99d2ffc00052bf20f908f1ee271f78fd869ec52f
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base62",
203   US"base62d",
204   US"base64",
205   US"base64d",
206   US"domain",
207   US"escape",
208   US"eval",
209   US"eval10",
210   US"expand",
211   US"h",
212   US"hash",
213   US"hex2b64",
214   US"hexquote",
215   US"ipv6denorm",
216   US"ipv6norm",
217   US"l",
218   US"lc",
219   US"length",
220   US"listcount",
221   US"listnamed",
222   US"mask",
223   US"md5",
224   US"nh",
225   US"nhash",
226   US"quote",
227   US"randint",
228   US"rfc2047",
229   US"rfc2047d",
230   US"rxquote",
231   US"s",
232   US"sha1",
233   US"sha256",
234   US"stat",
235   US"str2b64",
236   US"strlen",
237   US"substr",
238   US"uc",
239   US"utf8clean" };
240
241 enum {
242   EOP_ADDRESS =  nelem(op_table_underscore),
243   EOP_ADDRESSES,
244   EOP_BASE62,
245   EOP_BASE62D,
246   EOP_BASE64,
247   EOP_BASE64D,
248   EOP_DOMAIN,
249   EOP_ESCAPE,
250   EOP_EVAL,
251   EOP_EVAL10,
252   EOP_EXPAND,
253   EOP_H,
254   EOP_HASH,
255   EOP_HEX2B64,
256   EOP_HEXQUOTE,
257   EOP_IPV6DENORM,
258   EOP_IPV6NORM,
259   EOP_L,
260   EOP_LC,
261   EOP_LENGTH,
262   EOP_LISTCOUNT,
263   EOP_LISTNAMED,
264   EOP_MASK,
265   EOP_MD5,
266   EOP_NH,
267   EOP_NHASH,
268   EOP_QUOTE,
269   EOP_RANDINT,
270   EOP_RFC2047,
271   EOP_RFC2047D,
272   EOP_RXQUOTE,
273   EOP_S,
274   EOP_SHA1,
275   EOP_SHA256,
276   EOP_STAT,
277   EOP_STR2B64,
278   EOP_STRLEN,
279   EOP_SUBSTR,
280   EOP_UC,
281   EOP_UTF8CLEAN };
282
283
284 /* Table of condition names, and corresponding switch numbers. The names must
285 be in alphabetical order. */
286
287 static uschar *cond_table[] = {
288   US"<",
289   US"<=",
290   US"=",
291   US"==",     /* Backward compatibility */
292   US">",
293   US">=",
294   US"acl",
295   US"and",
296   US"bool",
297   US"bool_lax",
298   US"crypteq",
299   US"def",
300   US"eq",
301   US"eqi",
302   US"exists",
303   US"first_delivery",
304   US"forall",
305   US"forany",
306   US"ge",
307   US"gei",
308   US"gt",
309   US"gti",
310   US"inlist",
311   US"inlisti",
312   US"isip",
313   US"isip4",
314   US"isip6",
315   US"ldapauth",
316   US"le",
317   US"lei",
318   US"lt",
319   US"lti",
320   US"match",
321   US"match_address",
322   US"match_domain",
323   US"match_ip",
324   US"match_local_part",
325   US"or",
326   US"pam",
327   US"pwcheck",
328   US"queue_running",
329   US"radius",
330   US"saslauthd"
331 };
332
333 enum {
334   ECOND_NUM_L,
335   ECOND_NUM_LE,
336   ECOND_NUM_E,
337   ECOND_NUM_EE,
338   ECOND_NUM_G,
339   ECOND_NUM_GE,
340   ECOND_ACL,
341   ECOND_AND,
342   ECOND_BOOL,
343   ECOND_BOOL_LAX,
344   ECOND_CRYPTEQ,
345   ECOND_DEF,
346   ECOND_STR_EQ,
347   ECOND_STR_EQI,
348   ECOND_EXISTS,
349   ECOND_FIRST_DELIVERY,
350   ECOND_FORALL,
351   ECOND_FORANY,
352   ECOND_STR_GE,
353   ECOND_STR_GEI,
354   ECOND_STR_GT,
355   ECOND_STR_GTI,
356   ECOND_INLIST,
357   ECOND_INLISTI,
358   ECOND_ISIP,
359   ECOND_ISIP4,
360   ECOND_ISIP6,
361   ECOND_LDAPAUTH,
362   ECOND_STR_LE,
363   ECOND_STR_LEI,
364   ECOND_STR_LT,
365   ECOND_STR_LTI,
366   ECOND_MATCH,
367   ECOND_MATCH_ADDRESS,
368   ECOND_MATCH_DOMAIN,
369   ECOND_MATCH_IP,
370   ECOND_MATCH_LOCAL_PART,
371   ECOND_OR,
372   ECOND_PAM,
373   ECOND_PWCHECK,
374   ECOND_QUEUE_RUNNING,
375   ECOND_RADIUS,
376   ECOND_SASLAUTHD
377 };
378
379
380 /* Types of table entry */
381
382 enum vtypes {
383   vtype_int,            /* value is address of int */
384   vtype_filter_int,     /* ditto, but recognized only when filtering */
385   vtype_ino,            /* value is address of ino_t (not always an int) */
386   vtype_uid,            /* value is address of uid_t (not always an int) */
387   vtype_gid,            /* value is address of gid_t (not always an int) */
388   vtype_bool,           /* value is address of bool */
389   vtype_stringptr,      /* value is address of pointer to string */
390   vtype_msgbody,        /* as stringptr, but read when first required */
391   vtype_msgbody_end,    /* ditto, the end of the message */
392   vtype_msgheaders,     /* the message's headers, processed */
393   vtype_msgheaders_raw, /* the message's headers, unprocessed */
394   vtype_localpart,      /* extract local part from string */
395   vtype_domain,         /* extract domain from string */
396   vtype_string_func,    /* value is string returned by given function */
397   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
398   vtype_tode,           /* value not used; generate tod in epoch format */
399   vtype_todel,          /* value not used; generate tod in epoch/usec format */
400   vtype_todf,           /* value not used; generate full tod */
401   vtype_todl,           /* value not used; generate log tod */
402   vtype_todlf,          /* value not used; generate log file datestamp tod */
403   vtype_todzone,        /* value not used; generate time zone only */
404   vtype_todzulu,        /* value not used; generate zulu tod */
405   vtype_reply,          /* value not used; get reply from headers */
406   vtype_pid,            /* value not used; result is pid */
407   vtype_host_lookup,    /* value not used; get host name */
408   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
409   vtype_pspace,         /* partition space; value is T/F for spool/log */
410   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
411   vtype_cert            /* SSL certificate */
412   #ifndef DISABLE_DKIM
413   ,vtype_dkim           /* Lookup of value in DKIM signature */
414   #endif
415 };
416
417 /* Type for main variable table */
418
419 typedef struct {
420   const char *name;
421   enum vtypes type;
422   void       *value;
423 } var_entry;
424
425 /* Type for entries pointing to address/length pairs. Not currently
426 in use. */
427
428 typedef struct {
429   uschar **address;
430   int  *length;
431 } alblock;
432
433 static uschar * fn_recipients(void);
434
435 /* This table must be kept in alphabetical order. */
436
437 static var_entry var_table[] = {
438   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
439      they will be confused with user-creatable ACL variables. */
440   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
441   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
442   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
443   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
444   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
445   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
446   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
447   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
448   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
449   { "acl_narg",            vtype_int,         &acl_narg },
450   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
451   { "address_data",        vtype_stringptr,   &deliver_address_data },
452   { "address_file",        vtype_stringptr,   &address_file },
453   { "address_pipe",        vtype_stringptr,   &address_pipe },
454   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
455   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
456   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
457   { "authentication_failed",vtype_int,        &authentication_failed },
458 #ifdef WITH_CONTENT_SCAN
459   { "av_failed",           vtype_int,         &av_failed },
460 #endif
461 #ifdef EXPERIMENTAL_BRIGHTMAIL
462   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
463   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
464   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
465   { "bmi_deliver",         vtype_int,         &bmi_deliver },
466 #endif
467   { "body_linecount",      vtype_int,         &body_linecount },
468   { "body_zerocount",      vtype_int,         &body_zerocount },
469   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
470   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
471   { "caller_gid",          vtype_gid,         &real_gid },
472   { "caller_uid",          vtype_uid,         &real_uid },
473   { "callout_address",     vtype_stringptr,   &callout_address },
474   { "compile_date",        vtype_stringptr,   &version_date },
475   { "compile_number",      vtype_stringptr,   &version_cnumber },
476   { "config_dir",          vtype_stringptr,   &config_main_directory },
477   { "config_file",         vtype_stringptr,   &config_main_filename },
478   { "csa_status",          vtype_stringptr,   &csa_status },
479 #ifdef EXPERIMENTAL_DCC
480   { "dcc_header",          vtype_stringptr,   &dcc_header },
481   { "dcc_result",          vtype_stringptr,   &dcc_result },
482 #endif
483 #ifdef WITH_OLD_DEMIME
484   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
485   { "demime_reason",       vtype_stringptr,   &demime_reason },
486 #endif
487 #ifndef DISABLE_DKIM
488   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
489   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
490   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
491   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
492   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
493   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
494   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
495   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
496   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
497   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
498   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
499   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
500   { "dkim_key_length",     vtype_int,         &dkim_key_length },
501   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
502   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
503   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
504   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
505   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
506   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
507   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
508   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
509 #endif
510 #ifdef EXPERIMENTAL_DMARC
511   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
512   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
513   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
514   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
515   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
516 #endif
517   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
518   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
519   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
520   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
521   { "domain",              vtype_stringptr,   &deliver_domain },
522   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
523 #ifndef DISABLE_EVENT
524   { "event_data",          vtype_stringptr,   &event_data },
525
526   /*XXX want to use generic vars for as many of these as possible*/
527   { "event_defer_errno",   vtype_int,         &event_defer_errno },
528
529   { "event_name",          vtype_stringptr,   &event_name },
530 #endif
531   { "exim_gid",            vtype_gid,         &exim_gid },
532   { "exim_path",           vtype_stringptr,   &exim_path },
533   { "exim_uid",            vtype_uid,         &exim_uid },
534   { "exim_version",        vtype_stringptr,   &version_string },
535 #ifdef WITH_OLD_DEMIME
536   { "found_extension",     vtype_stringptr,   &found_extension },
537 #endif
538   { "headers_added",       vtype_string_func, &fn_hdrs_added },
539   { "home",                vtype_stringptr,   &deliver_home },
540   { "host",                vtype_stringptr,   &deliver_host },
541   { "host_address",        vtype_stringptr,   &deliver_host_address },
542   { "host_data",           vtype_stringptr,   &host_data },
543   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
544   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
545   { "host_port",           vtype_int,         &deliver_host_port },
546   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
547   { "inode",               vtype_ino,         &deliver_inode },
548   { "interface_address",   vtype_stringptr,   &interface_address },
549   { "interface_port",      vtype_int,         &interface_port },
550   { "item",                vtype_stringptr,   &iterate_item },
551   #ifdef LOOKUP_LDAP
552   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
553   #endif
554   { "load_average",        vtype_load_avg,    NULL },
555   { "local_part",          vtype_stringptr,   &deliver_localpart },
556   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
557   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
558   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
559   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
560   { "local_user_gid",      vtype_gid,         &local_user_gid },
561   { "local_user_uid",      vtype_uid,         &local_user_uid },
562   { "localhost_number",    vtype_int,         &host_number },
563   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
564   { "log_space",           vtype_pspace,      (void *)FALSE },
565   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
566   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
567 #ifdef WITH_CONTENT_SCAN
568   { "malware_name",        vtype_stringptr,   &malware_name },
569 #endif
570   { "max_received_linelength", vtype_int,     &max_received_linelength },
571   { "message_age",         vtype_int,         &message_age },
572   { "message_body",        vtype_msgbody,     &message_body },
573   { "message_body_end",    vtype_msgbody_end, &message_body_end },
574   { "message_body_size",   vtype_int,         &message_body_size },
575   { "message_exim_id",     vtype_stringptr,   &message_id },
576   { "message_headers",     vtype_msgheaders,  NULL },
577   { "message_headers_raw", vtype_msgheaders_raw, NULL },
578   { "message_id",          vtype_stringptr,   &message_id },
579   { "message_linecount",   vtype_int,         &message_linecount },
580   { "message_size",        vtype_int,         &message_size },
581 #ifdef SUPPORT_I18N
582   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
583 #endif
584 #ifdef WITH_CONTENT_SCAN
585   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
586   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
587   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
588   { "mime_charset",        vtype_stringptr,   &mime_charset },
589   { "mime_content_description", vtype_stringptr, &mime_content_description },
590   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
591   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
592   { "mime_content_size",   vtype_int,         &mime_content_size },
593   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
594   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
595   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
596   { "mime_filename",       vtype_stringptr,   &mime_filename },
597   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
598   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
599   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
600   { "mime_part_count",     vtype_int,         &mime_part_count },
601 #endif
602   { "n0",                  vtype_filter_int,  &filter_n[0] },
603   { "n1",                  vtype_filter_int,  &filter_n[1] },
604   { "n2",                  vtype_filter_int,  &filter_n[2] },
605   { "n3",                  vtype_filter_int,  &filter_n[3] },
606   { "n4",                  vtype_filter_int,  &filter_n[4] },
607   { "n5",                  vtype_filter_int,  &filter_n[5] },
608   { "n6",                  vtype_filter_int,  &filter_n[6] },
609   { "n7",                  vtype_filter_int,  &filter_n[7] },
610   { "n8",                  vtype_filter_int,  &filter_n[8] },
611   { "n9",                  vtype_filter_int,  &filter_n[9] },
612   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
613   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
614   { "originator_gid",      vtype_gid,         &originator_gid },
615   { "originator_uid",      vtype_uid,         &originator_uid },
616   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
617   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
618   { "pid",                 vtype_pid,         NULL },
619 #ifndef DISABLE_PRDR
620   { "prdr_requested",      vtype_bool,        &prdr_requested },
621 #endif
622   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
623 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
624   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
625   { "proxy_external_port", vtype_int,         &proxy_external_port },
626   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
627   { "proxy_local_port",    vtype_int,         &proxy_local_port },
628   { "proxy_session",       vtype_bool,        &proxy_session },
629 #endif
630   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
631   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
632   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
633   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
634   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
635   { "rcpt_count",          vtype_int,         &rcpt_count },
636   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
637   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
638   { "received_count",      vtype_int,         &received_count },
639   { "received_for",        vtype_stringptr,   &received_for },
640   { "received_ip_address", vtype_stringptr,   &interface_address },
641   { "received_port",       vtype_int,         &interface_port },
642   { "received_protocol",   vtype_stringptr,   &received_protocol },
643   { "received_time",       vtype_int,         &received_time },
644   { "recipient_data",      vtype_stringptr,   &recipient_data },
645   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
646   { "recipients",          vtype_string_func, &fn_recipients },
647   { "recipients_count",    vtype_int,         &recipients_count },
648 #ifdef WITH_CONTENT_SCAN
649   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
650 #endif
651   { "reply_address",       vtype_reply,       NULL },
652   { "return_path",         vtype_stringptr,   &return_path },
653   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
654   { "router_name",         vtype_stringptr,   &router_name },
655   { "runrc",               vtype_int,         &runrc },
656   { "self_hostname",       vtype_stringptr,   &self_hostname },
657   { "sender_address",      vtype_stringptr,   &sender_address },
658   { "sender_address_data", vtype_stringptr,   &sender_address_data },
659   { "sender_address_domain", vtype_domain,    &sender_address },
660   { "sender_address_local_part", vtype_localpart, &sender_address },
661   { "sender_data",         vtype_stringptr,   &sender_data },
662   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
663   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
664   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
665   { "sender_host_address", vtype_stringptr,   &sender_host_address },
666   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
667   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
668   { "sender_host_name",    vtype_host_lookup, NULL },
669   { "sender_host_port",    vtype_int,         &sender_host_port },
670   { "sender_ident",        vtype_stringptr,   &sender_ident },
671   { "sender_rate",         vtype_stringptr,   &sender_rate },
672   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
673   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
674   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
675   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
676   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
677   { "sending_port",        vtype_int,         &sending_port },
678   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
679   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
680   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
681   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
682   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
683   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
684   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
685   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
686   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
687   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
688   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
689   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
690   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
691   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
692   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
693 #ifdef WITH_CONTENT_SCAN
694   { "spam_action",         vtype_stringptr,   &spam_action },
695   { "spam_bar",            vtype_stringptr,   &spam_bar },
696   { "spam_report",         vtype_stringptr,   &spam_report },
697   { "spam_score",          vtype_stringptr,   &spam_score },
698   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
699 #endif
700 #ifdef EXPERIMENTAL_SPF
701   { "spf_guess",           vtype_stringptr,   &spf_guess },
702   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
703   { "spf_received",        vtype_stringptr,   &spf_received },
704   { "spf_result",          vtype_stringptr,   &spf_result },
705   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
706 #endif
707   { "spool_directory",     vtype_stringptr,   &spool_directory },
708   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
709   { "spool_space",         vtype_pspace,      (void *)TRUE },
710 #ifdef EXPERIMENTAL_SRS
711   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
712   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
713   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
714   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
715   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
716   { "srs_status",          vtype_stringptr,   &srs_status },
717 #endif
718   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
719
720   /* The non-(in,out) variables are now deprecated */
721   { "tls_bits",            vtype_int,         &tls_in.bits },
722   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
723   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
724
725   { "tls_in_bits",         vtype_int,         &tls_in.bits },
726   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
727   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
728   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
729   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
730   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
731   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
732 #if defined(SUPPORT_TLS)
733   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
734 #endif
735   { "tls_out_bits",        vtype_int,         &tls_out.bits },
736   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
737   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
738 #ifdef EXPERIMENTAL_DANE
739   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
740 #endif
741   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
742   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
743   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
744   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
745 #if defined(SUPPORT_TLS)
746   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
747 #endif
748 #ifdef EXPERIMENTAL_DANE
749   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
750 #endif
751
752   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
753 #if defined(SUPPORT_TLS)
754   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
755 #endif
756
757   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
758   { "tod_epoch",           vtype_tode,        NULL },
759   { "tod_epoch_l",         vtype_todel,       NULL },
760   { "tod_full",            vtype_todf,        NULL },
761   { "tod_log",             vtype_todl,        NULL },
762   { "tod_logfile",         vtype_todlf,       NULL },
763   { "tod_zone",            vtype_todzone,     NULL },
764   { "tod_zulu",            vtype_todzulu,     NULL },
765   { "transport_name",      vtype_stringptr,   &transport_name },
766   { "value",               vtype_stringptr,   &lookup_value },
767   { "verify_mode",         vtype_stringptr,   &verify_mode },
768   { "version_number",      vtype_stringptr,   &version_string },
769   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
770   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
771   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
772   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
773   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
774   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
775 };
776
777 static int var_table_size = nelem(var_table);
778 static uschar var_buffer[256];
779 static BOOL malformed_header;
780
781 /* For textual hashes */
782
783 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
784                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
785                                "0123456789";
786
787 enum { HMAC_MD5, HMAC_SHA1 };
788
789 /* For numeric hashes */
790
791 static unsigned int prime[] = {
792   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
793  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
794  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
795
796 /* For printing modes in symbolic form */
797
798 static uschar *mtable_normal[] =
799   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
800
801 static uschar *mtable_setid[] =
802   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
803
804 static uschar *mtable_sticky[] =
805   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
806
807
808
809 /*************************************************
810 *           Tables for UTF-8 support             *
811 *************************************************/
812
813 /* Table of the number of extra characters, indexed by the first character
814 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
815 0x3d. */
816
817 static uschar utf8_table1[] = {
818   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
819   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
820   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
821   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
822
823 /* These are the masks for the data bits in the first byte of a character,
824 indexed by the number of additional bytes. */
825
826 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
827
828 /* Get the next UTF-8 character, advancing the pointer. */
829
830 #define GETUTF8INC(c, ptr) \
831   c = *ptr++; \
832   if ((c & 0xc0) == 0xc0) \
833     { \
834     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
835     int s = 6*a; \
836     c = (c & utf8_table2[a]) << s; \
837     while (a-- > 0) \
838       { \
839       s -= 6; \
840       c |= (*ptr++ & 0x3f) << s; \
841       } \
842     }
843
844
845 /*************************************************
846 *           Binary chop search on a table        *
847 *************************************************/
848
849 /* This is used for matching expansion items and operators.
850
851 Arguments:
852   name        the name that is being sought
853   table       the table to search
854   table_size  the number of items in the table
855
856 Returns:      the offset in the table, or -1
857 */
858
859 static int
860 chop_match(uschar *name, uschar **table, int table_size)
861 {
862 uschar **bot = table;
863 uschar **top = table + table_size;
864
865 while (top > bot)
866   {
867   uschar **mid = bot + (top - bot)/2;
868   int c = Ustrcmp(name, *mid);
869   if (c == 0) return mid - table;
870   if (c > 0) bot = mid + 1; else top = mid;
871   }
872
873 return -1;
874 }
875
876
877
878 /*************************************************
879 *          Check a condition string              *
880 *************************************************/
881
882 /* This function is called to expand a string, and test the result for a "true"
883 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
884 forced fail or lookup defer.
885
886 We used to release all store used, but this is not not safe due
887 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
888 is reasonably careful to release what it can.
889
890 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
891
892 Arguments:
893   condition     the condition string
894   m1            text to be incorporated in panic error
895   m2            ditto
896
897 Returns:        TRUE if condition is met, FALSE if not
898 */
899
900 BOOL
901 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
902 {
903 int rc;
904 uschar *ss = expand_string(condition);
905 if (ss == NULL)
906   {
907   if (!expand_string_forcedfail && !search_find_defer)
908     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
909       "for %s %s: %s", condition, m1, m2, expand_string_message);
910   return FALSE;
911   }
912 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
913   strcmpic(ss, US"false") != 0;
914 return rc;
915 }
916
917
918
919
920 /*************************************************
921 *        Pseudo-random number generation         *
922 *************************************************/
923
924 /* Pseudo-random number generation.  The result is not "expected" to be
925 cryptographically strong but not so weak that someone will shoot themselves
926 in the foot using it as a nonce in some email header scheme or whatever
927 weirdness they'll twist this into.  The result should ideally handle fork().
928
929 However, if we're stuck unable to provide this, then we'll fall back to
930 appallingly bad randomness.
931
932 If SUPPORT_TLS is defined then this will not be used except as an emergency
933 fallback.
934
935 Arguments:
936   max       range maximum
937 Returns     a random number in range [0, max-1]
938 */
939
940 #ifdef SUPPORT_TLS
941 # define vaguely_random_number vaguely_random_number_fallback
942 #endif
943 int
944 vaguely_random_number(int max)
945 {
946 #ifdef SUPPORT_TLS
947 # undef vaguely_random_number
948 #endif
949   static pid_t pid = 0;
950   pid_t p2;
951 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
952   struct timeval tv;
953 #endif
954
955   p2 = getpid();
956   if (p2 != pid)
957     {
958     if (pid != 0)
959       {
960
961 #ifdef HAVE_ARC4RANDOM
962       /* cryptographically strong randomness, common on *BSD platforms, not
963       so much elsewhere.  Alas. */
964 #ifndef NOT_HAVE_ARC4RANDOM_STIR
965       arc4random_stir();
966 #endif
967 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
968 #ifdef HAVE_SRANDOMDEV
969       /* uses random(4) for seeding */
970       srandomdev();
971 #else
972       gettimeofday(&tv, NULL);
973       srandom(tv.tv_sec | tv.tv_usec | getpid());
974 #endif
975 #else
976       /* Poor randomness and no seeding here */
977 #endif
978
979       }
980     pid = p2;
981     }
982
983 #ifdef HAVE_ARC4RANDOM
984   return arc4random() % max;
985 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
986   return random() % max;
987 #else
988   /* This one returns a 16-bit number, definitely not crypto-strong */
989   return random_number(max);
990 #endif
991 }
992
993
994
995
996 /*************************************************
997 *             Pick out a name from a string      *
998 *************************************************/
999
1000 /* If the name is too long, it is silently truncated.
1001
1002 Arguments:
1003   name      points to a buffer into which to put the name
1004   max       is the length of the buffer
1005   s         points to the first alphabetic character of the name
1006   extras    chars other than alphanumerics to permit
1007
1008 Returns:    pointer to the first character after the name
1009
1010 Note: The test for *s != 0 in the while loop is necessary because
1011 Ustrchr() yields non-NULL if the character is zero (which is not something
1012 I expected). */
1013
1014 static const uschar *
1015 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1016 {
1017 int ptr = 0;
1018 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1019   {
1020   if (ptr < max-1) name[ptr++] = *s;
1021   s++;
1022   }
1023 name[ptr] = 0;
1024 return s;
1025 }
1026
1027
1028
1029 /*************************************************
1030 *     Pick out the rest of a header name         *
1031 *************************************************/
1032
1033 /* A variable name starting $header_ (or just $h_ for those who like
1034 abbreviations) might not be the complete header name because headers can
1035 contain any printing characters in their names, except ':'. This function is
1036 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1037 on the end, if the name was terminated by white space.
1038
1039 Arguments:
1040   name      points to a buffer in which the name read so far exists
1041   max       is the length of the buffer
1042   s         points to the first character after the name so far, i.e. the
1043             first non-alphameric character after $header_xxxxx
1044
1045 Returns:    a pointer to the first character after the header name
1046 */
1047
1048 static const uschar *
1049 read_header_name(uschar *name, int max, const uschar *s)
1050 {
1051 int prelen = Ustrchr(name, '_') - name + 1;
1052 int ptr = Ustrlen(name) - prelen;
1053 if (ptr > 0) memmove(name, name+prelen, ptr);
1054 while (mac_isgraph(*s) && *s != ':')
1055   {
1056   if (ptr < max-1) name[ptr++] = *s;
1057   s++;
1058   }
1059 if (*s == ':') s++;
1060 name[ptr++] = ':';
1061 name[ptr] = 0;
1062 return s;
1063 }
1064
1065
1066
1067 /*************************************************
1068 *           Pick out a number from a string      *
1069 *************************************************/
1070
1071 /* Arguments:
1072   n     points to an integer into which to put the number
1073   s     points to the first digit of the number
1074
1075 Returns:  a pointer to the character after the last digit
1076 */
1077 /*XXX consider expanding to int_eximarith_t.  But the test for
1078 "overbig numbers" in 0002 still needs to overflow it. */
1079
1080 static uschar *
1081 read_number(int *n, uschar *s)
1082 {
1083 *n = 0;
1084 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1085 return s;
1086 }
1087
1088 static const uschar *
1089 read_cnumber(int *n, const uschar *s)
1090 {
1091 *n = 0;
1092 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1093 return s;
1094 }
1095
1096
1097
1098 /*************************************************
1099 *        Extract keyed subfield from a string    *
1100 *************************************************/
1101
1102 /* The yield is in dynamic store; NULL means that the key was not found.
1103
1104 Arguments:
1105   key       points to the name of the key
1106   s         points to the string from which to extract the subfield
1107
1108 Returns:    NULL if the subfield was not found, or
1109             a pointer to the subfield's data
1110 */
1111
1112 static uschar *
1113 expand_getkeyed(uschar *key, const uschar *s)
1114 {
1115 int length = Ustrlen(key);
1116 while (isspace(*s)) s++;
1117
1118 /* Loop to search for the key */
1119
1120 while (*s != 0)
1121   {
1122   int dkeylength;
1123   uschar *data;
1124   const uschar *dkey = s;
1125
1126   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1127   dkeylength = s - dkey;
1128   while (isspace(*s)) s++;
1129   if (*s == '=') while (isspace((*(++s))));
1130
1131   data = string_dequote(&s);
1132   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1133     return data;
1134
1135   while (isspace(*s)) s++;
1136   }
1137
1138 return NULL;
1139 }
1140
1141
1142
1143 static var_entry *
1144 find_var_ent(uschar * name)
1145 {
1146 int first = 0;
1147 int last = var_table_size;
1148
1149 while (last > first)
1150   {
1151   int middle = (first + last)/2;
1152   int c = Ustrcmp(name, var_table[middle].name);
1153
1154   if (c > 0) { first = middle + 1; continue; }
1155   if (c < 0) { last = middle; continue; }
1156   return &var_table[middle];
1157   }
1158 return NULL;
1159 }
1160
1161 /*************************************************
1162 *   Extract numbered subfield from string        *
1163 *************************************************/
1164
1165 /* Extracts a numbered field from a string that is divided by tokens - for
1166 example a line from /etc/passwd is divided by colon characters.  First field is
1167 numbered one.  Negative arguments count from the right. Zero returns the whole
1168 string. Returns NULL if there are insufficient tokens in the string
1169
1170 ***WARNING***
1171 Modifies final argument - this is a dynamically generated string, so that's OK.
1172
1173 Arguments:
1174   field       number of field to be extracted,
1175                 first field = 1, whole string = 0, last field = -1
1176   separators  characters that are used to break string into tokens
1177   s           points to the string from which to extract the subfield
1178
1179 Returns:      NULL if the field was not found,
1180               a pointer to the field's data inside s (modified to add 0)
1181 */
1182
1183 static uschar *
1184 expand_gettokened (int field, uschar *separators, uschar *s)
1185 {
1186 int sep = 1;
1187 int count;
1188 uschar *ss = s;
1189 uschar *fieldtext = NULL;
1190
1191 if (field == 0) return s;
1192
1193 /* Break the line up into fields in place; for field > 0 we stop when we have
1194 done the number of fields we want. For field < 0 we continue till the end of
1195 the string, counting the number of fields. */
1196
1197 count = (field > 0)? field : INT_MAX;
1198
1199 while (count-- > 0)
1200   {
1201   size_t len;
1202
1203   /* Previous field was the last one in the string. For a positive field
1204   number, this means there are not enough fields. For a negative field number,
1205   check that there are enough, and scan back to find the one that is wanted. */
1206
1207   if (sep == 0)
1208     {
1209     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1210     if ((-field) == (INT_MAX - count - 1)) return s;
1211     while (field++ < 0)
1212       {
1213       ss--;
1214       while (ss[-1] != 0) ss--;
1215       }
1216     fieldtext = ss;
1217     break;
1218     }
1219
1220   /* Previous field was not last in the string; save its start and put a
1221   zero at its end. */
1222
1223   fieldtext = ss;
1224   len = Ustrcspn(ss, separators);
1225   sep = ss[len];
1226   ss[len] = 0;
1227   ss += len + 1;
1228   }
1229
1230 return fieldtext;
1231 }
1232
1233
1234 static uschar *
1235 expand_getlistele(int field, const uschar * list)
1236 {
1237 const uschar * tlist= list;
1238 int sep= 0;
1239 uschar dummy;
1240
1241 if(field<0)
1242   {
1243   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1244   sep= 0;
1245   }
1246 if(field==0) return NULL;
1247 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1248 return string_nextinlist(&list, &sep, NULL, 0);
1249 }
1250
1251
1252 /* Certificate fields, by name.  Worry about by-OID later */
1253 /* Names are chosen to not have common prefixes */
1254
1255 #ifdef SUPPORT_TLS
1256 typedef struct
1257 {
1258 uschar * name;
1259 int      namelen;
1260 uschar * (*getfn)(void * cert, uschar * mod);
1261 } certfield;
1262 static certfield certfields[] =
1263 {                       /* linear search; no special order */
1264   { US"version",         7,  &tls_cert_version },
1265   { US"serial_number",   13, &tls_cert_serial_number },
1266   { US"subject",         7,  &tls_cert_subject },
1267   { US"notbefore",       9,  &tls_cert_not_before },
1268   { US"notafter",        8,  &tls_cert_not_after },
1269   { US"issuer",          6,  &tls_cert_issuer },
1270   { US"signature",       9,  &tls_cert_signature },
1271   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1272   { US"subj_altname",    12, &tls_cert_subject_altname },
1273   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1274   { US"crl_uri",         7,  &tls_cert_crl_uri },
1275 };
1276
1277 static uschar *
1278 expand_getcertele(uschar * field, uschar * certvar)
1279 {
1280 var_entry * vp;
1281 certfield * cp;
1282
1283 if (!(vp = find_var_ent(certvar)))
1284   {
1285   expand_string_message =
1286     string_sprintf("no variable named \"%s\"", certvar);
1287   return NULL;          /* Unknown variable name */
1288   }
1289 /* NB this stops us passing certs around in variable.  Might
1290 want to do that in future */
1291 if (vp->type != vtype_cert)
1292   {
1293   expand_string_message =
1294     string_sprintf("\"%s\" is not a certificate", certvar);
1295   return NULL;          /* Unknown variable name */
1296   }
1297 if (!*(void **)vp->value)
1298   return NULL;
1299
1300 if (*field >= '0' && *field <= '9')
1301   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1302
1303 for(cp = certfields;
1304     cp < certfields + nelem(certfields);
1305     cp++)
1306   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1307     {
1308     uschar * modifier = *(field += cp->namelen) == ','
1309       ? ++field : NULL;
1310     return (*cp->getfn)( *(void **)vp->value, modifier );
1311     }
1312
1313 expand_string_message =
1314   string_sprintf("bad field selector \"%s\" for certextract", field);
1315 return NULL;
1316 }
1317 #endif  /*SUPPORT_TLS*/
1318
1319 /*************************************************
1320 *        Extract a substring from a string       *
1321 *************************************************/
1322
1323 /* Perform the ${substr or ${length expansion operations.
1324
1325 Arguments:
1326   subject     the input string
1327   value1      the offset from the start of the input string to the start of
1328                 the output string; if negative, count from the right.
1329   value2      the length of the output string, or negative (-1) for unset
1330                 if value1 is positive, unset means "all after"
1331                 if value1 is negative, unset means "all before"
1332   len         set to the length of the returned string
1333
1334 Returns:      pointer to the output string, or NULL if there is an error
1335 */
1336
1337 static uschar *
1338 extract_substr(uschar *subject, int value1, int value2, int *len)
1339 {
1340 int sublen = Ustrlen(subject);
1341
1342 if (value1 < 0)    /* count from right */
1343   {
1344   value1 += sublen;
1345
1346   /* If the position is before the start, skip to the start, and adjust the
1347   length. If the length ends up negative, the substring is null because nothing
1348   can precede. This falls out naturally when the length is unset, meaning "all
1349   to the left". */
1350
1351   if (value1 < 0)
1352     {
1353     value2 += value1;
1354     if (value2 < 0) value2 = 0;
1355     value1 = 0;
1356     }
1357
1358   /* Otherwise an unset length => characters before value1 */
1359
1360   else if (value2 < 0)
1361     {
1362     value2 = value1;
1363     value1 = 0;
1364     }
1365   }
1366
1367 /* For a non-negative offset, if the starting position is past the end of the
1368 string, the result will be the null string. Otherwise, an unset length means
1369 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1370
1371 else
1372   {
1373   if (value1 > sublen)
1374     {
1375     value1 = sublen;
1376     value2 = 0;
1377     }
1378   else if (value2 < 0) value2 = sublen;
1379   }
1380
1381 /* Cut the length down to the maximum possible for the offset value, and get
1382 the required characters. */
1383
1384 if (value1 + value2 > sublen) value2 = sublen - value1;
1385 *len = value2;
1386 return subject + value1;
1387 }
1388
1389
1390
1391
1392 /*************************************************
1393 *            Old-style hash of a string          *
1394 *************************************************/
1395
1396 /* Perform the ${hash expansion operation.
1397
1398 Arguments:
1399   subject     the input string (an expanded substring)
1400   value1      the length of the output string; if greater or equal to the
1401                 length of the input string, the input string is returned
1402   value2      the number of hash characters to use, or 26 if negative
1403   len         set to the length of the returned string
1404
1405 Returns:      pointer to the output string, or NULL if there is an error
1406 */
1407
1408 static uschar *
1409 compute_hash(uschar *subject, int value1, int value2, int *len)
1410 {
1411 int sublen = Ustrlen(subject);
1412
1413 if (value2 < 0) value2 = 26;
1414 else if (value2 > Ustrlen(hashcodes))
1415   {
1416   expand_string_message =
1417     string_sprintf("hash count \"%d\" too big", value2);
1418   return NULL;
1419   }
1420
1421 /* Calculate the hash text. We know it is shorter than the original string, so
1422 can safely place it in subject[] (we know that subject is always itself an
1423 expanded substring). */
1424
1425 if (value1 < sublen)
1426   {
1427   int c;
1428   int i = 0;
1429   int j = value1;
1430   while ((c = (subject[j])) != 0)
1431     {
1432     int shift = (c + j++) & 7;
1433     subject[i] ^= (c << shift) | (c >> (8-shift));
1434     if (++i >= value1) i = 0;
1435     }
1436   for (i = 0; i < value1; i++)
1437     subject[i] = hashcodes[(subject[i]) % value2];
1438   }
1439 else value1 = sublen;
1440
1441 *len = value1;
1442 return subject;
1443 }
1444
1445
1446
1447
1448 /*************************************************
1449 *             Numeric hash of a string           *
1450 *************************************************/
1451
1452 /* Perform the ${nhash expansion operation. The first characters of the
1453 string are treated as most important, and get the highest prime numbers.
1454
1455 Arguments:
1456   subject     the input string
1457   value1      the maximum value of the first part of the result
1458   value2      the maximum value of the second part of the result,
1459                 or negative to produce only a one-part result
1460   len         set to the length of the returned string
1461
1462 Returns:  pointer to the output string, or NULL if there is an error.
1463 */
1464
1465 static uschar *
1466 compute_nhash (uschar *subject, int value1, int value2, int *len)
1467 {
1468 uschar *s = subject;
1469 int i = 0;
1470 unsigned long int total = 0; /* no overflow */
1471
1472 while (*s != 0)
1473   {
1474   if (i == 0) i = nelem(prime) - 1;
1475   total += prime[i--] * (unsigned int)(*s++);
1476   }
1477
1478 /* If value2 is unset, just compute one number */
1479
1480 if (value2 < 0)
1481   {
1482   s = string_sprintf("%d", total % value1);
1483   }
1484
1485 /* Otherwise do a div/mod hash */
1486
1487 else
1488   {
1489   total = total % (value1 * value2);
1490   s = string_sprintf("%d/%d", total/value2, total % value2);
1491   }
1492
1493 *len = Ustrlen(s);
1494 return s;
1495 }
1496
1497
1498
1499
1500
1501 /*************************************************
1502 *     Find the value of a header or headers      *
1503 *************************************************/
1504
1505 /* Multiple instances of the same header get concatenated, and this function
1506 can also return a concatenation of all the header lines. When concatenating
1507 specific headers that contain lists of addresses, a comma is inserted between
1508 them. Otherwise we use a straight concatenation. Because some messages can have
1509 pathologically large number of lines, there is a limit on the length that is
1510 returned. Also, to avoid massive store use which would result from using
1511 string_cat() as it copies and extends strings, we do a preliminary pass to find
1512 out exactly how much store will be needed. On "normal" messages this will be
1513 pretty trivial.
1514
1515 Arguments:
1516   name          the name of the header, without the leading $header_ or $h_,
1517                 or NULL if a concatenation of all headers is required
1518   exists_only   TRUE if called from a def: test; don't need to build a string;
1519                 just return a string that is not "" and not "0" if the header
1520                 exists
1521   newsize       return the size of memory block that was obtained; may be NULL
1522                 if exists_only is TRUE
1523   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1524                 other than concatenating, will be done on the header. Also used
1525                 for $message_headers_raw.
1526   charset       name of charset to translate MIME words to; used only if
1527                 want_raw is false; if NULL, no translation is done (this is
1528                 used for $bh_ and $bheader_)
1529
1530 Returns:        NULL if the header does not exist, else a pointer to a new
1531                 store block
1532 */
1533
1534 static uschar *
1535 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1536   uschar *charset)
1537 {
1538 BOOL found = name == NULL;
1539 int comma = 0;
1540 int len = found? 0 : Ustrlen(name);
1541 int i;
1542 uschar *yield = NULL;
1543 uschar *ptr = NULL;
1544
1545 /* Loop for two passes - saves code repetition */
1546
1547 for (i = 0; i < 2; i++)
1548   {
1549   int size = 0;
1550   header_line *h;
1551
1552   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1553     {
1554     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1555       {
1556       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1557         {
1558         int ilen;
1559         uschar *t;
1560
1561         if (exists_only) return US"1";      /* don't need actual string */
1562         found = TRUE;
1563         t = h->text + len;                  /* text to insert */
1564         if (!want_raw)                      /* unless wanted raw, */
1565           while (isspace(*t)) t++;          /* remove leading white space */
1566         ilen = h->slen - (t - h->text);     /* length to insert */
1567
1568         /* Unless wanted raw, remove trailing whitespace, including the
1569         newline. */
1570
1571         if (!want_raw)
1572           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1573
1574         /* Set comma = 1 if handling a single header and it's one of those
1575         that contains an address list, except when asked for raw headers. Only
1576         need to do this once. */
1577
1578         if (!want_raw && name != NULL && comma == 0 &&
1579             Ustrchr("BCFRST", h->type) != NULL)
1580           comma = 1;
1581
1582         /* First pass - compute total store needed; second pass - compute
1583         total store used, including this header. */
1584
1585         size += ilen + comma + 1;  /* +1 for the newline */
1586
1587         /* Second pass - concatentate the data, up to a maximum. Note that
1588         the loop stops when size hits the limit. */
1589
1590         if (i != 0)
1591           {
1592           if (size > header_insert_maxlen)
1593             {
1594             ilen -= size - header_insert_maxlen - 1;
1595             comma = 0;
1596             }
1597           Ustrncpy(ptr, t, ilen);
1598           ptr += ilen;
1599
1600           /* For a non-raw header, put in the comma if needed, then add
1601           back the newline we removed above, provided there was some text in
1602           the header. */
1603
1604           if (!want_raw && ilen > 0)
1605             {
1606             if (comma != 0) *ptr++ = ',';
1607             *ptr++ = '\n';
1608             }
1609           }
1610         }
1611       }
1612     }
1613
1614   /* At end of first pass, return NULL if no header found. Then truncate size
1615   if necessary, and get the buffer to hold the data, returning the buffer size.
1616   */
1617
1618   if (i == 0)
1619     {
1620     if (!found) return NULL;
1621     if (size > header_insert_maxlen) size = header_insert_maxlen;
1622     *newsize = size + 1;
1623     ptr = yield = store_get(*newsize);
1624     }
1625   }
1626
1627 /* That's all we do for raw header expansion. */
1628
1629 if (want_raw)
1630   {
1631   *ptr = 0;
1632   }
1633
1634 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1635 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1636 function can return an error with decoded data if the charset translation
1637 fails. If decoding fails, it returns NULL. */
1638
1639 else
1640   {
1641   uschar *decoded, *error;
1642   if (ptr > yield && ptr[-1] == '\n') ptr--;
1643   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1644   *ptr = 0;
1645   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1646     newsize, &error);
1647   if (error != NULL)
1648     {
1649     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1650       "    input was: %s\n", error, yield);
1651     }
1652   if (decoded != NULL) yield = decoded;
1653   }
1654
1655 return yield;
1656 }
1657
1658
1659
1660
1661 /*************************************************
1662 *               Return list of recipients        *
1663 *************************************************/
1664 /* A recipients list is available only during system message filtering,
1665 during ACL processing after DATA, and while expanding pipe commands
1666 generated from a system filter, but not elsewhere. */
1667
1668 static uschar *
1669 fn_recipients(void)
1670 {
1671 if (!enable_dollar_recipients) return NULL; else
1672   {
1673   int size = 128;
1674   int ptr = 0;
1675   int i;
1676   uschar * s = store_get(size);
1677   for (i = 0; i < recipients_count; i++)
1678     {
1679     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1680     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1681       Ustrlen(recipients_list[i].address));
1682     }
1683   s[ptr] = 0;     /* string_cat() leaves room */
1684   return s;
1685   }
1686 }
1687
1688
1689 /*************************************************
1690 *               Find value of a variable         *
1691 *************************************************/
1692
1693 /* The table of variables is kept in alphabetic order, so we can search it
1694 using a binary chop. The "choplen" variable is nothing to do with the binary
1695 chop.
1696
1697 Arguments:
1698   name          the name of the variable being sought
1699   exists_only   TRUE if this is a def: test; passed on to find_header()
1700   skipping      TRUE => skip any processing evaluation; this is not the same as
1701                   exists_only because def: may test for values that are first
1702                   evaluated here
1703   newsize       pointer to an int which is initially zero; if the answer is in
1704                 a new memory buffer, *newsize is set to its size
1705
1706 Returns:        NULL if the variable does not exist, or
1707                 a pointer to the variable's contents, or
1708                 something non-NULL if exists_only is TRUE
1709 */
1710
1711 static uschar *
1712 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1713 {
1714 var_entry * vp;
1715 uschar *s, *domain;
1716 uschar **ss;
1717 void * val;
1718
1719 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1720 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1721 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1722 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1723 (this gave backwards compatibility at the changeover). There may be built-in
1724 variables whose names start acl_ but they should never start in this way. This
1725 slightly messy specification is a consequence of the history, needless to say.
1726
1727 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1728 set, in which case give an error. */
1729
1730 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1731      !isalpha(name[5]))
1732   {
1733   tree_node *node =
1734     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1735   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1736   }
1737
1738 /* Handle $auth<n> variables. */
1739
1740 if (Ustrncmp(name, "auth", 4) == 0)
1741   {
1742   uschar *endptr;
1743   int n = Ustrtoul(name + 4, &endptr, 10);
1744   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1745     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1746   }
1747 else if (Ustrncmp(name, "regex", 5) == 0)
1748   {
1749   uschar *endptr;
1750   int n = Ustrtoul(name + 5, &endptr, 10);
1751   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1752     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1753   }
1754
1755 /* For all other variables, search the table */
1756
1757 if (!(vp = find_var_ent(name)))
1758   return NULL;          /* Unknown variable name */
1759
1760 /* Found an existing variable. If in skipping state, the value isn't needed,
1761 and we want to avoid processing (such as looking up the host name). */
1762
1763 if (skipping)
1764   return US"";
1765
1766 val = vp->value;
1767 switch (vp->type)
1768   {
1769   case vtype_filter_int:
1770     if (!filter_running) return NULL;
1771     /* Fall through */
1772     /* VVVVVVVVVVVV */
1773   case vtype_int:
1774     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1775     return var_buffer;
1776
1777   case vtype_ino:
1778     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1779     return var_buffer;
1780
1781   case vtype_gid:
1782     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1783     return var_buffer;
1784
1785   case vtype_uid:
1786     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1787     return var_buffer;
1788
1789   case vtype_bool:
1790     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1791     return var_buffer;
1792
1793   case vtype_stringptr:                      /* Pointer to string */
1794     return (s = *((uschar **)(val))) ? s : US"";
1795
1796   case vtype_pid:
1797     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1798     return var_buffer;
1799
1800   case vtype_load_avg:
1801     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1802     return var_buffer;
1803
1804   case vtype_host_lookup:                    /* Lookup if not done so */
1805     if (sender_host_name == NULL && sender_host_address != NULL &&
1806         !host_lookup_failed && host_name_lookup() == OK)
1807       host_build_sender_fullhost();
1808     return (sender_host_name == NULL)? US"" : sender_host_name;
1809
1810   case vtype_localpart:                      /* Get local part from address */
1811     s = *((uschar **)(val));
1812     if (s == NULL) return US"";
1813     domain = Ustrrchr(s, '@');
1814     if (domain == NULL) return s;
1815     if (domain - s > sizeof(var_buffer) - 1)
1816       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1817           " in string expansion", sizeof(var_buffer));
1818     Ustrncpy(var_buffer, s, domain - s);
1819     var_buffer[domain - s] = 0;
1820     return var_buffer;
1821
1822   case vtype_domain:                         /* Get domain from address */
1823     s = *((uschar **)(val));
1824     if (s == NULL) return US"";
1825     domain = Ustrrchr(s, '@');
1826     return (domain == NULL)? US"" : domain + 1;
1827
1828   case vtype_msgheaders:
1829     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1830
1831   case vtype_msgheaders_raw:
1832     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1833
1834   case vtype_msgbody:                        /* Pointer to msgbody string */
1835   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1836     ss = (uschar **)(val);
1837     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1838       {
1839       uschar *body;
1840       off_t start_offset = SPOOL_DATA_START_OFFSET;
1841       int len = message_body_visible;
1842       if (len > message_size) len = message_size;
1843       *ss = body = store_malloc(len+1);
1844       body[0] = 0;
1845       if (vp->type == vtype_msgbody_end)
1846         {
1847         struct stat statbuf;
1848         if (fstat(deliver_datafile, &statbuf) == 0)
1849           {
1850           start_offset = statbuf.st_size - len;
1851           if (start_offset < SPOOL_DATA_START_OFFSET)
1852             start_offset = SPOOL_DATA_START_OFFSET;
1853           }
1854         }
1855       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1856         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1857           strerror(errno));
1858       len = read(deliver_datafile, body, len);
1859       if (len > 0)
1860         {
1861         body[len] = 0;
1862         if (message_body_newlines)   /* Separate loops for efficiency */
1863           while (len > 0)
1864             { if (body[--len] == 0) body[len] = ' '; }
1865         else
1866           while (len > 0)
1867             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1868         }
1869       }
1870     return (*ss == NULL)? US"" : *ss;
1871
1872   case vtype_todbsdin:                       /* BSD inbox time of day */
1873     return tod_stamp(tod_bsdin);
1874
1875   case vtype_tode:                           /* Unix epoch time of day */
1876     return tod_stamp(tod_epoch);
1877
1878   case vtype_todel:                          /* Unix epoch/usec time of day */
1879     return tod_stamp(tod_epoch_l);
1880
1881   case vtype_todf:                           /* Full time of day */
1882     return tod_stamp(tod_full);
1883
1884   case vtype_todl:                           /* Log format time of day */
1885     return tod_stamp(tod_log_bare);            /* (without timezone) */
1886
1887   case vtype_todzone:                        /* Time zone offset only */
1888     return tod_stamp(tod_zone);
1889
1890   case vtype_todzulu:                        /* Zulu time */
1891     return tod_stamp(tod_zulu);
1892
1893   case vtype_todlf:                          /* Log file datestamp tod */
1894     return tod_stamp(tod_log_datestamp_daily);
1895
1896   case vtype_reply:                          /* Get reply address */
1897     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1898       headers_charset);
1899     if (s != NULL) while (isspace(*s)) s++;
1900     if (s == NULL || *s == 0)
1901       {
1902       *newsize = 0;                            /* For the *s==0 case */
1903       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1904       }
1905     if (s != NULL)
1906       {
1907       uschar *t;
1908       while (isspace(*s)) s++;
1909       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1910       while (t > s && isspace(t[-1])) t--;
1911       *t = 0;
1912       }
1913     return (s == NULL)? US"" : s;
1914
1915   case vtype_string_func:
1916     {
1917     uschar * (*fn)() = val;
1918     return fn();
1919     }
1920
1921   case vtype_pspace:
1922     {
1923     int inodes;
1924     sprintf(CS var_buffer, "%d",
1925       receive_statvfs(val == (void *)TRUE, &inodes));
1926     }
1927   return var_buffer;
1928
1929   case vtype_pinodes:
1930     {
1931     int inodes;
1932     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1933     sprintf(CS var_buffer, "%d", inodes);
1934     }
1935   return var_buffer;
1936
1937   case vtype_cert:
1938     return *(void **)val ? US"<cert>" : US"";
1939
1940 #ifndef DISABLE_DKIM
1941   case vtype_dkim:
1942     return dkim_exim_expand_query((int)(long)val);
1943 #endif
1944
1945   }
1946
1947 return NULL;  /* Unknown variable. Silences static checkers. */
1948 }
1949
1950
1951
1952
1953 void
1954 modify_variable(uschar *name, void * value)
1955 {
1956 var_entry * vp;
1957 if ((vp = find_var_ent(name))) vp->value = value;
1958 return;          /* Unknown variable name, fail silently */
1959 }
1960
1961
1962
1963
1964
1965 /*************************************************
1966 *           Read and expand substrings           *
1967 *************************************************/
1968
1969 /* This function is called to read and expand argument substrings for various
1970 expansion items. Some have a minimum requirement that is less than the maximum;
1971 in these cases, the first non-present one is set to NULL.
1972
1973 Arguments:
1974   sub        points to vector of pointers to set
1975   n          maximum number of substrings
1976   m          minimum required
1977   sptr       points to current string pointer
1978   skipping   the skipping flag
1979   check_end  if TRUE, check for final '}'
1980   name       name of item, for error message
1981   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1982              the store.
1983
1984 Returns:     0 OK; string pointer updated
1985              1 curly bracketing error (too few arguments)
1986              2 too many arguments (only if check_end is set); message set
1987              3 other error (expansion failure)
1988 */
1989
1990 static int
1991 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1992   BOOL check_end, uschar *name, BOOL *resetok)
1993 {
1994 int i;
1995 const uschar *s = *sptr;
1996
1997 while (isspace(*s)) s++;
1998 for (i = 0; i < n; i++)
1999   {
2000   if (*s != '{')
2001     {
2002     if (i < m) return 1;
2003     sub[i] = NULL;
2004     break;
2005     }
2006   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
2007   if (sub[i] == NULL) return 3;
2008   if (*s++ != '}') return 1;
2009   while (isspace(*s)) s++;
2010   }
2011 if (check_end && *s++ != '}')
2012   {
2013   if (s[-1] == '{')
2014     {
2015     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
2016       "(max is %d)", name, n);
2017     return 2;
2018     }
2019   return 1;
2020   }
2021
2022 *sptr = s;
2023 return 0;
2024 }
2025
2026
2027
2028
2029 /*************************************************
2030 *     Elaborate message for bad variable         *
2031 *************************************************/
2032
2033 /* For the "unknown variable" message, take a look at the variable's name, and
2034 give additional information about possible ACL variables. The extra information
2035 is added on to expand_string_message.
2036
2037 Argument:   the name of the variable
2038 Returns:    nothing
2039 */
2040
2041 static void
2042 check_variable_error_message(uschar *name)
2043 {
2044 if (Ustrncmp(name, "acl_", 4) == 0)
2045   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2046     (name[4] == 'c' || name[4] == 'm')?
2047       (isalpha(name[5])?
2048         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2049         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2050       ) :
2051       US"user-defined ACL variables must start acl_c or acl_m");
2052 }
2053
2054
2055
2056 /*
2057 Load args from sub array to globals, and call acl_check().
2058 Sub array will be corrupted on return.
2059
2060 Returns:       OK         access is granted by an ACCEPT verb
2061                DISCARD    access is granted by a DISCARD verb
2062                FAIL       access is denied
2063                FAIL_DROP  access is denied; drop the connection
2064                DEFER      can't tell at the moment
2065                ERROR      disaster
2066 */
2067 static int
2068 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2069 {
2070 int i;
2071 int sav_narg = acl_narg;
2072 int ret;
2073 uschar * dummy_logmsg;
2074 extern int acl_where;
2075
2076 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2077 for (i = 0; i < nsub && sub[i+1]; i++)
2078   {
2079   uschar * tmp = acl_arg[i];
2080   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2081   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2082   }
2083 acl_narg = i;
2084 while (i < nsub)
2085   {
2086   sub[i+1] = acl_arg[i];
2087   acl_arg[i++] = NULL;
2088   }
2089
2090 DEBUG(D_expand)
2091   debug_printf("expanding: acl: %s  arg: %s%s\n",
2092     sub[0],
2093     acl_narg>0 ? acl_arg[0] : US"<none>",
2094     acl_narg>1 ? " +more"   : "");
2095
2096 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2097
2098 for (i = 0; i < nsub; i++)
2099   acl_arg[i] = sub[i+1];        /* restore old args */
2100 acl_narg = sav_narg;
2101
2102 return ret;
2103 }
2104
2105
2106
2107
2108 /*************************************************
2109 *        Read and evaluate a condition           *
2110 *************************************************/
2111
2112 /*
2113 Arguments:
2114   s        points to the start of the condition text
2115   resetok  points to a BOOL which is written false if it is unsafe to
2116            free memory. Certain condition types (acl) may have side-effect
2117            allocation which must be preserved.
2118   yield    points to a BOOL to hold the result of the condition test;
2119            if NULL, we are just reading through a condition that is
2120            part of an "or" combination to check syntax, or in a state
2121            where the answer isn't required
2122
2123 Returns:   a pointer to the first character after the condition, or
2124            NULL after an error
2125 */
2126
2127 static const uschar *
2128 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2129 {
2130 BOOL testfor = TRUE;
2131 BOOL tempcond, combined_cond;
2132 BOOL *subcondptr;
2133 BOOL sub2_honour_dollar = TRUE;
2134 int i, rc, cond_type, roffset;
2135 int_eximarith_t num[2];
2136 struct stat statbuf;
2137 uschar name[256];
2138 const uschar *sub[10];
2139
2140 const pcre *re;
2141 const uschar *rerror;
2142
2143 for (;;)
2144   {
2145   while (isspace(*s)) s++;
2146   if (*s == '!') { testfor = !testfor; s++; } else break;
2147   }
2148
2149 /* Numeric comparisons are symbolic */
2150
2151 if (*s == '=' || *s == '>' || *s == '<')
2152   {
2153   int p = 0;
2154   name[p++] = *s++;
2155   if (*s == '=')
2156     {
2157     name[p++] = '=';
2158     s++;
2159     }
2160   name[p] = 0;
2161   }
2162
2163 /* All other conditions are named */
2164
2165 else s = read_name(name, 256, s, US"_");
2166
2167 /* If we haven't read a name, it means some non-alpha character is first. */
2168
2169 if (name[0] == 0)
2170   {
2171   expand_string_message = string_sprintf("condition name expected, "
2172     "but found \"%.16s\"", s);
2173   return NULL;
2174   }
2175
2176 /* Find which condition we are dealing with, and switch on it */
2177
2178 cond_type = chop_match(name, cond_table, nelem(cond_table));
2179 switch(cond_type)
2180   {
2181   /* def: tests for a non-empty variable, or for the existence of a header. If
2182   yield == NULL we are in a skipping state, and don't care about the answer. */
2183
2184   case ECOND_DEF:
2185   if (*s != ':')
2186     {
2187     expand_string_message = US"\":\" expected after \"def\"";
2188     return NULL;
2189     }
2190
2191   s = read_name(name, 256, s+1, US"_");
2192
2193   /* Test for a header's existence. If the name contains a closing brace
2194   character, this may be a user error where the terminating colon has been
2195   omitted. Set a flag to adjust a subsequent error message in this case. */
2196
2197   if (Ustrncmp(name, "h_", 2) == 0 ||
2198       Ustrncmp(name, "rh_", 3) == 0 ||
2199       Ustrncmp(name, "bh_", 3) == 0 ||
2200       Ustrncmp(name, "header_", 7) == 0 ||
2201       Ustrncmp(name, "rheader_", 8) == 0 ||
2202       Ustrncmp(name, "bheader_", 8) == 0)
2203     {
2204     s = read_header_name(name, 256, s);
2205     /* {-for-text-editors */
2206     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2207     if (yield != NULL) *yield =
2208       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2209     }
2210
2211   /* Test for a variable's having a non-empty value. A non-existent variable
2212   causes an expansion failure. */
2213
2214   else
2215     {
2216     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2217     if (value == NULL)
2218       {
2219       expand_string_message = (name[0] == 0)?
2220         string_sprintf("variable name omitted after \"def:\"") :
2221         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2222       check_variable_error_message(name);
2223       return NULL;
2224       }
2225     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2226     }
2227
2228   return s;
2229
2230
2231   /* first_delivery tests for first delivery attempt */
2232
2233   case ECOND_FIRST_DELIVERY:
2234   if (yield != NULL) *yield = deliver_firsttime == testfor;
2235   return s;
2236
2237
2238   /* queue_running tests for any process started by a queue runner */
2239
2240   case ECOND_QUEUE_RUNNING:
2241   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2242   return s;
2243
2244
2245   /* exists:  tests for file existence
2246        isip:  tests for any IP address
2247       isip4:  tests for an IPv4 address
2248       isip6:  tests for an IPv6 address
2249         pam:  does PAM authentication
2250      radius:  does RADIUS authentication
2251    ldapauth:  does LDAP authentication
2252     pwcheck:  does Cyrus SASL pwcheck authentication
2253   */
2254
2255   case ECOND_EXISTS:
2256   case ECOND_ISIP:
2257   case ECOND_ISIP4:
2258   case ECOND_ISIP6:
2259   case ECOND_PAM:
2260   case ECOND_RADIUS:
2261   case ECOND_LDAPAUTH:
2262   case ECOND_PWCHECK:
2263
2264   while (isspace(*s)) s++;
2265   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2266
2267   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2268   if (sub[0] == NULL) return NULL;
2269   /* {-for-text-editors */
2270   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2271
2272   if (yield == NULL) return s;   /* No need to run the test if skipping */
2273
2274   switch(cond_type)
2275     {
2276     case ECOND_EXISTS:
2277     if ((expand_forbid & RDO_EXISTS) != 0)
2278       {
2279       expand_string_message = US"File existence tests are not permitted";
2280       return NULL;
2281       }
2282     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2283     break;
2284
2285     case ECOND_ISIP:
2286     case ECOND_ISIP4:
2287     case ECOND_ISIP6:
2288     rc = string_is_ip_address(sub[0], NULL);
2289     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2290              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2291     break;
2292
2293     /* Various authentication tests - all optionally compiled */
2294
2295     case ECOND_PAM:
2296     #ifdef SUPPORT_PAM
2297     rc = auth_call_pam(sub[0], &expand_string_message);
2298     goto END_AUTH;
2299     #else
2300     goto COND_FAILED_NOT_COMPILED;
2301     #endif  /* SUPPORT_PAM */
2302
2303     case ECOND_RADIUS:
2304     #ifdef RADIUS_CONFIG_FILE
2305     rc = auth_call_radius(sub[0], &expand_string_message);
2306     goto END_AUTH;
2307     #else
2308     goto COND_FAILED_NOT_COMPILED;
2309     #endif  /* RADIUS_CONFIG_FILE */
2310
2311     case ECOND_LDAPAUTH:
2312     #ifdef LOOKUP_LDAP
2313       {
2314       /* Just to keep the interface the same */
2315       BOOL do_cache;
2316       int old_pool = store_pool;
2317       store_pool = POOL_SEARCH;
2318       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2319         &expand_string_message, &do_cache);
2320       store_pool = old_pool;
2321       }
2322     goto END_AUTH;
2323     #else
2324     goto COND_FAILED_NOT_COMPILED;
2325     #endif  /* LOOKUP_LDAP */
2326
2327     case ECOND_PWCHECK:
2328     #ifdef CYRUS_PWCHECK_SOCKET
2329     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2330     goto END_AUTH;
2331     #else
2332     goto COND_FAILED_NOT_COMPILED;
2333     #endif  /* CYRUS_PWCHECK_SOCKET */
2334
2335     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2336         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2337     END_AUTH:
2338     if (rc == ERROR || rc == DEFER) return NULL;
2339     *yield = (rc == OK) == testfor;
2340     #endif
2341     }
2342   return s;
2343
2344
2345   /* call ACL (in a conditional context).  Accept true, deny false.
2346   Defer is a forced-fail.  Anything set by message= goes to $value.
2347   Up to ten parameters are used; we use the braces round the name+args
2348   like the saslauthd condition does, to permit a variable number of args.
2349   See also the expansion-item version EITEM_ACL and the traditional
2350   acl modifier ACLC_ACL.
2351   Since the ACL may allocate new global variables, tell our caller to not
2352   reclaim memory.
2353   */
2354
2355   case ECOND_ACL:
2356     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2357     {
2358     uschar *sub[10];
2359     uschar *user_msg;
2360     BOOL cond = FALSE;
2361     int size = 0;
2362     int ptr = 0;
2363
2364     while (isspace(*s)) s++;
2365     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2366
2367     switch(read_subs(sub, nelem(sub), 1,
2368       &s, yield == NULL, TRUE, US"acl", resetok))
2369       {
2370       case 1: expand_string_message = US"too few arguments or bracketing "
2371         "error for acl";
2372       case 2:
2373       case 3: return NULL;
2374       }
2375
2376     *resetok = FALSE;
2377     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2378         {
2379         case OK:
2380           cond = TRUE;
2381         case FAIL:
2382           lookup_value = NULL;
2383           if (user_msg)
2384             {
2385             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2386             lookup_value[ptr] = '\0';
2387             }
2388           *yield = cond == testfor;
2389           break;
2390
2391         case DEFER:
2392           expand_string_forcedfail = TRUE;
2393         default:
2394           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2395           return NULL;
2396         }
2397     return s;
2398     }
2399
2400
2401   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2402
2403      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2404
2405   However, the last two are optional. That is why the whole set is enclosed
2406   in their own set of braces. */
2407
2408   case ECOND_SASLAUTHD:
2409 #ifndef CYRUS_SASLAUTHD_SOCKET
2410     goto COND_FAILED_NOT_COMPILED;
2411 #else
2412     {
2413     uschar *sub[4];
2414     while (isspace(*s)) s++;
2415     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2416     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2417                     resetok))
2418       {
2419       case 1: expand_string_message = US"too few arguments or bracketing "
2420         "error for saslauthd";
2421       case 2:
2422       case 3: return NULL;
2423       }
2424     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2425     if (yield != NULL)
2426       {
2427       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2428         &expand_string_message);
2429       if (rc == ERROR || rc == DEFER) return NULL;
2430       *yield = (rc == OK) == testfor;
2431       }
2432     return s;
2433     }
2434 #endif /* CYRUS_SASLAUTHD_SOCKET */
2435
2436
2437   /* symbolic operators for numeric and string comparison, and a number of
2438   other operators, all requiring two arguments.
2439
2440   crypteq:           encrypts plaintext and compares against an encrypted text,
2441                        using crypt(), crypt16(), MD5 or SHA-1
2442   inlist/inlisti:    checks if first argument is in the list of the second
2443   match:             does a regular expression match and sets up the numerical
2444                        variables if it succeeds
2445   match_address:     matches in an address list
2446   match_domain:      matches in a domain list
2447   match_ip:          matches a host list that is restricted to IP addresses
2448   match_local_part:  matches in a local part list
2449   */
2450
2451   case ECOND_MATCH_ADDRESS:
2452   case ECOND_MATCH_DOMAIN:
2453   case ECOND_MATCH_IP:
2454   case ECOND_MATCH_LOCAL_PART:
2455 #ifndef EXPAND_LISTMATCH_RHS
2456     sub2_honour_dollar = FALSE;
2457 #endif
2458     /* FALLTHROUGH */
2459
2460   case ECOND_CRYPTEQ:
2461   case ECOND_INLIST:
2462   case ECOND_INLISTI:
2463   case ECOND_MATCH:
2464
2465   case ECOND_NUM_L:     /* Numerical comparisons */
2466   case ECOND_NUM_LE:
2467   case ECOND_NUM_E:
2468   case ECOND_NUM_EE:
2469   case ECOND_NUM_G:
2470   case ECOND_NUM_GE:
2471
2472   case ECOND_STR_LT:    /* String comparisons */
2473   case ECOND_STR_LTI:
2474   case ECOND_STR_LE:
2475   case ECOND_STR_LEI:
2476   case ECOND_STR_EQ:
2477   case ECOND_STR_EQI:
2478   case ECOND_STR_GT:
2479   case ECOND_STR_GTI:
2480   case ECOND_STR_GE:
2481   case ECOND_STR_GEI:
2482
2483   for (i = 0; i < 2; i++)
2484     {
2485     /* Sometimes, we don't expand substrings; too many insecure configurations
2486     created using match_address{}{} and friends, where the second param
2487     includes information from untrustworthy sources. */
2488     BOOL honour_dollar = TRUE;
2489     if ((i > 0) && !sub2_honour_dollar)
2490       honour_dollar = FALSE;
2491
2492     while (isspace(*s)) s++;
2493     if (*s != '{')
2494       {
2495       if (i == 0) goto COND_FAILED_CURLY_START;
2496       expand_string_message = string_sprintf("missing 2nd string in {} "
2497         "after \"%s\"", name);
2498       return NULL;
2499       }
2500     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2501         honour_dollar, resetok);
2502     if (sub[i] == NULL) return NULL;
2503     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2504
2505     /* Convert to numerical if required; we know that the names of all the
2506     conditions that compare numbers do not start with a letter. This just saves
2507     checking for them individually. */
2508
2509     if (!isalpha(name[0]) && yield != NULL)
2510       {
2511       if (sub[i][0] == 0)
2512         {
2513         num[i] = 0;
2514         DEBUG(D_expand)
2515           debug_printf("empty string cast to zero for numerical comparison\n");
2516         }
2517       else
2518         {
2519         num[i] = expanded_string_integer(sub[i], FALSE);
2520         if (expand_string_message != NULL) return NULL;
2521         }
2522       }
2523     }
2524
2525   /* Result not required */
2526
2527   if (yield == NULL) return s;
2528
2529   /* Do an appropriate comparison */
2530
2531   switch(cond_type)
2532     {
2533     case ECOND_NUM_E:
2534     case ECOND_NUM_EE:
2535     tempcond = (num[0] == num[1]);
2536     break;
2537
2538     case ECOND_NUM_G:
2539     tempcond = (num[0] > num[1]);
2540     break;
2541
2542     case ECOND_NUM_GE:
2543     tempcond = (num[0] >= num[1]);
2544     break;
2545
2546     case ECOND_NUM_L:
2547     tempcond = (num[0] < num[1]);
2548     break;
2549
2550     case ECOND_NUM_LE:
2551     tempcond = (num[0] <= num[1]);
2552     break;
2553
2554     case ECOND_STR_LT:
2555     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2556     break;
2557
2558     case ECOND_STR_LTI:
2559     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2560     break;
2561
2562     case ECOND_STR_LE:
2563     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2564     break;
2565
2566     case ECOND_STR_LEI:
2567     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2568     break;
2569
2570     case ECOND_STR_EQ:
2571     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2572     break;
2573
2574     case ECOND_STR_EQI:
2575     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2576     break;
2577
2578     case ECOND_STR_GT:
2579     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2580     break;
2581
2582     case ECOND_STR_GTI:
2583     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2584     break;
2585
2586     case ECOND_STR_GE:
2587     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2588     break;
2589
2590     case ECOND_STR_GEI:
2591     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2592     break;
2593
2594     case ECOND_MATCH:   /* Regular expression match */
2595     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2596       NULL);
2597     if (re == NULL)
2598       {
2599       expand_string_message = string_sprintf("regular expression error in "
2600         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2601       return NULL;
2602       }
2603     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2604     break;
2605
2606     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2607     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2608     goto MATCHED_SOMETHING;
2609
2610     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2611     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2612       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2613     goto MATCHED_SOMETHING;
2614
2615     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2616     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2617       {
2618       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2619         sub[0]);
2620       return NULL;
2621       }
2622     else
2623       {
2624       unsigned int *nullcache = NULL;
2625       check_host_block cb;
2626
2627       cb.host_name = US"";
2628       cb.host_address = sub[0];
2629
2630       /* If the host address starts off ::ffff: it is an IPv6 address in
2631       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2632       addresses. */
2633
2634       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2635         cb.host_address + 7 : cb.host_address;
2636
2637       rc = match_check_list(
2638              &sub[1],                   /* the list */
2639              0,                         /* separator character */
2640              &hostlist_anchor,          /* anchor pointer */
2641              &nullcache,                /* cache pointer */
2642              check_host,                /* function for testing */
2643              &cb,                       /* argument for function */
2644              MCL_HOST,                  /* type of check */
2645              sub[0],                    /* text for debugging */
2646              NULL);                     /* where to pass back data */
2647       }
2648     goto MATCHED_SOMETHING;
2649
2650     case ECOND_MATCH_LOCAL_PART:
2651     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2652       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2653     /* Fall through */
2654     /* VVVVVVVVVVVV */
2655     MATCHED_SOMETHING:
2656     switch(rc)
2657       {
2658       case OK:
2659       tempcond = TRUE;
2660       break;
2661
2662       case FAIL:
2663       tempcond = FALSE;
2664       break;
2665
2666       case DEFER:
2667       expand_string_message = string_sprintf("unable to complete match "
2668         "against \"%s\": %s", sub[1], search_error_message);
2669       return NULL;
2670       }
2671
2672     break;
2673
2674     /* Various "encrypted" comparisons. If the second string starts with
2675     "{" then an encryption type is given. Default to crypt() or crypt16()
2676     (build-time choice). */
2677     /* }-for-text-editors */
2678
2679     case ECOND_CRYPTEQ:
2680     #ifndef SUPPORT_CRYPTEQ
2681     goto COND_FAILED_NOT_COMPILED;
2682     #else
2683     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2684       {
2685       int sublen = Ustrlen(sub[1]+5);
2686       md5 base;
2687       uschar digest[16];
2688
2689       md5_start(&base);
2690       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2691
2692       /* If the length that we are comparing against is 24, the MD5 digest
2693       is expressed as a base64 string. This is the way LDAP does it. However,
2694       some other software uses a straightforward hex representation. We assume
2695       this if the length is 32. Other lengths fail. */
2696
2697       if (sublen == 24)
2698         {
2699         uschar *coded = b64encode((uschar *)digest, 16);
2700         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2701           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2702         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2703         }
2704       else if (sublen == 32)
2705         {
2706         int i;
2707         uschar coded[36];
2708         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2709         coded[32] = 0;
2710         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2711           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2712         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2713         }
2714       else
2715         {
2716         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2717           "fail\n  crypted=%s\n", sub[1]+5);
2718         tempcond = FALSE;
2719         }
2720       }
2721
2722     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2723       {
2724       int sublen = Ustrlen(sub[1]+6);
2725       sha1 base;
2726       uschar digest[20];
2727
2728       sha1_start(&base);
2729       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2730
2731       /* If the length that we are comparing against is 28, assume the SHA1
2732       digest is expressed as a base64 string. If the length is 40, assume a
2733       straightforward hex representation. Other lengths fail. */
2734
2735       if (sublen == 28)
2736         {
2737         uschar *coded = b64encode((uschar *)digest, 20);
2738         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2739           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2740         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2741         }
2742       else if (sublen == 40)
2743         {
2744         int i;
2745         uschar coded[44];
2746         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2747         coded[40] = 0;
2748         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2749           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2750         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2751         }
2752       else
2753         {
2754         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2755           "fail\n  crypted=%s\n", sub[1]+6);
2756         tempcond = FALSE;
2757         }
2758       }
2759
2760     else   /* {crypt} or {crypt16} and non-{ at start */
2761            /* }-for-text-editors */
2762       {
2763       int which = 0;
2764       uschar *coded;
2765
2766       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2767         {
2768         sub[1] += 7;
2769         which = 1;
2770         }
2771       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2772         {
2773         sub[1] += 9;
2774         which = 2;
2775         }
2776       else if (sub[1][0] == '{')                /* }-for-text-editors */
2777         {
2778         expand_string_message = string_sprintf("unknown encryption mechanism "
2779           "in \"%s\"", sub[1]);
2780         return NULL;
2781         }
2782
2783       switch(which)
2784         {
2785         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2786         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2787         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2788         }
2789
2790       #define STR(s) # s
2791       #define XSTR(s) STR(s)
2792       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2793         "  subject=%s\n  crypted=%s\n",
2794         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2795         coded, sub[1]);
2796       #undef STR
2797       #undef XSTR
2798
2799       /* If the encrypted string contains fewer than two characters (for the
2800       salt), force failure. Otherwise we get false positives: with an empty
2801       string the yield of crypt() is an empty string! */
2802
2803       if (coded)
2804         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2805       else if (errno == EINVAL)
2806         tempcond = FALSE;
2807       else
2808         {
2809         expand_string_message = string_sprintf("crypt error: %s\n",
2810           US strerror(errno));
2811         return NULL;
2812         }
2813       }
2814     break;
2815     #endif  /* SUPPORT_CRYPTEQ */
2816
2817     case ECOND_INLIST:
2818     case ECOND_INLISTI:
2819       {
2820       const uschar * list = sub[1];
2821       int sep = 0;
2822       uschar *save_iterate_item = iterate_item;
2823       int (*compare)(const uschar *, const uschar *);
2824
2825       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2826
2827       tempcond = FALSE;
2828       compare = cond_type == ECOND_INLISTI
2829         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2830
2831       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2832         if (compare(sub[0], iterate_item) == 0)
2833           {
2834           tempcond = TRUE;
2835           break;
2836           }
2837       iterate_item = save_iterate_item;
2838       }
2839
2840     }   /* Switch for comparison conditions */
2841
2842   *yield = tempcond == testfor;
2843   return s;    /* End of comparison conditions */
2844
2845
2846   /* and/or: computes logical and/or of several conditions */
2847
2848   case ECOND_AND:
2849   case ECOND_OR:
2850   subcondptr = (yield == NULL)? NULL : &tempcond;
2851   combined_cond = (cond_type == ECOND_AND);
2852
2853   while (isspace(*s)) s++;
2854   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2855
2856   for (;;)
2857     {
2858     while (isspace(*s)) s++;
2859     /* {-for-text-editors */
2860     if (*s == '}') break;
2861     if (*s != '{')                                      /* }-for-text-editors */
2862       {
2863       expand_string_message = string_sprintf("each subcondition "
2864         "inside an \"%s{...}\" condition must be in its own {}", name);
2865       return NULL;
2866       }
2867
2868     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2869       {
2870       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2871         expand_string_message, name);
2872       return NULL;
2873       }
2874     while (isspace(*s)) s++;
2875
2876     /* {-for-text-editors */
2877     if (*s++ != '}')
2878       {
2879       /* {-for-text-editors */
2880       expand_string_message = string_sprintf("missing } at end of condition "
2881         "inside \"%s\" group", name);
2882       return NULL;
2883       }
2884
2885     if (yield != NULL)
2886       {
2887       if (cond_type == ECOND_AND)
2888         {
2889         combined_cond &= tempcond;
2890         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2891         }                                       /* evaluate any more */
2892       else
2893         {
2894         combined_cond |= tempcond;
2895         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2896         }                                       /* evaluate any more */
2897       }
2898     }
2899
2900   if (yield != NULL) *yield = (combined_cond == testfor);
2901   return ++s;
2902
2903
2904   /* forall/forany: iterates a condition with different values */
2905
2906   case ECOND_FORALL:
2907   case ECOND_FORANY:
2908     {
2909     const uschar * list;
2910     int sep = 0;
2911     uschar *save_iterate_item = iterate_item;
2912
2913     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2914
2915     while (isspace(*s)) s++;
2916     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2917     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2918     if (sub[0] == NULL) return NULL;
2919     /* {-for-text-editors */
2920     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2921
2922     while (isspace(*s)) s++;
2923     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2924
2925     sub[1] = s;
2926
2927     /* Call eval_condition once, with result discarded (as if scanning a
2928     "false" part). This allows us to find the end of the condition, because if
2929     the list it empty, we won't actually evaluate the condition for real. */
2930
2931     if (!(s = eval_condition(sub[1], resetok, NULL)))
2932       {
2933       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2934         expand_string_message, name);
2935       return NULL;
2936       }
2937     while (isspace(*s)) s++;
2938
2939     /* {-for-text-editors */
2940     if (*s++ != '}')
2941       {
2942       /* {-for-text-editors */
2943       expand_string_message = string_sprintf("missing } at end of condition "
2944         "inside \"%s\"", name);
2945       return NULL;
2946       }
2947
2948     if (yield != NULL) *yield = !testfor;
2949     list = sub[0];
2950     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2951       {
2952       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2953       if (!eval_condition(sub[1], resetok, &tempcond))
2954         {
2955         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2956           expand_string_message, name);
2957         iterate_item = save_iterate_item;
2958         return NULL;
2959         }
2960       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2961         tempcond? "true":"false");
2962
2963       if (yield != NULL) *yield = (tempcond == testfor);
2964       if (tempcond == (cond_type == ECOND_FORANY)) break;
2965       }
2966
2967     iterate_item = save_iterate_item;
2968     return s;
2969     }
2970
2971
2972   /* The bool{} expansion condition maps a string to boolean.
2973   The values supported should match those supported by the ACL condition
2974   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2975   of true/false.  Note that Router "condition" rules have a different
2976   interpretation, where general data can be used and only a few values
2977   map to FALSE.
2978   Note that readconf.c boolean matching, for boolean configuration options,
2979   only matches true/yes/false/no.
2980   The bool_lax{} condition matches the Router logic, which is much more
2981   liberal. */
2982   case ECOND_BOOL:
2983   case ECOND_BOOL_LAX:
2984     {
2985     uschar *sub_arg[1];
2986     uschar *t, *t2;
2987     uschar *ourname;
2988     size_t len;
2989     BOOL boolvalue = FALSE;
2990     while (isspace(*s)) s++;
2991     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2992     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2993     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2994       {
2995       case 1: expand_string_message = string_sprintf(
2996                   "too few arguments or bracketing error for %s",
2997                   ourname);
2998       /*FALLTHROUGH*/
2999       case 2:
3000       case 3: return NULL;
3001       }
3002     t = sub_arg[0];
3003     while (isspace(*t)) t++;
3004     len = Ustrlen(t);
3005     if (len)
3006       {
3007       /* trailing whitespace: seems like a good idea to ignore it too */
3008       t2 = t + len - 1;
3009       while (isspace(*t2)) t2--;
3010       if (t2 != (t + len))
3011         {
3012         *++t2 = '\0';
3013         len = t2 - t;
3014         }
3015       }
3016     DEBUG(D_expand)
3017       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3018     /* logic for the lax case from expand_check_condition(), which also does
3019     expands, and the logic is both short and stable enough that there should
3020     be no maintenance burden from replicating it. */
3021     if (len == 0)
3022       boolvalue = FALSE;
3023     else if (*t == '-'
3024              ? Ustrspn(t+1, "0123456789") == len-1
3025              : Ustrspn(t,   "0123456789") == len)
3026       {
3027       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3028       /* expand_check_condition only does a literal string "0" check */
3029       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3030         boolvalue = TRUE;
3031       }
3032     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3033       boolvalue = TRUE;
3034     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3035       boolvalue = FALSE;
3036     else if (cond_type == ECOND_BOOL_LAX)
3037       boolvalue = TRUE;
3038     else
3039       {
3040       expand_string_message = string_sprintf("unrecognised boolean "
3041        "value \"%s\"", t);
3042       return NULL;
3043       }
3044     if (yield != NULL) *yield = (boolvalue == testfor);
3045     return s;
3046     }
3047
3048   /* Unknown condition */
3049
3050   default:
3051   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3052   return NULL;
3053   }   /* End switch on condition type */
3054
3055 /* Missing braces at start and end of data */
3056
3057 COND_FAILED_CURLY_START:
3058 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3059 return NULL;
3060
3061 COND_FAILED_CURLY_END:
3062 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3063   name);
3064 return NULL;
3065
3066 /* A condition requires code that is not compiled */
3067
3068 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3069     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3070     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3071 COND_FAILED_NOT_COMPILED:
3072 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3073   name);
3074 return NULL;
3075 #endif
3076 }
3077
3078
3079
3080
3081 /*************************************************
3082 *          Save numerical variables              *
3083 *************************************************/
3084
3085 /* This function is called from items such as "if" that want to preserve and
3086 restore the numbered variables.
3087
3088 Arguments:
3089   save_expand_string    points to an array of pointers to set
3090   save_expand_nlength   points to an array of ints for the lengths
3091
3092 Returns:                the value of expand max to save
3093 */
3094
3095 static int
3096 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3097 {
3098 int i;
3099 for (i = 0; i <= expand_nmax; i++)
3100   {
3101   save_expand_nstring[i] = expand_nstring[i];
3102   save_expand_nlength[i] = expand_nlength[i];
3103   }
3104 return expand_nmax;
3105 }
3106
3107
3108
3109 /*************************************************
3110 *           Restore numerical variables          *
3111 *************************************************/
3112
3113 /* This function restored saved values of numerical strings.
3114
3115 Arguments:
3116   save_expand_nmax      the number of strings to restore
3117   save_expand_string    points to an array of pointers
3118   save_expand_nlength   points to an array of ints
3119
3120 Returns:                nothing
3121 */
3122
3123 static void
3124 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3125   int *save_expand_nlength)
3126 {
3127 int i;
3128 expand_nmax = save_expand_nmax;
3129 for (i = 0; i <= expand_nmax; i++)
3130   {
3131   expand_nstring[i] = save_expand_nstring[i];
3132   expand_nlength[i] = save_expand_nlength[i];
3133   }
3134 }
3135
3136
3137
3138
3139
3140 /*************************************************
3141 *            Handle yes/no substrings            *
3142 *************************************************/
3143
3144 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3145 alternative substrings that depend on whether or not the condition was true,
3146 or the lookup or extraction succeeded. The substrings always have to be
3147 expanded, to check their syntax, but "skipping" is set when the result is not
3148 needed - this avoids unnecessary nested lookups.
3149
3150 Arguments:
3151   skipping       TRUE if we were skipping when this item was reached
3152   yes            TRUE if the first string is to be used, else use the second
3153   save_lookup    a value to put back into lookup_value before the 2nd expansion
3154   sptr           points to the input string pointer
3155   yieldptr       points to the output string pointer
3156   sizeptr        points to the output string size
3157   ptrptr         points to the output string pointer
3158   type           "lookup", "if", "extract", "run", "env", "listextract" or
3159                  "certextract" for error message
3160   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3161                 the store.
3162
3163 Returns:         0 OK; lookup_value has been reset to save_lookup
3164                  1 expansion failed
3165                  2 expansion failed because of bracketing error
3166 */
3167
3168 static int
3169 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3170   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3171 {
3172 int rc = 0;
3173 const uschar *s = *sptr;    /* Local value */
3174 uschar *sub1, *sub2;
3175
3176 /* If there are no following strings, we substitute the contents of $value for
3177 lookups and for extractions in the success case. For the ${if item, the string
3178 "true" is substituted. In the fail case, nothing is substituted for all three
3179 items. */
3180
3181 while (isspace(*s)) s++;
3182 if (*s == '}')
3183   {
3184   if (type[0] == 'i')
3185     {
3186     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3187     }
3188   else
3189     {
3190     if (yes && lookup_value)
3191       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3192         Ustrlen(lookup_value));
3193     lookup_value = save_lookup;
3194     }
3195   s++;
3196   goto RETURN;
3197   }
3198
3199 /* The first following string must be braced. */
3200
3201 if (*s++ != '{') goto FAILED_CURLY;
3202
3203 /* Expand the first substring. Forced failures are noticed only if we actually
3204 want this string. Set skipping in the call in the fail case (this will always
3205 be the case if we were already skipping). */
3206
3207 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3208 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3209 expand_string_forcedfail = FALSE;
3210 if (*s++ != '}') goto FAILED_CURLY;
3211
3212 /* If we want the first string, add it to the output */
3213
3214 if (yes)
3215   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3216
3217 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3218 $value to what it was at the start of the item, so that it has this value
3219 during the second string expansion. For the call from "if" or "run" to this
3220 function, save_lookup is set to lookup_value, so that this statement does
3221 nothing. */
3222
3223 lookup_value = save_lookup;
3224
3225 /* There now follows either another substring, or "fail", or nothing. This
3226 time, forced failures are noticed only if we want the second string. We must
3227 set skipping in the nested call if we don't want this string, or if we were
3228 already skipping. */
3229
3230 while (isspace(*s)) s++;
3231 if (*s == '{')
3232   {
3233   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3234   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3235   expand_string_forcedfail = FALSE;
3236   if (*s++ != '}') goto FAILED_CURLY;
3237
3238   /* If we want the second string, add it to the output */
3239
3240   if (!yes)
3241     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3242   }
3243
3244 /* If there is no second string, but the word "fail" is present when the use of
3245 the second string is wanted, set a flag indicating it was a forced failure
3246 rather than a syntactic error. Swallow the terminating } in case this is nested
3247 inside another lookup or if or extract. */
3248
3249 else if (*s != '}')
3250   {
3251   uschar name[256];
3252   /* deconst cast ok here as source is s anyway */
3253   s = US read_name(name, sizeof(name), s, US"_");
3254   if (Ustrcmp(name, "fail") == 0)
3255     {
3256     if (!yes && !skipping)
3257       {
3258       while (isspace(*s)) s++;
3259       if (*s++ != '}') goto FAILED_CURLY;
3260       expand_string_message =
3261         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3262       expand_string_forcedfail = TRUE;
3263       goto FAILED;
3264       }
3265     }
3266   else
3267     {
3268     expand_string_message =
3269       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3270     goto FAILED;
3271     }
3272   }
3273
3274 /* All we have to do now is to check on the final closing brace. */
3275
3276 while (isspace(*s)) s++;
3277 if (*s++ == '}') goto RETURN;
3278
3279 /* Get here if there is a bracketing failure */
3280
3281 FAILED_CURLY:
3282 rc++;
3283
3284 /* Get here for other failures */
3285
3286 FAILED:
3287 rc++;
3288
3289 /* Update the input pointer value before returning */
3290
3291 RETURN:
3292 *sptr = s;
3293 return rc;
3294 }
3295
3296
3297
3298
3299 /*************************************************
3300 *    Handle MD5 or SHA-1 computation for HMAC    *
3301 *************************************************/
3302
3303 /* These are some wrapping functions that enable the HMAC code to be a bit
3304 cleaner. A good compiler will spot the tail recursion.
3305
3306 Arguments:
3307   type         HMAC_MD5 or HMAC_SHA1
3308   remaining    are as for the cryptographic hash functions
3309
3310 Returns:       nothing
3311 */
3312
3313 static void
3314 chash_start(int type, void *base)
3315 {
3316 if (type == HMAC_MD5)
3317   md5_start((md5 *)base);
3318 else
3319   sha1_start((sha1 *)base);
3320 }
3321
3322 static void
3323 chash_mid(int type, void *base, uschar *string)
3324 {
3325 if (type == HMAC_MD5)
3326   md5_mid((md5 *)base, string);
3327 else
3328   sha1_mid((sha1 *)base, string);
3329 }
3330
3331 static void
3332 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3333 {
3334 if (type == HMAC_MD5)
3335   md5_end((md5 *)base, string, length, digest);
3336 else
3337   sha1_end((sha1 *)base, string, length, digest);
3338 }
3339
3340
3341
3342
3343
3344 /********************************************************
3345 * prvs: Get last three digits of days since Jan 1, 1970 *
3346 ********************************************************/
3347
3348 /* This is needed to implement the "prvs" BATV reverse
3349    path signing scheme
3350
3351 Argument: integer "days" offset to add or substract to
3352           or from the current number of days.
3353
3354 Returns:  pointer to string containing the last three
3355           digits of the number of days since Jan 1, 1970,
3356           modified by the offset argument, NULL if there
3357           was an error in the conversion.
3358
3359 */
3360
3361 static uschar *
3362 prvs_daystamp(int day_offset)
3363 {
3364 uschar *days = store_get(32);                /* Need at least 24 for cases */
3365 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3366   (time(NULL) + day_offset*86400)/86400);
3367 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3368 }
3369
3370
3371
3372 /********************************************************
3373 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3374 ********************************************************/
3375
3376 /* This is needed to implement the "prvs" BATV reverse
3377    path signing scheme
3378
3379 Arguments:
3380   address RFC2821 Address to use
3381       key The key to use (must be less than 64 characters
3382           in size)
3383   key_num Single-digit key number to use. Defaults to
3384           '0' when NULL.
3385
3386 Returns:  pointer to string containing the first three
3387           bytes of the final hash in hex format, NULL if
3388           there was an error in the process.
3389 */
3390
3391 static uschar *
3392 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3393 {
3394 uschar *hash_source, *p;
3395 int size = 0,offset = 0,i;
3396 sha1 sha1_base;
3397 void *use_base = &sha1_base;
3398 uschar innerhash[20];
3399 uschar finalhash[20];
3400 uschar innerkey[64];
3401 uschar outerkey[64];
3402 uschar *finalhash_hex = store_get(40);
3403
3404 if (key_num == NULL)
3405   key_num = US"0";
3406
3407 if (Ustrlen(key) > 64)
3408   return NULL;
3409
3410 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3411 hash_source = string_cat(hash_source,&size,&offset,daystamp,3);
3412 hash_source = string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3413 hash_source[offset] = '\0';
3414
3415 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3416
3417 memset(innerkey, 0x36, 64);
3418 memset(outerkey, 0x5c, 64);
3419
3420 for (i = 0; i < Ustrlen(key); i++)
3421   {
3422   innerkey[i] ^= key[i];
3423   outerkey[i] ^= key[i];
3424   }
3425
3426 chash_start(HMAC_SHA1, use_base);
3427 chash_mid(HMAC_SHA1, use_base, innerkey);
3428 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3429
3430 chash_start(HMAC_SHA1, use_base);
3431 chash_mid(HMAC_SHA1, use_base, outerkey);
3432 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3433
3434 p = finalhash_hex;
3435 for (i = 0; i < 3; i++)
3436   {
3437   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3438   *p++ = hex_digits[finalhash[i] & 0x0f];
3439   }
3440 *p = '\0';
3441
3442 return finalhash_hex;
3443 }
3444
3445
3446
3447
3448 /*************************************************
3449 *        Join a file onto the output string      *
3450 *************************************************/
3451
3452 /* This is used for readfile/readsock and after a run expansion.
3453 It joins the contents of a file onto the output string, globally replacing
3454 newlines with a given string (optionally).
3455
3456 Arguments:
3457   f            the FILE
3458   yield        pointer to the expandable string
3459   sizep        pointer to the current size
3460   ptrp         pointer to the current position
3461   eol          newline replacement string, or NULL
3462
3463 Returns:       new value of string pointer
3464 */
3465
3466 static uschar *
3467 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3468 {
3469 int eollen = eol ? Ustrlen(eol) : 0;
3470 uschar buffer[1024];
3471
3472 while (Ufgets(buffer, sizeof(buffer), f))
3473   {
3474   int len = Ustrlen(buffer);
3475   if (eol && buffer[len-1] == '\n') len--;
3476   yield = string_cat(yield, sizep, ptrp, buffer, len);
3477   if (buffer[len] != 0)
3478     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3479   }
3480
3481 if (yield) yield[*ptrp] = 0;
3482
3483 return yield;
3484 }
3485
3486
3487
3488
3489 /*************************************************
3490 *          Evaluate numeric expression           *
3491 *************************************************/
3492
3493 /* This is a set of mutually recursive functions that evaluate an arithmetic
3494 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3495 these functions that is called from elsewhere is eval_expr, whose interface is:
3496
3497 Arguments:
3498   sptr        pointer to the pointer to the string - gets updated
3499   decimal     TRUE if numbers are to be assumed decimal
3500   error       pointer to where to put an error message - must be NULL on input
3501   endket      TRUE if ')' must terminate - FALSE for external call
3502
3503 Returns:      on success: the value of the expression, with *error still NULL
3504               on failure: an undefined value, with *error = a message
3505 */
3506
3507 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3508
3509
3510 static int_eximarith_t
3511 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3512 {
3513 uschar *s = *sptr;
3514 int_eximarith_t x = eval_op_or(&s, decimal, error);
3515 if (*error == NULL)
3516   {
3517   if (endket)
3518     {
3519     if (*s != ')')
3520       *error = US"expecting closing parenthesis";
3521     else
3522       while (isspace(*(++s)));
3523     }
3524   else if (*s != 0) *error = US"expecting operator";
3525   }
3526 *sptr = s;
3527 return x;
3528 }
3529
3530
3531 static int_eximarith_t
3532 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3533 {
3534 register int c;
3535 int_eximarith_t n;
3536 uschar *s = *sptr;
3537 while (isspace(*s)) s++;
3538 c = *s;
3539 if (isdigit(c))
3540   {
3541   int count;
3542   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3543   s += count;
3544   switch (tolower(*s))
3545     {
3546     default: break;
3547     case 'k': n *= 1024; s++; break;
3548     case 'm': n *= 1024*1024; s++; break;
3549     case 'g': n *= 1024*1024*1024; s++; break;
3550     }
3551   while (isspace (*s)) s++;
3552   }
3553 else if (c == '(')
3554   {
3555   s++;
3556   n = eval_expr(&s, decimal, error, 1);
3557   }
3558 else
3559   {
3560   *error = US"expecting number or opening parenthesis";
3561   n = 0;
3562   }
3563 *sptr = s;
3564 return n;
3565 }
3566
3567
3568 static int_eximarith_t
3569 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3570 {
3571 uschar *s = *sptr;
3572 int_eximarith_t x;
3573 while (isspace(*s)) s++;
3574 if (*s == '+' || *s == '-' || *s == '~')
3575   {
3576   int op = *s++;
3577   x = eval_op_unary(&s, decimal, error);
3578   if (op == '-') x = -x;
3579     else if (op == '~') x = ~x;
3580   }
3581 else
3582   {
3583   x = eval_number(&s, decimal, error);
3584   }
3585 *sptr = s;
3586 return x;
3587 }
3588
3589
3590 static int_eximarith_t
3591 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3592 {
3593 uschar *s = *sptr;
3594 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3595 if (*error == NULL)
3596   {
3597   while (*s == '*' || *s == '/' || *s == '%')
3598     {
3599     int op = *s++;
3600     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3601     if (*error != NULL) break;
3602     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3603      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3604      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3605      * -N*M is INT_MIN will yielf INT_MIN.
3606      * Since we don't support floating point, this is somewhat simpler.
3607      * Ideally, we'd return an error, but since we overflow for all other
3608      * arithmetic, consistency suggests otherwise, but what's the correct value
3609      * to use?  There is none.
3610      * The C standard guarantees overflow for unsigned arithmetic but signed
3611      * overflow invokes undefined behaviour; in practice, this is overflow
3612      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3613      * that long/longlong larger than int are available, or we could just work
3614      * with larger types.  We should consider whether to guarantee 32bit eval
3615      * and 64-bit working variables, with errors returned.  For now ...
3616      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3617      * can just let the other invalid results occur otherwise, as they have
3618      * until now.  For this one case, we can coerce.
3619      */
3620     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3621       {
3622       DEBUG(D_expand)
3623         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3624             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3625       x = EXIM_ARITH_MAX;
3626       continue;
3627       }
3628     if (op == '*')
3629       x *= y;
3630     else
3631       {
3632       if (y == 0)
3633         {
3634         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3635         x = 0;
3636         break;
3637         }
3638       if (op == '/')
3639         x /= y;
3640       else
3641         x %= y;
3642       }
3643     }
3644   }
3645 *sptr = s;
3646 return x;
3647 }
3648
3649
3650 static int_eximarith_t
3651 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3652 {
3653 uschar *s = *sptr;
3654 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3655 if (*error == NULL)
3656   {
3657   while (*s == '+' || *s == '-')
3658     {
3659     int op = *s++;
3660     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3661     if (*error != NULL) break;
3662     if (op == '+') x += y; else x -= y;
3663     }
3664   }
3665 *sptr = s;
3666 return x;
3667 }
3668
3669
3670 static int_eximarith_t
3671 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3672 {
3673 uschar *s = *sptr;
3674 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3675 if (*error == NULL)
3676   {
3677   while ((*s == '<' || *s == '>') && s[1] == s[0])
3678     {
3679     int_eximarith_t y;
3680     int op = *s++;
3681     s++;
3682     y = eval_op_sum(&s, decimal, error);
3683     if (*error != NULL) break;
3684     if (op == '<') x <<= y; else x >>= y;
3685     }
3686   }
3687 *sptr = s;
3688 return x;
3689 }
3690
3691
3692 static int_eximarith_t
3693 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3694 {
3695 uschar *s = *sptr;
3696 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3697 if (*error == NULL)
3698   {
3699   while (*s == '&')
3700     {
3701     int_eximarith_t y;
3702     s++;
3703     y = eval_op_shift(&s, decimal, error);
3704     if (*error != NULL) break;
3705     x &= y;
3706     }
3707   }
3708 *sptr = s;
3709 return x;
3710 }
3711
3712
3713 static int_eximarith_t
3714 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3715 {
3716 uschar *s = *sptr;
3717 int_eximarith_t x = eval_op_and(&s, decimal, error);
3718 if (*error == NULL)
3719   {
3720   while (*s == '^')
3721     {
3722     int_eximarith_t y;
3723     s++;
3724     y = eval_op_and(&s, decimal, error);
3725     if (*error != NULL) break;
3726     x ^= y;
3727     }
3728   }
3729 *sptr = s;
3730 return x;
3731 }
3732
3733
3734 static int_eximarith_t
3735 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3736 {
3737 uschar *s = *sptr;
3738 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3739 if (*error == NULL)
3740   {
3741   while (*s == '|')
3742     {
3743     int_eximarith_t y;
3744     s++;
3745     y = eval_op_xor(&s, decimal, error);
3746     if (*error != NULL) break;
3747     x |= y;
3748     }
3749   }
3750 *sptr = s;
3751 return x;
3752 }
3753
3754
3755
3756 /*************************************************
3757 *                 Expand string                  *
3758 *************************************************/
3759
3760 /* Returns either an unchanged string, or the expanded string in stacking pool
3761 store. Interpreted sequences are:
3762
3763    \...                    normal escaping rules
3764    $name                   substitutes the variable
3765    ${name}                 ditto
3766    ${op:string}            operates on the expanded string value
3767    ${item{arg1}{arg2}...}  expands the args and then does the business
3768                              some literal args are not enclosed in {}
3769
3770 There are now far too many operators and item types to make it worth listing
3771 them here in detail any more.
3772
3773 We use an internal routine recursively to handle embedded substrings. The
3774 external function follows. The yield is NULL if the expansion failed, and there
3775 are two cases: if something collapsed syntactically, or if "fail" was given
3776 as the action on a lookup failure. These can be distinguised by looking at the
3777 variable expand_string_forcedfail, which is TRUE in the latter case.
3778
3779 The skipping flag is set true when expanding a substring that isn't actually
3780 going to be used (after "if" or "lookup") and it prevents lookups from
3781 happening lower down.
3782
3783 Store usage: At start, a store block of the length of the input plus 64
3784 is obtained. This is expanded as necessary by string_cat(), which might have to
3785 get a new block, or might be able to expand the original. At the end of the
3786 function we can release any store above that portion of the yield block that
3787 was actually used. In many cases this will be optimal.
3788
3789 However: if the first item in the expansion is a variable name or header name,
3790 we reset the store before processing it; if the result is in fresh store, we
3791 use that without copying. This is helpful for expanding strings like
3792 $message_headers which can get very long.
3793
3794 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3795 since resetting the store at the end of the expansion will free store that was
3796 allocated by the plugin code as well as the slop after the expanded string. So
3797 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3798 and, given the acl condition, ${if }. This is an unfortunate consequence of
3799 string expansion becoming too powerful.
3800
3801 Arguments:
3802   string         the string to be expanded
3803   ket_ends       true if expansion is to stop at }
3804   left           if not NULL, a pointer to the first character after the
3805                  expansion is placed here (typically used with ket_ends)
3806   skipping       TRUE for recursive calls when the value isn't actually going
3807                  to be used (to allow for optimisation)
3808   honour_dollar  TRUE if $ is to be expanded,
3809                  FALSE if it's just another character
3810   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3811                  the store.
3812
3813 Returns:         NULL if expansion fails:
3814                    expand_string_forcedfail is set TRUE if failure was forced
3815                    expand_string_message contains a textual error message
3816                  a pointer to the expanded string on success
3817 */
3818
3819 static uschar *
3820 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3821   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3822 {
3823 int ptr = 0;
3824 int size = Ustrlen(string)+ 64;
3825 int item_type;
3826 uschar *yield = store_get(size);
3827 const uschar *s = string;
3828 uschar *save_expand_nstring[EXPAND_MAXN+1];
3829 int save_expand_nlength[EXPAND_MAXN+1];
3830 BOOL resetok = TRUE;
3831
3832 expand_string_forcedfail = FALSE;
3833 expand_string_message = US"";
3834
3835 while (*s != 0)
3836   {
3837   uschar *value;
3838   uschar name[256];
3839
3840   /* \ escapes the next character, which must exist, or else
3841   the expansion fails. There's a special escape, \N, which causes
3842   copying of the subject verbatim up to the next \N. Otherwise,
3843   the escapes are the standard set. */
3844
3845   if (*s == '\\')
3846     {
3847     if (s[1] == 0)
3848       {
3849       expand_string_message = US"\\ at end of string";
3850       goto EXPAND_FAILED;
3851       }
3852
3853     if (s[1] == 'N')
3854       {
3855       const uschar * t = s + 2;
3856       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3857       yield = string_cat(yield, &size, &ptr, t, s - t);
3858       if (*s != 0) s += 2;
3859       }
3860
3861     else
3862       {
3863       uschar ch[1];
3864       ch[0] = string_interpret_escape(&s);
3865       s++;
3866       yield = string_cat(yield, &size, &ptr, ch, 1);
3867       }
3868
3869     continue;
3870     }
3871
3872   /*{*/
3873   /* Anything other than $ is just copied verbatim, unless we are
3874   looking for a terminating } character. */
3875
3876   /*{*/
3877   if (ket_ends && *s == '}') break;
3878
3879   if (*s != '$' || !honour_dollar)
3880     {
3881     yield = string_cat(yield, &size, &ptr, s++, 1);
3882     continue;
3883     }
3884
3885   /* No { after the $ - must be a plain name or a number for string
3886   match variable. There has to be a fudge for variables that are the
3887   names of header fields preceded by "$header_" because header field
3888   names can contain any printing characters except space and colon.
3889   For those that don't like typing this much, "$h_" is a synonym for
3890   "$header_". A non-existent header yields a NULL value; nothing is
3891   inserted. */  /*}*/
3892
3893   if (isalpha((*(++s))))
3894     {
3895     int len;
3896     int newsize = 0;
3897
3898     s = read_name(name, sizeof(name), s, US"_");
3899
3900     /* If this is the first thing to be expanded, release the pre-allocated
3901     buffer. */
3902
3903     if (ptr == 0 && yield != NULL)
3904       {
3905       if (resetok) store_reset(yield);
3906       yield = NULL;
3907       size = 0;
3908       }
3909
3910     /* Header */
3911
3912     if (Ustrncmp(name, "h_", 2) == 0 ||
3913         Ustrncmp(name, "rh_", 3) == 0 ||
3914         Ustrncmp(name, "bh_", 3) == 0 ||
3915         Ustrncmp(name, "header_", 7) == 0 ||
3916         Ustrncmp(name, "rheader_", 8) == 0 ||
3917         Ustrncmp(name, "bheader_", 8) == 0)
3918       {
3919       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3920       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3921       s = read_header_name(name, sizeof(name), s);
3922       value = find_header(name, FALSE, &newsize, want_raw, charset);
3923
3924       /* If we didn't find the header, and the header contains a closing brace
3925       character, this may be a user error where the terminating colon
3926       has been omitted. Set a flag to adjust the error message in this case.
3927       But there is no error here - nothing gets inserted. */
3928
3929       if (value == NULL)
3930         {
3931         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3932         continue;
3933         }
3934       }
3935
3936     /* Variable */
3937
3938     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3939       {
3940       expand_string_message =
3941         string_sprintf("unknown variable name \"%s\"", name);
3942         check_variable_error_message(name);
3943       goto EXPAND_FAILED;
3944       }
3945
3946     /* If the data is known to be in a new buffer, newsize will be set to the
3947     size of that buffer. If this is the first thing in an expansion string,
3948     yield will be NULL; just point it at the new store instead of copying. Many
3949     expansion strings contain just one reference, so this is a useful
3950     optimization, especially for humungous headers. */
3951
3952     len = Ustrlen(value);
3953     if (yield == NULL && newsize != 0)
3954       {
3955       yield = value;
3956       size = newsize;
3957       ptr = len;
3958       }
3959     else yield = string_cat(yield, &size, &ptr, value, len);
3960
3961     continue;
3962     }
3963
3964   if (isdigit(*s))
3965     {
3966     int n;
3967     s = read_cnumber(&n, s);
3968     if (n >= 0 && n <= expand_nmax)
3969       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3970         expand_nlength[n]);
3971     continue;
3972     }
3973
3974   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3975
3976   if (*s != '{')                                                        /*}*/
3977     {
3978     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3979     goto EXPAND_FAILED;
3980     }
3981
3982   /* After { there can be various things, but they all start with
3983   an initial word, except for a number for a string match variable. */
3984
3985   if (isdigit((*(++s))))
3986     {
3987     int n;
3988     s = read_cnumber(&n, s);            /*{*/
3989     if (*s++ != '}')
3990       {                                 /*{*/
3991       expand_string_message = US"} expected after number";
3992       goto EXPAND_FAILED;
3993       }
3994     if (n >= 0 && n <= expand_nmax)
3995       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3996         expand_nlength[n]);
3997     continue;
3998     }
3999
4000   if (!isalpha(*s))
4001     {
4002     expand_string_message = US"letter or digit expected after ${";      /*}*/
4003     goto EXPAND_FAILED;
4004     }
4005
4006   /* Allow "-" in names to cater for substrings with negative
4007   arguments. Since we are checking for known names after { this is
4008   OK. */
4009
4010   s = read_name(name, sizeof(name), s, US"_-");
4011   item_type = chop_match(name, item_table, nelem(item_table));
4012
4013   switch(item_type)
4014     {
4015     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4016     If the ACL returns accept or reject we return content set by "message ="
4017     There is currently no limit on recursion; this would have us call
4018     acl_check_internal() directly and get a current level from somewhere.
4019     See also the acl expansion condition ECOND_ACL and the traditional
4020     acl modifier ACLC_ACL.
4021     Assume that the function has side-effects on the store that must be preserved.
4022     */
4023
4024     case EITEM_ACL:
4025       /* ${acl {name} {arg1}{arg2}...} */
4026       {
4027       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4028       uschar *user_msg;
4029
4030       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4031                       &resetok))
4032         {
4033         case 1: goto EXPAND_FAILED_CURLY;
4034         case 2:
4035         case 3: goto EXPAND_FAILED;
4036         }
4037       if (skipping) continue;
4038
4039       resetok = FALSE;
4040       switch(eval_acl(sub, nelem(sub), &user_msg))
4041         {
4042         case OK:
4043         case FAIL:
4044           DEBUG(D_expand)
4045             debug_printf("acl expansion yield: %s\n", user_msg);
4046           if (user_msg)
4047             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
4048           continue;
4049
4050         case DEFER:
4051           expand_string_forcedfail = TRUE;
4052         default:
4053           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4054           goto EXPAND_FAILED;
4055         }
4056       }
4057
4058     /* Handle conditionals - preserve the values of the numerical expansion
4059     variables in case they get changed by a regular expression match in the
4060     condition. If not, they retain their external settings. At the end
4061     of this "if" section, they get restored to their previous values. */
4062
4063     case EITEM_IF:
4064       {
4065       BOOL cond = FALSE;
4066       const uschar *next_s;
4067       int save_expand_nmax =
4068         save_expand_strings(save_expand_nstring, save_expand_nlength);
4069
4070       while (isspace(*s)) s++;
4071       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
4072       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4073
4074       DEBUG(D_expand)
4075         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
4076           cond? "true" : "false");
4077
4078       s = next_s;
4079
4080       /* The handling of "yes" and "no" result strings is now in a separate
4081       function that is also used by ${lookup} and ${extract} and ${run}. */
4082
4083       switch(process_yesno(
4084                skipping,                     /* were previously skipping */
4085                cond,                         /* success/failure indicator */
4086                lookup_value,                 /* value to reset for string2 */
4087                &s,                           /* input pointer */
4088                &yield,                       /* output pointer */
4089                &size,                        /* output size */
4090                &ptr,                         /* output current point */
4091                US"if",                       /* condition type */
4092                &resetok))
4093         {
4094         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4095         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4096         }
4097
4098       /* Restore external setting of expansion variables for continuation
4099       at this level. */
4100
4101       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4102         save_expand_nlength);
4103       continue;
4104       }
4105
4106 #ifdef SUPPORT_I18N
4107     case EITEM_IMAPFOLDER:
4108       {                         /* ${imapfolder {name}{sep]{specials}} */
4109       uschar *sub_arg[3];
4110       uschar *encoded;
4111
4112       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4113                       &resetok))
4114         {
4115         case 1: goto EXPAND_FAILED_CURLY;
4116         case 2:
4117         case 3: goto EXPAND_FAILED;
4118         }
4119
4120       if (sub_arg[1] == NULL)           /* One argument */
4121         {
4122         sub_arg[1] = US"/";             /* default separator */
4123         sub_arg[2] = NULL;
4124         }
4125       else if (Ustrlen(sub_arg[1]) != 1)
4126         {
4127         expand_string_message =
4128           string_sprintf(
4129                 "IMAP folder separator must be one character, found \"%s\"",
4130                 sub_arg[1]);
4131         goto EXPAND_FAILED;
4132         }
4133
4134       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4135                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4136         goto EXPAND_FAILED;
4137       if (!skipping)
4138         yield = string_cat(yield, &size, &ptr, encoded, Ustrlen(encoded));
4139       continue;
4140       }
4141 #endif
4142
4143     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4144     expanding an internal string that isn't actually going to be used. All we
4145     need to do is check the syntax, so don't do a lookup at all. Preserve the
4146     values of the numerical expansion variables in case they get changed by a
4147     partial lookup. If not, they retain their external settings. At the end
4148     of this "lookup" section, they get restored to their previous values. */
4149
4150     case EITEM_LOOKUP:
4151       {
4152       int stype, partial, affixlen, starflags;
4153       int expand_setup = 0;
4154       int nameptr = 0;
4155       uschar *key, *filename;
4156       const uschar *affix;
4157       uschar *save_lookup_value = lookup_value;
4158       int save_expand_nmax =
4159         save_expand_strings(save_expand_nstring, save_expand_nlength);
4160
4161       if ((expand_forbid & RDO_LOOKUP) != 0)
4162         {
4163         expand_string_message = US"lookup expansions are not permitted";
4164         goto EXPAND_FAILED;
4165         }
4166
4167       /* Get the key we are to look up for single-key+file style lookups.
4168       Otherwise set the key NULL pro-tem. */
4169
4170       while (isspace(*s)) s++;
4171       if (*s == '{')                                    /*}*/
4172         {
4173         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4174         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4175         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4176         while (isspace(*s)) s++;
4177         }
4178       else key = NULL;
4179
4180       /* Find out the type of database */
4181
4182       if (!isalpha(*s))
4183         {
4184         expand_string_message = US"missing lookup type";
4185         goto EXPAND_FAILED;
4186         }
4187
4188       /* The type is a string that may contain special characters of various
4189       kinds. Allow everything except space or { to appear; the actual content
4190       is checked by search_findtype_partial. */         /*}*/
4191
4192       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4193         {
4194         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4195         s++;
4196         }
4197       name[nameptr] = 0;
4198       while (isspace(*s)) s++;
4199
4200       /* Now check for the individual search type and any partial or default
4201       options. Only those types that are actually in the binary are valid. */
4202
4203       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4204         &starflags);
4205       if (stype < 0)
4206         {
4207         expand_string_message = search_error_message;
4208         goto EXPAND_FAILED;
4209         }
4210
4211       /* Check that a key was provided for those lookup types that need it,
4212       and was not supplied for those that use the query style. */
4213
4214       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4215         {
4216         if (key == NULL)
4217           {
4218           expand_string_message = string_sprintf("missing {key} for single-"
4219             "key \"%s\" lookup", name);
4220           goto EXPAND_FAILED;
4221           }
4222         }
4223       else
4224         {
4225         if (key != NULL)
4226           {
4227           expand_string_message = string_sprintf("a single key was given for "
4228             "lookup type \"%s\", which is not a single-key lookup type", name);
4229           goto EXPAND_FAILED;
4230           }
4231         }
4232
4233       /* Get the next string in brackets and expand it. It is the file name for
4234       single-key+file lookups, and the whole query otherwise. In the case of
4235       queries that also require a file name (e.g. sqlite), the file name comes
4236       first. */
4237
4238       if (*s != '{') goto EXPAND_FAILED_CURLY;
4239       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4240       if (filename == NULL) goto EXPAND_FAILED;
4241       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4242       while (isspace(*s)) s++;
4243
4244       /* If this isn't a single-key+file lookup, re-arrange the variables
4245       to be appropriate for the search_ functions. For query-style lookups,
4246       there is just a "key", and no file name. For the special query-style +
4247       file types, the query (i.e. "key") starts with a file name. */
4248
4249       if (key == NULL)
4250         {
4251         while (isspace(*filename)) filename++;
4252         key = filename;
4253
4254         if (mac_islookup(stype, lookup_querystyle))
4255           {
4256           filename = NULL;
4257           }
4258         else
4259           {
4260           if (*filename != '/')
4261             {
4262             expand_string_message = string_sprintf(
4263               "absolute file name expected for \"%s\" lookup", name);
4264             goto EXPAND_FAILED;
4265             }
4266           while (*key != 0 && !isspace(*key)) key++;
4267           if (*key != 0) *key++ = 0;
4268           }
4269         }
4270
4271       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4272       the entry was not found. Note that there is no search_close() function.
4273       Files are left open in case of re-use. At suitable places in higher logic,
4274       search_tidyup() is called to tidy all open files. This can save opening
4275       the same file several times. However, files may also get closed when
4276       others are opened, if too many are open at once. The rule is that a
4277       handle should not be used after a second search_open().
4278
4279       Request that a partial search sets up $1 and maybe $2 by passing
4280       expand_setup containing zero. If its value changes, reset expand_nmax,
4281       since new variables will have been set. Note that at the end of this
4282       "lookup" section, the old numeric variables are restored. */
4283
4284       if (skipping)
4285         lookup_value = NULL;
4286       else
4287         {
4288         void *handle = search_open(filename, stype, 0, NULL, NULL);
4289         if (handle == NULL)
4290           {
4291           expand_string_message = search_error_message;
4292           goto EXPAND_FAILED;
4293           }
4294         lookup_value = search_find(handle, filename, key, partial, affix,
4295           affixlen, starflags, &expand_setup);
4296         if (search_find_defer)
4297           {
4298           expand_string_message =
4299             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4300               string_printing2(key, FALSE), search_error_message);
4301           goto EXPAND_FAILED;
4302           }
4303         if (expand_setup > 0) expand_nmax = expand_setup;
4304         }
4305
4306       /* The handling of "yes" and "no" result strings is now in a separate
4307       function that is also used by ${if} and ${extract}. */
4308
4309       switch(process_yesno(
4310                skipping,                     /* were previously skipping */
4311                lookup_value != NULL,         /* success/failure indicator */
4312                save_lookup_value,            /* value to reset for string2 */
4313                &s,                           /* input pointer */
4314                &yield,                       /* output pointer */
4315                &size,                        /* output size */
4316                &ptr,                         /* output current point */
4317                US"lookup",                   /* condition type */
4318                &resetok))
4319         {
4320         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4321         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4322         }
4323
4324       /* Restore external setting of expansion variables for carrying on
4325       at this level, and continue. */
4326
4327       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4328         save_expand_nlength);
4329       continue;
4330       }
4331
4332     /* If Perl support is configured, handle calling embedded perl subroutines,
4333     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4334     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4335     arguments (defined below). */
4336
4337     #define EXIM_PERL_MAX_ARGS 8
4338
4339     case EITEM_PERL:
4340     #ifndef EXIM_PERL
4341     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4342       "is not included in this binary";
4343     goto EXPAND_FAILED;
4344
4345     #else   /* EXIM_PERL */
4346       {
4347       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4348       uschar *new_yield;
4349
4350       if ((expand_forbid & RDO_PERL) != 0)
4351         {
4352         expand_string_message = US"Perl calls are not permitted";
4353         goto EXPAND_FAILED;
4354         }
4355
4356       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4357            US"perl", &resetok))
4358         {
4359         case 1: goto EXPAND_FAILED_CURLY;
4360         case 2:
4361         case 3: goto EXPAND_FAILED;
4362         }
4363
4364       /* If skipping, we don't actually do anything */
4365
4366       if (skipping) continue;
4367
4368       /* Start the interpreter if necessary */
4369
4370       if (!opt_perl_started)
4371         {
4372         uschar *initerror;
4373         if (opt_perl_startup == NULL)
4374           {
4375           expand_string_message = US"A setting of perl_startup is needed when "
4376             "using the Perl interpreter";
4377           goto EXPAND_FAILED;
4378           }
4379         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4380         initerror = init_perl(opt_perl_startup);
4381         if (initerror != NULL)
4382           {
4383           expand_string_message =
4384             string_sprintf("error in perl_startup code: %s\n", initerror);
4385           goto EXPAND_FAILED;
4386           }
4387         opt_perl_started = TRUE;
4388         }
4389
4390       /* Call the function */
4391
4392       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4393       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4394         sub_arg[0], sub_arg + 1);
4395
4396       /* NULL yield indicates failure; if the message pointer has been set to
4397       NULL, the yield was undef, indicating a forced failure. Otherwise the
4398       message will indicate some kind of Perl error. */
4399
4400       if (new_yield == NULL)
4401         {
4402         if (expand_string_message == NULL)
4403           {
4404           expand_string_message =
4405             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4406               "failure", sub_arg[0]);
4407           expand_string_forcedfail = TRUE;
4408           }
4409         goto EXPAND_FAILED;
4410         }
4411
4412       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4413       set during a callback from Perl. */
4414
4415       expand_string_forcedfail = FALSE;
4416       yield = new_yield;
4417       continue;
4418       }
4419     #endif /* EXIM_PERL */
4420
4421     /* Transform email address to "prvs" scheme to use
4422        as BATV-signed return path */
4423
4424     case EITEM_PRVS:
4425       {
4426       uschar *sub_arg[3];
4427       uschar *p,*domain;
4428
4429       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4430         {
4431         case 1: goto EXPAND_FAILED_CURLY;
4432         case 2:
4433         case 3: goto EXPAND_FAILED;
4434         }
4435
4436       /* If skipping, we don't actually do anything */
4437       if (skipping) continue;
4438
4439       /* sub_arg[0] is the address */
4440       domain = Ustrrchr(sub_arg[0],'@');
4441       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4442         {
4443         expand_string_message = US"prvs first argument must be a qualified email address";
4444         goto EXPAND_FAILED;
4445         }
4446
4447       /* Calculate the hash. The second argument must be a single-digit
4448       key number, or unset. */
4449
4450       if (sub_arg[2] != NULL &&
4451           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4452         {
4453         expand_string_message = US"prvs second argument must be a single digit";
4454         goto EXPAND_FAILED;
4455         }
4456
4457       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4458       if (p == NULL)
4459         {
4460         expand_string_message = US"prvs hmac-sha1 conversion failed";
4461         goto EXPAND_FAILED;
4462         }
4463
4464       /* Now separate the domain from the local part */
4465       *domain++ = '\0';
4466
4467       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4468       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4469       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4470       string_cat(yield,&size,&ptr,p,6);
4471       string_cat(yield,&size,&ptr,US"=",1);
4472       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4473       string_cat(yield,&size,&ptr,US"@",1);
4474       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4475
4476       continue;
4477       }
4478
4479     /* Check a prvs-encoded address for validity */
4480
4481     case EITEM_PRVSCHECK:
4482       {
4483       uschar *sub_arg[3];
4484       int mysize = 0, myptr = 0;
4485       const pcre *re;
4486       uschar *p;
4487
4488       /* TF: Ugliness: We want to expand parameter 1 first, then set
4489          up expansion variables that are used in the expansion of
4490          parameter 2. So we clone the string for the first
4491          expansion, where we only expand parameter 1.
4492
4493          PH: Actually, that isn't necessary. The read_subs() function is
4494          designed to work this way for the ${if and ${lookup expansions. I've
4495          tidied the code.
4496       */
4497
4498       /* Reset expansion variables */
4499       prvscheck_result = NULL;
4500       prvscheck_address = NULL;
4501       prvscheck_keynum = NULL;
4502
4503       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4504         {
4505         case 1: goto EXPAND_FAILED_CURLY;
4506         case 2:
4507         case 3: goto EXPAND_FAILED;
4508         }
4509
4510       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4511                               TRUE,FALSE);
4512
4513       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4514         {
4515         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4516         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4517         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4518         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4519         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4520
4521         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4522         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4523         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4524         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4525         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4526
4527         /* Set up expansion variables */
4528         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4529         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4530         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4531         prvscheck_address[myptr] = '\0';
4532         prvscheck_keynum = string_copy(key_num);
4533
4534         /* Now expand the second argument */
4535         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4536           {
4537           case 1: goto EXPAND_FAILED_CURLY;
4538           case 2:
4539           case 3: goto EXPAND_FAILED;
4540           }
4541
4542         /* Now we have the key and can check the address. */
4543
4544         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4545           daystamp);
4546
4547         if (p == NULL)
4548           {
4549           expand_string_message = US"hmac-sha1 conversion failed";
4550           goto EXPAND_FAILED;
4551           }
4552
4553         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4554         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4555
4556         if (Ustrcmp(p,hash) == 0)
4557           {
4558           /* Success, valid BATV address. Now check the expiry date. */
4559           uschar *now = prvs_daystamp(0);
4560           unsigned int inow = 0,iexpire = 1;
4561
4562           (void)sscanf(CS now,"%u",&inow);
4563           (void)sscanf(CS daystamp,"%u",&iexpire);
4564
4565           /* When "iexpire" is < 7, a "flip" has occured.
4566              Adjust "inow" accordingly. */
4567           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4568
4569           if (iexpire >= inow)
4570             {
4571             prvscheck_result = US"1";
4572             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4573             }
4574             else
4575             {
4576             prvscheck_result = NULL;
4577             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4578             }
4579           }
4580         else
4581           {
4582           prvscheck_result = NULL;
4583           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4584           }
4585
4586         /* Now expand the final argument. We leave this till now so that
4587         it can include $prvscheck_result. */
4588
4589         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4590           {
4591           case 1: goto EXPAND_FAILED_CURLY;
4592           case 2:
4593           case 3: goto EXPAND_FAILED;
4594           }
4595
4596         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4597           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4598         else
4599           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4600
4601         /* Reset the "internal" variables afterwards, because they are in
4602         dynamic store that will be reclaimed if the expansion succeeded. */
4603
4604         prvscheck_address = NULL;
4605         prvscheck_keynum = NULL;
4606         }
4607       else
4608         {
4609         /* Does not look like a prvs encoded address, return the empty string.
4610            We need to make sure all subs are expanded first, so as to skip over
4611            the entire item. */
4612
4613         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4614           {
4615           case 1: goto EXPAND_FAILED_CURLY;
4616           case 2:
4617           case 3: goto EXPAND_FAILED;
4618           }
4619         }
4620
4621       continue;
4622       }
4623
4624     /* Handle "readfile" to insert an entire file */
4625
4626     case EITEM_READFILE:
4627       {
4628       FILE *f;
4629       uschar *sub_arg[2];
4630
4631       if ((expand_forbid & RDO_READFILE) != 0)
4632         {
4633         expand_string_message = US"file insertions are not permitted";
4634         goto EXPAND_FAILED;
4635         }
4636
4637       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4638         {
4639         case 1: goto EXPAND_FAILED_CURLY;
4640         case 2:
4641         case 3: goto EXPAND_FAILED;
4642         }
4643
4644       /* If skipping, we don't actually do anything */
4645
4646       if (skipping) continue;
4647
4648       /* Open the file and read it */
4649
4650       f = Ufopen(sub_arg[0], "rb");
4651       if (f == NULL)
4652         {
4653         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4654         goto EXPAND_FAILED;
4655         }
4656
4657       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4658       (void)fclose(f);
4659       continue;
4660       }
4661
4662     /* Handle "readsocket" to insert data from a Unix domain socket */
4663
4664     case EITEM_READSOCK:
4665       {
4666       int fd;
4667       int timeout = 5;
4668       int save_ptr = ptr;
4669       FILE *f;
4670       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4671       uschar *arg;
4672       uschar *sub_arg[4];
4673
4674       if ((expand_forbid & RDO_READSOCK) != 0)
4675         {
4676         expand_string_message = US"socket insertions are not permitted";
4677         goto EXPAND_FAILED;
4678         }
4679
4680       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4681       because there may be a string for expansion on failure. */
4682
4683       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4684         {
4685         case 1: goto EXPAND_FAILED_CURLY;
4686         case 2:                             /* Won't occur: no end check */
4687         case 3: goto EXPAND_FAILED;
4688         }
4689
4690       /* Sort out timeout, if given */
4691
4692       if (sub_arg[2] != NULL)
4693         {
4694         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4695         if (timeout < 0)
4696           {
4697           expand_string_message = string_sprintf("bad time value %s",
4698             sub_arg[2]);
4699           goto EXPAND_FAILED;
4700           }
4701         }
4702       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4703
4704       /* If skipping, we don't actually do anything. Otherwise, arrange to
4705       connect to either an IP or a Unix socket. */
4706
4707       if (!skipping)
4708         {
4709         /* Handle an IP (internet) domain */
4710
4711         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4712           {
4713           int port;
4714           uschar *server_name = sub_arg[0] + 5;
4715           uschar *port_name = Ustrrchr(server_name, ':');
4716
4717           /* Sort out the port */
4718
4719           if (port_name == NULL)
4720             {
4721             expand_string_message =
4722               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4723             goto EXPAND_FAILED;
4724             }
4725           *port_name++ = 0;           /* Terminate server name */
4726
4727           if (isdigit(*port_name))
4728             {
4729             uschar *end;
4730             port = Ustrtol(port_name, &end, 0);
4731             if (end != port_name + Ustrlen(port_name))
4732               {
4733               expand_string_message =
4734                 string_sprintf("invalid port number %s", port_name);
4735               goto EXPAND_FAILED;
4736               }
4737             }
4738           else
4739             {
4740             struct servent *service_info = getservbyname(CS port_name, "tcp");
4741             if (service_info == NULL)
4742               {
4743               expand_string_message = string_sprintf("unknown port \"%s\"",
4744                 port_name);
4745               goto EXPAND_FAILED;
4746               }
4747             port = ntohs(service_info->s_port);
4748             }
4749
4750           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4751                   timeout, NULL, &expand_string_message)) < 0)
4752               goto SOCK_FAIL;
4753           }
4754
4755         /* Handle a Unix domain socket */
4756
4757         else
4758           {
4759           int rc;
4760           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4761             {
4762             expand_string_message = string_sprintf("failed to create socket: %s",
4763               strerror(errno));
4764             goto SOCK_FAIL;
4765             }
4766
4767           sockun.sun_family = AF_UNIX;
4768           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4769             sub_arg[0]);
4770
4771           sigalrm_seen = FALSE;
4772           alarm(timeout);
4773           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4774           alarm(0);
4775           if (sigalrm_seen)
4776             {
4777             expand_string_message = US "socket connect timed out";
4778             goto SOCK_FAIL;
4779             }
4780           if (rc < 0)
4781             {
4782             expand_string_message = string_sprintf("failed to connect to socket "
4783               "%s: %s", sub_arg[0], strerror(errno));
4784             goto SOCK_FAIL;
4785             }
4786           }
4787
4788         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4789
4790         /* Allow sequencing of test actions */
4791         if (running_in_test_harness) millisleep(100);
4792
4793         /* Write the request string, if not empty */
4794
4795         if (sub_arg[1][0] != 0)
4796           {
4797           int len = Ustrlen(sub_arg[1]);
4798           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4799             sub_arg[1]);
4800           if (write(fd, sub_arg[1], len) != len)
4801             {
4802             expand_string_message = string_sprintf("request write to socket "
4803               "failed: %s", strerror(errno));
4804             goto SOCK_FAIL;
4805             }
4806           }
4807
4808         /* Shut down the sending side of the socket. This helps some servers to
4809         recognise that it is their turn to do some work. Just in case some
4810         system doesn't have this function, make it conditional. */
4811
4812         #ifdef SHUT_WR
4813         shutdown(fd, SHUT_WR);
4814         #endif
4815
4816         if (running_in_test_harness) millisleep(100);
4817
4818         /* Now we need to read from the socket, under a timeout. The function
4819         that reads a file can be used. */
4820
4821         f = fdopen(fd, "rb");
4822         sigalrm_seen = FALSE;
4823         alarm(timeout);
4824         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4825         alarm(0);
4826         (void)fclose(f);
4827
4828         /* After a timeout, we restore the pointer in the result, that is,
4829         make sure we add nothing from the socket. */
4830
4831         if (sigalrm_seen)
4832           {
4833           ptr = save_ptr;
4834           expand_string_message = US "socket read timed out";
4835           goto SOCK_FAIL;
4836           }
4837         }
4838
4839       /* The whole thing has worked (or we were skipping). If there is a
4840       failure string following, we need to skip it. */
4841
4842       if (*s == '{')
4843         {
4844         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4845           goto EXPAND_FAILED;
4846         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4847         while (isspace(*s)) s++;
4848         }
4849       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4850       continue;
4851
4852       /* Come here on failure to create socket, connect socket, write to the
4853       socket, or timeout on reading. If another substring follows, expand and
4854       use it. Otherwise, those conditions give expand errors. */
4855
4856       SOCK_FAIL:
4857       if (*s != '{') goto EXPAND_FAILED;
4858       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4859       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4860       if (arg == NULL) goto EXPAND_FAILED;
4861       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4862       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4863       while (isspace(*s)) s++;
4864       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4865       continue;
4866       }
4867
4868     /* Handle "run" to execute a program. */
4869
4870     case EITEM_RUN:
4871       {
4872       FILE *f;
4873       uschar *arg;
4874       const uschar **argv;
4875       pid_t pid;
4876       int fd_in, fd_out;
4877       int lsize = 0, lptr = 0;
4878
4879       if ((expand_forbid & RDO_RUN) != 0)
4880         {
4881         expand_string_message = US"running a command is not permitted";
4882         goto EXPAND_FAILED;
4883         }
4884
4885       while (isspace(*s)) s++;
4886       if (*s != '{') goto EXPAND_FAILED_CURLY;
4887       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4888       if (arg == NULL) goto EXPAND_FAILED;
4889       while (isspace(*s)) s++;
4890       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4891
4892       if (skipping)   /* Just pretend it worked when we're skipping */
4893         {
4894         runrc = 0;
4895         }
4896       else
4897         {
4898         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4899             arg,                                /* raw command */
4900             FALSE,                              /* don't expand the arguments */
4901             0,                                  /* not relevant when... */
4902             NULL,                               /* no transporting address */
4903             US"${run} expansion",               /* for error messages */
4904             &expand_string_message))            /* where to put error message */
4905           goto EXPAND_FAILED;
4906
4907         /* Create the child process, making it a group leader. */
4908
4909         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
4910           {
4911           expand_string_message =
4912             string_sprintf("couldn't create child process: %s", strerror(errno));
4913           goto EXPAND_FAILED;
4914           }
4915
4916         /* Nothing is written to the standard input. */
4917
4918         (void)close(fd_in);
4919
4920         /* Read the pipe to get the command's output into $value (which is kept
4921         in lookup_value). Read during execution, so that if the output exceeds
4922         the OS pipe buffer limit, we don't block forever. Remember to not release
4923         memory just allocated for $value. */
4924
4925         resetok = FALSE;
4926         f = fdopen(fd_out, "rb");
4927         sigalrm_seen = FALSE;
4928         alarm(60);
4929         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
4930         alarm(0);
4931         (void)fclose(f);
4932
4933         /* Wait for the process to finish, applying the timeout, and inspect its
4934         return code for serious disasters. Simple non-zero returns are passed on.
4935         */
4936
4937         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4938           {
4939           if (sigalrm_seen == TRUE || runrc == -256)
4940             {
4941             expand_string_message = string_sprintf("command timed out");
4942             killpg(pid, SIGKILL);       /* Kill the whole process group */
4943             }
4944
4945           else if (runrc == -257)
4946             expand_string_message = string_sprintf("wait() failed: %s",
4947               strerror(errno));
4948
4949           else
4950             expand_string_message = string_sprintf("command killed by signal %d",
4951               -runrc);
4952
4953           goto EXPAND_FAILED;
4954           }
4955         }
4956
4957       /* Process the yes/no strings; $value may be useful in both cases */
4958
4959       switch(process_yesno(
4960                skipping,                     /* were previously skipping */
4961                runrc == 0,                   /* success/failure indicator */
4962                lookup_value,                 /* value to reset for string2 */
4963                &s,                           /* input pointer */
4964                &yield,                       /* output pointer */
4965                &size,                        /* output size */
4966                &ptr,                         /* output current point */
4967                US"run",                      /* condition type */
4968                &resetok))
4969         {
4970         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4971         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4972         }
4973
4974       continue;
4975       }
4976
4977     /* Handle character translation for "tr" */
4978
4979     case EITEM_TR:
4980       {
4981       int oldptr = ptr;
4982       int o2m;
4983       uschar *sub[3];
4984
4985       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4986         {
4987         case 1: goto EXPAND_FAILED_CURLY;
4988         case 2:
4989         case 3: goto EXPAND_FAILED;
4990         }
4991
4992       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4993       o2m = Ustrlen(sub[2]) - 1;
4994
4995       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4996         {
4997         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4998         if (m != NULL)
4999           {
5000           int o = m - sub[1];
5001           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
5002           }
5003         }
5004
5005       continue;
5006       }
5007
5008     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5009     expanded arguments. */
5010
5011     case EITEM_HASH:
5012     case EITEM_LENGTH:
5013     case EITEM_NHASH:
5014     case EITEM_SUBSTR:
5015       {
5016       int i;
5017       int len;
5018       uschar *ret;
5019       int val[2] = { 0, -1 };
5020       uschar *sub[3];
5021
5022       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5023       Ensure that sub[2] is set in the ${length } case. */
5024
5025       sub[2] = NULL;
5026       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5027              TRUE, name, &resetok))
5028         {
5029         case 1: goto EXPAND_FAILED_CURLY;
5030         case 2:
5031         case 3: goto EXPAND_FAILED;
5032         }
5033
5034       /* Juggle the arguments if there are only two of them: always move the
5035       string to the last position and make ${length{n}{str}} equivalent to
5036       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5037
5038       if (sub[2] == NULL)
5039         {
5040         sub[2] = sub[1];
5041         sub[1] = NULL;
5042         if (item_type == EITEM_LENGTH)
5043           {
5044           sub[1] = sub[0];
5045           sub[0] = NULL;
5046           }
5047         }
5048
5049       for (i = 0; i < 2; i++)
5050         {
5051         if (sub[i] == NULL) continue;
5052         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5053         if (*ret != 0 || (i != 0 && val[i] < 0))
5054           {
5055           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5056             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5057           goto EXPAND_FAILED;
5058           }
5059         }
5060
5061       ret =
5062         (item_type == EITEM_HASH)?
5063           compute_hash(sub[2], val[0], val[1], &len) :
5064         (item_type == EITEM_NHASH)?
5065           compute_nhash(sub[2], val[0], val[1], &len) :
5066           extract_substr(sub[2], val[0], val[1], &len);
5067
5068       if (ret == NULL) goto EXPAND_FAILED;
5069       yield = string_cat(yield, &size, &ptr, ret, len);
5070       continue;
5071       }
5072
5073     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5074     This code originally contributed by Steve Haslam. It currently supports
5075     the use of MD5 and SHA-1 hashes.
5076
5077     We need some workspace that is large enough to handle all the supported
5078     hash types. Use macros to set the sizes rather than be too elaborate. */
5079
5080     #define MAX_HASHLEN      20
5081     #define MAX_HASHBLOCKLEN 64
5082
5083     case EITEM_HMAC:
5084       {
5085       uschar *sub[3];
5086       md5 md5_base;
5087       sha1 sha1_base;
5088       void *use_base;
5089       int type, i;
5090       int hashlen;      /* Number of octets for the hash algorithm's output */
5091       int hashblocklen; /* Number of octets the hash algorithm processes */
5092       uschar *keyptr, *p;
5093       unsigned int keylen;
5094
5095       uschar keyhash[MAX_HASHLEN];
5096       uschar innerhash[MAX_HASHLEN];
5097       uschar finalhash[MAX_HASHLEN];
5098       uschar finalhash_hex[2*MAX_HASHLEN];
5099       uschar innerkey[MAX_HASHBLOCKLEN];
5100       uschar outerkey[MAX_HASHBLOCKLEN];
5101
5102       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5103         {
5104         case 1: goto EXPAND_FAILED_CURLY;
5105         case 2:
5106         case 3: goto EXPAND_FAILED;
5107         }
5108
5109       if (Ustrcmp(sub[0], "md5") == 0)
5110         {
5111         type = HMAC_MD5;
5112         use_base = &md5_base;
5113         hashlen = 16;
5114         hashblocklen = 64;
5115         }
5116       else if (Ustrcmp(sub[0], "sha1") == 0)
5117         {
5118         type = HMAC_SHA1;
5119         use_base = &sha1_base;
5120         hashlen = 20;
5121         hashblocklen = 64;
5122         }
5123       else
5124         {
5125         expand_string_message =
5126           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5127         goto EXPAND_FAILED;
5128         }
5129
5130       keyptr = sub[1];
5131       keylen = Ustrlen(keyptr);
5132
5133       /* If the key is longer than the hash block length, then hash the key
5134       first */
5135
5136       if (keylen > hashblocklen)
5137         {
5138         chash_start(type, use_base);
5139         chash_end(type, use_base, keyptr, keylen, keyhash);
5140         keyptr = keyhash;
5141         keylen = hashlen;
5142         }
5143
5144       /* Now make the inner and outer key values */
5145
5146       memset(innerkey, 0x36, hashblocklen);
5147       memset(outerkey, 0x5c, hashblocklen);
5148
5149       for (i = 0; i < keylen; i++)
5150         {
5151         innerkey[i] ^= keyptr[i];
5152         outerkey[i] ^= keyptr[i];
5153         }
5154
5155       /* Now do the hashes */
5156
5157       chash_start(type, use_base);
5158       chash_mid(type, use_base, innerkey);
5159       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5160
5161       chash_start(type, use_base);
5162       chash_mid(type, use_base, outerkey);
5163       chash_end(type, use_base, innerhash, hashlen, finalhash);
5164
5165       /* Encode the final hash as a hex string */
5166
5167       p = finalhash_hex;
5168       for (i = 0; i < hashlen; i++)
5169         {
5170         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5171         *p++ = hex_digits[finalhash[i] & 0x0f];
5172         }
5173
5174       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5175         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5176
5177       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5178       }
5179
5180     continue;
5181
5182     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5183     We have to save the numerical variables and restore them afterwards. */
5184
5185     case EITEM_SG:
5186       {
5187       const pcre *re;
5188       int moffset, moffsetextra, slen;
5189       int roffset;
5190       int emptyopt;
5191       const uschar *rerror;
5192       uschar *subject;
5193       uschar *sub[3];
5194       int save_expand_nmax =
5195         save_expand_strings(save_expand_nstring, save_expand_nlength);
5196
5197       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5198         {
5199         case 1: goto EXPAND_FAILED_CURLY;
5200         case 2:
5201         case 3: goto EXPAND_FAILED;
5202         }
5203
5204       /* Compile the regular expression */
5205
5206       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5207         NULL);
5208
5209       if (re == NULL)
5210         {
5211         expand_string_message = string_sprintf("regular expression error in "
5212           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5213         goto EXPAND_FAILED;
5214         }
5215
5216       /* Now run a loop to do the substitutions as often as necessary. It ends
5217       when there are no more matches. Take care over matches of the null string;
5218       do the same thing as Perl does. */
5219
5220       subject = sub[0];
5221       slen = Ustrlen(sub[0]);
5222       moffset = moffsetextra = 0;
5223       emptyopt = 0;
5224
5225       for (;;)
5226         {
5227         int ovector[3*(EXPAND_MAXN+1)];
5228         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5229           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5230         int nn;
5231         uschar *insert;
5232
5233         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5234         is not necessarily the end. We want to repeat the match from one
5235         character further along, but leaving the basic offset the same (for
5236         copying below). We can't be at the end of the string - that was checked
5237         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5238         finished; copy the remaining string and end the loop. */
5239
5240         if (n < 0)
5241           {
5242           if (emptyopt != 0)
5243             {
5244             moffsetextra = 1;
5245             emptyopt = 0;
5246             continue;
5247             }
5248           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5249           break;
5250           }
5251
5252         /* Match - set up for expanding the replacement. */
5253
5254         if (n == 0) n = EXPAND_MAXN + 1;
5255         expand_nmax = 0;
5256         for (nn = 0; nn < n*2; nn += 2)
5257           {
5258           expand_nstring[expand_nmax] = subject + ovector[nn];
5259           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5260           }
5261         expand_nmax--;
5262
5263         /* Copy the characters before the match, plus the expanded insertion. */
5264
5265         yield = string_cat(yield, &size, &ptr, subject + moffset,
5266           ovector[0] - moffset);
5267         insert = expand_string(sub[2]);
5268         if (insert == NULL) goto EXPAND_FAILED;
5269         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5270
5271         moffset = ovector[1];
5272         moffsetextra = 0;
5273         emptyopt = 0;
5274
5275         /* If we have matched an empty string, first check to see if we are at
5276         the end of the subject. If so, the loop is over. Otherwise, mimic
5277         what Perl's /g options does. This turns out to be rather cunning. First
5278         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5279         string at the same point. If this fails (picked up above) we advance to
5280         the next character. */
5281
5282         if (ovector[0] == ovector[1])
5283           {
5284           if (ovector[0] == slen) break;
5285           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5286           }
5287         }
5288
5289       /* All done - restore numerical variables. */
5290
5291       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5292         save_expand_nlength);
5293       continue;
5294       }
5295
5296     /* Handle keyed and numbered substring extraction. If the first argument
5297     consists entirely of digits, then a numerical extraction is assumed. */
5298
5299     case EITEM_EXTRACT:
5300       {
5301       int i;
5302       int j = 2;
5303       int field_number = 1;
5304       BOOL field_number_set = FALSE;
5305       uschar *save_lookup_value = lookup_value;
5306       uschar *sub[3];
5307       int save_expand_nmax =
5308         save_expand_strings(save_expand_nstring, save_expand_nlength);
5309
5310       /* Read the arguments */
5311
5312       for (i = 0; i < j; i++)
5313         {
5314         while (isspace(*s)) s++;
5315         if (*s == '{')                                          /*}*/
5316           {
5317           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5318           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5319           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5320
5321           /* After removal of leading and trailing white space, the first
5322           argument must not be empty; if it consists entirely of digits
5323           (optionally preceded by a minus sign), this is a numerical
5324           extraction, and we expect 3 arguments. */
5325
5326           if (i == 0)
5327             {
5328             int len;
5329             int x = 0;
5330             uschar *p = sub[0];
5331
5332             while (isspace(*p)) p++;
5333             sub[0] = p;
5334
5335             len = Ustrlen(p);
5336             while (len > 0 && isspace(p[len-1])) len--;
5337             p[len] = 0;
5338
5339             if (!skipping)
5340               {
5341               if (*p == 0)
5342                 {
5343                 expand_string_message = US"first argument of \"extract\" must "
5344                   "not be empty";
5345                 goto EXPAND_FAILED;
5346                 }
5347
5348               if (*p == '-')
5349                 {
5350                 field_number = -1;
5351                 p++;
5352                 }
5353               while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5354               if (*p == 0)
5355                 {
5356                 field_number *= x;
5357                 j = 3;               /* Need 3 args */
5358                 field_number_set = TRUE;
5359                 }
5360               }
5361             }
5362           }
5363         else goto EXPAND_FAILED_CURLY;
5364         }
5365
5366       /* Extract either the numbered or the keyed substring into $value. If
5367       skipping, just pretend the extraction failed. */
5368
5369       lookup_value = skipping? NULL : field_number_set?
5370         expand_gettokened(field_number, sub[1], sub[2]) :
5371         expand_getkeyed(sub[0], sub[1]);
5372
5373       /* If no string follows, $value gets substituted; otherwise there can
5374       be yes/no strings, as for lookup or if. */
5375
5376       switch(process_yesno(
5377                skipping,                     /* were previously skipping */
5378                lookup_value != NULL,         /* success/failure indicator */
5379                save_lookup_value,            /* value to reset for string2 */
5380                &s,                           /* input pointer */
5381                &yield,                       /* output pointer */
5382                &size,                        /* output size */
5383                &ptr,                         /* output current point */
5384                US"extract",                  /* condition type */
5385                &resetok))
5386         {
5387         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5388         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5389         }
5390
5391       /* All done - restore numerical variables. */
5392
5393       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5394         save_expand_nlength);
5395
5396       continue;
5397       }
5398
5399     /* return the Nth item from a list */
5400
5401     case EITEM_LISTEXTRACT:
5402       {
5403       int i;
5404       int field_number = 1;
5405       uschar *save_lookup_value = lookup_value;
5406       uschar *sub[2];
5407       int save_expand_nmax =
5408         save_expand_strings(save_expand_nstring, save_expand_nlength);
5409
5410       /* Read the field & list arguments */
5411
5412       for (i = 0; i < 2; i++)
5413         {
5414         while (isspace(*s)) s++;
5415         if (*s != '{')                                  /*}*/
5416           goto EXPAND_FAILED_CURLY;
5417
5418         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5419         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5420         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5421
5422         /* After removal of leading and trailing white space, the first
5423         argument must be numeric and nonempty. */
5424
5425         if (i == 0)
5426           {
5427           int len;
5428           int x = 0;
5429           uschar *p = sub[0];
5430
5431           while (isspace(*p)) p++;
5432           sub[0] = p;
5433
5434           len = Ustrlen(p);
5435           while (len > 0 && isspace(p[len-1])) len--;
5436           p[len] = 0;
5437
5438           if (!*p && !skipping)
5439             {
5440             expand_string_message = US"first argument of \"listextract\" must "
5441               "not be empty";
5442             goto EXPAND_FAILED;
5443             }
5444
5445           if (*p == '-')
5446             {
5447             field_number = -1;
5448             p++;
5449             }
5450           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5451           if (*p)
5452             {
5453             expand_string_message = US"first argument of \"listextract\" must "
5454               "be numeric";
5455             goto EXPAND_FAILED;
5456             }
5457           field_number *= x;
5458           }
5459         }
5460
5461       /* Extract the numbered element into $value. If
5462       skipping, just pretend the extraction failed. */
5463
5464       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5465
5466       /* If no string follows, $value gets substituted; otherwise there can
5467       be yes/no strings, as for lookup or if. */
5468
5469       switch(process_yesno(
5470                skipping,                     /* were previously skipping */
5471                lookup_value != NULL,         /* success/failure indicator */
5472                save_lookup_value,            /* value to reset for string2 */
5473                &s,                           /* input pointer */
5474                &yield,                       /* output pointer */
5475                &size,                        /* output size */
5476                &ptr,                         /* output current point */
5477                US"listextract",              /* condition type */
5478                &resetok))
5479         {
5480         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5481         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5482         }
5483
5484       /* All done - restore numerical variables. */
5485
5486       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5487         save_expand_nlength);
5488
5489       continue;
5490       }
5491
5492 #ifdef SUPPORT_TLS
5493     case EITEM_CERTEXTRACT:
5494       {
5495       uschar *save_lookup_value = lookup_value;
5496       uschar *sub[2];
5497       int save_expand_nmax =
5498         save_expand_strings(save_expand_nstring, save_expand_nlength);
5499
5500       /* Read the field argument */
5501       while (isspace(*s)) s++;
5502       if (*s != '{')                                    /*}*/
5503         goto EXPAND_FAILED_CURLY;
5504       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5505       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5506       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5507       /* strip spaces fore & aft */
5508       {
5509       int len;
5510       uschar *p = sub[0];
5511
5512       while (isspace(*p)) p++;
5513       sub[0] = p;
5514
5515       len = Ustrlen(p);
5516       while (len > 0 && isspace(p[len-1])) len--;
5517       p[len] = 0;
5518       }
5519
5520       /* inspect the cert argument */
5521       while (isspace(*s)) s++;
5522       if (*s != '{')                                    /*}*/
5523         goto EXPAND_FAILED_CURLY;
5524       if (*++s != '$')
5525         {
5526         expand_string_message = US"second argument of \"certextract\" must "
5527           "be a certificate variable";
5528         goto EXPAND_FAILED;
5529         }
5530       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5531       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5532       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5533
5534       if (skipping)
5535         lookup_value = NULL;
5536       else
5537         {
5538         lookup_value = expand_getcertele(sub[0], sub[1]);
5539         if (*expand_string_message) goto EXPAND_FAILED;
5540         }
5541       switch(process_yesno(
5542                skipping,                     /* were previously skipping */
5543                lookup_value != NULL,         /* success/failure indicator */
5544                save_lookup_value,            /* value to reset for string2 */
5545                &s,                           /* input pointer */
5546                &yield,                       /* output pointer */
5547                &size,                        /* output size */
5548                &ptr,                         /* output current point */
5549                US"certextract",              /* condition type */
5550                &resetok))
5551         {
5552         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5553         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5554         }
5555
5556       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5557         save_expand_nlength);
5558       continue;
5559       }
5560 #endif  /*SUPPORT_TLS*/
5561
5562     /* Handle list operations */
5563
5564     case EITEM_FILTER:
5565     case EITEM_MAP:
5566     case EITEM_REDUCE:
5567       {
5568       int sep = 0;
5569       int save_ptr = ptr;
5570       uschar outsep[2] = { '\0', '\0' };
5571       const uschar *list, *expr, *temp;
5572       uschar *save_iterate_item = iterate_item;
5573       uschar *save_lookup_value = lookup_value;
5574
5575       while (isspace(*s)) s++;
5576       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5577
5578       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5579       if (list == NULL) goto EXPAND_FAILED;
5580       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5581
5582       if (item_type == EITEM_REDUCE)
5583         {
5584         uschar * t;
5585         while (isspace(*s)) s++;
5586         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5587         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5588         if (!t) goto EXPAND_FAILED;
5589         lookup_value = t;
5590         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5591         }
5592
5593       while (isspace(*s)) s++;
5594       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5595
5596       expr = s;
5597
5598       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5599       if scanning a "false" part). This allows us to find the end of the
5600       condition, because if the list is empty, we won't actually evaluate the
5601       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5602       the normal internal expansion function. */
5603
5604       if (item_type == EITEM_FILTER)
5605         {
5606         temp = eval_condition(expr, &resetok, NULL);
5607         if (temp != NULL) s = temp;
5608         }
5609       else
5610         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5611
5612       if (temp == NULL)
5613         {
5614         expand_string_message = string_sprintf("%s inside \"%s\" item",
5615           expand_string_message, name);
5616         goto EXPAND_FAILED;
5617         }
5618
5619       while (isspace(*s)) s++;
5620       if (*s++ != '}')
5621         {                                               /*{*/
5622         expand_string_message = string_sprintf("missing } at end of condition "
5623           "or expression inside \"%s\"", name);
5624         goto EXPAND_FAILED;
5625         }
5626
5627       while (isspace(*s)) s++;                          /*{*/
5628       if (*s++ != '}')
5629         {                                               /*{*/
5630         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5631           name);
5632         goto EXPAND_FAILED;
5633         }
5634
5635       /* If we are skipping, we can now just move on to the next item. When
5636       processing for real, we perform the iteration. */
5637
5638       if (skipping) continue;
5639       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5640         {
5641         *outsep = (uschar)sep;      /* Separator as a string */
5642
5643         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5644
5645         if (item_type == EITEM_FILTER)
5646           {
5647           BOOL condresult;
5648           if (eval_condition(expr, &resetok, &condresult) == NULL)
5649             {
5650             iterate_item = save_iterate_item;
5651             lookup_value = save_lookup_value;
5652             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5653               expand_string_message, name);
5654             goto EXPAND_FAILED;
5655             }
5656           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5657             condresult? "true":"false");
5658           if (condresult)
5659             temp = iterate_item;    /* TRUE => include this item */
5660           else
5661             continue;               /* FALSE => skip this item */
5662           }
5663
5664         /* EITEM_MAP and EITEM_REDUCE */
5665
5666         else
5667           {
5668           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5669           temp = t;
5670           if (temp == NULL)
5671             {
5672             iterate_item = save_iterate_item;
5673             expand_string_message = string_sprintf("%s inside \"%s\" item",
5674               expand_string_message, name);
5675             goto EXPAND_FAILED;
5676             }
5677           if (item_type == EITEM_REDUCE)
5678             {
5679             lookup_value = t;         /* Update the value of $value */
5680             continue;                 /* and continue the iteration */
5681             }
5682           }
5683
5684         /* We reach here for FILTER if the condition is true, always for MAP,
5685         and never for REDUCE. The value in "temp" is to be added to the output
5686         list that is being created, ensuring that any occurrences of the
5687         separator character are doubled. Unless we are dealing with the first
5688         item of the output list, add in a space if the new item begins with the
5689         separator character, or is an empty string. */
5690
5691         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5692           yield = string_cat(yield, &size, &ptr, US" ", 1);
5693
5694         /* Add the string in "temp" to the output list that we are building,
5695         This is done in chunks by searching for the separator character. */
5696
5697         for (;;)
5698           {
5699           size_t seglen = Ustrcspn(temp, outsep);
5700             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5701
5702           /* If we got to the end of the string we output one character
5703           too many; backup and end the loop. Otherwise arrange to double the
5704           separator. */
5705
5706           if (temp[seglen] == '\0') { ptr--; break; }
5707           yield = string_cat(yield, &size, &ptr, outsep, 1);
5708           temp += seglen + 1;
5709           }
5710
5711         /* Output a separator after the string: we will remove the redundant
5712         final one at the end. */
5713
5714         yield = string_cat(yield, &size, &ptr, outsep, 1);
5715         }   /* End of iteration over the list loop */
5716
5717       /* REDUCE has generated no output above: output the final value of
5718       $value. */
5719
5720       if (item_type == EITEM_REDUCE)
5721         {
5722         yield = string_cat(yield, &size, &ptr, lookup_value,
5723           Ustrlen(lookup_value));
5724         lookup_value = save_lookup_value;  /* Restore $value */
5725         }
5726
5727       /* FILTER and MAP generate lists: if they have generated anything, remove
5728       the redundant final separator. Even though an empty item at the end of a
5729       list does not count, this is tidier. */
5730
5731       else if (ptr != save_ptr) ptr--;
5732
5733       /* Restore preserved $item */
5734
5735       iterate_item = save_iterate_item;
5736       continue;
5737       }
5738
5739     case EITEM_SORT:
5740       {
5741       int sep = 0;
5742       const uschar *srclist, *cmp, *xtract;
5743       uschar *srcitem;
5744       const uschar *dstlist = NULL, *dstkeylist = NULL;
5745       uschar * tmp;
5746       uschar *save_iterate_item = iterate_item;
5747
5748       while (isspace(*s)) s++;
5749       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5750
5751       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5752       if (!srclist) goto EXPAND_FAILED;
5753       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5754
5755       while (isspace(*s)) s++;
5756       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5757
5758       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5759       if (!cmp) goto EXPAND_FAILED;
5760       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5761
5762       while (isspace(*s)) s++;
5763       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5764
5765       xtract = s;
5766       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5767       if (!tmp) goto EXPAND_FAILED;
5768       xtract = string_copyn(xtract, s - xtract);
5769
5770       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5771                                                         /*{*/
5772       if (*s++ != '}')
5773         {                                               /*{*/
5774         expand_string_message = US"missing } at end of \"sort\"";
5775         goto EXPAND_FAILED;
5776         }
5777
5778       if (skipping) continue;
5779
5780       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5781         {
5782         uschar * dstitem;
5783         uschar * newlist = NULL;
5784         uschar * newkeylist = NULL;
5785         uschar * srcfield;
5786
5787         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5788
5789         /* extract field for comparisons */
5790         iterate_item = srcitem;
5791         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5792                                           TRUE, &resetok))
5793            || !*srcfield)
5794           {
5795           expand_string_message = string_sprintf(
5796               "field-extract in sort: \"%s\"", xtract);
5797           goto EXPAND_FAILED;
5798           }
5799
5800         /* Insertion sort */
5801
5802         /* copy output list until new-item < list-item */
5803         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5804           {
5805           uschar * dstfield;
5806           uschar * expr;
5807           BOOL before;
5808
5809           /* field for comparison */
5810           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5811             goto sort_mismatch;
5812
5813           /* build and run condition string */
5814           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5815
5816           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
5817           if (!eval_condition(expr, &resetok, &before))
5818             {
5819             expand_string_message = string_sprintf("comparison in sort: %s",
5820                 expr);
5821             goto EXPAND_FAILED;
5822             }
5823
5824           if (before)
5825             {
5826             /* New-item sorts before this dst-item.  Append new-item,
5827             then dst-item, then remainder of dst list. */
5828
5829             newlist = string_append_listele(newlist, sep, srcitem);
5830             newkeylist = string_append_listele(newkeylist, sep, srcfield);
5831             srcitem = NULL;
5832
5833             newlist = string_append_listele(newlist, sep, dstitem);
5834             newkeylist = string_append_listele(newkeylist, sep, dstfield);
5835
5836             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5837               {
5838               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5839                 goto sort_mismatch;
5840               newlist = string_append_listele(newlist, sep, dstitem);
5841               newkeylist = string_append_listele(newkeylist, sep, dstfield);
5842               }
5843
5844             break;
5845             }
5846
5847           newlist = string_append_listele(newlist, sep, dstitem);
5848           newkeylist = string_append_listele(newkeylist, sep, dstfield);
5849           }
5850
5851         /* If we ran out of dstlist without consuming srcitem, append it */
5852         if (srcitem)
5853           {
5854           newlist = string_append_listele(newlist, sep, srcitem);
5855           newkeylist = string_append_listele(newkeylist, sep, srcfield);
5856           }
5857
5858         dstlist = newlist;
5859         dstkeylist = newkeylist;
5860
5861         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
5862         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
5863         }
5864
5865       if (dstlist)
5866         yield = string_cat(yield, &size, &ptr, dstlist, Ustrlen(dstlist));
5867
5868       /* Restore preserved $item */
5869       iterate_item = save_iterate_item;
5870       continue;
5871
5872       sort_mismatch:
5873         expand_string_message = US"Internal error in sort (list mismatch)";
5874         goto EXPAND_FAILED;
5875       }
5876
5877
5878     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5879     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5880     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5881     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5882
5883     #define EXPAND_DLFUNC_MAX_ARGS 8
5884
5885     case EITEM_DLFUNC:
5886 #ifndef EXPAND_DLFUNC
5887       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
5888         "is not included in this binary";
5889       goto EXPAND_FAILED;
5890
5891 #else   /* EXPAND_DLFUNC */
5892       {
5893       tree_node *t;
5894       exim_dlfunc_t *func;
5895       uschar *result;
5896       int status, argc;
5897       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5898
5899       if ((expand_forbid & RDO_DLFUNC) != 0)
5900         {
5901         expand_string_message =
5902           US"dynamically-loaded functions are not permitted";
5903         goto EXPAND_FAILED;
5904         }
5905
5906       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5907            TRUE, US"dlfunc", &resetok))
5908         {
5909         case 1: goto EXPAND_FAILED_CURLY;
5910         case 2:
5911         case 3: goto EXPAND_FAILED;
5912         }
5913
5914       /* If skipping, we don't actually do anything */
5915
5916       if (skipping) continue;
5917
5918       /* Look up the dynamically loaded object handle in the tree. If it isn't
5919       found, dlopen() the file and put the handle in the tree for next time. */
5920
5921       t = tree_search(dlobj_anchor, argv[0]);
5922       if (t == NULL)
5923         {
5924         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5925         if (handle == NULL)
5926           {
5927           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5928             argv[0], dlerror());
5929           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5930           goto EXPAND_FAILED;
5931           }
5932         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5933         Ustrcpy(t->name, argv[0]);
5934         t->data.ptr = handle;
5935         (void)tree_insertnode(&dlobj_anchor, t);
5936         }
5937
5938       /* Having obtained the dynamically loaded object handle, look up the
5939       function pointer. */
5940
5941       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5942       if (func == NULL)
5943         {
5944         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5945           "%s", argv[1], argv[0], dlerror());
5946         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5947         goto EXPAND_FAILED;
5948         }
5949
5950       /* Call the function and work out what to do with the result. If it
5951       returns OK, we have a replacement string; if it returns DEFER then
5952       expansion has failed in a non-forced manner; if it returns FAIL then
5953       failure was forced; if it returns ERROR or any other value there's a
5954       problem, so panic slightly. In any case, assume that the function has
5955       side-effects on the store that must be preserved. */
5956
5957       resetok = FALSE;
5958       result = NULL;
5959       for (argc = 0; argv[argc] != NULL; argc++);
5960       status = func(&result, argc - 2, &argv[2]);
5961       if(status == OK)
5962         {
5963         if (result == NULL) result = US"";
5964         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5965         continue;
5966         }
5967       else
5968         {
5969         expand_string_message = result == NULL ? US"(no message)" : result;
5970         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5971           else if(status != FAIL)
5972             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5973               argv[0], argv[1], status, expand_string_message);
5974         goto EXPAND_FAILED;
5975         }
5976       }
5977 #endif /* EXPAND_DLFUNC */
5978
5979     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
5980       {
5981       uschar * key;
5982       uschar *save_lookup_value = lookup_value;
5983
5984       while (isspace(*s)) s++;
5985       if (*s != '{')                                    /*}*/
5986         goto EXPAND_FAILED;
5987
5988       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5989       if (!key) goto EXPAND_FAILED;                     /*{*/
5990       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5991
5992       lookup_value = US getenv(CS key);
5993
5994       switch(process_yesno(
5995                skipping,                     /* were previously skipping */
5996                lookup_value != NULL,         /* success/failure indicator */
5997                save_lookup_value,            /* value to reset for string2 */
5998                &s,                           /* input pointer */
5999                &yield,                       /* output pointer */
6000                &size,                        /* output size */
6001                &ptr,                         /* output current point */
6002                US"env",                      /* condition type */
6003                &resetok))
6004         {
6005         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6006         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6007         }
6008       continue;
6009       }
6010     }   /* EITEM_* switch */
6011
6012   /* Control reaches here if the name is not recognized as one of the more
6013   complicated expansion items. Check for the "operator" syntax (name terminated
6014   by a colon). Some of the operators have arguments, separated by _ from the
6015   name. */
6016
6017   if (*s == ':')
6018     {
6019     int c;
6020     uschar *arg = NULL;
6021     uschar *sub;
6022     var_entry *vp = NULL;
6023
6024     /* Owing to an historical mis-design, an underscore may be part of the
6025     operator name, or it may introduce arguments.  We therefore first scan the
6026     table of names that contain underscores. If there is no match, we cut off
6027     the arguments and then scan the main table. */
6028
6029     if ((c = chop_match(name, op_table_underscore,
6030                         nelem(op_table_underscore))) < 0)
6031       {
6032       arg = Ustrchr(name, '_');
6033       if (arg != NULL) *arg = 0;
6034       c = chop_match(name, op_table_main, nelem(op_table_main));
6035       if (c >= 0) c += nelem(op_table_underscore);
6036       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6037       }
6038
6039     /* Deal specially with operators that might take a certificate variable
6040     as we do not want to do the usual expansion. For most, expand the string.*/
6041     switch(c)
6042       {
6043 #ifdef SUPPORT_TLS
6044       case EOP_MD5:
6045       case EOP_SHA1:
6046       case EOP_SHA256:
6047       case EOP_BASE64:
6048         if (s[1] == '$')
6049           {
6050           const uschar * s1 = s;
6051           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6052                   FALSE, &resetok);
6053           if (!sub)       goto EXPAND_FAILED;           /*{*/
6054           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
6055           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6056             {
6057             s = s1+1;
6058             break;
6059             }
6060           vp = NULL;
6061           }
6062         /*FALLTHROUGH*/
6063 #endif
6064       default:
6065         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6066         if (!sub) goto EXPAND_FAILED;
6067         s++;
6068         break;
6069       }
6070
6071     /* If we are skipping, we don't need to perform the operation at all.
6072     This matters for operations like "mask", because the data may not be
6073     in the correct format when skipping. For example, the expression may test
6074     for the existence of $sender_host_address before trying to mask it. For
6075     other operations, doing them may not fail, but it is a waste of time. */
6076
6077     if (skipping && c >= 0) continue;
6078
6079     /* Otherwise, switch on the operator type */
6080
6081     switch(c)
6082       {
6083       case EOP_BASE62:
6084         {
6085         uschar *t;
6086         unsigned long int n = Ustrtoul(sub, &t, 10);
6087         if (*t != 0)
6088           {
6089           expand_string_message = string_sprintf("argument for base62 "
6090             "operator is \"%s\", which is not a decimal number", sub);
6091           goto EXPAND_FAILED;
6092           }
6093         t = string_base62(n);
6094         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6095         continue;
6096         }
6097
6098       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6099
6100       case EOP_BASE62D:
6101         {
6102         uschar buf[16];
6103         uschar *tt = sub;
6104         unsigned long int n = 0;
6105         while (*tt != 0)
6106           {
6107           uschar *t = Ustrchr(base62_chars, *tt++);
6108           if (t == NULL)
6109             {
6110             expand_string_message = string_sprintf("argument for base62d "
6111               "operator is \"%s\", which is not a base %d number", sub,
6112               BASE_62);
6113             goto EXPAND_FAILED;
6114             }
6115           n = n * BASE_62 + (t - base62_chars);
6116           }
6117         (void)sprintf(CS buf, "%ld", n);
6118         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
6119         continue;
6120         }
6121
6122       case EOP_EXPAND:
6123         {
6124         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6125         if (expanded == NULL)
6126           {
6127           expand_string_message =
6128             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6129               expand_string_message);
6130           goto EXPAND_FAILED;
6131           }
6132         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
6133         continue;
6134         }
6135
6136       case EOP_LC:
6137         {
6138         int count = 0;
6139         uschar *t = sub - 1;
6140         while (*(++t) != 0) { *t = tolower(*t); count++; }
6141         yield = string_cat(yield, &size, &ptr, sub, count);
6142         continue;
6143         }
6144
6145       case EOP_UC:
6146         {
6147         int count = 0;
6148         uschar *t = sub - 1;
6149         while (*(++t) != 0) { *t = toupper(*t); count++; }
6150         yield = string_cat(yield, &size, &ptr, sub, count);
6151         continue;
6152         }
6153
6154       case EOP_MD5:
6155 #ifdef SUPPORT_TLS
6156         if (vp && *(void **)vp->value)
6157           {
6158           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6159           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6160           }
6161         else
6162 #endif
6163           {
6164           md5 base;
6165           uschar digest[16];
6166           int j;
6167           char st[33];
6168           md5_start(&base);
6169           md5_end(&base, sub, Ustrlen(sub), digest);
6170           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6171           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6172           }
6173         continue;
6174
6175       case EOP_SHA1:
6176 #ifdef SUPPORT_TLS
6177         if (vp && *(void **)vp->value)
6178           {
6179           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6180           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6181           }
6182         else
6183 #endif
6184           {
6185           sha1 base;
6186           uschar digest[20];
6187           int j;
6188           char st[41];
6189           sha1_start(&base);
6190           sha1_end(&base, sub, Ustrlen(sub), digest);
6191           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6192           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6193           }
6194         continue;
6195
6196       case EOP_SHA256:
6197 #ifdef SUPPORT_TLS
6198         if (vp && *(void **)vp->value)
6199           {
6200           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6201           yield = string_cat(yield, &size, &ptr, cp, (int)Ustrlen(cp));
6202           }
6203         else
6204 #endif
6205           expand_string_message = US"sha256 only supported for certificates";
6206         continue;
6207
6208       /* Convert hex encoding to base64 encoding */
6209
6210       case EOP_HEX2B64:
6211         {
6212         int c = 0;
6213         int b = -1;
6214         uschar *in = sub;
6215         uschar *out = sub;
6216         uschar *enc;
6217
6218         for (enc = sub; *enc != 0; enc++)
6219           {
6220           if (!isxdigit(*enc))
6221             {
6222             expand_string_message = string_sprintf("\"%s\" is not a hex "
6223               "string", sub);
6224             goto EXPAND_FAILED;
6225             }
6226           c++;
6227           }
6228
6229         if ((c & 1) != 0)
6230           {
6231           expand_string_message = string_sprintf("\"%s\" contains an odd "
6232             "number of characters", sub);
6233           goto EXPAND_FAILED;
6234           }
6235
6236         while ((c = *in++) != 0)
6237           {
6238           if (isdigit(c)) c -= '0';
6239           else c = toupper(c) - 'A' + 10;
6240           if (b == -1)
6241             {
6242             b = c << 4;
6243             }
6244           else
6245             {
6246             *out++ = b | c;
6247             b = -1;
6248             }
6249           }
6250
6251         enc = b64encode(sub, out - sub);
6252         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
6253         continue;
6254         }
6255
6256       /* Convert octets outside 0x21..0x7E to \xXX form */
6257
6258       case EOP_HEXQUOTE:
6259         {
6260         uschar *t = sub - 1;
6261         while (*(++t) != 0)
6262           {
6263           if (*t < 0x21 || 0x7E < *t)
6264             yield = string_cat(yield, &size, &ptr,
6265               string_sprintf("\\x%02x", *t), 4);
6266           else
6267             yield = string_cat(yield, &size, &ptr, t, 1);
6268           }
6269         continue;
6270         }
6271
6272       /* count the number of list elements */
6273
6274       case EOP_LISTCOUNT:
6275         {
6276         int cnt = 0;
6277         int sep = 0;
6278         uschar * cp;
6279         uschar buffer[256];
6280
6281         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6282         cp = string_sprintf("%d", cnt);
6283         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6284         continue;
6285         }
6286
6287       /* expand a named list given the name */
6288       /* handles nested named lists; requotes as colon-sep list */
6289
6290       case EOP_LISTNAMED:
6291         {
6292         tree_node *t = NULL;
6293         const uschar * list;
6294         int sep = 0;
6295         uschar * item;
6296         uschar * suffix = US"";
6297         BOOL needsep = FALSE;
6298         uschar buffer[256];
6299
6300         if (*sub == '+') sub++;
6301         if (arg == NULL)        /* no-argument version */
6302           {
6303           if (!(t = tree_search(addresslist_anchor, sub)) &&
6304               !(t = tree_search(domainlist_anchor,  sub)) &&
6305               !(t = tree_search(hostlist_anchor,    sub)))
6306             t = tree_search(localpartlist_anchor, sub);
6307           }
6308         else switch(*arg)       /* specific list-type version */
6309           {
6310           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6311           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6312           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6313           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6314           default:
6315             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6316             goto EXPAND_FAILED;
6317           }
6318
6319         if(!t)
6320           {
6321           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6322             sub, !arg?""
6323               : *arg=='a'?"address "
6324               : *arg=='d'?"domain "
6325               : *arg=='h'?"host "
6326               : *arg=='l'?"localpart "
6327               : 0);
6328           goto EXPAND_FAILED;
6329           }
6330
6331         list = ((namedlist_block *)(t->data.ptr))->string;
6332
6333         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6334           {
6335           uschar * buf = US" : ";
6336           if (needsep)
6337             yield = string_cat(yield, &size, &ptr, buf, 3);
6338           else
6339             needsep = TRUE;
6340
6341           if (*item == '+')     /* list item is itself a named list */
6342             {
6343             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6344             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6345             }
6346           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6347             {
6348             char * cp;
6349             char tok[3];
6350             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6351             while ((cp= strpbrk((const char *)item, tok)))
6352               {
6353               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6354               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6355                 {
6356                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6357                 item = (uschar *)cp;
6358                 }
6359               else              /* sep in item; should already be doubled; emit once */
6360                 {
6361                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6362                 if (*cp == sep) cp++;
6363                 item = (uschar *)cp;
6364                 }
6365               }
6366             }
6367           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6368           }
6369         continue;
6370         }
6371
6372       /* mask applies a mask to an IP address; for example the result of
6373       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6374
6375       case EOP_MASK:
6376         {
6377         int count;
6378         uschar *endptr;
6379         int binary[4];
6380         int mask, maskoffset;
6381         int type = string_is_ip_address(sub, &maskoffset);
6382         uschar buffer[64];
6383
6384         if (type == 0)
6385           {
6386           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6387            sub);
6388           goto EXPAND_FAILED;
6389           }
6390
6391         if (maskoffset == 0)
6392           {
6393           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6394             sub);
6395           goto EXPAND_FAILED;
6396           }
6397
6398         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6399
6400         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6401           {
6402           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6403             sub);
6404           goto EXPAND_FAILED;
6405           }
6406
6407         /* Convert the address to binary integer(s) and apply the mask */
6408
6409         sub[maskoffset] = 0;
6410         count = host_aton(sub, binary);
6411         host_mask(count, binary, mask);
6412
6413         /* Convert to masked textual format and add to output. */
6414
6415         yield = string_cat(yield, &size, &ptr, buffer,
6416           host_nmtoa(count, binary, mask, buffer, '.'));
6417         continue;
6418         }
6419
6420       case EOP_IPV6NORM:
6421       case EOP_IPV6DENORM:
6422         {
6423         int type = string_is_ip_address(sub, NULL);
6424         int binary[4];
6425         uschar buffer[44];
6426
6427         switch (type)
6428           {
6429           case 6:
6430             (void) host_aton(sub, binary);
6431             break;
6432
6433           case 4:       /* convert to IPv4-mapped IPv6 */
6434             binary[0] = binary[1] = 0;
6435             binary[2] = 0x0000ffff;
6436             (void) host_aton(sub, binary+3);
6437             break;
6438
6439           case 0:
6440             expand_string_message =
6441               string_sprintf("\"%s\" is not an IP address", sub);
6442             goto EXPAND_FAILED;
6443           }
6444
6445         yield = string_cat(yield, &size, &ptr, buffer,
6446                   c == EOP_IPV6NORM
6447                     ? ipv6_nmtoa(binary, buffer)
6448                     : host_nmtoa(4, binary, -1, buffer, ':')
6449                   );
6450         continue;
6451         }
6452
6453       case EOP_ADDRESS:
6454       case EOP_LOCAL_PART:
6455       case EOP_DOMAIN:
6456         {
6457         uschar *error;
6458         int start, end, domain;
6459         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6460           FALSE);
6461         if (t != NULL)
6462           {
6463           if (c != EOP_DOMAIN)
6464             {
6465             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6466             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6467             }
6468           else if (domain != 0)
6469             {
6470             domain += start;
6471             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6472             }
6473           }
6474         continue;
6475         }
6476
6477       case EOP_ADDRESSES:
6478         {
6479         uschar outsep[2] = { ':', '\0' };
6480         uschar *address, *error;
6481         int save_ptr = ptr;
6482         int start, end, domain;  /* Not really used */
6483
6484         while (isspace(*sub)) sub++;
6485         if (*sub == '>') { *outsep = *++sub; ++sub; }
6486         parse_allow_group = TRUE;
6487
6488         for (;;)
6489           {
6490           uschar *p = parse_find_address_end(sub, FALSE);
6491           uschar saveend = *p;
6492           *p = '\0';
6493           address = parse_extract_address(sub, &error, &start, &end, &domain,
6494             FALSE);
6495           *p = saveend;
6496
6497           /* Add the address to the output list that we are building. This is
6498           done in chunks by searching for the separator character. At the
6499           start, unless we are dealing with the first address of the output
6500           list, add in a space if the new address begins with the separator
6501           character, or is an empty string. */
6502
6503           if (address != NULL)
6504             {
6505             if (ptr != save_ptr && address[0] == *outsep)
6506               yield = string_cat(yield, &size, &ptr, US" ", 1);
6507
6508             for (;;)
6509               {
6510               size_t seglen = Ustrcspn(address, outsep);
6511               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6512
6513               /* If we got to the end of the string we output one character
6514               too many. */
6515
6516               if (address[seglen] == '\0') { ptr--; break; }
6517               yield = string_cat(yield, &size, &ptr, outsep, 1);
6518               address += seglen + 1;
6519               }
6520
6521             /* Output a separator after the string: we will remove the
6522             redundant final one at the end. */
6523
6524             yield = string_cat(yield, &size, &ptr, outsep, 1);
6525             }
6526
6527           if (saveend == '\0') break;
6528           sub = p + 1;
6529           }
6530
6531         /* If we have generated anything, remove the redundant final
6532         separator. */
6533
6534         if (ptr != save_ptr) ptr--;
6535         parse_allow_group = FALSE;
6536         continue;
6537         }
6538
6539
6540       /* quote puts a string in quotes if it is empty or contains anything
6541       other than alphamerics, underscore, dot, or hyphen.
6542
6543       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6544       be quoted in order to be a valid local part.
6545
6546       In both cases, newlines and carriage returns are converted into \n and \r
6547       respectively */
6548
6549       case EOP_QUOTE:
6550       case EOP_QUOTE_LOCAL_PART:
6551       if (arg == NULL)
6552         {
6553         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6554         uschar *t = sub - 1;
6555
6556         if (c == EOP_QUOTE)
6557           {
6558           while (!needs_quote && *(++t) != 0)
6559             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6560           }
6561         else  /* EOP_QUOTE_LOCAL_PART */
6562           {
6563           while (!needs_quote && *(++t) != 0)
6564             needs_quote = !isalnum(*t) &&
6565               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6566               (*t != '.' || t == sub || t[1] == 0);
6567           }
6568
6569         if (needs_quote)
6570           {
6571           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6572           t = sub - 1;
6573           while (*(++t) != 0)
6574             {
6575             if (*t == '\n')
6576               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6577             else if (*t == '\r')
6578               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6579             else
6580               {
6581               if (*t == '\\' || *t == '"')
6582                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6583               yield = string_cat(yield, &size, &ptr, t, 1);
6584               }
6585             }
6586           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6587           }
6588         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6589         continue;
6590         }
6591
6592       /* quote_lookuptype does lookup-specific quoting */
6593
6594       else
6595         {
6596         int n;
6597         uschar *opt = Ustrchr(arg, '_');
6598
6599         if (opt != NULL) *opt++ = 0;
6600
6601         n = search_findtype(arg, Ustrlen(arg));
6602         if (n < 0)
6603           {
6604           expand_string_message = search_error_message;
6605           goto EXPAND_FAILED;
6606           }
6607
6608         if (lookup_list[n]->quote != NULL)
6609           sub = (lookup_list[n]->quote)(sub, opt);
6610         else if (opt != NULL) sub = NULL;
6611
6612         if (sub == NULL)
6613           {
6614           expand_string_message = string_sprintf(
6615             "\"%s\" unrecognized after \"${quote_%s\"",
6616             opt, arg);
6617           goto EXPAND_FAILED;
6618           }
6619
6620         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6621         continue;
6622         }
6623
6624       /* rx quote sticks in \ before any non-alphameric character so that
6625       the insertion works in a regular expression. */
6626
6627       case EOP_RXQUOTE:
6628         {
6629         uschar *t = sub - 1;
6630         while (*(++t) != 0)
6631           {
6632           if (!isalnum(*t))
6633             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6634           yield = string_cat(yield, &size, &ptr, t, 1);
6635           }
6636         continue;
6637         }
6638
6639       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6640       prescribed by the RFC, if there are characters that need to be encoded */
6641
6642       case EOP_RFC2047:
6643         {
6644         uschar buffer[2048];
6645         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6646           buffer, sizeof(buffer), FALSE);
6647         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6648         continue;
6649         }
6650
6651       /* RFC 2047 decode */
6652
6653       case EOP_RFC2047D:
6654         {
6655         int len;
6656         uschar *error;
6657         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6658           headers_charset, '?', &len, &error);
6659         if (error != NULL)
6660           {
6661           expand_string_message = error;
6662           goto EXPAND_FAILED;
6663           }
6664         yield = string_cat(yield, &size, &ptr, decoded, len);
6665         continue;
6666         }
6667
6668       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6669       underscores */
6670
6671       case EOP_FROM_UTF8:
6672         {
6673         while (*sub != 0)
6674           {
6675           int c;
6676           uschar buff[4];
6677           GETUTF8INC(c, sub);
6678           if (c > 255) c = '_';
6679           buff[0] = c;
6680           yield = string_cat(yield, &size, &ptr, buff, 1);
6681           }
6682         continue;
6683         }
6684
6685           /* replace illegal UTF-8 sequences by replacement character  */
6686
6687       #define UTF8_REPLACEMENT_CHAR US"?"
6688
6689       case EOP_UTF8CLEAN:
6690         {
6691         int seq_len = 0, index = 0;
6692         int bytes_left = 0;
6693         long codepoint = -1;
6694         uschar seq_buff[4];                     /* accumulate utf-8 here */
6695
6696         while (*sub != 0)
6697           {
6698           int complete = 0;
6699           uschar c = *sub++;
6700
6701           if (bytes_left)
6702             {
6703             if ((c & 0xc0) != 0x80)
6704                     /* wrong continuation byte; invalidate all bytes */
6705               complete = 1; /* error */
6706             else
6707               {
6708               codepoint = (codepoint << 6) | (c & 0x3f);
6709               seq_buff[index++] = c;
6710               if (--bytes_left == 0)            /* codepoint complete */
6711                 if(codepoint > 0x10FFFF)        /* is it too large? */
6712                   complete = -1;        /* error (RFC3629 limit) */
6713                 else
6714                   {             /* finished; output utf-8 sequence */
6715                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6716                   index = 0;
6717                   }
6718               }
6719             }
6720           else  /* no bytes left: new sequence */
6721             {
6722             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6723               {
6724               yield = string_cat(yield, &size, &ptr, &c, 1);
6725               continue;
6726               }
6727             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6728               {
6729               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6730                 complete = -1;
6731               else
6732                 {
6733                   bytes_left = 1;
6734                   codepoint = c & 0x1f;
6735                 }
6736               }
6737             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6738               {
6739               bytes_left = 2;
6740               codepoint = c & 0x0f;
6741               }
6742             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6743               {
6744               bytes_left = 3;
6745               codepoint = c & 0x07;
6746               }
6747             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6748               complete = -1;
6749
6750             seq_buff[index++] = c;
6751             seq_len = bytes_left + 1;
6752             }           /* if(bytes_left) */
6753
6754           if (complete != 0)
6755             {
6756             bytes_left = index = 0;
6757             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6758             }
6759           if ((complete == 1) && ((c & 0x80) == 0))
6760                         /* ASCII character follows incomplete sequence */
6761               yield = string_cat(yield, &size, &ptr, &c, 1);
6762           }
6763         continue;
6764         }
6765
6766 #ifdef SUPPORT_I18N
6767       case EOP_UTF8_DOMAIN_TO_ALABEL:
6768         {
6769         uschar * error = NULL;
6770         uschar * s = string_domain_utf8_to_alabel(sub, &error);
6771         if (error)
6772           {
6773           expand_string_message = string_sprintf(
6774             "error converting utf8 (%s) to alabel: %s",
6775             string_printing(sub), error);
6776           goto EXPAND_FAILED;
6777           }
6778         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6779         continue;
6780         }
6781
6782       case EOP_UTF8_DOMAIN_FROM_ALABEL:
6783         {
6784         uschar * error = NULL;
6785         uschar * s = string_domain_alabel_to_utf8(sub, &error);
6786         if (error)
6787           {
6788           expand_string_message = string_sprintf(
6789             "error converting alabel (%s) to utf8: %s",
6790             string_printing(sub), error);
6791           goto EXPAND_FAILED;
6792           }
6793         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6794         continue;
6795         }
6796
6797       case EOP_UTF8_LOCALPART_TO_ALABEL:
6798         {
6799         uschar * error = NULL;
6800         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
6801         if (error)
6802           {
6803           expand_string_message = string_sprintf(
6804             "error converting utf8 (%s) to alabel: %s",
6805             string_printing(sub), error);
6806           goto EXPAND_FAILED;
6807           }
6808         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6809         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
6810         continue;
6811         }
6812
6813       case EOP_UTF8_LOCALPART_FROM_ALABEL:
6814         {
6815         uschar * error = NULL;
6816         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
6817         if (error)
6818           {
6819           expand_string_message = string_sprintf(
6820             "error converting alabel (%s) to utf8: %s",
6821             string_printing(sub), error);
6822           goto EXPAND_FAILED;
6823           }
6824         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6825         continue;
6826         }
6827 #endif  /* EXPERIMENTAL_INTERNATIONAL */
6828
6829       /* escape turns all non-printing characters into escape sequences. */
6830
6831       case EOP_ESCAPE:
6832         {
6833         const uschar *t = string_printing(sub);
6834         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6835         continue;
6836         }
6837
6838       /* Handle numeric expression evaluation */
6839
6840       case EOP_EVAL:
6841       case EOP_EVAL10:
6842         {
6843         uschar *save_sub = sub;
6844         uschar *error = NULL;
6845         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6846         if (error != NULL)
6847           {
6848           expand_string_message = string_sprintf("error in expression "
6849             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6850               save_sub);
6851           goto EXPAND_FAILED;
6852           }
6853         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6854         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6855         continue;
6856         }
6857
6858       /* Handle time period formating */
6859
6860       case EOP_TIME_EVAL:
6861         {
6862         int n = readconf_readtime(sub, 0, FALSE);
6863         if (n < 0)
6864           {
6865           expand_string_message = string_sprintf("string \"%s\" is not an "
6866             "Exim time interval in \"%s\" operator", sub, name);
6867           goto EXPAND_FAILED;
6868           }
6869         sprintf(CS var_buffer, "%d", n);
6870         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6871         continue;
6872         }
6873
6874       case EOP_TIME_INTERVAL:
6875         {
6876         int n;
6877         uschar *t = read_number(&n, sub);
6878         if (*t != 0) /* Not A Number*/
6879           {
6880           expand_string_message = string_sprintf("string \"%s\" is not a "
6881             "positive number in \"%s\" operator", sub, name);
6882           goto EXPAND_FAILED;
6883           }
6884         t = readconf_printtime(n);
6885         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6886         continue;
6887         }
6888
6889       /* Convert string to base64 encoding */
6890
6891       case EOP_STR2B64:
6892       case EOP_BASE64:
6893         {
6894 #ifdef SUPPORT_TLS
6895         uschar * s = vp && *(void **)vp->value
6896           ? tls_cert_der_b64(*(void **)vp->value)
6897           : b64encode(sub, Ustrlen(sub));
6898 #else
6899         uschar * s = b64encode(sub, Ustrlen(sub));
6900 #endif
6901         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6902         continue;
6903         }
6904
6905       case EOP_BASE64D:
6906         {
6907         uschar * s;
6908         int len = b64decode(sub, &s);
6909         if (len < 0)
6910           {
6911           expand_string_message = string_sprintf("string \"%s\" is not "
6912             "well-formed for \"%s\" operator", sub, name);
6913           goto EXPAND_FAILED;
6914           }
6915         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6916         continue;
6917         }
6918
6919       /* strlen returns the length of the string */
6920
6921       case EOP_STRLEN:
6922         {
6923         uschar buff[24];
6924         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6925         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6926         continue;
6927         }
6928
6929       /* length_n or l_n takes just the first n characters or the whole string,
6930       whichever is the shorter;
6931
6932       substr_m_n, and s_m_n take n characters from offset m; negative m take
6933       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6934       takes the rest, either to the right or to the left.
6935
6936       hash_n or h_n makes a hash of length n from the string, yielding n
6937       characters from the set a-z; hash_n_m makes a hash of length n, but
6938       uses m characters from the set a-zA-Z0-9.
6939
6940       nhash_n returns a single number between 0 and n-1 (in text form), while
6941       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6942       between 0 and n-1 and the second between 0 and m-1. */
6943
6944       case EOP_LENGTH:
6945       case EOP_L:
6946       case EOP_SUBSTR:
6947       case EOP_S:
6948       case EOP_HASH:
6949       case EOP_H:
6950       case EOP_NHASH:
6951       case EOP_NH:
6952         {
6953         int sign = 1;
6954         int value1 = 0;
6955         int value2 = -1;
6956         int *pn;
6957         int len;
6958         uschar *ret;
6959
6960         if (arg == NULL)
6961           {
6962           expand_string_message = string_sprintf("missing values after %s",
6963             name);
6964           goto EXPAND_FAILED;
6965           }
6966
6967         /* "length" has only one argument, effectively being synonymous with
6968         substr_0_n. */
6969
6970         if (c == EOP_LENGTH || c == EOP_L)
6971           {
6972           pn = &value2;
6973           value2 = 0;
6974           }
6975
6976         /* The others have one or two arguments; for "substr" the first may be
6977         negative. The second being negative means "not supplied". */
6978
6979         else
6980           {
6981           pn = &value1;
6982           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
6983           }
6984
6985         /* Read up to two numbers, separated by underscores */
6986
6987         ret = arg;
6988         while (*arg != 0)
6989           {
6990           if (arg != ret && *arg == '_' && pn == &value1)
6991             {
6992             pn = &value2;
6993             value2 = 0;
6994             if (arg[1] != 0) arg++;
6995             }
6996           else if (!isdigit(*arg))
6997             {
6998             expand_string_message =
6999               string_sprintf("non-digit after underscore in \"%s\"", name);
7000             goto EXPAND_FAILED;
7001             }
7002           else *pn = (*pn)*10 + *arg++ - '0';
7003           }
7004         value1 *= sign;
7005
7006         /* Perform the required operation */
7007
7008         ret =
7009           (c == EOP_HASH || c == EOP_H)?
7010              compute_hash(sub, value1, value2, &len) :
7011           (c == EOP_NHASH || c == EOP_NH)?
7012              compute_nhash(sub, value1, value2, &len) :
7013              extract_substr(sub, value1, value2, &len);
7014
7015         if (ret == NULL) goto EXPAND_FAILED;
7016         yield = string_cat(yield, &size, &ptr, ret, len);
7017         continue;
7018         }
7019
7020       /* Stat a path */
7021
7022       case EOP_STAT:
7023         {
7024         uschar *s;
7025         uschar smode[12];
7026         uschar **modetable[3];
7027         int i;
7028         mode_t mode;
7029         struct stat st;
7030
7031         if ((expand_forbid & RDO_EXISTS) != 0)
7032           {
7033           expand_string_message = US"Use of the stat() expansion is not permitted";
7034           goto EXPAND_FAILED;
7035           }
7036
7037         if (stat(CS sub, &st) < 0)
7038           {
7039           expand_string_message = string_sprintf("stat(%s) failed: %s",
7040             sub, strerror(errno));
7041           goto EXPAND_FAILED;
7042           }
7043         mode = st.st_mode;
7044         switch (mode & S_IFMT)
7045           {
7046           case S_IFIFO: smode[0] = 'p'; break;
7047           case S_IFCHR: smode[0] = 'c'; break;
7048           case S_IFDIR: smode[0] = 'd'; break;
7049           case S_IFBLK: smode[0] = 'b'; break;
7050           case S_IFREG: smode[0] = '-'; break;
7051           default: smode[0] = '?'; break;
7052           }
7053
7054         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7055         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7056         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7057
7058         for (i = 0; i < 3; i++)
7059           {
7060           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7061           mode >>= 3;
7062           }
7063
7064         smode[10] = 0;
7065         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7066           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7067           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7068           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7069           (long)st.st_gid, st.st_size, (long)st.st_atime,
7070           (long)st.st_mtime, (long)st.st_ctime);
7071         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7072         continue;
7073         }
7074
7075       /* vaguely random number less than N */
7076
7077       case EOP_RANDINT:
7078         {
7079         int_eximarith_t max;
7080         uschar *s;
7081
7082         max = expanded_string_integer(sub, TRUE);
7083         if (expand_string_message != NULL)
7084           goto EXPAND_FAILED;
7085         s = string_sprintf("%d", vaguely_random_number((int)max));
7086         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7087         continue;
7088         }
7089
7090       /* Reverse IP, including IPv6 to dotted-nibble */
7091
7092       case EOP_REVERSE_IP:
7093         {
7094         int family, maskptr;
7095         uschar reversed[128];
7096
7097         family = string_is_ip_address(sub, &maskptr);
7098         if (family == 0)
7099           {
7100           expand_string_message = string_sprintf(
7101               "reverse_ip() not given an IP address [%s]", sub);
7102           goto EXPAND_FAILED;
7103           }
7104         invert_address(reversed, sub);
7105         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
7106         continue;
7107         }
7108
7109       /* Unknown operator */
7110
7111       default:
7112       expand_string_message =
7113         string_sprintf("unknown expansion operator \"%s\"", name);
7114       goto EXPAND_FAILED;
7115       }
7116     }
7117
7118   /* Handle a plain name. If this is the first thing in the expansion, release
7119   the pre-allocated buffer. If the result data is known to be in a new buffer,
7120   newsize will be set to the size of that buffer, and we can just point at that
7121   store instead of copying. Many expansion strings contain just one reference,
7122   so this is a useful optimization, especially for humungous headers
7123   ($message_headers). */
7124                                                 /*{*/
7125   if (*s++ == '}')
7126     {
7127     int len;
7128     int newsize = 0;
7129     if (ptr == 0)
7130       {
7131       if (resetok) store_reset(yield);
7132       yield = NULL;
7133       size = 0;
7134       }
7135     value = find_variable(name, FALSE, skipping, &newsize);
7136     if (value == NULL)
7137       {
7138       expand_string_message =
7139         string_sprintf("unknown variable in \"${%s}\"", name);
7140       check_variable_error_message(name);
7141       goto EXPAND_FAILED;
7142       }
7143     len = Ustrlen(value);
7144     if (yield == NULL && newsize != 0)
7145       {
7146       yield = value;
7147       size = newsize;
7148       ptr = len;
7149       }
7150     else yield = string_cat(yield, &size, &ptr, value, len);
7151     continue;
7152     }
7153
7154   /* Else there's something wrong */
7155
7156   expand_string_message =
7157     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7158     "in a variable reference)", name);
7159   goto EXPAND_FAILED;
7160   }
7161
7162 /* If we hit the end of the string when ket_ends is set, there is a missing
7163 terminating brace. */
7164
7165 if (ket_ends && *s == 0)
7166   {
7167   expand_string_message = malformed_header?
7168     US"missing } at end of string - could be header name not terminated by colon"
7169     :
7170     US"missing } at end of string";
7171   goto EXPAND_FAILED;
7172   }
7173
7174 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7175 added to the string. If so, set up an empty string. Add a terminating zero. If
7176 left != NULL, return a pointer to the terminator. */
7177
7178 if (yield == NULL) yield = store_get(1);
7179 yield[ptr] = 0;
7180 if (left != NULL) *left = s;
7181
7182 /* Any stacking store that was used above the final string is no longer needed.
7183 In many cases the final string will be the first one that was got and so there
7184 will be optimal store usage. */
7185
7186 if (resetok) store_reset(yield + ptr + 1);
7187 else if (resetok_p) *resetok_p = FALSE;
7188
7189 DEBUG(D_expand)
7190   {
7191   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
7192     yield);
7193   if (skipping) debug_printf("skipping: result is not used\n");
7194   }
7195 return yield;
7196
7197 /* This is the failure exit: easiest to program with a goto. We still need
7198 to update the pointer to the terminator, for cases of nested calls with "fail".
7199 */
7200
7201 EXPAND_FAILED_CURLY:
7202 expand_string_message = malformed_header?
7203   US"missing or misplaced { or } - could be header name not terminated by colon"
7204   :
7205   US"missing or misplaced { or }";
7206
7207 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7208 that is a bad idea, because expand_string_message is in dynamic store. */
7209
7210 EXPAND_FAILED:
7211 if (left != NULL) *left = s;
7212 DEBUG(D_expand)
7213   {
7214   debug_printf("failed to expand: %s\n", string);
7215   debug_printf("   error message: %s\n", expand_string_message);
7216   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7217   }
7218 if (resetok_p) *resetok_p = resetok;
7219 return NULL;
7220 }
7221
7222
7223 /* This is the external function call. Do a quick check for any expansion
7224 metacharacters, and if there are none, just return the input string.
7225
7226 Argument: the string to be expanded
7227 Returns:  the expanded string, or NULL if expansion failed; if failure was
7228           due to a lookup deferring, search_find_defer will be TRUE
7229 */
7230
7231 uschar *
7232 expand_string(uschar *string)
7233 {
7234 search_find_defer = FALSE;
7235 malformed_header = FALSE;
7236 return (Ustrpbrk(string, "$\\") == NULL)? string :
7237   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7238 }
7239
7240
7241
7242 const uschar *
7243 expand_cstring(const uschar *string)
7244 {
7245 search_find_defer = FALSE;
7246 malformed_header = FALSE;
7247 return (Ustrpbrk(string, "$\\") == NULL)? string :
7248   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7249 }
7250
7251
7252
7253 /*************************************************
7254 *              Expand and copy                   *
7255 *************************************************/
7256
7257 /* Now and again we want to expand a string and be sure that the result is in a
7258 new bit of store. This function does that.
7259 Since we know it has been copied, the de-const cast is safe.
7260
7261 Argument: the string to be expanded
7262 Returns:  the expanded string, always in a new bit of store, or NULL
7263 */
7264
7265 uschar *
7266 expand_string_copy(const uschar *string)
7267 {
7268 const uschar *yield = expand_cstring(string);
7269 if (yield == string) yield = string_copy(string);
7270 return US yield;
7271 }
7272
7273
7274
7275 /*************************************************
7276 *        Expand and interpret as an integer      *
7277 *************************************************/
7278
7279 /* Expand a string, and convert the result into an integer.
7280
7281 Arguments:
7282   string  the string to be expanded
7283   isplus  TRUE if a non-negative number is expected
7284
7285 Returns:  the integer value, or
7286           -1 for an expansion error               ) in both cases, message in
7287           -2 for an integer interpretation error  ) expand_string_message
7288           expand_string_message is set NULL for an OK integer
7289 */
7290
7291 int_eximarith_t
7292 expand_string_integer(uschar *string, BOOL isplus)
7293 {
7294 return expanded_string_integer(expand_string(string), isplus);
7295 }
7296
7297
7298 /*************************************************
7299  *         Interpret string as an integer        *
7300  *************************************************/
7301
7302 /* Convert a string (that has already been expanded) into an integer.
7303
7304 This function is used inside the expansion code.
7305
7306 Arguments:
7307   s       the string to be expanded
7308   isplus  TRUE if a non-negative number is expected
7309
7310 Returns:  the integer value, or
7311           -1 if string is NULL (which implies an expansion error)
7312           -2 for an integer interpretation error
7313           expand_string_message is set NULL for an OK integer
7314 */
7315
7316 static int_eximarith_t
7317 expanded_string_integer(const uschar *s, BOOL isplus)
7318 {
7319 int_eximarith_t value;
7320 uschar *msg = US"invalid integer \"%s\"";
7321 uschar *endptr;
7322
7323 /* If expansion failed, expand_string_message will be set. */
7324
7325 if (s == NULL) return -1;
7326
7327 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7328 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7329 systems, so we set it zero ourselves. */
7330
7331 errno = 0;
7332 expand_string_message = NULL;               /* Indicates no error */
7333
7334 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7335 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7336 the behaviour explicitly.  Stripping leading whitespace is a harmless
7337 noop change since strtol skips it anyway (provided that there is a number
7338 to find at all). */
7339 if (isspace(*s))
7340   {
7341   while (isspace(*s)) ++s;
7342   if (*s == '\0')
7343     {
7344       DEBUG(D_expand)
7345        debug_printf("treating blank string as number 0\n");
7346       return 0;
7347     }
7348   }
7349
7350 value = strtoll(CS s, CSS &endptr, 10);
7351
7352 if (endptr == s)
7353   {
7354   msg = US"integer expected but \"%s\" found";
7355   }
7356 else if (value < 0 && isplus)
7357   {
7358   msg = US"non-negative integer expected but \"%s\" found";
7359   }
7360 else
7361   {
7362   switch (tolower(*endptr))
7363     {
7364     default:
7365       break;
7366     case 'k':
7367       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7368       else value *= 1024;
7369       endptr++;
7370       break;
7371     case 'm':
7372       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7373       else value *= 1024*1024;
7374       endptr++;
7375       break;
7376     case 'g':
7377       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7378       else value *= 1024*1024*1024;
7379       endptr++;
7380       break;
7381     }
7382   if (errno == ERANGE)
7383     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7384   else
7385     {
7386     while (isspace(*endptr)) endptr++;
7387     if (*endptr == 0) return value;
7388     }
7389   }
7390
7391 expand_string_message = string_sprintf(CS msg, s);
7392 return -2;
7393 }
7394
7395
7396 /* These values are usually fixed boolean values, but they are permitted to be
7397 expanded strings.
7398
7399 Arguments:
7400   addr       address being routed
7401   mtype      the module type
7402   mname      the module name
7403   dbg_opt    debug selectors
7404   oname      the option name
7405   bvalue     the router's boolean value
7406   svalue     the router's string value
7407   rvalue     where to put the returned value
7408
7409 Returns:     OK     value placed in rvalue
7410              DEFER  expansion failed
7411 */
7412
7413 int
7414 exp_bool(address_item *addr,
7415   uschar *mtype, uschar *mname, unsigned dbg_opt,
7416   uschar *oname, BOOL bvalue,
7417   uschar *svalue, BOOL *rvalue)
7418 {
7419 uschar *expanded;
7420 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7421
7422 expanded = expand_string(svalue);
7423 if (expanded == NULL)
7424   {
7425   if (expand_string_forcedfail)
7426     {
7427     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7428     *rvalue = bvalue;
7429     return OK;
7430     }
7431   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7432       oname, mname, mtype, expand_string_message);
7433   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7434   return DEFER;
7435   }
7436
7437 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7438   expanded);
7439
7440 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7441   *rvalue = TRUE;
7442 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7443   *rvalue = FALSE;
7444 else
7445   {
7446   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7447     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7448   return DEFER;
7449   }
7450
7451 return OK;
7452 }
7453
7454
7455
7456
7457 /*************************************************
7458 **************************************************
7459 *             Stand-alone test program           *
7460 **************************************************
7461 *************************************************/
7462
7463 #ifdef STAND_ALONE
7464
7465
7466 BOOL
7467 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7468 {
7469 int ovector[3*(EXPAND_MAXN+1)];
7470 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7471   ovector, nelem(ovector));
7472 BOOL yield = n >= 0;
7473 if (n == 0) n = EXPAND_MAXN + 1;
7474 if (yield)
7475   {
7476   int nn;
7477   expand_nmax = (setup < 0)? 0 : setup + 1;
7478   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7479     {
7480     expand_nstring[expand_nmax] = subject + ovector[nn];
7481     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7482     }
7483   expand_nmax--;
7484   }
7485 return yield;
7486 }
7487
7488
7489 int main(int argc, uschar **argv)
7490 {
7491 int i;
7492 uschar buffer[1024];
7493
7494 debug_selector = D_v;
7495 debug_file = stderr;
7496 debug_fd = fileno(debug_file);
7497 big_buffer = malloc(big_buffer_size);
7498
7499 for (i = 1; i < argc; i++)
7500   {
7501   if (argv[i][0] == '+')
7502     {
7503     debug_trace_memory = 2;
7504     argv[i]++;
7505     }
7506   if (isdigit(argv[i][0]))
7507     debug_selector = Ustrtol(argv[i], NULL, 0);
7508   else
7509     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7510         Ustrlen(argv[i]))
7511       {
7512 #ifdef LOOKUP_LDAP
7513       eldap_default_servers = argv[i];
7514 #endif
7515 #ifdef LOOKUP_MYSQL
7516       mysql_servers = argv[i];
7517 #endif
7518 #ifdef LOOKUP_PGSQL
7519       pgsql_servers = argv[i];
7520 #endif
7521 #ifdef LOOKUP_REDIS
7522       redis_servers = argv[i];
7523 #endif
7524       }
7525 #ifdef EXIM_PERL
7526   else opt_perl_startup = argv[i];
7527 #endif
7528   }
7529
7530 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7531
7532 expand_nstring[1] = US"string 1....";
7533 expand_nlength[1] = 8;
7534 expand_nmax = 1;
7535
7536 #ifdef EXIM_PERL
7537 if (opt_perl_startup != NULL)
7538   {
7539   uschar *errstr;
7540   printf("Starting Perl interpreter\n");
7541   errstr = init_perl(opt_perl_startup);
7542   if (errstr != NULL)
7543     {
7544     printf("** error in perl_startup code: %s\n", errstr);
7545     return EXIT_FAILURE;
7546     }
7547   }
7548 #endif /* EXIM_PERL */
7549
7550 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7551   {
7552   void *reset_point = store_get(0);
7553   uschar *yield = expand_string(buffer);
7554   if (yield != NULL)
7555     {
7556     printf("%s\n", yield);
7557     store_reset(reset_point);
7558     }
7559   else
7560     {
7561     if (search_find_defer) printf("search_find deferred\n");
7562     printf("Failed: %s\n", expand_string_message);
7563     if (expand_string_forcedfail) printf("Forced failure\n");
7564     printf("\n");
7565     }
7566   }
7567
7568 search_tidyup();
7569
7570 return 0;
7571 }
7572
7573 #endif
7574
7575 /* vi: aw ai sw=2
7576 */
7577 /* End of expand.c */