82885db56ee051259b5336fd9923fb558d0714e6
[exim.git] / src / src / spool_in.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2022 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9 /* Functions for reading spool files. When compiling for a utility (eximon),
10 not all are needed, and some functionality can be cut out. */
11
12
13 #include "exim.h"
14
15
16
17 #ifndef COMPILE_UTILITY
18 /*************************************************
19 *           Open and lock data file              *
20 *************************************************/
21
22 /* The data file is the one that is used for locking, because the header file
23 can get replaced during delivery because of header rewriting. The file has
24 to opened with write access so that we can get an exclusive lock, but in
25 fact it won't be written to. Just in case there's a major disaster (e.g.
26 overwriting some other file descriptor with the value of this one), open it
27 with append.
28
29 As called by deliver_message() (at least) we are operating as root.
30
31 Argument: the id of the message
32 Returns:  fd if file successfully opened and locked, else -1
33
34 Side effect: message_subdir is set for the (possibly split) spool directory
35 */
36
37 int
38 spool_open_datafile(uschar *id)
39 {
40 struct stat statbuf;
41 flock_t lock_data;
42 int fd;
43
44 /* If split_spool_directory is set, first look for the file in the appropriate
45 sub-directory of the input directory. If it is not found there, try the input
46 directory itself, to pick up leftovers from before the splitting. If split_
47 spool_directory is not set, first look in the main input directory. If it is
48 not found there, try the split sub-directory, in case it is left over from a
49 splitting state. */
50
51 for (int i = 0; i < 2; i++)
52   {
53   uschar * fname;
54   int save_errno;
55
56   set_subdir_str(message_subdir, id, i);
57   fname = spool_fname(US"input", message_subdir, id, US"-D");
58   DEBUG(D_deliver) debug_printf_indent("Trying spool file %s\n", fname);
59
60   /* We protect against symlink attacks both in not propagating the
61    * file-descriptor to other processes as we exec, and also ensuring that we
62    * don't even open symlinks.
63    * No -D file inside the spool area should be a symlink.
64    */
65   if ((fd = Uopen(fname,
66 #ifdef O_CLOEXEC
67                       O_CLOEXEC |
68 #endif
69 #ifdef O_NOFOLLOW
70                       O_NOFOLLOW |
71 #endif
72                       O_RDWR | O_APPEND, 0)) >= 0)
73     break;
74   save_errno = errno;
75   if (errno == ENOENT)
76     {
77     if (i == 0) continue;
78     if (!f.queue_running)
79       log_write(0, LOG_MAIN, "Spool%s%s file %s-D not found",
80         *queue_name ? US" Q=" : US"",
81         *queue_name ? queue_name : US"",
82         id);
83     }
84   else
85     log_write(0, LOG_MAIN, "Spool error for %s: %s", fname, strerror(errno));
86   errno = save_errno;
87   return -1;
88   }
89
90 /* File is open and message_subdir is set. Set the close-on-exec flag, and lock
91 the file. We lock only the first line of the file (containing the message ID)
92 because this apparently is needed for running Exim under Cygwin. If the entire
93 file is locked in one process, a sub-process cannot access it, even when passed
94 an open file descriptor (at least, I think that's the Cygwin story). On real
95 Unix systems it doesn't make any difference as long as Exim is consistent in
96 what it locks. */
97
98 #ifndef O_CLOEXEC
99 (void)fcntl(fd, F_SETFD, fcntl(fd, F_GETFD) | FD_CLOEXEC);
100 #endif
101
102 lock_data.l_type = F_WRLCK;
103 lock_data.l_whence = SEEK_SET;
104 lock_data.l_start = 0;
105 lock_data.l_len = SPOOL_DATA_START_OFFSET;
106
107 if (fcntl(fd, F_SETLK, &lock_data) < 0)
108   {
109   log_write(L_skip_delivery, LOG_MAIN,
110       "Spool file for %s is locked (another process is handling this message)",
111       id);
112   (void)close(fd);
113   errno = 0;
114   return -1;
115   }
116
117 /* Get the size of the data; don't include the leading filename line
118 in the count, but add one for the newline before the data. */
119
120 if (fstat(fd, &statbuf) == 0)
121   {
122   message_body_size = statbuf.st_size - SPOOL_DATA_START_OFFSET;
123   message_size = message_body_size + 1;
124   }
125
126 return fd;
127 }
128 #endif  /* COMPILE_UTILITY */
129
130
131
132 /*************************************************
133 *    Read non-recipients tree from spool file    *
134 *************************************************/
135
136 /* The tree of non-recipients is written to the spool file in a form that
137 makes it easy to read back into a tree. The format is as follows:
138
139    . Each node is preceded by two letter(Y/N) indicating whether it has left
140      or right children. There's one space after the two flags, before the name.
141
142    . The left subtree (if any) then follows, then the right subtree (if any).
143
144 This function is entered with the next input line in the buffer. Note we must
145 save the right flag before recursing with the same buffer.
146
147 Once the tree is read, we re-construct the balance fields by scanning the tree.
148 I forgot to write them out originally, and the compatible fix is to do it this
149 way. This initial local recursing function does the necessary.
150
151 Arguments:
152   node      tree node
153
154 Returns:    maximum depth below the node, including the node itself
155 */
156
157 static int
158 count_below(tree_node *node)
159 {
160 int nleft, nright;
161 if (node == NULL) return 0;
162 nleft = count_below(node->left);
163 nright = count_below(node->right);
164 node->balance = (nleft > nright)? 1 : ((nright > nleft)? 2 : 0);
165 return 1 + ((nleft > nright)? nleft : nright);
166 }
167
168 /* This is the real function...
169
170 Arguments:
171   connect      pointer to the root of the tree
172   f            FILE to read data from
173   buffer       contains next input line; further lines read into it
174   buffer_size  size of the buffer
175
176 Returns:       FALSE on format error
177 */
178
179 static BOOL
180 read_nonrecipients_tree(tree_node **connect, FILE *f, uschar *buffer,
181   int buffer_size)
182 {
183 tree_node *node;
184 int n = Ustrlen(buffer);
185 BOOL right = buffer[1] == 'Y';
186
187 if (n < 5) return FALSE;    /* malformed line */
188 buffer[n-1] = 0;            /* Remove \n */
189 node = store_get(sizeof(tree_node) + n - 3, GET_TAINTED);       /* rcpt names tainted */
190 *connect = node;
191 Ustrcpy(node->name, buffer + 3);
192 node->data.ptr = NULL;
193
194 if (buffer[0] == 'Y')
195   {
196   if (Ufgets(buffer, buffer_size, f) == NULL ||
197     !read_nonrecipients_tree(&node->left, f, buffer, buffer_size))
198       return FALSE;
199   }
200 else node->left = NULL;
201
202 if (right)
203   {
204   if (Ufgets(buffer, buffer_size, f) == NULL ||
205     !read_nonrecipients_tree(&node->right, f, buffer, buffer_size))
206       return FALSE;
207   }
208 else node->right = NULL;
209
210 (void) count_below(*connect);
211 return TRUE;
212 }
213
214
215
216
217 /* Reset all the global variables to their default values. However, there is
218 one exception. DO NOT change the default value of dont_deliver, because it may
219 be forced by an external setting. */
220
221 void
222 spool_clear_header_globals(void)
223 {
224 acl_var_c = acl_var_m = NULL;
225 authenticated_id = NULL;
226 authenticated_sender = NULL;
227 f.allow_unqualified_recipient = FALSE;
228 f.allow_unqualified_sender = FALSE;
229 body_linecount = 0;
230 body_zerocount = 0;
231 f.deliver_firsttime = FALSE;
232 f.deliver_freeze = FALSE;
233 deliver_frozen_at = 0;
234 f.deliver_manual_thaw = FALSE;
235 /* f.dont_deliver must NOT be reset */
236 header_list = header_last = NULL;
237 host_lookup_deferred = FALSE;
238 host_lookup_failed = FALSE;
239 interface_address = NULL;
240 interface_port = 0;
241 f.local_error_message = FALSE;
242 #ifdef HAVE_LOCAL_SCAN
243 local_scan_data = NULL;
244 #endif
245 max_received_linelength = 0;
246 message_linecount = 0;
247 received_protocol = NULL;
248 received_count = 0;
249 recipients_list = NULL;
250 sender_address = NULL;
251 sender_fullhost = NULL;
252 sender_helo_name = NULL;
253 sender_host_address = NULL;
254 sender_host_name = NULL;
255 sender_host_port = 0;
256 sender_host_authenticated = sender_host_auth_pubname = NULL;
257 sender_ident = NULL;
258 f.sender_local = FALSE;
259 f.sender_set_untrusted = FALSE;
260 smtp_active_hostname = primary_hostname;
261 #ifndef COMPILE_UTILITY
262 f.spool_file_wireformat = FALSE;
263 #endif
264 tree_nonrecipients = NULL;
265
266 #ifdef EXPERIMENTAL_BRIGHTMAIL
267 bmi_run = 0;
268 bmi_verdicts = NULL;
269 #endif
270
271 #ifndef DISABLE_DKIM
272 dkim_signers = NULL;
273 f.dkim_disable_verify = FALSE;
274 dkim_collect_input = 0;
275 #endif
276
277 #ifndef DISABLE_TLS
278 tls_in.certificate_verified = FALSE;
279 # ifdef SUPPORT_DANE
280 tls_in.dane_verified = FALSE;
281 # endif
282 tls_in.ver = tls_in.cipher = NULL;
283 # ifndef COMPILE_UTILITY        /* tls support fns not built in */
284 tls_free_cert(&tls_in.ourcert);
285 tls_free_cert(&tls_in.peercert);
286 # endif
287 tls_in.peerdn = NULL;
288 tls_in.sni = NULL;
289 tls_in.ocsp = OCSP_NOT_REQ;
290 #endif
291
292 #ifdef WITH_CONTENT_SCAN
293 spam_bar = NULL;
294 spam_score = NULL;
295 spam_score_int = NULL;
296 #endif
297
298 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
299 message_smtputf8 = FALSE;
300 message_utf8_downconvert = 0;
301 #endif
302
303 dsn_ret = 0;
304 dsn_envid = NULL;
305 }
306
307 static void *
308 fgets_big_buffer(FILE *fp)
309 {
310 int len = 0;
311
312 big_buffer[0] = 0;
313 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) return NULL;
314
315 while ((len = Ustrlen(big_buffer)) == big_buffer_size-1
316       && big_buffer[len-1] != '\n')
317   {
318   uschar *newbuffer;
319   int newsize;
320
321   if (big_buffer_size >= BIG_BUFFER_SIZE * 4) return NULL;
322   newsize = big_buffer_size * 2;
323   newbuffer = store_get_perm(newsize, FALSE);
324   memcpy(newbuffer, big_buffer, len);
325
326   big_buffer = newbuffer;
327   big_buffer_size = newsize;
328   if (Ufgets(big_buffer + len, big_buffer_size - len, fp) == NULL) return NULL;
329   }
330
331 if (len <= 0 || big_buffer[len-1] != '\n') return NULL;
332 return big_buffer;
333 }
334
335
336
337 /*************************************************
338 *             Read spool header file             *
339 *************************************************/
340
341 /* This function reads a spool header file and places the data into the
342 appropriate global variables. The header portion is always read, but header
343 structures are built only if read_headers is set true. It isn't, for example,
344 while generating -bp output.
345
346 It may be possible for blocks of nulls (binary zeroes) to get written on the
347 end of a file if there is a system crash during writing. It was observed on an
348 earlier version of Exim that omitted to fsync() the files - this is thought to
349 have been the cause of that incident, but in any case, this code must be robust
350 against such an event, and if such a file is encountered, it must be treated as
351 malformed.
352
353 As called from deliver_message() (at least) we are running as root.
354
355 Arguments:
356   name          name of the header file, including the -H
357   read_headers  TRUE if in-store header structures are to be built
358   subdir_set    TRUE is message_subdir is already set
359
360 Returns:        spool_read_OK        success
361                 spool_read_notopen   open failed
362                 spool_read_enverror  error in the envelope portion
363                 spool_read_hdrerror  error in the header portion
364 */
365
366 int
367 spool_read_header(uschar *name, BOOL read_headers, BOOL subdir_set)
368 {
369 FILE * fp = NULL;
370 int n;
371 int rcount = 0;
372 long int uid, gid;
373 BOOL inheader = FALSE;
374
375 /* Reset all the global variables to their default values. However, there is
376 one exception. DO NOT change the default value of dont_deliver, because it may
377 be forced by an external setting. */
378
379 spool_clear_header_globals();
380
381 /* Generate the full name and open the file. If message_subdir is already
382 set, just look in the given directory. Otherwise, look in both the split
383 and unsplit directories, as for the data file above. */
384
385 for (int n = 0; n < 2; n++)
386   {
387   if (!subdir_set)
388     set_subdir_str(message_subdir, name, n);
389
390   if ((fp = Ufopen(spool_fname(US"input", message_subdir, name, US""), "rb")))
391     break;
392   if (n != 0 || subdir_set || errno != ENOENT)
393     return spool_read_notopen;
394   }
395
396 errno = 0;
397
398 #ifndef COMPILE_UTILITY
399 DEBUG(D_deliver) debug_printf_indent("reading spool file %s\n", name);
400 #endif  /* COMPILE_UTILITY */
401
402 /* The first line of a spool file contains the message id followed by -H (i.e.
403 the file name), in order to make the file self-identifying. */
404
405 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
406 if (Ustrlen(big_buffer) != MESSAGE_ID_LENGTH + 3 ||
407     Ustrncmp(big_buffer, name, MESSAGE_ID_LENGTH + 2) != 0)
408   goto SPOOL_FORMAT_ERROR;
409
410 /* The next three lines in the header file are in a fixed format. The first
411 contains the login, uid, and gid of the user who caused the file to be written.
412 There are known cases where a negative gid is used, so we allow for both
413 negative uids and gids. The second contains the mail address of the message's
414 sender, enclosed in <>. The third contains the time the message was received,
415 and the number of warning messages for delivery delays that have been sent. */
416
417 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
418
419  {
420   uschar *p = big_buffer + Ustrlen(big_buffer);
421   while (p > big_buffer && isspace(p[-1])) p--;
422   *p = 0;
423   if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
424   while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
425   gid = Uatoi(p);
426   if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
427   *p = 0;
428   if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
429   while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
430   uid = Uatoi(p);
431   if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
432   *p = 0;
433  }
434
435 originator_login = string_copy(big_buffer);
436 originator_uid = (uid_t)uid;
437 originator_gid = (gid_t)gid;
438
439 /* envelope from */
440 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
441 n = Ustrlen(big_buffer);
442 if (n < 3 || big_buffer[0] != '<' || big_buffer[n-2] != '>')
443   goto SPOOL_FORMAT_ERROR;
444
445 sender_address = store_get(n-2, GET_TAINTED);
446 Ustrncpy(sender_address, big_buffer+1, n-3);
447 sender_address[n-3] = 0;
448
449 /* time */
450 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
451 if (sscanf(CS big_buffer, TIME_T_FMT " %d", &received_time.tv_sec, &warning_count) != 2)
452   goto SPOOL_FORMAT_ERROR;
453 received_time.tv_usec = 0;
454 received_time_complete = received_time;
455
456
457 message_age = time(NULL) - received_time.tv_sec;
458 #ifndef COMPILE_UTILITY
459 if (f.running_in_test_harness)
460   message_age = test_harness_fudged_queue_time(message_age);
461 #endif
462
463 #ifndef COMPILE_UTILITY
464 DEBUG(D_deliver) debug_printf_indent("user=%s uid=%ld gid=%ld sender=%s\n",
465   originator_login, (long int)originator_uid, (long int)originator_gid,
466   sender_address);
467 #endif
468
469 /* Now there may be a number of optional lines, each starting with "-". If you
470 add a new setting here, make sure you set the default above.
471
472 Because there are now quite a number of different possibilities, we use a
473 switch on the first character to avoid too many failing tests. Thanks to Nico
474 Erfurth for the patch that implemented this. I have made it even more efficient
475 by not re-scanning the first two characters.
476
477 To allow new versions of Exim that add additional flags to interwork with older
478 versions that do not understand them, just ignore any lines starting with "-"
479 that we don't recognize. Otherwise it wouldn't be possible to back off a new
480 version that left new-style flags written on the spool.
481
482 If the line starts with "--" the content of the variable is tainted.
483 If the line start "--(<lookuptype>)" it is also quoted for the given <lookuptype>.
484 */
485
486 for (;;)
487   {
488   const void * proto_mem;
489   uschar * var;
490   const uschar * p;
491
492   if (fgets_big_buffer(fp) == NULL) goto SPOOL_READ_ERROR;
493   if (big_buffer[0] != '-') break;
494   big_buffer[Ustrlen(big_buffer)-1] = 0;
495
496   proto_mem = big_buffer[1] == '-' ? GET_TAINTED : GET_UNTAINTED;
497   var =  big_buffer + (proto_mem == GET_UNTAINTED ? 1 : 2);
498   if (*var == '(')                              /* marker for quoted value */
499     {
500     uschar * s;
501     int idx;
502     for (s = ++var; *s != ')'; ) s++;
503 #ifndef COMPILE_UTILITY
504     if ((idx = search_findtype(var, s - var)) < 0)
505       {
506       DEBUG(D_any) debug_printf("Unrecognised quoter %.*s\n", (int)(s - var), var+1);
507       goto SPOOL_FORMAT_ERROR;
508       }
509     proto_mem = store_get_quoted(1, GET_TAINTED, idx);
510 #endif  /* COMPILE_UTILITY */
511     var = s + 1;
512     }
513   p = var + 1;
514
515   switch(*var)
516     {
517     case 'a':
518
519     /* Nowadays we use "-aclc" and "-aclm" for the different types of ACL
520     variable, because Exim allows any number of them, with arbitrary names.
521     The line in the spool file is "-acl[cm] <name> <length>". The name excludes
522     the c or m. */
523
524     if (Ustrncmp(p, "clc ", 4) == 0 ||
525         Ustrncmp(p, "clm ", 4) == 0)
526       {
527       uschar *name, *endptr;
528       int count;
529       tree_node *node;
530       endptr = Ustrchr(var + 5, ' ');
531       if (endptr == NULL) goto SPOOL_FORMAT_ERROR;
532       name = string_sprintf("%c%.*s", var[3],
533         (int)(endptr - var - 5), var + 5);
534       if (sscanf(CS endptr, " %d", &count) != 1) goto SPOOL_FORMAT_ERROR;
535       node = acl_var_create(name);
536       node->data.ptr = store_get(count + 1, proto_mem);
537       if (fread(node->data.ptr, 1, count+1, fp) < count) goto SPOOL_READ_ERROR;
538       ((uschar*)node->data.ptr)[count] = 0;
539       }
540
541     else if (Ustrcmp(p, "llow_unqualified_recipient") == 0)
542       f.allow_unqualified_recipient = TRUE;
543     else if (Ustrcmp(p, "llow_unqualified_sender") == 0)
544       f.allow_unqualified_sender = TRUE;
545
546     else if (Ustrncmp(p, "uth_id", 6) == 0)
547       authenticated_id = string_copy_taint(var + 8, proto_mem);
548     else if (Ustrncmp(p, "uth_sender", 10) == 0)
549       authenticated_sender = string_copy_taint(var + 12, proto_mem);
550     else if (Ustrncmp(p, "ctive_hostname", 14) == 0)
551       smtp_active_hostname = string_copy_taint(var + 16, proto_mem);
552
553     /* For long-term backward compatibility, we recognize "-acl", which was
554     used before the number of ACL variables changed from 10 to 20. This was
555     before the subsequent change to an arbitrary number of named variables.
556     This code is retained so that upgrades from very old versions can still
557     handle old-format spool files. The value given after "-acl" is a number
558     that is 0-9 for connection variables, and 10-19 for message variables. */
559
560     else if (Ustrncmp(p, "cl ", 3) == 0)
561       {
562       unsigned index, count;
563       uschar name[20];   /* Need plenty of space for %u format */
564       tree_node * node;
565       if (  sscanf(CS var + 4, "%u %u", &index, &count) != 2
566          || index >= 20
567          || count > 16384       /* arbitrary limit on variable size */
568          )
569         goto SPOOL_FORMAT_ERROR;
570       if (index < 10)
571         (void) string_format(name, sizeof(name), "%c%u", 'c', index);
572       else
573         (void) string_format(name, sizeof(name), "%c%u", 'm', index - 10);
574       node = acl_var_create(name);
575       node->data.ptr = store_get(count + 1, proto_mem);
576       /* We sanity-checked the count, so disable the Coverity error */
577       /* coverity[tainted_data] */
578       if (fread(node->data.ptr, 1, count+1, fp) < count) goto SPOOL_READ_ERROR;
579       (US node->data.ptr)[count] = '\0';
580       }
581     break;
582
583     case 'b':
584     if (Ustrncmp(p, "ody_linecount", 13) == 0)
585       body_linecount = Uatoi(var + 14);
586     else if (Ustrncmp(p, "ody_zerocount", 13) == 0)
587       body_zerocount = Uatoi(var + 14);
588 #ifdef EXPERIMENTAL_BRIGHTMAIL
589     else if (Ustrncmp(p, "mi_verdicts ", 12) == 0)
590       bmi_verdicts = string_copy_taint(var + 13, proto_mem);
591 #endif
592     break;
593
594     case 'd':
595     if (Ustrcmp(p, "eliver_firsttime") == 0)
596       f.deliver_firsttime = TRUE;
597     /* Check if the dsn flags have been set in the header file */
598     else if (Ustrncmp(p, "sn_ret", 6) == 0)
599       dsn_ret= atoi(CS var + 7);
600     else if (Ustrncmp(p, "sn_envid", 8) == 0)
601       dsn_envid = string_copy_taint(var + 10, proto_mem);
602     break;
603
604     case 'f':
605     if (Ustrncmp(p, "rozen", 5) == 0)
606       {
607       f.deliver_freeze = TRUE;
608       if (sscanf(CS var+6, TIME_T_FMT, &deliver_frozen_at) != 1)
609         goto SPOOL_READ_ERROR;
610       }
611     break;
612
613     case 'h':
614     if (Ustrcmp(p, "ost_lookup_deferred") == 0)
615       host_lookup_deferred = TRUE;
616     else if (Ustrcmp(p, "ost_lookup_failed") == 0)
617       host_lookup_failed = TRUE;
618     else if (Ustrncmp(p, "ost_auth_pubname", 16) == 0)
619       sender_host_auth_pubname = string_copy_taint(var + 18, proto_mem);
620     else if (Ustrncmp(p, "ost_auth", 8) == 0)
621       sender_host_authenticated = string_copy_taint(var + 10, proto_mem);
622     else if (Ustrncmp(p, "ost_name", 8) == 0)
623       sender_host_name = string_copy_taint(var + 10, proto_mem);
624     else if (Ustrncmp(p, "elo_name", 8) == 0)
625       sender_helo_name = string_copy_taint(var + 10, proto_mem);
626
627     /* We now record the port number after the address, separated by a
628     dot. For compatibility during upgrading, do nothing if there
629     isn't a value (it gets left at zero). */
630
631     else if (Ustrncmp(p, "ost_address", 11) == 0)
632       {
633       sender_host_port = host_address_extract_port(var + 13);
634       sender_host_address = string_copy_taint(var + 13, proto_mem);
635       }
636     break;
637
638     case 'i':
639     if (Ustrncmp(p, "nterface_address", 16) == 0)
640       {
641       interface_port = host_address_extract_port(var + 18);
642       interface_address = string_copy_taint(var + 18, proto_mem);
643       }
644     else if (Ustrncmp(p, "dent", 4) == 0)
645       sender_ident = string_copy_taint(var + 6, proto_mem);
646     break;
647
648     case 'l':
649     if (Ustrcmp(p, "ocal") == 0)
650       f.sender_local = TRUE;
651     else if (Ustrcmp(var, "localerror") == 0)
652       f.local_error_message = TRUE;
653 #ifdef HAVE_LOCAL_SCAN
654     else if (Ustrncmp(p, "ocal_scan ", 10) == 0)
655       local_scan_data = string_copy_taint(var + 11, proto_mem);
656 #endif
657     break;
658
659     case 'm':
660     if (Ustrcmp(p, "anual_thaw") == 0)
661       f.deliver_manual_thaw = TRUE;
662     else if (Ustrncmp(p, "ax_received_linelength", 22) == 0)
663       max_received_linelength = Uatoi(var + 23);
664     break;
665
666     case 'N':
667     if (*p == 0) f.dont_deliver = TRUE;   /* -N */
668     break;
669
670     case 'r':
671     if (Ustrncmp(p, "eceived_protocol", 16) == 0)
672       received_protocol = string_copy_taint(var + 18, proto_mem);
673     else if (Ustrncmp(p, "eceived_time_usec", 17) == 0)
674       {
675       unsigned usec;
676       if (sscanf(CS var + 20, "%u", &usec) == 1)
677         {
678         received_time.tv_usec = usec;
679         if (!received_time_complete.tv_sec) received_time_complete.tv_usec = usec;
680         }
681       }
682     else if (Ustrncmp(p, "eceived_time_complete", 21) == 0)
683       {
684       unsigned sec, usec;
685       if (sscanf(CS var + 23, "%u.%u", &sec, &usec) == 2)
686         {
687         received_time_complete.tv_sec = sec;
688         received_time_complete.tv_usec = usec;
689         }
690       }
691     break;
692
693     case 's':
694     if (Ustrncmp(p, "ender_set_untrusted", 19) == 0)
695       f.sender_set_untrusted = TRUE;
696 #ifdef WITH_CONTENT_SCAN
697     else if (Ustrncmp(p, "pam_bar ", 8) == 0)
698       spam_bar = string_copy_taint(var + 9, proto_mem);
699     else if (Ustrncmp(p, "pam_score ", 10) == 0)
700       spam_score = string_copy_taint(var + 11, proto_mem);
701     else if (Ustrncmp(p, "pam_score_int ", 14) == 0)
702       spam_score_int = string_copy_taint(var + 15, proto_mem);
703 #endif
704 #ifndef COMPILE_UTILITY
705     else if (Ustrncmp(p, "pool_file_wireformat", 20) == 0)
706       f.spool_file_wireformat = TRUE;
707 #endif
708 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
709     else if (Ustrncmp(p, "mtputf8", 7) == 0)
710       message_smtputf8 = TRUE;
711 #endif
712     break;
713
714 #ifndef DISABLE_TLS
715     case 't':
716     if (Ustrncmp(p, "ls_", 3) == 0)
717       {
718       const uschar * q = p + 3;
719       if (Ustrncmp(q, "certificate_verified", 20) == 0)
720         tls_in.certificate_verified = TRUE;
721       else if (Ustrncmp(q, "cipher", 6) == 0)
722         tls_in.cipher = string_copy_taint(q+7, proto_mem);
723 # ifndef COMPILE_UTILITY        /* tls support fns not built in */
724       else if (Ustrncmp(q, "ourcert", 7) == 0)
725         (void) tls_import_cert(q+8, &tls_in.ourcert);
726       else if (Ustrncmp(q, "peercert", 8) == 0)
727         (void) tls_import_cert(q+9, &tls_in.peercert);
728 # endif
729       else if (Ustrncmp(q, "peerdn", 6) == 0)
730         tls_in.peerdn = string_unprinting(string_copy_taint(q+7, proto_mem));
731       else if (Ustrncmp(q, "sni", 3) == 0)
732         tls_in.sni = string_unprinting(string_copy_taint(q+4, proto_mem));
733       else if (Ustrncmp(q, "ocsp", 4) == 0)
734         tls_in.ocsp = q[5] - '0';
735 # ifndef DISABLE_TLS_RESUME
736       else if (Ustrncmp(q, "resumption", 10) == 0)
737         tls_in.resumption = q[11] - 'A';
738 # endif
739       else if (Ustrncmp(q, "ver", 3) == 0)
740         tls_in.ver = string_copy_taint(q+4, proto_mem);
741       }
742     break;
743 #endif
744
745 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
746     case 'u':
747     if (Ustrncmp(p, "tf8_downcvt", 11) == 0)
748       message_utf8_downconvert = 1;
749     else if (Ustrncmp(p, "tf8_optdowncvt", 15) == 0)
750       message_utf8_downconvert = -1;
751     break;
752 #endif
753
754     default:    /* Present because some compilers complain if all */
755     break;      /* possibilities are not covered. */
756     }
757   }
758
759 /* Build sender_fullhost if required */
760
761 #ifndef COMPILE_UTILITY
762 host_build_sender_fullhost();
763 #endif  /* COMPILE_UTILITY */
764
765 #ifndef COMPILE_UTILITY
766 DEBUG(D_deliver)
767   debug_printf_indent("sender_local=%d ident=%s\n", f.sender_local,
768     sender_ident ? sender_ident : US"unset");
769 #endif  /* COMPILE_UTILITY */
770
771 /* We now have the tree of addresses NOT to deliver to, or a line
772 containing "XX", indicating no tree. */
773
774 if (Ustrncmp(big_buffer, "XX\n", 3) != 0 &&
775   !read_nonrecipients_tree(&tree_nonrecipients, fp, big_buffer, big_buffer_size))
776     goto SPOOL_FORMAT_ERROR;
777
778 #ifndef COMPILE_UTILITY
779 DEBUG(D_deliver) debug_print_tree("Non-recipients", tree_nonrecipients);
780 #endif  /* COMPILE_UTILITY */
781
782 /* After reading the tree, the next line has not yet been read into the
783 buffer. It contains the count of recipients which follow on separate lines.
784 Apply an arbitrary sanity check.*/
785
786 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
787 if (sscanf(CS big_buffer, "%d", &rcount) != 1 || rcount > 16384)
788   goto SPOOL_FORMAT_ERROR;
789
790 #ifndef COMPILE_UTILITY
791 DEBUG(D_deliver) debug_printf_indent("recipients_count=%d\n", rcount);
792 #endif  /* COMPILE_UTILITY */
793
794 recipients_list_max = rcount;
795 recipients_list = store_get(rcount * sizeof(recipient_item), GET_UNTAINTED);
796
797 /* We sanitised the count and know we have enough memory, so disable
798 the Coverity error on recipients_count */
799 /* coverity[tainted_data] */
800
801 for (recipients_count = 0; recipients_count < rcount; recipients_count++)
802   {
803   int nn;
804   int pno = -1;
805   int dsn_flags = 0;
806   uschar *orcpt = NULL;
807   uschar *errors_to = NULL;
808   uschar *p;
809
810   if (fgets_big_buffer(fp) == NULL) goto SPOOL_READ_ERROR;
811   nn = Ustrlen(big_buffer);
812   if (nn < 2) goto SPOOL_FORMAT_ERROR;
813
814   /* Remove the newline; this terminates the address if there is no additional
815   data on the line. */
816
817   p = big_buffer + nn - 1;
818   *p-- = 0;
819
820   /* Look back from the end of the line for digits and special terminators.
821   Since an address must end with a domain, we can tell that extra data is
822   present by the presence of the terminator, which is always some character
823   that cannot exist in a domain. (If I'd thought of the need for additional
824   data early on, I'd have put it at the start, with the address at the end. As
825   it is, we have to operate backwards. Addresses are permitted to contain
826   spaces, you see.)
827
828   This code has to cope with various versions of this data that have evolved
829   over time. In all cases, the line might just contain an address, with no
830   additional data. Otherwise, the possibilities are as follows:
831
832   Exim 3 type:       <address><space><digits>,<digits>,<digits>
833
834     The second set of digits is the parent number for one_time addresses. The
835     other values were remnants of earlier experiments that were abandoned.
836
837   Exim 4 first type: <address><space><digits>
838
839     The digits are the parent number for one_time addresses.
840
841   Exim 4 new type:   <address><space><data>#<type bits>
842
843     The type bits indicate what the contents of the data are.
844
845     Bit 01 indicates that, reading from right to left, the data
846       ends with <errors_to address><space><len>,<pno> where pno is
847       the parent number for one_time addresses, and len is the length
848       of the errors_to address (zero meaning none).
849
850     Bit 02 indicates that, again reading from right to left, the data continues
851      with orcpt len(orcpt),dsn_flags
852    */
853
854   while (isdigit(*p)) p--;
855
856   /* Handle Exim 3 spool files */
857
858   if (*p == ',')
859     {
860     int dummy;
861 #if !defined (COMPILE_UTILITY)
862     DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - Exim 3 spool file\n");
863 #endif
864     while (isdigit(*(--p)) || *p == ',');
865     if (*p == ' ')
866       {
867       *p++ = 0;
868       (void)sscanf(CS p, "%d,%d", &dummy, &pno);
869       }
870     }
871
872   /* Handle early Exim 4 spool files */
873
874   else if (*p == ' ')
875     {
876 #if !defined (COMPILE_UTILITY)
877     DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - early Exim 4 spool file\n");
878 #endif
879     *p++ = 0;
880     (void)sscanf(CS p, "%d", &pno);
881     }
882
883   /* Handle current format Exim 4 spool files */
884
885   else if (*p == '#')
886     {
887     int flags;
888
889 #if !defined (COMPILE_UTILITY)
890     DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - Exim standard format spoolfile\n");
891 #endif
892
893     (void)sscanf(CS p+1, "%d", &flags);
894
895     if (flags & 0x01)      /* one_time data exists */
896       {
897       int len;
898       while (isdigit(*(--p)) || *p == ',' || *p == '-');
899       (void)sscanf(CS p+1, "%d,%d", &len, &pno);
900       *p = 0;
901       if (len > 0)
902         {
903         p -= len;
904         errors_to = string_copy_taint(p, GET_TAINTED);
905         }
906       }
907
908     *--p = 0;   /* Terminate address */
909     if (flags & 0x02)      /* one_time data exists */
910       {
911       int len;
912       while (isdigit(*(--p)) || *p == ',' || *p == '-');
913       (void)sscanf(CS p+1, "%d,%d", &len, &dsn_flags);
914       *p = 0;
915       if (len > 0)
916         {
917         p -= len;
918         orcpt = string_copy_taint(p, GET_TAINTED);
919         }
920       }
921
922     *--p = 0;   /* Terminate address */
923     }
924 #if !defined(COMPILE_UTILITY)
925   else
926     { DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - No additional fields\n"); }
927
928   if (orcpt || dsn_flags)
929     DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - address: <%s> orcpt: <%s> dsn_flags: 0x%x\n",
930       big_buffer, orcpt, dsn_flags);
931   if (errors_to)
932     DEBUG(D_deliver) debug_printf_indent("**** SPOOL_IN - address: <%s> errorsto: <%s>\n",
933       big_buffer, errors_to);
934 #endif
935
936   recipients_list[recipients_count].address = string_copy_taint(big_buffer, GET_TAINTED);
937   recipients_list[recipients_count].pno = pno;
938   recipients_list[recipients_count].errors_to = errors_to;
939   recipients_list[recipients_count].orcpt = orcpt;
940   recipients_list[recipients_count].dsn_flags = dsn_flags;
941   }
942
943 /* The remainder of the spool header file contains the headers for the message,
944 separated off from the previous data by a blank line. Each header is preceded
945 by a count of its length and either a certain letter (for various identified
946 headers), space (for a miscellaneous live header) or an asterisk (for a header
947 that has been rewritten). Count the Received: headers. We read the headers
948 always, in order to check on the format of the file, but only create a header
949 list if requested to do so. */
950
951 inheader = TRUE;
952 if (Ufgets(big_buffer, big_buffer_size, fp) == NULL) goto SPOOL_READ_ERROR;
953 if (big_buffer[0] != '\n') goto SPOOL_FORMAT_ERROR;
954
955 while ((n = fgetc(fp)) != EOF)
956   {
957   header_line *h;
958   uschar flag[4];
959   int i;
960
961   if (!isdigit(n)) goto SPOOL_FORMAT_ERROR;
962   if(ungetc(n, fp) == EOF  ||  fscanf(fp, "%d%c ", &n, flag) == EOF)
963     goto SPOOL_READ_ERROR;
964   if (flag[0] != '*') message_size += n;  /* Omit non-transmitted headers */
965
966   if (read_headers)
967     {
968     h = store_get(sizeof(header_line), GET_UNTAINTED);
969     h->next = NULL;
970     h->type = flag[0];
971     h->slen = n;
972     h->text = store_get(n+1, GET_TAINTED);
973
974     if (h->type == htype_received) received_count++;
975
976     if (header_list) header_last->next = h;
977     else header_list = h;
978     header_last = h;
979
980     for (i = 0; i < n; i++)
981       {
982       int c = fgetc(fp);
983       if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
984       if (c == '\n' && h->type != htype_old) message_linecount++;
985       h->text[i] = c;
986       }
987     h->text[i] = 0;
988     }
989
990   /* Not requiring header data, just skip through the bytes */
991
992   else for (i = 0; i < n; i++)
993     {
994     int c = fgetc(fp);
995     if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
996     }
997   }
998
999 /* We have successfully read the data in the header file. Update the message
1000 line count by adding the body linecount to the header linecount. Close the file
1001 and give a positive response. */
1002
1003 #ifndef COMPILE_UTILITY
1004 DEBUG(D_deliver) debug_printf_indent("body_linecount=%d message_linecount=%d\n",
1005   body_linecount, message_linecount);
1006 #endif  /* COMPILE_UTILITY */
1007
1008 message_linecount += body_linecount;
1009
1010 fclose(fp);
1011 return spool_read_OK;
1012
1013
1014 /* There was an error reading the spool or there was missing data,
1015 or there was a format error. A "read error" with no errno means an
1016 unexpected EOF, which we treat as a format error. */
1017
1018 SPOOL_READ_ERROR:
1019 if (errno != 0)
1020   {
1021   n = errno;
1022
1023 #ifndef COMPILE_UTILITY
1024   DEBUG(D_any) debug_printf("Error while reading spool file %s\n", name);
1025 #endif  /* COMPILE_UTILITY */
1026
1027   fclose(fp);
1028   errno = n;
1029   return inheader ? spool_read_hdrerror : spool_read_enverror;
1030   }
1031
1032 SPOOL_FORMAT_ERROR:
1033
1034 #ifndef COMPILE_UTILITY
1035 DEBUG(D_any) debug_printf("Format error in spool file %s\n", name);
1036 #endif  /* COMPILE_UTILITY */
1037
1038 fclose(fp);
1039 errno = ERRNO_SPOOLFORMAT;
1040 return inheader? spool_read_hdrerror : spool_read_enverror;
1041 }
1042
1043
1044 #ifndef COMPILE_UTILITY
1045 /* Read out just the (envelope) sender string from the spool -H file.
1046 Remove the <> wrap and return it in allocated store.  Return NULL on error.
1047
1048 We assume that message_subdir is already set.
1049 */
1050
1051 uschar *
1052 spool_sender_from_msgid(const uschar * id)
1053 {
1054 uschar * name = string_sprintf("%s-H", id);
1055 FILE * fp;
1056 int n;
1057 uschar * yield = NULL;
1058
1059 if (!(fp = Ufopen(spool_fname(US"input", message_subdir, name, US""), "rb")))
1060   return NULL;
1061
1062 DEBUG(D_deliver) debug_printf_indent("reading spool file %s\n", name);
1063
1064 /* Skip the line with the copy of the filename, then the line with login/uid/gid.
1065 Read the next line, which should be the envelope sender.
1066 Do basic validation on that. */
1067
1068 if (  Ufgets(big_buffer, big_buffer_size, fp) != NULL
1069    && Ufgets(big_buffer, big_buffer_size, fp) != NULL
1070    && Ufgets(big_buffer, big_buffer_size, fp) != NULL
1071    && (n = Ustrlen(big_buffer)) >= 3
1072    && big_buffer[0] == '<' && big_buffer[n-2] == '>'
1073    )
1074   {
1075   yield = store_get(n-2, GET_TAINTED);
1076   Ustrncpy(yield, big_buffer+1, n-3);
1077   yield[n-3] = 0;
1078   }
1079 fclose(fp);
1080 return yield;
1081 }
1082 #endif  /* COMPILE_UTILITY */
1083
1084 /* vi: aw ai sw=2
1085 */
1086 /* End of spool_in.c */