *************************************************/
1444
1445 /* Typically, Exim will drop privileges if macros are supplied.  In some
1446 cases, we want to not do so.
1447
1448 Arguments:    opt_D_used - true if the commandline had a "-D" option
1449 Returns:      true if trusted, false otherwise
1450 */
1451
1452 static BOOL
1453 macros_trusted(BOOL opt_D_used)
1454 {
1455 #ifdef WHITELIST_D_MACROS
1456 uschar *whitelisted, *end, *p, **whites;
1457 int white_count, i, n;
1458 size_t len;
1459 BOOL prev_char_item, found;
1460 #endif
1461
1462 if (!opt_D_used)
1463   return TRUE;
1464 #ifndef WHITELIST_D_MACROS
1465 return FALSE;
1466 #else
1467
1468 /* We only trust -D overrides for some invoking users:
1469 root, the exim run-time user, the optional config owner user.
1470 I don't know why config-owner would be needed, but since they can own the
1471 config files anyway, there's no security risk to letting them override -D. */
1472 if ( ! ((real_uid == root_uid)
1473      || (real_uid == exim_uid)
1474 #ifdef CONFIGURE_OWNER
1475      || (real_uid == config_uid)
1476 #endif
1477    ))
1478   {
1479   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1480   return FALSE;
1481   }
1482
1483 /* Get a list of macros which are whitelisted */
1484 whitelisted = string_copy_perm(US WHITELIST_D_MACROS, FALSE);
1485 prev_char_item = FALSE;
1486 white_count = 0;
1487 for (p = whitelisted; *p != '\0'; ++p)
1488   {
1489   if (*p == ':' || isspace(*p))
1490     {
1491     *p = '\0';
1492     if (prev_char_item)
1493       ++white_count;
1494     prev_char_item = FALSE;
1495     continue;
1496     }
1497   if (!prev_char_item)
1498     prev_char_item = TRUE;
1499   }
1500 end = p;
1501 if (prev_char_item)
1502   ++white_count;
1503 if (!white_count)
1504   return FALSE;
1505 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1506 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1507   {
1508   if (*p != '\0')
1509     {
1510     whites[i++] = p;
1511     if (i == white_count)
1512       break;
1513     while (*p != '\0' && p < end)
1514       ++p;
1515     }
1516   }
1517 whites[i] = NULL;
1518
1519 /* The list of commandline macros should be very short.
1520 Accept the N*M complexity. */
1521 for (macro_item * m = macros_user; m; m = m->next) if (m->command_line)
1522   {
1523   found = FALSE;
1524   for (uschar ** w = whites; *w; ++w)
1525     if (Ustrcmp(*w, m->name) == 0)
1526       {
1527       found = TRUE;
1528       break;
1529       }
1530   if (!found)
1531     return FALSE;
1532   if (!m->replacement)
1533     continue;
1534   if ((len = m->replen) == 0)
1535     continue;
1536   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1537    0, PCRE_EOPT, NULL, 0);
1538   if (n < 0)
1539     {
1540     if (n != PCRE_ERROR_NOMATCH)
1541       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1542     return FALSE;
1543     }
1544   }
1545 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1546 return TRUE;
1547 #endif
1548 }
1549
1550
1551 /*************************************************
1552 *          Expansion testing                     *
1553 *************************************************/
1554
1555 /* Expand and print one item, doing macro-processing.
1556
1557 Arguments:
1558   item          line for expansion
1559 */
1560
1561 static void
1562 expansion_test_line(uschar * line)
1563 {
1564 int len;
1565 BOOL dummy_macexp;
1566
1567 Ustrncpy(big_buffer, line, big_buffer_size);
1568 big_buffer[big_buffer_size-1] = '\0';
1569 len = Ustrlen(big_buffer);
1570
1571 (void) macros_expand(0, &len, &dummy_macexp);
1572
1573 if (isupper(big_buffer[0]))
1574   {
1575   if (macro_read_assignment(big_buffer))
1576     printf("Defined macro '%s'\n", mlast->name);
1577   }
1578 else
1579   if ((line = expand_string(big_buffer))) printf("%s\n", CS line);
1580   else printf("Failed: %s\n", expand_string_message);
1581 }
1582
1583
1584
1585 /*************************************************
1586 *          Entry point and high-level code       *
1587 *************************************************/
1588
1589 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1590 the appropriate action. All the necessary functions are present in the one
1591 binary. I originally thought one should split it up, but it turns out that so
1592 much of the apparatus is needed in each chunk that one might as well just have
1593 it all available all the time, which then makes the coding easier as well.
1594
1595 Arguments:
1596   argc      count of entries in argv
1597   argv      argument strings, with argv[0] being the program name
1598
1599 Returns:    EXIT_SUCCESS if terminated successfully
1600             EXIT_FAILURE otherwise, except when a message has been sent
1601               to the sender, and -oee was given
1602 */
1603
1604 int
1605 main(int argc, char **cargv)
1606 {
1607 uschar **argv = USS cargv;
1608 int  arg_receive_timeout = -1;
1609 int  arg_smtp_receive_timeout = -1;
1610 int  arg_error_handling = error_handling;
1611 int  filter_sfd = -1;
1612 int  filter_ufd = -1;
1613 int  group_count;
1614 int  i, rv;
1615 int  list_queue_option = 0;
1616 int  msg_action = 0;
1617 int  msg_action_arg = -1;
1618 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1619 int  queue_only_reason = 0;
1620 #ifdef EXIM_PERL
1621 int  perl_start_option = 0;
1622 #endif
1623 int  recipients_arg = argc;
1624 int  sender_address_domain = 0;
1625 int  test_retry_arg = -1;
1626 int  test_rewrite_arg = -1;
1627 gid_t original_egid;
1628 BOOL arg_queue_only = FALSE;
1629 BOOL bi_option = FALSE;
1630 BOOL checking = FALSE;
1631 BOOL count_queue = FALSE;
1632 BOOL expansion_test = FALSE;
1633 BOOL extract_recipients = FALSE;
1634 BOOL flag_G = FALSE;
1635 BOOL flag_n = FALSE;
1636 BOOL forced_delivery = FALSE;
1637 BOOL f_end_dot = FALSE;
1638 BOOL deliver_give_up = FALSE;
1639 BOOL list_queue = FALSE;
1640 BOOL list_options = FALSE;
1641 BOOL list_config = FALSE;
1642 BOOL local_queue_only;
1643 BOOL more = TRUE;
1644 BOOL one_msg_action = FALSE;
1645 BOOL opt_D_used = FALSE;
1646 BOOL queue_only_set = FALSE;
1647 BOOL receiving_message = TRUE;
1648 BOOL sender_ident_set = FALSE;
1649 BOOL session_local_queue_only;
1650 BOOL unprivileged;
1651 BOOL removed_privilege = FALSE;
1652 BOOL usage_wanted = FALSE;
1653 BOOL verify_address_mode = FALSE;
1654 BOOL verify_as_sender = FALSE;
1655 BOOL rcpt_verify_quota = FALSE;
1656 BOOL version_printed = FALSE;
1657 uschar *alias_arg = NULL;
1658 uschar *called_as = US"";
1659 uschar *cmdline_syslog_name = NULL;
1660 uschar *start_queue_run_id = NULL;
1661 uschar *stop_queue_run_id = NULL;
1662 uschar *expansion_test_message = NULL;
1663 uschar *ftest_domain = NULL;
1664 uschar *ftest_localpart = NULL;
1665 uschar *ftest_prefix = NULL;
1666 uschar *ftest_suffix = NULL;
1667 uschar *log_oneline = NULL;
1668 uschar *malware_test_file = NULL;
1669 uschar *real_sender_address;
1670 uschar *originator_home = US"/";
1671 size_t sz;
1672
1673 struct passwd *pw;
1674 struct stat statbuf;
1675 pid_t passed_qr_pid = (pid_t)0;
1676 int passed_qr_pipe = -1;
1677 gid_t group_list[EXIM_GROUPLIST_SIZE];
1678
1679 /* For the -bI: flag */
1680 enum commandline_info info_flag = CMDINFO_NONE;
1681 BOOL info_stdout = FALSE;
1682
1683 /* Possible options for -R and -S */
1684
1685 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1686
1687 /* Need to define this in case we need to change the environment in order
1688 to get rid of a bogus time zone. We have to make it char rather than uschar
1689 because some OS define it in /usr/include/unistd.h. */
1690
1691 extern char **environ;
1692
1693 #ifdef MEASURE_TIMING
1694 (void)gettimeofday(&timestamp_startup, NULL);
1695 #endif
1696
1697 store_init();   /* Initialise the memory allocation susbsystem */
1698
1699 /* If the Exim user and/or group and/or the configuration file owner/group were
1700 defined by ref:name at build time, we must now find the actual uid/gid values.
1701 This is a feature to make the lives of binary distributors easier. */
1702
1703 #ifdef EXIM_USERNAME
1704 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1705   {
1706   if (exim_uid == 0)
1707     exim_fail("exim: refusing to run with uid 0 for \"%s\"\n", EXIM_USERNAME);
1708
1709   /* If ref:name uses a number as the name, route_finduser() returns
1710   TRUE with exim_uid set and pw coerced to NULL. */
1711   if (pw)
1712     exim_gid = pw->pw_gid;
1713 #ifndef EXIM_GROUPNAME
1714   else
1715     exim_fail(
1716         "exim: ref:name should specify a usercode, not a group.\n"
1717         "exim: can't let you get away with it unless you also specify a group.\n");
1718 #endif
1719   }
1720 else
1721   exim_fail("exim: failed to find uid for user name \"%s\"\n", EXIM_USERNAME);
1722 #endif
1723
1724 #ifdef EXIM_GROUPNAME
1725 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1726   exim_fail("exim: failed to find gid for group name \"%s\"\n", EXIM_GROUPNAME);
1727 #endif
1728
1729 #ifdef CONFIGURE_OWNERNAME
1730 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1731   exim_fail("exim: failed to find uid for user name \"%s\"\n",
1732     CONFIGURE_OWNERNAME);
1733 #endif
1734
1735 /* We default the system_filter_user to be the Exim run-time user, as a
1736 sane non-root value. */
1737 system_filter_uid = exim_uid;
1738
1739 #ifdef CONFIGURE_GROUPNAME
1740 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1741   exim_fail("exim: failed to find gid for group name \"%s\"\n",
1742     CONFIGURE_GROUPNAME);
1743 #endif
1744
1745 /* In the Cygwin environment, some initialization used to need doing.
1746 It was fudged in by means of this macro; now no longer but we'll leave
1747 it in case of others. */
1748
1749 #ifdef OS_INIT
1750 OS_INIT
1751 #endif
1752
1753 /* Check a field which is patched when we are running Exim within its
1754 testing harness; do a fast initial check, and then the whole thing. */
1755
1756 f.running_in_test_harness =
1757   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1758 if (f.running_in_test_harness)
1759   debug_store = TRUE;
1760
1761 /* Protect against abusive argv[0] */
1762 exim_len_fail_toolong(argv[0], PATH_MAX, "argv[0]");
1763
1764 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1765 at the start of a program; however, it seems that some environments do not
1766 follow this. A "strange" locale can affect the formatting of timestamps, so we
1767 make quite sure. */
1768
1769 setlocale(LC_ALL, "C");
1770
1771 /* Get the offset between CLOCK_MONOTONIC/CLOCK_BOOTTIME and wallclock */
1772
1773 #ifdef _POSIX_MONOTONIC_CLOCK
1774 exim_clock_init();
1775 #endif
1776
1777 /* Set up the default handler for timing using alarm(). */
1778
1779 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1780
1781 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1782 because store_malloc writes a log entry on failure. */
1783
1784 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1785   exim_fail("exim: failed to get store for log buffer\n");
1786
1787 /* Initialize the default log options. */
1788
1789 bits_set(log_selector, log_selector_size, log_default);
1790
1791 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1792 NULL when the daemon is run and the file is closed. We have to use this
1793 indirection, because some systems don't allow writing to the variable "stderr".
1794 */
1795
1796 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1797
1798 /* Arrange for the PCRE regex library to use our store functions. Note that
1799 the normal calls are actually macros that add additional arguments for
1800 debugging purposes so we have to assign specially constructed functions here.
1801 The default is to use store in the stacking pool, but this is overridden in the
1802 regex_must_compile() function. */
1803
1804 pcre_malloc = function_store_get;
1805 pcre_free = function_dummy_free;
1806
1807 /* Ensure there is a big buffer for temporary use in several places. It is put
1808 in malloc store so that it can be freed for enlargement if necessary. */
1809
1810 big_buffer = store_malloc(big_buffer_size);
1811
1812 /* Set up the handler for the data request signal, and set the initial
1813 descriptive text. */
1814
1815 process_info = store_get(PROCESS_INFO_SIZE, TRUE);      /* tainted */
1816 set_process_info("initializing");
1817 os_restarting_signal(SIGUSR1, usr1_handler);
1818
1819 /* If running in a dockerized environment, the TERM signal is only
1820 delegated to the PID 1 if we request it by setting an signal handler */
1821 if (getpid() == 1) signal(SIGTERM, term_handler);
1822
1823 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1824 in the daemon code. For the rest of Exim's uses, we ignore it. */
1825
1826 signal(SIGHUP, SIG_IGN);
1827
1828 /* We don't want to die on pipe errors as the code is written to handle
1829 the write error instead. */
1830
1831 signal(SIGPIPE, SIG_IGN);
1832
1833 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1834 set to SIG_IGN. This causes subprocesses that complete before the parent
1835 process waits for them not to hang around, so when Exim calls wait(), nothing
1836 is there. The wait() code has been made robust against this, but let's ensure
1837 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1838 ending status. We use sigaction rather than plain signal() on those OS where
1839 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1840 problem on AIX with this.) */
1841
1842 #ifdef SA_NOCLDWAIT
1843   {
1844   struct sigaction act;
1845   act.sa_handler = SIG_DFL;
1846   sigemptyset(&(act.sa_mask));
1847   act.sa_flags = 0;
1848   sigaction(SIGCHLD, &act, NULL);
1849   }
1850 #else
1851 signal(SIGCHLD, SIG_DFL);
1852 #endif
1853
1854 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1855 SIGHUP. */
1856
1857 sighup_argv = argv;
1858
1859 /* Set up the version number. Set up the leading 'E' for the external form of
1860 message ids, set the pointer to the internal form, and initialize it to
1861 indicate no message being processed. */
1862
1863 version_init();
1864 message_id_option[0] = '-';
1865 message_id_external = message_id_option + 1;
1866 message_id_external[0] = 'E';
1867 message_id = message_id_external + 1;
1868 message_id[0] = 0;
1869
1870 /* Set the umask to zero so that any files Exim creates using open() are
1871 created with the modes that it specifies. NOTE: Files created with fopen() have
1872 a problem, which was not recognized till rather late (February 2006). With this
1873 umask, such files will be world writeable. (They are all content scanning files
1874 in the spool directory, which isn't world-accessible, so this is not a
1875 disaster, but it's untidy.) I don't want to change this overall setting,
1876 however, because it will interact badly with the open() calls. Instead, there's
1877 now a function called modefopen() that fiddles with the umask while calling
1878 fopen(). */
1879
1880 (void)umask(0);
1881
1882 /* Precompile the regular expression for matching a message id. Keep this in
1883 step with the code that generates ids in the accept.c module. We need to do
1884 this here, because the -M options check their arguments for syntactic validity
1885 using mac_ismsgid, which uses this. */
1886
1887 regex_ismsgid =
1888   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1889
1890 /* Precompile the regular expression that is used for matching an SMTP error
1891 code, possibly extended, at the start of an error message. Note that the
1892 terminating whitespace character is included. */
1893
1894 regex_smtp_code =
1895   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1896     FALSE, TRUE);
1897
1898 #ifdef WHITELIST_D_MACROS
1899 /* Precompile the regular expression used to filter the content of macros
1900 given to -D for permissibility. */
1901
1902 regex_whitelisted_macro =
1903   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1904 #endif
1905
1906 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1907
1908 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1909 this seems to be a generally accepted convention, since one finds symbolic
1910 links called "mailq" in standard OS configurations. */
1911
1912 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1913     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1914   {
1915   list_queue = TRUE;
1916   receiving_message = FALSE;
1917   called_as = US"-mailq";
1918   }
1919
1920 /* If the program is called as "rmail" treat it as equivalent to
1921 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1922 i.e. preventing a single dot on a line from terminating the message, and
1923 returning with zero return code, even in cases of error (provided an error
1924 message has been sent). */
1925
1926 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1927     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1928   {
1929   f.dot_ends = FALSE;
1930   called_as = US"-rmail";
1931   errors_sender_rc = EXIT_SUCCESS;
1932   }
1933
1934 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1935 this is a smail convention. */
1936
1937 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1938     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1939   {
1940   smtp_input = smtp_batched_input = TRUE;
1941   called_as = US"-rsmtp";
1942   }
1943
1944 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1945 this is a smail convention. */
1946
1947 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1948     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1949   {
1950   queue_interval = 0;
1951   receiving_message = FALSE;
1952   called_as = US"-runq";
1953   }
1954
1955 /* If the program is called as "newaliases" treat it as equivalent to
1956 "exim -bi"; this is a sendmail convention. */
1957
1958 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1959     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1960   {
1961   bi_option = TRUE;
1962   receiving_message = FALSE;
1963   called_as = US"-newaliases";
1964   }
1965
1966 /* Save the original effective uid for a couple of uses later. It should
1967 normally be root, but in some esoteric environments it may not be. */
1968
1969 original_euid = geteuid();
1970 original_egid = getegid();
1971
1972 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1973 to be the same as the real ones. This makes a difference only if Exim is setuid
1974 (or setgid) to something other than root, which could be the case in some
1975 special configurations. */
1976
1977 real_uid = getuid();
1978 real_gid = getgid();
1979
1980 if (real_uid == root_uid)
1981   {
1982   if ((rv = setgid(real_gid)))
1983     exim_fail("exim: setgid(%ld) failed: %s\n",
1984         (long int)real_gid, strerror(errno));
1985   if ((rv = setuid(real_uid)))
1986     exim_fail("exim: setuid(%ld) failed: %s\n",
1987         (long int)real_uid, strerror(errno));
1988   }
1989
1990 /* If neither the original real uid nor the original euid was root, Exim is
1991 running in an unprivileged state. */
1992
1993 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1994
1995 /* For most of the args-parsing we need to use permanent pool memory */
1996  {
1997  int old_pool = store_pool;
1998  store_pool = POOL_PERM;
1999
2000 /* Scan the program's arguments. Some can be dealt with right away; others are
2001 simply recorded for checking and handling afterwards. Do a high-level switch
2002 on the second character (the one after '-'), to save some effort. */
2003
2004  for (i = 1; i < argc; i++)
2005   {
2006   BOOL badarg = FALSE;
2007   uschar * arg = argv[i];
2008   uschar * argrest;
2009   int switchchar;
2010
2011   /* An argument not starting with '-' is the start of a recipients list;
2012   break out of the options-scanning loop. */
2013
2014   if (arg[0] != '-')
2015     {
2016     recipients_arg = i;
2017     break;
2018     }
2019
2020   /* An option consisting of -- terminates the options */
2021
2022   if (Ustrcmp(arg, "--") == 0)
2023     {
2024     recipients_arg = i + 1;
2025     break;
2026     }
2027
2028   /* Handle flagged options */
2029
2030   switchchar = arg[1];
2031   argrest = arg+2;
2032
2033   /* Make all -ex options synonymous with -oex arguments, since that
2034   is assumed by various callers. Also make -qR options synonymous with -R
2035   options, as that seems to be required as well. Allow for -qqR too, and
2036   the same for -S options. */
2037
2038   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
2039       Ustrncmp(arg+1, "qR", 2) == 0 ||
2040       Ustrncmp(arg+1, "qS", 2) == 0)
2041     {
2042     switchchar = arg[2];
2043     argrest++;
2044     }
2045   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
2046     {
2047     switchchar = arg[3];
2048     argrest += 2;
2049     f.queue_2stage = TRUE;
2050     }
2051
2052   /* Make -r synonymous with -f, since it is a documented alias */
2053
2054   else if (arg[1] == 'r') switchchar = 'f';
2055
2056   /* Make -ov synonymous with -v */
2057
2058   else if (Ustrcmp(arg, "-ov") == 0)
2059     {
2060     switchchar = 'v';
2061     argrest++;
2062     }
2063
2064   /* deal with --option_aliases */
2065   else if (switchchar == '-')
2066     {
2067     if (Ustrcmp(argrest, "help") == 0)
2068       {
2069       usage_wanted = TRUE;
2070       break;
2071       }
2072     else if (Ustrcmp(argrest, "version") == 0)
2073       {
2074       switchchar = 'b';
2075       argrest = US"V";
2076       }
2077     }
2078
2079   /* High-level switch on active initial letter */
2080
2081   switch(switchchar)
2082     {
2083
2084     /* sendmail uses -Ac and -Am to control which .cf file is used;
2085     we ignore them. */
2086     case 'A':
2087     if (!*argrest) { badarg = TRUE; break; }
2088     else
2089       {
2090       BOOL ignore = FALSE;
2091       switch (*argrest)
2092         {
2093         case 'c':
2094         case 'm':
2095           if (*(argrest + 1) == '\0')
2096             ignore = TRUE;
2097           break;
2098         }
2099       if (!ignore) badarg = TRUE;
2100       }
2101     break;
2102
2103     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
2104     so has no need of it. */
2105
2106     case 'B':
2107     if (!*argrest) i++;       /* Skip over the type */
2108     break;
2109
2110
2111     case 'b':
2112       {
2113       receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
2114
2115       switch (*argrest++)
2116         {
2117         /* -bd:  Run in daemon mode, awaiting SMTP connections.
2118            -bdf: Ditto, but in the foreground.
2119         */
2120         case 'd':
2121           f.daemon_listen = TRUE;
2122           if (*argrest == 'f') f.background_daemon = FALSE;
2123           else if (*argrest) badarg = TRUE;
2124           break;
2125
2126         /* -be:  Run in expansion test mode
2127            -bem: Ditto, but read a message from a file first
2128         */
2129         case 'e':
2130           expansion_test = checking = TRUE;
2131           if (*argrest == 'm')
2132             {
2133             if (++i >= argc) { badarg = TRUE; break; }
2134             expansion_test_message = argv[i];
2135             argrest++;
2136             }
2137           if (*argrest) badarg = TRUE;
2138           break;
2139
2140         /* -bF:  Run system filter test */
2141         case 'F':
2142           filter_test |= checking = FTEST_SYSTEM;
2143           if (*argrest) badarg = TRUE;
2144           else if (++i < argc) filter_test_sfile = argv[i];
2145           else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2146           break;
2147
2148         /* -bf:  Run user filter test
2149            -bfd: Set domain for filter testing
2150            -bfl: Set local part for filter testing
2151            -bfp: Set prefix for filter testing
2152            -bfs: Set suffix for filter testing
2153         */
2154         case 'f':
2155           if (!*argrest)
2156             {
2157             filter_test |= checking = FTEST_USER;
2158             if (++i < argc) filter_test_ufile = argv[i];
2159             else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2160             }
2161           else
2162             {
2163             if (++i >= argc)
2164               exim_fail("exim: string expected after %s\n", arg);
2165             if (Ustrcmp(argrest, "d") == 0) ftest_domain = exim_str_fail_toolong(argv[i], EXIM_DOMAINNAME_MAX, "-bfd");
2166             else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfl");
2167             else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfp");
2168             else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfs");
2169             else badarg = TRUE;
2170             }
2171           break;
2172
2173         /* -bh: Host checking - an IP address must follow. */
2174         case 'h':
2175           if (!*argrest || Ustrcmp(argrest, "c") == 0)
2176             {
2177             if (++i >= argc) { badarg = TRUE; break; }
2178             sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-bh"), TRUE);
2179             host_checking = checking = f.log_testing_mode = TRUE;
2180             f.host_checking_callout = *argrest == 'c';
2181             message_logs = FALSE;
2182             }
2183           else badarg = TRUE;
2184           break;
2185
2186         /* -bi: This option is used by sendmail to initialize *the* alias file,
2187         though it has the -oA option to specify a different file. Exim has no
2188         concept of *the* alias file, but since Sun's YP make script calls
2189         sendmail this way, some support must be provided. */
2190         case 'i':
2191           if (!*argrest) bi_option = TRUE;
2192           else badarg = TRUE;
2193           break;
2194
2195         /* -bI: provide information, of the type to follow after a colon.
2196         This is an Exim flag. */
2197         case 'I':
2198           if (Ustrlen(argrest) >= 1 && *argrest == ':')
2199             {
2200             uschar *p = argrest+1;
2201             info_flag = CMDINFO_HELP;
2202             if (Ustrlen(p))
2203               if (strcmpic(p, CUS"sieve") == 0)
2204                 {
2205                 info_flag = CMDINFO_SIEVE;
2206                 info_stdout = TRUE;
2207                 }
2208               else if (strcmpic(p, CUS"dscp") == 0)
2209                 {
2210                 info_flag = CMDINFO_DSCP;
2211                 info_stdout = TRUE;
2212                 }
2213               else if (strcmpic(p, CUS"help") == 0)
2214                 info_stdout = TRUE;
2215             }
2216           else badarg = TRUE;
2217           break;
2218
2219         /* -bm: Accept and deliver message - the default option. Reinstate
2220         receiving_message, which got turned off for all -b options.
2221            -bmalware: test the filename given for malware */
2222         case 'm':
2223           if (!*argrest) receiving_message = TRUE;
2224           else if (Ustrcmp(argrest, "alware") == 0)
2225             {
2226             if (++i >= argc) { badarg = TRUE; break; }
2227             checking = TRUE;
2228             malware_test_file = argv[i];
2229             }
2230           else badarg = TRUE;
2231           break;
2232
2233         /* -bnq: For locally originating messages, do not qualify unqualified
2234         addresses. In the envelope, this causes errors; in header lines they
2235         just get left. */
2236         case 'n':
2237           if (Ustrcmp(argrest, "q") == 0)
2238             {
2239             f.allow_unqualified_sender = FALSE;
2240             f.allow_unqualified_recipient = FALSE;
2241             }
2242           else badarg = TRUE;
2243           break;
2244
2245         /* -bpxx: List the contents of the mail queue, in various forms. If
2246         the option is -bpc, just a queue count is needed. Otherwise, if the
2247         first letter after p is r, then order is random. */
2248         case 'p':
2249           if (*argrest == 'c')
2250             {
2251             count_queue = TRUE;
2252             if (*++argrest) badarg = TRUE;
2253             break;
2254             }
2255
2256           if (*argrest == 'r')
2257             {
2258             list_queue_option = 8;
2259             argrest++;
2260             }
2261           else list_queue_option = 0;
2262
2263           list_queue = TRUE;
2264
2265           /* -bp: List the contents of the mail queue, top-level only */
2266
2267           if (!*argrest) {}
2268
2269           /* -bpu: List the contents of the mail queue, top-level undelivered */
2270
2271           else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2272
2273           /* -bpa: List the contents of the mail queue, including all delivered */
2274
2275           else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2276
2277           /* Unknown after -bp[r] */
2278
2279           else badarg = TRUE;
2280           break;
2281
2282
2283         /* -bP: List the configuration variables given as the address list.
2284         Force -v, so configuration errors get displayed. */
2285         case 'P':
2286
2287           /* -bP config: we need to setup here, because later,
2288           when list_options is checked, the config is read already */
2289           if (*argrest)
2290             badarg = TRUE;
2291           else if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2292             {
2293             list_config = TRUE;
2294             readconf_save_config(version_string);
2295             }
2296           else
2297             {
2298             list_options = TRUE;
2299             debug_selector |= D_v;
2300             debug_file = stderr;
2301             }
2302           break;
2303
2304         /* -brt: Test retry configuration lookup */
2305         case 'r':
2306           if (Ustrcmp(argrest, "t") == 0)
2307             {
2308             checking = TRUE;
2309             test_retry_arg = i + 1;
2310             goto END_ARG;
2311             }
2312
2313           /* -brw: Test rewrite configuration */
2314
2315           else if (Ustrcmp(argrest, "w") == 0)
2316             {
2317             checking = TRUE;
2318             test_rewrite_arg = i + 1;
2319             goto END_ARG;
2320             }
2321           else badarg = TRUE;
2322           break;
2323
2324         /* -bS: Read SMTP commands on standard input, but produce no replies -
2325         all errors are reported by sending messages. */
2326         case 'S':
2327           if (!*argrest)
2328             smtp_input = smtp_batched_input = receiving_message = TRUE;
2329           else badarg = TRUE;
2330           break;
2331
2332         /* -bs: Read SMTP commands on standard input and produce SMTP replies
2333         on standard output. */
2334         case 's':
2335           if (!*argrest) smtp_input = receiving_message = TRUE;
2336           else badarg = TRUE;
2337           break;
2338
2339         /* -bt: address testing mode */
2340         case 't':
2341           if (!*argrest)
2342             f.address_test_mode = checking = f.log_testing_mode = TRUE;
2343           else badarg = TRUE;
2344           break;
2345
2346         /* -bv: verify addresses */
2347         case 'v':
2348           if (!*argrest)
2349             verify_address_mode = checking = f.log_testing_mode = TRUE;
2350
2351         /* -bvs: verify sender addresses */
2352
2353           else if (Ustrcmp(argrest, "s") == 0)
2354             {
2355             verify_address_mode = checking = f.log_testing_mode = TRUE;
2356             verify_as_sender = TRUE;
2357             }
2358           else badarg = TRUE;
2359           break;
2360
2361         /* -bV: Print version string and support details */
2362         case 'V':
2363           if (!*argrest)
2364             {
2365             printf("Exim version %s #%s built %s\n", version_string,
2366               version_cnumber, version_date);
2367             printf("%s\n", CS version_copyright);
2368             version_printed = TRUE;
2369             show_whats_supported(stdout);
2370             f.log_testing_mode = TRUE;
2371             }
2372           else badarg = TRUE;
2373           break;
2374
2375         /* -bw: inetd wait mode, accept a listening socket as stdin */
2376         case 'w':
2377           f.inetd_wait_mode = TRUE;
2378           f.background_daemon = FALSE;
2379           f.daemon_listen = TRUE;
2380           if (*argrest)
2381             if ((inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE)) <= 0)
2382               exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
2383           break;
2384
2385         default:
2386           badarg = TRUE;
2387           break;
2388         }
2389       break;
2390       }
2391
2392
2393     /* -C: change configuration file list; ignore if it isn't really
2394     a change! Enforce a prefix check if required. */
2395
2396     case 'C':
2397     if (!*argrest)
2398       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2399     if (Ustrcmp(config_main_filelist, argrest) != 0)
2400       {
2401       #ifdef ALT_CONFIG_PREFIX
2402       int sep = 0;
2403       int len = Ustrlen(ALT_CONFIG_PREFIX);
2404       const uschar *list = argrest;
2405       uschar *filename;
2406       /* The argv is untainted, so big_buffer (also untainted) is ok to use */
2407       while((filename = string_nextinlist(&list, &sep, big_buffer,
2408              big_buffer_size)))
2409         if (  (  Ustrlen(filename) < len
2410               || Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0
2411               || Ustrstr(filename, "/../") != NULL
2412               )
2413            && (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid)
2414            )
2415           exim_fail("-C Permission denied\n");
2416       #endif
2417       if (real_uid != root_uid)
2418         {
2419         #ifdef TRUSTED_CONFIG_LIST
2420
2421         if (real_uid != exim_uid
2422             #ifdef CONFIGURE_OWNER
2423             && real_uid != config_uid
2424             #endif
2425             )
2426           f.trusted_config = FALSE;
2427         else
2428           {
2429           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2430           if (trust_list)
2431             {
2432             struct stat statbuf;
2433
2434             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2435                 (statbuf.st_uid != root_uid        /* owner not root */
2436                  #ifdef CONFIGURE_OWNER
2437                  && statbuf.st_uid != config_uid   /* owner not the special one */
2438                  #endif
2439                    ) ||                            /* or */
2440                 (statbuf.st_gid != root_gid        /* group not root */
2441                  #ifdef CONFIGURE_GROUP
2442                  && statbuf.st_gid != config_gid   /* group not the special one */
2443                  #endif
2444                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2445                    ) ||                            /* or */
2446                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2447               {
2448               f.trusted_config = FALSE;
2449               fclose(trust_list);
2450               }
2451             else
2452               {
2453               /* Well, the trust list at least is up to scratch... */
2454               rmark reset_point;
2455               uschar *trusted_configs[32];
2456               int nr_configs = 0;
2457               int i = 0;
2458               int old_pool = store_pool;
2459               store_pool = POOL_MAIN;
2460
2461               reset_point = store_mark();
2462               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2463                 {
2464                 uschar *start = big_buffer, *nl;
2465                 while (*start && isspace(*start))
2466                 start++;
2467                 if (*start != '/')
2468                   continue;
2469                 nl = Ustrchr(start, '\n');
2470                 if (nl)
2471                   *nl = 0;
2472                 trusted_configs[nr_configs++] = string_copy(start);
2473                 if (nr_configs == nelem(trusted_configs))
2474                   break;
2475                 }
2476               fclose(trust_list);
2477
2478               if (nr_configs)
2479                 {
2480                 int sep = 0;
2481                 const uschar *list = argrest;
2482                 uschar *filename;
2483                 while (f.trusted_config && (filename = string_nextinlist(&list,
2484                         &sep, big_buffer, big_buffer_size)))
2485                   {
2486                   for (i=0; i < nr_configs; i++)
2487                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2488                       break;
2489                   if (i == nr_configs)
2490                     {
2491                     f.trusted_config = FALSE;
2492                     break;
2493                     }
2494                   }
2495                 }
2496               else      /* No valid prefixes found in trust_list file. */
2497                 f.trusted_config = FALSE;
2498               store_reset(reset_point);
2499               store_pool = old_pool;
2500               }
2501             }
2502           else          /* Could not open trust_list file. */
2503             f.trusted_config = FALSE;
2504           }
2505       #else
2506         /* Not root; don't trust config */
2507         f.trusted_config = FALSE;
2508       #endif
2509         }
2510
2511       config_main_filelist = argrest;
2512       f.config_changed = TRUE;
2513       }
2514     break;
2515
2516
2517     /* -D: set up a macro definition */
2518
2519     case 'D':
2520 #ifdef DISABLE_D_OPTION
2521       exim_fail("exim: -D is not available in this Exim binary\n");
2522 #else
2523       {
2524       int ptr = 0;
2525       macro_item *m;
2526       uschar name[24];
2527       uschar *s = argrest;
2528
2529       opt_D_used = TRUE;
2530       while (isspace(*s)) s++;
2531
2532       if (*s < 'A' || *s > 'Z')
2533         exim_fail("exim: macro name set by -D must start with "
2534           "an upper case letter\n");
2535
2536       while (isalnum(*s) || *s == '_')
2537         {
2538         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2539         s++;
2540         }
2541       name[ptr] = 0;
2542       if (ptr == 0) { badarg = TRUE; break; }
2543       while (isspace(*s)) s++;
2544       if (*s != 0)
2545         {
2546         if (*s++ != '=') { badarg = TRUE; break; }
2547         while (isspace(*s)) s++;
2548         }
2549
2550       for (m = macros_user; m; m = m->next)
2551         if (Ustrcmp(m->name, name) == 0)
2552           exim_fail("exim: duplicated -D in command line\n");
2553
2554       m = macro_create(name, s, TRUE);
2555
2556       if (clmacro_count >= MAX_CLMACROS)
2557         exim_fail("exim: too many -D options on command line\n");
2558       clmacros[clmacro_count++] =
2559         string_sprintf("-D%s=%s", m->name, m->replacement);
2560       }
2561     #endif
2562     break;
2563
2564     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2565     The latter is now a no-op, retained for compatibility only. If -dd is used,
2566     debugging subprocesses of the daemon is disabled. */
2567
2568     case 'd':
2569     if (Ustrcmp(argrest, "ropcr") == 0)
2570       {
2571       /* drop_cr = TRUE; */
2572       }
2573
2574     /* Use an intermediate variable so that we don't set debugging while
2575     decoding the debugging bits. */
2576
2577     else
2578       {
2579       unsigned int selector = D_default;
2580       debug_selector = 0;
2581       debug_file = NULL;
2582       if (*argrest == 'd')
2583         {
2584         f.debug_daemon = TRUE;
2585         argrest++;
2586         }
2587       if (*argrest)
2588         decode_bits(&selector, 1, debug_notall, argrest,
2589           debug_options, debug_options_count, US"debug", 0);
2590       debug_selector = selector;
2591       }
2592     break;
2593
2594
2595     /* -E: This is a local error message. This option is not intended for
2596     external use at all, but is not restricted to trusted callers because it
2597     does no harm (just suppresses certain error messages) and if Exim is run
2598     not setuid root it won't always be trusted when it generates error
2599     messages using this option. If there is a message id following -E, point
2600     message_reference at it, for logging. */
2601
2602     case 'E':
2603     f.local_error_message = TRUE;
2604     if (mac_ismsgid(argrest)) message_reference = argrest;
2605     break;
2606
2607
2608     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2609     option, so it looks as if historically the -oex options are also callable
2610     without the leading -o. So we have to accept them. Before the switch,
2611     anything starting -oe has been converted to -e. Exim does not support all
2612     of the sendmail error options. */
2613
2614     case 'e':
2615     if (Ustrcmp(argrest, "e") == 0)
2616       {
2617       arg_error_handling = ERRORS_SENDER;
2618       errors_sender_rc = EXIT_SUCCESS;
2619       }
2620     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2621     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2622     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2623     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2624     else badarg = TRUE;
2625     break;
2626
2627
2628     /* -F: Set sender's full name, used instead of the gecos entry from
2629     the password file. Since users can usually alter their gecos entries,
2630     there's no security involved in using this instead. The data can follow
2631     the -F or be in the next argument. */
2632
2633     case 'F':
2634     if (!*argrest)
2635       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2636     originator_name = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_HUMANNAME_MAX, "-F"), TRUE);
2637     f.sender_name_forced = TRUE;
2638     break;
2639
2640
2641     /* -f: Set sender's address - this value is only actually used if Exim is
2642     run by a trusted user, or if untrusted_set_sender is set and matches the
2643     address, except that the null address can always be set by any user. The
2644     test for this happens later, when the value given here is ignored when not
2645     permitted. For an untrusted user, the actual sender is still put in Sender:
2646     if it doesn't match the From: header (unless no_local_from_check is set).
2647     The data can follow the -f or be in the next argument. The -r switch is an
2648     obsolete form of -f but since there appear to be programs out there that
2649     use anything that sendmail has ever supported, better accept it - the
2650     synonymizing is done before the switch above.
2651
2652     At this stage, we must allow domain literal addresses, because we don't
2653     know what the setting of allow_domain_literals is yet. Ditto for trailing
2654     dots and strip_trailing_dot. */
2655
2656     case 'f':
2657       {
2658       int dummy_start, dummy_end;
2659       uschar *errmess;
2660       if (!*argrest)
2661         if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
2662       (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
2663       if (!*argrest)
2664         *(sender_address = store_get(1, FALSE)) = '\0';  /* Ensure writeable memory */
2665       else
2666         {
2667         uschar * temp = argrest + Ustrlen(argrest) - 1;
2668         while (temp >= argrest && isspace(*temp)) temp--;
2669         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2670         allow_domain_literals = TRUE;
2671         strip_trailing_dot = TRUE;
2672 #ifdef SUPPORT_I18N
2673         allow_utf8_domains = TRUE;
2674 #endif
2675         if (!(sender_address = parse_extract_address(argrest, &errmess,
2676                   &dummy_start, &dummy_end, &sender_address_domain, TRUE)))
2677           exim_fail("exim: bad -f address \"%s\": %s\n", argrest, errmess);
2678
2679         sender_address = string_copy_taint(sender_address, TRUE);
2680 #ifdef SUPPORT_I18N
2681         message_smtputf8 =  string_is_utf8(sender_address);
2682         allow_utf8_domains = FALSE;
2683 #endif
2684         allow_domain_literals = FALSE;
2685         strip_trailing_dot = FALSE;
2686         }
2687       f.sender_address_forced = TRUE;
2688       }
2689     break;
2690
2691     /* -G: sendmail invocation to specify that it's a gateway submission and
2692     sendmail may complain about problems instead of fixing them.
2693     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2694     not at this time complain about problems. */
2695
2696     case 'G':
2697     flag_G = TRUE;
2698     break;
2699
2700     /* -h: Set the hop count for an incoming message. Exim does not currently
2701     support this; it always computes it by counting the Received: headers.
2702     To put it in will require a change to the spool header file format. */
2703
2704     case 'h':
2705     if (!*argrest)
2706       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2707     if (!isdigit(*argrest)) badarg = TRUE;
2708     break;
2709
2710
2711     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2712     not to be documented for sendmail but mailx (at least) uses it) */
2713
2714     case 'i':
2715     if (!*argrest) f.dot_ends = FALSE; else badarg = TRUE;
2716     break;
2717
2718
2719     /* -L: set the identifier used for syslog; equivalent to setting
2720     syslog_processname in the config file, but needs to be an admin option. */
2721
2722     case 'L':
2723     if (!*argrest)
2724       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2725     if ((sz = Ustrlen(argrest)) > 32)
2726       exim_fail("exim: the -L syslog name is too long: \"%s\"\n", argrest);
2727     if (sz < 1)
2728       exim_fail("exim: the -L syslog name is too short\n");
2729     cmdline_syslog_name = string_copy_taint(argrest, TRUE);
2730     break;
2731
2732     case 'M':
2733     receiving_message = FALSE;
2734
2735     /* -MC:  continue delivery of another message via an existing open
2736     file descriptor. This option is used for an internal call by the
2737     smtp transport when there is a pending message waiting to go to an
2738     address to which it has got a connection. Five subsequent arguments are
2739     required: transport name, host name, IP address, sequence number, and
2740     message_id. Transports may decline to create new processes if the sequence
2741     number gets too big. The channel is stdin. This (-MC) must be the last
2742     argument. There's a subsequent check that the real-uid is privileged.
2743
2744     If we are running in the test harness. delay for a bit, to let the process
2745     that set this one up complete. This makes for repeatability of the logging,
2746     etc. output. */
2747
2748     if (Ustrcmp(argrest, "C") == 0)
2749       {
2750       union sockaddr_46 interface_sock;
2751       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2752
2753       if (argc != i + 6)
2754         exim_fail("exim: too many or too few arguments after -MC\n");
2755
2756       if (msg_action_arg >= 0)
2757         exim_fail("exim: incompatible arguments\n");
2758
2759       continue_transport = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-C internal transport"), TRUE);
2760       continue_hostname = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-C internal hostname"), TRUE);
2761       continue_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-C internal hostaddr"), TRUE);
2762       continue_sequence = Uatoi(argv[++i]);
2763       msg_action = MSG_DELIVER;
2764       msg_action_arg = ++i;
2765       forced_delivery = TRUE;
2766       queue_run_pid = passed_qr_pid;
2767       queue_run_pipe = passed_qr_pipe;
2768
2769       if (!mac_ismsgid(argv[i]))
2770         exim_fail("exim: malformed message id %s after -MC option\n",
2771           argv[i]);
2772
2773       /* Set up $sending_ip_address and $sending_port, unless proxied */
2774
2775       if (!continue_proxy_cipher)
2776         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2777             &size) == 0)
2778           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2779             &sending_port);
2780         else
2781           exim_fail("exim: getsockname() failed after -MC option: %s\n",
2782             strerror(errno));
2783
2784       testharness_pause_ms(500);
2785       break;
2786       }
2787
2788     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2789       {
2790       switch(argrest[1])
2791         {
2792     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2793     precedes -MC (see above). The flag indicates that the host to which
2794     Exim is connected has accepted an AUTH sequence. */
2795
2796         case 'A': f.smtp_authenticated = TRUE; break;
2797
2798     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2799        that exim is connected to supports the esmtp extension DSN */
2800
2801         case 'D': smtp_peer_options |= OPTION_DSN; break;
2802
2803     /* -MCd: for debug, set a process-purpose string */
2804
2805         case 'd': if (++i < argc)
2806                     process_purpose = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCd"), TRUE);
2807                   else badarg = TRUE;
2808                   break;
2809
2810     /* -MCG: set the queue name, to a non-default value. Arguably, anything
2811        from the commandline should be tainted - but we will need an untainted
2812        value for the spoolfile when doing a -odi delivery process. */
2813
2814         case 'G': if (++i < argc) queue_name = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCG"), FALSE);
2815                   else badarg = TRUE;
2816                   break;
2817
2818     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2819
2820         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2821
2822 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2823     /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
2824         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
2825                   else badarg = TRUE;
2826                   if (++i < argc) continue_limit_rcpt = Uatoi(argv[i]);
2827                   else badarg = TRUE;
2828                   if (++i < argc) continue_limit_rcptdom = Uatoi(argv[i]);
2829                   else badarg = TRUE;
2830                   break;
2831 #endif
2832
2833     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2834     it preceded -MC (see above) */
2835
2836         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2837
2838 #ifdef SUPPORT_SOCKS
2839     /* -MCp: Socks proxy in use; nearside IP, port, external IP, port */
2840         case 'p': proxy_session = TRUE;
2841                   if (++i < argc)
2842                     {
2843                     proxy_local_address = string_copy_taint(argv[i], TRUE);
2844                     if (++i < argc)
2845                       {
2846                       proxy_local_port = Uatoi(argv[i]);
2847                       if (++i < argc)
2848                         {
2849                         proxy_external_address = string_copy_taint(argv[i], TRUE);
2850                         if (++i < argc)
2851                           {
2852                           proxy_external_port = Uatoi(argv[i]);
2853                           break;
2854                     } } } }
2855                   badarg = TRUE;
2856                   break;
2857 #endif
2858     /* -MCQ: pass on the pid of the queue-running process that started
2859     this chain of deliveries and the fd of its synchronizing pipe; this
2860     is useful only when it precedes -MC (see above) */
2861
2862         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2863                   else badarg = TRUE;
2864                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2865                   else badarg = TRUE;
2866                   break;
2867
2868     /* -MCq: do a quota check on the given recipient for the given size
2869     of message.  Separate from -MC. */
2870         case 'q': rcpt_verify_quota = TRUE;
2871                   if (++i < argc) message_size = Uatoi(argv[i]);
2872                   else badarg = TRUE;
2873                   break;
2874
2875     /* -MCS: set the smtp_use_size flag; this is useful only when it
2876     precedes -MC (see above) */
2877
2878         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2879
2880 #ifndef DISABLE_TLS
2881     /* -MCs: used with -MCt; SNI was sent */
2882     /* -MCr: ditto, DANE */
2883
2884         case 'r':
2885         case 's': if (++i < argc)
2886                     {
2887                     continue_proxy_sni = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_HOSTNAME_MAX, "-MCr/-MCs"), TRUE);
2888                     if (argrest[1] == 'r') continue_proxy_dane = TRUE;
2889                     }
2890                   else badarg = TRUE;
2891                   break;
2892
2893     /* -MCt: similar to -MCT below but the connection is still open
2894     via a proxy process which handles the TLS context and coding.
2895     Require three arguments for the proxied local address and port,
2896     and the TLS cipher. */
2897
2898         case 't': if (++i < argc)
2899                     sending_ip_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-MCt IP"), TRUE);
2900                   else badarg = TRUE;
2901                   if (++i < argc)
2902                     sending_port = (int)(Uatol(argv[i]));
2903                   else badarg = TRUE;
2904                   if (++i < argc)
2905                     continue_proxy_cipher = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_CIPHERNAME_MAX, "-MCt cipher"), TRUE);
2906                   else badarg = TRUE;
2907                   /*FALLTHROUGH*/
2908
2909     /* -MCT: set the tls_offered flag; this is useful only when it
2910     precedes -MC (see above). The flag indicates that the host to which
2911     Exim is connected has offered TLS support. */
2912
2913         case 'T': smtp_peer_options |= OPTION_TLS; break;
2914 #endif
2915
2916         default:  badarg = TRUE; break;
2917         }
2918       break;
2919       }
2920
2921     /* -M[x]: various operations on the following list of message ids:
2922        -M    deliver the messages, ignoring next retry times and thawing
2923        -Mc   deliver the messages, checking next retry times, no thawing
2924        -Mf   freeze the messages
2925        -Mg   give up on the messages
2926        -Mt   thaw the messages
2927        -Mrm  remove the messages
2928     In the above cases, this must be the last option. There are also the
2929     following options which are followed by a single message id, and which
2930     act on that message. Some of them use the "recipient" addresses as well.
2931        -Mar  add recipient(s)
2932        -MG   move to a different queue
2933        -Mmad mark all recipients delivered
2934        -Mmd  mark recipients(s) delivered
2935        -Mes  edit sender
2936        -Mset load a message for use with -be
2937        -Mvb  show body
2938        -Mvc  show copy (of whole message, in RFC 2822 format)
2939        -Mvh  show header
2940        -Mvl  show log
2941     */
2942
2943     else if (!*argrest)
2944       {
2945       msg_action = MSG_DELIVER;
2946       forced_delivery = f.deliver_force_thaw = TRUE;
2947       }
2948     else if (Ustrcmp(argrest, "ar") == 0)
2949       {
2950       msg_action = MSG_ADD_RECIPIENT;
2951       one_msg_action = TRUE;
2952       }
2953     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2954     else if (Ustrcmp(argrest, "es") == 0)
2955       {
2956       msg_action = MSG_EDIT_SENDER;
2957       one_msg_action = TRUE;
2958       }
2959     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2960     else if (Ustrcmp(argrest, "g") == 0)
2961       {
2962       msg_action = MSG_DELIVER;
2963       deliver_give_up = TRUE;
2964       }
2965    else if (Ustrcmp(argrest, "G") == 0)
2966       {
2967       msg_action = MSG_SETQUEUE;
2968       queue_name_dest = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-MG"), TRUE);
2969       }
2970     else if (Ustrcmp(argrest, "mad") == 0)
2971       {
2972       msg_action = MSG_MARK_ALL_DELIVERED;
2973       }
2974     else if (Ustrcmp(argrest, "md") == 0)
2975       {
2976       msg_action = MSG_MARK_DELIVERED;
2977       one_msg_action = TRUE;
2978       }
2979     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2980     else if (Ustrcmp(argrest, "set") == 0)
2981       {
2982       msg_action = MSG_LOAD;
2983       one_msg_action = TRUE;
2984       }
2985     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2986     else if (Ustrcmp(argrest, "vb") == 0)
2987       {
2988       msg_action = MSG_SHOW_BODY;
2989       one_msg_action = TRUE;
2990       }
2991     else if (Ustrcmp(argrest, "vc") == 0)
2992       {
2993       msg_action = MSG_SHOW_COPY;
2994       one_msg_action = TRUE;
2995       }
2996     else if (Ustrcmp(argrest, "vh") == 0)
2997       {
2998       msg_action = MSG_SHOW_HEADER;
2999       one_msg_action = TRUE;
3000       }
3001     else if (Ustrcmp(argrest, "vl") == 0)
3002       {
3003       msg_action = MSG_SHOW_LOG;
3004       one_msg_action = TRUE;
3005       }
3006     else { badarg = TRUE; break; }
3007
3008     /* All the -Mxx options require at least one message id. */
3009
3010     msg_action_arg = i + 1;
3011     if (msg_action_arg >= argc)
3012       exim_fail("exim: no message ids given after %s option\n", arg);
3013
3014     /* Some require only message ids to follow */
3015
3016     if (!one_msg_action)
3017       {
3018       for (int j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
3019         exim_fail("exim: malformed message id %s after %s option\n",
3020           argv[j], arg);
3021       goto END_ARG;   /* Remaining args are ids */
3022       }
3023
3024     /* Others require only one message id, possibly followed by addresses,
3025     which will be handled as normal arguments. */
3026
3027     else
3028       {
3029       if (!mac_ismsgid(argv[msg_action_arg]))
3030         exim_fail("exim: malformed message id %s after %s option\n",
3031           argv[msg_action_arg], arg);
3032       i++;
3033       }
3034     break;
3035
3036
3037     /* Some programs seem to call the -om option without the leading o;
3038     for sendmail it askes for "me too". Exim always does this. */
3039
3040     case 'm':
3041     if (*argrest) badarg = TRUE;
3042     break;
3043
3044
3045     /* -N: don't do delivery - a debugging option that stops transports doing
3046     their thing. It implies debugging at the D_v level. */
3047
3048     case 'N':
3049     if (!*argrest)
3050       {
3051       f.dont_deliver = TRUE;
3052       debug_selector |= D_v;
3053       debug_file = stderr;
3054       }
3055     else badarg = TRUE;
3056     break;
3057
3058
3059     /* -n: This means "don't alias" in sendmail, apparently.
3060     For normal invocations, it has no effect.
3061     It may affect some other options. */
3062
3063     case 'n':
3064     flag_n = TRUE;
3065     break;
3066
3067     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
3068     option to the specified value. This form uses long names. We need to handle
3069     -O option=value and -Ooption=value. */
3070
3071     case 'O':
3072     if (!*argrest)
3073       if (++i >= argc)
3074         exim_fail("exim: string expected after -O\n");
3075     break;
3076
3077     case 'o':
3078     switch (*argrest++)
3079       {
3080       /* -oA: Set an argument for the bi command (sendmail's "alternate alias
3081       file" option). */
3082       case 'A':
3083         if (!*(alias_arg = argrest))
3084           if (i+1 < argc) alias_arg = argv[++i];
3085           else exim_fail("exim: string expected after -oA\n");
3086         break;
3087
3088       /* -oB: Set a connection message max value for remote deliveries */
3089       case 'B':
3090         {
3091         uschar * p = argrest;
3092         if (!*p)
3093           if (i+1 < argc && isdigit((argv[i+1][0])))
3094             p = argv[++i];
3095           else
3096             {
3097             connection_max_messages = 1;
3098             p = NULL;
3099             }
3100
3101         if (p)
3102           {
3103           if (!isdigit(*p))
3104             exim_fail("exim: number expected after -oB\n");
3105           connection_max_messages = Uatoi(p);
3106           }
3107         }
3108         break;
3109
3110       /* -odb: background delivery */
3111
3112       case 'd':
3113         if (Ustrcmp(argrest, "b") == 0)
3114           {
3115           f.synchronous_delivery = FALSE;
3116           arg_queue_only = FALSE;
3117           queue_only_set = TRUE;
3118           }
3119
3120       /* -odd: testsuite-only: add no inter-process delays */
3121
3122         else if (Ustrcmp(argrest, "d") == 0)
3123           f.testsuite_delays = FALSE;
3124
3125       /* -odf: foreground delivery (smail-compatible option); same effect as
3126          -odi: interactive (synchronous) delivery (sendmail-compatible option)
3127       */
3128
3129         else if (Ustrcmp(argrest, "f") == 0 || Ustrcmp(argrest, "i") == 0)
3130           {
3131           f.synchronous_delivery = TRUE;
3132           arg_queue_only = FALSE;
3133           queue_only_set = TRUE;
3134           }
3135
3136       /* -odq: queue only */
3137
3138         else if (Ustrcmp(argrest, "q") == 0)
3139           {
3140           f.synchronous_delivery = FALSE;
3141           arg_queue_only = TRUE;
3142           queue_only_set = TRUE;
3143           }
3144
3145       /* -odqs: queue SMTP only - do local deliveries and remote routing,
3146       but no remote delivery */
3147
3148         else if (Ustrcmp(argrest, "qs") == 0)
3149           {
3150           f.queue_smtp = TRUE;
3151           arg_queue_only = FALSE;
3152           queue_only_set = TRUE;
3153           }
3154         else badarg = TRUE;
3155         break;
3156
3157       /* -oex: Sendmail error flags. As these are also accepted without the
3158       leading -o prefix, for compatibility with vacation and other callers,
3159       they are handled with -e above. */
3160
3161       /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3162          -oitrue: Another sendmail syntax for the same */
3163
3164       case 'i':
3165         if (!*argrest || Ustrcmp(argrest, "true") == 0)
3166           f.dot_ends = FALSE;
3167         else badarg = TRUE;
3168         break;
3169
3170     /* -oM*: Set various characteristics for an incoming message; actually
3171     acted on for trusted callers only. */
3172
3173       case 'M':
3174         {
3175         if (i+1 >= argc)
3176           exim_fail("exim: data expected after -oM%s\n", argrest);
3177
3178         /* -oMa: Set sender host address */
3179
3180         if (Ustrcmp(argrest, "a") == 0)
3181           sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMa"), TRUE);
3182
3183         /* -oMaa: Set authenticator name */
3184
3185         else if (Ustrcmp(argrest, "aa") == 0)
3186           sender_host_authenticated = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMaa"), TRUE);
3187
3188         /* -oMas: setting authenticated sender */
3189
3190         else if (Ustrcmp(argrest, "as") == 0)
3191           authenticated_sender = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3192
3193         /* -oMai: setting authenticated id */
3194
3195         else if (Ustrcmp(argrest, "ai") == 0)
3196           authenticated_id = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3197
3198         /* -oMi: Set incoming interface address */
3199
3200         else if (Ustrcmp(argrest, "i") == 0)
3201           interface_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMi"), TRUE);
3202
3203         /* -oMm: Message reference */
3204
3205         else if (Ustrcmp(argrest, "m") == 0)
3206           {
3207           if (!mac_ismsgid(argv[i+1]))
3208               exim_fail("-oMm must be a valid message ID\n");
3209           if (!f.trusted_config)
3210               exim_fail("-oMm must be called by a trusted user/config\n");
3211             message_reference = argv[++i];
3212           }
3213
3214         /* -oMr: Received protocol */
3215
3216         else if (Ustrcmp(argrest, "r") == 0)
3217
3218           if (received_protocol)
3219             exim_fail("received_protocol is set already\n");
3220           else
3221             received_protocol = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMr"), TRUE);
3222
3223         /* -oMs: Set sender host name */
3224
3225         else if (Ustrcmp(argrest, "s") == 0)
3226           sender_host_name = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-oMs"), TRUE);
3227
3228         /* -oMt: Set sender ident */
3229
3230         else if (Ustrcmp(argrest, "t") == 0)
3231           {
3232           sender_ident_set = TRUE;
3233           sender_ident = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IDENTUSER_MAX, "-oMt"), TRUE);
3234           }
3235
3236         /* Else a bad argument */
3237
3238         else
3239           badarg = TRUE;
3240         }
3241         break;
3242
3243       /* -om: Me-too flag for aliases. Exim always does this. Some programs
3244       seem to call this as -m (undocumented), so that is also accepted (see
3245       above). */
3246       /* -oo: An ancient flag for old-style addresses which still seems to
3247       crop up in some calls (see in SCO). */
3248
3249       case 'm':
3250       case 'o':
3251         if (*argrest) badarg = TRUE;
3252         break;
3253
3254       /* -oP <name>: set pid file path for daemon
3255          -oPX:       delete pid file of daemon */
3256
3257       case 'P':
3258         if (!*argrest) override_pid_file_path = argv[++i];
3259         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
3260         else badarg = TRUE;
3261         break;
3262
3263
3264       /* -or <n>: set timeout for non-SMTP acceptance
3265          -os <n>: set timeout for SMTP acceptance */
3266
3267       case 'r':
3268       case 's':
3269         {
3270         int * tp = argrest[-1] == 'r'
3271           ? &arg_receive_timeout : &arg_smtp_receive_timeout;
3272         if (*argrest)
3273           *tp = readconf_readtime(argrest, 0, FALSE);
3274         else if (i+1 < argc)
3275           *tp = readconf_readtime(argv[++i], 0, FALSE);
3276
3277         if (*tp < 0)
3278           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3279         }
3280         break;
3281
3282       /* -oX <list>: Override local_interfaces and/or default daemon ports */
3283       /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
3284
3285       case 'X':
3286         if (*argrest) badarg = TRUE;
3287         else override_local_interfaces = string_copy_taint(exim_str_fail_toolong(argv[++i], 1024, "-oX", TRUE);
3288         break;
3289
3290       /* -oY: Override creation of daemon notifier socket */
3291
3292       case 'Y':
3293         if (*argrest) badarg = TRUE;
3294         else notifier_socket = NULL;
3295         break;
3296
3297       /* Unknown -o argument */
3298
3299       default:
3300         badarg = TRUE;
3301       }
3302     break;
3303
3304
3305     /* -ps: force Perl startup; -pd force delayed Perl startup */
3306
3307     case 'p':
3308     #ifdef EXIM_PERL
3309     if (*argrest == 's' && argrest[1] == 0)
3310       {
3311       perl_start_option = 1;
3312       break;
3313       }
3314     if (*argrest == 'd' && argrest[1] == 0)
3315       {
3316       perl_start_option = -1;
3317       break;
3318       }
3319     #endif
3320
3321     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3322     which sets the host protocol and host name */
3323
3324     if (!*argrest)
3325       if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
3326
3327     if (*argrest)
3328       {
3329       uschar * hn = Ustrchr(argrest, ':');
3330
3331       if (received_protocol)
3332         exim_fail("received_protocol is set already\n");
3333
3334       if (!hn)
3335         received_protocol = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_DRIVERNAME_MAX, "-p<protocol>"), TRUE);
3336       else
3337         {
3338         (void) exim_str_fail_toolong(argrest, (EXIM_DRIVERNAME_MAX+1+EXIM_HOSTNAME_MAX), "-p<protocol>:<host>");
3339         received_protocol = string_copyn_taint(argrest, hn - argrest, TRUE);
3340         sender_host_name = string_copy_taint(hn + 1, TRUE);
3341         }
3342       }
3343     break;
3344
3345
3346     case 'q':
3347     receiving_message = FALSE;
3348     if (queue_interval >= 0)
3349       exim_fail("exim: -q specified more than once\n");
3350
3351     /* -qq...: Do queue runs in a 2-stage manner */
3352
3353     if (*argrest == 'q')
3354       {
3355       f.queue_2stage = TRUE;
3356       argrest++;
3357       }
3358
3359     /* -qi...: Do only first (initial) deliveries */
3360
3361     if (*argrest == 'i')
3362       {
3363       f.queue_run_first_delivery = TRUE;
3364       argrest++;
3365       }
3366
3367     /* -qf...: Run the queue, forcing deliveries
3368        -qff..: Ditto, forcing thawing as well */
3369
3370     if (*argrest == 'f')
3371       {
3372       f.queue_run_force = TRUE;
3373       if (*++argrest == 'f')
3374         {
3375         f.deliver_force_thaw = TRUE;
3376         argrest++;
3377         }
3378       }
3379
3380     /* -q[f][f]l...: Run the queue only on local deliveries */
3381
3382     if (*argrest == 'l')
3383       {
3384       f.queue_run_local = TRUE;
3385       argrest++;
3386       }
3387
3388     /* -q[f][f][l][G<name>]... Work on the named queue */
3389
3390     if (*argrest == 'G')
3391       {
3392       int i;
3393       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3394       exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
3395       queue_name = string_copyn(argrest, i);
3396       argrest += i;
3397       if (*argrest == '/') argrest++;
3398       }
3399
3400     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3401     only, optionally named, optionally starting from a given message id. */
3402
3403     if (!(list_queue || count_queue))
3404       if (  !*argrest
3405          && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3406         {
3407         queue_interval = 0;
3408         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3409           start_queue_run_id = string_copy_taint(argv[++i], TRUE);
3410         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3411           stop_queue_run_id = string_copy_taint(argv[++i], TRUE);
3412         }
3413
3414     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3415     forced, optionally local only, optionally named. */
3416
3417       else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3418                                                   0, FALSE)) <= 0)
3419         exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3420     break;
3421
3422
3423     case 'R':   /* Synonymous with -qR... */
3424     receiving_message = FALSE;
3425
3426     /* -Rf:   As -R (below) but force all deliveries,
3427        -Rff:  Ditto, but also thaw all frozen messages,
3428        -Rr:   String is regex
3429        -Rrf:  Regex and force
3430        -Rrff: Regex and force and thaw
3431
3432     in all cases provided there are no further characters in this
3433     argument. */
3434
3435     if (*argrest)
3436       for (int i = 0; i < nelem(rsopts); i++)
3437         if (Ustrcmp(argrest, rsopts[i]) == 0)
3438           {
3439           if (i != 2) f.queue_run_force = TRUE;
3440           if (i >= 2) f.deliver_selectstring_regex = TRUE;
3441           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3442           argrest += Ustrlen(rsopts[i]);
3443           }
3444
3445     /* -R: Set string to match in addresses for forced queue run to
3446     pick out particular messages. */
3447
3448     /* Avoid attacks from people providing very long strings, and do so before
3449     we make copies. */
3450     const char *tainted_selectstr;
3451     if (*argrest)
3452       tainted_selectstr = argrest;
3453     else if (i+1 < argc)
3454       tainted_selectstr = argv[++i];
3455     else
3456       exim_fail("exim: string expected after -R\n");
3457     deliver_selectstring = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"), TRUE);
3458     break;
3459
3460     /* -r: an obsolete synonym for -f (see above) */
3461
3462
3463     /* -S: Like -R but works on sender. */
3464
3465     case 'S':   /* Synonymous with -qS... */
3466     receiving_message = FALSE;
3467
3468     /* -Sf:   As -S (below) but force all deliveries,
3469        -Sff:  Ditto, but also thaw all frozen messages,
3470        -Sr:   String is regex
3471        -Srf:  Regex and force
3472        -Srff: Regex and force and thaw
3473
3474     in all cases provided there are no further characters in this
3475     argument. */
3476
3477     if (*argrest)
3478       for (int i = 0; i < nelem(rsopts); i++)
3479         if (Ustrcmp(argrest, rsopts[i]) == 0)
3480           {
3481           if (i != 2) f.queue_run_force = TRUE;
3482           if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
3483           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3484           argrest += Ustrlen(rsopts[i]);
3485           }
3486
3487     /* -S: Set string to match in addresses for forced queue run to
3488     pick out particular messages. */
3489
3490     const char *tainted_selectstr;
3491     if (*argrest)
3492       tainted_selectstr = argrest;
3493     else if (i+1 < argc)
3494       tainted_selectstr = argv[++i];
3495     else
3496       exim_fail("exim: string expected after -S\n");
3497     deliver_selectstring_sender = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-S"), TRUE);
3498     break;
3499
3500     /* -Tqt is an option that is exclusively for use by the testing suite.
3501     It is not recognized in other circumstances. It allows for the setting up
3502     of explicit "queue times" so that various warning/retry things can be
3503     tested. Otherwise variability of clock ticks etc. cause problems. */
3504
3505     case 'T':
3506     if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3507       fudged_queue_times = string_copy_taint(argv[++i], TRUE);
3508     else badarg = TRUE;
3509     break;
3510
3511
3512     /* -t: Set flag to extract recipients from body of message. */
3513
3514     case 't':
3515     if (!*argrest) extract_recipients = TRUE;
3516
3517     /* -ti: Set flag to extract recipients from body of message, and also
3518     specify that dot does not end the message. */
3519
3520     else if (Ustrcmp(argrest, "i") == 0)
3521       {
3522       extract_recipients = TRUE;
3523       f.dot_ends = FALSE;
3524       }
3525
3526     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3527
3528     #ifndef DISABLE_TLS
3529     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3530     #endif
3531
3532     else badarg = TRUE;
3533     break;
3534
3535
3536     /* -U: This means "initial user submission" in sendmail, apparently. The
3537     doc claims that in future sendmail may refuse syntactically invalid
3538     messages instead of fixing them. For the moment, we just ignore it. */
3539
3540     case 'U':
3541     break;
3542
3543
3544     /* -v: verify things - this is a very low-level debugging */
3545
3546     case 'v':
3547     if (!*argrest)
3548       {
3549       debug_selector |= D_v;
3550       debug_file = stderr;
3551       }
3552     else badarg = TRUE;
3553     break;
3554
3555
3556     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3557
3558       The -x flag tells the sendmail command that mail from a local
3559       mail program has National Language Support (NLS) extended characters
3560       in the body of the mail item. The sendmail command can send mail with
3561       extended NLS characters across networks that normally corrupts these
3562       8-bit characters.
3563
3564     As Exim is 8-bit clean, it just ignores this flag. */
3565
3566     case 'x':
3567     if (*argrest) badarg = TRUE;
3568     break;
3569
3570     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3571     logs to that file.  We swallow the parameter and otherwise ignore it. */
3572
3573     case 'X':
3574     if (!*argrest)
3575       if (++i >= argc)
3576         exim_fail("exim: string expected after -X\n");
3577     break;
3578
3579     /* -z: a line of text to log */
3580
3581     case 'z':
3582     if (!*argrest)
3583       if (++i < argc)
3584         log_oneline = string_copy_taint(exim_str_fail_toolong(argv[i], 2048, "-z logtext"), TRUE);
3585       else
3586         exim_fail("exim: file name expected after %s\n", argv[i-1]);
3587     break;
3588
3589     /* All other initial characters are errors */
3590
3591     default:
3592     badarg = TRUE;
3593     break;
3594     }         /* End of high-level switch statement */
3595
3596   /* Failed to recognize the option, or syntax error */
3597
3598   if (badarg)
3599     exim_fail("exim abandoned: unknown, malformed, or incomplete "
3600       "option %s\n", arg);
3601   }
3602
3603
3604 /* If -R or -S have been specified without -q, assume a single queue run. */
3605
3606  if (  (deliver_selectstring || deliver_selectstring_sender)
3607     && queue_interval < 0)
3608   queue_interval = 0;
3609
3610
3611 END_ARG:
3612  store_pool = old_pool;
3613  }
3614
3615 /* If usage_wanted is set we call the usage function - which never returns */
3616 if (usage_wanted) exim_usage(called_as);
3617
3618 /* Arguments have been processed. Check for incompatibilities. */
3619 if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
3620       && (  f.daemon_listen || queue_interval >= 0 || bi_option
3621          || test_retry_arg >= 0 || test_rewrite_arg >= 0
3622          || filter_test != FTEST_NONE
3623          || msg_action_arg > 0 && !one_msg_action
3624       )  )
3625    || (  msg_action_arg > 0
3626       && (  f.daemon_listen || queue_interval > 0 || list_options
3627          || checking && msg_action != MSG_LOAD
3628          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
3629       )  )
3630    || (  (f.daemon_listen || queue_interval > 0)
3631       && (  sender_address || list_options || list_queue || checking
3632          || bi_option
3633       )  )
3634    || f.daemon_listen && queue_interval == 0
3635    || f.inetd_wait_mode && queue_interval >= 0
3636    || (  list_options
3637       && (  checking || smtp_input || extract_recipients
3638          || filter_test != FTEST_NONE || bi_option
3639       )  )
3640    || (  verify_address_mode
3641       && (  f.address_test_mode || smtp_input || extract_recipients
3642          || filter_test != FTEST_NONE || bi_option
3643       )  )
3644    || (  f.address_test_mode
3645       && (  smtp_input || extract_recipients || filter_test != FTEST_NONE
3646          || bi_option
3647       )  )
3648    || (  smtp_input
3649       && (sender_address || filter_test != FTEST_NONE || extract_recipients)
3650       )
3651    || deliver_selectstring && queue_interval < 0
3652    || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
3653    )
3654   exim_fail("exim: incompatible command-line options or arguments\n");
3655
3656 /* If debugging is set up, set the file and the file descriptor to pass on to
3657 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3658 to run in the foreground. */
3659
3660 if (debug_selector != 0)
3661   {
3662   debug_file = stderr;
3663   debug_fd = fileno(debug_file);
3664   f.background_daemon = FALSE;
3665   testharness_pause_ms(100);   /* lets caller finish */
3666   if (debug_selector != D_v)    /* -v only doesn't show this */
3667     {
3668     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3669       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3670       debug_selector);
3671     if (!version_printed)
3672       show_whats_supported(stderr);
3673     }
3674   }
3675
3676 /* When started with root privilege, ensure that the limits on the number of
3677 open files and the number of processes (where that is accessible) are
3678 sufficiently large, or are unset, in case Exim has been called from an
3679 environment where the limits are screwed down. Not all OS have the ability to
3680 change some of these limits. */
3681
3682 if (unprivileged)
3683   {
3684   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3685   }
3686 else
3687   {
3688   struct rlimit rlp;
3689
3690   #ifdef RLIMIT_NOFILE
3691   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3692     {
3693     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3694       strerror(errno));
3695     rlp.rlim_cur = rlp.rlim_max = 0;
3696     }
3697
3698   /* I originally chose 1000 as a nice big number that was unlikely to
3699   be exceeded. It turns out that some older OS have a fixed upper limit of
3700   256. */
3701
3702   if (rlp.rlim_cur < 1000)
3703     {
3704     rlp.rlim_cur = rlp.rlim_max = 1000;
3705     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3706       {
3707       rlp.rlim_cur = rlp.rlim_max = 256;
3708       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3709         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3710           strerror(errno));
3711       }
3712     }
3713   #endif
3714
3715   #ifdef RLIMIT_NPROC
3716   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3717     {
3718     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3719       strerror(errno));
3720     rlp.rlim_cur = rlp.rlim_max = 0;
3721     }
3722
3723   #ifdef RLIM_INFINITY
3724   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3725     {
3726     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3727   #else
3728   if (rlp.rlim_cur < 1000)
3729     {
3730     rlp.rlim_cur = rlp.rlim_max = 1000;
3731   #endif
3732     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3733       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3734         strerror(errno));
3735     }
3736   #endif
3737   }
3738
3739 /* Exim is normally entered as root (but some special configurations are
3740 possible that don't do this). However, it always spins off sub-processes that
3741 set their uid and gid as required for local delivery. We don't want to pass on
3742 any extra groups that root may belong to, so we want to get rid of them all at
3743 this point.
3744
3745 We need to obey setgroups() at this stage, before possibly giving up root
3746 privilege for a changed configuration file, but later on we might need to
3747 check on the additional groups for the admin user privilege - can't do that
3748 till after reading the config, which might specify the exim gid. Therefore,
3749 save the group list here first. */
3750
3751 if ((group_count = getgroups(nelem(group_list), group_list)) < 0)
3752   exim_fail("exim: getgroups() failed: %s\n", strerror(errno));
3753
3754 /* There is a fundamental difference in some BSD systems in the matter of
3755 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3756 known not to be different. On the "different" systems there is a single group
3757 list, and the first entry in it is the current group. On all other versions of
3758 Unix there is a supplementary group list, which is in *addition* to the current
3759 group. Consequently, to get rid of all extraneous groups on a "standard" system
3760 you pass over 0 groups to setgroups(), while on a "different" system you pass
3761 over a single group - the current group, which is always the first group in the
3762 list. Calling setgroups() with zero groups on a "different" system results in
3763 an error return. The following code should cope with both types of system.
3764
3765  Unfortunately, recent MacOS, which should be a FreeBSD, "helpfully" succeeds
3766  the "setgroups() with zero groups" - and changes the egid.
3767  Thanks to that we had to stash the original_egid above, for use below
3768  in the call to exim_setugid().
3769
3770 However, if this process isn't running as root, setgroups() can't be used
3771 since you have to be root to run it, even if throwing away groups.
3772 Except, sigh, for Hurd - where you can.
3773 Not being root here happens only in some unusual configurations. */
3774
3775 if (  !unprivileged
3776 #ifndef OS_SETGROUPS_ZERO_DROPS_ALL
3777    && setgroups(0, NULL) != 0
3778 #endif
3779    && setgroups(1, group_list) != 0)
3780   exim_fail("exim: setgroups() failed: %s\n", strerror(errno));
3781
3782 /* If the configuration file name has been altered by an argument on the
3783 command line (either a new file name or a macro definition) and the caller is
3784 not root, or if this is a filter testing run, remove any setuid privilege the
3785 program has and run as the underlying user.
3786
3787 The exim user is locked out of this, which severely restricts the use of -C
3788 for some purposes.
3789
3790 Otherwise, set the real ids to the effective values (should be root unless run
3791 from inetd, which it can either be root or the exim uid, if one is configured).
3792
3793 There is a private mechanism for bypassing some of this, in order to make it
3794 possible to test lots of configurations automatically, without having either to
3795 recompile each time, or to patch in an actual configuration file name and other
3796 values (such as the path name). If running in the test harness, pretend that
3797 configuration file changes and macro definitions haven't happened. */
3798
3799 if ((                                            /* EITHER */
3800     (!f.trusted_config ||                          /* Config changed, or */
3801      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3802     real_uid != root_uid &&                      /* Not root, and */
3803     !f.running_in_test_harness                     /* Not fudged */
3804     ) ||                                         /*   OR   */
3805     expansion_test                               /* expansion testing */
3806     ||                                           /*   OR   */
3807     filter_test != FTEST_NONE)                   /* Filter testing */
3808   {
3809   setgroups(group_count, group_list);
3810   exim_setugid(real_uid, real_gid, FALSE,
3811     US"-C, -D, -be or -bf forces real uid");
3812   removed_privilege = TRUE;
3813
3814   /* In the normal case when Exim is called like this, stderr is available
3815   and should be used for any logging information because attempts to write
3816   to the log will usually fail. To arrange this, we unset really_exim. However,
3817   if no stderr is available there is no point - we might as well have a go
3818   at the log (if it fails, syslog will be written).
3819
3820   Note that if the invoker is Exim, the logs remain available. Messing with
3821   this causes unlogged successful deliveries.  */
3822
3823   if (log_stderr && real_uid != exim_uid)
3824     f.really_exim = FALSE;
3825   }
3826
3827 /* Privilege is to be retained for the moment. It may be dropped later,
3828 depending on the job that this Exim process has been asked to do. For now, set
3829 the real uid to the effective so that subsequent re-execs of Exim are done by a
3830 privileged user. */
3831
3832 else
3833   exim_setugid(geteuid(), original_egid, FALSE, US"forcing real = effective");
3834
3835 /* If testing a filter, open the file(s) now, before wasting time doing other
3836 setups and reading the message. */
3837
3838 if (filter_test & FTEST_SYSTEM)
3839   if ((filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0)) < 0)
3840     exim_fail("exim: failed to open %s: %s\n", filter_test_sfile,
3841       strerror(errno));
3842
3843 if (filter_test & FTEST_USER)
3844   if ((filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0)) < 0)
3845     exim_fail("exim: failed to open %s: %s\n", filter_test_ufile,
3846       strerror(errno));
3847
3848 /* Initialise lookup_list
3849 If debugging, already called above via version reporting.
3850 In either case, we initialise the list of available lookups while running
3851 as root.  All dynamically modules are loaded from a directory which is
3852 hard-coded into the binary and is code which, if not a module, would be
3853 part of Exim already.  Ability to modify the content of the directory
3854 is equivalent to the ability to modify a setuid binary!
3855
3856 This needs to happen before we read the main configuration. */
3857 init_lookup_list();
3858
3859 #ifdef SUPPORT_I18N
3860 if (f.running_in_test_harness) smtputf8_advertise_hosts = NULL;
3861 #endif
3862
3863 /* Read the main runtime configuration data; this gives up if there
3864 is a failure. It leaves the configuration file open so that the subsequent
3865 configuration data for delivery can be read if needed.
3866
3867 NOTE: immediately after opening the configuration file we change the working
3868 directory to "/"! Later we change to $spool_directory. We do it there, because
3869 during readconf_main() some expansion takes place already. */
3870
3871 /* Store the initial cwd before we change directories.  Can be NULL if the
3872 dir has already been unlinked. */
3873 errno = 0;
3874 initial_cwd = os_getcwd(NULL, 0);
3875 if (!initial_cwd && errno)
3876   exim_fail("exim: getting initial cwd failed: %s\n", strerror(errno));
3877
3878 if (initial_cwd && (strlen(CCS initial_cwd) >= BIG_BUFFER_SIZE))
3879   exim_fail("exim: initial cwd is far too long (%d)\n", Ustrlen(CCS initial_cwd));
3880
3881 /* checking:
3882     -be[m] expansion test        -
3883     -b[fF] filter test           new
3884     -bh[c] host test             -
3885     -bmalware malware_test_file  new
3886     -brt   retry test            new
3887     -brw   rewrite test          new
3888     -bt    address test          -
3889     -bv[s] address verify        -
3890    list_options:
3891     -bP <option> (except -bP config, which sets list_config)
3892
3893 If any of these options is set, we suppress warnings about configuration
3894 issues (currently about tls_advertise_hosts and keep_environment not being
3895 defined) */
3896
3897   {
3898 #ifdef MEASURE_TIMING
3899   struct timeval t0, diff;
3900   (void)gettimeofday(&t0, NULL);
3901 #endif
3902
3903   readconf_main(checking || list_options);
3904
3905 #ifdef MEASURE_TIMING
3906   report_time_since(&t0, US"readconf_main (delta)");
3907 #endif
3908   }
3909
3910
3911 /* Now in directory "/" */
3912
3913 if (cleanup_environment() == FALSE)
3914   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3915
3916
3917 /* If an action on specific messages is requested, or if a daemon or queue
3918 runner is being started, we need to know if Exim was called by an admin user.
3919 This is the case if the real user is root or exim, or if the real group is
3920 exim, or if one of the supplementary groups is exim or a group listed in
3921 admin_groups. We don't fail all message actions immediately if not admin_user,
3922 since some actions can be performed by non-admin users. Instead, set admin_user
3923 for later interrogation. */
3924
3925 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3926   f.admin_user = TRUE;
3927 else
3928   for (int i = 0; i < group_count && !f.admin_user; i++)
3929     if (group_list[i] == exim_gid)
3930       f.admin_user = TRUE;
3931     else if (admin_groups)
3932       for (int j = 1; j <= (int)admin_groups[0] && !f.admin_user; j++)
3933         if (admin_groups[j] == group_list[i])
3934           f.admin_user = TRUE;
3935
3936 /* Another group of privileged users are the trusted users. These are root,
3937 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3938 are permitted to specify sender_addresses with -f on the command line, and
3939 other message parameters as well. */
3940
3941 if (real_uid == root_uid || real_uid == exim_uid)
3942   f.trusted_caller = TRUE;
3943 else
3944   {
3945   if (trusted_users)
3946     for (int i = 1; i <= (int)trusted_users[0] && !f.trusted_caller; i++)
3947       if (trusted_users[i] == real_uid)
3948         f.trusted_caller = TRUE;
3949
3950   if (trusted_groups)
3951     for (int i = 1; i <= (int)trusted_groups[0] && !f.trusted_caller; i++)
3952       if (trusted_groups[i] == real_gid)
3953         f.trusted_caller = TRUE;
3954       else for (int j = 0; j < group_count && !f.trusted_caller; j++)
3955         if (trusted_groups[i] == group_list[j])
3956           f.trusted_caller = TRUE;
3957   }
3958
3959 /* At this point, we know if the user is privileged and some command-line
3960 options become possibly impermissible, depending upon the configuration file. */
3961
3962 if (checking && commandline_checks_require_admin && !f.admin_user)
3963   exim_fail("exim: those command-line flags are set to require admin\n");
3964
3965 /* Handle the decoding of logging options. */
3966
3967 decode_bits(log_selector, log_selector_size, log_notall,
3968   log_selector_string, log_options, log_options_count, US"log", 0);
3969
3970 DEBUG(D_any)
3971   {
3972   debug_printf("configuration file is %s\n", config_main_filename);
3973   debug_printf("log selectors =");
3974   for (int i = 0; i < log_selector_size; i++)
3975     debug_printf(" %08x", log_selector[i]);
3976   debug_printf("\n");
3977   }
3978
3979 /* If domain literals are not allowed, check the sender address that was
3980 supplied with -f. Ditto for a stripped trailing dot. */
3981
3982 if (sender_address)
3983   {
3984   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3985     exim_fail("exim: bad -f address \"%s\": domain literals not "
3986       "allowed\n", sender_address);
3987   if (f_end_dot && !strip_trailing_dot)
3988     exim_fail("exim: bad -f address \"%s.\": domain is malformed "
3989       "(trailing dot not allowed)\n", sender_address);
3990   }
3991
3992 /* See if an admin user overrode our logging. */
3993
3994 if (cmdline_syslog_name)
3995   if (f.admin_user)
3996     {
3997     syslog_processname = cmdline_syslog_name;
3998     log_file_path = string_copy(CUS"syslog");
3999     }
4000   else
4001     /* not a panic, non-privileged users should not be able to spam paniclog */
4002     exim_fail(
4003         "exim: you lack sufficient privilege to specify syslog process name\n");
4004
4005 /* Paranoia check of maximum lengths of certain strings. There is a check
4006 on the length of the log file path in log.c, which will come into effect
4007 if there are any calls to write the log earlier than this. However, if we
4008 get this far but the string is very long, it is better to stop now than to
4009 carry on and (e.g.) receive a message and then have to collapse. The call to
4010 log_write() from here will cause the ultimate panic collapse if the complete
4011 file name exceeds the buffer length. */
4012
4013 if (Ustrlen(log_file_path) > 200)
4014   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4015     "log_file_path is longer than 200 chars: aborting");
4016
4017 if (Ustrlen(pid_file_path) > 200)
4018   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4019     "pid_file_path is longer than 200 chars: aborting");
4020
4021 if (Ustrlen(spool_directory) > 200)
4022   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4023     "spool_directory is longer than 200 chars: aborting");
4024
4025 /* Length check on the process name given to syslog for its TAG field,
4026 which is only permitted to be 32 characters or less. See RFC 3164. */
4027
4028 if (Ustrlen(syslog_processname) > 32)
4029   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4030     "syslog_processname is longer than 32 chars: aborting");
4031
4032 if (log_oneline)
4033   if (f.admin_user)
4034     {
4035     log_write(0, LOG_MAIN, "%s", log_oneline);
4036     return EXIT_SUCCESS;
4037     }
4038   else
4039     return EXIT_FAILURE;
4040
4041 /* In some operating systems, the environment variable TMPDIR controls where
4042 temporary files are created; Exim doesn't use these (apart from when delivering
4043 to MBX mailboxes), but called libraries such as DBM libraries may require them.
4044 If TMPDIR is found in the environment, reset it to the value defined in the
4045 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
4046 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
4047 EXIM_TMPDIR by the build scripts.
4048 */
4049
4050 #ifdef EXIM_TMPDIR
4051   if (environ) for (uschar ** p = USS environ; *p; p++)
4052     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
4053       {
4054       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
4055       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
4056       *p = newp;
4057       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
4058       }
4059 #endif
4060
4061 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
4062 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
4063 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4064 called by a user who has set the TZ variable. This then affects the timestamps
4065 in log files and in Received: headers, and any created Date: header lines. The
4066 required timezone is settable in the configuration file, so nothing can be done
4067 about this earlier - but hopefully nothing will normally be logged earlier than
4068 this. We have to make a new environment if TZ is wrong, but don't bother if
4069 timestamps_utc is set, because then all times are in UTC anyway. */
4070
4071 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4072   f.timestamps_utc = TRUE;
4073 else
4074   {
4075   uschar *envtz = US getenv("TZ");
4076   if (envtz
4077       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4078       : timezone_string != NULL
4079      )
4080     {
4081     uschar **p = USS environ;
4082     uschar **new;
4083     uschar **newp;
4084     int count = 0;
4085     if (environ) while (*p++) count++;
4086     if (!envtz) count++;
4087     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4088     if (environ) for (p = USS environ; *p; p++)
4089       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4090     if (timezone_string)
4091       {
4092       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4093       sprintf(CS *newp++, "TZ=%s", timezone_string);
4094       }
4095     *newp = NULL;
4096     environ = CSS new;
4097     tzset();
4098     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4099       tod_stamp(tod_log));
4100     }
4101   }
4102
4103 /* Handle the case when we have removed the setuid privilege because of -C or
4104 -D. This means that the caller of Exim was not root.
4105
4106 There is a problem if we were running as the Exim user. The sysadmin may
4107 expect this case to retain privilege because "the binary was called by the
4108 Exim user", but it hasn't, because either the -D option set macros, or the
4109 -C option set a non-trusted configuration file. There are two possibilities:
4110
4111   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4112       to do message deliveries. Thus, the fact that it is running as a
4113       non-privileged user is plausible, and might be wanted in some special
4114       configurations. However, really_exim will have been set false when
4115       privilege was dropped, to stop Exim trying to write to its normal log
4116       files. Therefore, re-enable normal log processing, assuming the sysadmin
4117       has set up the log directory correctly.
4118
4119   (2) If deliver_drop_privilege is not set, the configuration won't work as
4120       apparently intended, and so we log a panic message. In order to retain
4121       root for -C or -D, the caller must either be root or be invoking a
4122       trusted configuration file (when deliver_drop_privilege is false). */
4123
4124 if (  removed_privilege
4125    && (!f.trusted_config || opt_D_used)
4126    && real_uid == exim_uid)
4127   if (deliver_drop_privilege)
4128     f.really_exim = TRUE; /* let logging work normally */
4129   else
4130     log_write(0, LOG_MAIN|LOG_PANIC,
4131       "exim user lost privilege for using %s option",
4132       f.trusted_config? "-D" : "-C");
4133
4134 /* Start up Perl interpreter if Perl support is configured and there is a
4135 perl_startup option, and the configuration or the command line specifies
4136 initializing starting. Note that the global variables are actually called
4137 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4138
4139 #ifdef EXIM_PERL
4140 if (perl_start_option != 0)
4141   opt_perl_at_start = (perl_start_option > 0);
4142 if (opt_perl_at_start && opt_perl_startup != NULL)
4143   {
4144   uschar *errstr;
4145   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4146   if ((errstr = init_perl(opt_perl_startup)))
4147     exim_fail("exim: error in perl_startup code: %s\n", errstr);
4148   opt_perl_started = TRUE;
4149   }
4150 #endif /* EXIM_PERL */
4151
4152 /* Log the arguments of the call if the configuration file said so. This is
4153 a debugging feature for finding out what arguments certain MUAs actually use.
4154 Don't attempt it if logging is disabled, or if listing variables or if
4155 verifying/testing addresses or expansions. */
4156
4157 if (  (debug_selector & D_any  ||  LOGGING(arguments))
4158    && f.really_exim && !list_options && !checking)
4159   {
4160   uschar *p = big_buffer;
4161   Ustrcpy(p, US"cwd= (failed)");
4162
4163   if (!initial_cwd)
4164     p += 13;
4165   else
4166     {
4167     Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4168     p += 4 + Ustrlen(initial_cwd);
4169     /* in case p is near the end and we don't provide enough space for
4170      * string_format to be willing to write. */
4171     *p = '\0';
4172     }
4173
4174   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4175   while (*p) p++;
4176   for (int i = 0; i < argc; i++)
4177     {
4178     int len = Ustrlen(argv[i]);
4179     const uschar *printing;
4180     uschar *quote;
4181     if (p + len + 8 >= big_buffer + big_buffer_size)
4182       {
4183       Ustrcpy(p, US" ...");
4184       log_write(0, LOG_MAIN, "%s", big_buffer);
4185       Ustrcpy(big_buffer, US"...");
4186       p = big_buffer + 3;
4187       }
4188     printing = string_printing(argv[i]);
4189     if (!*printing) quote = US"\"";
4190     else
4191       {
4192       const uschar *pp = printing;
4193       quote = US"";
4194       while (*pp) if (isspace(*pp++)) { quote = US"\""; break; }
4195       }
4196     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4197       (p - big_buffer) - 4), printing, quote);
4198     }
4199
4200   if (LOGGING(arguments))
4201     log_write(0, LOG_MAIN, "%s", big_buffer);
4202   else
4203     debug_printf("%s\n", big_buffer);
4204   }
4205
4206 /* Set the working directory to be the top-level spool directory. We don't rely
4207 on this in the code, which always uses fully qualified names, but it's useful
4208 for core dumps etc. Don't complain if it fails - the spool directory might not
4209 be generally accessible and calls with the -C option (and others) have lost
4210 privilege by now. Before the chdir, we try to ensure that the directory exists.
4211 */
4212
4213 if (Uchdir(spool_directory) != 0)
4214   {
4215   (void) directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4216   (void) Uchdir(spool_directory);
4217   }
4218
4219 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4220 alias file. Exim doesn't have such a concept, but this call is screwed into
4221 Sun's YP makefiles. Handle this by calling a configured script, as the real
4222 user who called Exim. The -oA option can be used to pass an argument to the
4223 script. */
4224
4225 if (bi_option)
4226   {
4227   (void) fclose(config_file);
4228   if (bi_command && *bi_command)
4229     {
4230     int i = 0;
4231     uschar *argv[3];
4232     argv[i++] = bi_command;
4233     if (alias_arg) argv[i++] = alias_arg;
4234     argv[i++] = NULL;
4235
4236     setgroups(group_count, group_list);
4237     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4238
4239     DEBUG(D_exec) debug_printf("exec '%.256s' %s%.256s%s\n", argv[0],
4240       argv[1] ? "'" : "", argv[1] ? argv[1] : US"", argv[1] ? "'" : "");
4241
4242     execv(CS argv[0], (char *const *)argv);
4243     exim_fail("exim: exec '%s' failed: %s\n", argv[0], strerror(errno));
4244     }
4245   else
4246     {
4247     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4248     exit(EXIT_SUCCESS);
4249     }
4250   }
4251
4252 /* We moved the admin/trusted check to be immediately after reading the
4253 configuration file.  We leave these prints here to ensure that syslog setup,
4254 logfile setup, and so on has already happened. */
4255
4256 if (f.trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4257 if (f.admin_user) DEBUG(D_any) debug_printf("admin user\n");
4258
4259 /* Only an admin user may start the daemon or force a queue run in the default
4260 configuration, but the queue run restriction can be relaxed. Only an admin
4261 user may request that a message be returned to its sender forthwith. Only an
4262 admin user may specify a debug level greater than D_v (because it might show
4263 passwords, etc. in lookup queries). Only an admin user may request a queue
4264 count. Only an admin user can use the test interface to scan for email
4265 (because Exim will be in the spool dir and able to look at mails). */
4266
4267 if (!f.admin_user)
4268   {
4269   BOOL debugset = (debug_selector & ~D_v) != 0;
4270   if (  deliver_give_up || f.daemon_listen || malware_test_file
4271      || count_queue && queue_list_requires_admin
4272      || list_queue && queue_list_requires_admin
4273      || queue_interval >= 0 && prod_requires_admin
4274      || queue_name_dest && prod_requires_admin
4275      || debugset && !f.running_in_test_harness
4276      )
4277     exim_fail("exim:%s permission denied\n", debugset ? " debugging" : "");
4278   }
4279
4280 /* If the real user is not root or the exim uid, the argument for passing
4281 in an open TCP/IP connection for another message is not permitted, nor is
4282 running with the -N option for any delivery action, unless this call to exim is
4283 one that supplied an input message, or we are using a patched exim for
4284 regression testing. */
4285
4286 if (  real_uid != root_uid && real_uid != exim_uid
4287    && (  continue_hostname
4288       || (  f.dont_deliver
4289          && (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
4290       )  )
4291    && !f.running_in_test_harness
4292    )
4293   exim_fail("exim: Permission denied\n");
4294
4295 /* If the caller is not trusted, certain arguments are ignored when running for
4296 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4297 Note that authority for performing certain actions on messages is tested in the
4298 queue_action() function. */
4299
4300 if (!f.trusted_caller && !checking)
4301   {
4302   sender_host_name = sender_host_address = interface_address =
4303     sender_ident = received_protocol = NULL;
4304   sender_host_port = interface_port = 0;
4305   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4306   }
4307
4308 /* If a sender host address is set, extract the optional port number off the
4309 end of it and check its syntax. Do the same thing for the interface address.
4310 Exim exits if the syntax is bad. */
4311
4312 else
4313   {
4314   if (sender_host_address)
4315     sender_host_port = check_port(sender_host_address);
4316   if (interface_address)
4317     interface_port = check_port(interface_address);
4318   }
4319
4320 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4321 if (flag_G)
4322   {
4323   if (f.trusted_caller)
4324     {
4325     f.suppress_local_fixups = f.suppress_local_fixups_default = TRUE;
4326     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4327     }
4328   else
4329     exim_fail("exim: permission denied (-G requires a trusted user)\n");
4330   }
4331
4332 /* If an SMTP message is being received check to see if the standard input is a
4333 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4334 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4335 barf. */
4336
4337 if (smtp_input)
4338   {
4339   union sockaddr_46 inetd_sock;
4340   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4341   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4342     {
4343     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4344     if (family == AF_INET || family == AF_INET6)
4345       {
4346       union sockaddr_46 interface_sock;
4347       size = sizeof(interface_sock);
4348
4349       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4350         interface_address = host_ntoa(-1, &interface_sock, NULL,
4351           &interface_port);
4352
4353       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4354
4355       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4356         {
4357         f.is_inetd = TRUE;
4358         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4359           NULL, &sender_host_port);
4360         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4361           "inetd is not supported when mua_wrapper is set");
4362         }
4363       else
4364         exim_fail(
4365           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4366       }
4367     }
4368   }
4369
4370 /* If the load average is going to be needed while receiving a message, get it
4371 now for those OS that require the first call to os_getloadavg() to be done as
4372 root. There will be further calls later for each message received. */
4373
4374 #ifdef LOAD_AVG_NEEDS_ROOT
4375 if (  receiving_message
4376    && (queue_only_load >= 0 || (f.is_inetd && smtp_load_reserve >= 0)))
4377   load_average = OS_GETLOADAVG();
4378 #endif
4379
4380 /* The queue_only configuration option can be overridden by -odx on the command
4381 line, except that if queue_only_override is false, queue_only cannot be unset
4382 from the command line. */
4383
4384 if (queue_only_set && (queue_only_override || arg_queue_only))
4385   queue_only = arg_queue_only;
4386
4387 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4388 -or and -os. */
4389
4390 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4391 if (arg_smtp_receive_timeout >= 0)
4392   smtp_receive_timeout = arg_smtp_receive_timeout;
4393
4394 /* If Exim was started with root privilege, unless we have already removed the
4395 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4396 except when starting the daemon or doing some kind of delivery or address
4397 testing (-bt). These are the only cases when root need to be retained. We run
4398 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4399 retained only for starting the daemon. We always do the initgroups() in this
4400 situation (controlled by the TRUE below), in order to be as close as possible
4401 to the state Exim usually runs in. */
4402
4403 if (  !unprivileged                             /* originally had root AND */
4404    && !removed_privilege                        /* still got root AND      */
4405    && !f.daemon_listen                          /* not starting the daemon */
4406    && queue_interval <= 0                       /* (either kind of daemon) */
4407    && (                                         /*    AND EITHER           */
4408          deliver_drop_privilege                 /* requested unprivileged  */
4409       || (                                      /*       OR                */
4410             queue_interval < 0                  /* not running the queue   */
4411          && (  msg_action_arg < 0               /*       and               */
4412             || msg_action != MSG_DELIVER        /* not delivering          */
4413             )                                   /*       and               */
4414          && (!checking || !f.address_test_mode) /* not address checking    */
4415          && !rcpt_verify_quota                  /* and not quota checking  */
4416    )  )  )
4417   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4418
4419 /* When we are retaining a privileged uid, we still change to the exim gid. */
4420
4421 else
4422   {
4423   int rv;
4424   DEBUG(D_any) debug_printf("dropping to exim gid; retaining priv uid\n");
4425   rv = setgid(exim_gid);
4426   /* Impact of failure is that some stuff might end up with an incorrect group.
4427   We track this for failures from root, since any attempt to change privilege
4428   by root should succeed and failures should be examined.  For non-root,
4429   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4430   no need to complain then. */
4431   if (rv == -1)
4432     if (!(unprivileged || removed_privilege))
4433       exim_fail("exim: changing group failed: %s\n", strerror(errno));
4434     else
4435       {
4436       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4437           (long int)exim_gid, strerror(errno));
4438       }
4439   }
4440
4441 /* Handle a request to scan a file for malware */
4442 if (malware_test_file)
4443   {
4444 #ifdef WITH_CONTENT_SCAN
4445   int result;
4446   set_process_info("scanning file for malware");
4447   if ((result = malware_in_file(malware_test_file)) == FAIL)
4448     {
4449     printf("No malware found.\n");
4450     exit(EXIT_SUCCESS);
4451     }
4452   if (result != OK)
4453     {
4454     printf("Malware lookup returned non-okay/fail: %d\n", result);
4455     exit(EXIT_FAILURE);
4456     }
4457   if (malware_name)
4458     printf("Malware found: %s\n", malware_name);
4459   else
4460     printf("Malware scan detected malware of unknown name.\n");
4461 #else
4462   printf("Malware scanning not enabled at compile time.\n");
4463 #endif
4464   exit(EXIT_FAILURE);
4465   }
4466
4467 /* Handle a request to list the delivery queue */
4468
4469 if (list_queue)
4470   {
4471   set_process_info("listing the queue");
4472   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4473   exit(EXIT_SUCCESS);
4474   }
4475
4476 /* Handle a request to count the delivery queue */
4477
4478 if (count_queue)
4479   {
4480   set_process_info("counting the queue");
4481   fprintf(stdout, "%u\n", queue_count());
4482   exit(EXIT_SUCCESS);
4483   }
4484
4485 /* Handle actions on specific messages, except for the force delivery and
4486 message load actions, which are done below. Some actions take a whole list of
4487 message ids, which are known to continue up to the end of the arguments. Others
4488 take a single message id and then operate on the recipients list. */
4489
4490 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4491   {
4492   int yield = EXIT_SUCCESS;
4493   set_process_info("acting on specified messages");
4494
4495   /* ACL definitions may be needed when removing a message (-Mrm) because
4496   event_action gets expanded */
4497
4498   if (msg_action == MSG_REMOVE)
4499     readconf_rest();
4500
4501   if (!one_msg_action)
4502     {
4503     for (i = msg_action_arg; i < argc; i++)
4504       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4505         yield = EXIT_FAILURE;
4506     switch (msg_action)
4507       {
4508       case MSG_REMOVE: case MSG_FREEZE: case MSG_THAW: break;
4509       default: printf("\n"); break;
4510       }
4511     }
4512
4513   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4514     recipients_arg)) yield = EXIT_FAILURE;
4515   exit(yield);
4516   }
4517
4518 /* We used to set up here to skip reading the ACL section, on
4519  (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
4520 Now, since the intro of the ${acl } expansion, ACL definitions may be
4521 needed in transports so we lost the optimisation. */
4522
4523   {
4524 #ifdef MEASURE_TIMING
4525   struct timeval t0, diff;
4526   (void)gettimeofday(&t0, NULL);
4527 #endif
4528
4529   readconf_rest();
4530
4531 #ifdef MEASURE_TIMING
4532   report_time_since(&t0, US"readconf_rest (delta)");
4533 #endif
4534   }
4535
4536 /* Handle a request to check quota */
4537 if (rcpt_verify_quota)
4538   if (real_uid != root_uid && real_uid != exim_uid)
4539     exim_fail("exim: Permission denied\n");
4540   else if (recipients_arg >= argc)
4541     exim_fail("exim: missing recipient for quota check\n");
4542   else
4543     {
4544     verify_quota(argv[recipients_arg]);
4545     exim_exit(EXIT_SUCCESS);
4546     }
4547
4548 /* Handle the -brt option. This is for checking out retry configurations.
4549 The next three arguments are a domain name or a complete address, and
4550 optionally two error numbers. All it does is to call the function that
4551 scans the retry configuration data. */
4552
4553 if (test_retry_arg >= 0)
4554   {
4555   retry_config *yield;
4556   int basic_errno = 0;
4557   int more_errno = 0;
4558   uschar *s1, *s2;
4559
4560   if (test_retry_arg >= argc)
4561     {
4562     printf("-brt needs a domain or address argument\n");
4563     exim_exit(EXIT_FAILURE);
4564     }
4565   s1 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_EMAILADDR_MAX, "-brt");
4566   s2 = NULL;
4567
4568   /* If the first argument contains no @ and no . it might be a local user
4569   or it might be a single-component name. Treat as a domain. */
4570
4571   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4572     {
4573     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4574       "being \ntreated as a one-component domain, not as a local part.\n\n",
4575       s1);
4576     }
4577
4578   /* There may be an optional second domain arg. */
4579
4580   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4581     s2 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_DOMAINNAME_MAX, "-brt 2nd");
4582
4583   /* The final arg is an error name */
4584
4585   if (test_retry_arg < argc)
4586     {
4587     uschar *ss = exim_str_fail_toolong(argv[test_retry_arg], EXIM_DRIVERNAME_MAX, "-brt 3rd");
4588     uschar *error =
4589       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4590     if (error != NULL)
4591       {
4592       printf("%s\n", CS error);
4593       return EXIT_FAILURE;
4594       }
4595
4596     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4597     code > 100 as an error is for matching codes to the decade. Turn them into
4598     a real error code, off the decade. */
4599
4600     if (basic_errno == ERRNO_MAIL4XX ||
4601         basic_errno == ERRNO_RCPT4XX ||
4602         basic_errno == ERRNO_DATA4XX)
4603       {
4604       int code = (more_errno >> 8) & 255;
4605       if (code == 255)
4606         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4607       else if (code > 100)
4608         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4609       }
4610     }
4611
4612   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4613     printf("No retry information found\n");
4614   else
4615     {
4616     more_errno = yield->more_errno;
4617     printf("Retry rule: %s  ", yield->pattern);
4618
4619     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4620       {
4621       printf("quota%s%s  ",
4622         (more_errno > 0)? "_" : "",
4623         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4624       }
4625     else if (yield->basic_errno == ECONNREFUSED)
4626       {
4627       printf("refused%s%s  ",
4628         (more_errno > 0)? "_" : "",
4629         (more_errno == 'M')? "MX" :
4630         (more_errno == 'A')? "A" : "");
4631       }
4632     else if (yield->basic_errno == ETIMEDOUT)
4633       {
4634       printf("timeout");
4635       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4636       more_errno &= 255;
4637       if (more_errno != 0) printf("_%s",
4638         (more_errno == 'M')? "MX" : "A");
4639       printf("  ");
4640       }
4641     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4642       printf("auth_failed  ");
4643     else printf("*  ");
4644
4645     for (retry_rule * r = yield->rules; r; r = r->next)
4646       {
4647       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4648       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4649       if (r->rule == 'G')
4650         {
4651         int x = r->p2;
4652         int f = x % 1000;
4653         int d = 100;
4654         printf(",%d.", x/1000);
4655         do
4656           {
4657           printf("%d", f/d);
4658           f %= d;
4659           d /= 10;
4660           }
4661         while (f != 0);
4662         }
4663       printf("; ");
4664       }
4665
4666     printf("\n");
4667     }
4668   exim_exit(EXIT_SUCCESS);
4669   }
4670
4671 /* Handle a request to list one or more configuration options */
4672 /* If -n was set, we suppress some information */
4673
4674 if (list_options)
4675   {
4676   BOOL fail = FALSE;
4677   set_process_info("listing variables");
4678   if (recipients_arg >= argc)
4679     fail = !readconf_print(US"all", NULL, flag_n);
4680   else for (i = recipients_arg; i < argc; i++)
4681     {
4682     if (i < argc - 1 &&
4683         (Ustrcmp(argv[i], "router") == 0 ||
4684          Ustrcmp(argv[i], "transport") == 0 ||
4685          Ustrcmp(argv[i], "authenticator") == 0 ||
4686          Ustrcmp(argv[i], "macro") == 0 ||
4687          Ustrcmp(argv[i], "environment") == 0))
4688       {
4689       fail |= !readconf_print(exim_str_fail_toolong(argv[i+1], EXIM_DRIVERNAME_MAX, "-bP name"), argv[i], flag_n);
4690       i++;
4691       }
4692     else
4693       fail = !readconf_print(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-bP item"), NULL, flag_n);
4694     }
4695   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS);
4696   }
4697
4698 if (list_config)
4699   {
4700   set_process_info("listing config");
4701   exim_exit(readconf_print(US"config", NULL, flag_n)
4702                 ? EXIT_SUCCESS : EXIT_FAILURE);
4703   }
4704
4705
4706 /* Initialise subsystems as required. */
4707
4708 tcp_init();
4709
4710 /* Handle a request to deliver one or more messages that are already on the
4711 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4712 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4713
4714 Delivery of specific messages is typically used for a small number when
4715 prodding by hand (when the option forced_delivery will be set) or when
4716 re-execing to regain root privilege. Each message delivery must happen in a
4717 separate process, so we fork a process for each one, and run them sequentially
4718 so that debugging output doesn't get intertwined, and to avoid spawning too
4719 many processes if a long list is given. However, don't fork for the last one;
4720 this saves a process in the common case when Exim is called to deliver just one
4721 message. */
4722
4723 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4724   {
4725   if (prod_requires_admin && !f.admin_user)
4726     {
4727     fprintf(stderr, "exim: Permission denied\n");
4728     exim_exit(EXIT_FAILURE);
4729     }
4730   set_process_info("delivering specified messages");
4731   if (deliver_give_up) forced_delivery = f.deliver_force_thaw = TRUE;
4732   for (i = msg_action_arg; i < argc; i++)
4733     {
4734     int status;
4735     pid_t pid;
4736     /*XXX This use of argv[i] for msg_id should really be tainted, but doing
4737     that runs into a later copy into the untainted global message_id[] */
4738     /*XXX Do we need a length limit check here? */
4739     if (i == argc - 1)
4740       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4741     else if ((pid = exim_fork(US"cmdline-delivery")) == 0)
4742       {
4743       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4744       exim_underbar_exit(EXIT_SUCCESS);
4745       }
4746     else if (pid < 0)
4747       {
4748       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4749         strerror(errno));
4750       exim_exit(EXIT_FAILURE);
4751       }
4752     else wait(&status);
4753     }
4754   exim_exit(EXIT_SUCCESS);
4755   }
4756
4757
4758 /* If only a single queue run is requested, without SMTP listening, we can just
4759 turn into a queue runner, with an optional starting message id. */
4760
4761 if (queue_interval == 0 && !f.daemon_listen)
4762   {
4763   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4764     start_queue_run_id ? US" starting at " : US"",
4765     start_queue_run_id ? start_queue_run_id: US"",
4766     stop_queue_run_id ?  US" stopping at " : US"",
4767     stop_queue_run_id ?  stop_queue_run_id : US"");
4768   if (*queue_name)
4769     set_process_info("running the '%s' queue (single queue run)", queue_name);
4770   else
4771     set_process_info("running the queue (single queue run)");
4772   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4773   exim_exit(EXIT_SUCCESS);
4774   }
4775
4776
4777 /* Find the login name of the real user running this process. This is always
4778 needed when receiving a message, because it is written into the spool file. It
4779 may also be used to construct a from: or a sender: header, and in this case we
4780 need the user's full name as well, so save a copy of it, checked for RFC822
4781 syntax and munged if necessary, if it hasn't previously been set by the -F
4782 argument. We may try to get the passwd entry more than once, in case NIS or
4783 other delays are in evidence. Save the home directory for use in filter testing
4784 (only). */
4785
4786 for (i = 0;;)
4787   {
4788   if ((pw = getpwuid(real_uid)) != NULL)
4789     {
4790     originator_login = string_copy(US pw->pw_name);
4791     originator_home = string_copy(US pw->pw_dir);
4792
4793     /* If user name has not been set by -F, set it from the passwd entry
4794     unless -f has been used to set the sender address by a trusted user. */
4795
4796     if (!originator_name)
4797       {
4798       if (!sender_address || (!f.trusted_caller && filter_test == FTEST_NONE))
4799         {
4800         uschar *name = US pw->pw_gecos;
4801         uschar *amp = Ustrchr(name, '&');
4802         uschar buffer[256];
4803
4804         /* Most Unix specify that a '&' character in the gecos field is
4805         replaced by a copy of the login name, and some even specify that
4806         the first character should be upper cased, so that's what we do. */
4807
4808         if (amp)
4809           {
4810           int loffset;
4811           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4812             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4813           buffer[loffset] = toupper(buffer[loffset]);
4814           name = buffer;
4815           }
4816
4817         /* If a pattern for matching the gecos field was supplied, apply
4818         it and then expand the name string. */
4819
4820         if (gecos_pattern && gecos_name)
4821           {
4822           const pcre *re;
4823           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4824
4825           if (regex_match_and_setup(re, name, 0, -1))
4826             {
4827             uschar *new_name = expand_string(gecos_name);
4828             expand_nmax = -1;
4829             if (new_name)
4830               {
4831               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4832                 "gecos field \"%s\"\n", new_name, name);
4833               name = new_name;
4834               }
4835             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4836               "\"%s\": %s\n", gecos_name, expand_string_message);
4837             }
4838           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4839             "gecos field \"%s\"\n", gecos_pattern, name);
4840           store_free((void *)re);
4841           }
4842         originator_name = string_copy(name);
4843         }
4844
4845       /* A trusted caller has used -f but not -F */
4846
4847       else originator_name = US"";
4848       }
4849
4850     /* Break the retry loop */
4851
4852     break;
4853     }
4854
4855   if (++i > finduser_retries) break;
4856   sleep(1);
4857   }
4858
4859 /* If we cannot get a user login, log the incident and give up, unless the
4860 configuration specifies something to use. When running in the test harness,
4861 any setting of unknown_login overrides the actual name. */
4862
4863 if (!originator_login || f.running_in_test_harness)
4864   {
4865   if (unknown_login)
4866     {
4867     originator_login = expand_string(unknown_login);
4868     if (!originator_name && unknown_username)
4869       originator_name = expand_string(unknown_username);
4870     if (!originator_name) originator_name = US"";
4871     }
4872   if (!originator_login)
4873     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4874       (int)real_uid);
4875   }
4876
4877 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4878 RFC822 address.*/
4879
4880 originator_name = US parse_fix_phrase(originator_name, Ustrlen(originator_name));
4881
4882 /* If a message is created by this call of Exim, the uid/gid of its originator
4883 are those of the caller. These values are overridden if an existing message is
4884 read in from the spool. */
4885
4886 originator_uid = real_uid;
4887 originator_gid = real_gid;
4888
4889 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4890   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4891
4892 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4893 returns. We leave this till here so that the originator_ fields are available
4894 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4895 mode. */
4896
4897 if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
4898   {
4899   if (mua_wrapper)
4900     {
4901     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4902     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4903       "mua_wrapper is set");
4904     }
4905
4906 # ifndef DISABLE_TLS
4907   /* This also checks that the library linkage is working and we can call
4908   routines in it, so call even if tls_require_ciphers is unset */
4909     {
4910 # ifdef MEASURE_TIMING
4911     struct timeval t0, diff;
4912     (void)gettimeofday(&t0, NULL);
4913 # endif
4914     if (!tls_dropprivs_validate_require_cipher(FALSE))
4915       exit(1);
4916 # ifdef MEASURE_TIMING
4917     report_time_since(&t0, US"validate_ciphers (delta)");
4918 # endif
4919     }
4920 #endif
4921
4922   daemon_go();
4923   }
4924
4925 /* If the sender ident has not been set (by a trusted caller) set it to
4926 the caller. This will get overwritten below for an inetd call. If a trusted
4927 caller has set it empty, unset it. */
4928
4929 if (!sender_ident) sender_ident = originator_login;
4930 else if (!*sender_ident) sender_ident = NULL;
4931
4932 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4933 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4934 originator_* variables set. */
4935
4936 if (test_rewrite_arg >= 0)
4937   {
4938   f.really_exim = FALSE;
4939   if (test_rewrite_arg >= argc)
4940     {
4941     printf("-brw needs an address argument\n");
4942     exim_exit(EXIT_FAILURE);
4943     }
4944   rewrite_test(exim_str_fail_toolong(argv[test_rewrite_arg], EXIM_EMAILADDR_MAX, "-brw"));
4945   exim_exit(EXIT_SUCCESS);
4946   }
4947
4948 /* A locally-supplied message is considered to be coming from a local user
4949 unless a trusted caller supplies a sender address with -f, or is passing in the
4950 message via SMTP (inetd invocation or otherwise). */
4951
4952 if (  !sender_address && !smtp_input
4953    || !f.trusted_caller && filter_test == FTEST_NONE)
4954   {
4955   f.sender_local = TRUE;
4956
4957   /* A trusted caller can supply authenticated_sender and authenticated_id
4958   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4959   defaults except when host checking. */
4960
4961   if (!authenticated_sender && !host_checking)
4962     authenticated_sender = string_sprintf("%s@%s", originator_login,
4963       qualify_domain_sender);
4964   if (!authenticated_id && !host_checking)
4965     authenticated_id = originator_login;
4966   }
4967
4968 /* Trusted callers are always permitted to specify the sender address.
4969 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4970 is specified is the empty address. However, if a trusted caller does not
4971 specify a sender address for SMTP input, we leave sender_address unset. This
4972 causes the MAIL commands to be honoured. */
4973
4974 if (  !smtp_input && !sender_address
4975    || !receive_check_set_sender(sender_address))
4976   {
4977   /* Either the caller is not permitted to set a general sender, or this is
4978   non-SMTP input and the trusted caller has not set a sender. If there is no
4979   sender, or if a sender other than <> is set, override with the originator's
4980   login (which will get qualified below), except when checking things. */
4981
4982   if (  !sender_address                  /* No sender_address set */
4983      ||                                  /*         OR            */
4984        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4985        !checking))                       /* Not running tests, including filter tests */
4986     {
4987     sender_address = originator_login;
4988     f.sender_address_forced = FALSE;
4989     sender_address_domain = 0;
4990     }
4991   }
4992
4993 /* Remember whether an untrusted caller set the sender address */
4994
4995 f.sender_set_untrusted = sender_address != originator_login && !f.trusted_caller;
4996
4997 /* Ensure that the sender address is fully qualified unless it is the empty
4998 address, which indicates an error message, or doesn't exist (root caller, smtp
4999 interface, no -f argument). */
5000
5001 if (sender_address && *sender_address && sender_address_domain == 0)
5002   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
5003     qualify_domain_sender);
5004
5005 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
5006
5007 /* Handle a request to verify a list of addresses, or test them for delivery.
5008 This must follow the setting of the sender address, since routers can be
5009 predicated upon the sender. If no arguments are given, read addresses from
5010 stdin. Set debug_level to at least D_v to get full output for address testing.
5011 */
5012
5013 if (verify_address_mode || f.address_test_mode)
5014   {
5015   int exit_value = 0;
5016   int flags = vopt_qualify;
5017
5018   if (verify_address_mode)
5019     {
5020     if (!verify_as_sender) flags |= vopt_is_recipient;
5021     DEBUG(D_verify) debug_print_ids(US"Verifying:");
5022     }
5023
5024   else
5025     {
5026     flags |= vopt_is_recipient;
5027     debug_selector |= D_v;
5028     debug_file = stderr;
5029     debug_fd = fileno(debug_file);
5030     DEBUG(D_verify) debug_print_ids(US"Address testing:");
5031     }
5032
5033   if (recipients_arg < argc)
5034     while (recipients_arg < argc)
5035       {
5036       /* Supplied addresses are tainted since they come from a user */
5037       uschar * s = string_copy_taint(exim_str_fail_toolong(argv[recipients_arg++], EXIM_DISPLAYMAIL_MAX, "address verification"), TRUE);
5038       while (*s)
5039         {
5040         BOOL finished = FALSE;
5041         uschar *ss = parse_find_address_end(s, FALSE);
5042         if (*ss == ',') *ss = 0; else finished = TRUE;
5043         test_address(s, flags, &exit_value);
5044         s = ss;
5045         if (!finished)
5046           while (*++s == ',' || isspace(*s)) ;
5047         }
5048       }
5049
5050   else for (;;)
5051     {
5052     uschar * s = get_stdinput(NULL, NULL);
5053     if (!s) break;
5054     test_address(string_copy_taint(exim_str_fail_toolong(s, EXIM_DISPLAYMAIL_MAX, "address verification (stdin)"), TRUE), flags, &exit_value);
5055     }
5056
5057   route_tidyup();
5058   exim_exit(exit_value);
5059   }
5060
5061 /* Handle expansion checking. Either expand items on the command line, or read
5062 from stdin if there aren't any. If -Mset was specified, load the message so
5063 that its variables can be used, but restrict this facility to admin users.
5064 Otherwise, if -bem was used, read a message from stdin. */
5065
5066 if (expansion_test)
5067   {
5068   dns_init(FALSE, FALSE, FALSE);
5069   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
5070     {
5071     uschar spoolname[SPOOL_NAME_LENGTH];  /* Not big_buffer; used in spool_read_header() */
5072     if (!f.admin_user)
5073       exim_fail("exim: permission denied\n");
5074     message_id = exim_str_fail_toolong(argv[msg_action_arg], MESSAGE_ID_LENGTH, "message-id");
5075     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
5076     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
5077       printf ("Failed to load message datafile %s\n", message_id);
5078     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
5079       printf ("Failed to load message %s\n", message_id);
5080     }
5081
5082   /* Read a test message from a file. We fudge it up to be on stdin, saving
5083   stdin itself for later reading of expansion strings. */
5084
5085   else if (expansion_test_message)
5086     {
5087     int save_stdin = dup(0);
5088     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
5089     if (fd < 0)
5090       exim_fail("exim: failed to open %s: %s\n", expansion_test_message,
5091         strerror(errno));
5092     (void) dup2(fd, 0);
5093     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5094     message_ended = END_NOTENDED;
5095     read_message_body(receive_msg(extract_recipients));
5096     message_linecount += body_linecount;
5097     (void)dup2(save_stdin, 0);
5098     (void)close(save_stdin);
5099     clearerr(stdin);               /* Required by Darwin */
5100     }
5101
5102   /* Only admin users may see config-file macros this way */
5103
5104   if (!f.admin_user) macros_user = macros = mlast = NULL;
5105
5106   /* Allow $recipients for this testing */
5107
5108   f.enable_dollar_recipients = TRUE;
5109
5110   /* Expand command line items */
5111
5112   if (recipients_arg < argc)
5113     while (recipients_arg < argc)
5114       expansion_test_line(exim_str_fail_toolong(argv[recipients_arg++], EXIM_EMAILADDR_MAX, "recipient"));
5115
5116   /* Read stdin */
5117
5118   else
5119     {
5120     char *(*fn_readline)(const char *) = NULL;
5121     void (*fn_addhist)(const char *) = NULL;
5122     uschar * s;
5123
5124 #ifdef USE_READLINE
5125     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5126 #endif
5127
5128     while (s = get_stdinput(fn_readline, fn_addhist))
5129       expansion_test_line(s);
5130
5131 #ifdef USE_READLINE
5132     if (dlhandle) dlclose(dlhandle);
5133 #endif
5134     }
5135
5136   /* The data file will be open after -Mset */
5137
5138   if (deliver_datafile >= 0)
5139     {
5140     (void)close(deliver_datafile);
5141     deliver_datafile = -1;
5142     }
5143
5144   exim_exit(EXIT_SUCCESS);
5145   }
5146
5147
5148 /* The active host name is normally the primary host name, but it can be varied
5149 for hosts that want to play several parts at once. We need to ensure that it is
5150 set for host checking, and for receiving messages. */
5151
5152 smtp_active_hostname = primary_hostname;
5153 if (raw_active_hostname != NULL)
5154   {
5155   uschar *nah = expand_string(raw_active_hostname);
5156   if (nah == NULL)
5157     {
5158     if (!f.expand_string_forcedfail)
5159       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5160         "(smtp_active_hostname): %s", raw_active_hostname,
5161         expand_string_message);
5162     }
5163   else if (nah[0] != 0) smtp_active_hostname = nah;
5164   }
5165
5166 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5167 given IP address so that the blocking and relay configuration can be tested.
5168 Unless a sender_ident was set by -oMt, we discard it (the default is the
5169 caller's login name). An RFC 1413 call is made only if we are running in the
5170 test harness and an incoming interface and both ports are specified, because
5171 there is no TCP/IP call to find the ident for. */
5172
5173 if (host_checking)
5174   {
5175   int x[4];
5176   int size;
5177
5178   if (!sender_ident_set)
5179     {
5180     sender_ident = NULL;
5181     if (f.running_in_test_harness && sender_host_port
5182        && interface_address && interface_port)
5183       verify_get_ident(1223);           /* note hardwired port number */
5184     }
5185
5186   /* In case the given address is a non-canonical IPv6 address, canonicalize
5187   it. The code works for both IPv4 and IPv6, as it happens. */
5188
5189   size = host_aton(sender_host_address, x);
5190   sender_host_address = store_get(48, FALSE);  /* large enough for full IPv6 */
5191   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5192
5193   /* Now set up for testing */
5194
5195   host_build_sender_fullhost();
5196   smtp_input = TRUE;
5197   smtp_in = stdin;
5198   smtp_out = stdout;
5199   f.sender_local = FALSE;
5200   f.sender_host_notsocket = TRUE;
5201   debug_file = stderr;
5202   debug_fd = fileno(debug_file);
5203   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5204     "**** but without any ident (RFC 1413) callback.\n"
5205     "**** This is not for real!\n\n",
5206       sender_host_address);
5207
5208   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5209   if (verify_check_host(&hosts_connection_nolog) == OK)
5210     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5211   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5212
5213   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5214   because a log line has already been written for all its failure exists
5215   (usually "connection refused: <reason>") and writing another one is
5216   unnecessary clutter. */
5217
5218   if (smtp_start_session())
5219     {
5220     rmark reset_point;
5221     for (; (reset_point = store_mark()); store_reset(reset_point))
5222       {
5223       if (smtp_setup_msg() <= 0) break;
5224       if (!receive_msg(FALSE)) break;
5225
5226       return_path = sender_address = NULL;
5227       dnslist_domain = dnslist_matched = NULL;
5228 #ifndef DISABLE_DKIM
5229       dkim_cur_signer = NULL;
5230 #endif
5231       acl_var_m = NULL;
5232       deliver_localpart_orig = NULL;
5233       deliver_domain_orig = NULL;
5234       callout_address = sending_ip_address = NULL;
5235       deliver_localpart_data = deliver_domain_data =
5236       recipient_data = sender_data = NULL;
5237       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5238       }
5239     smtp_log_no_mail();
5240     }
5241   exim_exit(EXIT_SUCCESS);
5242   }
5243
5244
5245 /* Arrange for message reception if recipients or SMTP were specified;
5246 otherwise complain unless a version print (-bV) happened or this is a filter
5247 verification test or info dump.
5248 In the former case, show the configuration file name. */
5249
5250 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5251   {
5252   if (version_printed)
5253     {
5254     if (Ustrchr(config_main_filelist, ':'))
5255       printf("Configuration file search path is %s\n", config_main_filelist);
5256     printf("Configuration file is %s\n", config_main_filename);
5257     return EXIT_SUCCESS;
5258     }
5259
5260   if (info_flag != CMDINFO_NONE)
5261     {
5262     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5263     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5264     }
5265
5266   if (filter_test == FTEST_NONE)
5267     exim_usage(called_as);
5268   }
5269
5270
5271 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5272 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5273 that we are not called from inetd, because that is rejected above. The
5274 following configuration settings are forced here:
5275
5276   (1) Synchronous delivery (-odi)
5277   (2) Errors to stderr (-oep == -oeq)
5278   (3) No parallel remote delivery
5279   (4) Unprivileged delivery
5280
5281 We don't force overall queueing options because there are several of them;
5282 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5283 to override any SMTP queueing. */
5284
5285 if (mua_wrapper)
5286   {
5287   f.synchronous_delivery = TRUE;
5288   arg_error_handling = ERRORS_STDERR;
5289   remote_max_parallel = 1;
5290   deliver_drop_privilege = TRUE;
5291   f.queue_smtp = FALSE;
5292   queue_smtp_domains = NULL;
5293 #ifdef SUPPORT_I18N
5294   message_utf8_downconvert = -1;        /* convert-if-needed */
5295 #endif
5296   }
5297
5298
5299 /* Prepare to accept one or more new messages on the standard input. When a
5300 message has been read, its id is returned in message_id[]. If doing immediate
5301 delivery, we fork a delivery process for each received message, except for the
5302 last one, where we can save a process switch.
5303
5304 It is only in non-smtp mode that error_handling is allowed to be changed from
5305 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5306 sendmail error modes other than -oem ever actually used? Later: yes.) */
5307
5308 if (!smtp_input) error_handling = arg_error_handling;
5309
5310 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5311 logging being sent down the socket and make an identd call to get the
5312 sender_ident. */
5313
5314 else if (f.is_inetd)
5315   {
5316   (void)fclose(stderr);
5317   exim_nullstd();                       /* Re-open to /dev/null */
5318   verify_get_ident(IDENT_PORT);
5319   host_build_sender_fullhost();
5320   set_process_info("handling incoming connection from %s via inetd",
5321     sender_fullhost);
5322   }
5323
5324 /* If the sender host address has been set, build sender_fullhost if it hasn't
5325 already been done (which it will have been for inetd). This caters for the
5326 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5327 so that the test for IP options is skipped for -bs input. */
5328
5329 if (sender_host_address && !sender_fullhost)
5330   {
5331   host_build_sender_fullhost();
5332   set_process_info("handling incoming connection from %s via -oMa",
5333     sender_fullhost);
5334   f.sender_host_notsocket = TRUE;
5335   }
5336
5337 /* Otherwise, set the sender host as unknown except for inetd calls. This
5338 prevents host checking in the case of -bs not from inetd and also for -bS. */
5339
5340 else if (!f.is_inetd) f.sender_host_unknown = TRUE;
5341
5342 /* If stdout does not exist, then dup stdin to stdout. This can happen
5343 if exim is started from inetd. In this case fd 0 will be set to the socket,
5344 but fd 1 will not be set. This also happens for passed SMTP channels. */
5345
5346 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5347
5348 /* Set up the incoming protocol name and the state of the program. Root is
5349 allowed to force received protocol via the -oMr option above. If we have come
5350 via inetd, the process info has already been set up. We don't set
5351 received_protocol here for smtp input, as it varies according to
5352 batch/HELO/EHLO/AUTH/TLS. */
5353
5354 if (smtp_input)
5355   {
5356   if (!f.is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5357     smtp_batched_input? "batched " : "",
5358     (sender_address!= NULL)? sender_address : originator_login);
5359   }
5360 else
5361   {
5362   int old_pool = store_pool;
5363   store_pool = POOL_PERM;
5364   if (!received_protocol)
5365     received_protocol = string_sprintf("local%s", called_as);
5366   store_pool = old_pool;
5367   set_process_info("accepting a local non-SMTP message from <%s>",
5368     sender_address);
5369   }
5370
5371 /* Initialize the session_local_queue-only flag (this will be ignored if
5372 mua_wrapper is set) */
5373
5374 queue_check_only();
5375 session_local_queue_only = queue_only;
5376
5377 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5378 the spool if so configured. On failure, we must not attempt to send an error
5379 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5380 error code is given.) */
5381
5382 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5383   exim_fail("exim: insufficient disk space\n");
5384
5385 /* If this is smtp input of any kind, real or batched, handle the start of the
5386 SMTP session.
5387
5388 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5389 because a log line has already been written for all its failure exists
5390 (usually "connection refused: <reason>") and writing another one is
5391 unnecessary clutter. */
5392
5393 if (smtp_input)
5394   {
5395   smtp_in = stdin;
5396   smtp_out = stdout;
5397   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5398   if (verify_check_host(&hosts_connection_nolog) == OK)
5399     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5400   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5401   if (!smtp_start_session())
5402     {
5403     mac_smtp_fflush();
5404     exim_exit(EXIT_SUCCESS);
5405     }
5406   }
5407
5408 /* Otherwise, set up the input size limit here. */
5409
5410 else
5411   {
5412   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5413   if (expand_string_message)
5414     if (thismessage_size_limit == -1)
5415       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5416         "message_size_limit: %s", expand_string_message);
5417     else
5418       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5419         "message_size_limit: %s", expand_string_message);
5420   }
5421
5422 /* Loop for several messages when reading SMTP input. If we fork any child
5423 processes, we don't want to wait for them unless synchronous delivery is
5424 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5425 same as SIG_DFL, despite the fact that documentation often lists the default as
5426 "ignore". This is a confusing area. This is what I know:
5427
5428 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5429 processes that complete simply to go away without ever becoming defunct. You
5430 can't then wait for them - but we don't want to wait for them in the
5431 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5432 happen for all OS (e.g. *BSD is different).
5433
5434 But that's not the end of the story. Some (many? all?) systems have the
5435 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5436 has by default, so it seems that the difference is merely one of default
5437 (compare restarting vs non-restarting signals).
5438
5439 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5440 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5441 of the loop below. Paranoia rules.
5442
5443 February 2003: That's *still* not the end of the story. There are now versions
5444 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5445 process then calls waitpid(), a grumble is written to the system log, because
5446 this is logically inconsistent. In other words, it doesn't like the paranoia.
5447 As a consequence of this, the waitpid() below is now excluded if we are sure
5448 that SIG_IGN works. */
5449
5450 if (!f.synchronous_delivery)
5451   {
5452   #ifdef SA_NOCLDWAIT
5453   struct sigaction act;
5454   act.sa_handler = SIG_IGN;
5455   sigemptyset(&(act.sa_mask));
5456   act.sa_flags = SA_NOCLDWAIT;
5457   sigaction(SIGCHLD, &act, NULL);
5458   #else
5459   signal(SIGCHLD, SIG_IGN);
5460   #endif
5461   }
5462
5463 /* Save the current store pool point, for resetting at the start of
5464 each message, and save the real sender address, if any. */
5465
5466 real_sender_address = sender_address;
5467
5468 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5469 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5470 collapsed). */
5471
5472 while (more)
5473   {
5474   rmark reset_point = store_mark();
5475   message_id[0] = 0;
5476
5477   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5478   input and build the recipients list, before calling receive_msg() to read the
5479   message proper. Whatever sender address is given in the SMTP transaction is
5480   often ignored for local senders - we use the actual sender, which is normally
5481   either the underlying user running this process or a -f argument provided by
5482   a trusted caller. It is saved in real_sender_address. The test for whether to
5483   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5484
5485   if (smtp_input)
5486     {
5487     int rc;
5488     if ((rc = smtp_setup_msg()) > 0)
5489       {
5490       if (real_sender_address != NULL &&
5491           !receive_check_set_sender(sender_address))
5492         {
5493         sender_address = raw_sender = real_sender_address;
5494         sender_address_unrewritten = NULL;
5495         }
5496
5497       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5498       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5499       the very end. The result of the ACL is ignored (as for other non-SMTP
5500       messages). It is run for its potential side effects. */
5501
5502       if (smtp_batched_input && acl_not_smtp_start != NULL)
5503         {
5504         uschar *user_msg, *log_msg;
5505         f.enable_dollar_recipients = TRUE;
5506         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5507           &user_msg, &log_msg);
5508         f.enable_dollar_recipients = FALSE;
5509         }
5510
5511       /* Now get the data for the message */
5512
5513       more = receive_msg(extract_recipients);
5514       if (message_id[0] == 0)
5515         {
5516         cancel_cutthrough_connection(TRUE, US"receive dropped");
5517         if (more) goto moreloop;
5518         smtp_log_no_mail();               /* Log no mail if configured */
5519         exim_exit(EXIT_FAILURE);
5520         }
5521       }
5522     else
5523       {
5524       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5525       smtp_log_no_mail();               /* Log no mail if configured */
5526       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS);
5527       }
5528     }
5529
5530   /* In the non-SMTP case, we have all the information from the command
5531   line, but must process it in case it is in the more general RFC822
5532   format, and in any case, to detect syntax errors. Also, it appears that
5533   the use of comma-separated lists as single arguments is common, so we
5534   had better support them. */
5535
5536   else
5537     {
5538     int rcount = 0;
5539     int count = argc - recipients_arg;
5540     uschar **list = argv + recipients_arg;
5541
5542     /* These options cannot be changed dynamically for non-SMTP messages */
5543
5544     f.active_local_sender_retain = local_sender_retain;
5545     f.active_local_from_check = local_from_check;
5546
5547     /* Save before any rewriting */
5548
5549     raw_sender = string_copy(sender_address);
5550
5551     /* Loop for each argument (supplied by user hence tainted) */
5552
5553     for (int i = 0; i < count; i++)
5554       {
5555       int start, end, domain;
5556       uschar * errmess;
5557       /* There can be multiple addresses, so EXIM_DISPLAYMAIL_MAX (tuned for 1) is too short.
5558        * We'll still want to cap it to something, just in case. */
5559       uschar * s = string_copy_taint(exim_str_fail_toolong(list[i], BIG_BUFFER_SIZE, "address argument"), TRUE);
5560
5561       /* Loop for each comma-separated address */
5562
5563       while (*s != 0)
5564         {
5565         BOOL finished = FALSE;
5566         uschar *recipient;
5567         uschar *ss = parse_find_address_end(s, FALSE);
5568
5569         if (*ss == ',') *ss = 0; else finished = TRUE;
5570
5571         /* Check max recipients - if -t was used, these aren't recipients */
5572
5573         if (recipients_max > 0 && ++rcount > recipients_max &&
5574             !extract_recipients)
5575           if (error_handling == ERRORS_STDERR)
5576             {
5577             fprintf(stderr, "exim: too many recipients\n");
5578             exim_exit(EXIT_FAILURE);
5579             }
5580           else
5581             return
5582               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5583                 errors_sender_rc : EXIT_FAILURE;
5584
5585 #ifdef SUPPORT_I18N
5586         {
5587         BOOL b = allow_utf8_domains;
5588         allow_utf8_domains = TRUE;
5589 #endif
5590         recipient =
5591           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5592
5593 #ifdef SUPPORT_I18N
5594         if (string_is_utf8(recipient))
5595           message_smtputf8 = TRUE;
5596         else
5597           allow_utf8_domains = b;
5598         }
5599 #endif
5600         if (domain == 0 && !f.allow_unqualified_recipient)
5601           {
5602           recipient = NULL;
5603           errmess = US"unqualified recipient address not allowed";
5604           }
5605
5606         if (!recipient)
5607           if (error_handling == ERRORS_STDERR)
5608             {
5609             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5610               string_printing(list[i]), errmess);
5611             exim_exit(EXIT_FAILURE);
5612             }
5613           else
5614             {
5615             error_block eblock;
5616             eblock.next = NULL;
5617             eblock.text1 = string_printing(list[i]);
5618             eblock.text2 = errmess;
5619             return
5620               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5621                 errors_sender_rc : EXIT_FAILURE;
5622             }
5623
5624         receive_add_recipient(string_copy_taint(recipient, TRUE), -1);
5625         s = ss;
5626         if (!finished)
5627           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5628         }
5629       }
5630
5631     /* Show the recipients when debugging */
5632
5633     DEBUG(D_receive)
5634       {
5635       if (sender_address) debug_printf("Sender: %s\n", sender_address);
5636       if (recipients_list)
5637         {
5638         debug_printf("Recipients:\n");
5639         for (int i = 0; i < recipients_count; i++)
5640           debug_printf("  %s\n", recipients_list[i].address);
5641         }
5642       }
5643
5644     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5645     ignored; rejecting here would just add complication, and it can just as
5646     well be done later. Allow $recipients to be visible in the ACL. */
5647
5648     if (acl_not_smtp_start)
5649       {
5650       uschar *user_msg, *log_msg;
5651       f.enable_dollar_recipients = TRUE;
5652       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5653         &user_msg, &log_msg);
5654       f.enable_dollar_recipients = FALSE;
5655       }
5656
5657     /* Pause for a while waiting for input.  If none received in that time,
5658     close the logfile, if we had one open; then if we wait for a long-running
5659     datasource (months, in one use-case) log rotation will not leave us holding
5660     the file copy. */
5661
5662     if (!receive_timeout)
5663       {
5664       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5665       fd_set r;
5666
5667       FD_ZERO(&r); FD_SET(0, &r);
5668       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5669       }
5670
5671     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5672     will just read the headers for the message, and not write anything onto the
5673     spool. */
5674
5675     message_ended = END_NOTENDED;
5676     more = receive_msg(extract_recipients);
5677
5678     /* more is always FALSE here (not SMTP message) when reading a message
5679     for real; when reading the headers of a message for filter testing,
5680     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5681
5682     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5683     }  /* Non-SMTP message reception */
5684
5685   /* If this is a filter testing run, there are headers in store, but
5686   no message on the spool. Run the filtering code in testing mode, setting
5687   the domain to the qualify domain and the local part to the current user,
5688   unless they have been set by options. The prefix and suffix are left unset
5689   unless specified. The the return path is set to to the sender unless it has
5690   already been set from a return-path header in the message. */
5691
5692   if (filter_test != FTEST_NONE)
5693     {
5694     deliver_domain = ftest_domain ? ftest_domain : qualify_domain_recipient;
5695     deliver_domain_orig = deliver_domain;
5696     deliver_localpart = ftest_localpart ? ftest_localpart : originator_login;
5697     deliver_localpart_orig = deliver_localpart;
5698     deliver_localpart_prefix = ftest_prefix;
5699     deliver_localpart_suffix = ftest_suffix;
5700     deliver_home = originator_home;
5701
5702     if (!return_path)
5703       {
5704       printf("Return-path copied from sender\n");
5705       return_path = string_copy(sender_address);
5706       }
5707     else
5708       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5709     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5710
5711     receive_add_recipient(
5712       string_sprintf("%s%s%s@%s",
5713         ftest_prefix ? ftest_prefix : US"",
5714         deliver_localpart,
5715         ftest_suffix ? ftest_suffix : US"",
5716         deliver_domain), -1);
5717
5718     printf("Recipient   = %s\n", recipients_list[0].address);
5719     if (ftest_prefix) printf("Prefix    = %s\n", ftest_prefix);
5720     if (ftest_suffix) printf("Suffix    = %s\n", ftest_suffix);
5721
5722     if (chdir("/"))   /* Get away from wherever the user is running this from */
5723       {
5724       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5725       exim_exit(EXIT_FAILURE);
5726       }
5727
5728     /* Now we run either a system filter test, or a user filter test, or both.
5729     In the latter case, headers added by the system filter will persist and be
5730     available to the user filter. We need to copy the filter variables
5731     explicitly. */
5732
5733     if (filter_test & FTEST_SYSTEM)
5734       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5735         exim_exit(EXIT_FAILURE);
5736
5737     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5738
5739     if (filter_test & FTEST_USER)
5740       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5741         exim_exit(EXIT_FAILURE);
5742
5743     exim_exit(EXIT_SUCCESS);
5744     }
5745
5746   /* Else act on the result of message reception. We should not get here unless
5747   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5748   will be TRUE. If it is not, check on the number of messages received in this
5749   connection. */
5750
5751   if (  !session_local_queue_only
5752      && smtp_accept_queue_per_connection > 0
5753      && receive_messagecount > smtp_accept_queue_per_connection)
5754     {
5755     session_local_queue_only = TRUE;
5756     queue_only_reason = 2;
5757     }
5758
5759   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5760   and queue_only_load is set, check that the load average is below it. If it is
5761   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5762   default), we put the whole session into queue_only mode. It then remains this
5763   way for any subsequent messages on the same SMTP connection. This is a
5764   deliberate choice; even though the load average may fall, it doesn't seem
5765   right to deliver later messages on the same call when not delivering earlier
5766   ones. However, there are odd cases where this is not wanted, so this can be
5767   changed by setting queue_only_load_latch false. */
5768
5769   if (!(local_queue_only = session_local_queue_only) && queue_only_load >= 0)
5770     if ((local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load))
5771       {
5772       queue_only_reason = 3;
5773       if (queue_only_load_latch) session_local_queue_only = TRUE;
5774       }
5775
5776   /* If running as an MUA wrapper, all queueing options and freezing options
5777   are ignored. */
5778
5779   if (mua_wrapper)
5780     local_queue_only = f.queue_only_policy = f.deliver_freeze = FALSE;
5781
5782   /* Log the queueing here, when it will get a message id attached, but
5783   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5784   connections). */
5785
5786   if (local_queue_only)
5787     {
5788     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5789     switch(queue_only_reason)
5790       {
5791       case 2:
5792         log_write(L_delay_delivery,
5793                 LOG_MAIN, "no immediate delivery: more than %d messages "
5794           "received in one connection", smtp_accept_queue_per_connection);
5795         break;
5796
5797       case 3:
5798         log_write(L_delay_delivery,
5799                 LOG_MAIN, "no immediate delivery: load average %.2f",
5800                 (double)load_average/1000.0);
5801       break;
5802       }
5803     }
5804
5805   else if (f.queue_only_policy || f.deliver_freeze)
5806     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5807
5808   /* Else do the delivery unless the ACL or local_scan() called for queue only
5809   or froze the message. Always deliver in a separate process. A fork failure is
5810   not a disaster, as the delivery will eventually happen on a subsequent queue
5811   run. The search cache must be tidied before the fork, as the parent will
5812   do it before exiting. The child will trigger a lookup failure and
5813   thereby defer the delivery if it tries to use (for example) a cached ldap
5814   connection that the parent has called unbind on. */
5815
5816   else
5817     {
5818     pid_t pid;
5819     search_tidyup();
5820
5821     if ((pid = exim_fork(US"local-accept-delivery")) == 0)
5822       {
5823       int rc;
5824       close_unwanted();      /* Close unwanted file descriptors and TLS */
5825       exim_nullstd();        /* Ensure std{in,out,err} exist */
5826
5827       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5828       mode, deliver_drop_privilege is forced TRUE). */
5829
5830       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5831         {
5832         delivery_re_exec(CEE_EXEC_EXIT);
5833         /* Control does not return here. */
5834         }
5835
5836       /* No need to re-exec */
5837
5838       rc = deliver_message(message_id, FALSE, FALSE);
5839       search_tidyup();
5840       exim_underbar_exit(!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED
5841         ? EXIT_SUCCESS : EXIT_FAILURE);
5842       }
5843
5844     if (pid < 0)
5845       {
5846       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5847       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5848         "process: %s", strerror(errno));
5849       }
5850     else
5851       {
5852       release_cutthrough_connection(US"msg passed for delivery");
5853
5854       /* In the parent, wait if synchronous delivery is required. This will
5855       always be the case in MUA wrapper mode. */
5856
5857       if (f.synchronous_delivery)
5858         {
5859         int status;
5860         while (wait(&status) != pid);
5861         if ((status & 0x00ff) != 0)
5862           log_write(0, LOG_MAIN|LOG_PANIC,
5863             "process %d crashed with signal %d while delivering %s",
5864             (int)pid, status & 0x00ff, message_id);
5865         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5866         }
5867       }
5868     }
5869
5870   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5871   automatically reaps children (see comments above the loop), clear away any
5872   finished subprocesses here, in case there are lots of messages coming in
5873   from the same source. */
5874
5875   #ifndef SIG_IGN_WORKS
5876   while (waitpid(-1, NULL, WNOHANG) > 0);
5877   #endif
5878
5879 moreloop:
5880   return_path = sender_address = NULL;
5881   authenticated_sender = NULL;
5882   deliver_localpart_orig = NULL;
5883   deliver_domain_orig = NULL;
5884   deliver_host = deliver_host_address = NULL;
5885   dnslist_domain = dnslist_matched = NULL;
5886 #ifdef WITH_CONTENT_SCAN
5887   malware_name = NULL;
5888 #endif
5889   callout_address = NULL;
5890   sending_ip_address = NULL;
5891   deliver_localpart_data = deliver_domain_data =
5892   recipient_data = sender_data = NULL;
5893   acl_var_m = NULL;
5894   for(int i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
5895
5896   store_reset(reset_point);
5897   }
5898
5899 exim_exit(EXIT_SUCCESS);   /* Never returns */
5900 return 0;                  /* To stop compiler warning */
5901 }
5902
5903
5904 /* End of exim.c */