79d1c1f3a7460c2ca4cad4565de118a572afca0a
[exim.git] / src / src / expand.c
1 /* $Cambridge: exim/src/src/expand.c,v 1.8 2004/12/16 15:11:47 tom Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2004 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 #ifdef STAND_ALONE
17 #ifndef SUPPORT_CRYPTEQ
18 #define SUPPORT_CRYPTEQ
19 #endif
20 #endif
21
22 #ifdef SUPPORT_CRYPTEQ
23 #ifdef CRYPT_H
24 #include <crypt.h>
25 #endif
26 #ifndef HAVE_CRYPT16
27 extern char* crypt16(char*, char*);
28 #endif
29 #endif
30
31 #ifdef LOOKUP_LDAP
32 #include "lookups/ldap.h"
33 #endif
34
35
36
37 /* Recursively called function */
38
39 static uschar *expand_string_internal(uschar *, BOOL, uschar **, BOOL);
40
41
42
43 /*************************************************
44 *            Local statics and tables            *
45 *************************************************/
46
47 /* Table of item names, and corresponding switch numbers. The names must be in
48 alphabetical order. */
49
50 static uschar *item_table[] = {
51   US"extract",
52   US"hash",
53   US"hmac",
54   US"if",
55   US"length",
56   US"lookup",
57   US"nhash",
58   #ifdef EXIM_PERL
59     US"perl",
60   #endif
61   US"readfile",
62   US"readsocket",
63   US"run",
64   US"sg",
65   US"substr",
66   US"tr" };
67
68 enum {
69   EITEM_EXTRACT,
70   EITEM_HASH,
71   EITEM_HMAC,
72   EITEM_IF,
73   EITEM_LENGTH,
74   EITEM_LOOKUP,
75   EITEM_NHASH,
76   #ifdef EXIM_PERL
77     EITEM_PERL,
78   #endif
79   EITEM_READFILE,
80   EITEM_READSOCK,
81   EITEM_RUN,
82   EITEM_SG,
83   EITEM_SUBSTR,
84   EITEM_TR };
85
86 /* Tables of operator names, and corresponding switch numbers. The names must be
87 in alphabetical order. There are two tables, because underscore is used in some
88 cases to introduce arguments, whereas for other it is part of the name. This is
89 an historical mis-design. */
90
91 static uschar *op_table_underscore[] = {
92   US"from_utf8",
93   US"local_part",
94   US"quote_local_part",
95   US"time_interval"};
96
97 enum {
98   EOP_FROM_UTF8,
99   EOP_LOCAL_PART,
100   EOP_QUOTE_LOCAL_PART,
101   EOP_TIME_INTERVAL };
102
103 static uschar *op_table_main[] = {
104   US"address",
105   US"base62",
106   US"base62d",
107   US"domain",
108   US"escape",
109   US"eval",
110   US"eval10",
111   US"expand",
112   US"h",
113   US"hash",
114   US"hex2b64",
115   US"l",
116   US"lc",
117   US"length",
118   US"mask",
119   US"md5",
120   US"nh",
121   US"nhash",
122   US"quote",
123   US"rfc2047",
124   US"rxquote",
125   US"s",
126   US"sha1",
127   US"stat",
128   US"str2b64",
129   US"strlen",
130   US"substr",
131   US"uc" };
132
133 enum {
134   EOP_ADDRESS =  sizeof(op_table_underscore)/sizeof(uschar *),
135   EOP_BASE62,
136   EOP_BASE62D,
137   EOP_DOMAIN,
138   EOP_ESCAPE,
139   EOP_EVAL,
140   EOP_EVAL10,
141   EOP_EXPAND,
142   EOP_H,
143   EOP_HASH,
144   EOP_HEX2B64,
145   EOP_L,
146   EOP_LC,
147   EOP_LENGTH,
148   EOP_MASK,
149   EOP_MD5,
150   EOP_NH,
151   EOP_NHASH,
152   EOP_QUOTE,
153   EOP_RFC2047,
154   EOP_RXQUOTE,
155   EOP_S,
156   EOP_SHA1,
157   EOP_STAT,
158   EOP_STR2B64,
159   EOP_STRLEN,
160   EOP_SUBSTR,
161   EOP_UC };
162
163
164 /* Table of condition names, and corresponding switch numbers. The names must
165 be in alphabetical order. */
166
167 static uschar *cond_table[] = {
168   US"<",
169   US"<=",
170   US"=",
171   US"==",     /* Backward compatibility */
172   US">",
173   US">=",
174   US"and",
175   US"crypteq",
176   US"def",
177   US"eq",
178   US"eqi",
179   US"exists",
180   US"first_delivery",
181   US"ge",
182   US"gei",
183   US"gt",
184   US"gti",
185   US"isip",
186   US"isip4",
187   US"isip6",
188   US"ldapauth",
189   US"le",
190   US"lei",
191   US"lt",
192   US"lti",
193   US"match",
194   US"match_address",
195   US"match_domain",
196   US"match_local_part",
197   US"or",
198   US"pam",
199   US"pwcheck",
200   US"queue_running",
201   US"radius",
202   US"saslauthd"
203 };
204
205 enum {
206   ECOND_NUM_L,
207   ECOND_NUM_LE,
208   ECOND_NUM_E,
209   ECOND_NUM_EE,
210   ECOND_NUM_G,
211   ECOND_NUM_GE,
212   ECOND_AND,
213   ECOND_CRYPTEQ,
214   ECOND_DEF,
215   ECOND_STR_EQ,
216   ECOND_STR_EQI,
217   ECOND_EXISTS,
218   ECOND_FIRST_DELIVERY,
219   ECOND_STR_GE,
220   ECOND_STR_GEI,
221   ECOND_STR_GT,
222   ECOND_STR_GTI,
223   ECOND_ISIP,
224   ECOND_ISIP4,
225   ECOND_ISIP6,
226   ECOND_LDAPAUTH,
227   ECOND_STR_LE,
228   ECOND_STR_LEI,
229   ECOND_STR_LT,
230   ECOND_STR_LTI,
231   ECOND_MATCH,
232   ECOND_MATCH_ADDRESS,
233   ECOND_MATCH_DOMAIN,
234   ECOND_MATCH_LOCAL_PART,
235   ECOND_OR,
236   ECOND_PAM,
237   ECOND_PWCHECK,
238   ECOND_QUEUE_RUNNING,
239   ECOND_RADIUS,
240   ECOND_SASLAUTHD
241 };
242
243
244 /* Type for main variable table */
245
246 typedef struct {
247   char *name;
248   int   type;
249   void *value;
250 } var_entry;
251
252 /* Type for entries pointing to address/length pairs. Not currently
253 in use. */
254
255 typedef struct {
256   uschar **address;
257   int  *length;
258 } alblock;
259
260 /* Types of table entry */
261
262 enum {
263   vtype_int,            /* value is address of int */
264   vtype_filter_int,     /* ditto, but recognized only when filtering */
265   vtype_ino,            /* value is address of ino_t (not always an int) */
266   vtype_uid,            /* value is address of uid_t (not always an int) */
267   vtype_gid,            /* value is address of gid_t (not always an int) */
268   vtype_stringptr,      /* value is address of pointer to string */
269   vtype_msgbody,        /* as stringptr, but read when first required */
270   vtype_msgbody_end,    /* ditto, the end of the message */
271   vtype_msgheaders,     /* the message's headers */
272   vtype_localpart,      /* extract local part from string */
273   vtype_domain,         /* extract domain from string */
274   vtype_recipients,     /* extract recipients from recipients list */
275                         /* (enabled only during system filtering */
276   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
277   vtype_tode,           /* value not used; generate tod in epoch format */
278   vtype_todf,           /* value not used; generate full tod */
279   vtype_todl,           /* value not used; generate log tod */
280   vtype_todlf,          /* value not used; generate log file datestamp tod */
281   vtype_todzone,        /* value not used; generate time zone only */
282   vtype_todzulu,        /* value not used; generate zulu tod */
283   vtype_reply,          /* value not used; get reply from headers */
284   vtype_pid,            /* value not used; result is pid */
285   vtype_host_lookup,    /* value not used; get host name */
286   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
287   vtype_pspace,         /* partition space; value is T/F for spool/log */
288   vtype_pinodes         /* partition inodes; value is T/F for spool/log */  
289   };
290
291 /* This table must be kept in alphabetical order. */
292
293 static var_entry var_table[] = {
294   { "acl_c0",              vtype_stringptr,   &acl_var[0] },
295   { "acl_c1",              vtype_stringptr,   &acl_var[1] },
296   { "acl_c2",              vtype_stringptr,   &acl_var[2] },
297   { "acl_c3",              vtype_stringptr,   &acl_var[3] },
298   { "acl_c4",              vtype_stringptr,   &acl_var[4] },
299   { "acl_c5",              vtype_stringptr,   &acl_var[5] },
300   { "acl_c6",              vtype_stringptr,   &acl_var[6] },
301   { "acl_c7",              vtype_stringptr,   &acl_var[7] },
302   { "acl_c8",              vtype_stringptr,   &acl_var[8] },
303   { "acl_c9",              vtype_stringptr,   &acl_var[9] },
304   { "acl_m0",              vtype_stringptr,   &acl_var[10] },
305   { "acl_m1",              vtype_stringptr,   &acl_var[11] },
306   { "acl_m2",              vtype_stringptr,   &acl_var[12] },
307   { "acl_m3",              vtype_stringptr,   &acl_var[13] },
308   { "acl_m4",              vtype_stringptr,   &acl_var[14] },
309   { "acl_m5",              vtype_stringptr,   &acl_var[15] },
310   { "acl_m6",              vtype_stringptr,   &acl_var[16] },
311   { "acl_m7",              vtype_stringptr,   &acl_var[17] },
312   { "acl_m8",              vtype_stringptr,   &acl_var[18] },
313   { "acl_m9",              vtype_stringptr,   &acl_var[19] },
314   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
315   { "address_data",        vtype_stringptr,   &deliver_address_data },
316   { "address_file",        vtype_stringptr,   &address_file },
317   { "address_pipe",        vtype_stringptr,   &address_pipe },
318   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
319   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
320   { "authentication_failed",vtype_int,        &authentication_failed },
321 #ifdef EXPERIMENTAL_BRIGHTMAIL
322   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
323   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
324   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
325   { "bmi_deliver",         vtype_int,         &bmi_deliver },
326 #endif
327   { "body_linecount",      vtype_int,         &body_linecount },
328   { "body_zerocount",      vtype_int,         &body_zerocount },
329   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
330   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
331   { "caller_gid",          vtype_gid,         &real_gid },
332   { "caller_uid",          vtype_uid,         &real_uid },
333   { "compile_date",        vtype_stringptr,   &version_date },
334   { "compile_number",      vtype_stringptr,   &version_cnumber },
335 #ifdef WITH_OLD_DEMIME
336   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
337   { "demime_reason",       vtype_stringptr,   &demime_reason },
338 #endif
339   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
340   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
341   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
342   { "domain",              vtype_stringptr,   &deliver_domain },
343   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
344   { "exim_gid",            vtype_gid,         &exim_gid },
345   { "exim_path",           vtype_stringptr,   &exim_path },
346   { "exim_uid",            vtype_uid,         &exim_uid },
347 #ifdef WITH_OLD_DEMIME
348   { "found_extension",     vtype_stringptr,   &found_extension },
349 #endif 
350   { "home",                vtype_stringptr,   &deliver_home },
351   { "host",                vtype_stringptr,   &deliver_host },
352   { "host_address",        vtype_stringptr,   &deliver_host_address },
353   { "host_data",           vtype_stringptr,   &host_data },
354   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
355   { "inode",               vtype_ino,         &deliver_inode },
356   { "interface_address",   vtype_stringptr,   &interface_address },
357   { "interface_port",      vtype_int,         &interface_port },
358   #ifdef LOOKUP_LDAP
359   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
360   #endif
361   { "load_average",        vtype_load_avg,    NULL },
362   { "local_part",          vtype_stringptr,   &deliver_localpart },
363   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
364   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
365   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
366   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
367   { "local_user_gid",      vtype_gid,         &local_user_gid },
368   { "local_user_uid",      vtype_uid,         &local_user_uid },
369   { "localhost_number",    vtype_int,         &host_number },
370   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
371   { "log_space",           vtype_pspace,      (void *)FALSE },  
372   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
373 #ifdef WITH_CONTENT_SCAN
374   { "malware_name",        vtype_stringptr,   &malware_name },
375 #endif
376   { "message_age",         vtype_int,         &message_age },
377   { "message_body",        vtype_msgbody,     &message_body },
378   { "message_body_end",    vtype_msgbody_end, &message_body_end },
379   { "message_body_size",   vtype_int,         &message_body_size },
380   { "message_headers",     vtype_msgheaders,  NULL },
381   { "message_id",          vtype_stringptr,   &message_id },
382   { "message_size",        vtype_int,         &message_size },
383 #ifdef WITH_CONTENT_SCAN
384   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
385   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
386   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
387   { "mime_charset",        vtype_stringptr,   &mime_charset },
388   { "mime_content_description", vtype_stringptr, &mime_content_description },
389   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
390   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
391   { "mime_content_size",   vtype_int,         &mime_content_size },
392   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
393   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
394   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
395   { "mime_filename",       vtype_stringptr,   &mime_filename },
396   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
397   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
398   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
399   { "mime_part_count",     vtype_int,         &mime_part_count },
400 #endif
401   { "n0",                  vtype_filter_int,  &filter_n[0] },
402   { "n1",                  vtype_filter_int,  &filter_n[1] },
403   { "n2",                  vtype_filter_int,  &filter_n[2] },
404   { "n3",                  vtype_filter_int,  &filter_n[3] },
405   { "n4",                  vtype_filter_int,  &filter_n[4] },
406   { "n5",                  vtype_filter_int,  &filter_n[5] },
407   { "n6",                  vtype_filter_int,  &filter_n[6] },
408   { "n7",                  vtype_filter_int,  &filter_n[7] },
409   { "n8",                  vtype_filter_int,  &filter_n[8] },
410   { "n9",                  vtype_filter_int,  &filter_n[9] },
411   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
412   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
413   { "originator_gid",      vtype_gid,         &originator_gid },
414   { "originator_uid",      vtype_uid,         &originator_uid },
415   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
416   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
417   { "pid",                 vtype_pid,         NULL },
418   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
419   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
420   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
421   { "rcpt_count",          vtype_int,         &rcpt_count },
422   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
423   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
424   { "received_count",      vtype_int,         &received_count },
425   { "received_for",        vtype_stringptr,   &received_for },
426   { "received_protocol",   vtype_stringptr,   &received_protocol },
427   { "recipient_data",      vtype_stringptr,   &recipient_data },
428   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure }, 
429   { "recipients",          vtype_recipients,  NULL },
430   { "recipients_count",    vtype_int,         &recipients_count },
431 #ifdef WITH_CONTENT_SCAN
432   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
433 #endif
434   { "reply_address",       vtype_reply,       NULL },
435   { "return_path",         vtype_stringptr,   &return_path },
436   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
437   { "runrc",               vtype_int,         &runrc },
438   { "self_hostname",       vtype_stringptr,   &self_hostname },
439   { "sender_address",      vtype_stringptr,   &sender_address },
440   { "sender_address_data", vtype_stringptr,   &sender_address_data },
441   { "sender_address_domain", vtype_domain,    &sender_address },
442   { "sender_address_local_part", vtype_localpart, &sender_address },
443   { "sender_data",         vtype_stringptr,   &sender_data },
444   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
445   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
446   { "sender_host_address", vtype_stringptr,   &sender_host_address },
447   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
448   { "sender_host_name",    vtype_host_lookup, NULL },
449   { "sender_host_port",    vtype_int,         &sender_host_port },
450   { "sender_ident",        vtype_stringptr,   &sender_ident },
451   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
452   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure }, 
453   { "smtp_command_argument", vtype_stringptr, &smtp_command_argument },
454   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
455   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
456   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
457   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
458   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
459   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
460   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
461   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
462   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
463   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
464 #ifdef WITH_CONTENT_SCAN
465   { "spam_bar",            vtype_stringptr,   &spam_bar },
466   { "spam_report",         vtype_stringptr,   &spam_report },
467   { "spam_score",          vtype_stringptr,   &spam_score },
468   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
469 #endif
470 #ifdef EXPERIMENTAL_SPF
471   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
472   { "spf_received",        vtype_stringptr,   &spf_received },
473   { "spf_result",          vtype_stringptr,   &spf_result },
474   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
475 #endif
476   { "spool_directory",     vtype_stringptr,   &spool_directory },
477   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
478   { "spool_space",         vtype_pspace,      (void *)TRUE },  
479 #ifdef EXPERIMENTAL_SRS
480   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
481   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
482   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
483   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
484   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
485   { "srs_status",          vtype_stringptr,   &srs_status },
486 #endif
487   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
488   { "tls_certificate_verified", vtype_int,    &tls_certificate_verified },
489   { "tls_cipher",          vtype_stringptr,   &tls_cipher },
490   { "tls_peerdn",          vtype_stringptr,   &tls_peerdn },
491   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
492   { "tod_epoch",           vtype_tode,        NULL },
493   { "tod_full",            vtype_todf,        NULL },
494   { "tod_log",             vtype_todl,        NULL },
495   { "tod_logfile",         vtype_todlf,       NULL },
496   { "tod_zone",            vtype_todzone,     NULL },
497   { "tod_zulu",            vtype_todzulu,     NULL },
498   { "value",               vtype_stringptr,   &lookup_value },
499   { "version_number",      vtype_stringptr,   &version_string },
500   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
501   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
502   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
503   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
504   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
505   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
506 };
507
508 static int var_table_size = sizeof(var_table)/sizeof(var_entry);
509 static uschar var_buffer[256];
510 static BOOL malformed_header;
511
512 /* For textual hashes */
513
514 static char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
515                          "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
516                          "0123456789";
517
518 enum { HMAC_MD5, HMAC_SHA1 };
519
520 /* For numeric hashes */
521
522 static unsigned int prime[] = {
523   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
524  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
525  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
526
527 /* For printing modes in symbolic form */
528
529 static uschar *mtable_normal[] =
530   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
531
532 static uschar *mtable_setid[] =
533   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
534
535 static uschar *mtable_sticky[] =
536   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
537
538
539
540 /*************************************************
541 *           Tables for UTF-8 support             *
542 *************************************************/
543
544 /* Table of the number of extra characters, indexed by the first character
545 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
546 0x3d. */
547
548 static uschar utf8_table1[] = {
549   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
550   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
551   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
552   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
553
554 /* These are the masks for the data bits in the first byte of a character,
555 indexed by the number of additional bytes. */
556
557 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
558
559 /* Get the next UTF-8 character, advancing the pointer. */
560
561 #define GETUTF8INC(c, ptr) \
562   c = *ptr++; \
563   if ((c & 0xc0) == 0xc0) \
564     { \
565     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
566     int s = 6*a; \
567     c = (c & utf8_table2[a]) << s; \
568     while (a-- > 0) \
569       { \
570       s -= 6; \
571       c |= (*ptr++ & 0x3f) << s; \
572       } \
573     }
574
575
576 /*************************************************
577 *           Binary chop search on a table        *
578 *************************************************/
579
580 /* This is used for matching expansion items and operators.
581
582 Arguments:
583   name        the name that is being sought
584   table       the table to search
585   table_size  the number of items in the table
586
587 Returns:      the offset in the table, or -1
588 */
589
590 static int
591 chop_match(uschar *name, uschar **table, int table_size)
592 {
593 uschar **bot = table;
594 uschar **top = table + table_size;
595
596 while (top > bot)
597   {
598   uschar **mid = bot + (top - bot)/2;
599   int c = Ustrcmp(name, *mid);
600   if (c == 0) return mid - table;
601   if (c > 0) bot = mid + 1; else top = mid;
602   }
603
604 return -1;
605 }
606
607
608
609 /*************************************************
610 *          Check a condition string              *
611 *************************************************/
612
613 /* This function is called to expand a string, and test the result for a "true"
614 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
615 forced fail or lookup defer. All store used by the function can be released on
616 exit.
617
618 Arguments:
619   condition     the condition string
620   m1            text to be incorporated in panic error
621   m2            ditto
622
623 Returns:        TRUE if condition is met, FALSE if not
624 */
625
626 BOOL
627 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
628 {
629 int rc;
630 void *reset_point = store_get(0);
631 uschar *ss = expand_string(condition);
632 if (ss == NULL)
633   {
634   if (!expand_string_forcedfail && !search_find_defer)
635     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
636       "for %s %s: %s", condition, m1, m2, expand_string_message);
637   return FALSE;
638   }
639 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
640   strcmpic(ss, US"false") != 0;
641 store_reset(reset_point);
642 return rc;
643 }
644
645
646
647 /*************************************************
648 *             Pick out a name from a string      *
649 *************************************************/
650
651 /* If the name is too long, it is silently truncated.
652
653 Arguments:
654   name      points to a buffer into which to put the name
655   max       is the length of the buffer
656   s         points to the first alphabetic character of the name
657   extras    chars other than alphanumerics to permit
658
659 Returns:    pointer to the first character after the name
660
661 Note: The test for *s != 0 in the while loop is necessary because
662 Ustrchr() yields non-NULL if the character is zero (which is not something
663 I expected). */
664
665 static uschar *
666 read_name(uschar *name, int max, uschar *s, uschar *extras)
667 {
668 int ptr = 0;
669 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
670   {
671   if (ptr < max-1) name[ptr++] = *s;
672   s++;
673   }
674 name[ptr] = 0;
675 return s;
676 }
677
678
679
680 /*************************************************
681 *     Pick out the rest of a header name         *
682 *************************************************/
683
684 /* A variable name starting $header_ (or just $h_ for those who like
685 abbreviations) might not be the complete header name because headers can
686 contain any printing characters in their names, except ':'. This function is
687 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
688 on the end, if the name was terminated by white space.
689
690 Arguments:
691   name      points to a buffer in which the name read so far exists
692   max       is the length of the buffer
693   s         points to the first character after the name so far, i.e. the
694             first non-alphameric character after $header_xxxxx
695
696 Returns:    a pointer to the first character after the header name
697 */
698
699 static uschar *
700 read_header_name(uschar *name, int max, uschar *s)
701 {
702 int prelen = Ustrchr(name, '_') - name + 1;
703 int ptr = Ustrlen(name) - prelen;
704 if (ptr > 0) memmove(name, name+prelen, ptr);
705 while (mac_isgraph(*s) && *s != ':')
706   {
707   if (ptr < max-1) name[ptr++] = *s;
708   s++;
709   }
710 if (*s == ':') s++;
711 name[ptr++] = ':';
712 name[ptr] = 0;
713 return s;
714 }
715
716
717
718 /*************************************************
719 *           Pick out a number from a string      *
720 *************************************************/
721
722 /* Arguments:
723   n     points to an integer into which to put the number
724   s     points to the first digit of the number
725
726 Returns:  a pointer to the character after the last digit
727 */
728
729 static uschar *
730 read_number(int *n, uschar *s)
731 {
732 *n = 0;
733 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
734 return s;
735 }
736
737
738
739 /*************************************************
740 *        Extract keyed subfield from a string    *
741 *************************************************/
742
743 /* The yield is in dynamic store; NULL means that the key was not found.
744
745 Arguments:
746   key       points to the name of the key
747   s         points to the string from which to extract the subfield
748
749 Returns:    NULL if the subfield was not found, or
750             a pointer to the subfield's data
751 */
752
753 static uschar *
754 expand_getkeyed(uschar *key, uschar *s)
755 {
756 int length = Ustrlen(key);
757 while (isspace(*s)) s++;
758
759 /* Loop to search for the key */
760
761 while (*s != 0)
762   {
763   int dkeylength;
764   uschar *data;
765   uschar *dkey = s;
766
767   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
768   dkeylength = s - dkey;
769   while (isspace(*s)) s++;
770   if (*s == '=') while (isspace((*(++s))));
771
772   data = string_dequote(&s);
773   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
774     return data;
775
776   while (isspace(*s)) s++;
777   }
778
779 return NULL;
780 }
781
782
783
784
785 /*************************************************
786 *   Extract numbered subfield from string        *
787 *************************************************/
788
789 /* Extracts a numbered field from a string that is divided by tokens - for
790 example a line from /etc/passwd is divided by colon characters.  First field is
791 numbered one.  Negative arguments count from the right. Zero returns the whole
792 string. Returns NULL if there are insufficient tokens in the string
793
794 ***WARNING***
795 Modifies final argument - this is a dynamically generated string, so that's OK.
796
797 Arguments:
798   field       number of field to be extracted,
799                 first field = 1, whole string = 0, last field = -1
800   separators  characters that are used to break string into tokens
801   s           points to the string from which to extract the subfield
802
803 Returns:      NULL if the field was not found,
804               a pointer to the field's data inside s (modified to add 0)
805 */
806
807 static uschar *
808 expand_gettokened (int field, uschar *separators, uschar *s)
809 {
810 int sep = 1;
811 int count;
812 uschar *ss = s;
813 uschar *fieldtext = NULL;
814
815 if (field == 0) return s;
816
817 /* Break the line up into fields in place; for field > 0 we stop when we have
818 done the number of fields we want. For field < 0 we continue till the end of
819 the string, counting the number of fields. */
820
821 count = (field > 0)? field : INT_MAX;
822
823 while (count-- > 0)
824   {
825   size_t len;
826
827   /* Previous field was the last one in the string. For a positive field
828   number, this means there are not enough fields. For a negative field number,
829   check that there are enough, and scan back to find the one that is wanted. */
830
831   if (sep == 0)
832     {
833     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
834     if ((-field) == (INT_MAX - count - 1)) return s;
835     while (field++ < 0)
836       {
837       ss--;
838       while (ss[-1] != 0) ss--;
839       }
840     fieldtext = ss;
841     break;
842     }
843
844   /* Previous field was not last in the string; save its start and put a
845   zero at its end. */
846
847   fieldtext = ss;
848   len = Ustrcspn(ss, separators);
849   sep = ss[len];
850   ss[len] = 0;
851   ss += len + 1;
852   }
853
854 return fieldtext;
855 }
856
857
858
859 /*************************************************
860 *        Extract a substring from a string       *
861 *************************************************/
862
863 /* Perform the ${substr or ${length expansion operations.
864
865 Arguments:
866   subject     the input string
867   value1      the offset from the start of the input string to the start of
868                 the output string; if negative, count from the right.
869   value2      the length of the output string, or negative (-1) for unset
870                 if value1 is positive, unset means "all after"
871                 if value1 is negative, unset means "all before"
872   len         set to the length of the returned string
873
874 Returns:      pointer to the output string, or NULL if there is an error
875 */
876
877 static uschar *
878 extract_substr(uschar *subject, int value1, int value2, int *len)
879 {
880 int sublen = Ustrlen(subject);
881
882 if (value1 < 0)    /* count from right */
883   {
884   value1 += sublen;
885
886   /* If the position is before the start, skip to the start, and adjust the
887   length. If the length ends up negative, the substring is null because nothing
888   can precede. This falls out naturally when the length is unset, meaning "all
889   to the left". */
890
891   if (value1 < 0)
892     {
893     value2 += value1;
894     if (value2 < 0) value2 = 0;
895     value1 = 0;
896     }
897
898   /* Otherwise an unset length => characters before value1 */
899
900   else if (value2 < 0)
901     {
902     value2 = value1;
903     value1 = 0;
904     }
905   }
906
907 /* For a non-negative offset, if the starting position is past the end of the
908 string, the result will be the null string. Otherwise, an unset length means
909 "rest"; just set it to the maximum - it will be cut down below if necessary. */
910
911 else
912   {
913   if (value1 > sublen)
914     {
915     value1 = sublen;
916     value2 = 0;
917     }
918   else if (value2 < 0) value2 = sublen;
919   }
920
921 /* Cut the length down to the maximum possible for the offset value, and get
922 the required characters. */
923
924 if (value1 + value2 > sublen) value2 = sublen - value1;
925 *len = value2;
926 return subject + value1;
927 }
928
929
930
931
932 /*************************************************
933 *            Old-style hash of a string          *
934 *************************************************/
935
936 /* Perform the ${hash expansion operation.
937
938 Arguments:
939   subject     the input string (an expanded substring)
940   value1      the length of the output string; if greater or equal to the
941                 length of the input string, the input string is returned
942   value2      the number of hash characters to use, or 26 if negative
943   len         set to the length of the returned string
944
945 Returns:      pointer to the output string, or NULL if there is an error
946 */
947
948 static uschar *
949 compute_hash(uschar *subject, int value1, int value2, int *len)
950 {
951 int sublen = Ustrlen(subject);
952
953 if (value2 < 0) value2 = 26;
954 else if (value2 > Ustrlen(hashcodes))
955   {
956   expand_string_message =
957     string_sprintf("hash count \"%d\" too big", value2);
958   return NULL;
959   }
960
961 /* Calculate the hash text. We know it is shorter than the original string, so
962 can safely place it in subject[] (we know that subject is always itself an
963 expanded substring). */
964
965 if (value1 < sublen)
966   {
967   int c;
968   int i = 0;
969   int j = value1;
970   while ((c = (subject[j])) != 0)
971     {
972     int shift = (c + j++) & 7;
973     subject[i] ^= (c << shift) | (c >> (8-shift));
974     if (++i >= value1) i = 0;
975     }
976   for (i = 0; i < value1; i++)
977     subject[i] = hashcodes[(subject[i]) % value2];
978   }
979 else value1 = sublen;
980
981 *len = value1;
982 return subject;
983 }
984
985
986
987
988 /*************************************************
989 *             Numeric hash of a string           *
990 *************************************************/
991
992 /* Perform the ${nhash expansion operation. The first characters of the
993 string are treated as most important, and get the highest prime numbers.
994
995 Arguments:
996   subject     the input string
997   value1      the maximum value of the first part of the result
998   value2      the maximum value of the second part of the result,
999                 or negative to produce only a one-part result
1000   len         set to the length of the returned string
1001
1002 Returns:  pointer to the output string, or NULL if there is an error.
1003 */
1004
1005 static uschar *
1006 compute_nhash (uschar *subject, int value1, int value2, int *len)
1007 {
1008 uschar *s = subject;
1009 int i = 0;
1010 unsigned long int total = 0; /* no overflow */
1011
1012 while (*s != 0)
1013   {
1014   if (i == 0) i = sizeof(prime)/sizeof(int) - 1;
1015   total += prime[i--] * (unsigned int)(*s++);
1016   }
1017
1018 /* If value2 is unset, just compute one number */
1019
1020 if (value2 < 0)
1021   {
1022   s = string_sprintf("%d", total % value1);
1023   }
1024
1025 /* Otherwise do a div/mod hash */
1026
1027 else
1028   {
1029   total = total % (value1 * value2);
1030   s = string_sprintf("%d/%d", total/value2, total % value2);
1031   }
1032
1033 *len = Ustrlen(s);
1034 return s;
1035 }
1036
1037
1038
1039
1040
1041 /*************************************************
1042 *     Find the value of a header or headers      *
1043 *************************************************/
1044
1045 /* Multiple instances of the same header get concatenated, and this function
1046 can also return a concatenation of all the header lines. When concatenating
1047 specific headers that contain lists of addresses, a comma is inserted between
1048 them. Otherwise we use a straight concatenation. Because some messages can have
1049 pathologically large number of lines, there is a limit on the length that is
1050 returned. Also, to avoid massive store use which would result from using
1051 string_cat() as it copies and extends strings, we do a preliminary pass to find
1052 out exactly how much store will be needed. On "normal" messages this will be
1053 pretty trivial.
1054
1055 Arguments:
1056   name          the name of the header, without the leading $header_ or $h_,
1057                 or NULL if a concatenation of all headers is required
1058   exists_only   TRUE if called from a def: test; don't need to build a string;
1059                 just return a string that is not "" and not "0" if the header
1060                 exists
1061   newsize       return the size of memory block that was obtained; may be NULL
1062                 if exists_only is TRUE
1063   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1064                 other than concatenating, will be done on the header
1065   charset       name of charset to translate MIME words to; used only if
1066                 want_raw is false; if NULL, no translation is done (this is
1067                 used for $bh_ and $bheader_)
1068
1069 Returns:        NULL if the header does not exist, else a pointer to a new
1070                 store block
1071 */
1072
1073 static uschar *
1074 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1075   uschar *charset)
1076 {
1077 BOOL found = name == NULL;
1078 int comma = 0;
1079 int len = found? 0 : Ustrlen(name);
1080 int i;
1081 uschar *yield = NULL;
1082 uschar *ptr = NULL;
1083
1084 /* Loop for two passes - saves code repetition */
1085
1086 for (i = 0; i < 2; i++)
1087   {
1088   int size = 0;
1089   header_line *h;
1090
1091   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1092     {
1093     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1094       {
1095       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1096         {
1097         int ilen;
1098         uschar *t;
1099
1100         if (exists_only) return US"1";      /* don't need actual string */
1101         found = TRUE;
1102         t = h->text + len;                  /* text to insert */
1103         if (!want_raw)                      /* unless wanted raw, */
1104           while (isspace(*t)) t++;          /* remove leading white space */
1105         ilen = h->slen - (t - h->text);     /* length to insert */
1106
1107         /* Set comma = 1 if handling a single header and it's one of those
1108         that contains an address list, except when asked for raw headers. Only
1109         need to do this once. */
1110
1111         if (!want_raw && name != NULL && comma == 0 &&
1112             Ustrchr("BCFRST", h->type) != NULL)
1113           comma = 1;
1114
1115         /* First pass - compute total store needed; second pass - compute
1116         total store used, including this header. */
1117
1118         size += ilen + comma;
1119
1120         /* Second pass - concatentate the data, up to a maximum. Note that
1121         the loop stops when size hits the limit. */
1122
1123         if (i != 0)
1124           {
1125           if (size > header_insert_maxlen)
1126             {
1127             ilen -= size - header_insert_maxlen;
1128             comma = 0;
1129             }
1130           Ustrncpy(ptr, t, ilen);
1131           ptr += ilen;
1132           if (comma != 0 && ilen > 0)
1133             {
1134             ptr[-1] = ',';
1135             *ptr++ = '\n';
1136             }
1137           }
1138         }
1139       }
1140     }
1141
1142   /* At end of first pass, truncate size if necessary, and get the buffer
1143   to hold the data, returning the buffer size. */
1144
1145   if (i == 0)
1146     {
1147     if (!found) return NULL;
1148     if (size > header_insert_maxlen) size = header_insert_maxlen;
1149     *newsize = size + 1;
1150     ptr = yield = store_get(*newsize);
1151     }
1152   }
1153
1154 /* Remove a redundant added comma if present */
1155
1156 if (comma != 0 && ptr > yield) ptr -= 2;
1157
1158 /* That's all we do for raw header expansion. */
1159
1160 if (want_raw)
1161   {
1162   *ptr = 0;
1163   }
1164
1165 /* Otherwise, we remove trailing whitespace, including newlines. Then we do RFC
1166 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1167 function can return an error with decoded data if the charset translation
1168 fails. If decoding fails, it returns NULL. */
1169
1170 else
1171   {
1172   uschar *decoded, *error;
1173   while (ptr > yield && isspace(ptr[-1])) ptr--;
1174   *ptr = 0;
1175   decoded = rfc2047_decode2(yield, TRUE, charset, '?', NULL, newsize, &error);
1176   if (error != NULL)
1177     {
1178     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1179       "    input was: %s\n", error, yield);
1180     }
1181   if (decoded != NULL) yield = decoded;
1182   }
1183
1184 return yield;
1185 }
1186
1187
1188
1189
1190 /*************************************************
1191 *               Find value of a variable         *
1192 *************************************************/
1193
1194 /* The table of variables is kept in alphabetic order, so we can search it
1195 using a binary chop. The "choplen" variable is nothing to do with the binary
1196 chop.
1197
1198 Arguments:
1199   name          the name of the variable being sought
1200   exists_only   TRUE if this is a def: test; passed on to find_header()
1201   skipping      TRUE => skip any processing evaluation; this is not the same as
1202                   exists_only because def: may test for values that are first
1203                   evaluated here
1204   newsize       pointer to an int which is initially zero; if the answer is in
1205                 a new memory buffer, *newsize is set to its size
1206
1207 Returns:        NULL if the variable does not exist, or
1208                 a pointer to the variable's contents, or
1209                 something non-NULL if exists_only is TRUE
1210 */
1211
1212 static uschar *
1213 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1214 {
1215 int first = 0;
1216 int last = var_table_size;
1217
1218 while (last > first)
1219   {
1220   uschar *s, *domain;
1221   uschar **ss;
1222   int middle = (first + last)/2;
1223   int c = Ustrcmp(name, var_table[middle].name);
1224
1225   if (c > 0) { first = middle + 1; continue; }
1226   if (c < 0) { last = middle; continue; }
1227
1228   /* Found an existing variable. If in skipping state, the value isn't needed,
1229   and we want to avoid processing (such as looking up up the host name). */
1230
1231   if (skipping) return US"";
1232
1233   switch (var_table[middle].type)
1234     {
1235     case vtype_filter_int:
1236     if (!filter_running) return NULL;
1237     /* Fall through */
1238
1239     case vtype_int:
1240     sprintf(CS var_buffer, "%d", *(int *)(var_table[middle].value)); /* Integer */
1241     return var_buffer;
1242
1243     case vtype_ino:
1244     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(var_table[middle].value))); /* Inode */
1245     return var_buffer;
1246
1247     case vtype_gid:
1248     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(var_table[middle].value))); /* gid */
1249     return var_buffer;
1250
1251     case vtype_uid:
1252     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(var_table[middle].value))); /* uid */
1253     return var_buffer;
1254
1255     case vtype_stringptr:                      /* Pointer to string */
1256     s = *((uschar **)(var_table[middle].value));
1257     return (s == NULL)? US"" : s;
1258
1259     case vtype_pid:
1260     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1261     return var_buffer;
1262
1263     case vtype_load_avg:
1264     sprintf(CS var_buffer, "%d", os_getloadavg()); /* load_average */
1265     return var_buffer;
1266
1267     case vtype_host_lookup:                    /* Lookup if not done so */
1268     if (sender_host_name == NULL && sender_host_address != NULL &&
1269         !host_lookup_failed && host_name_lookup() == OK)
1270       host_build_sender_fullhost();
1271     return (sender_host_name == NULL)? US"" : sender_host_name;
1272
1273     case vtype_localpart:                      /* Get local part from address */
1274     s = *((uschar **)(var_table[middle].value));
1275     if (s == NULL) return US"";
1276     domain = Ustrrchr(s, '@');
1277     if (domain == NULL) return s;
1278     if (domain - s > sizeof(var_buffer) - 1)
1279       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than %d in "
1280         "string expansion", sizeof(var_buffer));
1281     Ustrncpy(var_buffer, s, domain - s);
1282     var_buffer[domain - s] = 0;
1283     return var_buffer;
1284
1285     case vtype_domain:                         /* Get domain from address */
1286     s = *((uschar **)(var_table[middle].value));
1287     if (s == NULL) return US"";
1288     domain = Ustrrchr(s, '@');
1289     return (domain == NULL)? US"" : domain + 1;
1290
1291     case vtype_msgheaders:
1292     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1293
1294     case vtype_msgbody:                        /* Pointer to msgbody string */
1295     case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1296     ss = (uschar **)(var_table[middle].value);
1297     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1298       {
1299       uschar *body;
1300       int start_offset = SPOOL_DATA_START_OFFSET;
1301       int len = message_body_visible;
1302       if (len > message_size) len = message_size;
1303       *ss = body = store_malloc(len+1);
1304       body[0] = 0;
1305       if (var_table[middle].type == vtype_msgbody_end)
1306         {
1307         struct stat statbuf;
1308         if (fstat(deliver_datafile, &statbuf) == 0)
1309           {
1310           start_offset = statbuf.st_size - len;
1311           if (start_offset < SPOOL_DATA_START_OFFSET)
1312             start_offset = SPOOL_DATA_START_OFFSET;
1313           }
1314         }
1315       lseek(deliver_datafile, start_offset, SEEK_SET);
1316       len = read(deliver_datafile, body, len);
1317       if (len > 0)
1318         {
1319         body[len] = 0;
1320         while (len > 0)
1321           {
1322           if (body[--len] == '\n' || body[len] == 0) body[len] = ' ';
1323           }
1324         }
1325       }
1326     return (*ss == NULL)? US"" : *ss;
1327
1328     case vtype_todbsdin:                       /* BSD inbox time of day */
1329     return tod_stamp(tod_bsdin);
1330
1331     case vtype_tode:                           /* Unix epoch time of day */
1332     return tod_stamp(tod_epoch);
1333
1334     case vtype_todf:                           /* Full time of day */
1335     return tod_stamp(tod_full);
1336
1337     case vtype_todl:                           /* Log format time of day */
1338     return tod_stamp(tod_log_bare);            /* (without timezone) */
1339
1340     case vtype_todzone:                        /* Time zone offset only */
1341     return tod_stamp(tod_zone);
1342
1343     case vtype_todzulu:                        /* Zulu time */
1344     return tod_stamp(tod_zulu);
1345
1346     case vtype_todlf:                          /* Log file datestamp tod */
1347     return tod_stamp(tod_log_datestamp);
1348
1349     case vtype_reply:                          /* Get reply address */
1350     s = find_header(US"reply-to:", exists_only, newsize, FALSE,
1351       headers_charset);
1352     if (s == NULL || *s == 0)
1353       s = find_header(US"from:", exists_only, newsize, FALSE, headers_charset);
1354     return (s == NULL)? US"" : s;
1355
1356     /* A recipients list is available only during system message filtering,
1357     during ACL processing after DATA, and while expanding pipe commands
1358     generated from a system filter, but not elsewhere. */
1359
1360     case vtype_recipients:
1361     if (!enable_dollar_recipients) return NULL; else
1362       {
1363       int size = 128;
1364       int ptr = 0;
1365       int i;
1366       s = store_get(size);
1367       for (i = 0; i < recipients_count; i++)
1368         {
1369         if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1370         s = string_cat(s, &size, &ptr, recipients_list[i].address,
1371           Ustrlen(recipients_list[i].address));
1372         }
1373       s[ptr] = 0;     /* string_cat() leaves room */
1374       }
1375     return s;
1376     
1377     case vtype_pspace:
1378       {
1379       int inodes;
1380       sprintf(CS var_buffer, "%d", 
1381         receive_statvfs((BOOL)(var_table[middle].value), &inodes));  
1382       }
1383     return var_buffer;
1384     
1385     case vtype_pinodes:
1386       {
1387       int inodes;
1388       (void) receive_statvfs((BOOL)(var_table[middle].value), &inodes);  
1389       sprintf(CS var_buffer, "%d", inodes);
1390       }
1391     return var_buffer;
1392     }
1393   }
1394
1395 return NULL;          /* Unknown variable name */
1396 }
1397
1398
1399
1400
1401 /*************************************************
1402 *           Read and expand substrings           *
1403 *************************************************/
1404
1405 /* This function is called to read and expand argument substrings for various
1406 expansion items. Some have a minimum requirement that is less than the maximum;
1407 in these cases, the first non-present one is set to NULL.
1408
1409 Arguments:
1410   sub        points to vector of pointers to set
1411   n          maximum number of substrings
1412   m          minimum required
1413   sptr       points to current string pointer
1414   skipping   the skipping flag
1415   check_end  if TRUE, check for final '}'
1416   name       name of item, for error message
1417
1418 Returns:     0 OK; string pointer updated
1419              1 curly bracketing error (too few arguments)
1420              2 too many arguments (only if check_end is set); message set
1421              3 other error (expansion failure)
1422 */
1423
1424 static int
1425 read_subs(uschar **sub, int n, int m, uschar **sptr, BOOL skipping,
1426   BOOL check_end, uschar *name)
1427 {
1428 int i;
1429 uschar *s = *sptr;
1430
1431 while (isspace(*s)) s++;
1432 for (i = 0; i < n; i++)
1433   {
1434   if (*s != '{')
1435     {
1436     if (i < m) return 1;
1437     sub[i] = NULL;
1438     break;
1439     }
1440   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
1441   if (sub[i] == NULL) return 3;
1442   if (*s++ != '}') return 1;
1443   while (isspace(*s)) s++;
1444   }
1445 if (check_end && *s++ != '}')
1446   {
1447   if (s[-1] == '{')
1448     {
1449     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
1450       "(max is %d)", name, n);
1451     return 2;
1452     }
1453   return 1;
1454   }
1455
1456 *sptr = s;
1457 return 0;
1458 }
1459
1460
1461
1462
1463 /*************************************************
1464 *        Read and evaluate a condition           *
1465 *************************************************/
1466
1467 /*
1468 Arguments:
1469   s        points to the start of the condition text
1470   yield    points to a BOOL to hold the result of the condition test;
1471            if NULL, we are just reading through a condition that is
1472            part of an "or" combination to check syntax, or in a state
1473            where the answer isn't required
1474
1475 Returns:   a pointer to the first character after the condition, or
1476            NULL after an error
1477 */
1478
1479 static uschar *
1480 eval_condition(uschar *s, BOOL *yield)
1481 {
1482 BOOL testfor = TRUE;
1483 BOOL tempcond, combined_cond;
1484 BOOL *subcondptr;
1485 int i, rc, cond_type, roffset;
1486 int num[2];
1487 struct stat statbuf;
1488 uschar name[256];
1489 uschar *sub[4];
1490
1491 const pcre *re;
1492 const uschar *rerror;
1493
1494 for (;;)
1495   {
1496   while (isspace(*s)) s++;
1497   if (*s == '!') { testfor = !testfor; s++; } else break;
1498   }
1499
1500 /* Numeric comparisons are symbolic */
1501
1502 if (*s == '=' || *s == '>' || *s == '<')
1503   {
1504   int p = 0;
1505   name[p++] = *s++;
1506   if (*s == '=')
1507     {
1508     name[p++] = '=';
1509     s++;
1510     }
1511   name[p] = 0;
1512   }
1513
1514 /* All other conditions are named */
1515
1516 else s = read_name(name, 256, s, US"_");
1517
1518 /* If we haven't read a name, it means some non-alpha character is first. */
1519
1520 if (name[0] == 0)
1521   {
1522   expand_string_message = string_sprintf("condition name expected, "
1523     "but found \"%.16s\"", s);
1524   return NULL;
1525   }
1526
1527 /* Find which condition we are dealing with, and switch on it */
1528
1529 cond_type = chop_match(name, cond_table, sizeof(cond_table)/sizeof(uschar *));
1530 switch(cond_type)
1531   {
1532   /* def: tests for a non-zero or non-NULL variable, or for an existing
1533   header */
1534
1535   case ECOND_DEF:
1536   if (*s != ':')
1537     {
1538     expand_string_message = US"\":\" expected after \"def\"";
1539     return NULL;
1540     }
1541
1542   s = read_name(name, 256, s+1, US"_");
1543
1544   /* Test for a header's existence */
1545
1546   if (Ustrncmp(name, "h_", 2) == 0 ||
1547       Ustrncmp(name, "rh_", 3) == 0 ||
1548       Ustrncmp(name, "bh_", 3) == 0 ||
1549       Ustrncmp(name, "header_", 7) == 0 ||
1550       Ustrncmp(name, "rheader_", 8) == 0 ||
1551       Ustrncmp(name, "bheader_", 8) == 0)
1552     {
1553     s = read_header_name(name, 256, s);
1554     if (yield != NULL) *yield =
1555       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
1556     }
1557
1558   /* Test for a variable's having a non-empty value. If yield == NULL we
1559   are in a skipping state, and don't care about the answer. */
1560
1561   else
1562     {
1563     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
1564     if (value == NULL)
1565       {
1566       expand_string_message = (name[0] == 0)?
1567         string_sprintf("variable name omitted after \"def:\"") :
1568         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
1569       return NULL;
1570       }
1571     if (yield != NULL)
1572       *yield = (value[0] != 0 && Ustrcmp(value, "0") != 0) == testfor;
1573     }
1574
1575   return s;
1576
1577
1578   /* first_delivery tests for first delivery attempt */
1579
1580   case ECOND_FIRST_DELIVERY:
1581   if (yield != NULL) *yield = deliver_firsttime == testfor;
1582   return s;
1583
1584
1585   /* queue_running tests for any process started by a queue runner */
1586
1587   case ECOND_QUEUE_RUNNING:
1588   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
1589   return s;
1590
1591
1592   /* exists:  tests for file existence
1593        isip:  tests for any IP address
1594       isip4:  tests for an IPv4 address
1595       isip6:  tests for an IPv6 address
1596         pam:  does PAM authentication
1597      radius:  does RADIUS authentication
1598    ldapauth:  does LDAP authentication
1599     pwcheck:  does Cyrus SASL pwcheck authentication
1600   */
1601
1602   case ECOND_EXISTS:
1603   case ECOND_ISIP:
1604   case ECOND_ISIP4:
1605   case ECOND_ISIP6:
1606   case ECOND_PAM:
1607   case ECOND_RADIUS:
1608   case ECOND_LDAPAUTH:
1609   case ECOND_PWCHECK:
1610
1611   while (isspace(*s)) s++;
1612   if (*s != '{') goto COND_FAILED_CURLY_START;
1613
1614   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1615   if (sub[0] == NULL) return NULL;
1616   if (*s++ != '}') goto COND_FAILED_CURLY_END;
1617
1618   if (yield == NULL) return s;   /* No need to run the test if skipping */
1619
1620   switch(cond_type)
1621     {
1622     case ECOND_EXISTS:
1623     if ((expand_forbid & RDO_EXISTS) != 0)
1624       {
1625       expand_string_message = US"File existence tests are not permitted";
1626       return NULL;
1627       }
1628     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
1629     break;
1630
1631     case ECOND_ISIP:
1632     case ECOND_ISIP4:
1633     case ECOND_ISIP6:
1634     rc = string_is_ip_address(sub[0], NULL);
1635     *yield = ((cond_type == ECOND_ISIP)? (rc > 0) :
1636              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
1637     break;
1638
1639     /* Various authentication tests - all optionally compiled */
1640
1641     case ECOND_PAM:
1642     #ifdef SUPPORT_PAM
1643     rc = auth_call_pam(sub[0], &expand_string_message);
1644     goto END_AUTH;
1645     #else
1646     goto COND_FAILED_NOT_COMPILED;
1647     #endif  /* SUPPORT_PAM */
1648
1649     case ECOND_RADIUS:
1650     #ifdef RADIUS_CONFIG_FILE
1651     rc = auth_call_radius(sub[0], &expand_string_message);
1652     goto END_AUTH;
1653     #else
1654     goto COND_FAILED_NOT_COMPILED;
1655     #endif  /* RADIUS_CONFIG_FILE */
1656
1657     case ECOND_LDAPAUTH:
1658     #ifdef LOOKUP_LDAP
1659       {
1660       /* Just to keep the interface the same */
1661       BOOL do_cache;
1662       int old_pool = store_pool;
1663       store_pool = POOL_SEARCH;
1664       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
1665         &expand_string_message, &do_cache);
1666       store_pool = old_pool;
1667       }
1668     goto END_AUTH;
1669     #else
1670     goto COND_FAILED_NOT_COMPILED;
1671     #endif  /* LOOKUP_LDAP */
1672
1673     case ECOND_PWCHECK:
1674     #ifdef CYRUS_PWCHECK_SOCKET
1675     rc = auth_call_pwcheck(sub[0], &expand_string_message);
1676     goto END_AUTH;
1677     #else
1678     goto COND_FAILED_NOT_COMPILED;
1679     #endif  /* CYRUS_PWCHECK_SOCKET */
1680
1681     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
1682         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
1683     END_AUTH:
1684     if (rc == ERROR || rc == DEFER) return NULL;
1685     *yield = (rc == OK) == testfor;
1686     #endif
1687     }
1688   return s;
1689
1690
1691   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
1692
1693      ${if saslauthd {{username}{password}{service}{realm}}  {yes}[no}}
1694
1695   However, the last two are optional. That is why the whole set is enclosed
1696   in their own set or braces. */
1697
1698   case ECOND_SASLAUTHD:
1699   #ifndef CYRUS_SASLAUTHD_SOCKET
1700   goto COND_FAILED_NOT_COMPILED;
1701   #else
1702   while (isspace(*s)) s++;
1703   if (*s++ != '{') goto COND_FAILED_CURLY_START;
1704   switch(read_subs(sub, 4, 2, &s, yield == NULL, TRUE, US"saslauthd"))
1705     {
1706     case 1: expand_string_message = US"too few arguments or bracketing "
1707       "error for saslauthd";
1708     case 2:
1709     case 3: return NULL;
1710     }
1711   if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
1712   if (yield != NULL)
1713     {
1714     int rc;
1715     rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
1716       &expand_string_message);
1717     if (rc == ERROR || rc == DEFER) return NULL;
1718     *yield = (rc == OK) == testfor;
1719     }
1720   return s;
1721   #endif /* CYRUS_SASLAUTHD_SOCKET */
1722
1723
1724   /* symbolic operators for numeric and string comparison, and a number of
1725   other operators, all requiring two arguments.
1726
1727   match:             does a regular expression match and sets up the numerical
1728                        variables if it succeeds
1729   match_address:     matches in an address list
1730   match_domain:      matches in a domain list
1731   match_local_part:  matches in a local part list
1732   crypteq:           encrypts plaintext and compares against an encrypted text,
1733                        using crypt(), crypt16(), MD5 or SHA-1
1734   */
1735
1736   case ECOND_MATCH:
1737   case ECOND_MATCH_ADDRESS:
1738   case ECOND_MATCH_DOMAIN:
1739   case ECOND_MATCH_LOCAL_PART:
1740   case ECOND_CRYPTEQ:
1741
1742   case ECOND_NUM_L:     /* Numerical comparisons */
1743   case ECOND_NUM_LE:
1744   case ECOND_NUM_E:
1745   case ECOND_NUM_EE:
1746   case ECOND_NUM_G:
1747   case ECOND_NUM_GE:
1748
1749   case ECOND_STR_LT:    /* String comparisons */
1750   case ECOND_STR_LTI:
1751   case ECOND_STR_LE:
1752   case ECOND_STR_LEI:
1753   case ECOND_STR_EQ:
1754   case ECOND_STR_EQI:
1755   case ECOND_STR_GT:
1756   case ECOND_STR_GTI:
1757   case ECOND_STR_GE:
1758   case ECOND_STR_GEI:
1759
1760   for (i = 0; i < 2; i++)
1761     {
1762     while (isspace(*s)) s++;
1763     if (*s != '{')
1764       {
1765       if (i == 0) goto COND_FAILED_CURLY_START;
1766       expand_string_message = string_sprintf("missing 2nd string in {} "
1767         "after \"%s\"", name);
1768       return NULL;
1769       }
1770     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1771     if (sub[i] == NULL) return NULL;
1772     if (*s++ != '}') goto COND_FAILED_CURLY_END;
1773
1774     /* Convert to numerical if required; we know that the names of all the
1775     conditions that compare numbers do not start with a letter. This just saves
1776     checking for them individually. */
1777
1778     if (!isalpha(name[0]))
1779       {
1780       uschar *endptr;
1781       num[i] = (int)Ustrtol((const uschar *)sub[i], &endptr, 10);
1782       if (tolower(*endptr) == 'k')
1783         {
1784         num[i] *= 1024;
1785         endptr++;
1786         }
1787       else if (tolower(*endptr) == 'm')
1788         {
1789         num[i] *= 1024*1024;
1790         endptr++;
1791         }
1792       while (isspace(*endptr)) endptr++;
1793       if (*endptr != 0)
1794         {
1795         expand_string_message = string_sprintf("\"%s\" is not a number",
1796           sub[i]);
1797         return NULL;
1798         }
1799       }
1800     }
1801
1802   /* Result not required */
1803
1804   if (yield == NULL) return s;
1805
1806   /* Do an appropriate comparison */
1807
1808   switch(cond_type)
1809     {
1810     case ECOND_NUM_E:
1811     case ECOND_NUM_EE:
1812     *yield = (num[0] == num[1]) == testfor;
1813     break;
1814
1815     case ECOND_NUM_G:
1816     *yield = (num[0] > num[1]) == testfor;
1817     break;
1818
1819     case ECOND_NUM_GE:
1820     *yield = (num[0] >= num[1]) == testfor;
1821     break;
1822
1823     case ECOND_NUM_L:
1824     *yield = (num[0] < num[1]) == testfor;
1825     break;
1826
1827     case ECOND_NUM_LE:
1828     *yield = (num[0] <= num[1]) == testfor;
1829     break;
1830
1831     case ECOND_STR_LT:
1832     *yield = (Ustrcmp(sub[0], sub[1]) < 0) == testfor;
1833     break;
1834
1835     case ECOND_STR_LTI:
1836     *yield = (strcmpic(sub[0], sub[1]) < 0) == testfor;
1837     break;
1838
1839     case ECOND_STR_LE:
1840     *yield = (Ustrcmp(sub[0], sub[1]) <= 0) == testfor;
1841     break;
1842
1843     case ECOND_STR_LEI:
1844     *yield = (strcmpic(sub[0], sub[1]) <= 0) == testfor;
1845     break;
1846
1847     case ECOND_STR_EQ:
1848     *yield = (Ustrcmp(sub[0], sub[1]) == 0) == testfor;
1849     break;
1850
1851     case ECOND_STR_EQI:
1852     *yield = (strcmpic(sub[0], sub[1]) == 0) == testfor;
1853     break;
1854
1855     case ECOND_STR_GT:
1856     *yield = (Ustrcmp(sub[0], sub[1]) > 0) == testfor;
1857     break;
1858
1859     case ECOND_STR_GTI:
1860     *yield = (strcmpic(sub[0], sub[1]) > 0) == testfor;
1861     break;
1862
1863     case ECOND_STR_GE:
1864     *yield = (Ustrcmp(sub[0], sub[1]) >= 0) == testfor;
1865     break;
1866
1867     case ECOND_STR_GEI:
1868     *yield = (strcmpic(sub[0], sub[1]) >= 0) == testfor;
1869     break;
1870
1871     case ECOND_MATCH:   /* Regular expression match */
1872     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
1873       NULL);
1874     if (re == NULL)
1875       {
1876       expand_string_message = string_sprintf("regular expression error in "
1877         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
1878       return NULL;
1879       }
1880     *yield = regex_match_and_setup(re, sub[0], 0, -1) == testfor;
1881     break;
1882
1883     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
1884     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
1885     goto MATCHED_SOMETHING;
1886
1887     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
1888     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
1889       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
1890     goto MATCHED_SOMETHING;
1891
1892     case ECOND_MATCH_LOCAL_PART:
1893     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
1894       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
1895     /* Fall through */
1896
1897     MATCHED_SOMETHING:
1898     switch(rc)
1899       {
1900       case OK:
1901       *yield = testfor;
1902       break;
1903
1904       case FAIL:
1905       *yield = !testfor;
1906       break;
1907
1908       case DEFER:
1909       expand_string_message = string_sprintf("unable to complete match "
1910         "against \"%s\": %s", sub[1], search_error_message);
1911       return NULL;
1912       }
1913
1914     break;
1915
1916     /* Various "encrypted" comparisons. If the second string starts with
1917     "{" then an encryption type is given. Default to crypt() or crypt16()
1918     (build-time choice). */
1919
1920     case ECOND_CRYPTEQ:
1921     #ifndef SUPPORT_CRYPTEQ
1922     goto COND_FAILED_NOT_COMPILED;
1923     #else
1924     if (strncmpic(sub[1], US"{md5}", 5) == 0)
1925       {
1926       int sublen = Ustrlen(sub[1]+5);
1927       md5 base;
1928       uschar digest[16];
1929
1930       md5_start(&base);
1931       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
1932
1933       /* If the length that we are comparing against is 24, the MD5 digest
1934       is expressed as a base64 string. This is the way LDAP does it. However,
1935       some other software uses a straightforward hex representation. We assume
1936       this if the length is 32. Other lengths fail. */
1937
1938       if (sublen == 24)
1939         {
1940         uschar *coded = auth_b64encode((uschar *)digest, 16);
1941         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
1942           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
1943         *yield = (Ustrcmp(coded, sub[1]+5) == 0) == testfor;
1944         }
1945       else if (sublen == 32)
1946         {
1947         int i;
1948         uschar coded[36];
1949         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
1950         coded[32] = 0;
1951         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
1952           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
1953         *yield = (strcmpic(coded, sub[1]+5) == 0) == testfor;
1954         }
1955       else
1956         {
1957         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
1958           "fail\n  crypted=%s\n", sub[1]+5);
1959         *yield = !testfor;
1960         }
1961       }
1962
1963     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
1964       {
1965       int sublen = Ustrlen(sub[1]+6);
1966       sha1 base;
1967       uschar digest[20];
1968
1969       sha1_start(&base);
1970       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
1971
1972       /* If the length that we are comparing against is 28, assume the SHA1
1973       digest is expressed as a base64 string. If the length is 40, assume a
1974       straightforward hex representation. Other lengths fail. */
1975
1976       if (sublen == 28)
1977         {
1978         uschar *coded = auth_b64encode((uschar *)digest, 20);
1979         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
1980           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
1981         *yield = (Ustrcmp(coded, sub[1]+6) == 0) == testfor;
1982         }
1983       else if (sublen == 40)
1984         {
1985         int i;
1986         uschar coded[44];
1987         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
1988         coded[40] = 0;
1989         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
1990           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
1991         *yield = (strcmpic(coded, sub[1]+6) == 0) == testfor;
1992         }
1993       else
1994         {
1995         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
1996           "fail\n  crypted=%s\n", sub[1]+6);
1997         *yield = !testfor;
1998         }
1999       }
2000
2001     else   /* {crypt} or {crypt16} and non-{ at start */
2002       {
2003       int which = 0;
2004       uschar *coded;
2005
2006       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2007         {
2008         sub[1] += 7;
2009         which = 1;
2010         }
2011       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2012         {
2013         sub[1] += 9;
2014         which = 2;
2015         }
2016       else if (sub[1][0] == '{')
2017         {
2018         expand_string_message = string_sprintf("unknown encryption mechanism "
2019           "in \"%s\"", sub[1]);
2020         return NULL;
2021         }
2022
2023       switch(which)
2024         {
2025         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2026         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2027         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2028         }
2029
2030       #define STR(s) # s
2031       #define XSTR(s) STR(s)
2032       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2033         "  subject=%s\n  crypted=%s\n",
2034         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2035         coded, sub[1]);
2036       #undef STR
2037       #undef XSTR
2038
2039       /* If the encrypted string contains fewer than two characters (for the
2040       salt), force failure. Otherwise we get false positives: with an empty
2041       string the yield of crypt() is an empty string! */
2042
2043       *yield = (Ustrlen(sub[1]) < 2)? !testfor :
2044         (Ustrcmp(coded, sub[1]) == 0) == testfor;
2045       }
2046     break;
2047     #endif  /* SUPPORT_CRYPTEQ */
2048     }   /* Switch for comparison conditions */
2049
2050   return s;    /* End of comparison conditions */
2051
2052
2053   /* and/or: computes logical and/or of several conditions */
2054
2055   case ECOND_AND:
2056   case ECOND_OR:
2057   subcondptr = (yield == NULL)? NULL : &tempcond;
2058   combined_cond = (cond_type == ECOND_AND);
2059
2060   while (isspace(*s)) s++;
2061   if (*s++ != '{') goto COND_FAILED_CURLY_START;
2062
2063   for (;;)
2064     {
2065     while (isspace(*s)) s++;
2066     if (*s == '}') break;
2067     if (*s != '{')
2068       {
2069       expand_string_message = string_sprintf("each subcondition "
2070         "inside an \"%s{...}\" condition must be in its own {}", name);
2071       return NULL;
2072       }
2073
2074     s = eval_condition(s+1, subcondptr);
2075     if (s == NULL)
2076       {
2077       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2078         expand_string_message, name);
2079       return NULL;
2080       }
2081     while (isspace(*s)) s++;
2082
2083     if (*s++ != '}')
2084       {
2085       expand_string_message = string_sprintf("missing } at end of condition "
2086         "inside \"%s\" group", name);
2087       return NULL;
2088       }
2089
2090     if (yield != NULL)
2091       {
2092       if (cond_type == ECOND_AND)
2093         {
2094         combined_cond &= tempcond;
2095         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2096         }                                       /* evaluate any more */
2097       else
2098         {
2099         combined_cond |= tempcond;
2100         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2101         }                                       /* evaluate any more */
2102       }
2103     }
2104
2105   if (yield != NULL) *yield = (combined_cond == testfor);
2106   return ++s;
2107
2108
2109   /* Unknown condition */
2110
2111   default:
2112   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
2113   return NULL;
2114   }   /* End switch on condition type */
2115
2116 /* Missing braces at start and end of data */
2117
2118 COND_FAILED_CURLY_START:
2119 expand_string_message = string_sprintf("missing { after \"%s\"", name);
2120 return NULL;
2121
2122 COND_FAILED_CURLY_END:
2123 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
2124   name);
2125 return NULL;
2126
2127 /* A condition requires code that is not compiled */
2128
2129 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
2130     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
2131     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
2132 COND_FAILED_NOT_COMPILED:
2133 expand_string_message = string_sprintf("support for \"%s\" not compiled",
2134   name);
2135 return NULL;
2136 #endif
2137 }
2138
2139
2140
2141
2142 /*************************************************
2143 *          Save numerical variables              *
2144 *************************************************/
2145
2146 /* This function is called from items such as "if" that want to preserve and
2147 restore the numbered variables.
2148
2149 Arguments:
2150   save_expand_string    points to an array of pointers to set
2151   save_expand_nlength   points to an array of ints for the lengths
2152
2153 Returns:                the value of expand max to save
2154 */
2155
2156 static int
2157 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
2158 {
2159 int i;
2160 for (i = 0; i <= expand_nmax; i++)
2161   {
2162   save_expand_nstring[i] = expand_nstring[i];
2163   save_expand_nlength[i] = expand_nlength[i];
2164   }
2165 return expand_nmax;
2166 }
2167
2168
2169
2170 /*************************************************
2171 *           Restore numerical variables          *
2172 *************************************************/
2173
2174 /* This function restored saved values of numerical strings.
2175
2176 Arguments:
2177   save_expand_nmax      the number of strings to restore
2178   save_expand_string    points to an array of pointers
2179   save_expand_nlength   points to an array of ints
2180
2181 Returns:                nothing
2182 */
2183
2184 static void
2185 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
2186   int *save_expand_nlength)
2187 {
2188 int i;
2189 expand_nmax = save_expand_nmax;
2190 for (i = 0; i <= expand_nmax; i++)
2191   {
2192   expand_nstring[i] = save_expand_nstring[i];
2193   expand_nlength[i] = save_expand_nlength[i];
2194   }
2195 }
2196
2197
2198
2199
2200
2201 /*************************************************
2202 *            Handle yes/no substrings            *
2203 *************************************************/
2204
2205 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
2206 alternative substrings that depend on whether or not the condition was true,
2207 or the lookup or extraction succeeded. The substrings always have to be
2208 expanded, to check their syntax, but "skipping" is set when the result is not
2209 needed - this avoids unnecessary nested lookups.
2210
2211 Arguments:
2212   skipping       TRUE if we were skipping when this item was reached
2213   yes            TRUE if the first string is to be used, else use the second
2214   save_lookup    a value to put back into lookup_value before the 2nd expansion
2215   sptr           points to the input string pointer
2216   yieldptr       points to the output string pointer
2217   sizeptr        points to the output string size
2218   ptrptr         points to the output string pointer
2219   type           "lookup" or "if" or "extract" or "run", for error message
2220
2221 Returns:         0 OK; lookup_value has been reset to save_lookup
2222                  1 expansion failed
2223                  2 expansion failed because of bracketing error
2224 */
2225
2226 static int
2227 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, uschar **sptr,
2228   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type)
2229 {
2230 int rc = 0;
2231 uschar *s = *sptr;    /* Local value */
2232 uschar *sub1, *sub2;
2233
2234 /* If there are no following strings, we substitute the contents of $value for
2235 lookups and for extractions in the success case. For the ${if item, the string
2236 "true" is substituted. In the fail case, nothing is substituted for all three 
2237 items. */
2238
2239 while (isspace(*s)) s++;
2240 if (*s == '}')
2241   {
2242   if (type[0] == 'i')
2243     {
2244     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4); 
2245     }
2246   else
2247     {      
2248     if (yes && lookup_value != NULL)
2249       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
2250         Ustrlen(lookup_value));
2251     lookup_value = save_lookup;
2252     }
2253   s++;
2254   goto RETURN;
2255   }
2256
2257 /* Expand the first substring. Forced failures are noticed only if we actually
2258 want this string. Set skipping in the call in the fail case (this will always
2259 be the case if we were already skipping). */
2260
2261 sub1 = expand_string_internal(s+1, TRUE, &s, !yes);
2262 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
2263 expand_string_forcedfail = FALSE;
2264 if (*s++ != '}') goto FAILED_CURLY;
2265
2266 /* If we want the first string, add it to the output */
2267
2268 if (yes)
2269   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
2270
2271 /* If this is called from a lookup or an extract, we want to restore $value to
2272 what it was at the start of the item, so that it has this value during the
2273 second string expansion. For the call from "if" to this function, save_lookup
2274 is set to lookup_value, so that this statement does nothing. */
2275
2276 lookup_value = save_lookup;
2277
2278 /* There now follows either another substring, or "fail", or nothing. This
2279 time, forced failures are noticed only if we want the second string. We must
2280 set skipping in the nested call if we don't want this string, or if we were
2281 already skipping. */
2282
2283 while (isspace(*s)) s++;
2284 if (*s == '{')
2285   {
2286   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping);
2287   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
2288   expand_string_forcedfail = FALSE;
2289   if (*s++ != '}') goto FAILED_CURLY;
2290
2291   /* If we want the second string, add it to the output */
2292
2293   if (!yes)
2294     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
2295   }
2296
2297 /* If there is no second string, but the word "fail" is present when the use of
2298 the second string is wanted, set a flag indicating it was a forced failure
2299 rather than a syntactic error. Swallow the terminating } in case this is nested
2300 inside another lookup or if or extract. */
2301
2302 else if (*s != '}')
2303   {
2304   uschar name[256];
2305   s = read_name(name, sizeof(name), s, US"_");
2306   if (Ustrcmp(name, "fail") == 0)
2307     {
2308     if (!yes && !skipping)
2309       {
2310       while (isspace(*s)) s++;
2311       if (*s++ != '}') goto FAILED_CURLY;
2312       expand_string_message =
2313         string_sprintf("\"%s\" failed and \"fail\" requested", type);
2314       expand_string_forcedfail = TRUE;
2315       goto FAILED;
2316       }
2317     }
2318   else
2319     {
2320     expand_string_message =
2321       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
2322     goto FAILED;
2323     }
2324   }
2325
2326 /* All we have to do now is to check on the final closing brace. */
2327
2328 while (isspace(*s)) s++;
2329 if (*s++ == '}') goto RETURN;
2330
2331 /* Get here if there is a bracketing failure */
2332
2333 FAILED_CURLY:
2334 rc++;
2335
2336 /* Get here for other failures */
2337
2338 FAILED:
2339 rc++;
2340
2341 /* Update the input pointer value before returning */
2342
2343 RETURN:
2344 *sptr = s;
2345 return rc;
2346 }
2347
2348
2349
2350
2351
2352
2353 /*************************************************
2354 *    Handle MD5 or SHA-1 computation for HMAC    *
2355 *************************************************/
2356
2357 /* These are some wrapping functions that enable the HMAC code to be a bit
2358 cleaner. A good compiler will spot the tail recursion.
2359
2360 Arguments:
2361   type         HMAC_MD5 or HMAC_SHA1
2362   remaining    are as for the cryptographic hash functions
2363
2364 Returns:       nothing
2365 */
2366
2367 static void
2368 chash_start(int type, void *base)
2369 {
2370 if (type == HMAC_MD5)
2371   md5_start((md5 *)base);
2372 else
2373   sha1_start((sha1 *)base);
2374 }
2375
2376 static void
2377 chash_mid(int type, void *base, uschar *string)
2378 {
2379 if (type == HMAC_MD5)
2380   md5_mid((md5 *)base, string);
2381 else
2382   sha1_mid((sha1 *)base, string);
2383 }
2384
2385 static void
2386 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
2387 {
2388 if (type == HMAC_MD5)
2389   md5_end((md5 *)base, string, length, digest);
2390 else
2391   sha1_end((sha1 *)base, string, length, digest);
2392 }
2393
2394
2395
2396
2397
2398 /*************************************************
2399 *        Join a file onto the output string      *
2400 *************************************************/
2401
2402 /* This is used for readfile and after a run expansion. It joins the contents
2403 of a file onto the output string, globally replacing newlines with a given
2404 string (optionally). The file is closed at the end.
2405
2406 Arguments:
2407   f            the FILE
2408   yield        pointer to the expandable string
2409   sizep        pointer to the current size
2410   ptrp         pointer to the current position
2411   eol          newline replacement string, or NULL
2412
2413 Returns:       new value of string pointer
2414 */
2415
2416 static uschar *
2417 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
2418 {
2419 int eollen;
2420 uschar buffer[1024];
2421
2422 eollen = (eol == NULL)? 0 : Ustrlen(eol);
2423
2424 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
2425   {
2426   int len = Ustrlen(buffer);
2427   if (eol != NULL && buffer[len-1] == '\n') len--;
2428   yield = string_cat(yield, sizep, ptrp, buffer, len);
2429   if (buffer[len] != 0)
2430     yield = string_cat(yield, sizep, ptrp, eol, eollen);
2431   }
2432
2433 if (yield != NULL) yield[*ptrp] = 0;
2434
2435 return yield;
2436 }
2437
2438
2439
2440
2441 /*************************************************
2442 *          Evaluate numeric expression           *
2443 *************************************************/
2444
2445 /* This is a set of mutually recursive functions that evaluate a simple
2446 arithmetic expression involving only + - * / and parentheses. The only one that
2447 is called from elsewhere is eval_expr, whose interface is:
2448
2449 Arguments:
2450   sptr          pointer to the pointer to the string - gets updated
2451   decimal       TRUE if numbers are to be assumed decimal
2452   error         pointer to where to put an error message - must be NULL on input
2453   endket        TRUE if ')' must terminate - FALSE for external call
2454
2455
2456 Returns:        on success: the value of the expression, with *error still NULL
2457                 on failure: an undefined value, with *error = a message
2458 */
2459
2460 static int eval_sumterm(uschar **, BOOL, uschar **);
2461
2462 static int
2463 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
2464 {
2465 uschar *s = *sptr;
2466 int x = eval_sumterm(&s, decimal, error);
2467 if (*error == NULL)
2468   {
2469   while (*s == '+' || *s == '-')
2470     {
2471     int op = *s++;
2472     int y = eval_sumterm(&s, decimal, error);
2473     if (*error != NULL) break;
2474     if (op == '+') x += y; else x -= y;
2475     }
2476   if (*error == NULL)
2477     {
2478     if (endket)
2479       {
2480       if (*s != ')')
2481         *error = US"expecting closing parenthesis";
2482       else
2483         while (isspace(*(++s)));
2484       }
2485     else if (*s != 0) *error = US"expecting + or -";
2486     }
2487   }
2488
2489 *sptr = s;
2490 return x;
2491 }
2492
2493 static int
2494 eval_term(uschar **sptr, BOOL decimal, uschar **error)
2495 {
2496 register int c;
2497 int n;
2498 uschar *s = *sptr;
2499 while (isspace(*s)) s++;
2500 c = *s;
2501 if (isdigit(c) || ((c == '-' || c == '+') && isdigit(s[1])))
2502   {
2503   int count;
2504   (void)sscanf(CS s, (decimal? "%d%n" : "%i%n"), &n, &count);
2505   s += count;
2506   if (tolower(*s) == 'k') { n *= 1024; s++; }
2507     else if (tolower(*s) == 'm') { n *= 1024*1024; s++; }
2508   while (isspace (*s)) s++;
2509   }
2510 else if (c == '(')
2511   {
2512   s++;
2513   n = eval_expr(&s, decimal, error, 1);
2514   }
2515 else
2516   {
2517   *error = US"expecting number or opening parenthesis";
2518   n = 0;
2519   }
2520 *sptr = s;
2521 return n;
2522 }
2523
2524 static int eval_sumterm(uschar **sptr, BOOL decimal, uschar **error)
2525 {
2526 uschar *s = *sptr;
2527 int x = eval_term(&s, decimal, error);
2528 if (*error == NULL)
2529   {
2530   while (*s == '*' || *s == '/')
2531     {
2532     int op = *s++;
2533     int y = eval_term(&s, decimal, error);
2534     if (*error != NULL) break;
2535     if (op == '*') x *= y; else x /= y;
2536     }
2537   }
2538 *sptr = s;
2539 return x;
2540 }
2541
2542
2543
2544
2545 /*************************************************
2546 *                 Expand string                  *
2547 *************************************************/
2548
2549 /* Returns either an unchanged string, or the expanded string in stacking pool
2550 store. Interpreted sequences are:
2551
2552    \...                    normal escaping rules
2553    $name                   substitutes the variable
2554    ${name}                 ditto
2555    ${op:string}            operates on the expanded string value
2556    ${item{arg1}{arg2}...}  expands the args and then does the business
2557                              some literal args are not enclosed in {}
2558
2559 There are now far too many operators and item types to make it worth listing
2560 them here in detail any more.
2561
2562 We use an internal routine recursively to handle embedded substrings. The
2563 external function follows. The yield is NULL if the expansion failed, and there
2564 are two cases: if something collapsed syntactically, or if "fail" was given
2565 as the action on a lookup failure. These can be distinguised by looking at the
2566 variable expand_string_forcedfail, which is TRUE in the latter case.
2567
2568 The skipping flag is set true when expanding a substring that isn't actually
2569 going to be used (after "if" or "lookup") and it prevents lookups from
2570 happening lower down.
2571
2572 Store usage: At start, a store block of the length of the input plus 64
2573 is obtained. This is expanded as necessary by string_cat(), which might have to
2574 get a new block, or might be able to expand the original. At the end of the
2575 function we can release any store above that portion of the yield block that
2576 was actually used. In many cases this will be optimal.
2577
2578 However: if the first item in the expansion is a variable name or header name,
2579 we reset the store before processing it; if the result is in fresh store, we
2580 use that without copying. This is helpful for expanding strings like
2581 $message_headers which can get very long.
2582
2583 Arguments:
2584   string         the string to be expanded
2585   ket_ends       true if expansion is to stop at }
2586   left           if not NULL, a pointer to the first character after the
2587                  expansion is placed here (typically used with ket_ends)
2588   skipping       TRUE for recursive calls when the value isn't actually going
2589                  to be used (to allow for optimisation)
2590
2591 Returns:         NULL if expansion fails:
2592                    expand_string_forcedfail is set TRUE if failure was forced
2593                    expand_string_message contains a textual error message
2594                  a pointer to the expanded string on success
2595 */
2596
2597 static uschar *
2598 expand_string_internal(uschar *string, BOOL ket_ends, uschar **left,
2599   BOOL skipping)
2600 {
2601 int ptr = 0;
2602 int size = Ustrlen(string)+ 64;
2603 int item_type;
2604 uschar *yield = store_get(size);
2605 uschar *s = string;
2606 uschar *save_expand_nstring[EXPAND_MAXN+1];
2607 int save_expand_nlength[EXPAND_MAXN+1];
2608
2609 expand_string_forcedfail = FALSE;
2610 expand_string_message = US"";
2611
2612 while (*s != 0)
2613   {
2614   uschar *value;
2615   uschar name[256];
2616
2617   /* \ escapes the next character, which must exist, or else
2618   the expansion fails. There's a special escape, \N, which causes
2619   copying of the subject verbatim up to the next \N. Otherwise,
2620   the escapes are the standard set. */
2621
2622   if (*s == '\\')
2623     {
2624     if (s[1] == 0)
2625       {
2626       expand_string_message = US"\\ at end of string";
2627       goto EXPAND_FAILED;
2628       }
2629
2630     if (s[1] == 'N')
2631       {
2632       uschar *t = s + 2;
2633       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
2634       yield = string_cat(yield, &size, &ptr, t, s - t);
2635       if (*s != 0) s += 2;
2636       }
2637
2638     else
2639       {
2640       uschar ch[1];
2641       ch[0] = string_interpret_escape(&s);
2642       s++;
2643       yield = string_cat(yield, &size, &ptr, ch, 1);
2644       }
2645
2646     continue;
2647     }
2648
2649   /* Anything other than $ is just copied verbatim, unless we are
2650   looking for a terminating } character. */
2651
2652   if (ket_ends && *s == '}') break;
2653
2654   if (*s != '$')
2655     {
2656     yield = string_cat(yield, &size, &ptr, s++, 1);
2657     continue;
2658     }
2659
2660   /* No { after the $ - must be a plain name or a number for string
2661   match variable. There has to be a fudge for variables that are the
2662   names of header fields preceded by "$header_" because header field
2663   names can contain any printing characters except space and colon.
2664   For those that don't like typing this much, "$h_" is a synonym for
2665   "$header_". A non-existent header yields a NULL value; nothing is
2666   inserted. */
2667
2668   if (isalpha((*(++s))))
2669     {
2670     int len;
2671     int newsize = 0;
2672
2673     s = read_name(name, sizeof(name), s, US"_");
2674
2675     /* If this is the first thing to be expanded, release the pre-allocated
2676     buffer. */
2677
2678     if (ptr == 0 && yield != NULL)
2679       {
2680       store_reset(yield);
2681       yield = NULL;
2682       size = 0;
2683       }
2684
2685     /* Header */
2686
2687     if (Ustrncmp(name, "h_", 2) == 0 ||
2688         Ustrncmp(name, "rh_", 3) == 0 ||
2689         Ustrncmp(name, "bh_", 3) == 0 ||
2690         Ustrncmp(name, "header_", 7) == 0 ||
2691         Ustrncmp(name, "rheader_", 8) == 0 ||
2692         Ustrncmp(name, "bheader_", 8) == 0)
2693       {
2694       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
2695       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
2696       s = read_header_name(name, sizeof(name), s);
2697       value = find_header(name, FALSE, &newsize, want_raw, charset);
2698
2699       /* If we didn't find the header, and the header contains a closing brace
2700       characters, this may be a user error where the terminating colon
2701       has been omitted. Set a flag to adjust the error message in this case.
2702       But there is no error here - nothing gets inserted. */
2703
2704       if (value == NULL)
2705         {
2706         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2707         continue;
2708         }
2709       }
2710
2711     /* Variable */
2712
2713     else
2714       {
2715       value = find_variable(name, FALSE, skipping, &newsize);
2716       if (value == NULL)
2717         {
2718         expand_string_message =
2719           string_sprintf("unknown variable name \"%s\"", name);
2720         goto EXPAND_FAILED;
2721         }
2722       }
2723
2724     /* If the data is known to be in a new buffer, newsize will be set to the
2725     size of that buffer. If this is the first thing in an expansion string,
2726     yield will be NULL; just point it at the new store instead of copying. Many
2727     expansion strings contain just one reference, so this is a useful
2728     optimization, especially for humungous headers. */
2729
2730     len = Ustrlen(value);
2731     if (yield == NULL && newsize != 0)
2732       {
2733       yield = value;
2734       size = newsize;
2735       ptr = len;
2736       }
2737     else yield = string_cat(yield, &size, &ptr, value, len);
2738
2739     continue;
2740     }
2741
2742   if (isdigit(*s))
2743     {
2744     int n;
2745     s = read_number(&n, s);
2746     if (n >= 0 && n <= expand_nmax)
2747       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
2748         expand_nlength[n]);
2749     continue;
2750     }
2751
2752   /* Otherwise, if there's no '{' after $ it's an error. */
2753
2754   if (*s != '{')
2755     {
2756     expand_string_message = US"$ not followed by letter, digit, or {";
2757     goto EXPAND_FAILED;
2758     }
2759
2760   /* After { there can be various things, but they all start with
2761   an initial word, except for a number for a string match variable. */
2762
2763   if (isdigit((*(++s))))
2764     {
2765     int n;
2766     s = read_number(&n, s);
2767     if (*s++ != '}')
2768       {
2769       expand_string_message = US"} expected after number";
2770       goto EXPAND_FAILED;
2771       }
2772     if (n >= 0 && n <= expand_nmax)
2773       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
2774         expand_nlength[n]);
2775     continue;
2776     }
2777
2778   if (!isalpha(*s))
2779     {
2780     expand_string_message = US"letter or digit expected after ${";
2781     goto EXPAND_FAILED;
2782     }
2783
2784   /* Allow "-" in names to cater for substrings with negative
2785   arguments. Since we are checking for known names after { this is
2786   OK. */
2787
2788   s = read_name(name, sizeof(name), s, US"_-");
2789   item_type = chop_match(name, item_table, sizeof(item_table)/sizeof(uschar *));
2790
2791   switch(item_type)
2792     {
2793     /* Handle conditionals - preserve the values of the numerical expansion
2794     variables in case they get changed by a regular expression match in the
2795     condition. If not, they retain their external settings. At the end
2796     of this "if" section, they get restored to their previous values. */
2797
2798     case EITEM_IF:
2799       {
2800       BOOL cond = FALSE;
2801       uschar *next_s;
2802       int save_expand_nmax =
2803         save_expand_strings(save_expand_nstring, save_expand_nlength);
2804
2805       while (isspace(*s)) s++;
2806       next_s = eval_condition(s, skipping? NULL : &cond);
2807       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
2808
2809       DEBUG(D_expand)
2810         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
2811           cond? "true" : "false");
2812
2813       s = next_s;
2814
2815       /* The handling of "yes" and "no" result strings is now in a separate
2816       function that is also used by ${lookup} and ${extract} and ${run}. */
2817
2818       switch(process_yesno(
2819                skipping,                     /* were previously skipping */
2820                cond,                         /* success/failure indicator */
2821                lookup_value,                 /* value to reset for string2 */
2822                &s,                           /* input pointer */
2823                &yield,                       /* output pointer */
2824                &size,                        /* output size */
2825                &ptr,                         /* output current point */
2826                US"if"))                      /* condition type */
2827         {
2828         case 1: goto EXPAND_FAILED;          /* when all is well, the */
2829         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
2830         }
2831
2832       /* Restore external setting of expansion variables for continuation
2833       at this level. */
2834
2835       restore_expand_strings(save_expand_nmax, save_expand_nstring,
2836         save_expand_nlength);
2837       continue;
2838       }
2839
2840     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
2841     expanding an internal string that isn't actually going to be used. All we
2842     need to do is check the syntax, so don't do a lookup at all. Preserve the
2843     values of the numerical expansion variables in case they get changed by a
2844     partial lookup. If not, they retain their external settings. At the end
2845     of this "lookup" section, they get restored to their previous values. */
2846
2847     case EITEM_LOOKUP:
2848       {
2849       int stype, partial, affixlen, starflags;
2850       int expand_setup = 0;
2851       int nameptr = 0;
2852       uschar *key, *filename, *affix;
2853       uschar *save_lookup_value = lookup_value;
2854       int save_expand_nmax =
2855         save_expand_strings(save_expand_nstring, save_expand_nlength);
2856
2857       if ((expand_forbid & RDO_LOOKUP) != 0)
2858         {
2859         expand_string_message = US"lookup expansions are not permitted";
2860         goto EXPAND_FAILED;
2861         }
2862
2863       /* Get the key we are to look up for single-key+file style lookups.
2864       Otherwise set the key NULL pro-tem. */
2865
2866       while (isspace(*s)) s++;
2867       if (*s == '{')
2868         {
2869         key = expand_string_internal(s+1, TRUE, &s, skipping);
2870         if (key == NULL) goto EXPAND_FAILED;
2871         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
2872         while (isspace(*s)) s++;
2873         }
2874       else key = NULL;
2875
2876       /* Find out the type of database */
2877
2878       if (!isalpha(*s))
2879         {
2880         expand_string_message = US"missing lookup type";
2881         goto EXPAND_FAILED;
2882         }
2883
2884       /* The type is a string that may contain special characters of various
2885       kinds. Allow everything except space or { to appear; the actual content
2886       is checked by search_findtype_partial. */
2887
2888       while (*s != 0 && *s != '{' && !isspace(*s))
2889         {
2890         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
2891         s++;
2892         }
2893       name[nameptr] = 0;
2894       while (isspace(*s)) s++;
2895
2896       /* Now check for the individual search type and any partial or default
2897       options. Only those types that are actually in the binary are valid. */
2898
2899       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
2900         &starflags);
2901       if (stype < 0)
2902         {
2903         expand_string_message = search_error_message;
2904         goto EXPAND_FAILED;
2905         }
2906
2907       /* Check that a key was provided for those lookup types that need it,
2908       and was not supplied for those that use the query style. */
2909
2910       if (!mac_islookup(stype, lookup_querystyle))
2911         {
2912         if (key == NULL)
2913           {
2914           expand_string_message = string_sprintf("missing {key} for single-"
2915             "key \"%s\" lookup", name);
2916           goto EXPAND_FAILED;
2917           }
2918         }
2919       else
2920         {
2921         if (key != NULL)
2922           {
2923           expand_string_message = string_sprintf("a single key was given for "
2924             "lookup type \"%s\", which is not a single-key lookup type", name);
2925           goto EXPAND_FAILED;
2926           }
2927         }
2928
2929       /* Get the next string in brackets and expand it. It is the file name for
2930       single-key+file lookups, and the whole query otherwise. */
2931
2932       if (*s != '{') goto EXPAND_FAILED_CURLY;
2933       filename = expand_string_internal(s+1, TRUE, &s, skipping);
2934       if (filename == NULL) goto EXPAND_FAILED;
2935       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
2936       while (isspace(*s)) s++;
2937
2938       /* If this isn't a single-key+file lookup, re-arrange the variables
2939       to be appropriate for the search_ functions. */
2940
2941       if (key == NULL)
2942         {
2943         key = filename;
2944         filename = NULL;
2945         }
2946
2947       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
2948       the entry was not found. Note that there is no search_close() function.
2949       Files are left open in case of re-use. At suitable places in higher logic,
2950       search_tidyup() is called to tidy all open files. This can save opening
2951       the same file several times. However, files may also get closed when
2952       others are opened, if too many are open at once. The rule is that a
2953       handle should not be used after a second search_open().
2954
2955       Request that a partial search sets up $1 and maybe $2 by passing
2956       expand_setup containing zero. If its value changes, reset expand_nmax,
2957       since new variables will have been set. Note that at the end of this
2958       "lookup" section, the old numeric variables are restored. */
2959
2960       if (skipping)
2961         lookup_value = NULL;
2962       else
2963         {
2964         void *handle = search_open(filename, stype, 0, NULL, NULL);
2965         if (handle == NULL)
2966           {
2967           expand_string_message = search_error_message;
2968           goto EXPAND_FAILED;
2969           }
2970         lookup_value = search_find(handle, filename, key, partial, affix,
2971           affixlen, starflags, &expand_setup);
2972         if (search_find_defer)
2973           {
2974           expand_string_message =
2975             string_sprintf("lookup of \"%s\" gave DEFER: %s", key,
2976               search_error_message);
2977           goto EXPAND_FAILED;
2978           }
2979         if (expand_setup > 0) expand_nmax = expand_setup;
2980         }
2981
2982       /* The handling of "yes" and "no" result strings is now in a separate
2983       function that is also used by ${if} and ${extract}. */
2984
2985       switch(process_yesno(
2986                skipping,                     /* were previously skipping */
2987                lookup_value != NULL,         /* success/failure indicator */
2988                save_lookup_value,            /* value to reset for string2 */
2989                &s,                           /* input pointer */
2990                &yield,                       /* output pointer */
2991                &size,                        /* output size */
2992                &ptr,                         /* output current point */
2993                US"lookup"))                  /* condition type */
2994         {
2995         case 1: goto EXPAND_FAILED;          /* when all is well, the */
2996         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
2997         }
2998
2999       /* Restore external setting of expansion variables for carrying on
3000       at this level, and continue. */
3001
3002       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3003         save_expand_nlength);
3004       continue;
3005       }
3006
3007     /* If Perl support is configured, handle calling embedded perl subroutines,
3008     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
3009     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
3010     arguments (defined below). */
3011
3012     #ifdef EXIM_PERL
3013     #define EXIM_PERL_MAX_ARGS 8
3014
3015     case EITEM_PERL:
3016       {
3017       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
3018       uschar *new_yield;
3019
3020       if ((expand_forbid & RDO_PERL) != 0)
3021         {
3022         expand_string_message = US"Perl calls are not permitted";
3023         goto EXPAND_FAILED;
3024         }
3025
3026       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
3027            US"perl"))
3028         {
3029         case 1: goto EXPAND_FAILED_CURLY;
3030         case 2:
3031         case 3: goto EXPAND_FAILED;
3032         }
3033
3034       /* If skipping, we don't actually do anything */
3035
3036       if (skipping) continue;
3037
3038       /* Start the interpreter if necessary */
3039
3040       if (!opt_perl_started)
3041         {
3042         uschar *initerror;
3043         if (opt_perl_startup == NULL)
3044           {
3045           expand_string_message = US"A setting of perl_startup is needed when "
3046             "using the Perl interpreter";
3047           goto EXPAND_FAILED;
3048           }
3049         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3050         initerror = init_perl(opt_perl_startup);
3051         if (initerror != NULL)
3052           {
3053           expand_string_message =
3054             string_sprintf("error in perl_startup code: %s\n", initerror);
3055           goto EXPAND_FAILED;
3056           }
3057         opt_perl_started = TRUE;
3058         }
3059
3060       /* Call the function */
3061
3062       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
3063       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
3064         sub_arg[0], sub_arg + 1);
3065
3066       /* NULL yield indicates failure; if the message pointer has been set to
3067       NULL, the yield was undef, indicating a forced failure. Otherwise the
3068       message will indicate some kind of Perl error. */
3069
3070       if (new_yield == NULL)
3071         {
3072         if (expand_string_message == NULL)
3073           {
3074           expand_string_message =
3075             string_sprintf("Perl subroutine \"%s\" returned undef to force "
3076               "failure", sub_arg[0]);
3077           expand_string_forcedfail = TRUE;
3078           }
3079         goto EXPAND_FAILED;
3080         }
3081
3082       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
3083       set during a callback from Perl. */
3084
3085       expand_string_forcedfail = FALSE;
3086       yield = new_yield;
3087       continue;
3088       }
3089     #endif /* EXIM_PERL */
3090
3091     /* Handle "readfile" to insert an entire file */
3092
3093     case EITEM_READFILE:
3094       {
3095       FILE *f;
3096       uschar *sub_arg[2];
3097
3098       if ((expand_forbid & RDO_READFILE) != 0)
3099         {
3100         expand_string_message = US"file insertions are not permitted";
3101         goto EXPAND_FAILED;
3102         }
3103
3104       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile"))
3105         {
3106         case 1: goto EXPAND_FAILED_CURLY;
3107         case 2:
3108         case 3: goto EXPAND_FAILED;
3109         }
3110
3111       /* If skipping, we don't actually do anything */
3112
3113       if (skipping) continue;
3114
3115       /* Open the file and read it */
3116
3117       f = Ufopen(sub_arg[0], "rb");
3118       if (f == NULL)
3119         {
3120         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
3121         goto EXPAND_FAILED;
3122         }
3123
3124       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
3125       fclose(f);
3126       continue;
3127       }
3128
3129     /* Handle "readsocket" to insert data from a Unix domain socket */
3130
3131     case EITEM_READSOCK:
3132       {
3133       int fd;
3134       int timeout = 5;
3135       int save_ptr = ptr;
3136       FILE *f;
3137       struct sockaddr_un sockun;         /* don't call this "sun" ! */
3138       uschar *arg;
3139       uschar *sub_arg[4];
3140
3141       if ((expand_forbid & RDO_READSOCK) != 0)
3142         {
3143         expand_string_message = US"socket insertions are not permitted";
3144         goto EXPAND_FAILED;
3145         }
3146
3147       /* Read up to 4 arguments, but don't do the end of item check afterwards,
3148       because there may be a string for expansion on failure. */
3149
3150       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket"))
3151         {
3152         case 1: goto EXPAND_FAILED_CURLY;
3153         case 2:                             /* Won't occur: no end check */
3154         case 3: goto EXPAND_FAILED;
3155         }
3156
3157       /* Sort out timeout, if given */
3158
3159       if (sub_arg[2] != NULL)
3160         {
3161         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
3162         if (timeout < 0)
3163           {
3164           expand_string_message = string_sprintf("bad time value %s",
3165             sub_arg[2]);
3166           goto EXPAND_FAILED;
3167           }
3168         }
3169       else sub_arg[3] = NULL;                     /* No eol if no timeout */
3170
3171       /* If skipping, we don't actually do anything */
3172
3173       if (!skipping)
3174         {
3175         /* Make a connection to the socket */
3176
3177         if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
3178           {
3179           expand_string_message = string_sprintf("failed to create socket: %s",
3180             strerror(errno));
3181           goto SOCK_FAIL;
3182           }
3183
3184         sockun.sun_family = AF_UNIX;
3185         sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
3186           sub_arg[0]);
3187         if(connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun)) == -1)
3188           {
3189           expand_string_message = string_sprintf("failed to connect to socket "
3190             "%s: %s", sub_arg[0], strerror(errno));
3191           goto SOCK_FAIL;
3192           }
3193         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
3194
3195         /* Write the request string, if not empty */
3196
3197         if (sub_arg[1][0] != 0)
3198           {
3199           int len = Ustrlen(sub_arg[1]);
3200           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
3201             sub_arg[1]);
3202           if (write(fd, sub_arg[1], len) != len)
3203             {
3204             expand_string_message = string_sprintf("request write to socket "
3205               "failed: %s", strerror(errno));
3206             goto SOCK_FAIL;
3207             }
3208           }
3209
3210         /* Now we need to read from the socket, under a timeout. The function
3211         that reads a file can be used. */
3212
3213         f = fdopen(fd, "rb");
3214         sigalrm_seen = FALSE;
3215         alarm(timeout);
3216         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
3217         alarm(0);
3218         fclose(f);
3219
3220         /* After a timeout, we restore the pointer in the result, that is,
3221         make sure we add nothing from the socket. */
3222
3223         if (sigalrm_seen)
3224           {
3225           ptr = save_ptr;
3226           expand_string_message = US"socket read timed out";
3227           goto SOCK_FAIL;
3228           }
3229         }
3230
3231       /* The whole thing has worked (or we were skipping). If there is a
3232       failure string following, we need to skip it. */
3233
3234       if (*s == '{')
3235         {
3236         if (expand_string_internal(s+1, TRUE, &s, TRUE) == NULL)
3237           goto EXPAND_FAILED;
3238         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3239         while (isspace(*s)) s++;
3240         }
3241       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3242       continue;
3243
3244       /* Come here on failure to create socket, connect socket, write to the
3245       socket, or timeout on reading. If another substring follows, expand and
3246       use it. Otherwise, those conditions give expand errors. */
3247
3248       SOCK_FAIL:
3249       if (*s != '{') goto EXPAND_FAILED;
3250       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
3251       arg = expand_string_internal(s+1, TRUE, &s, FALSE);
3252       if (arg == NULL) goto EXPAND_FAILED;
3253       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
3254       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3255       while (isspace(*s)) s++;
3256       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3257       continue;
3258       }
3259
3260     /* Handle "run" to execute a program. */
3261
3262     case EITEM_RUN:
3263       {
3264       FILE *f;
3265       uschar *old_lookup_value = NULL;
3266       uschar *arg;
3267       uschar **argv;
3268       pid_t pid;
3269       int fd_in, fd_out;
3270       int lsize = 0;
3271       int lptr = 0;
3272
3273       if ((expand_forbid & RDO_RUN) != 0)
3274         {
3275         expand_string_message = US"running a command is not permitted";
3276         goto EXPAND_FAILED;
3277         }
3278
3279       while (isspace(*s)) s++;
3280       if (*s != '{') goto EXPAND_FAILED_CURLY;
3281       arg = expand_string_internal(s+1, TRUE, &s, skipping);
3282       if (arg == NULL) goto EXPAND_FAILED;
3283       while (isspace(*s)) s++;
3284       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3285
3286       if (skipping)   /* Just pretend it worked when we're skipping */
3287         {
3288         runrc = 0;
3289         }
3290       else
3291         {
3292         if (!transport_set_up_command(&argv,    /* anchor for arg list */
3293             arg,                                /* raw command */
3294             FALSE,                              /* don't expand the arguments */
3295             0,                                  /* not relevant when... */
3296             NULL,                               /* no transporting address */
3297             US"${run} expansion",               /* for error messages */
3298             &expand_string_message))            /* where to put error message */
3299           {
3300           goto EXPAND_FAILED;
3301           }
3302
3303         /* Create the child process, making it a group leader. */
3304
3305         pid = child_open(argv, NULL, 0077, &fd_in, &fd_out, TRUE);
3306
3307         if (pid < 0)
3308           {
3309           expand_string_message =
3310             string_sprintf("couldn't create child process: %s", strerror(errno));
3311           goto EXPAND_FAILED;
3312           }
3313
3314         /* Nothing is written to the standard input. */
3315
3316         close(fd_in);
3317
3318         /* Wait for the process to finish, applying the timeout, and inspect its
3319         return code for serious disasters. Simple non-zero returns are passed on.
3320         */
3321
3322         if ((runrc = child_close(pid, 60)) < 0)
3323           {
3324           if (runrc == -256)
3325             {
3326             expand_string_message = string_sprintf("command timed out");
3327             killpg(pid, SIGKILL);       /* Kill the whole process group */
3328             }
3329
3330           else if (runrc == -257)
3331             expand_string_message = string_sprintf("wait() failed: %s",
3332               strerror(errno));
3333
3334           else
3335             expand_string_message = string_sprintf("command killed by signal %d",
3336               -runrc);
3337
3338           goto EXPAND_FAILED;
3339           }
3340
3341         /* Read the pipe to get the command's output into $value (which is kept
3342         in lookup_value). */
3343
3344         f = fdopen(fd_out, "rb");
3345         old_lookup_value = lookup_value;
3346         lookup_value = NULL;
3347         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
3348         fclose(f);
3349         }
3350
3351       /* Process the yes/no strings */
3352
3353       switch(process_yesno(
3354                skipping,                     /* were previously skipping */
3355                runrc == 0,                   /* success/failure indicator */
3356                old_lookup_value,             /* value to reset for string2 */
3357                &s,                           /* input pointer */
3358                &yield,                       /* output pointer */
3359                &size,                        /* output size */
3360                &ptr,                         /* output current point */
3361                US"run"))                     /* condition type */
3362         {
3363         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3364         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3365         }
3366
3367       continue;
3368       }
3369
3370     /* Handle character translation for "tr" */
3371
3372     case EITEM_TR:
3373       {
3374       int oldptr = ptr;
3375       int o2m;
3376       uschar *sub[3];
3377
3378       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr"))
3379         {
3380         case 1: goto EXPAND_FAILED_CURLY;
3381         case 2:
3382         case 3: goto EXPAND_FAILED;
3383         }
3384
3385       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
3386       o2m = Ustrlen(sub[2]) - 1;
3387
3388       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
3389         {
3390         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
3391         if (m != NULL)
3392           {
3393           int o = m - sub[1];
3394           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
3395           }
3396         }
3397
3398       continue;
3399       }
3400
3401     /* Handle "hash", "length", "nhash", and "substr" when they are given with
3402     expanded arguments. */
3403
3404     case EITEM_HASH:
3405     case EITEM_LENGTH:
3406     case EITEM_NHASH:
3407     case EITEM_SUBSTR:
3408       {
3409       int i;
3410       int len;
3411       uschar *ret;
3412       int val[2] = { 0, -1 };
3413       uschar *sub[3];
3414
3415       /* "length" takes only 2 arguments whereas the others take 2 or 3.
3416       Ensure that sub[2] is set in the ${length case. */
3417
3418       sub[2] = NULL;
3419       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
3420              TRUE, name))
3421         {
3422         case 1: goto EXPAND_FAILED_CURLY;
3423         case 2:
3424         case 3: goto EXPAND_FAILED;
3425         }
3426
3427       /* Juggle the arguments if there are only two of them: always move the
3428       string to the last position and make ${length{n}{str}} equivalent to
3429       ${substr{0}{n}{str}}. See the defaults for val[] above. */
3430
3431       if (sub[2] == NULL)
3432         {
3433         sub[2] = sub[1];
3434         sub[1] = NULL;
3435         if (item_type == EITEM_LENGTH)
3436           {
3437           sub[1] = sub[0];
3438           sub[0] = NULL;
3439           }
3440         }
3441
3442       for (i = 0; i < 2; i++)
3443         {
3444         if (sub[i] == NULL) continue;
3445         val[i] = (int)Ustrtol(sub[i], &ret, 10);
3446         if (*ret != 0 || (i != 0 && val[i] < 0))
3447           {
3448           expand_string_message = string_sprintf("\"%s\" is not a%s number "
3449             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
3450           goto EXPAND_FAILED;
3451           }
3452         }
3453
3454       ret =
3455         (item_type == EITEM_HASH)?
3456           compute_hash(sub[2], val[0], val[1], &len) :
3457         (item_type == EITEM_NHASH)?
3458           compute_nhash(sub[2], val[0], val[1], &len) :
3459           extract_substr(sub[2], val[0], val[1], &len);
3460
3461       if (ret == NULL) goto EXPAND_FAILED;
3462       yield = string_cat(yield, &size, &ptr, ret, len);
3463       continue;
3464       }
3465
3466     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
3467     This code originally contributed by Steve Haslam. It currently supports
3468     the use of MD5 and SHA-1 hashes.
3469
3470     We need some workspace that is large enough to handle all the supported
3471     hash types. Use macros to set the sizes rather than be too elaborate. */
3472
3473     #define MAX_HASHLEN      20
3474     #define MAX_HASHBLOCKLEN 64
3475
3476     case EITEM_HMAC:
3477       {
3478       uschar *sub[3];
3479       md5 md5_base;
3480       sha1 sha1_base;
3481       void *use_base;
3482       int type, i;
3483       int hashlen;      /* Number of octets for the hash algorithm's output */
3484       int hashblocklen; /* Number of octets the hash algorithm processes */
3485       uschar *keyptr, *p;
3486       unsigned int keylen;
3487
3488       uschar keyhash[MAX_HASHLEN];
3489       uschar innerhash[MAX_HASHLEN];
3490       uschar finalhash[MAX_HASHLEN];
3491       uschar finalhash_hex[2*MAX_HASHLEN];
3492       uschar innerkey[MAX_HASHBLOCKLEN];
3493       uschar outerkey[MAX_HASHBLOCKLEN];
3494
3495       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name))
3496         {
3497         case 1: goto EXPAND_FAILED_CURLY;
3498         case 2:
3499         case 3: goto EXPAND_FAILED;
3500         }
3501
3502       if (Ustrcmp(sub[0], "md5") == 0)
3503         {
3504         type = HMAC_MD5;
3505         use_base = &md5_base;
3506         hashlen = 16;
3507         hashblocklen = 64;
3508         }
3509       else if (Ustrcmp(sub[0], "sha1") == 0)
3510         {
3511         type = HMAC_SHA1;
3512         use_base = &sha1_base;
3513         hashlen = 20;
3514         hashblocklen = 64;
3515         }
3516       else
3517         {
3518         expand_string_message =
3519           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
3520         goto EXPAND_FAILED;
3521         }
3522
3523       keyptr = sub[1];
3524       keylen = Ustrlen(keyptr);
3525
3526       /* If the key is longer than the hash block length, then hash the key
3527       first */
3528
3529       if (keylen > hashblocklen)
3530         {
3531         chash_start(type, use_base);
3532         chash_end(type, use_base, keyptr, keylen, keyhash);
3533         keyptr = keyhash;
3534         keylen = hashlen;
3535         }
3536
3537       /* Now make the inner and outer key values */
3538
3539       memset(innerkey, 0x36, hashblocklen);
3540       memset(outerkey, 0x5c, hashblocklen);
3541
3542       for (i = 0; i < keylen; i++)
3543         {
3544         innerkey[i] ^= keyptr[i];
3545         outerkey[i] ^= keyptr[i];
3546         }
3547
3548       /* Now do the hashes */
3549
3550       chash_start(type, use_base);
3551       chash_mid(type, use_base, innerkey);
3552       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
3553
3554       chash_start(type, use_base);
3555       chash_mid(type, use_base, outerkey);
3556       chash_end(type, use_base, innerhash, hashlen, finalhash);
3557
3558       /* Encode the final hash as a hex string */
3559
3560       p = finalhash_hex;
3561       for (i = 0; i < hashlen; i++)
3562         {
3563         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3564         *p++ = hex_digits[finalhash[i] & 0x0f];
3565         }
3566
3567       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
3568         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
3569
3570       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
3571       }
3572
3573     continue;
3574
3575     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
3576     We have to save the numerical variables and restore them afterwards. */
3577
3578     case EITEM_SG:
3579       {
3580       const pcre *re;
3581       int moffset, moffsetextra, slen;
3582       int roffset;
3583       int emptyopt;
3584       const uschar *rerror;
3585       uschar *subject;
3586       uschar *sub[3];
3587       int save_expand_nmax =
3588         save_expand_strings(save_expand_nstring, save_expand_nlength);
3589
3590       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg"))
3591         {
3592         case 1: goto EXPAND_FAILED_CURLY;
3593         case 2:
3594         case 3: goto EXPAND_FAILED;
3595         }
3596
3597       /* Compile the regular expression */
3598
3599       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
3600         NULL);
3601
3602       if (re == NULL)
3603         {
3604         expand_string_message = string_sprintf("regular expression error in "
3605           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
3606         goto EXPAND_FAILED;
3607         }
3608
3609       /* Now run a loop to do the substitutions as often as necessary. It ends
3610       when there are no more matches. Take care over matches of the null string;
3611       do the same thing as Perl does. */
3612
3613       subject = sub[0];
3614       slen = Ustrlen(sub[0]);
3615       moffset = moffsetextra = 0;
3616       emptyopt = 0;
3617
3618       for (;;)
3619         {
3620         int ovector[3*(EXPAND_MAXN+1)];
3621         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
3622           PCRE_EOPT | emptyopt, ovector, sizeof(ovector)/sizeof(int));
3623         int nn;
3624         uschar *insert;
3625
3626         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
3627         is not necessarily the end. We want to repeat the match from one
3628         character further along, but leaving the basic offset the same (for
3629         copying below). We can't be at the end of the string - that was checked
3630         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
3631         finished; copy the remaining string and end the loop. */
3632
3633         if (n < 0)
3634           {
3635           if (emptyopt != 0)
3636             {
3637             moffsetextra = 1;
3638             emptyopt = 0;
3639             continue;
3640             }
3641           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
3642           break;
3643           }
3644
3645         /* Match - set up for expanding the replacement. */
3646
3647         if (n == 0) n = EXPAND_MAXN + 1;
3648         expand_nmax = 0;
3649         for (nn = 0; nn < n*2; nn += 2)
3650           {
3651           expand_nstring[expand_nmax] = subject + ovector[nn];
3652           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
3653           }
3654         expand_nmax--;
3655
3656         /* Copy the characters before the match, plus the expanded insertion. */
3657
3658         yield = string_cat(yield, &size, &ptr, subject + moffset,
3659           ovector[0] - moffset);
3660         insert = expand_string(sub[2]);
3661         if (insert == NULL) goto EXPAND_FAILED;
3662         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
3663
3664         moffset = ovector[1];
3665         moffsetextra = 0;
3666         emptyopt = 0;
3667
3668         /* If we have matched an empty string, first check to see if we are at
3669         the end of the subject. If so, the loop is over. Otherwise, mimic
3670         what Perl's /g options does. This turns out to be rather cunning. First
3671         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
3672         string at the same point. If this fails (picked up above) we advance to
3673         the next character. */
3674
3675         if (ovector[0] == ovector[1])
3676           {
3677           if (ovector[0] == slen) break;
3678           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
3679           }
3680         }
3681
3682       /* All done - restore numerical variables. */
3683
3684       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3685         save_expand_nlength);
3686       continue;
3687       }
3688
3689     /* Handle keyed and numbered substring extraction. If the first argument
3690     consists entirely of digits, then a numerical extraction is assumed. */
3691
3692     case EITEM_EXTRACT:
3693       {
3694       int i;
3695       int j = 2;
3696       int field_number = 1;
3697       BOOL field_number_set = FALSE;
3698       uschar *save_lookup_value = lookup_value;
3699       uschar *sub[3];
3700       int save_expand_nmax =
3701         save_expand_strings(save_expand_nstring, save_expand_nlength);
3702
3703       /* Read the arguments */
3704
3705       for (i = 0; i < j; i++)
3706         {
3707         while (isspace(*s)) s++;
3708         if (*s == '{')
3709           {
3710           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
3711           if (sub[i] == NULL) goto EXPAND_FAILED;
3712           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3713
3714           /* After removal of leading and trailing white space, the first
3715           argument must not be empty; if it consists entirely of digits
3716           (optionally preceded by a minus sign), this is a numerical
3717           extraction, and we expect 3 arguments. */
3718
3719           if (i == 0)
3720             {
3721             int len;
3722             int x = 0;
3723             uschar *p = sub[0];
3724
3725             while (isspace(*p)) p++;
3726             sub[0] = p;
3727
3728             len = Ustrlen(p);
3729             while (len > 0 && isspace(p[len-1])) len--;
3730             p[len] = 0;
3731
3732             if (*p == 0)
3733               {
3734               expand_string_message = US"first argument of \"expand\" must not "
3735                 "be empty";
3736               goto EXPAND_FAILED;
3737               }
3738
3739             if (*p == '-')
3740               {
3741               field_number = -1;
3742               p++;
3743               }
3744             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
3745             if (*p == 0)
3746               {
3747               field_number *= x;
3748               j = 3;               /* Need 3 args */
3749               field_number_set = TRUE;
3750               }
3751             }
3752           }
3753         else goto EXPAND_FAILED_CURLY;
3754         }
3755
3756       /* Extract either the numbered or the keyed substring into $value. If
3757       skipping, just pretend the extraction failed. */
3758
3759       lookup_value = skipping? NULL : field_number_set?
3760         expand_gettokened(field_number, sub[1], sub[2]) :
3761         expand_getkeyed(sub[0], sub[1]);
3762
3763       /* If no string follows, $value gets substituted; otherwise there can
3764       be yes/no strings, as for lookup or if. */
3765
3766       switch(process_yesno(
3767                skipping,                     /* were previously skipping */
3768                lookup_value != NULL,         /* success/failure indicator */
3769                save_lookup_value,            /* value to reset for string2 */
3770                &s,                           /* input pointer */
3771                &yield,                       /* output pointer */
3772                &size,                        /* output size */
3773                &ptr,                         /* output current point */
3774                US"extract"))                 /* condition type */
3775         {
3776         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3777         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3778         }
3779
3780       /* All done - restore numerical variables. */
3781
3782       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3783         save_expand_nlength);
3784
3785       continue;
3786       }
3787     }
3788
3789   /* Control reaches here if the name is not recognized as one of the more
3790   complicated expansion items. Check for the "operator" syntax (name terminated
3791   by a colon). Some of the operators have arguments, separated by _ from the
3792   name. */
3793
3794   if (*s == ':')
3795     {
3796     int c;
3797     uschar *arg = NULL;
3798     uschar *sub = expand_string_internal(s+1, TRUE, &s, skipping);
3799     if (sub == NULL) goto EXPAND_FAILED;
3800     s++;
3801
3802     /* Owing to an historical mis-design, an underscore may be part of the
3803     operator name, or it may introduce arguments.  We therefore first scan the
3804     table of names that contain underscores. If there is no match, we cut off
3805     the arguments and then scan the main table. */
3806
3807     c = chop_match(name, op_table_underscore,
3808       sizeof(op_table_underscore)/sizeof(uschar *));
3809
3810     if (c < 0)
3811       {
3812       arg = Ustrchr(name, '_');
3813       if (arg != NULL) *arg = 0;
3814       c = chop_match(name, op_table_main,
3815         sizeof(op_table_main)/sizeof(uschar *));
3816       if (c >= 0) c += sizeof(op_table_underscore)/sizeof(uschar *);
3817       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
3818       }
3819
3820     /* If we are skipping, we don't need to perform the operation at all.
3821     This matters for operations like "mask", because the data may not be
3822     in the correct format when skipping. For example, the expression may test
3823     for the existence of $sender_host_address before trying to mask it. For
3824     other operations, doing them may not fail, but it is a waste of time. */
3825
3826     if (skipping && c >= 0) continue;
3827
3828     /* Otherwise, switch on the operator type */
3829
3830     switch(c)
3831       {
3832       case EOP_BASE62:
3833         {
3834         uschar *t;
3835         unsigned long int n = Ustrtoul(sub, &t, 10);
3836         if (*t != 0)
3837           {
3838           expand_string_message = string_sprintf("argument for base62 "
3839             "operator is \"%s\", which is not a decimal number", sub);
3840           goto EXPAND_FAILED;
3841           }
3842         t = string_base62(n);
3843         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
3844         continue;
3845         }
3846
3847       case EOP_BASE62D:
3848         {
3849         uschar buf[16];
3850         uschar *tt = sub;
3851         unsigned long int n = 0;
3852         while (*tt != 0)
3853           {
3854           uschar *t = Ustrchr(base62_chars, *tt++);
3855           if (t == NULL)
3856             {
3857             expand_string_message = string_sprintf("argument for base62d "
3858               "operator is \"%s\", which is not a base 62 number", sub);
3859             goto EXPAND_FAILED;
3860             }
3861           n = n * 62 + (t - base62_chars);
3862           }
3863         (void)sprintf(CS buf, "%ld", n);
3864         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
3865         continue;
3866         }
3867
3868       case EOP_EXPAND:
3869         {
3870         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping);
3871         if (expanded == NULL)
3872           {
3873           expand_string_message =
3874             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
3875               expand_string_message);
3876           goto EXPAND_FAILED;
3877           }
3878         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
3879         continue;
3880         }
3881
3882       case EOP_LC:
3883         {
3884         int count = 0;
3885         uschar *t = sub - 1;
3886         while (*(++t) != 0) { *t = tolower(*t); count++; }
3887         yield = string_cat(yield, &size, &ptr, sub, count);
3888         continue;
3889         }
3890
3891       case EOP_UC:
3892         {
3893         int count = 0;
3894         uschar *t = sub - 1;
3895         while (*(++t) != 0) { *t = toupper(*t); count++; }
3896         yield = string_cat(yield, &size, &ptr, sub, count);
3897         continue;
3898         }
3899
3900       case EOP_MD5:
3901         {
3902         md5 base;
3903         uschar digest[16];
3904         int j;
3905         char st[33];
3906         md5_start(&base);
3907         md5_end(&base, sub, Ustrlen(sub), digest);
3908         for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
3909         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
3910         continue;
3911         }
3912
3913       case EOP_SHA1:
3914         {
3915         sha1 base;
3916         uschar digest[20];
3917         int j;
3918         char st[41];
3919         sha1_start(&base);
3920         sha1_end(&base, sub, Ustrlen(sub), digest);
3921         for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
3922         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
3923         continue;
3924         }
3925
3926       /* Convert hex encoding to base64 encoding */
3927
3928       case EOP_HEX2B64:
3929         {
3930         int c = 0;
3931         int b = -1;
3932         uschar *in = sub;
3933         uschar *out = sub;
3934         uschar *enc;
3935
3936         for (enc = sub; *enc != 0; enc++)
3937           {
3938           if (!isxdigit(*enc))
3939             {
3940             expand_string_message = string_sprintf("\"%s\" is not a hex "
3941               "string", sub);
3942             goto EXPAND_FAILED;
3943             }
3944           c++;
3945           }
3946
3947         if ((c & 1) != 0)
3948           {
3949           expand_string_message = string_sprintf("\"%s\" contains an odd "
3950             "number of characters", sub);
3951           goto EXPAND_FAILED;
3952           }
3953
3954         while ((c = *in++) != 0)
3955           {
3956           if (isdigit(c)) c -= '0';
3957           else c = toupper(c) - 'A' + 10;
3958           if (b == -1)
3959             {
3960             b = c << 4;
3961             }
3962           else
3963             {
3964             *out++ = b | c;
3965             b = -1;
3966             }
3967           }
3968
3969         enc = auth_b64encode(sub, out - sub);
3970         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
3971         continue;
3972         }
3973
3974       /* mask applies a mask to an IP address; for example the result of
3975       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
3976
3977       case EOP_MASK:
3978         {
3979         int count;
3980         uschar *endptr;
3981         int binary[4];
3982         int mask, maskoffset;
3983         int type = string_is_ip_address(sub, &maskoffset);
3984         uschar buffer[64];
3985
3986         if (type == 0)
3987           {
3988           expand_string_message = string_sprintf("\"%s\" is not an IP address",
3989            sub);
3990           goto EXPAND_FAILED;
3991           }
3992
3993         if (maskoffset == 0)
3994           {
3995           expand_string_message = string_sprintf("missing mask value in \"%s\"",
3996             sub);
3997           goto EXPAND_FAILED;
3998           }
3999
4000         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
4001
4002         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
4003           {
4004           expand_string_message = string_sprintf("mask value too big in \"%s\"",
4005             sub);
4006           goto EXPAND_FAILED;
4007           }
4008
4009         /* Convert the address to binary integer(s) and apply the mask */
4010
4011         sub[maskoffset] = 0;
4012         count = host_aton(sub, binary);
4013         host_mask(count, binary, mask);
4014
4015         /* Convert to masked textual format and add to output. */
4016
4017         yield = string_cat(yield, &size, &ptr, buffer,
4018           host_nmtoa(count, binary, mask, buffer, '.'));
4019         continue;
4020         }
4021
4022       case EOP_ADDRESS:
4023       case EOP_LOCAL_PART:
4024       case EOP_DOMAIN:
4025         {
4026         uschar *error;
4027         int start, end, domain;
4028         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
4029           FALSE);
4030         if (t != NULL)
4031           {
4032           if (c != EOP_DOMAIN)
4033             {
4034             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
4035             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
4036             }
4037           else if (domain != 0)
4038             {
4039             domain += start;
4040             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
4041             }
4042           }
4043         continue;
4044         }
4045
4046       /* quote puts a string in quotes if it is empty or contains anything
4047       other than alphamerics, underscore, dot, or hyphen.
4048
4049       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
4050       be quoted in order to be a valid local part.
4051
4052       In both cases, newlines and carriage returns are converted into \n and \r
4053       respectively */
4054
4055       case EOP_QUOTE:
4056       case EOP_QUOTE_LOCAL_PART:
4057       if (arg == NULL)
4058         {
4059         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
4060         uschar *t = sub - 1;
4061
4062         if (c == EOP_QUOTE)
4063           {
4064           while (!needs_quote && *(++t) != 0)
4065             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
4066           }
4067         else  /* EOP_QUOTE_LOCAL_PART */
4068           {
4069           while (!needs_quote && *(++t) != 0)
4070             needs_quote = !isalnum(*t) &&
4071               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
4072               (*t != '.' || t == sub || t[1] == 0);
4073           }
4074
4075         if (needs_quote)
4076           {
4077           yield = string_cat(yield, &size, &ptr, US"\"", 1);
4078           t = sub - 1;
4079           while (*(++t) != 0)
4080             {
4081             if (*t == '\n')
4082               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
4083             else if (*t == '\r')
4084               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
4085             else
4086               {
4087               if (*t == '\\' || *t == '"')
4088                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
4089               yield = string_cat(yield, &size, &ptr, t, 1);
4090               }
4091             }
4092           yield = string_cat(yield, &size, &ptr, US"\"", 1);
4093           }
4094         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
4095         continue;
4096         }
4097
4098       /* quote_lookuptype does lookup-specific quoting */
4099
4100       else
4101         {
4102         int n;
4103         uschar *opt = Ustrchr(arg, '_');
4104
4105         if (opt != NULL) *opt++ = 0;
4106
4107         n = search_findtype(arg, Ustrlen(arg));
4108         if (n < 0)
4109           {
4110           expand_string_message = search_error_message;
4111           goto EXPAND_FAILED;
4112           }
4113
4114         if (lookup_list[n].quote != NULL)
4115           sub = (lookup_list[n].quote)(sub, opt);
4116         else if (opt != NULL) sub = NULL;
4117
4118         if (sub == NULL)
4119           {
4120           expand_string_message = string_sprintf(
4121             "\"%s\" unrecognized after \"${quote_%s\"",
4122             opt, arg);
4123           goto EXPAND_FAILED;
4124           }
4125
4126         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
4127         continue;
4128         }
4129
4130       /* rx quote sticks in \ before any non-alphameric character so that
4131       the insertion works in a regular expression. */
4132
4133       case EOP_RXQUOTE:
4134         {
4135         uschar *t = sub - 1;
4136         while (*(++t) != 0)
4137           {
4138           if (!isalnum(*t))
4139             yield = string_cat(yield, &size, &ptr, US"\\", 1);
4140           yield = string_cat(yield, &size, &ptr, t, 1);
4141           }
4142         continue;
4143         }
4144
4145       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
4146       prescribed by the RFC, if there are characters that need to be encoded */
4147
4148       case EOP_RFC2047:
4149         {
4150         uschar buffer[2048];
4151         uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
4152           buffer, sizeof(buffer));
4153         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
4154         continue;
4155         }
4156
4157       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
4158       underscores */
4159
4160       case EOP_FROM_UTF8:
4161         {
4162         while (*sub != 0)
4163           {
4164           int c;
4165           uschar buff[4];
4166           GETUTF8INC(c, sub);
4167           if (c > 255) c = '_';
4168           buff[0] = c;
4169           yield = string_cat(yield, &size, &ptr, buff, 1);
4170           }
4171         continue;
4172         }
4173
4174       /* escape turns all non-printing characters into escape sequences. */
4175
4176       case EOP_ESCAPE:
4177         {
4178         uschar *t = string_printing(sub);
4179         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4180         continue;
4181         }
4182
4183       /* Handle numeric expression evaluation */
4184
4185       case EOP_EVAL:
4186       case EOP_EVAL10:
4187         {
4188         uschar *save_sub = sub;
4189         uschar *error = NULL;
4190         int n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
4191         if (error != NULL)
4192           {
4193           expand_string_message = string_sprintf("error in expression "
4194             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
4195               save_sub);
4196           goto EXPAND_FAILED;
4197           }
4198         sprintf(CS var_buffer, "%d", n);
4199         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
4200         continue;
4201         }
4202
4203       /* Handle time period formating */
4204
4205       case EOP_TIME_INTERVAL:
4206         {
4207         int n;
4208         uschar *t = read_number(&n, sub);
4209         if (*t != 0) /* Not A Number*/
4210           {
4211           expand_string_message = string_sprintf("string \"%s\" is not a "
4212             "positive number in \"%s\" operator", sub, name);
4213           goto EXPAND_FAILED;
4214           }
4215         t = readconf_printtime(n);
4216         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4217         continue;
4218         }
4219
4220       /* Convert string to base64 encoding */
4221
4222       case EOP_STR2B64:
4223         {
4224         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
4225         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
4226         continue;
4227         }
4228
4229       /* strlen returns the length of the string */
4230
4231       case EOP_STRLEN:
4232         {
4233         uschar buff[24];
4234         (void)sprintf(CS buff, "%d", Ustrlen(sub));
4235         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
4236         continue;
4237         }
4238
4239       /* length_n or l_n takes just the first n characters or the whole string,
4240       whichever is the shorter;
4241
4242       substr_m_n, and s_m_n take n characters from offset m; negative m take
4243       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
4244       takes the rest, either to the right or to the left.
4245
4246       hash_n or h_n makes a hash of length n from the string, yielding n
4247       characters from the set a-z; hash_n_m makes a hash of length n, but
4248       uses m characters from the set a-zA-Z0-9.
4249
4250       nhash_n returns a single number between 0 and n-1 (in text form), while
4251       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
4252       between 0 and n-1 and the second between 0 and m-1. */
4253
4254       case EOP_LENGTH:
4255       case EOP_L:
4256       case EOP_SUBSTR:
4257       case EOP_S:
4258       case EOP_HASH:
4259       case EOP_H:
4260       case EOP_NHASH:
4261       case EOP_NH:
4262         {
4263         int sign = 1;
4264         int value1 = 0;
4265         int value2 = -1;
4266         int *pn;
4267         int len;
4268         uschar *ret;
4269
4270         if (arg == NULL)
4271           {
4272           expand_string_message = string_sprintf("missing values after %s",
4273             name);
4274           goto EXPAND_FAILED;
4275           }
4276
4277         /* "length" has only one argument, effectively being synonymous with
4278         substr_0_n. */
4279
4280         if (c == EOP_LENGTH || c == EOP_L)
4281           {
4282           pn = &value2;
4283           value2 = 0;
4284           }
4285
4286         /* The others have one or two arguments; for "substr" the first may be
4287         negative. The second being negative means "not supplied". */
4288
4289         else
4290           {
4291           pn = &value1;
4292           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
4293           }
4294
4295         /* Read up to two numbers, separated by underscores */
4296
4297         ret = arg;
4298         while (*arg != 0)
4299           {
4300           if (arg != ret && *arg == '_' && pn == &value1)
4301             {
4302             pn = &value2;
4303             value2 = 0;
4304             if (arg[1] != 0) arg++;
4305             }
4306           else if (!isdigit(*arg))
4307             {
4308             expand_string_message =
4309               string_sprintf("non-digit after underscore in \"%s\"", name);
4310             goto EXPAND_FAILED;
4311             }
4312           else *pn = (*pn)*10 + *arg++ - '0';
4313           }
4314         value1 *= sign;
4315
4316         /* Perform the required operation */
4317
4318         ret =
4319           (c == EOP_HASH || c == EOP_H)?
4320              compute_hash(sub, value1, value2, &len) :
4321           (c == EOP_NHASH || c == EOP_NH)?
4322              compute_nhash(sub, value1, value2, &len) :
4323              extract_substr(sub, value1, value2, &len);
4324
4325         if (ret == NULL) goto EXPAND_FAILED;
4326         yield = string_cat(yield, &size, &ptr, ret, len);
4327         continue;
4328         }
4329
4330       /* Stat a path */
4331
4332       case EOP_STAT:
4333         {
4334         uschar *s;
4335         uschar smode[12];
4336         uschar **modetable[3];
4337         int i;
4338         mode_t mode;
4339         struct stat st;
4340
4341         if (stat(CS sub, &st) < 0)
4342           {
4343           expand_string_message = string_sprintf("stat(%s) failed: %s",
4344             sub, strerror(errno));
4345           goto EXPAND_FAILED;
4346           }
4347         mode = st.st_mode;
4348         switch (mode & S_IFMT)
4349           {
4350           case S_IFIFO: smode[0] = 'p'; break;
4351           case S_IFCHR: smode[0] = 'c'; break;
4352           case S_IFDIR: smode[0] = 'd'; break;
4353           case S_IFBLK: smode[0] = 'b'; break;
4354           case S_IFREG: smode[0] = '-'; break;
4355           default: smode[0] = '?'; break;
4356           }
4357
4358         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
4359         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
4360         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
4361
4362         for (i = 0; i < 3; i++)
4363           {
4364           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
4365           mode >>= 3;
4366           }
4367
4368         smode[10] = 0;
4369         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
4370           "uid=%ld gid=%ld size=%ld atime=%ld mtime=%ld ctime=%ld",
4371           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
4372           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
4373           (long)st.st_gid, (long)st.st_size, (long)st.st_atime,
4374           (long)st.st_mtime, (long)st.st_ctime);
4375         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
4376         continue;
4377         }
4378
4379       /* Unknown operator */
4380
4381       default:
4382       expand_string_message =
4383         string_sprintf("unknown expansion operator \"%s\"", name);
4384       goto EXPAND_FAILED;
4385       }
4386     }
4387
4388   /* Handle a plain name. If this is the first thing in the expansion, release
4389   the pre-allocated buffer. If the result data is known to be in a new buffer,
4390   newsize will be set to the size of that buffer, and we can just point at that
4391   store instead of copying. Many expansion strings contain just one reference,
4392   so this is a useful optimization, especially for humungous headers
4393   ($message_headers). */
4394
4395   if (*s++ == '}')
4396     {
4397     int len;
4398     int newsize = 0;
4399     if (ptr == 0)
4400       {
4401       store_reset(yield);
4402       yield = NULL;
4403       size = 0;
4404       }
4405     value = find_variable(name, FALSE, skipping, &newsize);
4406     if (value == NULL)
4407       {
4408       expand_string_message =
4409         string_sprintf("unknown variable in \"${%s}\"", name);
4410       goto EXPAND_FAILED;
4411       }
4412     len = Ustrlen(value);
4413     if (yield == NULL && newsize != 0)
4414       {
4415       yield = value;
4416       size = newsize;
4417       ptr = len;
4418       }
4419     else yield = string_cat(yield, &size, &ptr, value, len);
4420     continue;
4421     }
4422
4423   /* Else there's something wrong */
4424
4425   expand_string_message =
4426     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
4427     "in a variable reference)", name);
4428   goto EXPAND_FAILED;
4429   }
4430
4431 /* If we hit the end of the string when ket_ends is set, there is a missing
4432 terminating brace. */
4433
4434 if (ket_ends && *s == 0)
4435   {
4436   expand_string_message = malformed_header?
4437     US"missing } at end of string - could be header name not terminated by colon"
4438     :
4439     US"missing } at end of string";
4440   goto EXPAND_FAILED;
4441   }
4442
4443 /* Expansion succeeded; yield may still be NULL here if nothing was actually
4444 added to the string. If so, set up an empty string. Add a terminating zero. If
4445 left != NULL, return a pointer to the terminator. */
4446
4447 if (yield == NULL) yield = store_get(1);
4448 yield[ptr] = 0;
4449 if (left != NULL) *left = s;
4450
4451 /* Any stacking store that was used above the final string is no longer needed.
4452 In many cases the final string will be the first one that was got and so there
4453 will be optimal store usage. */
4454
4455 store_reset(yield + ptr + 1);
4456 DEBUG(D_expand)
4457   {
4458   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
4459     yield);
4460   if (skipping) debug_printf("skipping: result is not used\n");
4461   }
4462 return yield;
4463
4464 /* This is the failure exit: easiest to program with a goto. We still need
4465 to update the pointer to the terminator, for cases of nested calls with "fail".
4466 */
4467
4468 EXPAND_FAILED_CURLY:
4469 expand_string_message = malformed_header?
4470   US"missing or misplaced { or } - could be header name not terminated by colon"
4471   :
4472   US"missing or misplaced { or }";
4473
4474 /* At one point, Exim reset the store to yield (if yield was not NULL), but
4475 that is a bad idea, because expand_string_message is in dynamic store. */
4476
4477 EXPAND_FAILED:
4478 if (left != NULL) *left = s;
4479 DEBUG(D_expand)
4480   {
4481   debug_printf("failed to expand: %s\n", string);
4482   debug_printf("   error message: %s\n", expand_string_message);
4483   if (expand_string_forcedfail) debug_printf("failure was forced\n");
4484   }
4485 return NULL;
4486 }
4487
4488
4489 /* This is the external function call. Do a quick check for any expansion
4490 metacharacters, and if there are none, just return the input string.
4491
4492 Argument: the string to be expanded
4493 Returns:  the expanded string, or NULL if expansion failed; if failure was
4494           due to a lookup deferring, search_find_defer will be TRUE
4495 */
4496
4497 uschar *
4498 expand_string(uschar *string)
4499 {
4500 search_find_defer = FALSE;
4501 malformed_header = FALSE;
4502 return (Ustrpbrk(string, "$\\") == NULL)? string :
4503   expand_string_internal(string, FALSE, NULL, FALSE);
4504 }
4505
4506
4507
4508 /*************************************************
4509 *              Expand and copy                   *
4510 *************************************************/
4511
4512 /* Now and again we want to expand a string and be sure that the result is in a
4513 new bit of store. This function does that.
4514
4515 Argument: the string to be expanded
4516 Returns:  the expanded string, always in a new bit of store, or NULL
4517 */
4518
4519 uschar *
4520 expand_string_copy(uschar *string)
4521 {
4522 uschar *yield = expand_string(string);
4523 if (yield == string) yield = string_copy(string);
4524 return yield;
4525 }
4526
4527
4528
4529 /*************************************************
4530 *        Expand and interpret as an integer      *
4531 *************************************************/
4532
4533 /* Expand a string, and convert the result into an integer.
4534
4535 Argument: the string to be expanded
4536
4537 Returns:  the integer value, or
4538           -1 for an expansion error               ) in both cases, message in
4539           -2 for an integer interpretation error  ) expand_string_message
4540
4541 */
4542
4543 int
4544 expand_string_integer(uschar *string)
4545 {
4546 long int value;
4547 uschar *s = expand_string(string);
4548 uschar *msg = US"invalid integer \"%s\"";
4549 uschar *endptr;
4550
4551 if (s == NULL) return -1;
4552
4553 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
4554 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
4555 systems, so we set it zero ourselves. */
4556
4557 errno = 0;
4558 value = strtol(CS s, CSS &endptr, 0);
4559
4560 if (endptr == s)
4561   {
4562   msg = US"integer expected but \"%s\" found";
4563   }
4564 else
4565   {
4566   /* Ensure we can cast this down to an int */
4567   if (value > INT_MAX  || value < INT_MIN) errno = ERANGE;
4568
4569   if (errno != ERANGE)
4570     {
4571     if (tolower(*endptr) == 'k')
4572       {
4573       if (value > INT_MAX/1024 || value < INT_MIN/1024) errno = ERANGE;
4574         else value *= 1024;
4575       endptr++;
4576       }
4577     else if (tolower(*endptr) == 'm')
4578       {
4579       if (value > INT_MAX/(1024*1024) || value < INT_MIN/(1024*1024))
4580         errno = ERANGE;
4581       else value *= 1024*1024;
4582       endptr++;
4583       }
4584     }
4585   if (errno == ERANGE)
4586     msg = US"absolute value of integer \"%s\" is too large (overflow)";
4587   else
4588     {
4589     while (isspace(*endptr)) endptr++;
4590     if (*endptr == 0) return (int)value;
4591     }
4592   }
4593
4594 expand_string_message = string_sprintf(CS msg, s);
4595 return -2;
4596 }
4597
4598
4599
4600 /*************************************************
4601 **************************************************
4602 *             Stand-alone test program           *
4603 **************************************************
4604 *************************************************/
4605
4606 #ifdef STAND_ALONE
4607
4608
4609 BOOL
4610 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
4611 {
4612 int ovector[3*(EXPAND_MAXN+1)];
4613 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
4614   ovector, sizeof(ovector)/sizeof(int));
4615 BOOL yield = n >= 0;
4616 if (n == 0) n = EXPAND_MAXN + 1;
4617 if (yield)
4618   {
4619   int nn;
4620   expand_nmax = (setup < 0)? 0 : setup + 1;
4621   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
4622     {
4623     expand_nstring[expand_nmax] = subject + ovector[nn];
4624     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
4625     }
4626   expand_nmax--;
4627   }
4628 return yield;
4629 }
4630
4631
4632 int main(int argc, uschar **argv)
4633 {
4634 int i;
4635 uschar buffer[1024];
4636
4637 debug_selector = D_v;
4638 debug_file = stderr;
4639 debug_fd = fileno(debug_file);
4640 big_buffer = malloc(big_buffer_size);
4641
4642 for (i = 1; i < argc; i++)
4643   {
4644   if (argv[i][0] == '+')
4645     {
4646     debug_trace_memory = 2;
4647     argv[i]++;
4648     }
4649   if (isdigit(argv[i][0]))
4650     debug_selector = Ustrtol(argv[i], NULL, 0);
4651   else
4652     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
4653         Ustrlen(argv[i]))
4654       {
4655       #ifdef LOOKUP_LDAP
4656       eldap_default_servers = argv[i];
4657       #endif
4658       #ifdef LOOKUP_MYSQL
4659       mysql_servers = argv[i];
4660       #endif
4661       #ifdef LOOKUP_PGSQL
4662       pgsql_servers = argv[i];
4663       #endif
4664       }
4665   #ifdef EXIM_PERL
4666   else opt_perl_startup = argv[i];
4667   #endif
4668   }
4669
4670 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
4671
4672 expand_nstring[1] = US"string 1....";
4673 expand_nlength[1] = 8;
4674 expand_nmax = 1;
4675
4676 #ifdef EXIM_PERL
4677 if (opt_perl_startup != NULL)
4678   {
4679   uschar *errstr;
4680   printf("Starting Perl interpreter\n");
4681   errstr = init_perl(opt_perl_startup);
4682   if (errstr != NULL)
4683     {
4684     printf("** error in perl_startup code: %s\n", errstr);
4685     return EXIT_FAILURE;
4686     }
4687   }
4688 #endif /* EXIM_PERL */
4689
4690 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
4691   {
4692   void *reset_point = store_get(0);
4693   uschar *yield = expand_string(buffer);
4694   if (yield != NULL)
4695     {
4696     printf("%s\n", yield);
4697     store_reset(reset_point);
4698     }
4699   else
4700     {
4701     if (search_find_defer) printf("search_find deferred\n");
4702     printf("Failed: %s\n", expand_string_message);
4703     if (expand_string_forcedfail) printf("Forced failure\n");
4704     printf("\n");
4705     }
4706   }
4707
4708 search_tidyup();
4709
4710 return 0;
4711 }
4712
4713 #endif
4714
4715 /* End of expand.c */