tidying: coverity issues
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base62",
203   US"base62d",
204   US"base64",
205   US"base64d",
206   US"domain",
207   US"escape",
208   US"eval",
209   US"eval10",
210   US"expand",
211   US"h",
212   US"hash",
213   US"hex2b64",
214   US"hexquote",
215   US"ipv6denorm",
216   US"ipv6norm",
217   US"l",
218   US"lc",
219   US"length",
220   US"listcount",
221   US"listnamed",
222   US"mask",
223   US"md5",
224   US"nh",
225   US"nhash",
226   US"quote",
227   US"randint",
228   US"rfc2047",
229   US"rfc2047d",
230   US"rxquote",
231   US"s",
232   US"sha1",
233   US"sha256",
234   US"stat",
235   US"str2b64",
236   US"strlen",
237   US"substr",
238   US"uc",
239   US"utf8clean" };
240
241 enum {
242   EOP_ADDRESS =  nelem(op_table_underscore),
243   EOP_ADDRESSES,
244   EOP_BASE62,
245   EOP_BASE62D,
246   EOP_BASE64,
247   EOP_BASE64D,
248   EOP_DOMAIN,
249   EOP_ESCAPE,
250   EOP_EVAL,
251   EOP_EVAL10,
252   EOP_EXPAND,
253   EOP_H,
254   EOP_HASH,
255   EOP_HEX2B64,
256   EOP_HEXQUOTE,
257   EOP_IPV6DENORM,
258   EOP_IPV6NORM,
259   EOP_L,
260   EOP_LC,
261   EOP_LENGTH,
262   EOP_LISTCOUNT,
263   EOP_LISTNAMED,
264   EOP_MASK,
265   EOP_MD5,
266   EOP_NH,
267   EOP_NHASH,
268   EOP_QUOTE,
269   EOP_RANDINT,
270   EOP_RFC2047,
271   EOP_RFC2047D,
272   EOP_RXQUOTE,
273   EOP_S,
274   EOP_SHA1,
275   EOP_SHA256,
276   EOP_STAT,
277   EOP_STR2B64,
278   EOP_STRLEN,
279   EOP_SUBSTR,
280   EOP_UC,
281   EOP_UTF8CLEAN };
282
283
284 /* Table of condition names, and corresponding switch numbers. The names must
285 be in alphabetical order. */
286
287 static uschar *cond_table[] = {
288   US"<",
289   US"<=",
290   US"=",
291   US"==",     /* Backward compatibility */
292   US">",
293   US">=",
294   US"acl",
295   US"and",
296   US"bool",
297   US"bool_lax",
298   US"crypteq",
299   US"def",
300   US"eq",
301   US"eqi",
302   US"exists",
303   US"first_delivery",
304   US"forall",
305   US"forany",
306   US"ge",
307   US"gei",
308   US"gt",
309   US"gti",
310   US"inlist",
311   US"inlisti",
312   US"isip",
313   US"isip4",
314   US"isip6",
315   US"ldapauth",
316   US"le",
317   US"lei",
318   US"lt",
319   US"lti",
320   US"match",
321   US"match_address",
322   US"match_domain",
323   US"match_ip",
324   US"match_local_part",
325   US"or",
326   US"pam",
327   US"pwcheck",
328   US"queue_running",
329   US"radius",
330   US"saslauthd"
331 };
332
333 enum {
334   ECOND_NUM_L,
335   ECOND_NUM_LE,
336   ECOND_NUM_E,
337   ECOND_NUM_EE,
338   ECOND_NUM_G,
339   ECOND_NUM_GE,
340   ECOND_ACL,
341   ECOND_AND,
342   ECOND_BOOL,
343   ECOND_BOOL_LAX,
344   ECOND_CRYPTEQ,
345   ECOND_DEF,
346   ECOND_STR_EQ,
347   ECOND_STR_EQI,
348   ECOND_EXISTS,
349   ECOND_FIRST_DELIVERY,
350   ECOND_FORALL,
351   ECOND_FORANY,
352   ECOND_STR_GE,
353   ECOND_STR_GEI,
354   ECOND_STR_GT,
355   ECOND_STR_GTI,
356   ECOND_INLIST,
357   ECOND_INLISTI,
358   ECOND_ISIP,
359   ECOND_ISIP4,
360   ECOND_ISIP6,
361   ECOND_LDAPAUTH,
362   ECOND_STR_LE,
363   ECOND_STR_LEI,
364   ECOND_STR_LT,
365   ECOND_STR_LTI,
366   ECOND_MATCH,
367   ECOND_MATCH_ADDRESS,
368   ECOND_MATCH_DOMAIN,
369   ECOND_MATCH_IP,
370   ECOND_MATCH_LOCAL_PART,
371   ECOND_OR,
372   ECOND_PAM,
373   ECOND_PWCHECK,
374   ECOND_QUEUE_RUNNING,
375   ECOND_RADIUS,
376   ECOND_SASLAUTHD
377 };
378
379
380 /* Types of table entry */
381
382 enum vtypes {
383   vtype_int,            /* value is address of int */
384   vtype_filter_int,     /* ditto, but recognized only when filtering */
385   vtype_ino,            /* value is address of ino_t (not always an int) */
386   vtype_uid,            /* value is address of uid_t (not always an int) */
387   vtype_gid,            /* value is address of gid_t (not always an int) */
388   vtype_bool,           /* value is address of bool */
389   vtype_stringptr,      /* value is address of pointer to string */
390   vtype_msgbody,        /* as stringptr, but read when first required */
391   vtype_msgbody_end,    /* ditto, the end of the message */
392   vtype_msgheaders,     /* the message's headers, processed */
393   vtype_msgheaders_raw, /* the message's headers, unprocessed */
394   vtype_localpart,      /* extract local part from string */
395   vtype_domain,         /* extract domain from string */
396   vtype_string_func,    /* value is string returned by given function */
397   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
398   vtype_tode,           /* value not used; generate tod in epoch format */
399   vtype_todel,          /* value not used; generate tod in epoch/usec format */
400   vtype_todf,           /* value not used; generate full tod */
401   vtype_todl,           /* value not used; generate log tod */
402   vtype_todlf,          /* value not used; generate log file datestamp tod */
403   vtype_todzone,        /* value not used; generate time zone only */
404   vtype_todzulu,        /* value not used; generate zulu tod */
405   vtype_reply,          /* value not used; get reply from headers */
406   vtype_pid,            /* value not used; result is pid */
407   vtype_host_lookup,    /* value not used; get host name */
408   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
409   vtype_pspace,         /* partition space; value is T/F for spool/log */
410   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
411   vtype_cert            /* SSL certificate */
412   #ifndef DISABLE_DKIM
413   ,vtype_dkim           /* Lookup of value in DKIM signature */
414   #endif
415 };
416
417 /* Type for main variable table */
418
419 typedef struct {
420   const char *name;
421   enum vtypes type;
422   void       *value;
423 } var_entry;
424
425 /* Type for entries pointing to address/length pairs. Not currently
426 in use. */
427
428 typedef struct {
429   uschar **address;
430   int  *length;
431 } alblock;
432
433 static uschar * fn_recipients(void);
434
435 /* This table must be kept in alphabetical order. */
436
437 static var_entry var_table[] = {
438   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
439      they will be confused with user-creatable ACL variables. */
440   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
441   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
442   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
443   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
444   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
445   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
446   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
447   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
448   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
449   { "acl_narg",            vtype_int,         &acl_narg },
450   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
451   { "address_data",        vtype_stringptr,   &deliver_address_data },
452   { "address_file",        vtype_stringptr,   &address_file },
453   { "address_pipe",        vtype_stringptr,   &address_pipe },
454   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
455   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
456   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
457   { "authentication_failed",vtype_int,        &authentication_failed },
458 #ifdef WITH_CONTENT_SCAN
459   { "av_failed",           vtype_int,         &av_failed },
460 #endif
461 #ifdef EXPERIMENTAL_BRIGHTMAIL
462   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
463   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
464   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
465   { "bmi_deliver",         vtype_int,         &bmi_deliver },
466 #endif
467   { "body_linecount",      vtype_int,         &body_linecount },
468   { "body_zerocount",      vtype_int,         &body_zerocount },
469   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
470   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
471   { "caller_gid",          vtype_gid,         &real_gid },
472   { "caller_uid",          vtype_uid,         &real_uid },
473   { "callout_address",     vtype_stringptr,   &callout_address },
474   { "compile_date",        vtype_stringptr,   &version_date },
475   { "compile_number",      vtype_stringptr,   &version_cnumber },
476   { "config_dir",          vtype_stringptr,   &config_main_directory },
477   { "config_file",         vtype_stringptr,   &config_main_filename },
478   { "csa_status",          vtype_stringptr,   &csa_status },
479 #ifdef EXPERIMENTAL_DCC
480   { "dcc_header",          vtype_stringptr,   &dcc_header },
481   { "dcc_result",          vtype_stringptr,   &dcc_result },
482 #endif
483 #ifdef WITH_OLD_DEMIME
484   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
485   { "demime_reason",       vtype_stringptr,   &demime_reason },
486 #endif
487 #ifndef DISABLE_DKIM
488   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
489   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
490   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
491   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
492   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
493   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
494   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
495   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
496   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
497   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
498   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
499   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
500   { "dkim_key_length",     vtype_int,         &dkim_key_length },
501   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
502   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
503   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
504   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
505   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
506   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
507   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
508   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
509 #endif
510 #ifdef EXPERIMENTAL_DMARC
511   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
512   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
513   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
514   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
515   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
516 #endif
517   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
518   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
519   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
520   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
521   { "domain",              vtype_stringptr,   &deliver_domain },
522   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
523 #ifndef DISABLE_EVENT
524   { "event_data",          vtype_stringptr,   &event_data },
525
526   /*XXX want to use generic vars for as many of these as possible*/
527   { "event_defer_errno",   vtype_int,         &event_defer_errno },
528
529   { "event_name",          vtype_stringptr,   &event_name },
530 #endif
531   { "exim_gid",            vtype_gid,         &exim_gid },
532   { "exim_path",           vtype_stringptr,   &exim_path },
533   { "exim_uid",            vtype_uid,         &exim_uid },
534   { "exim_version",        vtype_stringptr,   &version_string },
535 #ifdef WITH_OLD_DEMIME
536   { "found_extension",     vtype_stringptr,   &found_extension },
537 #endif
538   { "headers_added",       vtype_string_func, &fn_hdrs_added },
539   { "home",                vtype_stringptr,   &deliver_home },
540   { "host",                vtype_stringptr,   &deliver_host },
541   { "host_address",        vtype_stringptr,   &deliver_host_address },
542   { "host_data",           vtype_stringptr,   &host_data },
543   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
544   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
545   { "host_port",           vtype_int,         &deliver_host_port },
546   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
547   { "inode",               vtype_ino,         &deliver_inode },
548   { "interface_address",   vtype_stringptr,   &interface_address },
549   { "interface_port",      vtype_int,         &interface_port },
550   { "item",                vtype_stringptr,   &iterate_item },
551   #ifdef LOOKUP_LDAP
552   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
553   #endif
554   { "load_average",        vtype_load_avg,    NULL },
555   { "local_part",          vtype_stringptr,   &deliver_localpart },
556   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
557   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
558   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
559   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
560   { "local_user_gid",      vtype_gid,         &local_user_gid },
561   { "local_user_uid",      vtype_uid,         &local_user_uid },
562   { "localhost_number",    vtype_int,         &host_number },
563   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
564   { "log_space",           vtype_pspace,      (void *)FALSE },
565   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
566   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
567 #ifdef WITH_CONTENT_SCAN
568   { "malware_name",        vtype_stringptr,   &malware_name },
569 #endif
570   { "max_received_linelength", vtype_int,     &max_received_linelength },
571   { "message_age",         vtype_int,         &message_age },
572   { "message_body",        vtype_msgbody,     &message_body },
573   { "message_body_end",    vtype_msgbody_end, &message_body_end },
574   { "message_body_size",   vtype_int,         &message_body_size },
575   { "message_exim_id",     vtype_stringptr,   &message_id },
576   { "message_headers",     vtype_msgheaders,  NULL },
577   { "message_headers_raw", vtype_msgheaders_raw, NULL },
578   { "message_id",          vtype_stringptr,   &message_id },
579   { "message_linecount",   vtype_int,         &message_linecount },
580   { "message_size",        vtype_int,         &message_size },
581 #ifdef SUPPORT_I18N
582   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
583 #endif
584 #ifdef WITH_CONTENT_SCAN
585   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
586   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
587   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
588   { "mime_charset",        vtype_stringptr,   &mime_charset },
589   { "mime_content_description", vtype_stringptr, &mime_content_description },
590   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
591   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
592   { "mime_content_size",   vtype_int,         &mime_content_size },
593   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
594   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
595   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
596   { "mime_filename",       vtype_stringptr,   &mime_filename },
597   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
598   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
599   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
600   { "mime_part_count",     vtype_int,         &mime_part_count },
601 #endif
602   { "n0",                  vtype_filter_int,  &filter_n[0] },
603   { "n1",                  vtype_filter_int,  &filter_n[1] },
604   { "n2",                  vtype_filter_int,  &filter_n[2] },
605   { "n3",                  vtype_filter_int,  &filter_n[3] },
606   { "n4",                  vtype_filter_int,  &filter_n[4] },
607   { "n5",                  vtype_filter_int,  &filter_n[5] },
608   { "n6",                  vtype_filter_int,  &filter_n[6] },
609   { "n7",                  vtype_filter_int,  &filter_n[7] },
610   { "n8",                  vtype_filter_int,  &filter_n[8] },
611   { "n9",                  vtype_filter_int,  &filter_n[9] },
612   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
613   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
614   { "originator_gid",      vtype_gid,         &originator_gid },
615   { "originator_uid",      vtype_uid,         &originator_uid },
616   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
617   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
618   { "pid",                 vtype_pid,         NULL },
619 #ifndef DISABLE_PRDR
620   { "prdr_requested",      vtype_bool,        &prdr_requested },
621 #endif
622   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
623 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
624   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
625   { "proxy_external_port", vtype_int,         &proxy_external_port },
626   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
627   { "proxy_local_port",    vtype_int,         &proxy_local_port },
628   { "proxy_session",       vtype_bool,        &proxy_session },
629 #endif
630   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
631   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
632   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
633   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
634   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
635   { "rcpt_count",          vtype_int,         &rcpt_count },
636   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
637   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
638   { "received_count",      vtype_int,         &received_count },
639   { "received_for",        vtype_stringptr,   &received_for },
640   { "received_ip_address", vtype_stringptr,   &interface_address },
641   { "received_port",       vtype_int,         &interface_port },
642   { "received_protocol",   vtype_stringptr,   &received_protocol },
643   { "received_time",       vtype_int,         &received_time },
644   { "recipient_data",      vtype_stringptr,   &recipient_data },
645   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
646   { "recipients",          vtype_string_func, &fn_recipients },
647   { "recipients_count",    vtype_int,         &recipients_count },
648 #ifdef WITH_CONTENT_SCAN
649   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
650 #endif
651   { "reply_address",       vtype_reply,       NULL },
652   { "return_path",         vtype_stringptr,   &return_path },
653   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
654   { "router_name",         vtype_stringptr,   &router_name },
655   { "runrc",               vtype_int,         &runrc },
656   { "self_hostname",       vtype_stringptr,   &self_hostname },
657   { "sender_address",      vtype_stringptr,   &sender_address },
658   { "sender_address_data", vtype_stringptr,   &sender_address_data },
659   { "sender_address_domain", vtype_domain,    &sender_address },
660   { "sender_address_local_part", vtype_localpart, &sender_address },
661   { "sender_data",         vtype_stringptr,   &sender_data },
662   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
663   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
664   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
665   { "sender_host_address", vtype_stringptr,   &sender_host_address },
666   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
667   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
668   { "sender_host_name",    vtype_host_lookup, NULL },
669   { "sender_host_port",    vtype_int,         &sender_host_port },
670   { "sender_ident",        vtype_stringptr,   &sender_ident },
671   { "sender_rate",         vtype_stringptr,   &sender_rate },
672   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
673   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
674   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
675   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
676   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
677   { "sending_port",        vtype_int,         &sending_port },
678   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
679   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
680   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
681   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
682   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
683   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
684   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
685   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
686   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
687   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
688   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
689   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
690   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
691   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
692   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
693 #ifdef WITH_CONTENT_SCAN
694   { "spam_action",         vtype_stringptr,   &spam_action },
695   { "spam_bar",            vtype_stringptr,   &spam_bar },
696   { "spam_report",         vtype_stringptr,   &spam_report },
697   { "spam_score",          vtype_stringptr,   &spam_score },
698   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
699 #endif
700 #ifdef EXPERIMENTAL_SPF
701   { "spf_guess",           vtype_stringptr,   &spf_guess },
702   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
703   { "spf_received",        vtype_stringptr,   &spf_received },
704   { "spf_result",          vtype_stringptr,   &spf_result },
705   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
706 #endif
707   { "spool_directory",     vtype_stringptr,   &spool_directory },
708   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
709   { "spool_space",         vtype_pspace,      (void *)TRUE },
710 #ifdef EXPERIMENTAL_SRS
711   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
712   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
713   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
714   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
715   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
716   { "srs_status",          vtype_stringptr,   &srs_status },
717 #endif
718   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
719
720   /* The non-(in,out) variables are now deprecated */
721   { "tls_bits",            vtype_int,         &tls_in.bits },
722   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
723   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
724
725   { "tls_in_bits",         vtype_int,         &tls_in.bits },
726   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
727   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
728   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
729   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
730   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
731   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
732 #if defined(SUPPORT_TLS)
733   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
734 #endif
735   { "tls_out_bits",        vtype_int,         &tls_out.bits },
736   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
737   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
738 #ifdef EXPERIMENTAL_DANE
739   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
740 #endif
741   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
742   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
743   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
744   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
745 #if defined(SUPPORT_TLS)
746   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
747 #endif
748 #ifdef EXPERIMENTAL_DANE
749   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
750 #endif
751
752   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
753 #if defined(SUPPORT_TLS)
754   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
755 #endif
756
757   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
758   { "tod_epoch",           vtype_tode,        NULL },
759   { "tod_epoch_l",         vtype_todel,       NULL },
760   { "tod_full",            vtype_todf,        NULL },
761   { "tod_log",             vtype_todl,        NULL },
762   { "tod_logfile",         vtype_todlf,       NULL },
763   { "tod_zone",            vtype_todzone,     NULL },
764   { "tod_zulu",            vtype_todzulu,     NULL },
765   { "transport_name",      vtype_stringptr,   &transport_name },
766   { "value",               vtype_stringptr,   &lookup_value },
767   { "verify_mode",         vtype_stringptr,   &verify_mode },
768   { "version_number",      vtype_stringptr,   &version_string },
769   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
770   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
771   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
772   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
773   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
774   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
775 };
776
777 static int var_table_size = nelem(var_table);
778 static uschar var_buffer[256];
779 static BOOL malformed_header;
780
781 /* For textual hashes */
782
783 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
784                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
785                                "0123456789";
786
787 enum { HMAC_MD5, HMAC_SHA1 };
788
789 /* For numeric hashes */
790
791 static unsigned int prime[] = {
792   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
793  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
794  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
795
796 /* For printing modes in symbolic form */
797
798 static uschar *mtable_normal[] =
799   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
800
801 static uschar *mtable_setid[] =
802   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
803
804 static uschar *mtable_sticky[] =
805   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
806
807
808
809 /*************************************************
810 *           Tables for UTF-8 support             *
811 *************************************************/
812
813 /* Table of the number of extra characters, indexed by the first character
814 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
815 0x3d. */
816
817 static uschar utf8_table1[] = {
818   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
819   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
820   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
821   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
822
823 /* These are the masks for the data bits in the first byte of a character,
824 indexed by the number of additional bytes. */
825
826 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
827
828 /* Get the next UTF-8 character, advancing the pointer. */
829
830 #define GETUTF8INC(c, ptr) \
831   c = *ptr++; \
832   if ((c & 0xc0) == 0xc0) \
833     { \
834     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
835     int s = 6*a; \
836     c = (c & utf8_table2[a]) << s; \
837     while (a-- > 0) \
838       { \
839       s -= 6; \
840       c |= (*ptr++ & 0x3f) << s; \
841       } \
842     }
843
844
845 /*************************************************
846 *           Binary chop search on a table        *
847 *************************************************/
848
849 /* This is used for matching expansion items and operators.
850
851 Arguments:
852   name        the name that is being sought
853   table       the table to search
854   table_size  the number of items in the table
855
856 Returns:      the offset in the table, or -1
857 */
858
859 static int
860 chop_match(uschar *name, uschar **table, int table_size)
861 {
862 uschar **bot = table;
863 uschar **top = table + table_size;
864
865 while (top > bot)
866   {
867   uschar **mid = bot + (top - bot)/2;
868   int c = Ustrcmp(name, *mid);
869   if (c == 0) return mid - table;
870   if (c > 0) bot = mid + 1; else top = mid;
871   }
872
873 return -1;
874 }
875
876
877
878 /*************************************************
879 *          Check a condition string              *
880 *************************************************/
881
882 /* This function is called to expand a string, and test the result for a "true"
883 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
884 forced fail or lookup defer.
885
886 We used to release all store used, but this is not not safe due
887 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
888 is reasonably careful to release what it can.
889
890 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
891
892 Arguments:
893   condition     the condition string
894   m1            text to be incorporated in panic error
895   m2            ditto
896
897 Returns:        TRUE if condition is met, FALSE if not
898 */
899
900 BOOL
901 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
902 {
903 int rc;
904 uschar *ss = expand_string(condition);
905 if (ss == NULL)
906   {
907   if (!expand_string_forcedfail && !search_find_defer)
908     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
909       "for %s %s: %s", condition, m1, m2, expand_string_message);
910   return FALSE;
911   }
912 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
913   strcmpic(ss, US"false") != 0;
914 return rc;
915 }
916
917
918
919
920 /*************************************************
921 *        Pseudo-random number generation         *
922 *************************************************/
923
924 /* Pseudo-random number generation.  The result is not "expected" to be
925 cryptographically strong but not so weak that someone will shoot themselves
926 in the foot using it as a nonce in some email header scheme or whatever
927 weirdness they'll twist this into.  The result should ideally handle fork().
928
929 However, if we're stuck unable to provide this, then we'll fall back to
930 appallingly bad randomness.
931
932 If SUPPORT_TLS is defined then this will not be used except as an emergency
933 fallback.
934
935 Arguments:
936   max       range maximum
937 Returns     a random number in range [0, max-1]
938 */
939
940 #ifdef SUPPORT_TLS
941 # define vaguely_random_number vaguely_random_number_fallback
942 #endif
943 int
944 vaguely_random_number(int max)
945 {
946 #ifdef SUPPORT_TLS
947 # undef vaguely_random_number
948 #endif
949   static pid_t pid = 0;
950   pid_t p2;
951 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
952   struct timeval tv;
953 #endif
954
955   p2 = getpid();
956   if (p2 != pid)
957     {
958     if (pid != 0)
959       {
960
961 #ifdef HAVE_ARC4RANDOM
962       /* cryptographically strong randomness, common on *BSD platforms, not
963       so much elsewhere.  Alas. */
964 #ifndef NOT_HAVE_ARC4RANDOM_STIR
965       arc4random_stir();
966 #endif
967 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
968 #ifdef HAVE_SRANDOMDEV
969       /* uses random(4) for seeding */
970       srandomdev();
971 #else
972       gettimeofday(&tv, NULL);
973       srandom(tv.tv_sec | tv.tv_usec | getpid());
974 #endif
975 #else
976       /* Poor randomness and no seeding here */
977 #endif
978
979       }
980     pid = p2;
981     }
982
983 #ifdef HAVE_ARC4RANDOM
984   return arc4random() % max;
985 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
986   return random() % max;
987 #else
988   /* This one returns a 16-bit number, definitely not crypto-strong */
989   return random_number(max);
990 #endif
991 }
992
993
994
995
996 /*************************************************
997 *             Pick out a name from a string      *
998 *************************************************/
999
1000 /* If the name is too long, it is silently truncated.
1001
1002 Arguments:
1003   name      points to a buffer into which to put the name
1004   max       is the length of the buffer
1005   s         points to the first alphabetic character of the name
1006   extras    chars other than alphanumerics to permit
1007
1008 Returns:    pointer to the first character after the name
1009
1010 Note: The test for *s != 0 in the while loop is necessary because
1011 Ustrchr() yields non-NULL if the character is zero (which is not something
1012 I expected). */
1013
1014 static const uschar *
1015 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1016 {
1017 int ptr = 0;
1018 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1019   {
1020   if (ptr < max-1) name[ptr++] = *s;
1021   s++;
1022   }
1023 name[ptr] = 0;
1024 return s;
1025 }
1026
1027
1028
1029 /*************************************************
1030 *     Pick out the rest of a header name         *
1031 *************************************************/
1032
1033 /* A variable name starting $header_ (or just $h_ for those who like
1034 abbreviations) might not be the complete header name because headers can
1035 contain any printing characters in their names, except ':'. This function is
1036 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1037 on the end, if the name was terminated by white space.
1038
1039 Arguments:
1040   name      points to a buffer in which the name read so far exists
1041   max       is the length of the buffer
1042   s         points to the first character after the name so far, i.e. the
1043             first non-alphameric character after $header_xxxxx
1044
1045 Returns:    a pointer to the first character after the header name
1046 */
1047
1048 static const uschar *
1049 read_header_name(uschar *name, int max, const uschar *s)
1050 {
1051 int prelen = Ustrchr(name, '_') - name + 1;
1052 int ptr = Ustrlen(name) - prelen;
1053 if (ptr > 0) memmove(name, name+prelen, ptr);
1054 while (mac_isgraph(*s) && *s != ':')
1055   {
1056   if (ptr < max-1) name[ptr++] = *s;
1057   s++;
1058   }
1059 if (*s == ':') s++;
1060 name[ptr++] = ':';
1061 name[ptr] = 0;
1062 return s;
1063 }
1064
1065
1066
1067 /*************************************************
1068 *           Pick out a number from a string      *
1069 *************************************************/
1070
1071 /* Arguments:
1072   n     points to an integer into which to put the number
1073   s     points to the first digit of the number
1074
1075 Returns:  a pointer to the character after the last digit
1076 */
1077 /*XXX consider expanding to int_eximarith_t.  But the test for
1078 "overbig numbers" in 0002 still needs to overflow it. */
1079
1080 static uschar *
1081 read_number(int *n, uschar *s)
1082 {
1083 *n = 0;
1084 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1085 return s;
1086 }
1087
1088 static const uschar *
1089 read_cnumber(int *n, const uschar *s)
1090 {
1091 *n = 0;
1092 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1093 return s;
1094 }
1095
1096
1097
1098 /*************************************************
1099 *        Extract keyed subfield from a string    *
1100 *************************************************/
1101
1102 /* The yield is in dynamic store; NULL means that the key was not found.
1103
1104 Arguments:
1105   key       points to the name of the key
1106   s         points to the string from which to extract the subfield
1107
1108 Returns:    NULL if the subfield was not found, or
1109             a pointer to the subfield's data
1110 */
1111
1112 static uschar *
1113 expand_getkeyed(uschar *key, const uschar *s)
1114 {
1115 int length = Ustrlen(key);
1116 while (isspace(*s)) s++;
1117
1118 /* Loop to search for the key */
1119
1120 while (*s != 0)
1121   {
1122   int dkeylength;
1123   uschar *data;
1124   const uschar *dkey = s;
1125
1126   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1127   dkeylength = s - dkey;
1128   while (isspace(*s)) s++;
1129   if (*s == '=') while (isspace((*(++s))));
1130
1131   data = string_dequote(&s);
1132   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1133     return data;
1134
1135   while (isspace(*s)) s++;
1136   }
1137
1138 return NULL;
1139 }
1140
1141
1142
1143 static var_entry *
1144 find_var_ent(uschar * name)
1145 {
1146 int first = 0;
1147 int last = var_table_size;
1148
1149 while (last > first)
1150   {
1151   int middle = (first + last)/2;
1152   int c = Ustrcmp(name, var_table[middle].name);
1153
1154   if (c > 0) { first = middle + 1; continue; }
1155   if (c < 0) { last = middle; continue; }
1156   return &var_table[middle];
1157   }
1158 return NULL;
1159 }
1160
1161 /*************************************************
1162 *   Extract numbered subfield from string        *
1163 *************************************************/
1164
1165 /* Extracts a numbered field from a string that is divided by tokens - for
1166 example a line from /etc/passwd is divided by colon characters.  First field is
1167 numbered one.  Negative arguments count from the right. Zero returns the whole
1168 string. Returns NULL if there are insufficient tokens in the string
1169
1170 ***WARNING***
1171 Modifies final argument - this is a dynamically generated string, so that's OK.
1172
1173 Arguments:
1174   field       number of field to be extracted,
1175                 first field = 1, whole string = 0, last field = -1
1176   separators  characters that are used to break string into tokens
1177   s           points to the string from which to extract the subfield
1178
1179 Returns:      NULL if the field was not found,
1180               a pointer to the field's data inside s (modified to add 0)
1181 */
1182
1183 static uschar *
1184 expand_gettokened (int field, uschar *separators, uschar *s)
1185 {
1186 int sep = 1;
1187 int count;
1188 uschar *ss = s;
1189 uschar *fieldtext = NULL;
1190
1191 if (field == 0) return s;
1192
1193 /* Break the line up into fields in place; for field > 0 we stop when we have
1194 done the number of fields we want. For field < 0 we continue till the end of
1195 the string, counting the number of fields. */
1196
1197 count = (field > 0)? field : INT_MAX;
1198
1199 while (count-- > 0)
1200   {
1201   size_t len;
1202
1203   /* Previous field was the last one in the string. For a positive field
1204   number, this means there are not enough fields. For a negative field number,
1205   check that there are enough, and scan back to find the one that is wanted. */
1206
1207   if (sep == 0)
1208     {
1209     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1210     if ((-field) == (INT_MAX - count - 1)) return s;
1211     while (field++ < 0)
1212       {
1213       ss--;
1214       while (ss[-1] != 0) ss--;
1215       }
1216     fieldtext = ss;
1217     break;
1218     }
1219
1220   /* Previous field was not last in the string; save its start and put a
1221   zero at its end. */
1222
1223   fieldtext = ss;
1224   len = Ustrcspn(ss, separators);
1225   sep = ss[len];
1226   ss[len] = 0;
1227   ss += len + 1;
1228   }
1229
1230 return fieldtext;
1231 }
1232
1233
1234 static uschar *
1235 expand_getlistele(int field, const uschar * list)
1236 {
1237 const uschar * tlist= list;
1238 int sep= 0;
1239 uschar dummy;
1240
1241 if(field<0)
1242   {
1243   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1244   sep= 0;
1245   }
1246 if(field==0) return NULL;
1247 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1248 return string_nextinlist(&list, &sep, NULL, 0);
1249 }
1250
1251
1252 /* Certificate fields, by name.  Worry about by-OID later */
1253 /* Names are chosen to not have common prefixes */
1254
1255 #ifdef SUPPORT_TLS
1256 typedef struct
1257 {
1258 uschar * name;
1259 int      namelen;
1260 uschar * (*getfn)(void * cert, uschar * mod);
1261 } certfield;
1262 static certfield certfields[] =
1263 {                       /* linear search; no special order */
1264   { US"version",         7,  &tls_cert_version },
1265   { US"serial_number",   13, &tls_cert_serial_number },
1266   { US"subject",         7,  &tls_cert_subject },
1267   { US"notbefore",       9,  &tls_cert_not_before },
1268   { US"notafter",        8,  &tls_cert_not_after },
1269   { US"issuer",          6,  &tls_cert_issuer },
1270   { US"signature",       9,  &tls_cert_signature },
1271   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1272   { US"subj_altname",    12, &tls_cert_subject_altname },
1273   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1274   { US"crl_uri",         7,  &tls_cert_crl_uri },
1275 };
1276
1277 static uschar *
1278 expand_getcertele(uschar * field, uschar * certvar)
1279 {
1280 var_entry * vp;
1281 certfield * cp;
1282
1283 if (!(vp = find_var_ent(certvar)))
1284   {
1285   expand_string_message =
1286     string_sprintf("no variable named \"%s\"", certvar);
1287   return NULL;          /* Unknown variable name */
1288   }
1289 /* NB this stops us passing certs around in variable.  Might
1290 want to do that in future */
1291 if (vp->type != vtype_cert)
1292   {
1293   expand_string_message =
1294     string_sprintf("\"%s\" is not a certificate", certvar);
1295   return NULL;          /* Unknown variable name */
1296   }
1297 if (!*(void **)vp->value)
1298   return NULL;
1299
1300 if (*field >= '0' && *field <= '9')
1301   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1302
1303 for(cp = certfields;
1304     cp < certfields + nelem(certfields);
1305     cp++)
1306   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1307     {
1308     uschar * modifier = *(field += cp->namelen) == ','
1309       ? ++field : NULL;
1310     return (*cp->getfn)( *(void **)vp->value, modifier );
1311     }
1312
1313 expand_string_message =
1314   string_sprintf("bad field selector \"%s\" for certextract", field);
1315 return NULL;
1316 }
1317 #endif  /*SUPPORT_TLS*/
1318
1319 /*************************************************
1320 *        Extract a substring from a string       *
1321 *************************************************/
1322
1323 /* Perform the ${substr or ${length expansion operations.
1324
1325 Arguments:
1326   subject     the input string
1327   value1      the offset from the start of the input string to the start of
1328                 the output string; if negative, count from the right.
1329   value2      the length of the output string, or negative (-1) for unset
1330                 if value1 is positive, unset means "all after"
1331                 if value1 is negative, unset means "all before"
1332   len         set to the length of the returned string
1333
1334 Returns:      pointer to the output string, or NULL if there is an error
1335 */
1336
1337 static uschar *
1338 extract_substr(uschar *subject, int value1, int value2, int *len)
1339 {
1340 int sublen = Ustrlen(subject);
1341
1342 if (value1 < 0)    /* count from right */
1343   {
1344   value1 += sublen;
1345
1346   /* If the position is before the start, skip to the start, and adjust the
1347   length. If the length ends up negative, the substring is null because nothing
1348   can precede. This falls out naturally when the length is unset, meaning "all
1349   to the left". */
1350
1351   if (value1 < 0)
1352     {
1353     value2 += value1;
1354     if (value2 < 0) value2 = 0;
1355     value1 = 0;
1356     }
1357
1358   /* Otherwise an unset length => characters before value1 */
1359
1360   else if (value2 < 0)
1361     {
1362     value2 = value1;
1363     value1 = 0;
1364     }
1365   }
1366
1367 /* For a non-negative offset, if the starting position is past the end of the
1368 string, the result will be the null string. Otherwise, an unset length means
1369 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1370
1371 else
1372   {
1373   if (value1 > sublen)
1374     {
1375     value1 = sublen;
1376     value2 = 0;
1377     }
1378   else if (value2 < 0) value2 = sublen;
1379   }
1380
1381 /* Cut the length down to the maximum possible for the offset value, and get
1382 the required characters. */
1383
1384 if (value1 + value2 > sublen) value2 = sublen - value1;
1385 *len = value2;
1386 return subject + value1;
1387 }
1388
1389
1390
1391
1392 /*************************************************
1393 *            Old-style hash of a string          *
1394 *************************************************/
1395
1396 /* Perform the ${hash expansion operation.
1397
1398 Arguments:
1399   subject     the input string (an expanded substring)
1400   value1      the length of the output string; if greater or equal to the
1401                 length of the input string, the input string is returned
1402   value2      the number of hash characters to use, or 26 if negative
1403   len         set to the length of the returned string
1404
1405 Returns:      pointer to the output string, or NULL if there is an error
1406 */
1407
1408 static uschar *
1409 compute_hash(uschar *subject, int value1, int value2, int *len)
1410 {
1411 int sublen = Ustrlen(subject);
1412
1413 if (value2 < 0) value2 = 26;
1414 else if (value2 > Ustrlen(hashcodes))
1415   {
1416   expand_string_message =
1417     string_sprintf("hash count \"%d\" too big", value2);
1418   return NULL;
1419   }
1420
1421 /* Calculate the hash text. We know it is shorter than the original string, so
1422 can safely place it in subject[] (we know that subject is always itself an
1423 expanded substring). */
1424
1425 if (value1 < sublen)
1426   {
1427   int c;
1428   int i = 0;
1429   int j = value1;
1430   while ((c = (subject[j])) != 0)
1431     {
1432     int shift = (c + j++) & 7;
1433     subject[i] ^= (c << shift) | (c >> (8-shift));
1434     if (++i >= value1) i = 0;
1435     }
1436   for (i = 0; i < value1; i++)
1437     subject[i] = hashcodes[(subject[i]) % value2];
1438   }
1439 else value1 = sublen;
1440
1441 *len = value1;
1442 return subject;
1443 }
1444
1445
1446
1447
1448 /*************************************************
1449 *             Numeric hash of a string           *
1450 *************************************************/
1451
1452 /* Perform the ${nhash expansion operation. The first characters of the
1453 string are treated as most important, and get the highest prime numbers.
1454
1455 Arguments:
1456   subject     the input string
1457   value1      the maximum value of the first part of the result
1458   value2      the maximum value of the second part of the result,
1459                 or negative to produce only a one-part result
1460   len         set to the length of the returned string
1461
1462 Returns:  pointer to the output string, or NULL if there is an error.
1463 */
1464
1465 static uschar *
1466 compute_nhash (uschar *subject, int value1, int value2, int *len)
1467 {
1468 uschar *s = subject;
1469 int i = 0;
1470 unsigned long int total = 0; /* no overflow */
1471
1472 while (*s != 0)
1473   {
1474   if (i == 0) i = nelem(prime) - 1;
1475   total += prime[i--] * (unsigned int)(*s++);
1476   }
1477
1478 /* If value2 is unset, just compute one number */
1479
1480 if (value2 < 0)
1481   {
1482   s = string_sprintf("%d", total % value1);
1483   }
1484
1485 /* Otherwise do a div/mod hash */
1486
1487 else
1488   {
1489   total = total % (value1 * value2);
1490   s = string_sprintf("%d/%d", total/value2, total % value2);
1491   }
1492
1493 *len = Ustrlen(s);
1494 return s;
1495 }
1496
1497
1498
1499
1500
1501 /*************************************************
1502 *     Find the value of a header or headers      *
1503 *************************************************/
1504
1505 /* Multiple instances of the same header get concatenated, and this function
1506 can also return a concatenation of all the header lines. When concatenating
1507 specific headers that contain lists of addresses, a comma is inserted between
1508 them. Otherwise we use a straight concatenation. Because some messages can have
1509 pathologically large number of lines, there is a limit on the length that is
1510 returned. Also, to avoid massive store use which would result from using
1511 string_cat() as it copies and extends strings, we do a preliminary pass to find
1512 out exactly how much store will be needed. On "normal" messages this will be
1513 pretty trivial.
1514
1515 Arguments:
1516   name          the name of the header, without the leading $header_ or $h_,
1517                 or NULL if a concatenation of all headers is required
1518   exists_only   TRUE if called from a def: test; don't need to build a string;
1519                 just return a string that is not "" and not "0" if the header
1520                 exists
1521   newsize       return the size of memory block that was obtained; may be NULL
1522                 if exists_only is TRUE
1523   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1524                 other than concatenating, will be done on the header. Also used
1525                 for $message_headers_raw.
1526   charset       name of charset to translate MIME words to; used only if
1527                 want_raw is false; if NULL, no translation is done (this is
1528                 used for $bh_ and $bheader_)
1529
1530 Returns:        NULL if the header does not exist, else a pointer to a new
1531                 store block
1532 */
1533
1534 static uschar *
1535 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1536   uschar *charset)
1537 {
1538 BOOL found = name == NULL;
1539 int comma = 0;
1540 int len = found? 0 : Ustrlen(name);
1541 int i;
1542 uschar *yield = NULL;
1543 uschar *ptr = NULL;
1544
1545 /* Loop for two passes - saves code repetition */
1546
1547 for (i = 0; i < 2; i++)
1548   {
1549   int size = 0;
1550   header_line *h;
1551
1552   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1553     {
1554     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1555       {
1556       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1557         {
1558         int ilen;
1559         uschar *t;
1560
1561         if (exists_only) return US"1";      /* don't need actual string */
1562         found = TRUE;
1563         t = h->text + len;                  /* text to insert */
1564         if (!want_raw)                      /* unless wanted raw, */
1565           while (isspace(*t)) t++;          /* remove leading white space */
1566         ilen = h->slen - (t - h->text);     /* length to insert */
1567
1568         /* Unless wanted raw, remove trailing whitespace, including the
1569         newline. */
1570
1571         if (!want_raw)
1572           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1573
1574         /* Set comma = 1 if handling a single header and it's one of those
1575         that contains an address list, except when asked for raw headers. Only
1576         need to do this once. */
1577
1578         if (!want_raw && name != NULL && comma == 0 &&
1579             Ustrchr("BCFRST", h->type) != NULL)
1580           comma = 1;
1581
1582         /* First pass - compute total store needed; second pass - compute
1583         total store used, including this header. */
1584
1585         size += ilen + comma + 1;  /* +1 for the newline */
1586
1587         /* Second pass - concatentate the data, up to a maximum. Note that
1588         the loop stops when size hits the limit. */
1589
1590         if (i != 0)
1591           {
1592           if (size > header_insert_maxlen)
1593             {
1594             ilen -= size - header_insert_maxlen - 1;
1595             comma = 0;
1596             }
1597           Ustrncpy(ptr, t, ilen);
1598           ptr += ilen;
1599
1600           /* For a non-raw header, put in the comma if needed, then add
1601           back the newline we removed above, provided there was some text in
1602           the header. */
1603
1604           if (!want_raw && ilen > 0)
1605             {
1606             if (comma != 0) *ptr++ = ',';
1607             *ptr++ = '\n';
1608             }
1609           }
1610         }
1611       }
1612     }
1613
1614   /* At end of first pass, return NULL if no header found. Then truncate size
1615   if necessary, and get the buffer to hold the data, returning the buffer size.
1616   */
1617
1618   if (i == 0)
1619     {
1620     if (!found) return NULL;
1621     if (size > header_insert_maxlen) size = header_insert_maxlen;
1622     *newsize = size + 1;
1623     ptr = yield = store_get(*newsize);
1624     }
1625   }
1626
1627 /* That's all we do for raw header expansion. */
1628
1629 if (want_raw)
1630   {
1631   *ptr = 0;
1632   }
1633
1634 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1635 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1636 function can return an error with decoded data if the charset translation
1637 fails. If decoding fails, it returns NULL. */
1638
1639 else
1640   {
1641   uschar *decoded, *error;
1642   if (ptr > yield && ptr[-1] == '\n') ptr--;
1643   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1644   *ptr = 0;
1645   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1646     newsize, &error);
1647   if (error != NULL)
1648     {
1649     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1650       "    input was: %s\n", error, yield);
1651     }
1652   if (decoded != NULL) yield = decoded;
1653   }
1654
1655 return yield;
1656 }
1657
1658
1659
1660
1661 /*************************************************
1662 *               Return list of recipients        *
1663 *************************************************/
1664 /* A recipients list is available only during system message filtering,
1665 during ACL processing after DATA, and while expanding pipe commands
1666 generated from a system filter, but not elsewhere. */
1667
1668 static uschar *
1669 fn_recipients(void)
1670 {
1671 if (!enable_dollar_recipients) return NULL; else
1672   {
1673   int size = 128;
1674   int ptr = 0;
1675   int i;
1676   uschar * s = store_get(size);
1677   for (i = 0; i < recipients_count; i++)
1678     {
1679     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1680     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1681       Ustrlen(recipients_list[i].address));
1682     }
1683   s[ptr] = 0;     /* string_cat() leaves room */
1684   return s;
1685   }
1686 }
1687
1688
1689 /*************************************************
1690 *               Find value of a variable         *
1691 *************************************************/
1692
1693 /* The table of variables is kept in alphabetic order, so we can search it
1694 using a binary chop. The "choplen" variable is nothing to do with the binary
1695 chop.
1696
1697 Arguments:
1698   name          the name of the variable being sought
1699   exists_only   TRUE if this is a def: test; passed on to find_header()
1700   skipping      TRUE => skip any processing evaluation; this is not the same as
1701                   exists_only because def: may test for values that are first
1702                   evaluated here
1703   newsize       pointer to an int which is initially zero; if the answer is in
1704                 a new memory buffer, *newsize is set to its size
1705
1706 Returns:        NULL if the variable does not exist, or
1707                 a pointer to the variable's contents, or
1708                 something non-NULL if exists_only is TRUE
1709 */
1710
1711 static uschar *
1712 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1713 {
1714 var_entry * vp;
1715 uschar *s, *domain;
1716 uschar **ss;
1717 void * val;
1718
1719 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1720 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1721 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1722 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1723 (this gave backwards compatibility at the changeover). There may be built-in
1724 variables whose names start acl_ but they should never start in this way. This
1725 slightly messy specification is a consequence of the history, needless to say.
1726
1727 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1728 set, in which case give an error. */
1729
1730 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1731      !isalpha(name[5]))
1732   {
1733   tree_node *node =
1734     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1735   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1736   }
1737
1738 /* Handle $auth<n> variables. */
1739
1740 if (Ustrncmp(name, "auth", 4) == 0)
1741   {
1742   uschar *endptr;
1743   int n = Ustrtoul(name + 4, &endptr, 10);
1744   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1745     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1746   }
1747 else if (Ustrncmp(name, "regex", 5) == 0)
1748   {
1749   uschar *endptr;
1750   int n = Ustrtoul(name + 5, &endptr, 10);
1751   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1752     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1753   }
1754
1755 /* For all other variables, search the table */
1756
1757 if (!(vp = find_var_ent(name)))
1758   return NULL;          /* Unknown variable name */
1759
1760 /* Found an existing variable. If in skipping state, the value isn't needed,
1761 and we want to avoid processing (such as looking up the host name). */
1762
1763 if (skipping)
1764   return US"";
1765
1766 val = vp->value;
1767 switch (vp->type)
1768   {
1769   case vtype_filter_int:
1770     if (!filter_running) return NULL;
1771     /* Fall through */
1772     /* VVVVVVVVVVVV */
1773   case vtype_int:
1774     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1775     return var_buffer;
1776
1777   case vtype_ino:
1778     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1779     return var_buffer;
1780
1781   case vtype_gid:
1782     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1783     return var_buffer;
1784
1785   case vtype_uid:
1786     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1787     return var_buffer;
1788
1789   case vtype_bool:
1790     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1791     return var_buffer;
1792
1793   case vtype_stringptr:                      /* Pointer to string */
1794     return (s = *((uschar **)(val))) ? s : US"";
1795
1796   case vtype_pid:
1797     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1798     return var_buffer;
1799
1800   case vtype_load_avg:
1801     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1802     return var_buffer;
1803
1804   case vtype_host_lookup:                    /* Lookup if not done so */
1805     if (sender_host_name == NULL && sender_host_address != NULL &&
1806         !host_lookup_failed && host_name_lookup() == OK)
1807       host_build_sender_fullhost();
1808     return (sender_host_name == NULL)? US"" : sender_host_name;
1809
1810   case vtype_localpart:                      /* Get local part from address */
1811     s = *((uschar **)(val));
1812     if (s == NULL) return US"";
1813     domain = Ustrrchr(s, '@');
1814     if (domain == NULL) return s;
1815     if (domain - s > sizeof(var_buffer) - 1)
1816       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1817           " in string expansion", sizeof(var_buffer));
1818     Ustrncpy(var_buffer, s, domain - s);
1819     var_buffer[domain - s] = 0;
1820     return var_buffer;
1821
1822   case vtype_domain:                         /* Get domain from address */
1823     s = *((uschar **)(val));
1824     if (s == NULL) return US"";
1825     domain = Ustrrchr(s, '@');
1826     return (domain == NULL)? US"" : domain + 1;
1827
1828   case vtype_msgheaders:
1829     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1830
1831   case vtype_msgheaders_raw:
1832     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1833
1834   case vtype_msgbody:                        /* Pointer to msgbody string */
1835   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1836     ss = (uschar **)(val);
1837     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1838       {
1839       uschar *body;
1840       off_t start_offset = SPOOL_DATA_START_OFFSET;
1841       int len = message_body_visible;
1842       if (len > message_size) len = message_size;
1843       *ss = body = store_malloc(len+1);
1844       body[0] = 0;
1845       if (vp->type == vtype_msgbody_end)
1846         {
1847         struct stat statbuf;
1848         if (fstat(deliver_datafile, &statbuf) == 0)
1849           {
1850           start_offset = statbuf.st_size - len;
1851           if (start_offset < SPOOL_DATA_START_OFFSET)
1852             start_offset = SPOOL_DATA_START_OFFSET;
1853           }
1854         }
1855       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1856         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1857           strerror(errno));
1858       len = read(deliver_datafile, body, len);
1859       if (len > 0)
1860         {
1861         body[len] = 0;
1862         if (message_body_newlines)   /* Separate loops for efficiency */
1863           while (len > 0)
1864             { if (body[--len] == 0) body[len] = ' '; }
1865         else
1866           while (len > 0)
1867             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1868         }
1869       }
1870     return (*ss == NULL)? US"" : *ss;
1871
1872   case vtype_todbsdin:                       /* BSD inbox time of day */
1873     return tod_stamp(tod_bsdin);
1874
1875   case vtype_tode:                           /* Unix epoch time of day */
1876     return tod_stamp(tod_epoch);
1877
1878   case vtype_todel:                          /* Unix epoch/usec time of day */
1879     return tod_stamp(tod_epoch_l);
1880
1881   case vtype_todf:                           /* Full time of day */
1882     return tod_stamp(tod_full);
1883
1884   case vtype_todl:                           /* Log format time of day */
1885     return tod_stamp(tod_log_bare);            /* (without timezone) */
1886
1887   case vtype_todzone:                        /* Time zone offset only */
1888     return tod_stamp(tod_zone);
1889
1890   case vtype_todzulu:                        /* Zulu time */
1891     return tod_stamp(tod_zulu);
1892
1893   case vtype_todlf:                          /* Log file datestamp tod */
1894     return tod_stamp(tod_log_datestamp_daily);
1895
1896   case vtype_reply:                          /* Get reply address */
1897     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1898       headers_charset);
1899     if (s != NULL) while (isspace(*s)) s++;
1900     if (s == NULL || *s == 0)
1901       {
1902       *newsize = 0;                            /* For the *s==0 case */
1903       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1904       }
1905     if (s != NULL)
1906       {
1907       uschar *t;
1908       while (isspace(*s)) s++;
1909       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1910       while (t > s && isspace(t[-1])) t--;
1911       *t = 0;
1912       }
1913     return (s == NULL)? US"" : s;
1914
1915   case vtype_string_func:
1916     {
1917     uschar * (*fn)() = val;
1918     return fn();
1919     }
1920
1921   case vtype_pspace:
1922     {
1923     int inodes;
1924     sprintf(CS var_buffer, "%d",
1925       receive_statvfs(val == (void *)TRUE, &inodes));
1926     }
1927   return var_buffer;
1928
1929   case vtype_pinodes:
1930     {
1931     int inodes;
1932     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1933     sprintf(CS var_buffer, "%d", inodes);
1934     }
1935   return var_buffer;
1936
1937   case vtype_cert:
1938     return *(void **)val ? US"<cert>" : US"";
1939
1940 #ifndef DISABLE_DKIM
1941   case vtype_dkim:
1942     return dkim_exim_expand_query((int)(long)val);
1943 #endif
1944
1945   }
1946
1947 return NULL;  /* Unknown variable. Silences static checkers. */
1948 }
1949
1950
1951
1952
1953 void
1954 modify_variable(uschar *name, void * value)
1955 {
1956 var_entry * vp;
1957 if ((vp = find_var_ent(name))) vp->value = value;
1958 return;          /* Unknown variable name, fail silently */
1959 }
1960
1961
1962
1963
1964
1965 /*************************************************
1966 *           Read and expand substrings           *
1967 *************************************************/
1968
1969 /* This function is called to read and expand argument substrings for various
1970 expansion items. Some have a minimum requirement that is less than the maximum;
1971 in these cases, the first non-present one is set to NULL.
1972
1973 Arguments:
1974   sub        points to vector of pointers to set
1975   n          maximum number of substrings
1976   m          minimum required
1977   sptr       points to current string pointer
1978   skipping   the skipping flag
1979   check_end  if TRUE, check for final '}'
1980   name       name of item, for error message
1981   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1982              the store.
1983
1984 Returns:     0 OK; string pointer updated
1985              1 curly bracketing error (too few arguments)
1986              2 too many arguments (only if check_end is set); message set
1987              3 other error (expansion failure)
1988 */
1989
1990 static int
1991 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1992   BOOL check_end, uschar *name, BOOL *resetok)
1993 {
1994 int i;
1995 const uschar *s = *sptr;
1996
1997 while (isspace(*s)) s++;
1998 for (i = 0; i < n; i++)
1999   {
2000   if (*s != '{')
2001     {
2002     if (i < m) return 1;
2003     sub[i] = NULL;
2004     break;
2005     }
2006   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
2007   if (sub[i] == NULL) return 3;
2008   if (*s++ != '}') return 1;
2009   while (isspace(*s)) s++;
2010   }
2011 if (check_end && *s++ != '}')
2012   {
2013   if (s[-1] == '{')
2014     {
2015     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
2016       "(max is %d)", name, n);
2017     return 2;
2018     }
2019   return 1;
2020   }
2021
2022 *sptr = s;
2023 return 0;
2024 }
2025
2026
2027
2028
2029 /*************************************************
2030 *     Elaborate message for bad variable         *
2031 *************************************************/
2032
2033 /* For the "unknown variable" message, take a look at the variable's name, and
2034 give additional information about possible ACL variables. The extra information
2035 is added on to expand_string_message.
2036
2037 Argument:   the name of the variable
2038 Returns:    nothing
2039 */
2040
2041 static void
2042 check_variable_error_message(uschar *name)
2043 {
2044 if (Ustrncmp(name, "acl_", 4) == 0)
2045   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2046     (name[4] == 'c' || name[4] == 'm')?
2047       (isalpha(name[5])?
2048         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2049         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2050       ) :
2051       US"user-defined ACL variables must start acl_c or acl_m");
2052 }
2053
2054
2055
2056 /*
2057 Load args from sub array to globals, and call acl_check().
2058 Sub array will be corrupted on return.
2059
2060 Returns:       OK         access is granted by an ACCEPT verb
2061                DISCARD    access is (apparently) granted by a DISCARD verb
2062                FAIL       access is denied
2063                FAIL_DROP  access is denied; drop the connection
2064                DEFER      can't tell at the moment
2065                ERROR      disaster
2066 */
2067 static int
2068 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2069 {
2070 int i;
2071 int sav_narg = acl_narg;
2072 int ret;
2073 uschar * dummy_logmsg;
2074 extern int acl_where;
2075
2076 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2077 for (i = 0; i < nsub && sub[i+1]; i++)
2078   {
2079   uschar * tmp = acl_arg[i];
2080   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2081   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2082   }
2083 acl_narg = i;
2084 while (i < nsub)
2085   {
2086   sub[i+1] = acl_arg[i];
2087   acl_arg[i++] = NULL;
2088   }
2089
2090 DEBUG(D_expand)
2091   debug_printf("expanding: acl: %s  arg: %s%s\n",
2092     sub[0],
2093     acl_narg>0 ? acl_arg[0] : US"<none>",
2094     acl_narg>1 ? " +more"   : "");
2095
2096 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2097
2098 for (i = 0; i < nsub; i++)
2099   acl_arg[i] = sub[i+1];        /* restore old args */
2100 acl_narg = sav_narg;
2101
2102 return ret;
2103 }
2104
2105
2106
2107
2108 /*************************************************
2109 *        Read and evaluate a condition           *
2110 *************************************************/
2111
2112 /*
2113 Arguments:
2114   s        points to the start of the condition text
2115   resetok  points to a BOOL which is written false if it is unsafe to
2116            free memory. Certain condition types (acl) may have side-effect
2117            allocation which must be preserved.
2118   yield    points to a BOOL to hold the result of the condition test;
2119            if NULL, we are just reading through a condition that is
2120            part of an "or" combination to check syntax, or in a state
2121            where the answer isn't required
2122
2123 Returns:   a pointer to the first character after the condition, or
2124            NULL after an error
2125 */
2126
2127 static const uschar *
2128 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2129 {
2130 BOOL testfor = TRUE;
2131 BOOL tempcond, combined_cond;
2132 BOOL *subcondptr;
2133 BOOL sub2_honour_dollar = TRUE;
2134 int i, rc, cond_type, roffset;
2135 int_eximarith_t num[2];
2136 struct stat statbuf;
2137 uschar name[256];
2138 const uschar *sub[10];
2139
2140 const pcre *re;
2141 const uschar *rerror;
2142
2143 for (;;)
2144   {
2145   while (isspace(*s)) s++;
2146   if (*s == '!') { testfor = !testfor; s++; } else break;
2147   }
2148
2149 /* Numeric comparisons are symbolic */
2150
2151 if (*s == '=' || *s == '>' || *s == '<')
2152   {
2153   int p = 0;
2154   name[p++] = *s++;
2155   if (*s == '=')
2156     {
2157     name[p++] = '=';
2158     s++;
2159     }
2160   name[p] = 0;
2161   }
2162
2163 /* All other conditions are named */
2164
2165 else s = read_name(name, 256, s, US"_");
2166
2167 /* If we haven't read a name, it means some non-alpha character is first. */
2168
2169 if (name[0] == 0)
2170   {
2171   expand_string_message = string_sprintf("condition name expected, "
2172     "but found \"%.16s\"", s);
2173   return NULL;
2174   }
2175
2176 /* Find which condition we are dealing with, and switch on it */
2177
2178 cond_type = chop_match(name, cond_table, nelem(cond_table));
2179 switch(cond_type)
2180   {
2181   /* def: tests for a non-empty variable, or for the existence of a header. If
2182   yield == NULL we are in a skipping state, and don't care about the answer. */
2183
2184   case ECOND_DEF:
2185   if (*s != ':')
2186     {
2187     expand_string_message = US"\":\" expected after \"def\"";
2188     return NULL;
2189     }
2190
2191   s = read_name(name, 256, s+1, US"_");
2192
2193   /* Test for a header's existence. If the name contains a closing brace
2194   character, this may be a user error where the terminating colon has been
2195   omitted. Set a flag to adjust a subsequent error message in this case. */
2196
2197   if (Ustrncmp(name, "h_", 2) == 0 ||
2198       Ustrncmp(name, "rh_", 3) == 0 ||
2199       Ustrncmp(name, "bh_", 3) == 0 ||
2200       Ustrncmp(name, "header_", 7) == 0 ||
2201       Ustrncmp(name, "rheader_", 8) == 0 ||
2202       Ustrncmp(name, "bheader_", 8) == 0)
2203     {
2204     s = read_header_name(name, 256, s);
2205     /* {-for-text-editors */
2206     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2207     if (yield != NULL) *yield =
2208       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2209     }
2210
2211   /* Test for a variable's having a non-empty value. A non-existent variable
2212   causes an expansion failure. */
2213
2214   else
2215     {
2216     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2217     if (value == NULL)
2218       {
2219       expand_string_message = (name[0] == 0)?
2220         string_sprintf("variable name omitted after \"def:\"") :
2221         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2222       check_variable_error_message(name);
2223       return NULL;
2224       }
2225     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2226     }
2227
2228   return s;
2229
2230
2231   /* first_delivery tests for first delivery attempt */
2232
2233   case ECOND_FIRST_DELIVERY:
2234   if (yield != NULL) *yield = deliver_firsttime == testfor;
2235   return s;
2236
2237
2238   /* queue_running tests for any process started by a queue runner */
2239
2240   case ECOND_QUEUE_RUNNING:
2241   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2242   return s;
2243
2244
2245   /* exists:  tests for file existence
2246        isip:  tests for any IP address
2247       isip4:  tests for an IPv4 address
2248       isip6:  tests for an IPv6 address
2249         pam:  does PAM authentication
2250      radius:  does RADIUS authentication
2251    ldapauth:  does LDAP authentication
2252     pwcheck:  does Cyrus SASL pwcheck authentication
2253   */
2254
2255   case ECOND_EXISTS:
2256   case ECOND_ISIP:
2257   case ECOND_ISIP4:
2258   case ECOND_ISIP6:
2259   case ECOND_PAM:
2260   case ECOND_RADIUS:
2261   case ECOND_LDAPAUTH:
2262   case ECOND_PWCHECK:
2263
2264   while (isspace(*s)) s++;
2265   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2266
2267   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2268   if (sub[0] == NULL) return NULL;
2269   /* {-for-text-editors */
2270   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2271
2272   if (yield == NULL) return s;   /* No need to run the test if skipping */
2273
2274   switch(cond_type)
2275     {
2276     case ECOND_EXISTS:
2277     if ((expand_forbid & RDO_EXISTS) != 0)
2278       {
2279       expand_string_message = US"File existence tests are not permitted";
2280       return NULL;
2281       }
2282     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2283     break;
2284
2285     case ECOND_ISIP:
2286     case ECOND_ISIP4:
2287     case ECOND_ISIP6:
2288     rc = string_is_ip_address(sub[0], NULL);
2289     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2290              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2291     break;
2292
2293     /* Various authentication tests - all optionally compiled */
2294
2295     case ECOND_PAM:
2296     #ifdef SUPPORT_PAM
2297     rc = auth_call_pam(sub[0], &expand_string_message);
2298     goto END_AUTH;
2299     #else
2300     goto COND_FAILED_NOT_COMPILED;
2301     #endif  /* SUPPORT_PAM */
2302
2303     case ECOND_RADIUS:
2304     #ifdef RADIUS_CONFIG_FILE
2305     rc = auth_call_radius(sub[0], &expand_string_message);
2306     goto END_AUTH;
2307     #else
2308     goto COND_FAILED_NOT_COMPILED;
2309     #endif  /* RADIUS_CONFIG_FILE */
2310
2311     case ECOND_LDAPAUTH:
2312     #ifdef LOOKUP_LDAP
2313       {
2314       /* Just to keep the interface the same */
2315       BOOL do_cache;
2316       int old_pool = store_pool;
2317       store_pool = POOL_SEARCH;
2318       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2319         &expand_string_message, &do_cache);
2320       store_pool = old_pool;
2321       }
2322     goto END_AUTH;
2323     #else
2324     goto COND_FAILED_NOT_COMPILED;
2325     #endif  /* LOOKUP_LDAP */
2326
2327     case ECOND_PWCHECK:
2328     #ifdef CYRUS_PWCHECK_SOCKET
2329     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2330     goto END_AUTH;
2331     #else
2332     goto COND_FAILED_NOT_COMPILED;
2333     #endif  /* CYRUS_PWCHECK_SOCKET */
2334
2335     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2336         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2337     END_AUTH:
2338     if (rc == ERROR || rc == DEFER) return NULL;
2339     *yield = (rc == OK) == testfor;
2340     #endif
2341     }
2342   return s;
2343
2344
2345   /* call ACL (in a conditional context).  Accept true, deny false.
2346   Defer is a forced-fail.  Anything set by message= goes to $value.
2347   Up to ten parameters are used; we use the braces round the name+args
2348   like the saslauthd condition does, to permit a variable number of args.
2349   See also the expansion-item version EITEM_ACL and the traditional
2350   acl modifier ACLC_ACL.
2351   Since the ACL may allocate new global variables, tell our caller to not
2352   reclaim memory.
2353   */
2354
2355   case ECOND_ACL:
2356     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2357     {
2358     uschar *sub[10];
2359     uschar *user_msg;
2360     BOOL cond = FALSE;
2361     int size = 0;
2362     int ptr = 0;
2363
2364     while (isspace(*s)) s++;
2365     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2366
2367     switch(read_subs(sub, nelem(sub), 1,
2368       &s, yield == NULL, TRUE, US"acl", resetok))
2369       {
2370       case 1: expand_string_message = US"too few arguments or bracketing "
2371         "error for acl";
2372       case 2:
2373       case 3: return NULL;
2374       }
2375
2376     *resetok = FALSE;   /* eval_acl() might allocate; do not reclaim */
2377     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2378         {
2379         case OK:
2380           cond = TRUE;
2381         case FAIL:
2382           lookup_value = NULL;
2383           if (user_msg)
2384             {
2385             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2386             lookup_value[ptr] = '\0';
2387             }
2388           *yield = cond == testfor;
2389           break;
2390
2391         case DEFER:
2392           expand_string_forcedfail = TRUE;
2393           /*FALLTHROUGH*/
2394         default:
2395           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2396           return NULL;
2397         }
2398     return s;
2399     }
2400
2401
2402   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2403
2404      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2405
2406   However, the last two are optional. That is why the whole set is enclosed
2407   in their own set of braces. */
2408
2409   case ECOND_SASLAUTHD:
2410 #ifndef CYRUS_SASLAUTHD_SOCKET
2411     goto COND_FAILED_NOT_COMPILED;
2412 #else
2413     {
2414     uschar *sub[4];
2415     while (isspace(*s)) s++;
2416     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2417     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2418                     resetok))
2419       {
2420       case 1: expand_string_message = US"too few arguments or bracketing "
2421         "error for saslauthd";
2422       case 2:
2423       case 3: return NULL;
2424       }
2425     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2426     if (yield != NULL)
2427       {
2428       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2429         &expand_string_message);
2430       if (rc == ERROR || rc == DEFER) return NULL;
2431       *yield = (rc == OK) == testfor;
2432       }
2433     return s;
2434     }
2435 #endif /* CYRUS_SASLAUTHD_SOCKET */
2436
2437
2438   /* symbolic operators for numeric and string comparison, and a number of
2439   other operators, all requiring two arguments.
2440
2441   crypteq:           encrypts plaintext and compares against an encrypted text,
2442                        using crypt(), crypt16(), MD5 or SHA-1
2443   inlist/inlisti:    checks if first argument is in the list of the second
2444   match:             does a regular expression match and sets up the numerical
2445                        variables if it succeeds
2446   match_address:     matches in an address list
2447   match_domain:      matches in a domain list
2448   match_ip:          matches a host list that is restricted to IP addresses
2449   match_local_part:  matches in a local part list
2450   */
2451
2452   case ECOND_MATCH_ADDRESS:
2453   case ECOND_MATCH_DOMAIN:
2454   case ECOND_MATCH_IP:
2455   case ECOND_MATCH_LOCAL_PART:
2456 #ifndef EXPAND_LISTMATCH_RHS
2457     sub2_honour_dollar = FALSE;
2458 #endif
2459     /* FALLTHROUGH */
2460
2461   case ECOND_CRYPTEQ:
2462   case ECOND_INLIST:
2463   case ECOND_INLISTI:
2464   case ECOND_MATCH:
2465
2466   case ECOND_NUM_L:     /* Numerical comparisons */
2467   case ECOND_NUM_LE:
2468   case ECOND_NUM_E:
2469   case ECOND_NUM_EE:
2470   case ECOND_NUM_G:
2471   case ECOND_NUM_GE:
2472
2473   case ECOND_STR_LT:    /* String comparisons */
2474   case ECOND_STR_LTI:
2475   case ECOND_STR_LE:
2476   case ECOND_STR_LEI:
2477   case ECOND_STR_EQ:
2478   case ECOND_STR_EQI:
2479   case ECOND_STR_GT:
2480   case ECOND_STR_GTI:
2481   case ECOND_STR_GE:
2482   case ECOND_STR_GEI:
2483
2484   for (i = 0; i < 2; i++)
2485     {
2486     /* Sometimes, we don't expand substrings; too many insecure configurations
2487     created using match_address{}{} and friends, where the second param
2488     includes information from untrustworthy sources. */
2489     BOOL honour_dollar = TRUE;
2490     if ((i > 0) && !sub2_honour_dollar)
2491       honour_dollar = FALSE;
2492
2493     while (isspace(*s)) s++;
2494     if (*s != '{')
2495       {
2496       if (i == 0) goto COND_FAILED_CURLY_START;
2497       expand_string_message = string_sprintf("missing 2nd string in {} "
2498         "after \"%s\"", name);
2499       return NULL;
2500       }
2501     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2502         honour_dollar, resetok);
2503     if (sub[i] == NULL) return NULL;
2504     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2505
2506     /* Convert to numerical if required; we know that the names of all the
2507     conditions that compare numbers do not start with a letter. This just saves
2508     checking for them individually. */
2509
2510     if (!isalpha(name[0]) && yield != NULL)
2511       {
2512       if (sub[i][0] == 0)
2513         {
2514         num[i] = 0;
2515         DEBUG(D_expand)
2516           debug_printf("empty string cast to zero for numerical comparison\n");
2517         }
2518       else
2519         {
2520         num[i] = expanded_string_integer(sub[i], FALSE);
2521         if (expand_string_message != NULL) return NULL;
2522         }
2523       }
2524     }
2525
2526   /* Result not required */
2527
2528   if (yield == NULL) return s;
2529
2530   /* Do an appropriate comparison */
2531
2532   switch(cond_type)
2533     {
2534     case ECOND_NUM_E:
2535     case ECOND_NUM_EE:
2536     tempcond = (num[0] == num[1]);
2537     break;
2538
2539     case ECOND_NUM_G:
2540     tempcond = (num[0] > num[1]);
2541     break;
2542
2543     case ECOND_NUM_GE:
2544     tempcond = (num[0] >= num[1]);
2545     break;
2546
2547     case ECOND_NUM_L:
2548     tempcond = (num[0] < num[1]);
2549     break;
2550
2551     case ECOND_NUM_LE:
2552     tempcond = (num[0] <= num[1]);
2553     break;
2554
2555     case ECOND_STR_LT:
2556     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2557     break;
2558
2559     case ECOND_STR_LTI:
2560     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2561     break;
2562
2563     case ECOND_STR_LE:
2564     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2565     break;
2566
2567     case ECOND_STR_LEI:
2568     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2569     break;
2570
2571     case ECOND_STR_EQ:
2572     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2573     break;
2574
2575     case ECOND_STR_EQI:
2576     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2577     break;
2578
2579     case ECOND_STR_GT:
2580     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2581     break;
2582
2583     case ECOND_STR_GTI:
2584     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2585     break;
2586
2587     case ECOND_STR_GE:
2588     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2589     break;
2590
2591     case ECOND_STR_GEI:
2592     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2593     break;
2594
2595     case ECOND_MATCH:   /* Regular expression match */
2596     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2597       NULL);
2598     if (re == NULL)
2599       {
2600       expand_string_message = string_sprintf("regular expression error in "
2601         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2602       return NULL;
2603       }
2604     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2605     break;
2606
2607     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2608     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2609     goto MATCHED_SOMETHING;
2610
2611     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2612     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2613       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2614     goto MATCHED_SOMETHING;
2615
2616     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2617     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2618       {
2619       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2620         sub[0]);
2621       return NULL;
2622       }
2623     else
2624       {
2625       unsigned int *nullcache = NULL;
2626       check_host_block cb;
2627
2628       cb.host_name = US"";
2629       cb.host_address = sub[0];
2630
2631       /* If the host address starts off ::ffff: it is an IPv6 address in
2632       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2633       addresses. */
2634
2635       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2636         cb.host_address + 7 : cb.host_address;
2637
2638       rc = match_check_list(
2639              &sub[1],                   /* the list */
2640              0,                         /* separator character */
2641              &hostlist_anchor,          /* anchor pointer */
2642              &nullcache,                /* cache pointer */
2643              check_host,                /* function for testing */
2644              &cb,                       /* argument for function */
2645              MCL_HOST,                  /* type of check */
2646              sub[0],                    /* text for debugging */
2647              NULL);                     /* where to pass back data */
2648       }
2649     goto MATCHED_SOMETHING;
2650
2651     case ECOND_MATCH_LOCAL_PART:
2652     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2653       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2654     /* Fall through */
2655     /* VVVVVVVVVVVV */
2656     MATCHED_SOMETHING:
2657     switch(rc)
2658       {
2659       case OK:
2660       tempcond = TRUE;
2661       break;
2662
2663       case FAIL:
2664       tempcond = FALSE;
2665       break;
2666
2667       case DEFER:
2668       expand_string_message = string_sprintf("unable to complete match "
2669         "against \"%s\": %s", sub[1], search_error_message);
2670       return NULL;
2671       }
2672
2673     break;
2674
2675     /* Various "encrypted" comparisons. If the second string starts with
2676     "{" then an encryption type is given. Default to crypt() or crypt16()
2677     (build-time choice). */
2678     /* }-for-text-editors */
2679
2680     case ECOND_CRYPTEQ:
2681     #ifndef SUPPORT_CRYPTEQ
2682     goto COND_FAILED_NOT_COMPILED;
2683     #else
2684     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2685       {
2686       int sublen = Ustrlen(sub[1]+5);
2687       md5 base;
2688       uschar digest[16];
2689
2690       md5_start(&base);
2691       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2692
2693       /* If the length that we are comparing against is 24, the MD5 digest
2694       is expressed as a base64 string. This is the way LDAP does it. However,
2695       some other software uses a straightforward hex representation. We assume
2696       this if the length is 32. Other lengths fail. */
2697
2698       if (sublen == 24)
2699         {
2700         uschar *coded = b64encode((uschar *)digest, 16);
2701         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2702           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2703         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2704         }
2705       else if (sublen == 32)
2706         {
2707         int i;
2708         uschar coded[36];
2709         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2710         coded[32] = 0;
2711         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2712           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2713         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2714         }
2715       else
2716         {
2717         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2718           "fail\n  crypted=%s\n", sub[1]+5);
2719         tempcond = FALSE;
2720         }
2721       }
2722
2723     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2724       {
2725       int sublen = Ustrlen(sub[1]+6);
2726       sha1 base;
2727       uschar digest[20];
2728
2729       sha1_start(&base);
2730       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2731
2732       /* If the length that we are comparing against is 28, assume the SHA1
2733       digest is expressed as a base64 string. If the length is 40, assume a
2734       straightforward hex representation. Other lengths fail. */
2735
2736       if (sublen == 28)
2737         {
2738         uschar *coded = b64encode((uschar *)digest, 20);
2739         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2740           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2741         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2742         }
2743       else if (sublen == 40)
2744         {
2745         int i;
2746         uschar coded[44];
2747         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2748         coded[40] = 0;
2749         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2750           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2751         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2752         }
2753       else
2754         {
2755         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2756           "fail\n  crypted=%s\n", sub[1]+6);
2757         tempcond = FALSE;
2758         }
2759       }
2760
2761     else   /* {crypt} or {crypt16} and non-{ at start */
2762            /* }-for-text-editors */
2763       {
2764       int which = 0;
2765       uschar *coded;
2766
2767       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2768         {
2769         sub[1] += 7;
2770         which = 1;
2771         }
2772       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2773         {
2774         sub[1] += 9;
2775         which = 2;
2776         }
2777       else if (sub[1][0] == '{')                /* }-for-text-editors */
2778         {
2779         expand_string_message = string_sprintf("unknown encryption mechanism "
2780           "in \"%s\"", sub[1]);
2781         return NULL;
2782         }
2783
2784       switch(which)
2785         {
2786         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2787         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2788         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2789         }
2790
2791       #define STR(s) # s
2792       #define XSTR(s) STR(s)
2793       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2794         "  subject=%s\n  crypted=%s\n",
2795         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2796         coded, sub[1]);
2797       #undef STR
2798       #undef XSTR
2799
2800       /* If the encrypted string contains fewer than two characters (for the
2801       salt), force failure. Otherwise we get false positives: with an empty
2802       string the yield of crypt() is an empty string! */
2803
2804       if (coded)
2805         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2806       else if (errno == EINVAL)
2807         tempcond = FALSE;
2808       else
2809         {
2810         expand_string_message = string_sprintf("crypt error: %s\n",
2811           US strerror(errno));
2812         return NULL;
2813         }
2814       }
2815     break;
2816     #endif  /* SUPPORT_CRYPTEQ */
2817
2818     case ECOND_INLIST:
2819     case ECOND_INLISTI:
2820       {
2821       const uschar * list = sub[1];
2822       int sep = 0;
2823       uschar *save_iterate_item = iterate_item;
2824       int (*compare)(const uschar *, const uschar *);
2825
2826       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2827
2828       tempcond = FALSE;
2829       compare = cond_type == ECOND_INLISTI
2830         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2831
2832       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2833         if (compare(sub[0], iterate_item) == 0)
2834           {
2835           tempcond = TRUE;
2836           break;
2837           }
2838       iterate_item = save_iterate_item;
2839       }
2840
2841     }   /* Switch for comparison conditions */
2842
2843   *yield = tempcond == testfor;
2844   return s;    /* End of comparison conditions */
2845
2846
2847   /* and/or: computes logical and/or of several conditions */
2848
2849   case ECOND_AND:
2850   case ECOND_OR:
2851   subcondptr = (yield == NULL)? NULL : &tempcond;
2852   combined_cond = (cond_type == ECOND_AND);
2853
2854   while (isspace(*s)) s++;
2855   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2856
2857   for (;;)
2858     {
2859     while (isspace(*s)) s++;
2860     /* {-for-text-editors */
2861     if (*s == '}') break;
2862     if (*s != '{')                                      /* }-for-text-editors */
2863       {
2864       expand_string_message = string_sprintf("each subcondition "
2865         "inside an \"%s{...}\" condition must be in its own {}", name);
2866       return NULL;
2867       }
2868
2869     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2870       {
2871       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2872         expand_string_message, name);
2873       return NULL;
2874       }
2875     while (isspace(*s)) s++;
2876
2877     /* {-for-text-editors */
2878     if (*s++ != '}')
2879       {
2880       /* {-for-text-editors */
2881       expand_string_message = string_sprintf("missing } at end of condition "
2882         "inside \"%s\" group", name);
2883       return NULL;
2884       }
2885
2886     if (yield != NULL)
2887       {
2888       if (cond_type == ECOND_AND)
2889         {
2890         combined_cond &= tempcond;
2891         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2892         }                                       /* evaluate any more */
2893       else
2894         {
2895         combined_cond |= tempcond;
2896         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2897         }                                       /* evaluate any more */
2898       }
2899     }
2900
2901   if (yield != NULL) *yield = (combined_cond == testfor);
2902   return ++s;
2903
2904
2905   /* forall/forany: iterates a condition with different values */
2906
2907   case ECOND_FORALL:
2908   case ECOND_FORANY:
2909     {
2910     const uschar * list;
2911     int sep = 0;
2912     uschar *save_iterate_item = iterate_item;
2913
2914     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2915
2916     while (isspace(*s)) s++;
2917     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2918     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2919     if (sub[0] == NULL) return NULL;
2920     /* {-for-text-editors */
2921     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2922
2923     while (isspace(*s)) s++;
2924     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2925
2926     sub[1] = s;
2927
2928     /* Call eval_condition once, with result discarded (as if scanning a
2929     "false" part). This allows us to find the end of the condition, because if
2930     the list it empty, we won't actually evaluate the condition for real. */
2931
2932     if (!(s = eval_condition(sub[1], resetok, NULL)))
2933       {
2934       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2935         expand_string_message, name);
2936       return NULL;
2937       }
2938     while (isspace(*s)) s++;
2939
2940     /* {-for-text-editors */
2941     if (*s++ != '}')
2942       {
2943       /* {-for-text-editors */
2944       expand_string_message = string_sprintf("missing } at end of condition "
2945         "inside \"%s\"", name);
2946       return NULL;
2947       }
2948
2949     if (yield != NULL) *yield = !testfor;
2950     list = sub[0];
2951     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2952       {
2953       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2954       if (!eval_condition(sub[1], resetok, &tempcond))
2955         {
2956         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2957           expand_string_message, name);
2958         iterate_item = save_iterate_item;
2959         return NULL;
2960         }
2961       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2962         tempcond? "true":"false");
2963
2964       if (yield != NULL) *yield = (tempcond == testfor);
2965       if (tempcond == (cond_type == ECOND_FORANY)) break;
2966       }
2967
2968     iterate_item = save_iterate_item;
2969     return s;
2970     }
2971
2972
2973   /* The bool{} expansion condition maps a string to boolean.
2974   The values supported should match those supported by the ACL condition
2975   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2976   of true/false.  Note that Router "condition" rules have a different
2977   interpretation, where general data can be used and only a few values
2978   map to FALSE.
2979   Note that readconf.c boolean matching, for boolean configuration options,
2980   only matches true/yes/false/no.
2981   The bool_lax{} condition matches the Router logic, which is much more
2982   liberal. */
2983   case ECOND_BOOL:
2984   case ECOND_BOOL_LAX:
2985     {
2986     uschar *sub_arg[1];
2987     uschar *t, *t2;
2988     uschar *ourname;
2989     size_t len;
2990     BOOL boolvalue = FALSE;
2991     while (isspace(*s)) s++;
2992     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2993     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2994     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2995       {
2996       case 1: expand_string_message = string_sprintf(
2997                   "too few arguments or bracketing error for %s",
2998                   ourname);
2999       /*FALLTHROUGH*/
3000       case 2:
3001       case 3: return NULL;
3002       }
3003     t = sub_arg[0];
3004     while (isspace(*t)) t++;
3005     len = Ustrlen(t);
3006     if (len)
3007       {
3008       /* trailing whitespace: seems like a good idea to ignore it too */
3009       t2 = t + len - 1;
3010       while (isspace(*t2)) t2--;
3011       if (t2 != (t + len))
3012         {
3013         *++t2 = '\0';
3014         len = t2 - t;
3015         }
3016       }
3017     DEBUG(D_expand)
3018       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3019     /* logic for the lax case from expand_check_condition(), which also does
3020     expands, and the logic is both short and stable enough that there should
3021     be no maintenance burden from replicating it. */
3022     if (len == 0)
3023       boolvalue = FALSE;
3024     else if (*t == '-'
3025              ? Ustrspn(t+1, "0123456789") == len-1
3026              : Ustrspn(t,   "0123456789") == len)
3027       {
3028       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3029       /* expand_check_condition only does a literal string "0" check */
3030       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3031         boolvalue = TRUE;
3032       }
3033     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3034       boolvalue = TRUE;
3035     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3036       boolvalue = FALSE;
3037     else if (cond_type == ECOND_BOOL_LAX)
3038       boolvalue = TRUE;
3039     else
3040       {
3041       expand_string_message = string_sprintf("unrecognised boolean "
3042        "value \"%s\"", t);
3043       return NULL;
3044       }
3045     if (yield != NULL) *yield = (boolvalue == testfor);
3046     return s;
3047     }
3048
3049   /* Unknown condition */
3050
3051   default:
3052   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3053   return NULL;
3054   }   /* End switch on condition type */
3055
3056 /* Missing braces at start and end of data */
3057
3058 COND_FAILED_CURLY_START:
3059 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3060 return NULL;
3061
3062 COND_FAILED_CURLY_END:
3063 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3064   name);
3065 return NULL;
3066
3067 /* A condition requires code that is not compiled */
3068
3069 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3070     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3071     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3072 COND_FAILED_NOT_COMPILED:
3073 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3074   name);
3075 return NULL;
3076 #endif
3077 }
3078
3079
3080
3081
3082 /*************************************************
3083 *          Save numerical variables              *
3084 *************************************************/
3085
3086 /* This function is called from items such as "if" that want to preserve and
3087 restore the numbered variables.
3088
3089 Arguments:
3090   save_expand_string    points to an array of pointers to set
3091   save_expand_nlength   points to an array of ints for the lengths
3092
3093 Returns:                the value of expand max to save
3094 */
3095
3096 static int
3097 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3098 {
3099 int i;
3100 for (i = 0; i <= expand_nmax; i++)
3101   {
3102   save_expand_nstring[i] = expand_nstring[i];
3103   save_expand_nlength[i] = expand_nlength[i];
3104   }
3105 return expand_nmax;
3106 }
3107
3108
3109
3110 /*************************************************
3111 *           Restore numerical variables          *
3112 *************************************************/
3113
3114 /* This function restored saved values of numerical strings.
3115
3116 Arguments:
3117   save_expand_nmax      the number of strings to restore
3118   save_expand_string    points to an array of pointers
3119   save_expand_nlength   points to an array of ints
3120
3121 Returns:                nothing
3122 */
3123
3124 static void
3125 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3126   int *save_expand_nlength)
3127 {
3128 int i;
3129 expand_nmax = save_expand_nmax;
3130 for (i = 0; i <= expand_nmax; i++)
3131   {
3132   expand_nstring[i] = save_expand_nstring[i];
3133   expand_nlength[i] = save_expand_nlength[i];
3134   }
3135 }
3136
3137
3138
3139
3140
3141 /*************************************************
3142 *            Handle yes/no substrings            *
3143 *************************************************/
3144
3145 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3146 alternative substrings that depend on whether or not the condition was true,
3147 or the lookup or extraction succeeded. The substrings always have to be
3148 expanded, to check their syntax, but "skipping" is set when the result is not
3149 needed - this avoids unnecessary nested lookups.
3150
3151 Arguments:
3152   skipping       TRUE if we were skipping when this item was reached
3153   yes            TRUE if the first string is to be used, else use the second
3154   save_lookup    a value to put back into lookup_value before the 2nd expansion
3155   sptr           points to the input string pointer
3156   yieldptr       points to the output string pointer
3157   sizeptr        points to the output string size
3158   ptrptr         points to the output string pointer
3159   type           "lookup", "if", "extract", "run", "env", "listextract" or
3160                  "certextract" for error message
3161   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3162                 the store.
3163
3164 Returns:         0 OK; lookup_value has been reset to save_lookup
3165                  1 expansion failed
3166                  2 expansion failed because of bracketing error
3167 */
3168
3169 static int
3170 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3171   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3172 {
3173 int rc = 0;
3174 const uschar *s = *sptr;    /* Local value */
3175 uschar *sub1, *sub2;
3176
3177 /* If there are no following strings, we substitute the contents of $value for
3178 lookups and for extractions in the success case. For the ${if item, the string
3179 "true" is substituted. In the fail case, nothing is substituted for all three
3180 items. */
3181
3182 while (isspace(*s)) s++;
3183 if (*s == '}')
3184   {
3185   if (type[0] == 'i')
3186     {
3187     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3188     }
3189   else
3190     {
3191     if (yes && lookup_value)
3192       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3193         Ustrlen(lookup_value));
3194     lookup_value = save_lookup;
3195     }
3196   s++;
3197   goto RETURN;
3198   }
3199
3200 /* The first following string must be braced. */
3201
3202 if (*s++ != '{') goto FAILED_CURLY;
3203
3204 /* Expand the first substring. Forced failures are noticed only if we actually
3205 want this string. Set skipping in the call in the fail case (this will always
3206 be the case if we were already skipping). */
3207
3208 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3209 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3210 expand_string_forcedfail = FALSE;
3211 if (*s++ != '}') goto FAILED_CURLY;
3212
3213 /* If we want the first string, add it to the output */
3214
3215 if (yes)
3216   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3217
3218 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3219 $value to what it was at the start of the item, so that it has this value
3220 during the second string expansion. For the call from "if" or "run" to this
3221 function, save_lookup is set to lookup_value, so that this statement does
3222 nothing. */
3223
3224 lookup_value = save_lookup;
3225
3226 /* There now follows either another substring, or "fail", or nothing. This
3227 time, forced failures are noticed only if we want the second string. We must
3228 set skipping in the nested call if we don't want this string, or if we were
3229 already skipping. */
3230
3231 while (isspace(*s)) s++;
3232 if (*s == '{')
3233   {
3234   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3235   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3236   expand_string_forcedfail = FALSE;
3237   if (*s++ != '}') goto FAILED_CURLY;
3238
3239   /* If we want the second string, add it to the output */
3240
3241   if (!yes)
3242     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3243   }
3244
3245 /* If there is no second string, but the word "fail" is present when the use of
3246 the second string is wanted, set a flag indicating it was a forced failure
3247 rather than a syntactic error. Swallow the terminating } in case this is nested
3248 inside another lookup or if or extract. */
3249
3250 else if (*s != '}')
3251   {
3252   uschar name[256];
3253   /* deconst cast ok here as source is s anyway */
3254   s = US read_name(name, sizeof(name), s, US"_");
3255   if (Ustrcmp(name, "fail") == 0)
3256     {
3257     if (!yes && !skipping)
3258       {
3259       while (isspace(*s)) s++;
3260       if (*s++ != '}') goto FAILED_CURLY;
3261       expand_string_message =
3262         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3263       expand_string_forcedfail = TRUE;
3264       goto FAILED;
3265       }
3266     }
3267   else
3268     {
3269     expand_string_message =
3270       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3271     goto FAILED;
3272     }
3273   }
3274
3275 /* All we have to do now is to check on the final closing brace. */
3276
3277 while (isspace(*s)) s++;
3278 if (*s++ == '}') goto RETURN;
3279
3280 /* Get here if there is a bracketing failure */
3281
3282 FAILED_CURLY:
3283 rc++;
3284
3285 /* Get here for other failures */
3286
3287 FAILED:
3288 rc++;
3289
3290 /* Update the input pointer value before returning */
3291
3292 RETURN:
3293 *sptr = s;
3294 return rc;
3295 }
3296
3297
3298
3299
3300 /*************************************************
3301 *    Handle MD5 or SHA-1 computation for HMAC    *
3302 *************************************************/
3303
3304 /* These are some wrapping functions that enable the HMAC code to be a bit
3305 cleaner. A good compiler will spot the tail recursion.
3306
3307 Arguments:
3308   type         HMAC_MD5 or HMAC_SHA1
3309   remaining    are as for the cryptographic hash functions
3310
3311 Returns:       nothing
3312 */
3313
3314 static void
3315 chash_start(int type, void *base)
3316 {
3317 if (type == HMAC_MD5)
3318   md5_start((md5 *)base);
3319 else
3320   sha1_start((sha1 *)base);
3321 }
3322
3323 static void
3324 chash_mid(int type, void *base, uschar *string)
3325 {
3326 if (type == HMAC_MD5)
3327   md5_mid((md5 *)base, string);
3328 else
3329   sha1_mid((sha1 *)base, string);
3330 }
3331
3332 static void
3333 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3334 {
3335 if (type == HMAC_MD5)
3336   md5_end((md5 *)base, string, length, digest);
3337 else
3338   sha1_end((sha1 *)base, string, length, digest);
3339 }
3340
3341
3342
3343
3344
3345 /********************************************************
3346 * prvs: Get last three digits of days since Jan 1, 1970 *
3347 ********************************************************/
3348
3349 /* This is needed to implement the "prvs" BATV reverse
3350    path signing scheme
3351
3352 Argument: integer "days" offset to add or substract to
3353           or from the current number of days.
3354
3355 Returns:  pointer to string containing the last three
3356           digits of the number of days since Jan 1, 1970,
3357           modified by the offset argument, NULL if there
3358           was an error in the conversion.
3359
3360 */
3361
3362 static uschar *
3363 prvs_daystamp(int day_offset)
3364 {
3365 uschar *days = store_get(32);                /* Need at least 24 for cases */
3366 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3367   (time(NULL) + day_offset*86400)/86400);
3368 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3369 }
3370
3371
3372
3373 /********************************************************
3374 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3375 ********************************************************/
3376
3377 /* This is needed to implement the "prvs" BATV reverse
3378    path signing scheme
3379
3380 Arguments:
3381   address RFC2821 Address to use
3382       key The key to use (must be less than 64 characters
3383           in size)
3384   key_num Single-digit key number to use. Defaults to
3385           '0' when NULL.
3386
3387 Returns:  pointer to string containing the first three
3388           bytes of the final hash in hex format, NULL if
3389           there was an error in the process.
3390 */
3391
3392 static uschar *
3393 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3394 {
3395 uschar *hash_source, *p;
3396 int size = 0,offset = 0,i;
3397 sha1 sha1_base;
3398 void *use_base = &sha1_base;
3399 uschar innerhash[20];
3400 uschar finalhash[20];
3401 uschar innerkey[64];
3402 uschar outerkey[64];
3403 uschar *finalhash_hex = store_get(40);
3404
3405 if (key_num == NULL)
3406   key_num = US"0";
3407
3408 if (Ustrlen(key) > 64)
3409   return NULL;
3410
3411 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3412 hash_source = string_cat(hash_source,&size,&offset,daystamp,3);
3413 hash_source = string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3414 hash_source[offset] = '\0';
3415
3416 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3417
3418 memset(innerkey, 0x36, 64);
3419 memset(outerkey, 0x5c, 64);
3420
3421 for (i = 0; i < Ustrlen(key); i++)
3422   {
3423   innerkey[i] ^= key[i];
3424   outerkey[i] ^= key[i];
3425   }
3426
3427 chash_start(HMAC_SHA1, use_base);
3428 chash_mid(HMAC_SHA1, use_base, innerkey);
3429 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3430
3431 chash_start(HMAC_SHA1, use_base);
3432 chash_mid(HMAC_SHA1, use_base, outerkey);
3433 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3434
3435 p = finalhash_hex;
3436 for (i = 0; i < 3; i++)
3437   {
3438   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3439   *p++ = hex_digits[finalhash[i] & 0x0f];
3440   }
3441 *p = '\0';
3442
3443 return finalhash_hex;
3444 }
3445
3446
3447
3448
3449 /*************************************************
3450 *        Join a file onto the output string      *
3451 *************************************************/
3452
3453 /* This is used for readfile/readsock and after a run expansion.
3454 It joins the contents of a file onto the output string, globally replacing
3455 newlines with a given string (optionally).
3456
3457 Arguments:
3458   f            the FILE
3459   yield        pointer to the expandable string
3460   sizep        pointer to the current size
3461   ptrp         pointer to the current position
3462   eol          newline replacement string, or NULL
3463
3464 Returns:       new value of string pointer
3465 */
3466
3467 static uschar *
3468 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3469 {
3470 int eollen = eol ? Ustrlen(eol) : 0;
3471 uschar buffer[1024];
3472
3473 while (Ufgets(buffer, sizeof(buffer), f))
3474   {
3475   int len = Ustrlen(buffer);
3476   if (eol && buffer[len-1] == '\n') len--;
3477   yield = string_cat(yield, sizep, ptrp, buffer, len);
3478   if (buffer[len] != 0)
3479     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3480   }
3481
3482 if (yield) yield[*ptrp] = 0;
3483
3484 return yield;
3485 }
3486
3487
3488
3489
3490 /*************************************************
3491 *          Evaluate numeric expression           *
3492 *************************************************/
3493
3494 /* This is a set of mutually recursive functions that evaluate an arithmetic
3495 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3496 these functions that is called from elsewhere is eval_expr, whose interface is:
3497
3498 Arguments:
3499   sptr        pointer to the pointer to the string - gets updated
3500   decimal     TRUE if numbers are to be assumed decimal
3501   error       pointer to where to put an error message - must be NULL on input
3502   endket      TRUE if ')' must terminate - FALSE for external call
3503
3504 Returns:      on success: the value of the expression, with *error still NULL
3505               on failure: an undefined value, with *error = a message
3506 */
3507
3508 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3509
3510
3511 static int_eximarith_t
3512 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3513 {
3514 uschar *s = *sptr;
3515 int_eximarith_t x = eval_op_or(&s, decimal, error);
3516 if (*error == NULL)
3517   {
3518   if (endket)
3519     {
3520     if (*s != ')')
3521       *error = US"expecting closing parenthesis";
3522     else
3523       while (isspace(*(++s)));
3524     }
3525   else if (*s != 0) *error = US"expecting operator";
3526   }
3527 *sptr = s;
3528 return x;
3529 }
3530
3531
3532 static int_eximarith_t
3533 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3534 {
3535 register int c;
3536 int_eximarith_t n;
3537 uschar *s = *sptr;
3538 while (isspace(*s)) s++;
3539 c = *s;
3540 if (isdigit(c))
3541   {
3542   int count;
3543   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3544   s += count;
3545   switch (tolower(*s))
3546     {
3547     default: break;
3548     case 'k': n *= 1024; s++; break;
3549     case 'm': n *= 1024*1024; s++; break;
3550     case 'g': n *= 1024*1024*1024; s++; break;
3551     }
3552   while (isspace (*s)) s++;
3553   }
3554 else if (c == '(')
3555   {
3556   s++;
3557   n = eval_expr(&s, decimal, error, 1);
3558   }
3559 else
3560   {
3561   *error = US"expecting number or opening parenthesis";
3562   n = 0;
3563   }
3564 *sptr = s;
3565 return n;
3566 }
3567
3568
3569 static int_eximarith_t
3570 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3571 {
3572 uschar *s = *sptr;
3573 int_eximarith_t x;
3574 while (isspace(*s)) s++;
3575 if (*s == '+' || *s == '-' || *s == '~')
3576   {
3577   int op = *s++;
3578   x = eval_op_unary(&s, decimal, error);
3579   if (op == '-') x = -x;
3580     else if (op == '~') x = ~x;
3581   }
3582 else
3583   {
3584   x = eval_number(&s, decimal, error);
3585   }
3586 *sptr = s;
3587 return x;
3588 }
3589
3590
3591 static int_eximarith_t
3592 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3593 {
3594 uschar *s = *sptr;
3595 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3596 if (*error == NULL)
3597   {
3598   while (*s == '*' || *s == '/' || *s == '%')
3599     {
3600     int op = *s++;
3601     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3602     if (*error != NULL) break;
3603     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3604      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3605      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3606      * -N*M is INT_MIN will yielf INT_MIN.
3607      * Since we don't support floating point, this is somewhat simpler.
3608      * Ideally, we'd return an error, but since we overflow for all other
3609      * arithmetic, consistency suggests otherwise, but what's the correct value
3610      * to use?  There is none.
3611      * The C standard guarantees overflow for unsigned arithmetic but signed
3612      * overflow invokes undefined behaviour; in practice, this is overflow
3613      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3614      * that long/longlong larger than int are available, or we could just work
3615      * with larger types.  We should consider whether to guarantee 32bit eval
3616      * and 64-bit working variables, with errors returned.  For now ...
3617      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3618      * can just let the other invalid results occur otherwise, as they have
3619      * until now.  For this one case, we can coerce.
3620      */
3621     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3622       {
3623       DEBUG(D_expand)
3624         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3625             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3626       x = EXIM_ARITH_MAX;
3627       continue;
3628       }
3629     if (op == '*')
3630       x *= y;
3631     else
3632       {
3633       if (y == 0)
3634         {
3635         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3636         x = 0;
3637         break;
3638         }
3639       if (op == '/')
3640         x /= y;
3641       else
3642         x %= y;
3643       }
3644     }
3645   }
3646 *sptr = s;
3647 return x;
3648 }
3649
3650
3651 static int_eximarith_t
3652 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3653 {
3654 uschar *s = *sptr;
3655 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3656 if (!*error)
3657   {
3658   while (*s == '+' || *s == '-')
3659     {
3660     int op = *s++;
3661     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3662     if (*error) break;
3663     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3664        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3665       {                 /* over-conservative check */
3666       *error = op == '+'
3667         ? US"overflow in sum" : US"overflow in difference";
3668       break;
3669       }
3670     if (op == '+') x += y; else x -= y;
3671     }
3672   }
3673 *sptr = s;
3674 return x;
3675 }
3676
3677
3678 static int_eximarith_t
3679 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3680 {
3681 uschar *s = *sptr;
3682 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3683 if (*error == NULL)
3684   {
3685   while ((*s == '<' || *s == '>') && s[1] == s[0])
3686     {
3687     int_eximarith_t y;
3688     int op = *s++;
3689     s++;
3690     y = eval_op_sum(&s, decimal, error);
3691     if (*error != NULL) break;
3692     if (op == '<') x <<= y; else x >>= y;
3693     }
3694   }
3695 *sptr = s;
3696 return x;
3697 }
3698
3699
3700 static int_eximarith_t
3701 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3702 {
3703 uschar *s = *sptr;
3704 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3705 if (*error == NULL)
3706   {
3707   while (*s == '&')
3708     {
3709     int_eximarith_t y;
3710     s++;
3711     y = eval_op_shift(&s, decimal, error);
3712     if (*error != NULL) break;
3713     x &= y;
3714     }
3715   }
3716 *sptr = s;
3717 return x;
3718 }
3719
3720
3721 static int_eximarith_t
3722 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3723 {
3724 uschar *s = *sptr;
3725 int_eximarith_t x = eval_op_and(&s, decimal, error);
3726 if (*error == NULL)
3727   {
3728   while (*s == '^')
3729     {
3730     int_eximarith_t y;
3731     s++;
3732     y = eval_op_and(&s, decimal, error);
3733     if (*error != NULL) break;
3734     x ^= y;
3735     }
3736   }
3737 *sptr = s;
3738 return x;
3739 }
3740
3741
3742 static int_eximarith_t
3743 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3744 {
3745 uschar *s = *sptr;
3746 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3747 if (*error == NULL)
3748   {
3749   while (*s == '|')
3750     {
3751     int_eximarith_t y;
3752     s++;
3753     y = eval_op_xor(&s, decimal, error);
3754     if (*error != NULL) break;
3755     x |= y;
3756     }
3757   }
3758 *sptr = s;
3759 return x;
3760 }
3761
3762
3763
3764 /*************************************************
3765 *                 Expand string                  *
3766 *************************************************/
3767
3768 /* Returns either an unchanged string, or the expanded string in stacking pool
3769 store. Interpreted sequences are:
3770
3771    \...                    normal escaping rules
3772    $name                   substitutes the variable
3773    ${name}                 ditto
3774    ${op:string}            operates on the expanded string value
3775    ${item{arg1}{arg2}...}  expands the args and then does the business
3776                              some literal args are not enclosed in {}
3777
3778 There are now far too many operators and item types to make it worth listing
3779 them here in detail any more.
3780
3781 We use an internal routine recursively to handle embedded substrings. The
3782 external function follows. The yield is NULL if the expansion failed, and there
3783 are two cases: if something collapsed syntactically, or if "fail" was given
3784 as the action on a lookup failure. These can be distinguised by looking at the
3785 variable expand_string_forcedfail, which is TRUE in the latter case.
3786
3787 The skipping flag is set true when expanding a substring that isn't actually
3788 going to be used (after "if" or "lookup") and it prevents lookups from
3789 happening lower down.
3790
3791 Store usage: At start, a store block of the length of the input plus 64
3792 is obtained. This is expanded as necessary by string_cat(), which might have to
3793 get a new block, or might be able to expand the original. At the end of the
3794 function we can release any store above that portion of the yield block that
3795 was actually used. In many cases this will be optimal.
3796
3797 However: if the first item in the expansion is a variable name or header name,
3798 we reset the store before processing it; if the result is in fresh store, we
3799 use that without copying. This is helpful for expanding strings like
3800 $message_headers which can get very long.
3801
3802 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3803 since resetting the store at the end of the expansion will free store that was
3804 allocated by the plugin code as well as the slop after the expanded string. So
3805 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3806 and, given the acl condition, ${if }. This is an unfortunate consequence of
3807 string expansion becoming too powerful.
3808
3809 Arguments:
3810   string         the string to be expanded
3811   ket_ends       true if expansion is to stop at }
3812   left           if not NULL, a pointer to the first character after the
3813                  expansion is placed here (typically used with ket_ends)
3814   skipping       TRUE for recursive calls when the value isn't actually going
3815                  to be used (to allow for optimisation)
3816   honour_dollar  TRUE if $ is to be expanded,
3817                  FALSE if it's just another character
3818   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3819                  the store.
3820
3821 Returns:         NULL if expansion fails:
3822                    expand_string_forcedfail is set TRUE if failure was forced
3823                    expand_string_message contains a textual error message
3824                  a pointer to the expanded string on success
3825 */
3826
3827 static uschar *
3828 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3829   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3830 {
3831 int ptr = 0;
3832 int size = Ustrlen(string)+ 64;
3833 int item_type;
3834 uschar *yield = store_get(size);
3835 const uschar *s = string;
3836 uschar *save_expand_nstring[EXPAND_MAXN+1];
3837 int save_expand_nlength[EXPAND_MAXN+1];
3838 BOOL resetok = TRUE;
3839
3840 expand_string_forcedfail = FALSE;
3841 expand_string_message = US"";
3842
3843 while (*s != 0)
3844   {
3845   uschar *value;
3846   uschar name[256];
3847
3848   /* \ escapes the next character, which must exist, or else
3849   the expansion fails. There's a special escape, \N, which causes
3850   copying of the subject verbatim up to the next \N. Otherwise,
3851   the escapes are the standard set. */
3852
3853   if (*s == '\\')
3854     {
3855     if (s[1] == 0)
3856       {
3857       expand_string_message = US"\\ at end of string";
3858       goto EXPAND_FAILED;
3859       }
3860
3861     if (s[1] == 'N')
3862       {
3863       const uschar * t = s + 2;
3864       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3865       yield = string_cat(yield, &size, &ptr, t, s - t);
3866       if (*s != 0) s += 2;
3867       }
3868
3869     else
3870       {
3871       uschar ch[1];
3872       ch[0] = string_interpret_escape(&s);
3873       s++;
3874       yield = string_cat(yield, &size, &ptr, ch, 1);
3875       }
3876
3877     continue;
3878     }
3879
3880   /*{*/
3881   /* Anything other than $ is just copied verbatim, unless we are
3882   looking for a terminating } character. */
3883
3884   /*{*/
3885   if (ket_ends && *s == '}') break;
3886
3887   if (*s != '$' || !honour_dollar)
3888     {
3889     yield = string_cat(yield, &size, &ptr, s++, 1);
3890     continue;
3891     }
3892
3893   /* No { after the $ - must be a plain name or a number for string
3894   match variable. There has to be a fudge for variables that are the
3895   names of header fields preceded by "$header_" because header field
3896   names can contain any printing characters except space and colon.
3897   For those that don't like typing this much, "$h_" is a synonym for
3898   "$header_". A non-existent header yields a NULL value; nothing is
3899   inserted. */  /*}*/
3900
3901   if (isalpha((*(++s))))
3902     {
3903     int len;
3904     int newsize = 0;
3905
3906     s = read_name(name, sizeof(name), s, US"_");
3907
3908     /* If this is the first thing to be expanded, release the pre-allocated
3909     buffer. */
3910
3911     if (ptr == 0 && yield != NULL)
3912       {
3913       if (resetok) store_reset(yield);
3914       yield = NULL;
3915       size = 0;
3916       }
3917
3918     /* Header */
3919
3920     if (Ustrncmp(name, "h_", 2) == 0 ||
3921         Ustrncmp(name, "rh_", 3) == 0 ||
3922         Ustrncmp(name, "bh_", 3) == 0 ||
3923         Ustrncmp(name, "header_", 7) == 0 ||
3924         Ustrncmp(name, "rheader_", 8) == 0 ||
3925         Ustrncmp(name, "bheader_", 8) == 0)
3926       {
3927       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3928       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3929       s = read_header_name(name, sizeof(name), s);
3930       value = find_header(name, FALSE, &newsize, want_raw, charset);
3931
3932       /* If we didn't find the header, and the header contains a closing brace
3933       character, this may be a user error where the terminating colon
3934       has been omitted. Set a flag to adjust the error message in this case.
3935       But there is no error here - nothing gets inserted. */
3936
3937       if (value == NULL)
3938         {
3939         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3940         continue;
3941         }
3942       }
3943
3944     /* Variable */
3945
3946     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3947       {
3948       expand_string_message =
3949         string_sprintf("unknown variable name \"%s\"", name);
3950         check_variable_error_message(name);
3951       goto EXPAND_FAILED;
3952       }
3953
3954     /* If the data is known to be in a new buffer, newsize will be set to the
3955     size of that buffer. If this is the first thing in an expansion string,
3956     yield will be NULL; just point it at the new store instead of copying. Many
3957     expansion strings contain just one reference, so this is a useful
3958     optimization, especially for humungous headers. */
3959
3960     len = Ustrlen(value);
3961     if (yield == NULL && newsize != 0)
3962       {
3963       yield = value;
3964       size = newsize;
3965       ptr = len;
3966       }
3967     else yield = string_cat(yield, &size, &ptr, value, len);
3968
3969     continue;
3970     }
3971
3972   if (isdigit(*s))
3973     {
3974     int n;
3975     s = read_cnumber(&n, s);
3976     if (n >= 0 && n <= expand_nmax)
3977       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3978         expand_nlength[n]);
3979     continue;
3980     }
3981
3982   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3983
3984   if (*s != '{')                                                        /*}*/
3985     {
3986     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3987     goto EXPAND_FAILED;
3988     }
3989
3990   /* After { there can be various things, but they all start with
3991   an initial word, except for a number for a string match variable. */
3992
3993   if (isdigit((*(++s))))
3994     {
3995     int n;
3996     s = read_cnumber(&n, s);            /*{*/
3997     if (*s++ != '}')
3998       {                                 /*{*/
3999       expand_string_message = US"} expected after number";
4000       goto EXPAND_FAILED;
4001       }
4002     if (n >= 0 && n <= expand_nmax)
4003       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
4004         expand_nlength[n]);
4005     continue;
4006     }
4007
4008   if (!isalpha(*s))
4009     {
4010     expand_string_message = US"letter or digit expected after ${";      /*}*/
4011     goto EXPAND_FAILED;
4012     }
4013
4014   /* Allow "-" in names to cater for substrings with negative
4015   arguments. Since we are checking for known names after { this is
4016   OK. */
4017
4018   s = read_name(name, sizeof(name), s, US"_-");
4019   item_type = chop_match(name, item_table, nelem(item_table));
4020
4021   switch(item_type)
4022     {
4023     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4024     If the ACL returns accept or reject we return content set by "message ="
4025     There is currently no limit on recursion; this would have us call
4026     acl_check_internal() directly and get a current level from somewhere.
4027     See also the acl expansion condition ECOND_ACL and the traditional
4028     acl modifier ACLC_ACL.
4029     Assume that the function has side-effects on the store that must be preserved.
4030     */
4031
4032     case EITEM_ACL:
4033       /* ${acl {name} {arg1}{arg2}...} */
4034       {
4035       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4036       uschar *user_msg;
4037
4038       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4039                       &resetok))
4040         {
4041         case 1: goto EXPAND_FAILED_CURLY;
4042         case 2:
4043         case 3: goto EXPAND_FAILED;
4044         }
4045       if (skipping) continue;
4046
4047       resetok = FALSE;
4048       switch(eval_acl(sub, nelem(sub), &user_msg))
4049         {
4050         case OK:
4051         case FAIL:
4052           DEBUG(D_expand)
4053             debug_printf("acl expansion yield: %s\n", user_msg);
4054           if (user_msg)
4055             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
4056           continue;
4057
4058         case DEFER:
4059           expand_string_forcedfail = TRUE;
4060           /*FALLTHROUGH*/
4061         default:
4062           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4063           goto EXPAND_FAILED;
4064         }
4065       }
4066
4067     /* Handle conditionals - preserve the values of the numerical expansion
4068     variables in case they get changed by a regular expression match in the
4069     condition. If not, they retain their external settings. At the end
4070     of this "if" section, they get restored to their previous values. */
4071
4072     case EITEM_IF:
4073       {
4074       BOOL cond = FALSE;
4075       const uschar *next_s;
4076       int save_expand_nmax =
4077         save_expand_strings(save_expand_nstring, save_expand_nlength);
4078
4079       while (isspace(*s)) s++;
4080       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
4081       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4082
4083       DEBUG(D_expand)
4084         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
4085           cond? "true" : "false");
4086
4087       s = next_s;
4088
4089       /* The handling of "yes" and "no" result strings is now in a separate
4090       function that is also used by ${lookup} and ${extract} and ${run}. */
4091
4092       switch(process_yesno(
4093                skipping,                     /* were previously skipping */
4094                cond,                         /* success/failure indicator */
4095                lookup_value,                 /* value to reset for string2 */
4096                &s,                           /* input pointer */
4097                &yield,                       /* output pointer */
4098                &size,                        /* output size */
4099                &ptr,                         /* output current point */
4100                US"if",                       /* condition type */
4101                &resetok))
4102         {
4103         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4104         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4105         }
4106
4107       /* Restore external setting of expansion variables for continuation
4108       at this level. */
4109
4110       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4111         save_expand_nlength);
4112       continue;
4113       }
4114
4115 #ifdef SUPPORT_I18N
4116     case EITEM_IMAPFOLDER:
4117       {                         /* ${imapfolder {name}{sep]{specials}} */
4118       uschar *sub_arg[3];
4119       uschar *encoded;
4120
4121       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4122                       &resetok))
4123         {
4124         case 1: goto EXPAND_FAILED_CURLY;
4125         case 2:
4126         case 3: goto EXPAND_FAILED;
4127         }
4128
4129       if (sub_arg[1] == NULL)           /* One argument */
4130         {
4131         sub_arg[1] = US"/";             /* default separator */
4132         sub_arg[2] = NULL;
4133         }
4134       else if (Ustrlen(sub_arg[1]) != 1)
4135         {
4136         expand_string_message =
4137           string_sprintf(
4138                 "IMAP folder separator must be one character, found \"%s\"",
4139                 sub_arg[1]);
4140         goto EXPAND_FAILED;
4141         }
4142
4143       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4144                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4145         goto EXPAND_FAILED;
4146       if (!skipping)
4147         yield = string_cat(yield, &size, &ptr, encoded, Ustrlen(encoded));
4148       continue;
4149       }
4150 #endif
4151
4152     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4153     expanding an internal string that isn't actually going to be used. All we
4154     need to do is check the syntax, so don't do a lookup at all. Preserve the
4155     values of the numerical expansion variables in case they get changed by a
4156     partial lookup. If not, they retain their external settings. At the end
4157     of this "lookup" section, they get restored to their previous values. */
4158
4159     case EITEM_LOOKUP:
4160       {
4161       int stype, partial, affixlen, starflags;
4162       int expand_setup = 0;
4163       int nameptr = 0;
4164       uschar *key, *filename;
4165       const uschar *affix;
4166       uschar *save_lookup_value = lookup_value;
4167       int save_expand_nmax =
4168         save_expand_strings(save_expand_nstring, save_expand_nlength);
4169
4170       if ((expand_forbid & RDO_LOOKUP) != 0)
4171         {
4172         expand_string_message = US"lookup expansions are not permitted";
4173         goto EXPAND_FAILED;
4174         }
4175
4176       /* Get the key we are to look up for single-key+file style lookups.
4177       Otherwise set the key NULL pro-tem. */
4178
4179       while (isspace(*s)) s++;
4180       if (*s == '{')                                    /*}*/
4181         {
4182         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4183         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4184         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4185         while (isspace(*s)) s++;
4186         }
4187       else key = NULL;
4188
4189       /* Find out the type of database */
4190
4191       if (!isalpha(*s))
4192         {
4193         expand_string_message = US"missing lookup type";
4194         goto EXPAND_FAILED;
4195         }
4196
4197       /* The type is a string that may contain special characters of various
4198       kinds. Allow everything except space or { to appear; the actual content
4199       is checked by search_findtype_partial. */         /*}*/
4200
4201       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4202         {
4203         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4204         s++;
4205         }
4206       name[nameptr] = 0;
4207       while (isspace(*s)) s++;
4208
4209       /* Now check for the individual search type and any partial or default
4210       options. Only those types that are actually in the binary are valid. */
4211
4212       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4213         &starflags);
4214       if (stype < 0)
4215         {
4216         expand_string_message = search_error_message;
4217         goto EXPAND_FAILED;
4218         }
4219
4220       /* Check that a key was provided for those lookup types that need it,
4221       and was not supplied for those that use the query style. */
4222
4223       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4224         {
4225         if (key == NULL)
4226           {
4227           expand_string_message = string_sprintf("missing {key} for single-"
4228             "key \"%s\" lookup", name);
4229           goto EXPAND_FAILED;
4230           }
4231         }
4232       else
4233         {
4234         if (key != NULL)
4235           {
4236           expand_string_message = string_sprintf("a single key was given for "
4237             "lookup type \"%s\", which is not a single-key lookup type", name);
4238           goto EXPAND_FAILED;
4239           }
4240         }
4241
4242       /* Get the next string in brackets and expand it. It is the file name for
4243       single-key+file lookups, and the whole query otherwise. In the case of
4244       queries that also require a file name (e.g. sqlite), the file name comes
4245       first. */
4246
4247       if (*s != '{') goto EXPAND_FAILED_CURLY;
4248       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4249       if (filename == NULL) goto EXPAND_FAILED;
4250       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4251       while (isspace(*s)) s++;
4252
4253       /* If this isn't a single-key+file lookup, re-arrange the variables
4254       to be appropriate for the search_ functions. For query-style lookups,
4255       there is just a "key", and no file name. For the special query-style +
4256       file types, the query (i.e. "key") starts with a file name. */
4257
4258       if (key == NULL)
4259         {
4260         while (isspace(*filename)) filename++;
4261         key = filename;
4262
4263         if (mac_islookup(stype, lookup_querystyle))
4264           {
4265           filename = NULL;
4266           }
4267         else
4268           {
4269           if (*filename != '/')
4270             {
4271             expand_string_message = string_sprintf(
4272               "absolute file name expected for \"%s\" lookup", name);
4273             goto EXPAND_FAILED;
4274             }
4275           while (*key != 0 && !isspace(*key)) key++;
4276           if (*key != 0) *key++ = 0;
4277           }
4278         }
4279
4280       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4281       the entry was not found. Note that there is no search_close() function.
4282       Files are left open in case of re-use. At suitable places in higher logic,
4283       search_tidyup() is called to tidy all open files. This can save opening
4284       the same file several times. However, files may also get closed when
4285       others are opened, if too many are open at once. The rule is that a
4286       handle should not be used after a second search_open().
4287
4288       Request that a partial search sets up $1 and maybe $2 by passing
4289       expand_setup containing zero. If its value changes, reset expand_nmax,
4290       since new variables will have been set. Note that at the end of this
4291       "lookup" section, the old numeric variables are restored. */
4292
4293       if (skipping)
4294         lookup_value = NULL;
4295       else
4296         {
4297         void *handle = search_open(filename, stype, 0, NULL, NULL);
4298         if (handle == NULL)
4299           {
4300           expand_string_message = search_error_message;
4301           goto EXPAND_FAILED;
4302           }
4303         lookup_value = search_find(handle, filename, key, partial, affix,
4304           affixlen, starflags, &expand_setup);
4305         if (search_find_defer)
4306           {
4307           expand_string_message =
4308             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4309               string_printing2(key, FALSE), search_error_message);
4310           goto EXPAND_FAILED;
4311           }
4312         if (expand_setup > 0) expand_nmax = expand_setup;
4313         }
4314
4315       /* The handling of "yes" and "no" result strings is now in a separate
4316       function that is also used by ${if} and ${extract}. */
4317
4318       switch(process_yesno(
4319                skipping,                     /* were previously skipping */
4320                lookup_value != NULL,         /* success/failure indicator */
4321                save_lookup_value,            /* value to reset for string2 */
4322                &s,                           /* input pointer */
4323                &yield,                       /* output pointer */
4324                &size,                        /* output size */
4325                &ptr,                         /* output current point */
4326                US"lookup",                   /* condition type */
4327                &resetok))
4328         {
4329         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4330         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4331         }
4332
4333       /* Restore external setting of expansion variables for carrying on
4334       at this level, and continue. */
4335
4336       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4337         save_expand_nlength);
4338       continue;
4339       }
4340
4341     /* If Perl support is configured, handle calling embedded perl subroutines,
4342     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4343     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4344     arguments (defined below). */
4345
4346     #define EXIM_PERL_MAX_ARGS 8
4347
4348     case EITEM_PERL:
4349     #ifndef EXIM_PERL
4350     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4351       "is not included in this binary";
4352     goto EXPAND_FAILED;
4353
4354     #else   /* EXIM_PERL */
4355       {
4356       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4357       uschar *new_yield;
4358
4359       if ((expand_forbid & RDO_PERL) != 0)
4360         {
4361         expand_string_message = US"Perl calls are not permitted";
4362         goto EXPAND_FAILED;
4363         }
4364
4365       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4366            US"perl", &resetok))
4367         {
4368         case 1: goto EXPAND_FAILED_CURLY;
4369         case 2:
4370         case 3: goto EXPAND_FAILED;
4371         }
4372
4373       /* If skipping, we don't actually do anything */
4374
4375       if (skipping) continue;
4376
4377       /* Start the interpreter if necessary */
4378
4379       if (!opt_perl_started)
4380         {
4381         uschar *initerror;
4382         if (opt_perl_startup == NULL)
4383           {
4384           expand_string_message = US"A setting of perl_startup is needed when "
4385             "using the Perl interpreter";
4386           goto EXPAND_FAILED;
4387           }
4388         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4389         initerror = init_perl(opt_perl_startup);
4390         if (initerror != NULL)
4391           {
4392           expand_string_message =
4393             string_sprintf("error in perl_startup code: %s\n", initerror);
4394           goto EXPAND_FAILED;
4395           }
4396         opt_perl_started = TRUE;
4397         }
4398
4399       /* Call the function */
4400
4401       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4402       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4403         sub_arg[0], sub_arg + 1);
4404
4405       /* NULL yield indicates failure; if the message pointer has been set to
4406       NULL, the yield was undef, indicating a forced failure. Otherwise the
4407       message will indicate some kind of Perl error. */
4408
4409       if (new_yield == NULL)
4410         {
4411         if (expand_string_message == NULL)
4412           {
4413           expand_string_message =
4414             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4415               "failure", sub_arg[0]);
4416           expand_string_forcedfail = TRUE;
4417           }
4418         goto EXPAND_FAILED;
4419         }
4420
4421       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4422       set during a callback from Perl. */
4423
4424       expand_string_forcedfail = FALSE;
4425       yield = new_yield;
4426       continue;
4427       }
4428     #endif /* EXIM_PERL */
4429
4430     /* Transform email address to "prvs" scheme to use
4431        as BATV-signed return path */
4432
4433     case EITEM_PRVS:
4434       {
4435       uschar *sub_arg[3];
4436       uschar *p,*domain;
4437
4438       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4439         {
4440         case 1: goto EXPAND_FAILED_CURLY;
4441         case 2:
4442         case 3: goto EXPAND_FAILED;
4443         }
4444
4445       /* If skipping, we don't actually do anything */
4446       if (skipping) continue;
4447
4448       /* sub_arg[0] is the address */
4449       domain = Ustrrchr(sub_arg[0],'@');
4450       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4451         {
4452         expand_string_message = US"prvs first argument must be a qualified email address";
4453         goto EXPAND_FAILED;
4454         }
4455
4456       /* Calculate the hash. The second argument must be a single-digit
4457       key number, or unset. */
4458
4459       if (sub_arg[2] != NULL &&
4460           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4461         {
4462         expand_string_message = US"prvs second argument must be a single digit";
4463         goto EXPAND_FAILED;
4464         }
4465
4466       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4467       if (p == NULL)
4468         {
4469         expand_string_message = US"prvs hmac-sha1 conversion failed";
4470         goto EXPAND_FAILED;
4471         }
4472
4473       /* Now separate the domain from the local part */
4474       *domain++ = '\0';
4475
4476       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4477       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4478       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4479       string_cat(yield,&size,&ptr,p,6);
4480       string_cat(yield,&size,&ptr,US"=",1);
4481       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4482       string_cat(yield,&size,&ptr,US"@",1);
4483       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4484
4485       continue;
4486       }
4487
4488     /* Check a prvs-encoded address for validity */
4489
4490     case EITEM_PRVSCHECK:
4491       {
4492       uschar *sub_arg[3];
4493       int mysize = 0, myptr = 0;
4494       const pcre *re;
4495       uschar *p;
4496
4497       /* TF: Ugliness: We want to expand parameter 1 first, then set
4498          up expansion variables that are used in the expansion of
4499          parameter 2. So we clone the string for the first
4500          expansion, where we only expand parameter 1.
4501
4502          PH: Actually, that isn't necessary. The read_subs() function is
4503          designed to work this way for the ${if and ${lookup expansions. I've
4504          tidied the code.
4505       */
4506
4507       /* Reset expansion variables */
4508       prvscheck_result = NULL;
4509       prvscheck_address = NULL;
4510       prvscheck_keynum = NULL;
4511
4512       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4513         {
4514         case 1: goto EXPAND_FAILED_CURLY;
4515         case 2:
4516         case 3: goto EXPAND_FAILED;
4517         }
4518
4519       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4520                               TRUE,FALSE);
4521
4522       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4523         {
4524         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4525         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4526         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4527         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4528         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4529
4530         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4531         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4532         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4533         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4534         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4535
4536         /* Set up expansion variables */
4537         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4538         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4539         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4540         prvscheck_address[myptr] = '\0';
4541         prvscheck_keynum = string_copy(key_num);
4542
4543         /* Now expand the second argument */
4544         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4545           {
4546           case 1: goto EXPAND_FAILED_CURLY;
4547           case 2:
4548           case 3: goto EXPAND_FAILED;
4549           }
4550
4551         /* Now we have the key and can check the address. */
4552
4553         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4554           daystamp);
4555
4556         if (p == NULL)
4557           {
4558           expand_string_message = US"hmac-sha1 conversion failed";
4559           goto EXPAND_FAILED;
4560           }
4561
4562         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4563         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4564
4565         if (Ustrcmp(p,hash) == 0)
4566           {
4567           /* Success, valid BATV address. Now check the expiry date. */
4568           uschar *now = prvs_daystamp(0);
4569           unsigned int inow = 0,iexpire = 1;
4570
4571           (void)sscanf(CS now,"%u",&inow);
4572           (void)sscanf(CS daystamp,"%u",&iexpire);
4573
4574           /* When "iexpire" is < 7, a "flip" has occured.
4575              Adjust "inow" accordingly. */
4576           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4577
4578           if (iexpire >= inow)
4579             {
4580             prvscheck_result = US"1";
4581             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4582             }
4583             else
4584             {
4585             prvscheck_result = NULL;
4586             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4587             }
4588           }
4589         else
4590           {
4591           prvscheck_result = NULL;
4592           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4593           }
4594
4595         /* Now expand the final argument. We leave this till now so that
4596         it can include $prvscheck_result. */
4597
4598         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4599           {
4600           case 1: goto EXPAND_FAILED_CURLY;
4601           case 2:
4602           case 3: goto EXPAND_FAILED;
4603           }
4604
4605         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4606           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4607         else
4608           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4609
4610         /* Reset the "internal" variables afterwards, because they are in
4611         dynamic store that will be reclaimed if the expansion succeeded. */
4612
4613         prvscheck_address = NULL;
4614         prvscheck_keynum = NULL;
4615         }
4616       else
4617         {
4618         /* Does not look like a prvs encoded address, return the empty string.
4619            We need to make sure all subs are expanded first, so as to skip over
4620            the entire item. */
4621
4622         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4623           {
4624           case 1: goto EXPAND_FAILED_CURLY;
4625           case 2:
4626           case 3: goto EXPAND_FAILED;
4627           }
4628         }
4629
4630       continue;
4631       }
4632
4633     /* Handle "readfile" to insert an entire file */
4634
4635     case EITEM_READFILE:
4636       {
4637       FILE *f;
4638       uschar *sub_arg[2];
4639
4640       if ((expand_forbid & RDO_READFILE) != 0)
4641         {
4642         expand_string_message = US"file insertions are not permitted";
4643         goto EXPAND_FAILED;
4644         }
4645
4646       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4647         {
4648         case 1: goto EXPAND_FAILED_CURLY;
4649         case 2:
4650         case 3: goto EXPAND_FAILED;
4651         }
4652
4653       /* If skipping, we don't actually do anything */
4654
4655       if (skipping) continue;
4656
4657       /* Open the file and read it */
4658
4659       f = Ufopen(sub_arg[0], "rb");
4660       if (f == NULL)
4661         {
4662         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4663         goto EXPAND_FAILED;
4664         }
4665
4666       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4667       (void)fclose(f);
4668       continue;
4669       }
4670
4671     /* Handle "readsocket" to insert data from a Unix domain socket */
4672
4673     case EITEM_READSOCK:
4674       {
4675       int fd;
4676       int timeout = 5;
4677       int save_ptr = ptr;
4678       FILE *f;
4679       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4680       uschar *arg;
4681       uschar *sub_arg[4];
4682
4683       if ((expand_forbid & RDO_READSOCK) != 0)
4684         {
4685         expand_string_message = US"socket insertions are not permitted";
4686         goto EXPAND_FAILED;
4687         }
4688
4689       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4690       because there may be a string for expansion on failure. */
4691
4692       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4693         {
4694         case 1: goto EXPAND_FAILED_CURLY;
4695         case 2:                             /* Won't occur: no end check */
4696         case 3: goto EXPAND_FAILED;
4697         }
4698
4699       /* Sort out timeout, if given */
4700
4701       if (sub_arg[2] != NULL)
4702         {
4703         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4704         if (timeout < 0)
4705           {
4706           expand_string_message = string_sprintf("bad time value %s",
4707             sub_arg[2]);
4708           goto EXPAND_FAILED;
4709           }
4710         }
4711       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4712
4713       /* If skipping, we don't actually do anything. Otherwise, arrange to
4714       connect to either an IP or a Unix socket. */
4715
4716       if (!skipping)
4717         {
4718         /* Handle an IP (internet) domain */
4719
4720         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4721           {
4722           int port;
4723           uschar *server_name = sub_arg[0] + 5;
4724           uschar *port_name = Ustrrchr(server_name, ':');
4725
4726           /* Sort out the port */
4727
4728           if (port_name == NULL)
4729             {
4730             expand_string_message =
4731               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4732             goto EXPAND_FAILED;
4733             }
4734           *port_name++ = 0;           /* Terminate server name */
4735
4736           if (isdigit(*port_name))
4737             {
4738             uschar *end;
4739             port = Ustrtol(port_name, &end, 0);
4740             if (end != port_name + Ustrlen(port_name))
4741               {
4742               expand_string_message =
4743                 string_sprintf("invalid port number %s", port_name);
4744               goto EXPAND_FAILED;
4745               }
4746             }
4747           else
4748             {
4749             struct servent *service_info = getservbyname(CS port_name, "tcp");
4750             if (service_info == NULL)
4751               {
4752               expand_string_message = string_sprintf("unknown port \"%s\"",
4753                 port_name);
4754               goto EXPAND_FAILED;
4755               }
4756             port = ntohs(service_info->s_port);
4757             }
4758
4759           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4760                   timeout, NULL, &expand_string_message)) < 0)
4761               goto SOCK_FAIL;
4762           }
4763
4764         /* Handle a Unix domain socket */
4765
4766         else
4767           {
4768           int rc;
4769           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4770             {
4771             expand_string_message = string_sprintf("failed to create socket: %s",
4772               strerror(errno));
4773             goto SOCK_FAIL;
4774             }
4775
4776           sockun.sun_family = AF_UNIX;
4777           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4778             sub_arg[0]);
4779
4780           sigalrm_seen = FALSE;
4781           alarm(timeout);
4782           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4783           alarm(0);
4784           if (sigalrm_seen)
4785             {
4786             expand_string_message = US "socket connect timed out";
4787             goto SOCK_FAIL;
4788             }
4789           if (rc < 0)
4790             {
4791             expand_string_message = string_sprintf("failed to connect to socket "
4792               "%s: %s", sub_arg[0], strerror(errno));
4793             goto SOCK_FAIL;
4794             }
4795           }
4796
4797         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4798
4799         /* Allow sequencing of test actions */
4800         if (running_in_test_harness) millisleep(100);
4801
4802         /* Write the request string, if not empty */
4803
4804         if (sub_arg[1][0] != 0)
4805           {
4806           int len = Ustrlen(sub_arg[1]);
4807           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4808             sub_arg[1]);
4809           if (write(fd, sub_arg[1], len) != len)
4810             {
4811             expand_string_message = string_sprintf("request write to socket "
4812               "failed: %s", strerror(errno));
4813             goto SOCK_FAIL;
4814             }
4815           }
4816
4817         /* Shut down the sending side of the socket. This helps some servers to
4818         recognise that it is their turn to do some work. Just in case some
4819         system doesn't have this function, make it conditional. */
4820
4821         #ifdef SHUT_WR
4822         shutdown(fd, SHUT_WR);
4823         #endif
4824
4825         if (running_in_test_harness) millisleep(100);
4826
4827         /* Now we need to read from the socket, under a timeout. The function
4828         that reads a file can be used. */
4829
4830         f = fdopen(fd, "rb");
4831         sigalrm_seen = FALSE;
4832         alarm(timeout);
4833         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4834         alarm(0);
4835         (void)fclose(f);
4836
4837         /* After a timeout, we restore the pointer in the result, that is,
4838         make sure we add nothing from the socket. */
4839
4840         if (sigalrm_seen)
4841           {
4842           ptr = save_ptr;
4843           expand_string_message = US "socket read timed out";
4844           goto SOCK_FAIL;
4845           }
4846         }
4847
4848       /* The whole thing has worked (or we were skipping). If there is a
4849       failure string following, we need to skip it. */
4850
4851       if (*s == '{')
4852         {
4853         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4854           goto EXPAND_FAILED;
4855         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4856         while (isspace(*s)) s++;
4857         }
4858       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4859       continue;
4860
4861       /* Come here on failure to create socket, connect socket, write to the
4862       socket, or timeout on reading. If another substring follows, expand and
4863       use it. Otherwise, those conditions give expand errors. */
4864
4865       SOCK_FAIL:
4866       if (*s != '{') goto EXPAND_FAILED;
4867       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4868       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4869       if (arg == NULL) goto EXPAND_FAILED;
4870       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4871       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4872       while (isspace(*s)) s++;
4873       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4874       continue;
4875       }
4876
4877     /* Handle "run" to execute a program. */
4878
4879     case EITEM_RUN:
4880       {
4881       FILE *f;
4882       uschar *arg;
4883       const uschar **argv;
4884       pid_t pid;
4885       int fd_in, fd_out;
4886       int lsize = 0, lptr = 0;
4887
4888       if ((expand_forbid & RDO_RUN) != 0)
4889         {
4890         expand_string_message = US"running a command is not permitted";
4891         goto EXPAND_FAILED;
4892         }
4893
4894       while (isspace(*s)) s++;
4895       if (*s != '{') goto EXPAND_FAILED_CURLY;
4896       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4897       if (arg == NULL) goto EXPAND_FAILED;
4898       while (isspace(*s)) s++;
4899       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4900
4901       if (skipping)   /* Just pretend it worked when we're skipping */
4902         {
4903         runrc = 0;
4904         }
4905       else
4906         {
4907         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4908             arg,                                /* raw command */
4909             FALSE,                              /* don't expand the arguments */
4910             0,                                  /* not relevant when... */
4911             NULL,                               /* no transporting address */
4912             US"${run} expansion",               /* for error messages */
4913             &expand_string_message))            /* where to put error message */
4914           goto EXPAND_FAILED;
4915
4916         /* Create the child process, making it a group leader. */
4917
4918         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
4919           {
4920           expand_string_message =
4921             string_sprintf("couldn't create child process: %s", strerror(errno));
4922           goto EXPAND_FAILED;
4923           }
4924
4925         /* Nothing is written to the standard input. */
4926
4927         (void)close(fd_in);
4928
4929         /* Read the pipe to get the command's output into $value (which is kept
4930         in lookup_value). Read during execution, so that if the output exceeds
4931         the OS pipe buffer limit, we don't block forever. Remember to not release
4932         memory just allocated for $value. */
4933
4934         resetok = FALSE;
4935         f = fdopen(fd_out, "rb");
4936         sigalrm_seen = FALSE;
4937         alarm(60);
4938         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
4939         alarm(0);
4940         (void)fclose(f);
4941
4942         /* Wait for the process to finish, applying the timeout, and inspect its
4943         return code for serious disasters. Simple non-zero returns are passed on.
4944         */
4945
4946         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4947           {
4948           if (sigalrm_seen == TRUE || runrc == -256)
4949             {
4950             expand_string_message = string_sprintf("command timed out");
4951             killpg(pid, SIGKILL);       /* Kill the whole process group */
4952             }
4953
4954           else if (runrc == -257)
4955             expand_string_message = string_sprintf("wait() failed: %s",
4956               strerror(errno));
4957
4958           else
4959             expand_string_message = string_sprintf("command killed by signal %d",
4960               -runrc);
4961
4962           goto EXPAND_FAILED;
4963           }
4964         }
4965
4966       /* Process the yes/no strings; $value may be useful in both cases */
4967
4968       switch(process_yesno(
4969                skipping,                     /* were previously skipping */
4970                runrc == 0,                   /* success/failure indicator */
4971                lookup_value,                 /* value to reset for string2 */
4972                &s,                           /* input pointer */
4973                &yield,                       /* output pointer */
4974                &size,                        /* output size */
4975                &ptr,                         /* output current point */
4976                US"run",                      /* condition type */
4977                &resetok))
4978         {
4979         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4980         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4981         }
4982
4983       continue;
4984       }
4985
4986     /* Handle character translation for "tr" */
4987
4988     case EITEM_TR:
4989       {
4990       int oldptr = ptr;
4991       int o2m;
4992       uschar *sub[3];
4993
4994       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4995         {
4996         case 1: goto EXPAND_FAILED_CURLY;
4997         case 2:
4998         case 3: goto EXPAND_FAILED;
4999         }
5000
5001       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
5002       o2m = Ustrlen(sub[2]) - 1;
5003
5004       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
5005         {
5006         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
5007         if (m != NULL)
5008           {
5009           int o = m - sub[1];
5010           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
5011           }
5012         }
5013
5014       continue;
5015       }
5016
5017     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5018     expanded arguments. */
5019
5020     case EITEM_HASH:
5021     case EITEM_LENGTH:
5022     case EITEM_NHASH:
5023     case EITEM_SUBSTR:
5024       {
5025       int i;
5026       int len;
5027       uschar *ret;
5028       int val[2] = { 0, -1 };
5029       uschar *sub[3];
5030
5031       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5032       Ensure that sub[2] is set in the ${length } case. */
5033
5034       sub[2] = NULL;
5035       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5036              TRUE, name, &resetok))
5037         {
5038         case 1: goto EXPAND_FAILED_CURLY;
5039         case 2:
5040         case 3: goto EXPAND_FAILED;
5041         }
5042
5043       /* Juggle the arguments if there are only two of them: always move the
5044       string to the last position and make ${length{n}{str}} equivalent to
5045       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5046
5047       if (sub[2] == NULL)
5048         {
5049         sub[2] = sub[1];
5050         sub[1] = NULL;
5051         if (item_type == EITEM_LENGTH)
5052           {
5053           sub[1] = sub[0];
5054           sub[0] = NULL;
5055           }
5056         }
5057
5058       for (i = 0; i < 2; i++)
5059         {
5060         if (sub[i] == NULL) continue;
5061         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5062         if (*ret != 0 || (i != 0 && val[i] < 0))
5063           {
5064           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5065             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5066           goto EXPAND_FAILED;
5067           }
5068         }
5069
5070       ret =
5071         (item_type == EITEM_HASH)?
5072           compute_hash(sub[2], val[0], val[1], &len) :
5073         (item_type == EITEM_NHASH)?
5074           compute_nhash(sub[2], val[0], val[1], &len) :
5075           extract_substr(sub[2], val[0], val[1], &len);
5076
5077       if (ret == NULL) goto EXPAND_FAILED;
5078       yield = string_cat(yield, &size, &ptr, ret, len);
5079       continue;
5080       }
5081
5082     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5083     This code originally contributed by Steve Haslam. It currently supports
5084     the use of MD5 and SHA-1 hashes.
5085
5086     We need some workspace that is large enough to handle all the supported
5087     hash types. Use macros to set the sizes rather than be too elaborate. */
5088
5089     #define MAX_HASHLEN      20
5090     #define MAX_HASHBLOCKLEN 64
5091
5092     case EITEM_HMAC:
5093       {
5094       uschar *sub[3];
5095       md5 md5_base;
5096       sha1 sha1_base;
5097       void *use_base;
5098       int type, i;
5099       int hashlen;      /* Number of octets for the hash algorithm's output */
5100       int hashblocklen; /* Number of octets the hash algorithm processes */
5101       uschar *keyptr, *p;
5102       unsigned int keylen;
5103
5104       uschar keyhash[MAX_HASHLEN];
5105       uschar innerhash[MAX_HASHLEN];
5106       uschar finalhash[MAX_HASHLEN];
5107       uschar finalhash_hex[2*MAX_HASHLEN];
5108       uschar innerkey[MAX_HASHBLOCKLEN];
5109       uschar outerkey[MAX_HASHBLOCKLEN];
5110
5111       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5112         {
5113         case 1: goto EXPAND_FAILED_CURLY;
5114         case 2:
5115         case 3: goto EXPAND_FAILED;
5116         }
5117
5118       if (Ustrcmp(sub[0], "md5") == 0)
5119         {
5120         type = HMAC_MD5;
5121         use_base = &md5_base;
5122         hashlen = 16;
5123         hashblocklen = 64;
5124         }
5125       else if (Ustrcmp(sub[0], "sha1") == 0)
5126         {
5127         type = HMAC_SHA1;
5128         use_base = &sha1_base;
5129         hashlen = 20;
5130         hashblocklen = 64;
5131         }
5132       else
5133         {
5134         expand_string_message =
5135           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5136         goto EXPAND_FAILED;
5137         }
5138
5139       keyptr = sub[1];
5140       keylen = Ustrlen(keyptr);
5141
5142       /* If the key is longer than the hash block length, then hash the key
5143       first */
5144
5145       if (keylen > hashblocklen)
5146         {
5147         chash_start(type, use_base);
5148         chash_end(type, use_base, keyptr, keylen, keyhash);
5149         keyptr = keyhash;
5150         keylen = hashlen;
5151         }
5152
5153       /* Now make the inner and outer key values */
5154
5155       memset(innerkey, 0x36, hashblocklen);
5156       memset(outerkey, 0x5c, hashblocklen);
5157
5158       for (i = 0; i < keylen; i++)
5159         {
5160         innerkey[i] ^= keyptr[i];
5161         outerkey[i] ^= keyptr[i];
5162         }
5163
5164       /* Now do the hashes */
5165
5166       chash_start(type, use_base);
5167       chash_mid(type, use_base, innerkey);
5168       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5169
5170       chash_start(type, use_base);
5171       chash_mid(type, use_base, outerkey);
5172       chash_end(type, use_base, innerhash, hashlen, finalhash);
5173
5174       /* Encode the final hash as a hex string */
5175
5176       p = finalhash_hex;
5177       for (i = 0; i < hashlen; i++)
5178         {
5179         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5180         *p++ = hex_digits[finalhash[i] & 0x0f];
5181         }
5182
5183       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5184         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5185
5186       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5187       }
5188
5189     continue;
5190
5191     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5192     We have to save the numerical variables and restore them afterwards. */
5193
5194     case EITEM_SG:
5195       {
5196       const pcre *re;
5197       int moffset, moffsetextra, slen;
5198       int roffset;
5199       int emptyopt;
5200       const uschar *rerror;
5201       uschar *subject;
5202       uschar *sub[3];
5203       int save_expand_nmax =
5204         save_expand_strings(save_expand_nstring, save_expand_nlength);
5205
5206       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5207         {
5208         case 1: goto EXPAND_FAILED_CURLY;
5209         case 2:
5210         case 3: goto EXPAND_FAILED;
5211         }
5212
5213       /* Compile the regular expression */
5214
5215       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5216         NULL);
5217
5218       if (re == NULL)
5219         {
5220         expand_string_message = string_sprintf("regular expression error in "
5221           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5222         goto EXPAND_FAILED;
5223         }
5224
5225       /* Now run a loop to do the substitutions as often as necessary. It ends
5226       when there are no more matches. Take care over matches of the null string;
5227       do the same thing as Perl does. */
5228
5229       subject = sub[0];
5230       slen = Ustrlen(sub[0]);
5231       moffset = moffsetextra = 0;
5232       emptyopt = 0;
5233
5234       for (;;)
5235         {
5236         int ovector[3*(EXPAND_MAXN+1)];
5237         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5238           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5239         int nn;
5240         uschar *insert;
5241
5242         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5243         is not necessarily the end. We want to repeat the match from one
5244         character further along, but leaving the basic offset the same (for
5245         copying below). We can't be at the end of the string - that was checked
5246         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5247         finished; copy the remaining string and end the loop. */
5248
5249         if (n < 0)
5250           {
5251           if (emptyopt != 0)
5252             {
5253             moffsetextra = 1;
5254             emptyopt = 0;
5255             continue;
5256             }
5257           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5258           break;
5259           }
5260
5261         /* Match - set up for expanding the replacement. */
5262
5263         if (n == 0) n = EXPAND_MAXN + 1;
5264         expand_nmax = 0;
5265         for (nn = 0; nn < n*2; nn += 2)
5266           {
5267           expand_nstring[expand_nmax] = subject + ovector[nn];
5268           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5269           }
5270         expand_nmax--;
5271
5272         /* Copy the characters before the match, plus the expanded insertion. */
5273
5274         yield = string_cat(yield, &size, &ptr, subject + moffset,
5275           ovector[0] - moffset);
5276         insert = expand_string(sub[2]);
5277         if (insert == NULL) goto EXPAND_FAILED;
5278         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5279
5280         moffset = ovector[1];
5281         moffsetextra = 0;
5282         emptyopt = 0;
5283
5284         /* If we have matched an empty string, first check to see if we are at
5285         the end of the subject. If so, the loop is over. Otherwise, mimic
5286         what Perl's /g options does. This turns out to be rather cunning. First
5287         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5288         string at the same point. If this fails (picked up above) we advance to
5289         the next character. */
5290
5291         if (ovector[0] == ovector[1])
5292           {
5293           if (ovector[0] == slen) break;
5294           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5295           }
5296         }
5297
5298       /* All done - restore numerical variables. */
5299
5300       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5301         save_expand_nlength);
5302       continue;
5303       }
5304
5305     /* Handle keyed and numbered substring extraction. If the first argument
5306     consists entirely of digits, then a numerical extraction is assumed. */
5307
5308     case EITEM_EXTRACT:
5309       {
5310       int i;
5311       int j = 2;
5312       int field_number = 1;
5313       BOOL field_number_set = FALSE;
5314       uschar *save_lookup_value = lookup_value;
5315       uschar *sub[3];
5316       int save_expand_nmax =
5317         save_expand_strings(save_expand_nstring, save_expand_nlength);
5318
5319       /* While skipping we cannot rely on the data for expansions being
5320       available (eg. $item) hence cannot decide on numeric vs. keyed.
5321       Just read as many arguments as there are. */
5322
5323       if (skipping)
5324         {
5325         while (isspace(*s)) s++;
5326         while (*s == '{')
5327           {
5328           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5329             goto EXPAND_FAILED;                                 /*{*/
5330           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5331           while (isspace(*s)) s++;
5332           }
5333         if (*s != '}')
5334           goto EXPAND_FAILED_CURLY;
5335         }
5336
5337       else for (i = 0; i < j; i++) /* Read the proper number of arguments */
5338         {
5339         while (isspace(*s)) s++;
5340         if (*s == '{')                                          /*}*/
5341           {
5342           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5343           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5344           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5345
5346           /* After removal of leading and trailing white space, the first
5347           argument must not be empty; if it consists entirely of digits
5348           (optionally preceded by a minus sign), this is a numerical
5349           extraction, and we expect 3 arguments. */
5350
5351           if (i == 0)
5352             {
5353             int len;
5354             int x = 0;
5355             uschar *p = sub[0];
5356
5357             while (isspace(*p)) p++;
5358             sub[0] = p;
5359
5360             len = Ustrlen(p);
5361             while (len > 0 && isspace(p[len-1])) len--;
5362             p[len] = 0;
5363
5364             if (*p == 0)
5365               {
5366               expand_string_message = US"first argument of \"extract\" must "
5367                 "not be empty";
5368               goto EXPAND_FAILED;
5369               }
5370
5371             if (*p == '-')
5372               {
5373               field_number = -1;
5374               p++;
5375               }
5376             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5377             if (*p == 0)
5378               {
5379               field_number *= x;
5380               j = 3;               /* Need 3 args */
5381               field_number_set = TRUE;
5382               }
5383             }
5384           }
5385         else goto EXPAND_FAILED_CURLY;
5386         }
5387
5388       /* Extract either the numbered or the keyed substring into $value. If
5389       skipping, just pretend the extraction failed. */
5390
5391       lookup_value = skipping? NULL : field_number_set?
5392         expand_gettokened(field_number, sub[1], sub[2]) :
5393         expand_getkeyed(sub[0], sub[1]);
5394
5395       /* If no string follows, $value gets substituted; otherwise there can
5396       be yes/no strings, as for lookup or if. */
5397
5398       switch(process_yesno(
5399                skipping,                     /* were previously skipping */
5400                lookup_value != NULL,         /* success/failure indicator */
5401                save_lookup_value,            /* value to reset for string2 */
5402                &s,                           /* input pointer */
5403                &yield,                       /* output pointer */
5404                &size,                        /* output size */
5405                &ptr,                         /* output current point */
5406                US"extract",                  /* condition type */
5407                &resetok))
5408         {
5409         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5410         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5411         }
5412
5413       /* All done - restore numerical variables. */
5414
5415       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5416         save_expand_nlength);
5417
5418       continue;
5419       }
5420
5421     /* return the Nth item from a list */
5422
5423     case EITEM_LISTEXTRACT:
5424       {
5425       int i;
5426       int field_number = 1;
5427       uschar *save_lookup_value = lookup_value;
5428       uschar *sub[2];
5429       int save_expand_nmax =
5430         save_expand_strings(save_expand_nstring, save_expand_nlength);
5431
5432       /* Read the field & list arguments */
5433
5434       for (i = 0; i < 2; i++)
5435         {
5436         while (isspace(*s)) s++;
5437         if (*s != '{')                                  /*}*/
5438           goto EXPAND_FAILED_CURLY;
5439
5440         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5441         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5442         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5443
5444         /* After removal of leading and trailing white space, the first
5445         argument must be numeric and nonempty. */
5446
5447         if (i == 0)
5448           {
5449           int len;
5450           int x = 0;
5451           uschar *p = sub[0];
5452
5453           while (isspace(*p)) p++;
5454           sub[0] = p;
5455
5456           len = Ustrlen(p);
5457           while (len > 0 && isspace(p[len-1])) len--;
5458           p[len] = 0;
5459
5460           if (!*p && !skipping)
5461             {
5462             expand_string_message = US"first argument of \"listextract\" must "
5463               "not be empty";
5464             goto EXPAND_FAILED;
5465             }
5466
5467           if (*p == '-')
5468             {
5469             field_number = -1;
5470             p++;
5471             }
5472           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5473           if (*p)
5474             {
5475             expand_string_message = US"first argument of \"listextract\" must "
5476               "be numeric";
5477             goto EXPAND_FAILED;
5478             }
5479           field_number *= x;
5480           }
5481         }
5482
5483       /* Extract the numbered element into $value. If
5484       skipping, just pretend the extraction failed. */
5485
5486       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5487
5488       /* If no string follows, $value gets substituted; otherwise there can
5489       be yes/no strings, as for lookup or if. */
5490
5491       switch(process_yesno(
5492                skipping,                     /* were previously skipping */
5493                lookup_value != NULL,         /* success/failure indicator */
5494                save_lookup_value,            /* value to reset for string2 */
5495                &s,                           /* input pointer */
5496                &yield,                       /* output pointer */
5497                &size,                        /* output size */
5498                &ptr,                         /* output current point */
5499                US"listextract",              /* condition type */
5500                &resetok))
5501         {
5502         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5503         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5504         }
5505
5506       /* All done - restore numerical variables. */
5507
5508       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5509         save_expand_nlength);
5510
5511       continue;
5512       }
5513
5514 #ifdef SUPPORT_TLS
5515     case EITEM_CERTEXTRACT:
5516       {
5517       uschar *save_lookup_value = lookup_value;
5518       uschar *sub[2];
5519       int save_expand_nmax =
5520         save_expand_strings(save_expand_nstring, save_expand_nlength);
5521
5522       /* Read the field argument */
5523       while (isspace(*s)) s++;
5524       if (*s != '{')                                    /*}*/
5525         goto EXPAND_FAILED_CURLY;
5526       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5527       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5528       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5529       /* strip spaces fore & aft */
5530       {
5531       int len;
5532       uschar *p = sub[0];
5533
5534       while (isspace(*p)) p++;
5535       sub[0] = p;
5536
5537       len = Ustrlen(p);
5538       while (len > 0 && isspace(p[len-1])) len--;
5539       p[len] = 0;
5540       }
5541
5542       /* inspect the cert argument */
5543       while (isspace(*s)) s++;
5544       if (*s != '{')                                    /*}*/
5545         goto EXPAND_FAILED_CURLY;
5546       if (*++s != '$')
5547         {
5548         expand_string_message = US"second argument of \"certextract\" must "
5549           "be a certificate variable";
5550         goto EXPAND_FAILED;
5551         }
5552       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5553       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5554       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5555
5556       if (skipping)
5557         lookup_value = NULL;
5558       else
5559         {
5560         lookup_value = expand_getcertele(sub[0], sub[1]);
5561         if (*expand_string_message) goto EXPAND_FAILED;
5562         }
5563       switch(process_yesno(
5564                skipping,                     /* were previously skipping */
5565                lookup_value != NULL,         /* success/failure indicator */
5566                save_lookup_value,            /* value to reset for string2 */
5567                &s,                           /* input pointer */
5568                &yield,                       /* output pointer */
5569                &size,                        /* output size */
5570                &ptr,                         /* output current point */
5571                US"certextract",              /* condition type */
5572                &resetok))
5573         {
5574         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5575         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5576         }
5577
5578       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5579         save_expand_nlength);
5580       continue;
5581       }
5582 #endif  /*SUPPORT_TLS*/
5583
5584     /* Handle list operations */
5585
5586     case EITEM_FILTER:
5587     case EITEM_MAP:
5588     case EITEM_REDUCE:
5589       {
5590       int sep = 0;
5591       int save_ptr = ptr;
5592       uschar outsep[2] = { '\0', '\0' };
5593       const uschar *list, *expr, *temp;
5594       uschar *save_iterate_item = iterate_item;
5595       uschar *save_lookup_value = lookup_value;
5596
5597       while (isspace(*s)) s++;
5598       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5599
5600       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5601       if (list == NULL) goto EXPAND_FAILED;
5602       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5603
5604       if (item_type == EITEM_REDUCE)
5605         {
5606         uschar * t;
5607         while (isspace(*s)) s++;
5608         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5609         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5610         if (!t) goto EXPAND_FAILED;
5611         lookup_value = t;
5612         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5613         }
5614
5615       while (isspace(*s)) s++;
5616       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5617
5618       expr = s;
5619
5620       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5621       if scanning a "false" part). This allows us to find the end of the
5622       condition, because if the list is empty, we won't actually evaluate the
5623       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5624       the normal internal expansion function. */
5625
5626       if (item_type == EITEM_FILTER)
5627         {
5628         temp = eval_condition(expr, &resetok, NULL);
5629         if (temp != NULL) s = temp;
5630         }
5631       else
5632         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5633
5634       if (temp == NULL)
5635         {
5636         expand_string_message = string_sprintf("%s inside \"%s\" item",
5637           expand_string_message, name);
5638         goto EXPAND_FAILED;
5639         }
5640
5641       while (isspace(*s)) s++;
5642       if (*s++ != '}')
5643         {                                               /*{*/
5644         expand_string_message = string_sprintf("missing } at end of condition "
5645           "or expression inside \"%s\"", name);
5646         goto EXPAND_FAILED;
5647         }
5648
5649       while (isspace(*s)) s++;                          /*{*/
5650       if (*s++ != '}')
5651         {                                               /*{*/
5652         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5653           name);
5654         goto EXPAND_FAILED;
5655         }
5656
5657       /* If we are skipping, we can now just move on to the next item. When
5658       processing for real, we perform the iteration. */
5659
5660       if (skipping) continue;
5661       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5662         {
5663         *outsep = (uschar)sep;      /* Separator as a string */
5664
5665         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5666
5667         if (item_type == EITEM_FILTER)
5668           {
5669           BOOL condresult;
5670           if (eval_condition(expr, &resetok, &condresult) == NULL)
5671             {
5672             iterate_item = save_iterate_item;
5673             lookup_value = save_lookup_value;
5674             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5675               expand_string_message, name);
5676             goto EXPAND_FAILED;
5677             }
5678           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5679             condresult? "true":"false");
5680           if (condresult)
5681             temp = iterate_item;    /* TRUE => include this item */
5682           else
5683             continue;               /* FALSE => skip this item */
5684           }
5685
5686         /* EITEM_MAP and EITEM_REDUCE */
5687
5688         else
5689           {
5690           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5691           temp = t;
5692           if (temp == NULL)
5693             {
5694             iterate_item = save_iterate_item;
5695             expand_string_message = string_sprintf("%s inside \"%s\" item",
5696               expand_string_message, name);
5697             goto EXPAND_FAILED;
5698             }
5699           if (item_type == EITEM_REDUCE)
5700             {
5701             lookup_value = t;         /* Update the value of $value */
5702             continue;                 /* and continue the iteration */
5703             }
5704           }
5705
5706         /* We reach here for FILTER if the condition is true, always for MAP,
5707         and never for REDUCE. The value in "temp" is to be added to the output
5708         list that is being created, ensuring that any occurrences of the
5709         separator character are doubled. Unless we are dealing with the first
5710         item of the output list, add in a space if the new item begins with the
5711         separator character, or is an empty string. */
5712
5713         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5714           yield = string_cat(yield, &size, &ptr, US" ", 1);
5715
5716         /* Add the string in "temp" to the output list that we are building,
5717         This is done in chunks by searching for the separator character. */
5718
5719         for (;;)
5720           {
5721           size_t seglen = Ustrcspn(temp, outsep);
5722             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5723
5724           /* If we got to the end of the string we output one character
5725           too many; backup and end the loop. Otherwise arrange to double the
5726           separator. */
5727
5728           if (temp[seglen] == '\0') { ptr--; break; }
5729           yield = string_cat(yield, &size, &ptr, outsep, 1);
5730           temp += seglen + 1;
5731           }
5732
5733         /* Output a separator after the string: we will remove the redundant
5734         final one at the end. */
5735
5736         yield = string_cat(yield, &size, &ptr, outsep, 1);
5737         }   /* End of iteration over the list loop */
5738
5739       /* REDUCE has generated no output above: output the final value of
5740       $value. */
5741
5742       if (item_type == EITEM_REDUCE)
5743         {
5744         yield = string_cat(yield, &size, &ptr, lookup_value,
5745           Ustrlen(lookup_value));
5746         lookup_value = save_lookup_value;  /* Restore $value */
5747         }
5748
5749       /* FILTER and MAP generate lists: if they have generated anything, remove
5750       the redundant final separator. Even though an empty item at the end of a
5751       list does not count, this is tidier. */
5752
5753       else if (ptr != save_ptr) ptr--;
5754
5755       /* Restore preserved $item */
5756
5757       iterate_item = save_iterate_item;
5758       continue;
5759       }
5760
5761     case EITEM_SORT:
5762       {
5763       int sep = 0;
5764       const uschar *srclist, *cmp, *xtract;
5765       uschar *srcitem;
5766       const uschar *dstlist = NULL, *dstkeylist = NULL;
5767       uschar * tmp;
5768       uschar *save_iterate_item = iterate_item;
5769
5770       while (isspace(*s)) s++;
5771       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5772
5773       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5774       if (!srclist) goto EXPAND_FAILED;
5775       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5776
5777       while (isspace(*s)) s++;
5778       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5779
5780       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5781       if (!cmp) goto EXPAND_FAILED;
5782       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5783
5784       while (isspace(*s)) s++;
5785       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5786
5787       xtract = s;
5788       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5789       if (!tmp) goto EXPAND_FAILED;
5790       xtract = string_copyn(xtract, s - xtract);
5791
5792       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5793                                                         /*{*/
5794       if (*s++ != '}')
5795         {                                               /*{*/
5796         expand_string_message = US"missing } at end of \"sort\"";
5797         goto EXPAND_FAILED;
5798         }
5799
5800       if (skipping) continue;
5801
5802       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5803         {
5804         uschar * dstitem;
5805         uschar * newlist = NULL;
5806         uschar * newkeylist = NULL;
5807         uschar * srcfield;
5808
5809         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5810
5811         /* extract field for comparisons */
5812         iterate_item = srcitem;
5813         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5814                                           TRUE, &resetok))
5815            || !*srcfield)
5816           {
5817           expand_string_message = string_sprintf(
5818               "field-extract in sort: \"%s\"", xtract);
5819           goto EXPAND_FAILED;
5820           }
5821
5822         /* Insertion sort */
5823
5824         /* copy output list until new-item < list-item */
5825         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5826           {
5827           uschar * dstfield;
5828           uschar * expr;
5829           BOOL before;
5830
5831           /* field for comparison */
5832           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5833             goto sort_mismatch;
5834
5835           /* build and run condition string */
5836           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5837
5838           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
5839           if (!eval_condition(expr, &resetok, &before))
5840             {
5841             expand_string_message = string_sprintf("comparison in sort: %s",
5842                 expr);
5843             goto EXPAND_FAILED;
5844             }
5845
5846           if (before)
5847             {
5848             /* New-item sorts before this dst-item.  Append new-item,
5849             then dst-item, then remainder of dst list. */
5850
5851             newlist = string_append_listele(newlist, sep, srcitem);
5852             newkeylist = string_append_listele(newkeylist, sep, srcfield);
5853             srcitem = NULL;
5854
5855             newlist = string_append_listele(newlist, sep, dstitem);
5856             newkeylist = string_append_listele(newkeylist, sep, dstfield);
5857
5858             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5859               {
5860               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5861                 goto sort_mismatch;
5862               newlist = string_append_listele(newlist, sep, dstitem);
5863               newkeylist = string_append_listele(newkeylist, sep, dstfield);
5864               }
5865
5866             break;
5867             }
5868
5869           newlist = string_append_listele(newlist, sep, dstitem);
5870           newkeylist = string_append_listele(newkeylist, sep, dstfield);
5871           }
5872
5873         /* If we ran out of dstlist without consuming srcitem, append it */
5874         if (srcitem)
5875           {
5876           newlist = string_append_listele(newlist, sep, srcitem);
5877           newkeylist = string_append_listele(newkeylist, sep, srcfield);
5878           }
5879
5880         dstlist = newlist;
5881         dstkeylist = newkeylist;
5882
5883         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
5884         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
5885         }
5886
5887       if (dstlist)
5888         yield = string_cat(yield, &size, &ptr, dstlist, Ustrlen(dstlist));
5889
5890       /* Restore preserved $item */
5891       iterate_item = save_iterate_item;
5892       continue;
5893
5894       sort_mismatch:
5895         expand_string_message = US"Internal error in sort (list mismatch)";
5896         goto EXPAND_FAILED;
5897       }
5898
5899
5900     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5901     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5902     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5903     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5904
5905     #define EXPAND_DLFUNC_MAX_ARGS 8
5906
5907     case EITEM_DLFUNC:
5908 #ifndef EXPAND_DLFUNC
5909       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
5910         "is not included in this binary";
5911       goto EXPAND_FAILED;
5912
5913 #else   /* EXPAND_DLFUNC */
5914       {
5915       tree_node *t;
5916       exim_dlfunc_t *func;
5917       uschar *result;
5918       int status, argc;
5919       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5920
5921       if ((expand_forbid & RDO_DLFUNC) != 0)
5922         {
5923         expand_string_message =
5924           US"dynamically-loaded functions are not permitted";
5925         goto EXPAND_FAILED;
5926         }
5927
5928       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5929            TRUE, US"dlfunc", &resetok))
5930         {
5931         case 1: goto EXPAND_FAILED_CURLY;
5932         case 2:
5933         case 3: goto EXPAND_FAILED;
5934         }
5935
5936       /* If skipping, we don't actually do anything */
5937
5938       if (skipping) continue;
5939
5940       /* Look up the dynamically loaded object handle in the tree. If it isn't
5941       found, dlopen() the file and put the handle in the tree for next time. */
5942
5943       t = tree_search(dlobj_anchor, argv[0]);
5944       if (t == NULL)
5945         {
5946         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5947         if (handle == NULL)
5948           {
5949           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5950             argv[0], dlerror());
5951           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5952           goto EXPAND_FAILED;
5953           }
5954         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5955         Ustrcpy(t->name, argv[0]);
5956         t->data.ptr = handle;
5957         (void)tree_insertnode(&dlobj_anchor, t);
5958         }
5959
5960       /* Having obtained the dynamically loaded object handle, look up the
5961       function pointer. */
5962
5963       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5964       if (func == NULL)
5965         {
5966         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5967           "%s", argv[1], argv[0], dlerror());
5968         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5969         goto EXPAND_FAILED;
5970         }
5971
5972       /* Call the function and work out what to do with the result. If it
5973       returns OK, we have a replacement string; if it returns DEFER then
5974       expansion has failed in a non-forced manner; if it returns FAIL then
5975       failure was forced; if it returns ERROR or any other value there's a
5976       problem, so panic slightly. In any case, assume that the function has
5977       side-effects on the store that must be preserved. */
5978
5979       resetok = FALSE;
5980       result = NULL;
5981       for (argc = 0; argv[argc] != NULL; argc++);
5982       status = func(&result, argc - 2, &argv[2]);
5983       if(status == OK)
5984         {
5985         if (result == NULL) result = US"";
5986         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5987         continue;
5988         }
5989       else
5990         {
5991         expand_string_message = result == NULL ? US"(no message)" : result;
5992         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5993           else if(status != FAIL)
5994             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5995               argv[0], argv[1], status, expand_string_message);
5996         goto EXPAND_FAILED;
5997         }
5998       }
5999 #endif /* EXPAND_DLFUNC */
6000
6001     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6002       {
6003       uschar * key;
6004       uschar *save_lookup_value = lookup_value;
6005
6006       while (isspace(*s)) s++;
6007       if (*s != '{')                                    /*}*/
6008         goto EXPAND_FAILED;
6009
6010       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6011       if (!key) goto EXPAND_FAILED;                     /*{*/
6012       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
6013
6014       lookup_value = US getenv(CS key);
6015
6016       switch(process_yesno(
6017                skipping,                     /* were previously skipping */
6018                lookup_value != NULL,         /* success/failure indicator */
6019                save_lookup_value,            /* value to reset for string2 */
6020                &s,                           /* input pointer */
6021                &yield,                       /* output pointer */
6022                &size,                        /* output size */
6023                &ptr,                         /* output current point */
6024                US"env",                      /* condition type */
6025                &resetok))
6026         {
6027         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6028         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6029         }
6030       continue;
6031       }
6032     }   /* EITEM_* switch */
6033
6034   /* Control reaches here if the name is not recognized as one of the more
6035   complicated expansion items. Check for the "operator" syntax (name terminated
6036   by a colon). Some of the operators have arguments, separated by _ from the
6037   name. */
6038
6039   if (*s == ':')
6040     {
6041     int c;
6042     uschar *arg = NULL;
6043     uschar *sub;
6044     var_entry *vp = NULL;
6045
6046     /* Owing to an historical mis-design, an underscore may be part of the
6047     operator name, or it may introduce arguments.  We therefore first scan the
6048     table of names that contain underscores. If there is no match, we cut off
6049     the arguments and then scan the main table. */
6050
6051     if ((c = chop_match(name, op_table_underscore,
6052                         nelem(op_table_underscore))) < 0)
6053       {
6054       arg = Ustrchr(name, '_');
6055       if (arg != NULL) *arg = 0;
6056       c = chop_match(name, op_table_main, nelem(op_table_main));
6057       if (c >= 0) c += nelem(op_table_underscore);
6058       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6059       }
6060
6061     /* Deal specially with operators that might take a certificate variable
6062     as we do not want to do the usual expansion. For most, expand the string.*/
6063     switch(c)
6064       {
6065 #ifdef SUPPORT_TLS
6066       case EOP_MD5:
6067       case EOP_SHA1:
6068       case EOP_SHA256:
6069       case EOP_BASE64:
6070         if (s[1] == '$')
6071           {
6072           const uschar * s1 = s;
6073           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6074                   FALSE, &resetok);
6075           if (!sub)       goto EXPAND_FAILED;           /*{*/
6076           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
6077           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6078             {
6079             s = s1+1;
6080             break;
6081             }
6082           vp = NULL;
6083           }
6084         /*FALLTHROUGH*/
6085 #endif
6086       default:
6087         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6088         if (!sub) goto EXPAND_FAILED;
6089         s++;
6090         break;
6091       }
6092
6093     /* If we are skipping, we don't need to perform the operation at all.
6094     This matters for operations like "mask", because the data may not be
6095     in the correct format when skipping. For example, the expression may test
6096     for the existence of $sender_host_address before trying to mask it. For
6097     other operations, doing them may not fail, but it is a waste of time. */
6098
6099     if (skipping && c >= 0) continue;
6100
6101     /* Otherwise, switch on the operator type */
6102
6103     switch(c)
6104       {
6105       case EOP_BASE62:
6106         {
6107         uschar *t;
6108         unsigned long int n = Ustrtoul(sub, &t, 10);
6109         if (*t != 0)
6110           {
6111           expand_string_message = string_sprintf("argument for base62 "
6112             "operator is \"%s\", which is not a decimal number", sub);
6113           goto EXPAND_FAILED;
6114           }
6115         t = string_base62(n);
6116         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6117         continue;
6118         }
6119
6120       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6121
6122       case EOP_BASE62D:
6123         {
6124         uschar buf[16];
6125         uschar *tt = sub;
6126         unsigned long int n = 0;
6127         while (*tt != 0)
6128           {
6129           uschar *t = Ustrchr(base62_chars, *tt++);
6130           if (t == NULL)
6131             {
6132             expand_string_message = string_sprintf("argument for base62d "
6133               "operator is \"%s\", which is not a base %d number", sub,
6134               BASE_62);
6135             goto EXPAND_FAILED;
6136             }
6137           n = n * BASE_62 + (t - base62_chars);
6138           }
6139         (void)sprintf(CS buf, "%ld", n);
6140         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
6141         continue;
6142         }
6143
6144       case EOP_EXPAND:
6145         {
6146         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6147         if (expanded == NULL)
6148           {
6149           expand_string_message =
6150             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6151               expand_string_message);
6152           goto EXPAND_FAILED;
6153           }
6154         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
6155         continue;
6156         }
6157
6158       case EOP_LC:
6159         {
6160         int count = 0;
6161         uschar *t = sub - 1;
6162         while (*(++t) != 0) { *t = tolower(*t); count++; }
6163         yield = string_cat(yield, &size, &ptr, sub, count);
6164         continue;
6165         }
6166
6167       case EOP_UC:
6168         {
6169         int count = 0;
6170         uschar *t = sub - 1;
6171         while (*(++t) != 0) { *t = toupper(*t); count++; }
6172         yield = string_cat(yield, &size, &ptr, sub, count);
6173         continue;
6174         }
6175
6176       case EOP_MD5:
6177 #ifdef SUPPORT_TLS
6178         if (vp && *(void **)vp->value)
6179           {
6180           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6181           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6182           }
6183         else
6184 #endif
6185           {
6186           md5 base;
6187           uschar digest[16];
6188           int j;
6189           char st[33];
6190           md5_start(&base);
6191           md5_end(&base, sub, Ustrlen(sub), digest);
6192           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6193           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6194           }
6195         continue;
6196
6197       case EOP_SHA1:
6198 #ifdef SUPPORT_TLS
6199         if (vp && *(void **)vp->value)
6200           {
6201           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6202           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6203           }
6204         else
6205 #endif
6206           {
6207           sha1 base;
6208           uschar digest[20];
6209           int j;
6210           char st[41];
6211           sha1_start(&base);
6212           sha1_end(&base, sub, Ustrlen(sub), digest);
6213           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6214           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6215           }
6216         continue;
6217
6218       case EOP_SHA256:
6219 #ifdef SUPPORT_TLS
6220         if (vp && *(void **)vp->value)
6221           {
6222           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6223           yield = string_cat(yield, &size, &ptr, cp, (int)Ustrlen(cp));
6224           }
6225         else
6226 #endif
6227           expand_string_message = US"sha256 only supported for certificates";
6228         continue;
6229
6230       /* Convert hex encoding to base64 encoding */
6231
6232       case EOP_HEX2B64:
6233         {
6234         int c = 0;
6235         int b = -1;
6236         uschar *in = sub;
6237         uschar *out = sub;
6238         uschar *enc;
6239
6240         for (enc = sub; *enc != 0; enc++)
6241           {
6242           if (!isxdigit(*enc))
6243             {
6244             expand_string_message = string_sprintf("\"%s\" is not a hex "
6245               "string", sub);
6246             goto EXPAND_FAILED;
6247             }
6248           c++;
6249           }
6250
6251         if ((c & 1) != 0)
6252           {
6253           expand_string_message = string_sprintf("\"%s\" contains an odd "
6254             "number of characters", sub);
6255           goto EXPAND_FAILED;
6256           }
6257
6258         while ((c = *in++) != 0)
6259           {
6260           if (isdigit(c)) c -= '0';
6261           else c = toupper(c) - 'A' + 10;
6262           if (b == -1)
6263             {
6264             b = c << 4;
6265             }
6266           else
6267             {
6268             *out++ = b | c;
6269             b = -1;
6270             }
6271           }
6272
6273         enc = b64encode(sub, out - sub);
6274         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
6275         continue;
6276         }
6277
6278       /* Convert octets outside 0x21..0x7E to \xXX form */
6279
6280       case EOP_HEXQUOTE:
6281         {
6282         uschar *t = sub - 1;
6283         while (*(++t) != 0)
6284           {
6285           if (*t < 0x21 || 0x7E < *t)
6286             yield = string_cat(yield, &size, &ptr,
6287               string_sprintf("\\x%02x", *t), 4);
6288           else
6289             yield = string_cat(yield, &size, &ptr, t, 1);
6290           }
6291         continue;
6292         }
6293
6294       /* count the number of list elements */
6295
6296       case EOP_LISTCOUNT:
6297         {
6298         int cnt = 0;
6299         int sep = 0;
6300         uschar * cp;
6301         uschar buffer[256];
6302
6303         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6304         cp = string_sprintf("%d", cnt);
6305         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6306         continue;
6307         }
6308
6309       /* expand a named list given the name */
6310       /* handles nested named lists; requotes as colon-sep list */
6311
6312       case EOP_LISTNAMED:
6313         {
6314         tree_node *t = NULL;
6315         const uschar * list;
6316         int sep = 0;
6317         uschar * item;
6318         uschar * suffix = US"";
6319         BOOL needsep = FALSE;
6320         uschar buffer[256];
6321
6322         if (*sub == '+') sub++;
6323         if (arg == NULL)        /* no-argument version */
6324           {
6325           if (!(t = tree_search(addresslist_anchor, sub)) &&
6326               !(t = tree_search(domainlist_anchor,  sub)) &&
6327               !(t = tree_search(hostlist_anchor,    sub)))
6328             t = tree_search(localpartlist_anchor, sub);
6329           }
6330         else switch(*arg)       /* specific list-type version */
6331           {
6332           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6333           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6334           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6335           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6336           default:
6337             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6338             goto EXPAND_FAILED;
6339           }
6340
6341         if(!t)
6342           {
6343           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6344             sub, !arg?""
6345               : *arg=='a'?"address "
6346               : *arg=='d'?"domain "
6347               : *arg=='h'?"host "
6348               : *arg=='l'?"localpart "
6349               : 0);
6350           goto EXPAND_FAILED;
6351           }
6352
6353         list = ((namedlist_block *)(t->data.ptr))->string;
6354
6355         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6356           {
6357           uschar * buf = US" : ";
6358           if (needsep)
6359             yield = string_cat(yield, &size, &ptr, buf, 3);
6360           else
6361             needsep = TRUE;
6362
6363           if (*item == '+')     /* list item is itself a named list */
6364             {
6365             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6366             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6367             }
6368           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6369             {
6370             char * cp;
6371             char tok[3];
6372             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6373             while ((cp= strpbrk((const char *)item, tok)))
6374               {
6375               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6376               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6377                 {
6378                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6379                 item = (uschar *)cp;
6380                 }
6381               else              /* sep in item; should already be doubled; emit once */
6382                 {
6383                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6384                 if (*cp == sep) cp++;
6385                 item = (uschar *)cp;
6386                 }
6387               }
6388             }
6389           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6390           }
6391         continue;
6392         }
6393
6394       /* mask applies a mask to an IP address; for example the result of
6395       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6396
6397       case EOP_MASK:
6398         {
6399         int count;
6400         uschar *endptr;
6401         int binary[4];
6402         int mask, maskoffset;
6403         int type = string_is_ip_address(sub, &maskoffset);
6404         uschar buffer[64];
6405
6406         if (type == 0)
6407           {
6408           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6409            sub);
6410           goto EXPAND_FAILED;
6411           }
6412
6413         if (maskoffset == 0)
6414           {
6415           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6416             sub);
6417           goto EXPAND_FAILED;
6418           }
6419
6420         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6421
6422         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6423           {
6424           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6425             sub);
6426           goto EXPAND_FAILED;
6427           }
6428
6429         /* Convert the address to binary integer(s) and apply the mask */
6430
6431         sub[maskoffset] = 0;
6432         count = host_aton(sub, binary);
6433         host_mask(count, binary, mask);
6434
6435         /* Convert to masked textual format and add to output. */
6436
6437         yield = string_cat(yield, &size, &ptr, buffer,
6438           host_nmtoa(count, binary, mask, buffer, '.'));
6439         continue;
6440         }
6441
6442       case EOP_IPV6NORM:
6443       case EOP_IPV6DENORM:
6444         {
6445         int type = string_is_ip_address(sub, NULL);
6446         int binary[4];
6447         uschar buffer[44];
6448
6449         switch (type)
6450           {
6451           case 6:
6452             (void) host_aton(sub, binary);
6453             break;
6454
6455           case 4:       /* convert to IPv4-mapped IPv6 */
6456             binary[0] = binary[1] = 0;
6457             binary[2] = 0x0000ffff;
6458             (void) host_aton(sub, binary+3);
6459             break;
6460
6461           case 0:
6462             expand_string_message =
6463               string_sprintf("\"%s\" is not an IP address", sub);
6464             goto EXPAND_FAILED;
6465           }
6466
6467         yield = string_cat(yield, &size, &ptr, buffer,
6468                   c == EOP_IPV6NORM
6469                     ? ipv6_nmtoa(binary, buffer)
6470                     : host_nmtoa(4, binary, -1, buffer, ':')
6471                   );
6472         continue;
6473         }
6474
6475       case EOP_ADDRESS:
6476       case EOP_LOCAL_PART:
6477       case EOP_DOMAIN:
6478         {
6479         uschar *error;
6480         int start, end, domain;
6481         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6482           FALSE);
6483         if (t != NULL)
6484           {
6485           if (c != EOP_DOMAIN)
6486             {
6487             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6488             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6489             }
6490           else if (domain != 0)
6491             {
6492             domain += start;
6493             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6494             }
6495           }
6496         continue;
6497         }
6498
6499       case EOP_ADDRESSES:
6500         {
6501         uschar outsep[2] = { ':', '\0' };
6502         uschar *address, *error;
6503         int save_ptr = ptr;
6504         int start, end, domain;  /* Not really used */
6505
6506         while (isspace(*sub)) sub++;
6507         if (*sub == '>') { *outsep = *++sub; ++sub; }
6508         parse_allow_group = TRUE;
6509
6510         for (;;)
6511           {
6512           uschar *p = parse_find_address_end(sub, FALSE);
6513           uschar saveend = *p;
6514           *p = '\0';
6515           address = parse_extract_address(sub, &error, &start, &end, &domain,
6516             FALSE);
6517           *p = saveend;
6518
6519           /* Add the address to the output list that we are building. This is
6520           done in chunks by searching for the separator character. At the
6521           start, unless we are dealing with the first address of the output
6522           list, add in a space if the new address begins with the separator
6523           character, or is an empty string. */
6524
6525           if (address != NULL)
6526             {
6527             if (ptr != save_ptr && address[0] == *outsep)
6528               yield = string_cat(yield, &size, &ptr, US" ", 1);
6529
6530             for (;;)
6531               {
6532               size_t seglen = Ustrcspn(address, outsep);
6533               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6534
6535               /* If we got to the end of the string we output one character
6536               too many. */
6537
6538               if (address[seglen] == '\0') { ptr--; break; }
6539               yield = string_cat(yield, &size, &ptr, outsep, 1);
6540               address += seglen + 1;
6541               }
6542
6543             /* Output a separator after the string: we will remove the
6544             redundant final one at the end. */
6545
6546             yield = string_cat(yield, &size, &ptr, outsep, 1);
6547             }
6548
6549           if (saveend == '\0') break;
6550           sub = p + 1;
6551           }
6552
6553         /* If we have generated anything, remove the redundant final
6554         separator. */
6555
6556         if (ptr != save_ptr) ptr--;
6557         parse_allow_group = FALSE;
6558         continue;
6559         }
6560
6561
6562       /* quote puts a string in quotes if it is empty or contains anything
6563       other than alphamerics, underscore, dot, or hyphen.
6564
6565       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6566       be quoted in order to be a valid local part.
6567
6568       In both cases, newlines and carriage returns are converted into \n and \r
6569       respectively */
6570
6571       case EOP_QUOTE:
6572       case EOP_QUOTE_LOCAL_PART:
6573       if (arg == NULL)
6574         {
6575         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6576         uschar *t = sub - 1;
6577
6578         if (c == EOP_QUOTE)
6579           {
6580           while (!needs_quote && *(++t) != 0)
6581             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6582           }
6583         else  /* EOP_QUOTE_LOCAL_PART */
6584           {
6585           while (!needs_quote && *(++t) != 0)
6586             needs_quote = !isalnum(*t) &&
6587               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6588               (*t != '.' || t == sub || t[1] == 0);
6589           }
6590
6591         if (needs_quote)
6592           {
6593           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6594           t = sub - 1;
6595           while (*(++t) != 0)
6596             {
6597             if (*t == '\n')
6598               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6599             else if (*t == '\r')
6600               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6601             else
6602               {
6603               if (*t == '\\' || *t == '"')
6604                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6605               yield = string_cat(yield, &size, &ptr, t, 1);
6606               }
6607             }
6608           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6609           }
6610         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6611         continue;
6612         }
6613
6614       /* quote_lookuptype does lookup-specific quoting */
6615
6616       else
6617         {
6618         int n;
6619         uschar *opt = Ustrchr(arg, '_');
6620
6621         if (opt != NULL) *opt++ = 0;
6622
6623         n = search_findtype(arg, Ustrlen(arg));
6624         if (n < 0)
6625           {
6626           expand_string_message = search_error_message;
6627           goto EXPAND_FAILED;
6628           }
6629
6630         if (lookup_list[n]->quote != NULL)
6631           sub = (lookup_list[n]->quote)(sub, opt);
6632         else if (opt != NULL) sub = NULL;
6633
6634         if (sub == NULL)
6635           {
6636           expand_string_message = string_sprintf(
6637             "\"%s\" unrecognized after \"${quote_%s\"",
6638             opt, arg);
6639           goto EXPAND_FAILED;
6640           }
6641
6642         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6643         continue;
6644         }
6645
6646       /* rx quote sticks in \ before any non-alphameric character so that
6647       the insertion works in a regular expression. */
6648
6649       case EOP_RXQUOTE:
6650         {
6651         uschar *t = sub - 1;
6652         while (*(++t) != 0)
6653           {
6654           if (!isalnum(*t))
6655             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6656           yield = string_cat(yield, &size, &ptr, t, 1);
6657           }
6658         continue;
6659         }
6660
6661       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6662       prescribed by the RFC, if there are characters that need to be encoded */
6663
6664       case EOP_RFC2047:
6665         {
6666         uschar buffer[2048];
6667         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6668           buffer, sizeof(buffer), FALSE);
6669         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6670         continue;
6671         }
6672
6673       /* RFC 2047 decode */
6674
6675       case EOP_RFC2047D:
6676         {
6677         int len;
6678         uschar *error;
6679         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6680           headers_charset, '?', &len, &error);
6681         if (error != NULL)
6682           {
6683           expand_string_message = error;
6684           goto EXPAND_FAILED;
6685           }
6686         yield = string_cat(yield, &size, &ptr, decoded, len);
6687         continue;
6688         }
6689
6690       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6691       underscores */
6692
6693       case EOP_FROM_UTF8:
6694         {
6695         while (*sub != 0)
6696           {
6697           int c;
6698           uschar buff[4];
6699           GETUTF8INC(c, sub);
6700           if (c > 255) c = '_';
6701           buff[0] = c;
6702           yield = string_cat(yield, &size, &ptr, buff, 1);
6703           }
6704         continue;
6705         }
6706
6707           /* replace illegal UTF-8 sequences by replacement character  */
6708
6709       #define UTF8_REPLACEMENT_CHAR US"?"
6710
6711       case EOP_UTF8CLEAN:
6712         {
6713         int seq_len = 0, index = 0;
6714         int bytes_left = 0;
6715         long codepoint = -1;
6716         uschar seq_buff[4];                     /* accumulate utf-8 here */
6717
6718         while (*sub != 0)
6719           {
6720           int complete = 0;
6721           uschar c = *sub++;
6722
6723           if (bytes_left)
6724             {
6725             if ((c & 0xc0) != 0x80)
6726                     /* wrong continuation byte; invalidate all bytes */
6727               complete = 1; /* error */
6728             else
6729               {
6730               codepoint = (codepoint << 6) | (c & 0x3f);
6731               seq_buff[index++] = c;
6732               if (--bytes_left == 0)            /* codepoint complete */
6733                 if(codepoint > 0x10FFFF)        /* is it too large? */
6734                   complete = -1;        /* error (RFC3629 limit) */
6735                 else
6736                   {             /* finished; output utf-8 sequence */
6737                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6738                   index = 0;
6739                   }
6740               }
6741             }
6742           else  /* no bytes left: new sequence */
6743             {
6744             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6745               {
6746               yield = string_cat(yield, &size, &ptr, &c, 1);
6747               continue;
6748               }
6749             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6750               {
6751               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6752                 complete = -1;
6753               else
6754                 {
6755                   bytes_left = 1;
6756                   codepoint = c & 0x1f;
6757                 }
6758               }
6759             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6760               {
6761               bytes_left = 2;
6762               codepoint = c & 0x0f;
6763               }
6764             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6765               {
6766               bytes_left = 3;
6767               codepoint = c & 0x07;
6768               }
6769             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6770               complete = -1;
6771
6772             seq_buff[index++] = c;
6773             seq_len = bytes_left + 1;
6774             }           /* if(bytes_left) */
6775
6776           if (complete != 0)
6777             {
6778             bytes_left = index = 0;
6779             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6780             }
6781           if ((complete == 1) && ((c & 0x80) == 0))
6782                         /* ASCII character follows incomplete sequence */
6783               yield = string_cat(yield, &size, &ptr, &c, 1);
6784           }
6785         continue;
6786         }
6787
6788 #ifdef SUPPORT_I18N
6789       case EOP_UTF8_DOMAIN_TO_ALABEL:
6790         {
6791         uschar * error = NULL;
6792         uschar * s = string_domain_utf8_to_alabel(sub, &error);
6793         if (error)
6794           {
6795           expand_string_message = string_sprintf(
6796             "error converting utf8 (%s) to alabel: %s",
6797             string_printing(sub), error);
6798           goto EXPAND_FAILED;
6799           }
6800         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6801         continue;
6802         }
6803
6804       case EOP_UTF8_DOMAIN_FROM_ALABEL:
6805         {
6806         uschar * error = NULL;
6807         uschar * s = string_domain_alabel_to_utf8(sub, &error);
6808         if (error)
6809           {
6810           expand_string_message = string_sprintf(
6811             "error converting alabel (%s) to utf8: %s",
6812             string_printing(sub), error);
6813           goto EXPAND_FAILED;
6814           }
6815         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6816         continue;
6817         }
6818
6819       case EOP_UTF8_LOCALPART_TO_ALABEL:
6820         {
6821         uschar * error = NULL;
6822         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
6823         if (error)
6824           {
6825           expand_string_message = string_sprintf(
6826             "error converting utf8 (%s) to alabel: %s",
6827             string_printing(sub), error);
6828           goto EXPAND_FAILED;
6829           }
6830         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6831         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
6832         continue;
6833         }
6834
6835       case EOP_UTF8_LOCALPART_FROM_ALABEL:
6836         {
6837         uschar * error = NULL;
6838         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
6839         if (error)
6840           {
6841           expand_string_message = string_sprintf(
6842             "error converting alabel (%s) to utf8: %s",
6843             string_printing(sub), error);
6844           goto EXPAND_FAILED;
6845           }
6846         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6847         continue;
6848         }
6849 #endif  /* EXPERIMENTAL_INTERNATIONAL */
6850
6851       /* escape turns all non-printing characters into escape sequences. */
6852
6853       case EOP_ESCAPE:
6854         {
6855         const uschar *t = string_printing(sub);
6856         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6857         continue;
6858         }
6859
6860       /* Handle numeric expression evaluation */
6861
6862       case EOP_EVAL:
6863       case EOP_EVAL10:
6864         {
6865         uschar *save_sub = sub;
6866         uschar *error = NULL;
6867         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6868         if (error != NULL)
6869           {
6870           expand_string_message = string_sprintf("error in expression "
6871             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6872               save_sub);
6873           goto EXPAND_FAILED;
6874           }
6875         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6876         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6877         continue;
6878         }
6879
6880       /* Handle time period formating */
6881
6882       case EOP_TIME_EVAL:
6883         {
6884         int n = readconf_readtime(sub, 0, FALSE);
6885         if (n < 0)
6886           {
6887           expand_string_message = string_sprintf("string \"%s\" is not an "
6888             "Exim time interval in \"%s\" operator", sub, name);
6889           goto EXPAND_FAILED;
6890           }
6891         sprintf(CS var_buffer, "%d", n);
6892         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6893         continue;
6894         }
6895
6896       case EOP_TIME_INTERVAL:
6897         {
6898         int n;
6899         uschar *t = read_number(&n, sub);
6900         if (*t != 0) /* Not A Number*/
6901           {
6902           expand_string_message = string_sprintf("string \"%s\" is not a "
6903             "positive number in \"%s\" operator", sub, name);
6904           goto EXPAND_FAILED;
6905           }
6906         t = readconf_printtime(n);
6907         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6908         continue;
6909         }
6910
6911       /* Convert string to base64 encoding */
6912
6913       case EOP_STR2B64:
6914       case EOP_BASE64:
6915         {
6916 #ifdef SUPPORT_TLS
6917         uschar * s = vp && *(void **)vp->value
6918           ? tls_cert_der_b64(*(void **)vp->value)
6919           : b64encode(sub, Ustrlen(sub));
6920 #else
6921         uschar * s = b64encode(sub, Ustrlen(sub));
6922 #endif
6923         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6924         continue;
6925         }
6926
6927       case EOP_BASE64D:
6928         {
6929         uschar * s;
6930         int len = b64decode(sub, &s);
6931         if (len < 0)
6932           {
6933           expand_string_message = string_sprintf("string \"%s\" is not "
6934             "well-formed for \"%s\" operator", sub, name);
6935           goto EXPAND_FAILED;
6936           }
6937         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6938         continue;
6939         }
6940
6941       /* strlen returns the length of the string */
6942
6943       case EOP_STRLEN:
6944         {
6945         uschar buff[24];
6946         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6947         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6948         continue;
6949         }
6950
6951       /* length_n or l_n takes just the first n characters or the whole string,
6952       whichever is the shorter;
6953
6954       substr_m_n, and s_m_n take n characters from offset m; negative m take
6955       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6956       takes the rest, either to the right or to the left.
6957
6958       hash_n or h_n makes a hash of length n from the string, yielding n
6959       characters from the set a-z; hash_n_m makes a hash of length n, but
6960       uses m characters from the set a-zA-Z0-9.
6961
6962       nhash_n returns a single number between 0 and n-1 (in text form), while
6963       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6964       between 0 and n-1 and the second between 0 and m-1. */
6965
6966       case EOP_LENGTH:
6967       case EOP_L:
6968       case EOP_SUBSTR:
6969       case EOP_S:
6970       case EOP_HASH:
6971       case EOP_H:
6972       case EOP_NHASH:
6973       case EOP_NH:
6974         {
6975         int sign = 1;
6976         int value1 = 0;
6977         int value2 = -1;
6978         int *pn;
6979         int len;
6980         uschar *ret;
6981
6982         if (arg == NULL)
6983           {
6984           expand_string_message = string_sprintf("missing values after %s",
6985             name);
6986           goto EXPAND_FAILED;
6987           }
6988
6989         /* "length" has only one argument, effectively being synonymous with
6990         substr_0_n. */
6991
6992         if (c == EOP_LENGTH || c == EOP_L)
6993           {
6994           pn = &value2;
6995           value2 = 0;
6996           }
6997
6998         /* The others have one or two arguments; for "substr" the first may be
6999         negative. The second being negative means "not supplied". */
7000
7001         else
7002           {
7003           pn = &value1;
7004           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7005           }
7006
7007         /* Read up to two numbers, separated by underscores */
7008
7009         ret = arg;
7010         while (*arg != 0)
7011           {
7012           if (arg != ret && *arg == '_' && pn == &value1)
7013             {
7014             pn = &value2;
7015             value2 = 0;
7016             if (arg[1] != 0) arg++;
7017             }
7018           else if (!isdigit(*arg))
7019             {
7020             expand_string_message =
7021               string_sprintf("non-digit after underscore in \"%s\"", name);
7022             goto EXPAND_FAILED;
7023             }
7024           else *pn = (*pn)*10 + *arg++ - '0';
7025           }
7026         value1 *= sign;
7027
7028         /* Perform the required operation */
7029
7030         ret =
7031           (c == EOP_HASH || c == EOP_H)?
7032              compute_hash(sub, value1, value2, &len) :
7033           (c == EOP_NHASH || c == EOP_NH)?
7034              compute_nhash(sub, value1, value2, &len) :
7035              extract_substr(sub, value1, value2, &len);
7036
7037         if (ret == NULL) goto EXPAND_FAILED;
7038         yield = string_cat(yield, &size, &ptr, ret, len);
7039         continue;
7040         }
7041
7042       /* Stat a path */
7043
7044       case EOP_STAT:
7045         {
7046         uschar *s;
7047         uschar smode[12];
7048         uschar **modetable[3];
7049         int i;
7050         mode_t mode;
7051         struct stat st;
7052
7053         if ((expand_forbid & RDO_EXISTS) != 0)
7054           {
7055           expand_string_message = US"Use of the stat() expansion is not permitted";
7056           goto EXPAND_FAILED;
7057           }
7058
7059         if (stat(CS sub, &st) < 0)
7060           {
7061           expand_string_message = string_sprintf("stat(%s) failed: %s",
7062             sub, strerror(errno));
7063           goto EXPAND_FAILED;
7064           }
7065         mode = st.st_mode;
7066         switch (mode & S_IFMT)
7067           {
7068           case S_IFIFO: smode[0] = 'p'; break;
7069           case S_IFCHR: smode[0] = 'c'; break;
7070           case S_IFDIR: smode[0] = 'd'; break;
7071           case S_IFBLK: smode[0] = 'b'; break;
7072           case S_IFREG: smode[0] = '-'; break;
7073           default: smode[0] = '?'; break;
7074           }
7075
7076         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7077         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7078         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7079
7080         for (i = 0; i < 3; i++)
7081           {
7082           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7083           mode >>= 3;
7084           }
7085
7086         smode[10] = 0;
7087         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7088           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7089           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7090           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7091           (long)st.st_gid, st.st_size, (long)st.st_atime,
7092           (long)st.st_mtime, (long)st.st_ctime);
7093         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7094         continue;
7095         }
7096
7097       /* vaguely random number less than N */
7098
7099       case EOP_RANDINT:
7100         {
7101         int_eximarith_t max;
7102         uschar *s;
7103
7104         max = expanded_string_integer(sub, TRUE);
7105         if (expand_string_message != NULL)
7106           goto EXPAND_FAILED;
7107         s = string_sprintf("%d", vaguely_random_number((int)max));
7108         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7109         continue;
7110         }
7111
7112       /* Reverse IP, including IPv6 to dotted-nibble */
7113
7114       case EOP_REVERSE_IP:
7115         {
7116         int family, maskptr;
7117         uschar reversed[128];
7118
7119         family = string_is_ip_address(sub, &maskptr);
7120         if (family == 0)
7121           {
7122           expand_string_message = string_sprintf(
7123               "reverse_ip() not given an IP address [%s]", sub);
7124           goto EXPAND_FAILED;
7125           }
7126         invert_address(reversed, sub);
7127         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
7128         continue;
7129         }
7130
7131       /* Unknown operator */
7132
7133       default:
7134       expand_string_message =
7135         string_sprintf("unknown expansion operator \"%s\"", name);
7136       goto EXPAND_FAILED;
7137       }
7138     }
7139
7140   /* Handle a plain name. If this is the first thing in the expansion, release
7141   the pre-allocated buffer. If the result data is known to be in a new buffer,
7142   newsize will be set to the size of that buffer, and we can just point at that
7143   store instead of copying. Many expansion strings contain just one reference,
7144   so this is a useful optimization, especially for humungous headers
7145   ($message_headers). */
7146                                                 /*{*/
7147   if (*s++ == '}')
7148     {
7149     int len;
7150     int newsize = 0;
7151     if (ptr == 0)
7152       {
7153       if (resetok) store_reset(yield);
7154       yield = NULL;
7155       size = 0;
7156       }
7157     value = find_variable(name, FALSE, skipping, &newsize);
7158     if (value == NULL)
7159       {
7160       expand_string_message =
7161         string_sprintf("unknown variable in \"${%s}\"", name);
7162       check_variable_error_message(name);
7163       goto EXPAND_FAILED;
7164       }
7165     len = Ustrlen(value);
7166     if (yield == NULL && newsize != 0)
7167       {
7168       yield = value;
7169       size = newsize;
7170       ptr = len;
7171       }
7172     else yield = string_cat(yield, &size, &ptr, value, len);
7173     continue;
7174     }
7175
7176   /* Else there's something wrong */
7177
7178   expand_string_message =
7179     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7180     "in a variable reference)", name);
7181   goto EXPAND_FAILED;
7182   }
7183
7184 /* If we hit the end of the string when ket_ends is set, there is a missing
7185 terminating brace. */
7186
7187 if (ket_ends && *s == 0)
7188   {
7189   expand_string_message = malformed_header?
7190     US"missing } at end of string - could be header name not terminated by colon"
7191     :
7192     US"missing } at end of string";
7193   goto EXPAND_FAILED;
7194   }
7195
7196 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7197 added to the string. If so, set up an empty string. Add a terminating zero. If
7198 left != NULL, return a pointer to the terminator. */
7199
7200 if (yield == NULL) yield = store_get(1);
7201 yield[ptr] = 0;
7202 if (left != NULL) *left = s;
7203
7204 /* Any stacking store that was used above the final string is no longer needed.
7205 In many cases the final string will be the first one that was got and so there
7206 will be optimal store usage. */
7207
7208 if (resetok) store_reset(yield + ptr + 1);
7209 else if (resetok_p) *resetok_p = FALSE;
7210
7211 DEBUG(D_expand)
7212   {
7213   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
7214     yield);
7215   if (skipping) debug_printf("skipping: result is not used\n");
7216   }
7217 return yield;
7218
7219 /* This is the failure exit: easiest to program with a goto. We still need
7220 to update the pointer to the terminator, for cases of nested calls with "fail".
7221 */
7222
7223 EXPAND_FAILED_CURLY:
7224 expand_string_message = malformed_header?
7225   US"missing or misplaced { or } - could be header name not terminated by colon"
7226   :
7227   US"missing or misplaced { or }";
7228
7229 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7230 that is a bad idea, because expand_string_message is in dynamic store. */
7231
7232 EXPAND_FAILED:
7233 if (left != NULL) *left = s;
7234 DEBUG(D_expand)
7235   {
7236   debug_printf("failed to expand: %s\n", string);
7237   debug_printf("   error message: %s\n", expand_string_message);
7238   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7239   }
7240 if (resetok_p) *resetok_p = resetok;
7241 return NULL;
7242 }
7243
7244
7245 /* This is the external function call. Do a quick check for any expansion
7246 metacharacters, and if there are none, just return the input string.
7247
7248 Argument: the string to be expanded
7249 Returns:  the expanded string, or NULL if expansion failed; if failure was
7250           due to a lookup deferring, search_find_defer will be TRUE
7251 */
7252
7253 uschar *
7254 expand_string(uschar *string)
7255 {
7256 search_find_defer = FALSE;
7257 malformed_header = FALSE;
7258 return (Ustrpbrk(string, "$\\") == NULL)? string :
7259   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7260 }
7261
7262
7263
7264 const uschar *
7265 expand_cstring(const uschar *string)
7266 {
7267 search_find_defer = FALSE;
7268 malformed_header = FALSE;
7269 return (Ustrpbrk(string, "$\\") == NULL)? string :
7270   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7271 }
7272
7273
7274
7275 /*************************************************
7276 *              Expand and copy                   *
7277 *************************************************/
7278
7279 /* Now and again we want to expand a string and be sure that the result is in a
7280 new bit of store. This function does that.
7281 Since we know it has been copied, the de-const cast is safe.
7282
7283 Argument: the string to be expanded
7284 Returns:  the expanded string, always in a new bit of store, or NULL
7285 */
7286
7287 uschar *
7288 expand_string_copy(const uschar *string)
7289 {
7290 const uschar *yield = expand_cstring(string);
7291 if (yield == string) yield = string_copy(string);
7292 return US yield;
7293 }
7294
7295
7296
7297 /*************************************************
7298 *        Expand and interpret as an integer      *
7299 *************************************************/
7300
7301 /* Expand a string, and convert the result into an integer.
7302
7303 Arguments:
7304   string  the string to be expanded
7305   isplus  TRUE if a non-negative number is expected
7306
7307 Returns:  the integer value, or
7308           -1 for an expansion error               ) in both cases, message in
7309           -2 for an integer interpretation error  ) expand_string_message
7310           expand_string_message is set NULL for an OK integer
7311 */
7312
7313 int_eximarith_t
7314 expand_string_integer(uschar *string, BOOL isplus)
7315 {
7316 return expanded_string_integer(expand_string(string), isplus);
7317 }
7318
7319
7320 /*************************************************
7321  *         Interpret string as an integer        *
7322  *************************************************/
7323
7324 /* Convert a string (that has already been expanded) into an integer.
7325
7326 This function is used inside the expansion code.
7327
7328 Arguments:
7329   s       the string to be expanded
7330   isplus  TRUE if a non-negative number is expected
7331
7332 Returns:  the integer value, or
7333           -1 if string is NULL (which implies an expansion error)
7334           -2 for an integer interpretation error
7335           expand_string_message is set NULL for an OK integer
7336 */
7337
7338 static int_eximarith_t
7339 expanded_string_integer(const uschar *s, BOOL isplus)
7340 {
7341 int_eximarith_t value;
7342 uschar *msg = US"invalid integer \"%s\"";
7343 uschar *endptr;
7344
7345 /* If expansion failed, expand_string_message will be set. */
7346
7347 if (s == NULL) return -1;
7348
7349 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7350 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7351 systems, so we set it zero ourselves. */
7352
7353 errno = 0;
7354 expand_string_message = NULL;               /* Indicates no error */
7355
7356 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7357 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7358 the behaviour explicitly.  Stripping leading whitespace is a harmless
7359 noop change since strtol skips it anyway (provided that there is a number
7360 to find at all). */
7361 if (isspace(*s))
7362   {
7363   while (isspace(*s)) ++s;
7364   if (*s == '\0')
7365     {
7366       DEBUG(D_expand)
7367        debug_printf("treating blank string as number 0\n");
7368       return 0;
7369     }
7370   }
7371
7372 value = strtoll(CS s, CSS &endptr, 10);
7373
7374 if (endptr == s)
7375   {
7376   msg = US"integer expected but \"%s\" found";
7377   }
7378 else if (value < 0 && isplus)
7379   {
7380   msg = US"non-negative integer expected but \"%s\" found";
7381   }
7382 else
7383   {
7384   switch (tolower(*endptr))
7385     {
7386     default:
7387       break;
7388     case 'k':
7389       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7390       else value *= 1024;
7391       endptr++;
7392       break;
7393     case 'm':
7394       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7395       else value *= 1024*1024;
7396       endptr++;
7397       break;
7398     case 'g':
7399       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7400       else value *= 1024*1024*1024;
7401       endptr++;
7402       break;
7403     }
7404   if (errno == ERANGE)
7405     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7406   else
7407     {
7408     while (isspace(*endptr)) endptr++;
7409     if (*endptr == 0) return value;
7410     }
7411   }
7412
7413 expand_string_message = string_sprintf(CS msg, s);
7414 return -2;
7415 }
7416
7417
7418 /* These values are usually fixed boolean values, but they are permitted to be
7419 expanded strings.
7420
7421 Arguments:
7422   addr       address being routed
7423   mtype      the module type
7424   mname      the module name
7425   dbg_opt    debug selectors
7426   oname      the option name
7427   bvalue     the router's boolean value
7428   svalue     the router's string value
7429   rvalue     where to put the returned value
7430
7431 Returns:     OK     value placed in rvalue
7432              DEFER  expansion failed
7433 */
7434
7435 int
7436 exp_bool(address_item *addr,
7437   uschar *mtype, uschar *mname, unsigned dbg_opt,
7438   uschar *oname, BOOL bvalue,
7439   uschar *svalue, BOOL *rvalue)
7440 {
7441 uschar *expanded;
7442 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7443
7444 expanded = expand_string(svalue);
7445 if (expanded == NULL)
7446   {
7447   if (expand_string_forcedfail)
7448     {
7449     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7450     *rvalue = bvalue;
7451     return OK;
7452     }
7453   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7454       oname, mname, mtype, expand_string_message);
7455   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7456   return DEFER;
7457   }
7458
7459 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7460   expanded);
7461
7462 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7463   *rvalue = TRUE;
7464 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7465   *rvalue = FALSE;
7466 else
7467   {
7468   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7469     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7470   return DEFER;
7471   }
7472
7473 return OK;
7474 }
7475
7476
7477
7478
7479 /*************************************************
7480 **************************************************
7481 *             Stand-alone test program           *
7482 **************************************************
7483 *************************************************/
7484
7485 #ifdef STAND_ALONE
7486
7487
7488 BOOL
7489 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7490 {
7491 int ovector[3*(EXPAND_MAXN+1)];
7492 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7493   ovector, nelem(ovector));
7494 BOOL yield = n >= 0;
7495 if (n == 0) n = EXPAND_MAXN + 1;
7496 if (yield)
7497   {
7498   int nn;
7499   expand_nmax = (setup < 0)? 0 : setup + 1;
7500   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7501     {
7502     expand_nstring[expand_nmax] = subject + ovector[nn];
7503     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7504     }
7505   expand_nmax--;
7506   }
7507 return yield;
7508 }
7509
7510
7511 int main(int argc, uschar **argv)
7512 {
7513 int i;
7514 uschar buffer[1024];
7515
7516 debug_selector = D_v;
7517 debug_file = stderr;
7518 debug_fd = fileno(debug_file);
7519 big_buffer = malloc(big_buffer_size);
7520
7521 for (i = 1; i < argc; i++)
7522   {
7523   if (argv[i][0] == '+')
7524     {
7525     debug_trace_memory = 2;
7526     argv[i]++;
7527     }
7528   if (isdigit(argv[i][0]))
7529     debug_selector = Ustrtol(argv[i], NULL, 0);
7530   else
7531     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7532         Ustrlen(argv[i]))
7533       {
7534 #ifdef LOOKUP_LDAP
7535       eldap_default_servers = argv[i];
7536 #endif
7537 #ifdef LOOKUP_MYSQL
7538       mysql_servers = argv[i];
7539 #endif
7540 #ifdef LOOKUP_PGSQL
7541       pgsql_servers = argv[i];
7542 #endif
7543 #ifdef LOOKUP_REDIS
7544       redis_servers = argv[i];
7545 #endif
7546       }
7547 #ifdef EXIM_PERL
7548   else opt_perl_startup = argv[i];
7549 #endif
7550   }
7551
7552 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7553
7554 expand_nstring[1] = US"string 1....";
7555 expand_nlength[1] = 8;
7556 expand_nmax = 1;
7557
7558 #ifdef EXIM_PERL
7559 if (opt_perl_startup != NULL)
7560   {
7561   uschar *errstr;
7562   printf("Starting Perl interpreter\n");
7563   errstr = init_perl(opt_perl_startup);
7564   if (errstr != NULL)
7565     {
7566     printf("** error in perl_startup code: %s\n", errstr);
7567     return EXIT_FAILURE;
7568     }
7569   }
7570 #endif /* EXIM_PERL */
7571
7572 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7573   {
7574   void *reset_point = store_get(0);
7575   uschar *yield = expand_string(buffer);
7576   if (yield != NULL)
7577     {
7578     printf("%s\n", yield);
7579     store_reset(reset_point);
7580     }
7581   else
7582     {
7583     if (search_find_defer) printf("search_find deferred\n");
7584     printf("Failed: %s\n", expand_string_message);
7585     if (expand_string_forcedfail) printf("Forced failure\n");
7586     printf("\n");
7587     }
7588   }
7589
7590 search_tidyup();
7591
7592 return 0;
7593 }
7594
7595 #endif
7596
7597 /* vi: aw ai sw=2
7598 */
7599 /* End of expand.c */