9d73803a52052018f7ed7b909b797aa5bb9e1616
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2014 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(uschar *, BOOL, uschar **, BOOL, BOOL, BOOL *);
17
18 #ifdef STAND_ALONE
19 #ifndef SUPPORT_CRYPTEQ
20 #define SUPPORT_CRYPTEQ
21 #endif
22 #endif
23
24 #ifdef LOOKUP_LDAP
25 #include "lookups/ldap.h"
26 #endif
27
28 #ifdef SUPPORT_CRYPTEQ
29 #ifdef CRYPT_H
30 #include <crypt.h>
31 #endif
32 #ifndef HAVE_CRYPT16
33 extern char* crypt16(char*, char*);
34 #endif
35 #endif
36
37 /* The handling of crypt16() is a mess. I will record below the analysis of the
38 mess that was sent to me. We decided, however, to make changing this very low
39 priority, because in practice people are moving away from the crypt()
40 algorithms nowadays, so it doesn't seem worth it.
41
42 <quote>
43 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
44 the first 8 characters of the password using a 20-round version of crypt
45 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
46 or an empty block if the password is less than 9 characters, using a
47 20-round version of crypt and the same salt as was used for the first
48 block.  Charaters after the first 16 are ignored.  It always generates
49 a 16-byte hash, which is expressed together with the salt as a string
50 of 24 base 64 digits.  Here are some links to peruse:
51
52         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
53         http://seclists.org/bugtraq/1999/Mar/0076.html
54
55 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
56 and OSF/1.  This is the same as the standard crypt if given a password
57 of 8 characters or less.  If given more, it first does the same as crypt
58 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
59 using as salt the first two base 64 digits from the first hash block.
60 If the password is more than 16 characters then it crypts the 17th to 24th
61 characters using as salt the first two base 64 digits from the second hash
62 block.  And so on: I've seen references to it cutting off the password at
63 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
64
65         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
66         http://seclists.org/bugtraq/1999/Mar/0109.html
67         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
68              TET1_html/sec.c222.html#no_id_208
69
70 Exim has something it calls "crypt16".  It will either use a native
71 crypt16 or its own implementation.  A native crypt16 will presumably
72 be the one that I called "crypt16" above.  The internal "crypt16"
73 function, however, is a two-block-maximum implementation of what I called
74 "bigcrypt".  The documentation matches the internal code.
75
76 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
77 that crypt16 and bigcrypt were different things.
78
79 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
80 to whatever it is using under that name.  This unfortunately sets a
81 precedent for using "{crypt16}" to identify two incompatible algorithms
82 whose output can't be distinguished.  With "{crypt16}" thus rendered
83 ambiguous, I suggest you deprecate it and invent two new identifiers
84 for the two algorithms.
85
86 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
87 of the password separately means they can be cracked separately, so
88 the double-length hash only doubles the cracking effort instead of
89 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
90 bcrypt ({CRYPT}$2a$).
91 </quote>
92 */
93
94
95
96 #ifndef nelements
97 # define nelements(arr) (sizeof(arr) / sizeof(*arr))
98 #endif
99
100 /*************************************************
101 *            Local statics and tables            *
102 *************************************************/
103
104 /* Table of item names, and corresponding switch numbers. The names must be in
105 alphabetical order. */
106
107 static uschar *item_table[] = {
108   US"acl",
109   US"certextract",
110   US"dlfunc",
111   US"extract",
112   US"filter",
113   US"hash",
114   US"hmac",
115   US"if",
116   US"length",
117   US"listextract",
118   US"lookup",
119   US"map",
120   US"nhash",
121   US"perl",
122   US"prvs",
123   US"prvscheck",
124   US"readfile",
125   US"readsocket",
126   US"reduce",
127   US"run",
128   US"sg",
129   US"substr",
130   US"tr" };
131
132 enum {
133   EITEM_ACL,
134   EITEM_CERTEXTRACT,
135   EITEM_DLFUNC,
136   EITEM_EXTRACT,
137   EITEM_FILTER,
138   EITEM_HASH,
139   EITEM_HMAC,
140   EITEM_IF,
141   EITEM_LENGTH,
142   EITEM_LISTEXTRACT,
143   EITEM_LOOKUP,
144   EITEM_MAP,
145   EITEM_NHASH,
146   EITEM_PERL,
147   EITEM_PRVS,
148   EITEM_PRVSCHECK,
149   EITEM_READFILE,
150   EITEM_READSOCK,
151   EITEM_REDUCE,
152   EITEM_RUN,
153   EITEM_SG,
154   EITEM_SUBSTR,
155   EITEM_TR };
156
157 /* Tables of operator names, and corresponding switch numbers. The names must be
158 in alphabetical order. There are two tables, because underscore is used in some
159 cases to introduce arguments, whereas for other it is part of the name. This is
160 an historical mis-design. */
161
162 static uschar *op_table_underscore[] = {
163   US"from_utf8",
164   US"local_part",
165   US"quote_local_part",
166   US"reverse_ip",
167   US"time_eval",
168   US"time_interval"};
169
170 enum {
171   EOP_FROM_UTF8,
172   EOP_LOCAL_PART,
173   EOP_QUOTE_LOCAL_PART,
174   EOP_REVERSE_IP,
175   EOP_TIME_EVAL,
176   EOP_TIME_INTERVAL };
177
178 static uschar *op_table_main[] = {
179   US"address",
180   US"addresses",
181   US"base62",
182   US"base62d",
183   US"domain",
184   US"escape",
185   US"eval",
186   US"eval10",
187   US"expand",
188   US"h",
189   US"hash",
190   US"hex2b64",
191   US"hexquote",
192   US"l",
193   US"lc",
194   US"length",
195   US"listcount",
196   US"listnamed",
197   US"mask",
198   US"md5",
199   US"nh",
200   US"nhash",
201   US"quote",
202   US"randint",
203   US"rfc2047",
204   US"rfc2047d",
205   US"rxquote",
206   US"s",
207   US"sha1",
208   US"sha256",
209   US"stat",
210   US"str2b64",
211   US"strlen",
212   US"substr",
213   US"uc",
214   US"utf8clean" };
215
216 enum {
217   EOP_ADDRESS =  sizeof(op_table_underscore)/sizeof(uschar *),
218   EOP_ADDRESSES,
219   EOP_BASE62,
220   EOP_BASE62D,
221   EOP_DOMAIN,
222   EOP_ESCAPE,
223   EOP_EVAL,
224   EOP_EVAL10,
225   EOP_EXPAND,
226   EOP_H,
227   EOP_HASH,
228   EOP_HEX2B64,
229   EOP_HEXQUOTE,
230   EOP_L,
231   EOP_LC,
232   EOP_LENGTH,
233   EOP_LISTCOUNT,
234   EOP_LISTNAMED,
235   EOP_MASK,
236   EOP_MD5,
237   EOP_NH,
238   EOP_NHASH,
239   EOP_QUOTE,
240   EOP_RANDINT,
241   EOP_RFC2047,
242   EOP_RFC2047D,
243   EOP_RXQUOTE,
244   EOP_S,
245   EOP_SHA1,
246   EOP_SHA256,
247   EOP_STAT,
248   EOP_STR2B64,
249   EOP_STRLEN,
250   EOP_SUBSTR,
251   EOP_UC,
252   EOP_UTF8CLEAN };
253
254
255 /* Table of condition names, and corresponding switch numbers. The names must
256 be in alphabetical order. */
257
258 static uschar *cond_table[] = {
259   US"<",
260   US"<=",
261   US"=",
262   US"==",     /* Backward compatibility */
263   US">",
264   US">=",
265   US"acl",
266   US"and",
267   US"bool",
268   US"bool_lax",
269   US"crypteq",
270   US"def",
271   US"eq",
272   US"eqi",
273   US"exists",
274   US"first_delivery",
275   US"forall",
276   US"forany",
277   US"ge",
278   US"gei",
279   US"gt",
280   US"gti",
281   US"inlist",
282   US"inlisti",
283   US"isip",
284   US"isip4",
285   US"isip6",
286   US"ldapauth",
287   US"le",
288   US"lei",
289   US"lt",
290   US"lti",
291   US"match",
292   US"match_address",
293   US"match_domain",
294   US"match_ip",
295   US"match_local_part",
296   US"or",
297   US"pam",
298   US"pwcheck",
299   US"queue_running",
300   US"radius",
301   US"saslauthd"
302 };
303
304 enum {
305   ECOND_NUM_L,
306   ECOND_NUM_LE,
307   ECOND_NUM_E,
308   ECOND_NUM_EE,
309   ECOND_NUM_G,
310   ECOND_NUM_GE,
311   ECOND_ACL,
312   ECOND_AND,
313   ECOND_BOOL,
314   ECOND_BOOL_LAX,
315   ECOND_CRYPTEQ,
316   ECOND_DEF,
317   ECOND_STR_EQ,
318   ECOND_STR_EQI,
319   ECOND_EXISTS,
320   ECOND_FIRST_DELIVERY,
321   ECOND_FORALL,
322   ECOND_FORANY,
323   ECOND_STR_GE,
324   ECOND_STR_GEI,
325   ECOND_STR_GT,
326   ECOND_STR_GTI,
327   ECOND_INLIST,
328   ECOND_INLISTI,
329   ECOND_ISIP,
330   ECOND_ISIP4,
331   ECOND_ISIP6,
332   ECOND_LDAPAUTH,
333   ECOND_STR_LE,
334   ECOND_STR_LEI,
335   ECOND_STR_LT,
336   ECOND_STR_LTI,
337   ECOND_MATCH,
338   ECOND_MATCH_ADDRESS,
339   ECOND_MATCH_DOMAIN,
340   ECOND_MATCH_IP,
341   ECOND_MATCH_LOCAL_PART,
342   ECOND_OR,
343   ECOND_PAM,
344   ECOND_PWCHECK,
345   ECOND_QUEUE_RUNNING,
346   ECOND_RADIUS,
347   ECOND_SASLAUTHD
348 };
349
350
351 /* Types of table entry */
352
353 enum vtypes {
354   vtype_int,            /* value is address of int */
355   vtype_filter_int,     /* ditto, but recognized only when filtering */
356   vtype_ino,            /* value is address of ino_t (not always an int) */
357   vtype_uid,            /* value is address of uid_t (not always an int) */
358   vtype_gid,            /* value is address of gid_t (not always an int) */
359   vtype_bool,           /* value is address of bool */
360   vtype_stringptr,      /* value is address of pointer to string */
361   vtype_msgbody,        /* as stringptr, but read when first required */
362   vtype_msgbody_end,    /* ditto, the end of the message */
363   vtype_msgheaders,     /* the message's headers, processed */
364   vtype_msgheaders_raw, /* the message's headers, unprocessed */
365   vtype_localpart,      /* extract local part from string */
366   vtype_domain,         /* extract domain from string */
367   vtype_string_func,    /* value is string returned by given function */
368   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
369   vtype_tode,           /* value not used; generate tod in epoch format */
370   vtype_todel,          /* value not used; generate tod in epoch/usec format */
371   vtype_todf,           /* value not used; generate full tod */
372   vtype_todl,           /* value not used; generate log tod */
373   vtype_todlf,          /* value not used; generate log file datestamp tod */
374   vtype_todzone,        /* value not used; generate time zone only */
375   vtype_todzulu,        /* value not used; generate zulu tod */
376   vtype_reply,          /* value not used; get reply from headers */
377   vtype_pid,            /* value not used; result is pid */
378   vtype_host_lookup,    /* value not used; get host name */
379   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
380   vtype_pspace,         /* partition space; value is T/F for spool/log */
381   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
382   vtype_cert            /* SSL certificate */
383   #ifndef DISABLE_DKIM
384   ,vtype_dkim           /* Lookup of value in DKIM signature */
385   #endif
386 };
387
388 /* Type for main variable table */
389
390 typedef struct {
391   const char *name;
392   enum vtypes type;
393   void       *value;
394 } var_entry;
395
396 /* Type for entries pointing to address/length pairs. Not currently
397 in use. */
398
399 typedef struct {
400   uschar **address;
401   int  *length;
402 } alblock;
403
404 static uschar * fn_recipients(void);
405
406 /* This table must be kept in alphabetical order. */
407
408 static var_entry var_table[] = {
409   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
410      they will be confused with user-creatable ACL variables. */
411   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
412   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
413   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
414   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
415   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
416   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
417   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
418   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
419   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
420   { "acl_narg",            vtype_int,         &acl_narg },
421   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
422   { "address_data",        vtype_stringptr,   &deliver_address_data },
423   { "address_file",        vtype_stringptr,   &address_file },
424   { "address_pipe",        vtype_stringptr,   &address_pipe },
425   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
426   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
427   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
428   { "authentication_failed",vtype_int,        &authentication_failed },
429 #ifdef WITH_CONTENT_SCAN
430   { "av_failed",           vtype_int,         &av_failed },
431 #endif
432 #ifdef EXPERIMENTAL_BRIGHTMAIL
433   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
434   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
435   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
436   { "bmi_deliver",         vtype_int,         &bmi_deliver },
437 #endif
438   { "body_linecount",      vtype_int,         &body_linecount },
439   { "body_zerocount",      vtype_int,         &body_zerocount },
440   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
441   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
442   { "caller_gid",          vtype_gid,         &real_gid },
443   { "caller_uid",          vtype_uid,         &real_uid },
444   { "compile_date",        vtype_stringptr,   &version_date },
445   { "compile_number",      vtype_stringptr,   &version_cnumber },
446   { "csa_status",          vtype_stringptr,   &csa_status },
447 #ifdef EXPERIMENTAL_DCC
448   { "dcc_header",          vtype_stringptr,   &dcc_header },
449   { "dcc_result",          vtype_stringptr,   &dcc_result },
450 #endif
451 #ifdef WITH_OLD_DEMIME
452   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
453   { "demime_reason",       vtype_stringptr,   &demime_reason },
454 #endif
455 #ifndef DISABLE_DKIM
456   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
457   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
458   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
459   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
460   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
461   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
462   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
463   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
464   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
465   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
466   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
467   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
468   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
469   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
470   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
471   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
472   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
473   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
474   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
475   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
476 #endif
477 #ifdef EXPERIMENTAL_DMARC
478   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
479   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
480   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
481   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
482   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
483 #endif
484   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
485   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
486   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
487   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
488   { "domain",              vtype_stringptr,   &deliver_domain },
489   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
490   { "exim_gid",            vtype_gid,         &exim_gid },
491   { "exim_path",           vtype_stringptr,   &exim_path },
492   { "exim_uid",            vtype_uid,         &exim_uid },
493 #ifdef WITH_OLD_DEMIME
494   { "found_extension",     vtype_stringptr,   &found_extension },
495 #endif
496   { "headers_added",       vtype_string_func, &fn_hdrs_added },
497   { "home",                vtype_stringptr,   &deliver_home },
498   { "host",                vtype_stringptr,   &deliver_host },
499   { "host_address",        vtype_stringptr,   &deliver_host_address },
500   { "host_data",           vtype_stringptr,   &host_data },
501   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
502   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
503   { "inode",               vtype_ino,         &deliver_inode },
504   { "interface_address",   vtype_stringptr,   &interface_address },
505   { "interface_port",      vtype_int,         &interface_port },
506   { "item",                vtype_stringptr,   &iterate_item },
507   #ifdef LOOKUP_LDAP
508   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
509   #endif
510   { "load_average",        vtype_load_avg,    NULL },
511   { "local_part",          vtype_stringptr,   &deliver_localpart },
512   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
513   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
514   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
515   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
516   { "local_user_gid",      vtype_gid,         &local_user_gid },
517   { "local_user_uid",      vtype_uid,         &local_user_uid },
518   { "localhost_number",    vtype_int,         &host_number },
519   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
520   { "log_space",           vtype_pspace,      (void *)FALSE },
521   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
522   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
523 #ifdef WITH_CONTENT_SCAN
524   { "malware_name",        vtype_stringptr,   &malware_name },
525 #endif
526   { "max_received_linelength", vtype_int,     &max_received_linelength },
527   { "message_age",         vtype_int,         &message_age },
528   { "message_body",        vtype_msgbody,     &message_body },
529   { "message_body_end",    vtype_msgbody_end, &message_body_end },
530   { "message_body_size",   vtype_int,         &message_body_size },
531   { "message_exim_id",     vtype_stringptr,   &message_id },
532   { "message_headers",     vtype_msgheaders,  NULL },
533   { "message_headers_raw", vtype_msgheaders_raw, NULL },
534   { "message_id",          vtype_stringptr,   &message_id },
535   { "message_linecount",   vtype_int,         &message_linecount },
536   { "message_size",        vtype_int,         &message_size },
537 #ifdef WITH_CONTENT_SCAN
538   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
539   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
540   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
541   { "mime_charset",        vtype_stringptr,   &mime_charset },
542   { "mime_content_description", vtype_stringptr, &mime_content_description },
543   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
544   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
545   { "mime_content_size",   vtype_int,         &mime_content_size },
546   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
547   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
548   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
549   { "mime_filename",       vtype_stringptr,   &mime_filename },
550   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
551   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
552   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
553   { "mime_part_count",     vtype_int,         &mime_part_count },
554 #endif
555   { "n0",                  vtype_filter_int,  &filter_n[0] },
556   { "n1",                  vtype_filter_int,  &filter_n[1] },
557   { "n2",                  vtype_filter_int,  &filter_n[2] },
558   { "n3",                  vtype_filter_int,  &filter_n[3] },
559   { "n4",                  vtype_filter_int,  &filter_n[4] },
560   { "n5",                  vtype_filter_int,  &filter_n[5] },
561   { "n6",                  vtype_filter_int,  &filter_n[6] },
562   { "n7",                  vtype_filter_int,  &filter_n[7] },
563   { "n8",                  vtype_filter_int,  &filter_n[8] },
564   { "n9",                  vtype_filter_int,  &filter_n[9] },
565   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
566   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
567   { "originator_gid",      vtype_gid,         &originator_gid },
568   { "originator_uid",      vtype_uid,         &originator_uid },
569   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
570   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
571   { "pid",                 vtype_pid,         NULL },
572   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
573 #ifdef EXPERIMENTAL_PROXY
574   { "proxy_host_address",  vtype_stringptr,   &proxy_host_address },
575   { "proxy_host_port",     vtype_int,         &proxy_host_port },
576   { "proxy_session",       vtype_bool,        &proxy_session },
577   { "proxy_target_address",vtype_stringptr,   &proxy_target_address },
578   { "proxy_target_port",   vtype_int,         &proxy_target_port },
579 #endif
580   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
581   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
582   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
583   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
584   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
585   { "rcpt_count",          vtype_int,         &rcpt_count },
586   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
587   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
588   { "received_count",      vtype_int,         &received_count },
589   { "received_for",        vtype_stringptr,   &received_for },
590   { "received_ip_address", vtype_stringptr,   &interface_address },
591   { "received_port",       vtype_int,         &interface_port },
592   { "received_protocol",   vtype_stringptr,   &received_protocol },
593   { "received_time",       vtype_int,         &received_time },
594   { "recipient_data",      vtype_stringptr,   &recipient_data },
595   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
596   { "recipients",          vtype_string_func, &fn_recipients },
597   { "recipients_count",    vtype_int,         &recipients_count },
598 #ifdef WITH_CONTENT_SCAN
599   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
600 #endif
601   { "reply_address",       vtype_reply,       NULL },
602   { "return_path",         vtype_stringptr,   &return_path },
603   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
604   { "router_name",         vtype_stringptr,   &router_name },
605   { "runrc",               vtype_int,         &runrc },
606   { "self_hostname",       vtype_stringptr,   &self_hostname },
607   { "sender_address",      vtype_stringptr,   &sender_address },
608   { "sender_address_data", vtype_stringptr,   &sender_address_data },
609   { "sender_address_domain", vtype_domain,    &sender_address },
610   { "sender_address_local_part", vtype_localpart, &sender_address },
611   { "sender_data",         vtype_stringptr,   &sender_data },
612   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
613   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
614   { "sender_host_address", vtype_stringptr,   &sender_host_address },
615   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
616   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
617   { "sender_host_name",    vtype_host_lookup, NULL },
618   { "sender_host_port",    vtype_int,         &sender_host_port },
619   { "sender_ident",        vtype_stringptr,   &sender_ident },
620   { "sender_rate",         vtype_stringptr,   &sender_rate },
621   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
622   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
623   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
624   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
625   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
626   { "sending_port",        vtype_int,         &sending_port },
627   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
628   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
629   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
630   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
631   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
632   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
633   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
634   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
635   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
636   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
637   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
638   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
639   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
640   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
641   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
642 #ifdef WITH_CONTENT_SCAN
643   { "spam_bar",            vtype_stringptr,   &spam_bar },
644   { "spam_report",         vtype_stringptr,   &spam_report },
645   { "spam_score",          vtype_stringptr,   &spam_score },
646   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
647 #endif
648 #ifdef EXPERIMENTAL_SPF
649   { "spf_guess",           vtype_stringptr,   &spf_guess },
650   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
651   { "spf_received",        vtype_stringptr,   &spf_received },
652   { "spf_result",          vtype_stringptr,   &spf_result },
653   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
654 #endif
655   { "spool_directory",     vtype_stringptr,   &spool_directory },
656   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
657   { "spool_space",         vtype_pspace,      (void *)TRUE },
658 #ifdef EXPERIMENTAL_SRS
659   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
660   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
661   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
662   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
663   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
664   { "srs_status",          vtype_stringptr,   &srs_status },
665 #endif
666   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
667
668   /* The non-(in,out) variables are now deprecated */
669   { "tls_bits",            vtype_int,         &tls_in.bits },
670   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
671   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
672
673   { "tls_in_bits",         vtype_int,         &tls_in.bits },
674   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
675   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
676   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
677   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
678   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
679   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
680 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
681   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
682 #endif
683   { "tls_out_bits",        vtype_int,         &tls_out.bits },
684   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
685   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
686   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
687   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
688   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
689   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
690 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
691   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
692 #endif
693
694   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
695 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
696   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
697 #endif
698
699   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
700   { "tod_epoch",           vtype_tode,        NULL },
701   { "tod_epoch_l",         vtype_todel,       NULL },
702   { "tod_full",            vtype_todf,        NULL },
703   { "tod_log",             vtype_todl,        NULL },
704   { "tod_logfile",         vtype_todlf,       NULL },
705   { "tod_zone",            vtype_todzone,     NULL },
706   { "tod_zulu",            vtype_todzulu,     NULL },
707 #ifdef EXPERIMENTAL_TPDA
708   { "tpda_defer_errno",     vtype_int,         &tpda_defer_errno },
709   { "tpda_defer_errstr",    vtype_stringptr,   &tpda_defer_errstr },
710   { "tpda_delivery_confirmation", vtype_stringptr,   &tpda_delivery_confirmation },
711   { "tpda_delivery_domain", vtype_stringptr,   &tpda_delivery_domain },
712   { "tpda_delivery_fqdn",   vtype_stringptr,   &tpda_delivery_fqdn },
713   { "tpda_delivery_ip",     vtype_stringptr,   &tpda_delivery_ip },
714   { "tpda_delivery_local_part",vtype_stringptr,&tpda_delivery_local_part },
715   { "tpda_delivery_port",   vtype_int,         &tpda_delivery_port },
716 #endif
717   { "transport_name",      vtype_stringptr,   &transport_name },
718   { "value",               vtype_stringptr,   &lookup_value },
719   { "version_number",      vtype_stringptr,   &version_string },
720   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
721   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
722   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
723   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
724   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
725   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
726 };
727
728 static int var_table_size = sizeof(var_table)/sizeof(var_entry);
729 static uschar var_buffer[256];
730 static BOOL malformed_header;
731
732 /* For textual hashes */
733
734 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
735                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
736                                "0123456789";
737
738 enum { HMAC_MD5, HMAC_SHA1 };
739
740 /* For numeric hashes */
741
742 static unsigned int prime[] = {
743   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
744  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
745  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
746
747 /* For printing modes in symbolic form */
748
749 static uschar *mtable_normal[] =
750   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
751
752 static uschar *mtable_setid[] =
753   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
754
755 static uschar *mtable_sticky[] =
756   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
757
758
759
760 /*************************************************
761 *           Tables for UTF-8 support             *
762 *************************************************/
763
764 /* Table of the number of extra characters, indexed by the first character
765 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
766 0x3d. */
767
768 static uschar utf8_table1[] = {
769   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
770   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
771   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
772   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
773
774 /* These are the masks for the data bits in the first byte of a character,
775 indexed by the number of additional bytes. */
776
777 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
778
779 /* Get the next UTF-8 character, advancing the pointer. */
780
781 #define GETUTF8INC(c, ptr) \
782   c = *ptr++; \
783   if ((c & 0xc0) == 0xc0) \
784     { \
785     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
786     int s = 6*a; \
787     c = (c & utf8_table2[a]) << s; \
788     while (a-- > 0) \
789       { \
790       s -= 6; \
791       c |= (*ptr++ & 0x3f) << s; \
792       } \
793     }
794
795
796 /*************************************************
797 *           Binary chop search on a table        *
798 *************************************************/
799
800 /* This is used for matching expansion items and operators.
801
802 Arguments:
803   name        the name that is being sought
804   table       the table to search
805   table_size  the number of items in the table
806
807 Returns:      the offset in the table, or -1
808 */
809
810 static int
811 chop_match(uschar *name, uschar **table, int table_size)
812 {
813 uschar **bot = table;
814 uschar **top = table + table_size;
815
816 while (top > bot)
817   {
818   uschar **mid = bot + (top - bot)/2;
819   int c = Ustrcmp(name, *mid);
820   if (c == 0) return mid - table;
821   if (c > 0) bot = mid + 1; else top = mid;
822   }
823
824 return -1;
825 }
826
827
828
829 /*************************************************
830 *          Check a condition string              *
831 *************************************************/
832
833 /* This function is called to expand a string, and test the result for a "true"
834 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
835 forced fail or lookup defer.
836
837 We used to release all store used, but this is not not safe due
838 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
839 is reasonably careful to release what it can.
840
841 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
842
843 Arguments:
844   condition     the condition string
845   m1            text to be incorporated in panic error
846   m2            ditto
847
848 Returns:        TRUE if condition is met, FALSE if not
849 */
850
851 BOOL
852 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
853 {
854 int rc;
855 uschar *ss = expand_string(condition);
856 if (ss == NULL)
857   {
858   if (!expand_string_forcedfail && !search_find_defer)
859     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
860       "for %s %s: %s", condition, m1, m2, expand_string_message);
861   return FALSE;
862   }
863 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
864   strcmpic(ss, US"false") != 0;
865 return rc;
866 }
867
868
869
870
871 /*************************************************
872 *        Pseudo-random number generation         *
873 *************************************************/
874
875 /* Pseudo-random number generation.  The result is not "expected" to be
876 cryptographically strong but not so weak that someone will shoot themselves
877 in the foot using it as a nonce in some email header scheme or whatever
878 weirdness they'll twist this into.  The result should ideally handle fork().
879
880 However, if we're stuck unable to provide this, then we'll fall back to
881 appallingly bad randomness.
882
883 If SUPPORT_TLS is defined then this will not be used except as an emergency
884 fallback.
885
886 Arguments:
887   max       range maximum
888 Returns     a random number in range [0, max-1]
889 */
890
891 #ifdef SUPPORT_TLS
892 # define vaguely_random_number vaguely_random_number_fallback
893 #endif
894 int
895 vaguely_random_number(int max)
896 {
897 #ifdef SUPPORT_TLS
898 # undef vaguely_random_number
899 #endif
900   static pid_t pid = 0;
901   pid_t p2;
902 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
903   struct timeval tv;
904 #endif
905
906   p2 = getpid();
907   if (p2 != pid)
908     {
909     if (pid != 0)
910       {
911
912 #ifdef HAVE_ARC4RANDOM
913       /* cryptographically strong randomness, common on *BSD platforms, not
914       so much elsewhere.  Alas. */
915       arc4random_stir();
916 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
917 #ifdef HAVE_SRANDOMDEV
918       /* uses random(4) for seeding */
919       srandomdev();
920 #else
921       gettimeofday(&tv, NULL);
922       srandom(tv.tv_sec | tv.tv_usec | getpid());
923 #endif
924 #else
925       /* Poor randomness and no seeding here */
926 #endif
927
928       }
929     pid = p2;
930     }
931
932 #ifdef HAVE_ARC4RANDOM
933   return arc4random() % max;
934 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
935   return random() % max;
936 #else
937   /* This one returns a 16-bit number, definitely not crypto-strong */
938   return random_number(max);
939 #endif
940 }
941
942
943
944
945 /*************************************************
946 *             Pick out a name from a string      *
947 *************************************************/
948
949 /* If the name is too long, it is silently truncated.
950
951 Arguments:
952   name      points to a buffer into which to put the name
953   max       is the length of the buffer
954   s         points to the first alphabetic character of the name
955   extras    chars other than alphanumerics to permit
956
957 Returns:    pointer to the first character after the name
958
959 Note: The test for *s != 0 in the while loop is necessary because
960 Ustrchr() yields non-NULL if the character is zero (which is not something
961 I expected). */
962
963 static uschar *
964 read_name(uschar *name, int max, uschar *s, uschar *extras)
965 {
966 int ptr = 0;
967 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
968   {
969   if (ptr < max-1) name[ptr++] = *s;
970   s++;
971   }
972 name[ptr] = 0;
973 return s;
974 }
975
976
977
978 /*************************************************
979 *     Pick out the rest of a header name         *
980 *************************************************/
981
982 /* A variable name starting $header_ (or just $h_ for those who like
983 abbreviations) might not be the complete header name because headers can
984 contain any printing characters in their names, except ':'. This function is
985 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
986 on the end, if the name was terminated by white space.
987
988 Arguments:
989   name      points to a buffer in which the name read so far exists
990   max       is the length of the buffer
991   s         points to the first character after the name so far, i.e. the
992             first non-alphameric character after $header_xxxxx
993
994 Returns:    a pointer to the first character after the header name
995 */
996
997 static uschar *
998 read_header_name(uschar *name, int max, uschar *s)
999 {
1000 int prelen = Ustrchr(name, '_') - name + 1;
1001 int ptr = Ustrlen(name) - prelen;
1002 if (ptr > 0) memmove(name, name+prelen, ptr);
1003 while (mac_isgraph(*s) && *s != ':')
1004   {
1005   if (ptr < max-1) name[ptr++] = *s;
1006   s++;
1007   }
1008 if (*s == ':') s++;
1009 name[ptr++] = ':';
1010 name[ptr] = 0;
1011 return s;
1012 }
1013
1014
1015
1016 /*************************************************
1017 *           Pick out a number from a string      *
1018 *************************************************/
1019
1020 /* Arguments:
1021   n     points to an integer into which to put the number
1022   s     points to the first digit of the number
1023
1024 Returns:  a pointer to the character after the last digit
1025 */
1026
1027 static uschar *
1028 read_number(int *n, uschar *s)
1029 {
1030 *n = 0;
1031 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1032 return s;
1033 }
1034
1035
1036
1037 /*************************************************
1038 *        Extract keyed subfield from a string    *
1039 *************************************************/
1040
1041 /* The yield is in dynamic store; NULL means that the key was not found.
1042
1043 Arguments:
1044   key       points to the name of the key
1045   s         points to the string from which to extract the subfield
1046
1047 Returns:    NULL if the subfield was not found, or
1048             a pointer to the subfield's data
1049 */
1050
1051 static uschar *
1052 expand_getkeyed(uschar *key, uschar *s)
1053 {
1054 int length = Ustrlen(key);
1055 while (isspace(*s)) s++;
1056
1057 /* Loop to search for the key */
1058
1059 while (*s != 0)
1060   {
1061   int dkeylength;
1062   uschar *data;
1063   uschar *dkey = s;
1064
1065   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1066   dkeylength = s - dkey;
1067   while (isspace(*s)) s++;
1068   if (*s == '=') while (isspace((*(++s))));
1069
1070   data = string_dequote(&s);
1071   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1072     return data;
1073
1074   while (isspace(*s)) s++;
1075   }
1076
1077 return NULL;
1078 }
1079
1080
1081
1082 static var_entry *
1083 find_var_ent(uschar * name)
1084 {
1085 int first = 0;
1086 int last = var_table_size;
1087
1088 while (last > first)
1089   {
1090   int middle = (first + last)/2;
1091   int c = Ustrcmp(name, var_table[middle].name);
1092
1093   if (c > 0) { first = middle + 1; continue; }
1094   if (c < 0) { last = middle; continue; }
1095   return &var_table[middle];
1096   }
1097 return NULL;
1098 }
1099
1100 /*************************************************
1101 *   Extract numbered subfield from string        *
1102 *************************************************/
1103
1104 /* Extracts a numbered field from a string that is divided by tokens - for
1105 example a line from /etc/passwd is divided by colon characters.  First field is
1106 numbered one.  Negative arguments count from the right. Zero returns the whole
1107 string. Returns NULL if there are insufficient tokens in the string
1108
1109 ***WARNING***
1110 Modifies final argument - this is a dynamically generated string, so that's OK.
1111
1112 Arguments:
1113   field       number of field to be extracted,
1114                 first field = 1, whole string = 0, last field = -1
1115   separators  characters that are used to break string into tokens
1116   s           points to the string from which to extract the subfield
1117
1118 Returns:      NULL if the field was not found,
1119               a pointer to the field's data inside s (modified to add 0)
1120 */
1121
1122 static uschar *
1123 expand_gettokened (int field, uschar *separators, uschar *s)
1124 {
1125 int sep = 1;
1126 int count;
1127 uschar *ss = s;
1128 uschar *fieldtext = NULL;
1129
1130 if (field == 0) return s;
1131
1132 /* Break the line up into fields in place; for field > 0 we stop when we have
1133 done the number of fields we want. For field < 0 we continue till the end of
1134 the string, counting the number of fields. */
1135
1136 count = (field > 0)? field : INT_MAX;
1137
1138 while (count-- > 0)
1139   {
1140   size_t len;
1141
1142   /* Previous field was the last one in the string. For a positive field
1143   number, this means there are not enough fields. For a negative field number,
1144   check that there are enough, and scan back to find the one that is wanted. */
1145
1146   if (sep == 0)
1147     {
1148     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1149     if ((-field) == (INT_MAX - count - 1)) return s;
1150     while (field++ < 0)
1151       {
1152       ss--;
1153       while (ss[-1] != 0) ss--;
1154       }
1155     fieldtext = ss;
1156     break;
1157     }
1158
1159   /* Previous field was not last in the string; save its start and put a
1160   zero at its end. */
1161
1162   fieldtext = ss;
1163   len = Ustrcspn(ss, separators);
1164   sep = ss[len];
1165   ss[len] = 0;
1166   ss += len + 1;
1167   }
1168
1169 return fieldtext;
1170 }
1171
1172
1173 static uschar *
1174 expand_getlistele(int field, uschar * list)
1175 {
1176 uschar * tlist= list;
1177 int sep= 0;
1178 uschar dummy;
1179
1180 if(field<0)
1181 {
1182   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1183   sep= 0;
1184 }
1185 if(field==0) return NULL;
1186 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1187 return string_nextinlist(&list, &sep, NULL, 0);
1188 }
1189
1190
1191 /* Certificate fields, by name.  Worry about by-OID later */
1192 /* Names are chosen to not have common prefixes */
1193
1194 #ifdef SUPPORT_TLS
1195 typedef struct
1196 {
1197 uschar * name;
1198 int      namelen;
1199 uschar * (*getfn)(void * cert, uschar * mod);
1200 } certfield;
1201 static certfield certfields[] =
1202 {                       /* linear search; no special order */
1203   { US"version",         7,  &tls_cert_version },
1204   { US"serial_number",   13, &tls_cert_serial_number },
1205   { US"subject",         7,  &tls_cert_subject },
1206   { US"notbefore",       9,  &tls_cert_not_before },
1207   { US"notafter",        8,  &tls_cert_not_after },
1208   { US"issuer",          6,  &tls_cert_issuer },
1209   { US"signature",       9,  &tls_cert_signature },
1210   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1211   { US"subj_altname",    12, &tls_cert_subject_altname },
1212   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1213   { US"crl_uri",         7,  &tls_cert_crl_uri },
1214 };
1215
1216 static uschar *
1217 expand_getcertele(uschar * field, uschar * certvar)
1218 {
1219 var_entry * vp;
1220 certfield * cp;
1221
1222 if (!(vp = find_var_ent(certvar)))
1223   {
1224   expand_string_message = 
1225     string_sprintf("no variable named \"%s\"", certvar);
1226   return NULL;          /* Unknown variable name */
1227   }
1228 /* NB this stops us passing certs around in variable.  Might
1229 want to do that in future */
1230 if (vp->type != vtype_cert)
1231   {
1232   expand_string_message = 
1233     string_sprintf("\"%s\" is not a certificate", certvar);
1234   return NULL;          /* Unknown variable name */
1235   }
1236 if (!*(void **)vp->value)
1237   return NULL;
1238
1239 if (*field >= '0' && *field <= '9')
1240   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1241
1242 for(cp = certfields;
1243     cp < certfields + nelements(certfields);
1244     cp++)
1245   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1246     {
1247     uschar * modifier = *(field += cp->namelen) == ','
1248       ? ++field : NULL;
1249     return (*cp->getfn)( *(void **)vp->value, modifier );
1250     }
1251
1252 expand_string_message = 
1253   string_sprintf("bad field selector \"%s\" for certextract", field);
1254 return NULL;
1255 }
1256 #endif  /*SUPPORT_TLS*/
1257
1258 /*************************************************
1259 *        Extract a substring from a string       *
1260 *************************************************/
1261
1262 /* Perform the ${substr or ${length expansion operations.
1263
1264 Arguments:
1265   subject     the input string
1266   value1      the offset from the start of the input string to the start of
1267                 the output string; if negative, count from the right.
1268   value2      the length of the output string, or negative (-1) for unset
1269                 if value1 is positive, unset means "all after"
1270                 if value1 is negative, unset means "all before"
1271   len         set to the length of the returned string
1272
1273 Returns:      pointer to the output string, or NULL if there is an error
1274 */
1275
1276 static uschar *
1277 extract_substr(uschar *subject, int value1, int value2, int *len)
1278 {
1279 int sublen = Ustrlen(subject);
1280
1281 if (value1 < 0)    /* count from right */
1282   {
1283   value1 += sublen;
1284
1285   /* If the position is before the start, skip to the start, and adjust the
1286   length. If the length ends up negative, the substring is null because nothing
1287   can precede. This falls out naturally when the length is unset, meaning "all
1288   to the left". */
1289
1290   if (value1 < 0)
1291     {
1292     value2 += value1;
1293     if (value2 < 0) value2 = 0;
1294     value1 = 0;
1295     }
1296
1297   /* Otherwise an unset length => characters before value1 */
1298
1299   else if (value2 < 0)
1300     {
1301     value2 = value1;
1302     value1 = 0;
1303     }
1304   }
1305
1306 /* For a non-negative offset, if the starting position is past the end of the
1307 string, the result will be the null string. Otherwise, an unset length means
1308 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1309
1310 else
1311   {
1312   if (value1 > sublen)
1313     {
1314     value1 = sublen;
1315     value2 = 0;
1316     }
1317   else if (value2 < 0) value2 = sublen;
1318   }
1319
1320 /* Cut the length down to the maximum possible for the offset value, and get
1321 the required characters. */
1322
1323 if (value1 + value2 > sublen) value2 = sublen - value1;
1324 *len = value2;
1325 return subject + value1;
1326 }
1327
1328
1329
1330
1331 /*************************************************
1332 *            Old-style hash of a string          *
1333 *************************************************/
1334
1335 /* Perform the ${hash expansion operation.
1336
1337 Arguments:
1338   subject     the input string (an expanded substring)
1339   value1      the length of the output string; if greater or equal to the
1340                 length of the input string, the input string is returned
1341   value2      the number of hash characters to use, or 26 if negative
1342   len         set to the length of the returned string
1343
1344 Returns:      pointer to the output string, or NULL if there is an error
1345 */
1346
1347 static uschar *
1348 compute_hash(uschar *subject, int value1, int value2, int *len)
1349 {
1350 int sublen = Ustrlen(subject);
1351
1352 if (value2 < 0) value2 = 26;
1353 else if (value2 > Ustrlen(hashcodes))
1354   {
1355   expand_string_message =
1356     string_sprintf("hash count \"%d\" too big", value2);
1357   return NULL;
1358   }
1359
1360 /* Calculate the hash text. We know it is shorter than the original string, so
1361 can safely place it in subject[] (we know that subject is always itself an
1362 expanded substring). */
1363
1364 if (value1 < sublen)
1365   {
1366   int c;
1367   int i = 0;
1368   int j = value1;
1369   while ((c = (subject[j])) != 0)
1370     {
1371     int shift = (c + j++) & 7;
1372     subject[i] ^= (c << shift) | (c >> (8-shift));
1373     if (++i >= value1) i = 0;
1374     }
1375   for (i = 0; i < value1; i++)
1376     subject[i] = hashcodes[(subject[i]) % value2];
1377   }
1378 else value1 = sublen;
1379
1380 *len = value1;
1381 return subject;
1382 }
1383
1384
1385
1386
1387 /*************************************************
1388 *             Numeric hash of a string           *
1389 *************************************************/
1390
1391 /* Perform the ${nhash expansion operation. The first characters of the
1392 string are treated as most important, and get the highest prime numbers.
1393
1394 Arguments:
1395   subject     the input string
1396   value1      the maximum value of the first part of the result
1397   value2      the maximum value of the second part of the result,
1398                 or negative to produce only a one-part result
1399   len         set to the length of the returned string
1400
1401 Returns:  pointer to the output string, or NULL if there is an error.
1402 */
1403
1404 static uschar *
1405 compute_nhash (uschar *subject, int value1, int value2, int *len)
1406 {
1407 uschar *s = subject;
1408 int i = 0;
1409 unsigned long int total = 0; /* no overflow */
1410
1411 while (*s != 0)
1412   {
1413   if (i == 0) i = sizeof(prime)/sizeof(int) - 1;
1414   total += prime[i--] * (unsigned int)(*s++);
1415   }
1416
1417 /* If value2 is unset, just compute one number */
1418
1419 if (value2 < 0)
1420   {
1421   s = string_sprintf("%d", total % value1);
1422   }
1423
1424 /* Otherwise do a div/mod hash */
1425
1426 else
1427   {
1428   total = total % (value1 * value2);
1429   s = string_sprintf("%d/%d", total/value2, total % value2);
1430   }
1431
1432 *len = Ustrlen(s);
1433 return s;
1434 }
1435
1436
1437
1438
1439
1440 /*************************************************
1441 *     Find the value of a header or headers      *
1442 *************************************************/
1443
1444 /* Multiple instances of the same header get concatenated, and this function
1445 can also return a concatenation of all the header lines. When concatenating
1446 specific headers that contain lists of addresses, a comma is inserted between
1447 them. Otherwise we use a straight concatenation. Because some messages can have
1448 pathologically large number of lines, there is a limit on the length that is
1449 returned. Also, to avoid massive store use which would result from using
1450 string_cat() as it copies and extends strings, we do a preliminary pass to find
1451 out exactly how much store will be needed. On "normal" messages this will be
1452 pretty trivial.
1453
1454 Arguments:
1455   name          the name of the header, without the leading $header_ or $h_,
1456                 or NULL if a concatenation of all headers is required
1457   exists_only   TRUE if called from a def: test; don't need to build a string;
1458                 just return a string that is not "" and not "0" if the header
1459                 exists
1460   newsize       return the size of memory block that was obtained; may be NULL
1461                 if exists_only is TRUE
1462   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1463                 other than concatenating, will be done on the header. Also used
1464                 for $message_headers_raw.
1465   charset       name of charset to translate MIME words to; used only if
1466                 want_raw is false; if NULL, no translation is done (this is
1467                 used for $bh_ and $bheader_)
1468
1469 Returns:        NULL if the header does not exist, else a pointer to a new
1470                 store block
1471 */
1472
1473 static uschar *
1474 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1475   uschar *charset)
1476 {
1477 BOOL found = name == NULL;
1478 int comma = 0;
1479 int len = found? 0 : Ustrlen(name);
1480 int i;
1481 uschar *yield = NULL;
1482 uschar *ptr = NULL;
1483
1484 /* Loop for two passes - saves code repetition */
1485
1486 for (i = 0; i < 2; i++)
1487   {
1488   int size = 0;
1489   header_line *h;
1490
1491   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1492     {
1493     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1494       {
1495       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1496         {
1497         int ilen;
1498         uschar *t;
1499
1500         if (exists_only) return US"1";      /* don't need actual string */
1501         found = TRUE;
1502         t = h->text + len;                  /* text to insert */
1503         if (!want_raw)                      /* unless wanted raw, */
1504           while (isspace(*t)) t++;          /* remove leading white space */
1505         ilen = h->slen - (t - h->text);     /* length to insert */
1506
1507         /* Unless wanted raw, remove trailing whitespace, including the
1508         newline. */
1509
1510         if (!want_raw)
1511           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1512
1513         /* Set comma = 1 if handling a single header and it's one of those
1514         that contains an address list, except when asked for raw headers. Only
1515         need to do this once. */
1516
1517         if (!want_raw && name != NULL && comma == 0 &&
1518             Ustrchr("BCFRST", h->type) != NULL)
1519           comma = 1;
1520
1521         /* First pass - compute total store needed; second pass - compute
1522         total store used, including this header. */
1523
1524         size += ilen + comma + 1;  /* +1 for the newline */
1525
1526         /* Second pass - concatentate the data, up to a maximum. Note that
1527         the loop stops when size hits the limit. */
1528
1529         if (i != 0)
1530           {
1531           if (size > header_insert_maxlen)
1532             {
1533             ilen -= size - header_insert_maxlen - 1;
1534             comma = 0;
1535             }
1536           Ustrncpy(ptr, t, ilen);
1537           ptr += ilen;
1538
1539           /* For a non-raw header, put in the comma if needed, then add
1540           back the newline we removed above, provided there was some text in
1541           the header. */
1542
1543           if (!want_raw && ilen > 0)
1544             {
1545             if (comma != 0) *ptr++ = ',';
1546             *ptr++ = '\n';
1547             }
1548           }
1549         }
1550       }
1551     }
1552
1553   /* At end of first pass, return NULL if no header found. Then truncate size
1554   if necessary, and get the buffer to hold the data, returning the buffer size.
1555   */
1556
1557   if (i == 0)
1558     {
1559     if (!found) return NULL;
1560     if (size > header_insert_maxlen) size = header_insert_maxlen;
1561     *newsize = size + 1;
1562     ptr = yield = store_get(*newsize);
1563     }
1564   }
1565
1566 /* That's all we do for raw header expansion. */
1567
1568 if (want_raw)
1569   {
1570   *ptr = 0;
1571   }
1572
1573 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1574 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1575 function can return an error with decoded data if the charset translation
1576 fails. If decoding fails, it returns NULL. */
1577
1578 else
1579   {
1580   uschar *decoded, *error;
1581   if (ptr > yield && ptr[-1] == '\n') ptr--;
1582   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1583   *ptr = 0;
1584   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1585     newsize, &error);
1586   if (error != NULL)
1587     {
1588     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1589       "    input was: %s\n", error, yield);
1590     }
1591   if (decoded != NULL) yield = decoded;
1592   }
1593
1594 return yield;
1595 }
1596
1597
1598
1599
1600 /*************************************************
1601 *               Return list of recipients        *
1602 *************************************************/
1603 /* A recipients list is available only during system message filtering,
1604 during ACL processing after DATA, and while expanding pipe commands
1605 generated from a system filter, but not elsewhere. */
1606
1607 static uschar *
1608 fn_recipients(void)
1609 {
1610 if (!enable_dollar_recipients) return NULL; else
1611   {
1612   int size = 128;
1613   int ptr = 0;
1614   int i;
1615   uschar * s = store_get(size);
1616   for (i = 0; i < recipients_count; i++)
1617     {
1618     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1619     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1620       Ustrlen(recipients_list[i].address));
1621     }
1622   s[ptr] = 0;     /* string_cat() leaves room */
1623   return s;
1624   }
1625 }
1626
1627
1628 /*************************************************
1629 *               Find value of a variable         *
1630 *************************************************/
1631
1632 /* The table of variables is kept in alphabetic order, so we can search it
1633 using a binary chop. The "choplen" variable is nothing to do with the binary
1634 chop.
1635
1636 Arguments:
1637   name          the name of the variable being sought
1638   exists_only   TRUE if this is a def: test; passed on to find_header()
1639   skipping      TRUE => skip any processing evaluation; this is not the same as
1640                   exists_only because def: may test for values that are first
1641                   evaluated here
1642   newsize       pointer to an int which is initially zero; if the answer is in
1643                 a new memory buffer, *newsize is set to its size
1644
1645 Returns:        NULL if the variable does not exist, or
1646                 a pointer to the variable's contents, or
1647                 something non-NULL if exists_only is TRUE
1648 */
1649
1650 static uschar *
1651 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1652 {
1653 var_entry * vp;
1654 uschar *s, *domain;
1655 uschar **ss;
1656 void * val;
1657
1658 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1659 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1660 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1661 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1662 (this gave backwards compatibility at the changeover). There may be built-in
1663 variables whose names start acl_ but they should never start in this way. This
1664 slightly messy specification is a consequence of the history, needless to say.
1665
1666 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1667 set, in which case give an error. */
1668
1669 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1670      !isalpha(name[5]))
1671   {
1672   tree_node *node =
1673     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1674   return (node == NULL)? (strict_acl_vars? NULL : US"") : node->data.ptr;
1675   }
1676
1677 /* Handle $auth<n> variables. */
1678
1679 if (Ustrncmp(name, "auth", 4) == 0)
1680   {
1681   uschar *endptr;
1682   int n = Ustrtoul(name + 4, &endptr, 10);
1683   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1684     return (auth_vars[n-1] == NULL)? US"" : auth_vars[n-1];
1685   }
1686
1687 /* For all other variables, search the table */
1688
1689 if (!(vp = find_var_ent(name)))
1690   return NULL;          /* Unknown variable name */
1691
1692 /* Found an existing variable. If in skipping state, the value isn't needed,
1693 and we want to avoid processing (such as looking up the host name). */
1694
1695 if (skipping)
1696   return US"";
1697
1698 val = vp->value;
1699 switch (vp->type)
1700   {
1701   case vtype_filter_int:
1702   if (!filter_running) return NULL;
1703   /* Fall through */
1704   /* VVVVVVVVVVVV */
1705   case vtype_int:
1706   sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1707   return var_buffer;
1708
1709   case vtype_ino:
1710   sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1711   return var_buffer;
1712
1713   case vtype_gid:
1714   sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1715   return var_buffer;
1716
1717   case vtype_uid:
1718   sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1719   return var_buffer;
1720
1721   case vtype_bool:
1722   sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1723   return var_buffer;
1724
1725   case vtype_stringptr:                      /* Pointer to string */
1726   s = *((uschar **)(val));
1727   return (s == NULL)? US"" : s;
1728
1729   case vtype_pid:
1730   sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1731   return var_buffer;
1732
1733   case vtype_load_avg:
1734   sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1735   return var_buffer;
1736
1737   case vtype_host_lookup:                    /* Lookup if not done so */
1738   if (sender_host_name == NULL && sender_host_address != NULL &&
1739       !host_lookup_failed && host_name_lookup() == OK)
1740     host_build_sender_fullhost();
1741   return (sender_host_name == NULL)? US"" : sender_host_name;
1742
1743   case vtype_localpart:                      /* Get local part from address */
1744   s = *((uschar **)(val));
1745   if (s == NULL) return US"";
1746   domain = Ustrrchr(s, '@');
1747   if (domain == NULL) return s;
1748   if (domain - s > sizeof(var_buffer) - 1)
1749     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1750         " in string expansion", sizeof(var_buffer));
1751   Ustrncpy(var_buffer, s, domain - s);
1752   var_buffer[domain - s] = 0;
1753   return var_buffer;
1754
1755   case vtype_domain:                         /* Get domain from address */
1756   s = *((uschar **)(val));
1757   if (s == NULL) return US"";
1758   domain = Ustrrchr(s, '@');
1759   return (domain == NULL)? US"" : domain + 1;
1760
1761   case vtype_msgheaders:
1762   return find_header(NULL, exists_only, newsize, FALSE, NULL);
1763
1764   case vtype_msgheaders_raw:
1765   return find_header(NULL, exists_only, newsize, TRUE, NULL);
1766
1767   case vtype_msgbody:                        /* Pointer to msgbody string */
1768   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1769   ss = (uschar **)(val);
1770   if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1771     {
1772     uschar *body;
1773     off_t start_offset = SPOOL_DATA_START_OFFSET;
1774     int len = message_body_visible;
1775     if (len > message_size) len = message_size;
1776     *ss = body = store_malloc(len+1);
1777     body[0] = 0;
1778     if (vp->type == vtype_msgbody_end)
1779       {
1780       struct stat statbuf;
1781       if (fstat(deliver_datafile, &statbuf) == 0)
1782         {
1783         start_offset = statbuf.st_size - len;
1784         if (start_offset < SPOOL_DATA_START_OFFSET)
1785           start_offset = SPOOL_DATA_START_OFFSET;
1786         }
1787       }
1788     lseek(deliver_datafile, start_offset, SEEK_SET);
1789     len = read(deliver_datafile, body, len);
1790     if (len > 0)
1791       {
1792       body[len] = 0;
1793       if (message_body_newlines)   /* Separate loops for efficiency */
1794         {
1795         while (len > 0)
1796           { if (body[--len] == 0) body[len] = ' '; }
1797         }
1798       else
1799         {
1800         while (len > 0)
1801           { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1802         }
1803       }
1804     }
1805   return (*ss == NULL)? US"" : *ss;
1806
1807   case vtype_todbsdin:                       /* BSD inbox time of day */
1808   return tod_stamp(tod_bsdin);
1809
1810   case vtype_tode:                           /* Unix epoch time of day */
1811   return tod_stamp(tod_epoch);
1812
1813   case vtype_todel:                          /* Unix epoch/usec time of day */
1814   return tod_stamp(tod_epoch_l);
1815
1816   case vtype_todf:                           /* Full time of day */
1817   return tod_stamp(tod_full);
1818
1819   case vtype_todl:                           /* Log format time of day */
1820   return tod_stamp(tod_log_bare);            /* (without timezone) */
1821
1822   case vtype_todzone:                        /* Time zone offset only */
1823   return tod_stamp(tod_zone);
1824
1825   case vtype_todzulu:                        /* Zulu time */
1826   return tod_stamp(tod_zulu);
1827
1828   case vtype_todlf:                          /* Log file datestamp tod */
1829   return tod_stamp(tod_log_datestamp_daily);
1830
1831   case vtype_reply:                          /* Get reply address */
1832   s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1833     headers_charset);
1834   if (s != NULL) while (isspace(*s)) s++;
1835   if (s == NULL || *s == 0)
1836     {
1837     *newsize = 0;                            /* For the *s==0 case */
1838     s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1839     }
1840   if (s != NULL)
1841     {
1842     uschar *t;
1843     while (isspace(*s)) s++;
1844     for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1845     while (t > s && isspace(t[-1])) t--;
1846     *t = 0;
1847     }
1848   return (s == NULL)? US"" : s;
1849
1850   case vtype_string_func:
1851     {
1852     uschar * (*fn)() = val;
1853     return fn();
1854     }
1855
1856   case vtype_pspace:
1857     {
1858     int inodes;
1859     sprintf(CS var_buffer, "%d",
1860       receive_statvfs(val == (void *)TRUE, &inodes));
1861     }
1862   return var_buffer;
1863
1864   case vtype_pinodes:
1865     {
1866     int inodes;
1867     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1868     sprintf(CS var_buffer, "%d", inodes);
1869     }
1870   return var_buffer;
1871
1872   case vtype_cert:
1873   return *(void **)val ? US"<cert>" : US"";
1874
1875   #ifndef DISABLE_DKIM
1876   case vtype_dkim:
1877   return dkim_exim_expand_query((int)(long)val);
1878   #endif
1879
1880   }
1881 }
1882
1883
1884
1885
1886 void
1887 modify_variable(uschar *name, void * value)
1888 {
1889 var_entry * vp;
1890 if ((vp = find_var_ent(name))) vp->value = value;
1891 return;          /* Unknown variable name, fail silently */
1892 }
1893
1894
1895
1896
1897
1898 /*************************************************
1899 *           Read and expand substrings           *
1900 *************************************************/
1901
1902 /* This function is called to read and expand argument substrings for various
1903 expansion items. Some have a minimum requirement that is less than the maximum;
1904 in these cases, the first non-present one is set to NULL.
1905
1906 Arguments:
1907   sub        points to vector of pointers to set
1908   n          maximum number of substrings
1909   m          minimum required
1910   sptr       points to current string pointer
1911   skipping   the skipping flag
1912   check_end  if TRUE, check for final '}'
1913   name       name of item, for error message
1914   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1915              the store.
1916
1917 Returns:     0 OK; string pointer updated
1918              1 curly bracketing error (too few arguments)
1919              2 too many arguments (only if check_end is set); message set
1920              3 other error (expansion failure)
1921 */
1922
1923 static int
1924 read_subs(uschar **sub, int n, int m, uschar **sptr, BOOL skipping,
1925   BOOL check_end, uschar *name, BOOL *resetok)
1926 {
1927 int i;
1928 uschar *s = *sptr;
1929
1930 while (isspace(*s)) s++;
1931 for (i = 0; i < n; i++)
1932   {
1933   if (*s != '{')
1934     {
1935     if (i < m) return 1;
1936     sub[i] = NULL;
1937     break;
1938     }
1939   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
1940   if (sub[i] == NULL) return 3;
1941   if (*s++ != '}') return 1;
1942   while (isspace(*s)) s++;
1943   }
1944 if (check_end && *s++ != '}')
1945   {
1946   if (s[-1] == '{')
1947     {
1948     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
1949       "(max is %d)", name, n);
1950     return 2;
1951     }
1952   return 1;
1953   }
1954
1955 *sptr = s;
1956 return 0;
1957 }
1958
1959
1960
1961
1962 /*************************************************
1963 *     Elaborate message for bad variable         *
1964 *************************************************/
1965
1966 /* For the "unknown variable" message, take a look at the variable's name, and
1967 give additional information about possible ACL variables. The extra information
1968 is added on to expand_string_message.
1969
1970 Argument:   the name of the variable
1971 Returns:    nothing
1972 */
1973
1974 static void
1975 check_variable_error_message(uschar *name)
1976 {
1977 if (Ustrncmp(name, "acl_", 4) == 0)
1978   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
1979     (name[4] == 'c' || name[4] == 'm')?
1980       (isalpha(name[5])?
1981         US"6th character of a user-defined ACL variable must be a digit or underscore" :
1982         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
1983       ) :
1984       US"user-defined ACL variables must start acl_c or acl_m");
1985 }
1986
1987
1988
1989 /*
1990 Load args from sub array to globals, and call acl_check().
1991 Sub array will be corrupted on return.
1992
1993 Returns:       OK         access is granted by an ACCEPT verb
1994                DISCARD    access is granted by a DISCARD verb
1995                FAIL       access is denied
1996                FAIL_DROP  access is denied; drop the connection
1997                DEFER      can't tell at the moment
1998                ERROR      disaster
1999 */
2000 static int
2001 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2002 {
2003 int i;
2004 uschar *tmp;
2005 int sav_narg = acl_narg;
2006 int ret;
2007 extern int acl_where;
2008
2009 if(--nsub > sizeof(acl_arg)/sizeof(*acl_arg)) nsub = sizeof(acl_arg)/sizeof(*acl_arg);
2010 for (i = 0; i < nsub && sub[i+1]; i++)
2011   {
2012   tmp = acl_arg[i];
2013   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2014   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2015   }
2016 acl_narg = i;
2017 while (i < nsub)
2018   {
2019   sub[i+1] = acl_arg[i];
2020   acl_arg[i++] = NULL;
2021   }
2022
2023 DEBUG(D_expand)
2024   debug_printf("expanding: acl: %s  arg: %s%s\n",
2025     sub[0],
2026     acl_narg>0 ? acl_arg[0] : US"<none>",
2027     acl_narg>1 ? " +more"   : "");
2028
2029 ret = acl_eval(acl_where, sub[0], user_msgp, &tmp);
2030
2031 for (i = 0; i < nsub; i++)
2032   acl_arg[i] = sub[i+1];        /* restore old args */
2033 acl_narg = sav_narg;
2034
2035 return ret;
2036 }
2037
2038
2039
2040
2041 /*************************************************
2042 *        Read and evaluate a condition           *
2043 *************************************************/
2044
2045 /*
2046 Arguments:
2047   s        points to the start of the condition text
2048   resetok  points to a BOOL which is written false if it is unsafe to
2049            free memory. Certain condition types (acl) may have side-effect
2050            allocation which must be preserved.
2051   yield    points to a BOOL to hold the result of the condition test;
2052            if NULL, we are just reading through a condition that is
2053            part of an "or" combination to check syntax, or in a state
2054            where the answer isn't required
2055
2056 Returns:   a pointer to the first character after the condition, or
2057            NULL after an error
2058 */
2059
2060 static uschar *
2061 eval_condition(uschar *s, BOOL *resetok, BOOL *yield)
2062 {
2063 BOOL testfor = TRUE;
2064 BOOL tempcond, combined_cond;
2065 BOOL *subcondptr;
2066 BOOL sub2_honour_dollar = TRUE;
2067 int i, rc, cond_type, roffset;
2068 int_eximarith_t num[2];
2069 struct stat statbuf;
2070 uschar name[256];
2071 uschar *sub[10];
2072
2073 const pcre *re;
2074 const uschar *rerror;
2075
2076 for (;;)
2077   {
2078   while (isspace(*s)) s++;
2079   if (*s == '!') { testfor = !testfor; s++; } else break;
2080   }
2081
2082 /* Numeric comparisons are symbolic */
2083
2084 if (*s == '=' || *s == '>' || *s == '<')
2085   {
2086   int p = 0;
2087   name[p++] = *s++;
2088   if (*s == '=')
2089     {
2090     name[p++] = '=';
2091     s++;
2092     }
2093   name[p] = 0;
2094   }
2095
2096 /* All other conditions are named */
2097
2098 else s = read_name(name, 256, s, US"_");
2099
2100 /* If we haven't read a name, it means some non-alpha character is first. */
2101
2102 if (name[0] == 0)
2103   {
2104   expand_string_message = string_sprintf("condition name expected, "
2105     "but found \"%.16s\"", s);
2106   return NULL;
2107   }
2108
2109 /* Find which condition we are dealing with, and switch on it */
2110
2111 cond_type = chop_match(name, cond_table, sizeof(cond_table)/sizeof(uschar *));
2112 switch(cond_type)
2113   {
2114   /* def: tests for a non-empty variable, or for the existence of a header. If
2115   yield == NULL we are in a skipping state, and don't care about the answer. */
2116
2117   case ECOND_DEF:
2118   if (*s != ':')
2119     {
2120     expand_string_message = US"\":\" expected after \"def\"";
2121     return NULL;
2122     }
2123
2124   s = read_name(name, 256, s+1, US"_");
2125
2126   /* Test for a header's existence. If the name contains a closing brace
2127   character, this may be a user error where the terminating colon has been
2128   omitted. Set a flag to adjust a subsequent error message in this case. */
2129
2130   if (Ustrncmp(name, "h_", 2) == 0 ||
2131       Ustrncmp(name, "rh_", 3) == 0 ||
2132       Ustrncmp(name, "bh_", 3) == 0 ||
2133       Ustrncmp(name, "header_", 7) == 0 ||
2134       Ustrncmp(name, "rheader_", 8) == 0 ||
2135       Ustrncmp(name, "bheader_", 8) == 0)
2136     {
2137     s = read_header_name(name, 256, s);
2138     /* {-for-text-editors */
2139     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2140     if (yield != NULL) *yield =
2141       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2142     }
2143
2144   /* Test for a variable's having a non-empty value. A non-existent variable
2145   causes an expansion failure. */
2146
2147   else
2148     {
2149     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2150     if (value == NULL)
2151       {
2152       expand_string_message = (name[0] == 0)?
2153         string_sprintf("variable name omitted after \"def:\"") :
2154         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2155       check_variable_error_message(name);
2156       return NULL;
2157       }
2158     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2159     }
2160
2161   return s;
2162
2163
2164   /* first_delivery tests for first delivery attempt */
2165
2166   case ECOND_FIRST_DELIVERY:
2167   if (yield != NULL) *yield = deliver_firsttime == testfor;
2168   return s;
2169
2170
2171   /* queue_running tests for any process started by a queue runner */
2172
2173   case ECOND_QUEUE_RUNNING:
2174   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2175   return s;
2176
2177
2178   /* exists:  tests for file existence
2179        isip:  tests for any IP address
2180       isip4:  tests for an IPv4 address
2181       isip6:  tests for an IPv6 address
2182         pam:  does PAM authentication
2183      radius:  does RADIUS authentication
2184    ldapauth:  does LDAP authentication
2185     pwcheck:  does Cyrus SASL pwcheck authentication
2186   */
2187
2188   case ECOND_EXISTS:
2189   case ECOND_ISIP:
2190   case ECOND_ISIP4:
2191   case ECOND_ISIP6:
2192   case ECOND_PAM:
2193   case ECOND_RADIUS:
2194   case ECOND_LDAPAUTH:
2195   case ECOND_PWCHECK:
2196
2197   while (isspace(*s)) s++;
2198   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2199
2200   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2201   if (sub[0] == NULL) return NULL;
2202   /* {-for-text-editors */
2203   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2204
2205   if (yield == NULL) return s;   /* No need to run the test if skipping */
2206
2207   switch(cond_type)
2208     {
2209     case ECOND_EXISTS:
2210     if ((expand_forbid & RDO_EXISTS) != 0)
2211       {
2212       expand_string_message = US"File existence tests are not permitted";
2213       return NULL;
2214       }
2215     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2216     break;
2217
2218     case ECOND_ISIP:
2219     case ECOND_ISIP4:
2220     case ECOND_ISIP6:
2221     rc = string_is_ip_address(sub[0], NULL);
2222     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2223              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2224     break;
2225
2226     /* Various authentication tests - all optionally compiled */
2227
2228     case ECOND_PAM:
2229     #ifdef SUPPORT_PAM
2230     rc = auth_call_pam(sub[0], &expand_string_message);
2231     goto END_AUTH;
2232     #else
2233     goto COND_FAILED_NOT_COMPILED;
2234     #endif  /* SUPPORT_PAM */
2235
2236     case ECOND_RADIUS:
2237     #ifdef RADIUS_CONFIG_FILE
2238     rc = auth_call_radius(sub[0], &expand_string_message);
2239     goto END_AUTH;
2240     #else
2241     goto COND_FAILED_NOT_COMPILED;
2242     #endif  /* RADIUS_CONFIG_FILE */
2243
2244     case ECOND_LDAPAUTH:
2245     #ifdef LOOKUP_LDAP
2246       {
2247       /* Just to keep the interface the same */
2248       BOOL do_cache;
2249       int old_pool = store_pool;
2250       store_pool = POOL_SEARCH;
2251       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2252         &expand_string_message, &do_cache);
2253       store_pool = old_pool;
2254       }
2255     goto END_AUTH;
2256     #else
2257     goto COND_FAILED_NOT_COMPILED;
2258     #endif  /* LOOKUP_LDAP */
2259
2260     case ECOND_PWCHECK:
2261     #ifdef CYRUS_PWCHECK_SOCKET
2262     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2263     goto END_AUTH;
2264     #else
2265     goto COND_FAILED_NOT_COMPILED;
2266     #endif  /* CYRUS_PWCHECK_SOCKET */
2267
2268     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2269         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2270     END_AUTH:
2271     if (rc == ERROR || rc == DEFER) return NULL;
2272     *yield = (rc == OK) == testfor;
2273     #endif
2274     }
2275   return s;
2276
2277
2278   /* call ACL (in a conditional context).  Accept true, deny false.
2279   Defer is a forced-fail.  Anything set by message= goes to $value.
2280   Up to ten parameters are used; we use the braces round the name+args
2281   like the saslauthd condition does, to permit a variable number of args.
2282   See also the expansion-item version EITEM_ACL and the traditional
2283   acl modifier ACLC_ACL.
2284   Since the ACL may allocate new global variables, tell our caller to not
2285   reclaim memory.
2286   */
2287
2288   case ECOND_ACL:
2289     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2290     {
2291     uschar *user_msg;
2292     BOOL cond = FALSE;
2293     int size = 0;
2294     int ptr = 0;
2295
2296     while (isspace(*s)) s++;
2297     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2298
2299     switch(read_subs(sub, sizeof(sub)/sizeof(*sub), 1,
2300       &s, yield == NULL, TRUE, US"acl", resetok))
2301       {
2302       case 1: expand_string_message = US"too few arguments or bracketing "
2303         "error for acl";
2304       case 2:
2305       case 3: return NULL;
2306       }
2307
2308     *resetok = FALSE;
2309     if (yield != NULL) switch(eval_acl(sub, sizeof(sub)/sizeof(*sub), &user_msg))
2310         {
2311         case OK:
2312           cond = TRUE;
2313         case FAIL:
2314           lookup_value = NULL;
2315           if (user_msg)
2316             {
2317             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2318             lookup_value[ptr] = '\0';
2319             }
2320           *yield = cond == testfor;
2321           break;
2322
2323         case DEFER:
2324           expand_string_forcedfail = TRUE;
2325         default:
2326           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2327           return NULL;
2328         }
2329     return s;
2330     }
2331
2332
2333   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2334
2335      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2336
2337   However, the last two are optional. That is why the whole set is enclosed
2338   in their own set of braces. */
2339
2340   case ECOND_SASLAUTHD:
2341   #ifndef CYRUS_SASLAUTHD_SOCKET
2342   goto COND_FAILED_NOT_COMPILED;
2343   #else
2344   while (isspace(*s)) s++;
2345   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2346   switch(read_subs(sub, 4, 2, &s, yield == NULL, TRUE, US"saslauthd", resetok))
2347     {
2348     case 1: expand_string_message = US"too few arguments or bracketing "
2349       "error for saslauthd";
2350     case 2:
2351     case 3: return NULL;
2352     }
2353   if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2354   if (yield != NULL)
2355     {
2356     int rc;
2357     rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2358       &expand_string_message);
2359     if (rc == ERROR || rc == DEFER) return NULL;
2360     *yield = (rc == OK) == testfor;
2361     }
2362   return s;
2363   #endif /* CYRUS_SASLAUTHD_SOCKET */
2364
2365
2366   /* symbolic operators for numeric and string comparison, and a number of
2367   other operators, all requiring two arguments.
2368
2369   crypteq:           encrypts plaintext and compares against an encrypted text,
2370                        using crypt(), crypt16(), MD5 or SHA-1
2371   inlist/inlisti:    checks if first argument is in the list of the second
2372   match:             does a regular expression match and sets up the numerical
2373                        variables if it succeeds
2374   match_address:     matches in an address list
2375   match_domain:      matches in a domain list
2376   match_ip:          matches a host list that is restricted to IP addresses
2377   match_local_part:  matches in a local part list
2378   */
2379
2380   case ECOND_MATCH_ADDRESS:
2381   case ECOND_MATCH_DOMAIN:
2382   case ECOND_MATCH_IP:
2383   case ECOND_MATCH_LOCAL_PART:
2384 #ifndef EXPAND_LISTMATCH_RHS
2385     sub2_honour_dollar = FALSE;
2386 #endif
2387     /* FALLTHROUGH */
2388
2389   case ECOND_CRYPTEQ:
2390   case ECOND_INLIST:
2391   case ECOND_INLISTI:
2392   case ECOND_MATCH:
2393
2394   case ECOND_NUM_L:     /* Numerical comparisons */
2395   case ECOND_NUM_LE:
2396   case ECOND_NUM_E:
2397   case ECOND_NUM_EE:
2398   case ECOND_NUM_G:
2399   case ECOND_NUM_GE:
2400
2401   case ECOND_STR_LT:    /* String comparisons */
2402   case ECOND_STR_LTI:
2403   case ECOND_STR_LE:
2404   case ECOND_STR_LEI:
2405   case ECOND_STR_EQ:
2406   case ECOND_STR_EQI:
2407   case ECOND_STR_GT:
2408   case ECOND_STR_GTI:
2409   case ECOND_STR_GE:
2410   case ECOND_STR_GEI:
2411
2412   for (i = 0; i < 2; i++)
2413     {
2414     /* Sometimes, we don't expand substrings; too many insecure configurations
2415     created using match_address{}{} and friends, where the second param
2416     includes information from untrustworthy sources. */
2417     BOOL honour_dollar = TRUE;
2418     if ((i > 0) && !sub2_honour_dollar)
2419       honour_dollar = FALSE;
2420
2421     while (isspace(*s)) s++;
2422     if (*s != '{')
2423       {
2424       if (i == 0) goto COND_FAILED_CURLY_START;
2425       expand_string_message = string_sprintf("missing 2nd string in {} "
2426         "after \"%s\"", name);
2427       return NULL;
2428       }
2429     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2430         honour_dollar, resetok);
2431     if (sub[i] == NULL) return NULL;
2432     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2433
2434     /* Convert to numerical if required; we know that the names of all the
2435     conditions that compare numbers do not start with a letter. This just saves
2436     checking for them individually. */
2437
2438     if (!isalpha(name[0]) && yield != NULL)
2439       {
2440       if (sub[i][0] == 0)
2441         {
2442         num[i] = 0;
2443         DEBUG(D_expand)
2444           debug_printf("empty string cast to zero for numerical comparison\n");
2445         }
2446       else
2447         {
2448         num[i] = expand_string_integer(sub[i], FALSE);
2449         if (expand_string_message != NULL) return NULL;
2450         }
2451       }
2452     }
2453
2454   /* Result not required */
2455
2456   if (yield == NULL) return s;
2457
2458   /* Do an appropriate comparison */
2459
2460   switch(cond_type)
2461     {
2462     case ECOND_NUM_E:
2463     case ECOND_NUM_EE:
2464     tempcond = (num[0] == num[1]);
2465     break;
2466
2467     case ECOND_NUM_G:
2468     tempcond = (num[0] > num[1]);
2469     break;
2470
2471     case ECOND_NUM_GE:
2472     tempcond = (num[0] >= num[1]);
2473     break;
2474
2475     case ECOND_NUM_L:
2476     tempcond = (num[0] < num[1]);
2477     break;
2478
2479     case ECOND_NUM_LE:
2480     tempcond = (num[0] <= num[1]);
2481     break;
2482
2483     case ECOND_STR_LT:
2484     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2485     break;
2486
2487     case ECOND_STR_LTI:
2488     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2489     break;
2490
2491     case ECOND_STR_LE:
2492     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2493     break;
2494
2495     case ECOND_STR_LEI:
2496     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2497     break;
2498
2499     case ECOND_STR_EQ:
2500     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2501     break;
2502
2503     case ECOND_STR_EQI:
2504     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2505     break;
2506
2507     case ECOND_STR_GT:
2508     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2509     break;
2510
2511     case ECOND_STR_GTI:
2512     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2513     break;
2514
2515     case ECOND_STR_GE:
2516     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2517     break;
2518
2519     case ECOND_STR_GEI:
2520     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2521     break;
2522
2523     case ECOND_MATCH:   /* Regular expression match */
2524     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2525       NULL);
2526     if (re == NULL)
2527       {
2528       expand_string_message = string_sprintf("regular expression error in "
2529         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2530       return NULL;
2531       }
2532     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2533     break;
2534
2535     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2536     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2537     goto MATCHED_SOMETHING;
2538
2539     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2540     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2541       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2542     goto MATCHED_SOMETHING;
2543
2544     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2545     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2546       {
2547       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2548         sub[0]);
2549       return NULL;
2550       }
2551     else
2552       {
2553       unsigned int *nullcache = NULL;
2554       check_host_block cb;
2555
2556       cb.host_name = US"";
2557       cb.host_address = sub[0];
2558
2559       /* If the host address starts off ::ffff: it is an IPv6 address in
2560       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2561       addresses. */
2562
2563       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2564         cb.host_address + 7 : cb.host_address;
2565
2566       rc = match_check_list(
2567              &sub[1],                   /* the list */
2568              0,                         /* separator character */
2569              &hostlist_anchor,          /* anchor pointer */
2570              &nullcache,                /* cache pointer */
2571              check_host,                /* function for testing */
2572              &cb,                       /* argument for function */
2573              MCL_HOST,                  /* type of check */
2574              sub[0],                    /* text for debugging */
2575              NULL);                     /* where to pass back data */
2576       }
2577     goto MATCHED_SOMETHING;
2578
2579     case ECOND_MATCH_LOCAL_PART:
2580     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2581       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2582     /* Fall through */
2583     /* VVVVVVVVVVVV */
2584     MATCHED_SOMETHING:
2585     switch(rc)
2586       {
2587       case OK:
2588       tempcond = TRUE;
2589       break;
2590
2591       case FAIL:
2592       tempcond = FALSE;
2593       break;
2594
2595       case DEFER:
2596       expand_string_message = string_sprintf("unable to complete match "
2597         "against \"%s\": %s", sub[1], search_error_message);
2598       return NULL;
2599       }
2600
2601     break;
2602
2603     /* Various "encrypted" comparisons. If the second string starts with
2604     "{" then an encryption type is given. Default to crypt() or crypt16()
2605     (build-time choice). */
2606     /* }-for-text-editors */
2607
2608     case ECOND_CRYPTEQ:
2609     #ifndef SUPPORT_CRYPTEQ
2610     goto COND_FAILED_NOT_COMPILED;
2611     #else
2612     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2613       {
2614       int sublen = Ustrlen(sub[1]+5);
2615       md5 base;
2616       uschar digest[16];
2617
2618       md5_start(&base);
2619       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2620
2621       /* If the length that we are comparing against is 24, the MD5 digest
2622       is expressed as a base64 string. This is the way LDAP does it. However,
2623       some other software uses a straightforward hex representation. We assume
2624       this if the length is 32. Other lengths fail. */
2625
2626       if (sublen == 24)
2627         {
2628         uschar *coded = auth_b64encode((uschar *)digest, 16);
2629         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2630           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2631         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2632         }
2633       else if (sublen == 32)
2634         {
2635         int i;
2636         uschar coded[36];
2637         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2638         coded[32] = 0;
2639         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2640           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2641         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2642         }
2643       else
2644         {
2645         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2646           "fail\n  crypted=%s\n", sub[1]+5);
2647         tempcond = FALSE;
2648         }
2649       }
2650
2651     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2652       {
2653       int sublen = Ustrlen(sub[1]+6);
2654       sha1 base;
2655       uschar digest[20];
2656
2657       sha1_start(&base);
2658       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2659
2660       /* If the length that we are comparing against is 28, assume the SHA1
2661       digest is expressed as a base64 string. If the length is 40, assume a
2662       straightforward hex representation. Other lengths fail. */
2663
2664       if (sublen == 28)
2665         {
2666         uschar *coded = auth_b64encode((uschar *)digest, 20);
2667         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2668           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2669         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2670         }
2671       else if (sublen == 40)
2672         {
2673         int i;
2674         uschar coded[44];
2675         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2676         coded[40] = 0;
2677         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2678           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2679         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2680         }
2681       else
2682         {
2683         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2684           "fail\n  crypted=%s\n", sub[1]+6);
2685         tempcond = FALSE;
2686         }
2687       }
2688
2689     else   /* {crypt} or {crypt16} and non-{ at start */
2690            /* }-for-text-editors */
2691       {
2692       int which = 0;
2693       uschar *coded;
2694
2695       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2696         {
2697         sub[1] += 7;
2698         which = 1;
2699         }
2700       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2701         {
2702         sub[1] += 9;
2703         which = 2;
2704         }
2705       else if (sub[1][0] == '{')                /* }-for-text-editors */
2706         {
2707         expand_string_message = string_sprintf("unknown encryption mechanism "
2708           "in \"%s\"", sub[1]);
2709         return NULL;
2710         }
2711
2712       switch(which)
2713         {
2714         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2715         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2716         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2717         }
2718
2719       #define STR(s) # s
2720       #define XSTR(s) STR(s)
2721       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2722         "  subject=%s\n  crypted=%s\n",
2723         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2724         coded, sub[1]);
2725       #undef STR
2726       #undef XSTR
2727
2728       /* If the encrypted string contains fewer than two characters (for the
2729       salt), force failure. Otherwise we get false positives: with an empty
2730       string the yield of crypt() is an empty string! */
2731
2732       tempcond = (Ustrlen(sub[1]) < 2)? FALSE :
2733         (Ustrcmp(coded, sub[1]) == 0);
2734       }
2735     break;
2736     #endif  /* SUPPORT_CRYPTEQ */
2737
2738     case ECOND_INLIST:
2739     case ECOND_INLISTI:
2740       {
2741       int sep = 0;
2742       uschar *save_iterate_item = iterate_item;
2743       int (*compare)(const uschar *, const uschar *);
2744
2745       tempcond = FALSE;
2746       if (cond_type == ECOND_INLISTI)
2747         compare = strcmpic;
2748       else
2749         compare = (int (*)(const uschar *, const uschar *)) strcmp;
2750
2751       while ((iterate_item = string_nextinlist(&sub[1], &sep, NULL, 0)) != NULL)
2752         if (compare(sub[0], iterate_item) == 0)
2753           {
2754           tempcond = TRUE;
2755           break;
2756           }
2757       iterate_item = save_iterate_item;
2758       }
2759
2760     }   /* Switch for comparison conditions */
2761
2762   *yield = tempcond == testfor;
2763   return s;    /* End of comparison conditions */
2764
2765
2766   /* and/or: computes logical and/or of several conditions */
2767
2768   case ECOND_AND:
2769   case ECOND_OR:
2770   subcondptr = (yield == NULL)? NULL : &tempcond;
2771   combined_cond = (cond_type == ECOND_AND);
2772
2773   while (isspace(*s)) s++;
2774   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2775
2776   for (;;)
2777     {
2778     while (isspace(*s)) s++;
2779     /* {-for-text-editors */
2780     if (*s == '}') break;
2781     if (*s != '{')                                      /* }-for-text-editors */
2782       {
2783       expand_string_message = string_sprintf("each subcondition "
2784         "inside an \"%s{...}\" condition must be in its own {}", name);
2785       return NULL;
2786       }
2787
2788     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2789       {
2790       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2791         expand_string_message, name);
2792       return NULL;
2793       }
2794     while (isspace(*s)) s++;
2795
2796     /* {-for-text-editors */
2797     if (*s++ != '}')
2798       {
2799       /* {-for-text-editors */
2800       expand_string_message = string_sprintf("missing } at end of condition "
2801         "inside \"%s\" group", name);
2802       return NULL;
2803       }
2804
2805     if (yield != NULL)
2806       {
2807       if (cond_type == ECOND_AND)
2808         {
2809         combined_cond &= tempcond;
2810         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2811         }                                       /* evaluate any more */
2812       else
2813         {
2814         combined_cond |= tempcond;
2815         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2816         }                                       /* evaluate any more */
2817       }
2818     }
2819
2820   if (yield != NULL) *yield = (combined_cond == testfor);
2821   return ++s;
2822
2823
2824   /* forall/forany: iterates a condition with different values */
2825
2826   case ECOND_FORALL:
2827   case ECOND_FORANY:
2828     {
2829     int sep = 0;
2830     uschar *save_iterate_item = iterate_item;
2831
2832     while (isspace(*s)) s++;
2833     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2834     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2835     if (sub[0] == NULL) return NULL;
2836     /* {-for-text-editors */
2837     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2838
2839     while (isspace(*s)) s++;
2840     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2841
2842     sub[1] = s;
2843
2844     /* Call eval_condition once, with result discarded (as if scanning a
2845     "false" part). This allows us to find the end of the condition, because if
2846     the list it empty, we won't actually evaluate the condition for real. */
2847
2848     if (!(s = eval_condition(sub[1], resetok, NULL)))
2849       {
2850       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2851         expand_string_message, name);
2852       return NULL;
2853       }
2854     while (isspace(*s)) s++;
2855
2856     /* {-for-text-editors */
2857     if (*s++ != '}')
2858       {
2859       /* {-for-text-editors */
2860       expand_string_message = string_sprintf("missing } at end of condition "
2861         "inside \"%s\"", name);
2862       return NULL;
2863       }
2864
2865     if (yield != NULL) *yield = !testfor;
2866     while ((iterate_item = string_nextinlist(&sub[0], &sep, NULL, 0)) != NULL)
2867       {
2868       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2869       if (!eval_condition(sub[1], resetok, &tempcond))
2870         {
2871         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2872           expand_string_message, name);
2873         iterate_item = save_iterate_item;
2874         return NULL;
2875         }
2876       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2877         tempcond? "true":"false");
2878
2879       if (yield != NULL) *yield = (tempcond == testfor);
2880       if (tempcond == (cond_type == ECOND_FORANY)) break;
2881       }
2882
2883     iterate_item = save_iterate_item;
2884     return s;
2885     }
2886
2887
2888   /* The bool{} expansion condition maps a string to boolean.
2889   The values supported should match those supported by the ACL condition
2890   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2891   of true/false.  Note that Router "condition" rules have a different
2892   interpretation, where general data can be used and only a few values
2893   map to FALSE.
2894   Note that readconf.c boolean matching, for boolean configuration options,
2895   only matches true/yes/false/no.
2896   The bool_lax{} condition matches the Router logic, which is much more
2897   liberal. */
2898   case ECOND_BOOL:
2899   case ECOND_BOOL_LAX:
2900     {
2901     uschar *sub_arg[1];
2902     uschar *t, *t2;
2903     uschar *ourname;
2904     size_t len;
2905     BOOL boolvalue = FALSE;
2906     while (isspace(*s)) s++;
2907     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2908     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2909     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2910       {
2911       case 1: expand_string_message = string_sprintf(
2912                   "too few arguments or bracketing error for %s",
2913                   ourname);
2914       /*FALLTHROUGH*/
2915       case 2:
2916       case 3: return NULL;
2917       }
2918     t = sub_arg[0];
2919     while (isspace(*t)) t++;
2920     len = Ustrlen(t);
2921     if (len)
2922       {
2923       /* trailing whitespace: seems like a good idea to ignore it too */
2924       t2 = t + len - 1;
2925       while (isspace(*t2)) t2--;
2926       if (t2 != (t + len))
2927         {
2928         *++t2 = '\0';
2929         len = t2 - t;
2930         }
2931       }
2932     DEBUG(D_expand)
2933       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
2934     /* logic for the lax case from expand_check_condition(), which also does
2935     expands, and the logic is both short and stable enough that there should
2936     be no maintenance burden from replicating it. */
2937     if (len == 0)
2938       boolvalue = FALSE;
2939     else if (*t == '-'
2940              ? Ustrspn(t+1, "0123456789") == len-1
2941              : Ustrspn(t,   "0123456789") == len)
2942       {
2943       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
2944       /* expand_check_condition only does a literal string "0" check */
2945       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
2946         boolvalue = TRUE;
2947       }
2948     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
2949       boolvalue = TRUE;
2950     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
2951       boolvalue = FALSE;
2952     else if (cond_type == ECOND_BOOL_LAX)
2953       boolvalue = TRUE;
2954     else
2955       {
2956       expand_string_message = string_sprintf("unrecognised boolean "
2957        "value \"%s\"", t);
2958       return NULL;
2959       }
2960     if (yield != NULL) *yield = (boolvalue == testfor);
2961     return s;
2962     }
2963
2964   /* Unknown condition */
2965
2966   default:
2967   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
2968   return NULL;
2969   }   /* End switch on condition type */
2970
2971 /* Missing braces at start and end of data */
2972
2973 COND_FAILED_CURLY_START:
2974 expand_string_message = string_sprintf("missing { after \"%s\"", name);
2975 return NULL;
2976
2977 COND_FAILED_CURLY_END:
2978 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
2979   name);
2980 return NULL;
2981
2982 /* A condition requires code that is not compiled */
2983
2984 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
2985     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
2986     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
2987 COND_FAILED_NOT_COMPILED:
2988 expand_string_message = string_sprintf("support for \"%s\" not compiled",
2989   name);
2990 return NULL;
2991 #endif
2992 }
2993
2994
2995
2996
2997 /*************************************************
2998 *          Save numerical variables              *
2999 *************************************************/
3000
3001 /* This function is called from items such as "if" that want to preserve and
3002 restore the numbered variables.
3003
3004 Arguments:
3005   save_expand_string    points to an array of pointers to set
3006   save_expand_nlength   points to an array of ints for the lengths
3007
3008 Returns:                the value of expand max to save
3009 */
3010
3011 static int
3012 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3013 {
3014 int i;
3015 for (i = 0; i <= expand_nmax; i++)
3016   {
3017   save_expand_nstring[i] = expand_nstring[i];
3018   save_expand_nlength[i] = expand_nlength[i];
3019   }
3020 return expand_nmax;
3021 }
3022
3023
3024
3025 /*************************************************
3026 *           Restore numerical variables          *
3027 *************************************************/
3028
3029 /* This function restored saved values of numerical strings.
3030
3031 Arguments:
3032   save_expand_nmax      the number of strings to restore
3033   save_expand_string    points to an array of pointers
3034   save_expand_nlength   points to an array of ints
3035
3036 Returns:                nothing
3037 */
3038
3039 static void
3040 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3041   int *save_expand_nlength)
3042 {
3043 int i;
3044 expand_nmax = save_expand_nmax;
3045 for (i = 0; i <= expand_nmax; i++)
3046   {
3047   expand_nstring[i] = save_expand_nstring[i];
3048   expand_nlength[i] = save_expand_nlength[i];
3049   }
3050 }
3051
3052
3053
3054
3055
3056 /*************************************************
3057 *            Handle yes/no substrings            *
3058 *************************************************/
3059
3060 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3061 alternative substrings that depend on whether or not the condition was true,
3062 or the lookup or extraction succeeded. The substrings always have to be
3063 expanded, to check their syntax, but "skipping" is set when the result is not
3064 needed - this avoids unnecessary nested lookups.
3065
3066 Arguments:
3067   skipping       TRUE if we were skipping when this item was reached
3068   yes            TRUE if the first string is to be used, else use the second
3069   save_lookup    a value to put back into lookup_value before the 2nd expansion
3070   sptr           points to the input string pointer
3071   yieldptr       points to the output string pointer
3072   sizeptr        points to the output string size
3073   ptrptr         points to the output string pointer
3074   type           "lookup" or "if" or "extract" or "run", for error message
3075   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3076                 the store.
3077
3078 Returns:         0 OK; lookup_value has been reset to save_lookup
3079                  1 expansion failed
3080                  2 expansion failed because of bracketing error
3081 */
3082
3083 static int
3084 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, uschar **sptr,
3085   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3086 {
3087 int rc = 0;
3088 uschar *s = *sptr;    /* Local value */
3089 uschar *sub1, *sub2;
3090
3091 /* If there are no following strings, we substitute the contents of $value for
3092 lookups and for extractions in the success case. For the ${if item, the string
3093 "true" is substituted. In the fail case, nothing is substituted for all three
3094 items. */
3095
3096 while (isspace(*s)) s++;
3097 if (*s == '}')
3098   {
3099   if (type[0] == 'i')
3100     {
3101     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3102     }
3103   else
3104     {
3105     if (yes && lookup_value != NULL)
3106       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3107         Ustrlen(lookup_value));
3108     lookup_value = save_lookup;
3109     }
3110   s++;
3111   goto RETURN;
3112   }
3113
3114 /* The first following string must be braced. */
3115
3116 if (*s++ != '{') goto FAILED_CURLY;
3117
3118 /* Expand the first substring. Forced failures are noticed only if we actually
3119 want this string. Set skipping in the call in the fail case (this will always
3120 be the case if we were already skipping). */
3121
3122 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3123 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3124 expand_string_forcedfail = FALSE;
3125 if (*s++ != '}') goto FAILED_CURLY;
3126
3127 /* If we want the first string, add it to the output */
3128
3129 if (yes)
3130   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3131
3132 /* If this is called from a lookup or an extract, we want to restore $value to
3133 what it was at the start of the item, so that it has this value during the
3134 second string expansion. For the call from "if" or "run" to this function,
3135 save_lookup is set to lookup_value, so that this statement does nothing. */
3136
3137 lookup_value = save_lookup;
3138
3139 /* There now follows either another substring, or "fail", or nothing. This
3140 time, forced failures are noticed only if we want the second string. We must
3141 set skipping in the nested call if we don't want this string, or if we were
3142 already skipping. */
3143
3144 while (isspace(*s)) s++;
3145 if (*s == '{')
3146   {
3147   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3148   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3149   expand_string_forcedfail = FALSE;
3150   if (*s++ != '}') goto FAILED_CURLY;
3151
3152   /* If we want the second string, add it to the output */
3153
3154   if (!yes)
3155     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3156   }
3157
3158 /* If there is no second string, but the word "fail" is present when the use of
3159 the second string is wanted, set a flag indicating it was a forced failure
3160 rather than a syntactic error. Swallow the terminating } in case this is nested
3161 inside another lookup or if or extract. */
3162
3163 else if (*s != '}')
3164   {
3165   uschar name[256];
3166   s = read_name(name, sizeof(name), s, US"_");
3167   if (Ustrcmp(name, "fail") == 0)
3168     {
3169     if (!yes && !skipping)
3170       {
3171       while (isspace(*s)) s++;
3172       if (*s++ != '}') goto FAILED_CURLY;
3173       expand_string_message =
3174         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3175       expand_string_forcedfail = TRUE;
3176       goto FAILED;
3177       }
3178     }
3179   else
3180     {
3181     expand_string_message =
3182       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3183     goto FAILED;
3184     }
3185   }
3186
3187 /* All we have to do now is to check on the final closing brace. */
3188
3189 while (isspace(*s)) s++;
3190 if (*s++ == '}') goto RETURN;
3191
3192 /* Get here if there is a bracketing failure */
3193
3194 FAILED_CURLY:
3195 rc++;
3196
3197 /* Get here for other failures */
3198
3199 FAILED:
3200 rc++;
3201
3202 /* Update the input pointer value before returning */
3203
3204 RETURN:
3205 *sptr = s;
3206 return rc;
3207 }
3208
3209
3210
3211
3212 /*************************************************
3213 *    Handle MD5 or SHA-1 computation for HMAC    *
3214 *************************************************/
3215
3216 /* These are some wrapping functions that enable the HMAC code to be a bit
3217 cleaner. A good compiler will spot the tail recursion.
3218
3219 Arguments:
3220   type         HMAC_MD5 or HMAC_SHA1
3221   remaining    are as for the cryptographic hash functions
3222
3223 Returns:       nothing
3224 */
3225
3226 static void
3227 chash_start(int type, void *base)
3228 {
3229 if (type == HMAC_MD5)
3230   md5_start((md5 *)base);
3231 else
3232   sha1_start((sha1 *)base);
3233 }
3234
3235 static void
3236 chash_mid(int type, void *base, uschar *string)
3237 {
3238 if (type == HMAC_MD5)
3239   md5_mid((md5 *)base, string);
3240 else
3241   sha1_mid((sha1 *)base, string);
3242 }
3243
3244 static void
3245 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3246 {
3247 if (type == HMAC_MD5)
3248   md5_end((md5 *)base, string, length, digest);
3249 else
3250   sha1_end((sha1 *)base, string, length, digest);
3251 }
3252
3253
3254
3255
3256
3257 /********************************************************
3258 * prvs: Get last three digits of days since Jan 1, 1970 *
3259 ********************************************************/
3260
3261 /* This is needed to implement the "prvs" BATV reverse
3262    path signing scheme
3263
3264 Argument: integer "days" offset to add or substract to
3265           or from the current number of days.
3266
3267 Returns:  pointer to string containing the last three
3268           digits of the number of days since Jan 1, 1970,
3269           modified by the offset argument, NULL if there
3270           was an error in the conversion.
3271
3272 */
3273
3274 static uschar *
3275 prvs_daystamp(int day_offset)
3276 {
3277 uschar *days = store_get(32);                /* Need at least 24 for cases */
3278 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3279   (time(NULL) + day_offset*86400)/86400);
3280 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3281 }
3282
3283
3284
3285 /********************************************************
3286 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3287 ********************************************************/
3288
3289 /* This is needed to implement the "prvs" BATV reverse
3290    path signing scheme
3291
3292 Arguments:
3293   address RFC2821 Address to use
3294       key The key to use (must be less than 64 characters
3295           in size)
3296   key_num Single-digit key number to use. Defaults to
3297           '0' when NULL.
3298
3299 Returns:  pointer to string containing the first three
3300           bytes of the final hash in hex format, NULL if
3301           there was an error in the process.
3302 */
3303
3304 static uschar *
3305 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3306 {
3307 uschar *hash_source, *p;
3308 int size = 0,offset = 0,i;
3309 sha1 sha1_base;
3310 void *use_base = &sha1_base;
3311 uschar innerhash[20];
3312 uschar finalhash[20];
3313 uschar innerkey[64];
3314 uschar outerkey[64];
3315 uschar *finalhash_hex = store_get(40);
3316
3317 if (key_num == NULL)
3318   key_num = US"0";
3319
3320 if (Ustrlen(key) > 64)
3321   return NULL;
3322
3323 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3324 string_cat(hash_source,&size,&offset,daystamp,3);
3325 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3326 hash_source[offset] = '\0';
3327
3328 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3329
3330 memset(innerkey, 0x36, 64);
3331 memset(outerkey, 0x5c, 64);
3332
3333 for (i = 0; i < Ustrlen(key); i++)
3334   {
3335   innerkey[i] ^= key[i];
3336   outerkey[i] ^= key[i];
3337   }
3338
3339 chash_start(HMAC_SHA1, use_base);
3340 chash_mid(HMAC_SHA1, use_base, innerkey);
3341 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3342
3343 chash_start(HMAC_SHA1, use_base);
3344 chash_mid(HMAC_SHA1, use_base, outerkey);
3345 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3346
3347 p = finalhash_hex;
3348 for (i = 0; i < 3; i++)
3349   {
3350   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3351   *p++ = hex_digits[finalhash[i] & 0x0f];
3352   }
3353 *p = '\0';
3354
3355 return finalhash_hex;
3356 }
3357
3358
3359
3360
3361 /*************************************************
3362 *        Join a file onto the output string      *
3363 *************************************************/
3364
3365 /* This is used for readfile and after a run expansion. It joins the contents
3366 of a file onto the output string, globally replacing newlines with a given
3367 string (optionally). The file is closed at the end.
3368
3369 Arguments:
3370   f            the FILE
3371   yield        pointer to the expandable string
3372   sizep        pointer to the current size
3373   ptrp         pointer to the current position
3374   eol          newline replacement string, or NULL
3375
3376 Returns:       new value of string pointer
3377 */
3378
3379 static uschar *
3380 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3381 {
3382 int eollen;
3383 uschar buffer[1024];
3384
3385 eollen = (eol == NULL)? 0 : Ustrlen(eol);
3386
3387 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
3388   {
3389   int len = Ustrlen(buffer);
3390   if (eol != NULL && buffer[len-1] == '\n') len--;
3391   yield = string_cat(yield, sizep, ptrp, buffer, len);
3392   if (buffer[len] != 0)
3393     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3394   }
3395
3396 if (yield != NULL) yield[*ptrp] = 0;
3397
3398 return yield;
3399 }
3400
3401
3402
3403
3404 /*************************************************
3405 *          Evaluate numeric expression           *
3406 *************************************************/
3407
3408 /* This is a set of mutually recursive functions that evaluate an arithmetic
3409 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3410 these functions that is called from elsewhere is eval_expr, whose interface is:
3411
3412 Arguments:
3413   sptr        pointer to the pointer to the string - gets updated
3414   decimal     TRUE if numbers are to be assumed decimal
3415   error       pointer to where to put an error message - must be NULL on input
3416   endket      TRUE if ')' must terminate - FALSE for external call
3417
3418 Returns:      on success: the value of the expression, with *error still NULL
3419               on failure: an undefined value, with *error = a message
3420 */
3421
3422 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3423
3424
3425 static int_eximarith_t
3426 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3427 {
3428 uschar *s = *sptr;
3429 int_eximarith_t x = eval_op_or(&s, decimal, error);
3430 if (*error == NULL)
3431   {
3432   if (endket)
3433     {
3434     if (*s != ')')
3435       *error = US"expecting closing parenthesis";
3436     else
3437       while (isspace(*(++s)));
3438     }
3439   else if (*s != 0) *error = US"expecting operator";
3440   }
3441 *sptr = s;
3442 return x;
3443 }
3444
3445
3446 static int_eximarith_t
3447 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3448 {
3449 register int c;
3450 int_eximarith_t n;
3451 uschar *s = *sptr;
3452 while (isspace(*s)) s++;
3453 c = *s;
3454 if (isdigit(c))
3455   {
3456   int count;
3457   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3458   s += count;
3459   switch (tolower(*s))
3460     {
3461     default: break;
3462     case 'k': n *= 1024; s++; break;
3463     case 'm': n *= 1024*1024; s++; break;
3464     case 'g': n *= 1024*1024*1024; s++; break;
3465     }
3466   while (isspace (*s)) s++;
3467   }
3468 else if (c == '(')
3469   {
3470   s++;
3471   n = eval_expr(&s, decimal, error, 1);
3472   }
3473 else
3474   {
3475   *error = US"expecting number or opening parenthesis";
3476   n = 0;
3477   }
3478 *sptr = s;
3479 return n;
3480 }
3481
3482
3483 static int_eximarith_t
3484 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3485 {
3486 uschar *s = *sptr;
3487 int_eximarith_t x;
3488 while (isspace(*s)) s++;
3489 if (*s == '+' || *s == '-' || *s == '~')
3490   {
3491   int op = *s++;
3492   x = eval_op_unary(&s, decimal, error);
3493   if (op == '-') x = -x;
3494     else if (op == '~') x = ~x;
3495   }
3496 else
3497   {
3498   x = eval_number(&s, decimal, error);
3499   }
3500 *sptr = s;
3501 return x;
3502 }
3503
3504
3505 static int_eximarith_t
3506 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3507 {
3508 uschar *s = *sptr;
3509 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3510 if (*error == NULL)
3511   {
3512   while (*s == '*' || *s == '/' || *s == '%')
3513     {
3514     int op = *s++;
3515     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3516     if (*error != NULL) break;
3517     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3518      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3519      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3520      * -N*M is INT_MIN will yielf INT_MIN.
3521      * Since we don't support floating point, this is somewhat simpler.
3522      * Ideally, we'd return an error, but since we overflow for all other
3523      * arithmetic, consistency suggests otherwise, but what's the correct value
3524      * to use?  There is none.
3525      * The C standard guarantees overflow for unsigned arithmetic but signed
3526      * overflow invokes undefined behaviour; in practice, this is overflow
3527      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3528      * that long/longlong larger than int are available, or we could just work
3529      * with larger types.  We should consider whether to guarantee 32bit eval
3530      * and 64-bit working variables, with errors returned.  For now ...
3531      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3532      * can just let the other invalid results occur otherwise, as they have
3533      * until now.  For this one case, we can coerce.
3534      */
3535     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3536       {
3537       DEBUG(D_expand)
3538         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3539             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3540       x = EXIM_ARITH_MAX;
3541       continue;
3542       }
3543     if (op == '*')
3544       x *= y;
3545     else
3546       {
3547       if (y == 0)
3548         {
3549         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3550         x = 0;
3551         break;
3552         }
3553       if (op == '/')
3554         x /= y;
3555       else
3556         x %= y;
3557       }
3558     }
3559   }
3560 *sptr = s;
3561 return x;
3562 }
3563
3564
3565 static int_eximarith_t
3566 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3567 {
3568 uschar *s = *sptr;
3569 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3570 if (*error == NULL)
3571   {
3572   while (*s == '+' || *s == '-')
3573     {
3574     int op = *s++;
3575     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3576     if (*error != NULL) break;
3577     if (op == '+') x += y; else x -= y;
3578     }
3579   }
3580 *sptr = s;
3581 return x;
3582 }
3583
3584
3585 static int_eximarith_t
3586 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3587 {
3588 uschar *s = *sptr;
3589 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3590 if (*error == NULL)
3591   {
3592   while ((*s == '<' || *s == '>') && s[1] == s[0])
3593     {
3594     int_eximarith_t y;
3595     int op = *s++;
3596     s++;
3597     y = eval_op_sum(&s, decimal, error);
3598     if (*error != NULL) break;
3599     if (op == '<') x <<= y; else x >>= y;
3600     }
3601   }
3602 *sptr = s;
3603 return x;
3604 }
3605
3606
3607 static int_eximarith_t
3608 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3609 {
3610 uschar *s = *sptr;
3611 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3612 if (*error == NULL)
3613   {
3614   while (*s == '&')
3615     {
3616     int_eximarith_t y;
3617     s++;
3618     y = eval_op_shift(&s, decimal, error);
3619     if (*error != NULL) break;
3620     x &= y;
3621     }
3622   }
3623 *sptr = s;
3624 return x;
3625 }
3626
3627
3628 static int_eximarith_t
3629 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3630 {
3631 uschar *s = *sptr;
3632 int_eximarith_t x = eval_op_and(&s, decimal, error);
3633 if (*error == NULL)
3634   {
3635   while (*s == '^')
3636     {
3637     int_eximarith_t y;
3638     s++;
3639     y = eval_op_and(&s, decimal, error);
3640     if (*error != NULL) break;
3641     x ^= y;
3642     }
3643   }
3644 *sptr = s;
3645 return x;
3646 }
3647
3648
3649 static int_eximarith_t
3650 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3651 {
3652 uschar *s = *sptr;
3653 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3654 if (*error == NULL)
3655   {
3656   while (*s == '|')
3657     {
3658     int_eximarith_t y;
3659     s++;
3660     y = eval_op_xor(&s, decimal, error);
3661     if (*error != NULL) break;
3662     x |= y;
3663     }
3664   }
3665 *sptr = s;
3666 return x;
3667 }
3668
3669
3670
3671 /*************************************************
3672 *                 Expand string                  *
3673 *************************************************/
3674
3675 /* Returns either an unchanged string, or the expanded string in stacking pool
3676 store. Interpreted sequences are:
3677
3678    \...                    normal escaping rules
3679    $name                   substitutes the variable
3680    ${name}                 ditto
3681    ${op:string}            operates on the expanded string value
3682    ${item{arg1}{arg2}...}  expands the args and then does the business
3683                              some literal args are not enclosed in {}
3684
3685 There are now far too many operators and item types to make it worth listing
3686 them here in detail any more.
3687
3688 We use an internal routine recursively to handle embedded substrings. The
3689 external function follows. The yield is NULL if the expansion failed, and there
3690 are two cases: if something collapsed syntactically, or if "fail" was given
3691 as the action on a lookup failure. These can be distinguised by looking at the
3692 variable expand_string_forcedfail, which is TRUE in the latter case.
3693
3694 The skipping flag is set true when expanding a substring that isn't actually
3695 going to be used (after "if" or "lookup") and it prevents lookups from
3696 happening lower down.
3697
3698 Store usage: At start, a store block of the length of the input plus 64
3699 is obtained. This is expanded as necessary by string_cat(), which might have to
3700 get a new block, or might be able to expand the original. At the end of the
3701 function we can release any store above that portion of the yield block that
3702 was actually used. In many cases this will be optimal.
3703
3704 However: if the first item in the expansion is a variable name or header name,
3705 we reset the store before processing it; if the result is in fresh store, we
3706 use that without copying. This is helpful for expanding strings like
3707 $message_headers which can get very long.
3708
3709 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3710 since resetting the store at the end of the expansion will free store that was
3711 allocated by the plugin code as well as the slop after the expanded string. So
3712 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3713 and, given the acl condition, ${if }. This is an unfortunate consequence of
3714 string expansion becoming too powerful.
3715
3716 Arguments:
3717   string         the string to be expanded
3718   ket_ends       true if expansion is to stop at }
3719   left           if not NULL, a pointer to the first character after the
3720                  expansion is placed here (typically used with ket_ends)
3721   skipping       TRUE for recursive calls when the value isn't actually going
3722                  to be used (to allow for optimisation)
3723   honour_dollar  TRUE if $ is to be expanded,
3724                  FALSE if it's just another character
3725   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3726                  the store.
3727
3728 Returns:         NULL if expansion fails:
3729                    expand_string_forcedfail is set TRUE if failure was forced
3730                    expand_string_message contains a textual error message
3731                  a pointer to the expanded string on success
3732 */
3733
3734 static uschar *
3735 expand_string_internal(uschar *string, BOOL ket_ends, uschar **left,
3736   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3737 {
3738 int ptr = 0;
3739 int size = Ustrlen(string)+ 64;
3740 int item_type;
3741 uschar *yield = store_get(size);
3742 uschar *s = string;
3743 uschar *save_expand_nstring[EXPAND_MAXN+1];
3744 int save_expand_nlength[EXPAND_MAXN+1];
3745 BOOL resetok = TRUE;
3746
3747 expand_string_forcedfail = FALSE;
3748 expand_string_message = US"";
3749
3750 while (*s != 0)
3751   {
3752   uschar *value;
3753   uschar name[256];
3754
3755   /* \ escapes the next character, which must exist, or else
3756   the expansion fails. There's a special escape, \N, which causes
3757   copying of the subject verbatim up to the next \N. Otherwise,
3758   the escapes are the standard set. */
3759
3760   if (*s == '\\')
3761     {
3762     if (s[1] == 0)
3763       {
3764       expand_string_message = US"\\ at end of string";
3765       goto EXPAND_FAILED;
3766       }
3767
3768     if (s[1] == 'N')
3769       {
3770       uschar *t = s + 2;
3771       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3772       yield = string_cat(yield, &size, &ptr, t, s - t);
3773       if (*s != 0) s += 2;
3774       }
3775
3776     else
3777       {
3778       uschar ch[1];
3779       ch[0] = string_interpret_escape(&s);
3780       s++;
3781       yield = string_cat(yield, &size, &ptr, ch, 1);
3782       }
3783
3784     continue;
3785     }
3786
3787   /*{*/
3788   /* Anything other than $ is just copied verbatim, unless we are
3789   looking for a terminating } character. */
3790
3791   /*{*/
3792   if (ket_ends && *s == '}') break;
3793
3794   if (*s != '$' || !honour_dollar)
3795     {
3796     yield = string_cat(yield, &size, &ptr, s++, 1);
3797     continue;
3798     }
3799
3800   /* No { after the $ - must be a plain name or a number for string
3801   match variable. There has to be a fudge for variables that are the
3802   names of header fields preceded by "$header_" because header field
3803   names can contain any printing characters except space and colon.
3804   For those that don't like typing this much, "$h_" is a synonym for
3805   "$header_". A non-existent header yields a NULL value; nothing is
3806   inserted. */  /*}*/
3807
3808   if (isalpha((*(++s))))
3809     {
3810     int len;
3811     int newsize = 0;
3812
3813     s = read_name(name, sizeof(name), s, US"_");
3814
3815     /* If this is the first thing to be expanded, release the pre-allocated
3816     buffer. */
3817
3818     if (ptr == 0 && yield != NULL)
3819       {
3820       if (resetok) store_reset(yield);
3821       yield = NULL;
3822       size = 0;
3823       }
3824
3825     /* Header */
3826
3827     if (Ustrncmp(name, "h_", 2) == 0 ||
3828         Ustrncmp(name, "rh_", 3) == 0 ||
3829         Ustrncmp(name, "bh_", 3) == 0 ||
3830         Ustrncmp(name, "header_", 7) == 0 ||
3831         Ustrncmp(name, "rheader_", 8) == 0 ||
3832         Ustrncmp(name, "bheader_", 8) == 0)
3833       {
3834       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3835       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3836       s = read_header_name(name, sizeof(name), s);
3837       value = find_header(name, FALSE, &newsize, want_raw, charset);
3838
3839       /* If we didn't find the header, and the header contains a closing brace
3840       character, this may be a user error where the terminating colon
3841       has been omitted. Set a flag to adjust the error message in this case.
3842       But there is no error here - nothing gets inserted. */
3843
3844       if (value == NULL)
3845         {
3846         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3847         continue;
3848         }
3849       }
3850
3851     /* Variable */
3852
3853     else
3854       {
3855       value = find_variable(name, FALSE, skipping, &newsize);
3856       if (value == NULL)
3857         {
3858         expand_string_message =
3859           string_sprintf("unknown variable name \"%s\"", name);
3860           check_variable_error_message(name);
3861         goto EXPAND_FAILED;
3862         }
3863       }
3864
3865     /* If the data is known to be in a new buffer, newsize will be set to the
3866     size of that buffer. If this is the first thing in an expansion string,
3867     yield will be NULL; just point it at the new store instead of copying. Many
3868     expansion strings contain just one reference, so this is a useful
3869     optimization, especially for humungous headers. */
3870
3871     len = Ustrlen(value);
3872     if (yield == NULL && newsize != 0)
3873       {
3874       yield = value;
3875       size = newsize;
3876       ptr = len;
3877       }
3878     else yield = string_cat(yield, &size, &ptr, value, len);
3879
3880     continue;
3881     }
3882
3883   if (isdigit(*s))
3884     {
3885     int n;
3886     s = read_number(&n, s);
3887     if (n >= 0 && n <= expand_nmax)
3888       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3889         expand_nlength[n]);
3890     continue;
3891     }
3892
3893   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3894
3895   if (*s != '{')                                                        /*}*/
3896     {
3897     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3898     goto EXPAND_FAILED;
3899     }
3900
3901   /* After { there can be various things, but they all start with
3902   an initial word, except for a number for a string match variable. */
3903
3904   if (isdigit((*(++s))))
3905     {
3906     int n;
3907     s = read_number(&n, s);             /*{*/
3908     if (*s++ != '}')
3909       {                                 /*{*/
3910       expand_string_message = US"} expected after number";
3911       goto EXPAND_FAILED;
3912       }
3913     if (n >= 0 && n <= expand_nmax)
3914       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3915         expand_nlength[n]);
3916     continue;
3917     }
3918
3919   if (!isalpha(*s))
3920     {
3921     expand_string_message = US"letter or digit expected after ${";      /*}*/
3922     goto EXPAND_FAILED;
3923     }
3924
3925   /* Allow "-" in names to cater for substrings with negative
3926   arguments. Since we are checking for known names after { this is
3927   OK. */
3928
3929   s = read_name(name, sizeof(name), s, US"_-");
3930   item_type = chop_match(name, item_table, sizeof(item_table)/sizeof(uschar *));
3931
3932   switch(item_type)
3933     {
3934     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
3935     If the ACL returns accept or reject we return content set by "message ="
3936     There is currently no limit on recursion; this would have us call
3937     acl_check_internal() directly and get a current level from somewhere.
3938     See also the acl expansion condition ECOND_ACL and the traditional
3939     acl modifier ACLC_ACL.
3940     Assume that the function has side-effects on the store that must be preserved.
3941     */
3942
3943     case EITEM_ACL:
3944       /* ${acl {name} {arg1}{arg2}...} */
3945       {
3946       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
3947       uschar *user_msg;
3948
3949       switch(read_subs(sub, 10, 1, &s, skipping, TRUE, US"acl", &resetok))
3950         {
3951         case 1: goto EXPAND_FAILED_CURLY;
3952         case 2:
3953         case 3: goto EXPAND_FAILED;
3954         }
3955       if (skipping) continue;
3956
3957       resetok = FALSE;
3958       switch(eval_acl(sub, sizeof(sub)/sizeof(*sub), &user_msg))
3959         {
3960         case OK:
3961         case FAIL:
3962           DEBUG(D_expand)
3963             debug_printf("acl expansion yield: %s\n", user_msg);
3964           if (user_msg)
3965             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
3966           continue;
3967
3968         case DEFER:
3969           expand_string_forcedfail = TRUE;
3970         default:
3971           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
3972           goto EXPAND_FAILED;
3973         }
3974       }
3975
3976     /* Handle conditionals - preserve the values of the numerical expansion
3977     variables in case they get changed by a regular expression match in the
3978     condition. If not, they retain their external settings. At the end
3979     of this "if" section, they get restored to their previous values. */
3980
3981     case EITEM_IF:
3982       {
3983       BOOL cond = FALSE;
3984       uschar *next_s;
3985       int save_expand_nmax =
3986         save_expand_strings(save_expand_nstring, save_expand_nlength);
3987
3988       while (isspace(*s)) s++;
3989       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
3990       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
3991
3992       DEBUG(D_expand)
3993         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
3994           cond? "true" : "false");
3995
3996       s = next_s;
3997
3998       /* The handling of "yes" and "no" result strings is now in a separate
3999       function that is also used by ${lookup} and ${extract} and ${run}. */
4000
4001       switch(process_yesno(
4002                skipping,                     /* were previously skipping */
4003                cond,                         /* success/failure indicator */
4004                lookup_value,                 /* value to reset for string2 */
4005                &s,                           /* input pointer */
4006                &yield,                       /* output pointer */
4007                &size,                        /* output size */
4008                &ptr,                         /* output current point */
4009                US"if",                       /* condition type */
4010                &resetok))
4011         {
4012         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4013         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4014         }
4015
4016       /* Restore external setting of expansion variables for continuation
4017       at this level. */
4018
4019       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4020         save_expand_nlength);
4021       continue;
4022       }
4023
4024     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4025     expanding an internal string that isn't actually going to be used. All we
4026     need to do is check the syntax, so don't do a lookup at all. Preserve the
4027     values of the numerical expansion variables in case they get changed by a
4028     partial lookup. If not, they retain their external settings. At the end
4029     of this "lookup" section, they get restored to their previous values. */
4030
4031     case EITEM_LOOKUP:
4032       {
4033       int stype, partial, affixlen, starflags;
4034       int expand_setup = 0;
4035       int nameptr = 0;
4036       uschar *key, *filename, *affix;
4037       uschar *save_lookup_value = lookup_value;
4038       int save_expand_nmax =
4039         save_expand_strings(save_expand_nstring, save_expand_nlength);
4040
4041       if ((expand_forbid & RDO_LOOKUP) != 0)
4042         {
4043         expand_string_message = US"lookup expansions are not permitted";
4044         goto EXPAND_FAILED;
4045         }
4046
4047       /* Get the key we are to look up for single-key+file style lookups.
4048       Otherwise set the key NULL pro-tem. */
4049
4050       while (isspace(*s)) s++;
4051       if (*s == '{')                                    /*}*/
4052         {
4053         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4054         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4055         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4056         while (isspace(*s)) s++;
4057         }
4058       else key = NULL;
4059
4060       /* Find out the type of database */
4061
4062       if (!isalpha(*s))
4063         {
4064         expand_string_message = US"missing lookup type";
4065         goto EXPAND_FAILED;
4066         }
4067
4068       /* The type is a string that may contain special characters of various
4069       kinds. Allow everything except space or { to appear; the actual content
4070       is checked by search_findtype_partial. */         /*}*/
4071
4072       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4073         {
4074         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4075         s++;
4076         }
4077       name[nameptr] = 0;
4078       while (isspace(*s)) s++;
4079
4080       /* Now check for the individual search type and any partial or default
4081       options. Only those types that are actually in the binary are valid. */
4082
4083       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4084         &starflags);
4085       if (stype < 0)
4086         {
4087         expand_string_message = search_error_message;
4088         goto EXPAND_FAILED;
4089         }
4090
4091       /* Check that a key was provided for those lookup types that need it,
4092       and was not supplied for those that use the query style. */
4093
4094       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4095         {
4096         if (key == NULL)
4097           {
4098           expand_string_message = string_sprintf("missing {key} for single-"
4099             "key \"%s\" lookup", name);
4100           goto EXPAND_FAILED;
4101           }
4102         }
4103       else
4104         {
4105         if (key != NULL)
4106           {
4107           expand_string_message = string_sprintf("a single key was given for "
4108             "lookup type \"%s\", which is not a single-key lookup type", name);
4109           goto EXPAND_FAILED;
4110           }
4111         }
4112
4113       /* Get the next string in brackets and expand it. It is the file name for
4114       single-key+file lookups, and the whole query otherwise. In the case of
4115       queries that also require a file name (e.g. sqlite), the file name comes
4116       first. */
4117
4118       if (*s != '{') goto EXPAND_FAILED_CURLY;
4119       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4120       if (filename == NULL) goto EXPAND_FAILED;
4121       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4122       while (isspace(*s)) s++;
4123
4124       /* If this isn't a single-key+file lookup, re-arrange the variables
4125       to be appropriate for the search_ functions. For query-style lookups,
4126       there is just a "key", and no file name. For the special query-style +
4127       file types, the query (i.e. "key") starts with a file name. */
4128
4129       if (key == NULL)
4130         {
4131         while (isspace(*filename)) filename++;
4132         key = filename;
4133
4134         if (mac_islookup(stype, lookup_querystyle))
4135           {
4136           filename = NULL;
4137           }
4138         else
4139           {
4140           if (*filename != '/')
4141             {
4142             expand_string_message = string_sprintf(
4143               "absolute file name expected for \"%s\" lookup", name);
4144             goto EXPAND_FAILED;
4145             }
4146           while (*key != 0 && !isspace(*key)) key++;
4147           if (*key != 0) *key++ = 0;
4148           }
4149         }
4150
4151       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4152       the entry was not found. Note that there is no search_close() function.
4153       Files are left open in case of re-use. At suitable places in higher logic,
4154       search_tidyup() is called to tidy all open files. This can save opening
4155       the same file several times. However, files may also get closed when
4156       others are opened, if too many are open at once. The rule is that a
4157       handle should not be used after a second search_open().
4158
4159       Request that a partial search sets up $1 and maybe $2 by passing
4160       expand_setup containing zero. If its value changes, reset expand_nmax,
4161       since new variables will have been set. Note that at the end of this
4162       "lookup" section, the old numeric variables are restored. */
4163
4164       if (skipping)
4165         lookup_value = NULL;
4166       else
4167         {
4168         void *handle = search_open(filename, stype, 0, NULL, NULL);
4169         if (handle == NULL)
4170           {
4171           expand_string_message = search_error_message;
4172           goto EXPAND_FAILED;
4173           }
4174         lookup_value = search_find(handle, filename, key, partial, affix,
4175           affixlen, starflags, &expand_setup);
4176         if (search_find_defer)
4177           {
4178           expand_string_message =
4179             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4180               string_printing2(key, FALSE), search_error_message);
4181           goto EXPAND_FAILED;
4182           }
4183         if (expand_setup > 0) expand_nmax = expand_setup;
4184         }
4185
4186       /* The handling of "yes" and "no" result strings is now in a separate
4187       function that is also used by ${if} and ${extract}. */
4188
4189       switch(process_yesno(
4190                skipping,                     /* were previously skipping */
4191                lookup_value != NULL,         /* success/failure indicator */
4192                save_lookup_value,            /* value to reset for string2 */
4193                &s,                           /* input pointer */
4194                &yield,                       /* output pointer */
4195                &size,                        /* output size */
4196                &ptr,                         /* output current point */
4197                US"lookup",                   /* condition type */
4198                &resetok))
4199         {
4200         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4201         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4202         }
4203
4204       /* Restore external setting of expansion variables for carrying on
4205       at this level, and continue. */
4206
4207       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4208         save_expand_nlength);
4209       continue;
4210       }
4211
4212     /* If Perl support is configured, handle calling embedded perl subroutines,
4213     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4214     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4215     arguments (defined below). */
4216
4217     #define EXIM_PERL_MAX_ARGS 8
4218
4219     case EITEM_PERL:
4220     #ifndef EXIM_PERL
4221     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4222       "is not included in this binary";
4223     goto EXPAND_FAILED;
4224
4225     #else   /* EXIM_PERL */
4226       {
4227       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4228       uschar *new_yield;
4229
4230       if ((expand_forbid & RDO_PERL) != 0)
4231         {
4232         expand_string_message = US"Perl calls are not permitted";
4233         goto EXPAND_FAILED;
4234         }
4235
4236       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4237            US"perl", &resetok))
4238         {
4239         case 1: goto EXPAND_FAILED_CURLY;
4240         case 2:
4241         case 3: goto EXPAND_FAILED;
4242         }
4243
4244       /* If skipping, we don't actually do anything */
4245
4246       if (skipping) continue;
4247
4248       /* Start the interpreter if necessary */
4249
4250       if (!opt_perl_started)
4251         {
4252         uschar *initerror;
4253         if (opt_perl_startup == NULL)
4254           {
4255           expand_string_message = US"A setting of perl_startup is needed when "
4256             "using the Perl interpreter";
4257           goto EXPAND_FAILED;
4258           }
4259         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4260         initerror = init_perl(opt_perl_startup);
4261         if (initerror != NULL)
4262           {
4263           expand_string_message =
4264             string_sprintf("error in perl_startup code: %s\n", initerror);
4265           goto EXPAND_FAILED;
4266           }
4267         opt_perl_started = TRUE;
4268         }
4269
4270       /* Call the function */
4271
4272       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4273       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4274         sub_arg[0], sub_arg + 1);
4275
4276       /* NULL yield indicates failure; if the message pointer has been set to
4277       NULL, the yield was undef, indicating a forced failure. Otherwise the
4278       message will indicate some kind of Perl error. */
4279
4280       if (new_yield == NULL)
4281         {
4282         if (expand_string_message == NULL)
4283           {
4284           expand_string_message =
4285             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4286               "failure", sub_arg[0]);
4287           expand_string_forcedfail = TRUE;
4288           }
4289         goto EXPAND_FAILED;
4290         }
4291
4292       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4293       set during a callback from Perl. */
4294
4295       expand_string_forcedfail = FALSE;
4296       yield = new_yield;
4297       continue;
4298       }
4299     #endif /* EXIM_PERL */
4300
4301     /* Transform email address to "prvs" scheme to use
4302        as BATV-signed return path */
4303
4304     case EITEM_PRVS:
4305       {
4306       uschar *sub_arg[3];
4307       uschar *p,*domain;
4308
4309       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4310         {
4311         case 1: goto EXPAND_FAILED_CURLY;
4312         case 2:
4313         case 3: goto EXPAND_FAILED;
4314         }
4315
4316       /* If skipping, we don't actually do anything */
4317       if (skipping) continue;
4318
4319       /* sub_arg[0] is the address */
4320       domain = Ustrrchr(sub_arg[0],'@');
4321       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4322         {
4323         expand_string_message = US"prvs first argument must be a qualified email address";
4324         goto EXPAND_FAILED;
4325         }
4326
4327       /* Calculate the hash. The second argument must be a single-digit
4328       key number, or unset. */
4329
4330       if (sub_arg[2] != NULL &&
4331           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4332         {
4333         expand_string_message = US"prvs second argument must be a single digit";
4334         goto EXPAND_FAILED;
4335         }
4336
4337       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4338       if (p == NULL)
4339         {
4340         expand_string_message = US"prvs hmac-sha1 conversion failed";
4341         goto EXPAND_FAILED;
4342         }
4343
4344       /* Now separate the domain from the local part */
4345       *domain++ = '\0';
4346
4347       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4348       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4349       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4350       string_cat(yield,&size,&ptr,p,6);
4351       string_cat(yield,&size,&ptr,US"=",1);
4352       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4353       string_cat(yield,&size,&ptr,US"@",1);
4354       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4355
4356       continue;
4357       }
4358
4359     /* Check a prvs-encoded address for validity */
4360
4361     case EITEM_PRVSCHECK:
4362       {
4363       uschar *sub_arg[3];
4364       int mysize = 0, myptr = 0;
4365       const pcre *re;
4366       uschar *p;
4367
4368       /* TF: Ugliness: We want to expand parameter 1 first, then set
4369          up expansion variables that are used in the expansion of
4370          parameter 2. So we clone the string for the first
4371          expansion, where we only expand parameter 1.
4372
4373          PH: Actually, that isn't necessary. The read_subs() function is
4374          designed to work this way for the ${if and ${lookup expansions. I've
4375          tidied the code.
4376       */
4377
4378       /* Reset expansion variables */
4379       prvscheck_result = NULL;
4380       prvscheck_address = NULL;
4381       prvscheck_keynum = NULL;
4382
4383       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4384         {
4385         case 1: goto EXPAND_FAILED_CURLY;
4386         case 2:
4387         case 3: goto EXPAND_FAILED;
4388         }
4389
4390       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4391                               TRUE,FALSE);
4392
4393       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4394         {
4395         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4396         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4397         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4398         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4399         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4400
4401         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4402         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4403         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4404         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4405         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4406
4407         /* Set up expansion variables */
4408         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4409         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4410         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4411         prvscheck_address[myptr] = '\0';
4412         prvscheck_keynum = string_copy(key_num);
4413
4414         /* Now expand the second argument */
4415         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4416           {
4417           case 1: goto EXPAND_FAILED_CURLY;
4418           case 2:
4419           case 3: goto EXPAND_FAILED;
4420           }
4421
4422         /* Now we have the key and can check the address. */
4423
4424         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4425           daystamp);
4426
4427         if (p == NULL)
4428           {
4429           expand_string_message = US"hmac-sha1 conversion failed";
4430           goto EXPAND_FAILED;
4431           }
4432
4433         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4434         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4435
4436         if (Ustrcmp(p,hash) == 0)
4437           {
4438           /* Success, valid BATV address. Now check the expiry date. */
4439           uschar *now = prvs_daystamp(0);
4440           unsigned int inow = 0,iexpire = 1;
4441
4442           (void)sscanf(CS now,"%u",&inow);
4443           (void)sscanf(CS daystamp,"%u",&iexpire);
4444
4445           /* When "iexpire" is < 7, a "flip" has occured.
4446              Adjust "inow" accordingly. */
4447           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4448
4449           if (iexpire >= inow)
4450             {
4451             prvscheck_result = US"1";
4452             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4453             }
4454             else
4455             {
4456             prvscheck_result = NULL;
4457             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4458             }
4459           }
4460         else
4461           {
4462           prvscheck_result = NULL;
4463           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4464           }
4465
4466         /* Now expand the final argument. We leave this till now so that
4467         it can include $prvscheck_result. */
4468
4469         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4470           {
4471           case 1: goto EXPAND_FAILED_CURLY;
4472           case 2:
4473           case 3: goto EXPAND_FAILED;
4474           }
4475
4476         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4477           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4478         else
4479           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4480
4481         /* Reset the "internal" variables afterwards, because they are in
4482         dynamic store that will be reclaimed if the expansion succeeded. */
4483
4484         prvscheck_address = NULL;
4485         prvscheck_keynum = NULL;
4486         }
4487       else
4488         {
4489         /* Does not look like a prvs encoded address, return the empty string.
4490            We need to make sure all subs are expanded first, so as to skip over
4491            the entire item. */
4492
4493         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4494           {
4495           case 1: goto EXPAND_FAILED_CURLY;
4496           case 2:
4497           case 3: goto EXPAND_FAILED;
4498           }
4499         }
4500
4501       continue;
4502       }
4503
4504     /* Handle "readfile" to insert an entire file */
4505
4506     case EITEM_READFILE:
4507       {
4508       FILE *f;
4509       uschar *sub_arg[2];
4510
4511       if ((expand_forbid & RDO_READFILE) != 0)
4512         {
4513         expand_string_message = US"file insertions are not permitted";
4514         goto EXPAND_FAILED;
4515         }
4516
4517       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4518         {
4519         case 1: goto EXPAND_FAILED_CURLY;
4520         case 2:
4521         case 3: goto EXPAND_FAILED;
4522         }
4523
4524       /* If skipping, we don't actually do anything */
4525
4526       if (skipping) continue;
4527
4528       /* Open the file and read it */
4529
4530       f = Ufopen(sub_arg[0], "rb");
4531       if (f == NULL)
4532         {
4533         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4534         goto EXPAND_FAILED;
4535         }
4536
4537       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4538       (void)fclose(f);
4539       continue;
4540       }
4541
4542     /* Handle "readsocket" to insert data from a Unix domain socket */
4543
4544     case EITEM_READSOCK:
4545       {
4546       int fd;
4547       int timeout = 5;
4548       int save_ptr = ptr;
4549       FILE *f;
4550       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4551       uschar *arg;
4552       uschar *sub_arg[4];
4553
4554       if ((expand_forbid & RDO_READSOCK) != 0)
4555         {
4556         expand_string_message = US"socket insertions are not permitted";
4557         goto EXPAND_FAILED;
4558         }
4559
4560       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4561       because there may be a string for expansion on failure. */
4562
4563       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4564         {
4565         case 1: goto EXPAND_FAILED_CURLY;
4566         case 2:                             /* Won't occur: no end check */
4567         case 3: goto EXPAND_FAILED;
4568         }
4569
4570       /* Sort out timeout, if given */
4571
4572       if (sub_arg[2] != NULL)
4573         {
4574         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4575         if (timeout < 0)
4576           {
4577           expand_string_message = string_sprintf("bad time value %s",
4578             sub_arg[2]);
4579           goto EXPAND_FAILED;
4580           }
4581         }
4582       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4583
4584       /* If skipping, we don't actually do anything. Otherwise, arrange to
4585       connect to either an IP or a Unix socket. */
4586
4587       if (!skipping)
4588         {
4589         /* Handle an IP (internet) domain */
4590
4591         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4592           {
4593           int port;
4594           uschar *server_name = sub_arg[0] + 5;
4595           uschar *port_name = Ustrrchr(server_name, ':');
4596
4597           /* Sort out the port */
4598
4599           if (port_name == NULL)
4600             {
4601             expand_string_message =
4602               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4603             goto EXPAND_FAILED;
4604             }
4605           *port_name++ = 0;           /* Terminate server name */
4606
4607           if (isdigit(*port_name))
4608             {
4609             uschar *end;
4610             port = Ustrtol(port_name, &end, 0);
4611             if (end != port_name + Ustrlen(port_name))
4612               {
4613               expand_string_message =
4614                 string_sprintf("invalid port number %s", port_name);
4615               goto EXPAND_FAILED;
4616               }
4617             }
4618           else
4619             {
4620             struct servent *service_info = getservbyname(CS port_name, "tcp");
4621             if (service_info == NULL)
4622               {
4623               expand_string_message = string_sprintf("unknown port \"%s\"",
4624                 port_name);
4625               goto EXPAND_FAILED;
4626               }
4627             port = ntohs(service_info->s_port);
4628             }
4629
4630           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4631                   timeout, NULL, &expand_string_message)) < 0)
4632               goto SOCK_FAIL;
4633           }
4634
4635         /* Handle a Unix domain socket */
4636
4637         else
4638           {
4639           int rc;
4640           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4641             {
4642             expand_string_message = string_sprintf("failed to create socket: %s",
4643               strerror(errno));
4644             goto SOCK_FAIL;
4645             }
4646
4647           sockun.sun_family = AF_UNIX;
4648           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4649             sub_arg[0]);
4650
4651           sigalrm_seen = FALSE;
4652           alarm(timeout);
4653           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4654           alarm(0);
4655           if (sigalrm_seen)
4656             {
4657             expand_string_message = US "socket connect timed out";
4658             goto SOCK_FAIL;
4659             }
4660           if (rc < 0)
4661             {
4662             expand_string_message = string_sprintf("failed to connect to socket "
4663               "%s: %s", sub_arg[0], strerror(errno));
4664             goto SOCK_FAIL;
4665             }
4666           }
4667
4668         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4669
4670         /* Allow sequencing of test actions */
4671         if (running_in_test_harness) millisleep(100);
4672
4673         /* Write the request string, if not empty */
4674
4675         if (sub_arg[1][0] != 0)
4676           {
4677           int len = Ustrlen(sub_arg[1]);
4678           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4679             sub_arg[1]);
4680           if (write(fd, sub_arg[1], len) != len)
4681             {
4682             expand_string_message = string_sprintf("request write to socket "
4683               "failed: %s", strerror(errno));
4684             goto SOCK_FAIL;
4685             }
4686           }
4687
4688         /* Shut down the sending side of the socket. This helps some servers to
4689         recognise that it is their turn to do some work. Just in case some
4690         system doesn't have this function, make it conditional. */
4691
4692         #ifdef SHUT_WR
4693         shutdown(fd, SHUT_WR);
4694         #endif
4695
4696         if (running_in_test_harness) millisleep(100);
4697
4698         /* Now we need to read from the socket, under a timeout. The function
4699         that reads a file can be used. */
4700
4701         f = fdopen(fd, "rb");
4702         sigalrm_seen = FALSE;
4703         alarm(timeout);
4704         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4705         alarm(0);
4706         (void)fclose(f);
4707
4708         /* After a timeout, we restore the pointer in the result, that is,
4709         make sure we add nothing from the socket. */
4710
4711         if (sigalrm_seen)
4712           {
4713           ptr = save_ptr;
4714           expand_string_message = US "socket read timed out";
4715           goto SOCK_FAIL;
4716           }
4717         }
4718
4719       /* The whole thing has worked (or we were skipping). If there is a
4720       failure string following, we need to skip it. */
4721
4722       if (*s == '{')
4723         {
4724         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4725           goto EXPAND_FAILED;
4726         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4727         while (isspace(*s)) s++;
4728         }
4729       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4730       continue;
4731
4732       /* Come here on failure to create socket, connect socket, write to the
4733       socket, or timeout on reading. If another substring follows, expand and
4734       use it. Otherwise, those conditions give expand errors. */
4735
4736       SOCK_FAIL:
4737       if (*s != '{') goto EXPAND_FAILED;
4738       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4739       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4740       if (arg == NULL) goto EXPAND_FAILED;
4741       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4742       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4743       while (isspace(*s)) s++;
4744       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4745       continue;
4746       }
4747
4748     /* Handle "run" to execute a program. */
4749
4750     case EITEM_RUN:
4751       {
4752       FILE *f;
4753       uschar *arg;
4754       uschar **argv;
4755       pid_t pid;
4756       int fd_in, fd_out;
4757       int lsize = 0;
4758       int lptr = 0;
4759
4760       if ((expand_forbid & RDO_RUN) != 0)
4761         {
4762         expand_string_message = US"running a command is not permitted";
4763         goto EXPAND_FAILED;
4764         }
4765
4766       while (isspace(*s)) s++;
4767       if (*s != '{') goto EXPAND_FAILED_CURLY;
4768       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4769       if (arg == NULL) goto EXPAND_FAILED;
4770       while (isspace(*s)) s++;
4771       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4772
4773       if (skipping)   /* Just pretend it worked when we're skipping */
4774         {
4775         runrc = 0;
4776         }
4777       else
4778         {
4779         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4780             arg,                                /* raw command */
4781             FALSE,                              /* don't expand the arguments */
4782             0,                                  /* not relevant when... */
4783             NULL,                               /* no transporting address */
4784             US"${run} expansion",               /* for error messages */
4785             &expand_string_message))            /* where to put error message */
4786           {
4787           goto EXPAND_FAILED;
4788           }
4789
4790         /* Create the child process, making it a group leader. */
4791
4792         pid = child_open(argv, NULL, 0077, &fd_in, &fd_out, TRUE);
4793
4794         if (pid < 0)
4795           {
4796           expand_string_message =
4797             string_sprintf("couldn't create child process: %s", strerror(errno));
4798           goto EXPAND_FAILED;
4799           }
4800
4801         /* Nothing is written to the standard input. */
4802
4803         (void)close(fd_in);
4804
4805         /* Read the pipe to get the command's output into $value (which is kept
4806         in lookup_value). Read during execution, so that if the output exceeds
4807         the OS pipe buffer limit, we don't block forever. */
4808
4809         f = fdopen(fd_out, "rb");
4810         sigalrm_seen = FALSE;
4811         alarm(60);
4812         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
4813         alarm(0);
4814         (void)fclose(f);
4815
4816         /* Wait for the process to finish, applying the timeout, and inspect its
4817         return code for serious disasters. Simple non-zero returns are passed on.
4818         */
4819
4820         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4821           {
4822           if (sigalrm_seen == TRUE || runrc == -256)
4823             {
4824             expand_string_message = string_sprintf("command timed out");
4825             killpg(pid, SIGKILL);       /* Kill the whole process group */
4826             }
4827
4828           else if (runrc == -257)
4829             expand_string_message = string_sprintf("wait() failed: %s",
4830               strerror(errno));
4831
4832           else
4833             expand_string_message = string_sprintf("command killed by signal %d",
4834               -runrc);
4835
4836           goto EXPAND_FAILED;
4837           }
4838         }
4839
4840       /* Process the yes/no strings; $value may be useful in both cases */
4841
4842       switch(process_yesno(
4843                skipping,                     /* were previously skipping */
4844                runrc == 0,                   /* success/failure indicator */
4845                lookup_value,                 /* value to reset for string2 */
4846                &s,                           /* input pointer */
4847                &yield,                       /* output pointer */
4848                &size,                        /* output size */
4849                &ptr,                         /* output current point */
4850                US"run",                      /* condition type */
4851                &resetok))
4852         {
4853         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4854         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4855         }
4856
4857       continue;
4858       }
4859
4860     /* Handle character translation for "tr" */
4861
4862     case EITEM_TR:
4863       {
4864       int oldptr = ptr;
4865       int o2m;
4866       uschar *sub[3];
4867
4868       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4869         {
4870         case 1: goto EXPAND_FAILED_CURLY;
4871         case 2:
4872         case 3: goto EXPAND_FAILED;
4873         }
4874
4875       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4876       o2m = Ustrlen(sub[2]) - 1;
4877
4878       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4879         {
4880         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4881         if (m != NULL)
4882           {
4883           int o = m - sub[1];
4884           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4885           }
4886         }
4887
4888       continue;
4889       }
4890
4891     /* Handle "hash", "length", "nhash", and "substr" when they are given with
4892     expanded arguments. */
4893
4894     case EITEM_HASH:
4895     case EITEM_LENGTH:
4896     case EITEM_NHASH:
4897     case EITEM_SUBSTR:
4898       {
4899       int i;
4900       int len;
4901       uschar *ret;
4902       int val[2] = { 0, -1 };
4903       uschar *sub[3];
4904
4905       /* "length" takes only 2 arguments whereas the others take 2 or 3.
4906       Ensure that sub[2] is set in the ${length } case. */
4907
4908       sub[2] = NULL;
4909       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
4910              TRUE, name, &resetok))
4911         {
4912         case 1: goto EXPAND_FAILED_CURLY;
4913         case 2:
4914         case 3: goto EXPAND_FAILED;
4915         }
4916
4917       /* Juggle the arguments if there are only two of them: always move the
4918       string to the last position and make ${length{n}{str}} equivalent to
4919       ${substr{0}{n}{str}}. See the defaults for val[] above. */
4920
4921       if (sub[2] == NULL)
4922         {
4923         sub[2] = sub[1];
4924         sub[1] = NULL;
4925         if (item_type == EITEM_LENGTH)
4926           {
4927           sub[1] = sub[0];
4928           sub[0] = NULL;
4929           }
4930         }
4931
4932       for (i = 0; i < 2; i++)
4933         {
4934         if (sub[i] == NULL) continue;
4935         val[i] = (int)Ustrtol(sub[i], &ret, 10);
4936         if (*ret != 0 || (i != 0 && val[i] < 0))
4937           {
4938           expand_string_message = string_sprintf("\"%s\" is not a%s number "
4939             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
4940           goto EXPAND_FAILED;
4941           }
4942         }
4943
4944       ret =
4945         (item_type == EITEM_HASH)?
4946           compute_hash(sub[2], val[0], val[1], &len) :
4947         (item_type == EITEM_NHASH)?
4948           compute_nhash(sub[2], val[0], val[1], &len) :
4949           extract_substr(sub[2], val[0], val[1], &len);
4950
4951       if (ret == NULL) goto EXPAND_FAILED;
4952       yield = string_cat(yield, &size, &ptr, ret, len);
4953       continue;
4954       }
4955
4956     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
4957     This code originally contributed by Steve Haslam. It currently supports
4958     the use of MD5 and SHA-1 hashes.
4959
4960     We need some workspace that is large enough to handle all the supported
4961     hash types. Use macros to set the sizes rather than be too elaborate. */
4962
4963     #define MAX_HASHLEN      20
4964     #define MAX_HASHBLOCKLEN 64
4965
4966     case EITEM_HMAC:
4967       {
4968       uschar *sub[3];
4969       md5 md5_base;
4970       sha1 sha1_base;
4971       void *use_base;
4972       int type, i;
4973       int hashlen;      /* Number of octets for the hash algorithm's output */
4974       int hashblocklen; /* Number of octets the hash algorithm processes */
4975       uschar *keyptr, *p;
4976       unsigned int keylen;
4977
4978       uschar keyhash[MAX_HASHLEN];
4979       uschar innerhash[MAX_HASHLEN];
4980       uschar finalhash[MAX_HASHLEN];
4981       uschar finalhash_hex[2*MAX_HASHLEN];
4982       uschar innerkey[MAX_HASHBLOCKLEN];
4983       uschar outerkey[MAX_HASHBLOCKLEN];
4984
4985       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
4986         {
4987         case 1: goto EXPAND_FAILED_CURLY;
4988         case 2:
4989         case 3: goto EXPAND_FAILED;
4990         }
4991
4992       if (Ustrcmp(sub[0], "md5") == 0)
4993         {
4994         type = HMAC_MD5;
4995         use_base = &md5_base;
4996         hashlen = 16;
4997         hashblocklen = 64;
4998         }
4999       else if (Ustrcmp(sub[0], "sha1") == 0)
5000         {
5001         type = HMAC_SHA1;
5002         use_base = &sha1_base;
5003         hashlen = 20;
5004         hashblocklen = 64;
5005         }
5006       else
5007         {
5008         expand_string_message =
5009           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5010         goto EXPAND_FAILED;
5011         }
5012
5013       keyptr = sub[1];
5014       keylen = Ustrlen(keyptr);
5015
5016       /* If the key is longer than the hash block length, then hash the key
5017       first */
5018
5019       if (keylen > hashblocklen)
5020         {
5021         chash_start(type, use_base);
5022         chash_end(type, use_base, keyptr, keylen, keyhash);
5023         keyptr = keyhash;
5024         keylen = hashlen;
5025         }
5026
5027       /* Now make the inner and outer key values */
5028
5029       memset(innerkey, 0x36, hashblocklen);
5030       memset(outerkey, 0x5c, hashblocklen);
5031
5032       for (i = 0; i < keylen; i++)
5033         {
5034         innerkey[i] ^= keyptr[i];
5035         outerkey[i] ^= keyptr[i];
5036         }
5037
5038       /* Now do the hashes */
5039
5040       chash_start(type, use_base);
5041       chash_mid(type, use_base, innerkey);
5042       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5043
5044       chash_start(type, use_base);
5045       chash_mid(type, use_base, outerkey);
5046       chash_end(type, use_base, innerhash, hashlen, finalhash);
5047
5048       /* Encode the final hash as a hex string */
5049
5050       p = finalhash_hex;
5051       for (i = 0; i < hashlen; i++)
5052         {
5053         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5054         *p++ = hex_digits[finalhash[i] & 0x0f];
5055         }
5056
5057       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5058         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5059
5060       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5061       }
5062
5063     continue;
5064
5065     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5066     We have to save the numerical variables and restore them afterwards. */
5067
5068     case EITEM_SG:
5069       {
5070       const pcre *re;
5071       int moffset, moffsetextra, slen;
5072       int roffset;
5073       int emptyopt;
5074       const uschar *rerror;
5075       uschar *subject;
5076       uschar *sub[3];
5077       int save_expand_nmax =
5078         save_expand_strings(save_expand_nstring, save_expand_nlength);
5079
5080       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5081         {
5082         case 1: goto EXPAND_FAILED_CURLY;
5083         case 2:
5084         case 3: goto EXPAND_FAILED;
5085         }
5086
5087       /* Compile the regular expression */
5088
5089       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5090         NULL);
5091
5092       if (re == NULL)
5093         {
5094         expand_string_message = string_sprintf("regular expression error in "
5095           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5096         goto EXPAND_FAILED;
5097         }
5098
5099       /* Now run a loop to do the substitutions as often as necessary. It ends
5100       when there are no more matches. Take care over matches of the null string;
5101       do the same thing as Perl does. */
5102
5103       subject = sub[0];
5104       slen = Ustrlen(sub[0]);
5105       moffset = moffsetextra = 0;
5106       emptyopt = 0;
5107
5108       for (;;)
5109         {
5110         int ovector[3*(EXPAND_MAXN+1)];
5111         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5112           PCRE_EOPT | emptyopt, ovector, sizeof(ovector)/sizeof(int));
5113         int nn;
5114         uschar *insert;
5115
5116         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5117         is not necessarily the end. We want to repeat the match from one
5118         character further along, but leaving the basic offset the same (for
5119         copying below). We can't be at the end of the string - that was checked
5120         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5121         finished; copy the remaining string and end the loop. */
5122
5123         if (n < 0)
5124           {
5125           if (emptyopt != 0)
5126             {
5127             moffsetextra = 1;
5128             emptyopt = 0;
5129             continue;
5130             }
5131           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5132           break;
5133           }
5134
5135         /* Match - set up for expanding the replacement. */
5136
5137         if (n == 0) n = EXPAND_MAXN + 1;
5138         expand_nmax = 0;
5139         for (nn = 0; nn < n*2; nn += 2)
5140           {
5141           expand_nstring[expand_nmax] = subject + ovector[nn];
5142           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5143           }
5144         expand_nmax--;
5145
5146         /* Copy the characters before the match, plus the expanded insertion. */
5147
5148         yield = string_cat(yield, &size, &ptr, subject + moffset,
5149           ovector[0] - moffset);
5150         insert = expand_string(sub[2]);
5151         if (insert == NULL) goto EXPAND_FAILED;
5152         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5153
5154         moffset = ovector[1];
5155         moffsetextra = 0;
5156         emptyopt = 0;
5157
5158         /* If we have matched an empty string, first check to see if we are at
5159         the end of the subject. If so, the loop is over. Otherwise, mimic
5160         what Perl's /g options does. This turns out to be rather cunning. First
5161         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5162         string at the same point. If this fails (picked up above) we advance to
5163         the next character. */
5164
5165         if (ovector[0] == ovector[1])
5166           {
5167           if (ovector[0] == slen) break;
5168           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5169           }
5170         }
5171
5172       /* All done - restore numerical variables. */
5173
5174       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5175         save_expand_nlength);
5176       continue;
5177       }
5178
5179     /* Handle keyed and numbered substring extraction. If the first argument
5180     consists entirely of digits, then a numerical extraction is assumed. */
5181
5182     case EITEM_EXTRACT:
5183       {
5184       int i;
5185       int j = 2;
5186       int field_number = 1;
5187       BOOL field_number_set = FALSE;
5188       uschar *save_lookup_value = lookup_value;
5189       uschar *sub[3];
5190       int save_expand_nmax =
5191         save_expand_strings(save_expand_nstring, save_expand_nlength);
5192
5193       /* Read the arguments */
5194
5195       for (i = 0; i < j; i++)
5196         {
5197         while (isspace(*s)) s++;
5198         if (*s == '{')                                          /*}*/
5199           {
5200           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5201           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5202           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5203
5204           /* After removal of leading and trailing white space, the first
5205           argument must not be empty; if it consists entirely of digits
5206           (optionally preceded by a minus sign), this is a numerical
5207           extraction, and we expect 3 arguments. */
5208
5209           if (i == 0)
5210             {
5211             int len;
5212             int x = 0;
5213             uschar *p = sub[0];
5214
5215             while (isspace(*p)) p++;
5216             sub[0] = p;
5217
5218             len = Ustrlen(p);
5219             while (len > 0 && isspace(p[len-1])) len--;
5220             p[len] = 0;
5221
5222             if (*p == 0 && !skipping)
5223               {
5224               expand_string_message = US"first argument of \"extract\" must "
5225                 "not be empty";
5226               goto EXPAND_FAILED;
5227               }
5228
5229             if (*p == '-')
5230               {
5231               field_number = -1;
5232               p++;
5233               }
5234             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5235             if (*p == 0)
5236               {
5237               field_number *= x;
5238               j = 3;               /* Need 3 args */
5239               field_number_set = TRUE;
5240               }
5241             }
5242           }
5243         else goto EXPAND_FAILED_CURLY;
5244         }
5245
5246       /* Extract either the numbered or the keyed substring into $value. If
5247       skipping, just pretend the extraction failed. */
5248
5249       lookup_value = skipping? NULL : field_number_set?
5250         expand_gettokened(field_number, sub[1], sub[2]) :
5251         expand_getkeyed(sub[0], sub[1]);
5252
5253       /* If no string follows, $value gets substituted; otherwise there can
5254       be yes/no strings, as for lookup or if. */
5255
5256       switch(process_yesno(
5257                skipping,                     /* were previously skipping */
5258                lookup_value != NULL,         /* success/failure indicator */
5259                save_lookup_value,            /* value to reset for string2 */
5260                &s,                           /* input pointer */
5261                &yield,                       /* output pointer */
5262                &size,                        /* output size */
5263                &ptr,                         /* output current point */
5264                US"extract",                  /* condition type */
5265                &resetok))
5266         {
5267         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5268         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5269         }
5270
5271       /* All done - restore numerical variables. */
5272
5273       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5274         save_expand_nlength);
5275
5276       continue;
5277       }
5278
5279     /* return the Nth item from a list */
5280
5281     case EITEM_LISTEXTRACT:
5282       {
5283       int i;
5284       int field_number = 1;
5285       uschar *save_lookup_value = lookup_value;
5286       uschar *sub[2];
5287       int save_expand_nmax =
5288         save_expand_strings(save_expand_nstring, save_expand_nlength);
5289
5290       /* Read the field & list arguments */
5291
5292       for (i = 0; i < 2; i++)
5293         {
5294         while (isspace(*s)) s++;
5295         if (*s != '{')                                  /*}*/
5296           goto EXPAND_FAILED_CURLY;
5297
5298         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5299         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5300         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5301
5302         /* After removal of leading and trailing white space, the first
5303         argument must be numeric and nonempty. */
5304
5305         if (i == 0)
5306           {
5307           int len;
5308           int x = 0;
5309           uschar *p = sub[0];
5310
5311           while (isspace(*p)) p++;
5312           sub[0] = p;
5313
5314           len = Ustrlen(p);
5315           while (len > 0 && isspace(p[len-1])) len--;
5316           p[len] = 0;
5317
5318           if (!*p && !skipping)
5319             {
5320             expand_string_message = US"first argument of \"listextract\" must "
5321               "not be empty";
5322             goto EXPAND_FAILED;
5323             }
5324
5325           if (*p == '-')
5326             {
5327             field_number = -1;
5328             p++;
5329             }
5330           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5331           if (*p)
5332             {
5333             expand_string_message = US"first argument of \"listextract\" must "
5334               "be numeric";
5335             goto EXPAND_FAILED;
5336             }
5337           field_number *= x;
5338           }
5339         }
5340
5341       /* Extract the numbered element into $value. If
5342       skipping, just pretend the extraction failed. */
5343
5344       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5345
5346       /* If no string follows, $value gets substituted; otherwise there can
5347       be yes/no strings, as for lookup or if. */
5348
5349       switch(process_yesno(
5350                skipping,                     /* were previously skipping */
5351                lookup_value != NULL,         /* success/failure indicator */
5352                save_lookup_value,            /* value to reset for string2 */
5353                &s,                           /* input pointer */
5354                &yield,                       /* output pointer */
5355                &size,                        /* output size */
5356                &ptr,                         /* output current point */
5357                US"extract",                  /* condition type */
5358                &resetok))
5359         {
5360         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5361         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5362         }
5363
5364       /* All done - restore numerical variables. */
5365
5366       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5367         save_expand_nlength);
5368
5369       continue;
5370       }
5371
5372 #ifdef SUPPORT_TLS
5373     case EITEM_CERTEXTRACT:
5374       {
5375       uschar *save_lookup_value = lookup_value;
5376       uschar *sub[2];
5377       int save_expand_nmax =
5378         save_expand_strings(save_expand_nstring, save_expand_nlength);
5379
5380       /* Read the field argument */
5381       while (isspace(*s)) s++;
5382       if (*s != '{')                                    /*}*/
5383         goto EXPAND_FAILED_CURLY;
5384       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5385       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5386       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5387       /* strip spaces fore & aft */
5388       {
5389       int len;
5390       uschar *p = sub[0];
5391
5392       while (isspace(*p)) p++;
5393       sub[0] = p;
5394
5395       len = Ustrlen(p);
5396       while (len > 0 && isspace(p[len-1])) len--;
5397       p[len] = 0;
5398       }
5399
5400       /* inspect the cert argument */
5401       while (isspace(*s)) s++;
5402       if (*s != '{')                                    /*}*/
5403         goto EXPAND_FAILED_CURLY;
5404       if (*++s != '$')
5405         {
5406         expand_string_message = US"second argument of \"certextract\" must "
5407           "be a certificate variable";
5408         goto EXPAND_FAILED;
5409         }
5410       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5411       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5412       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5413
5414       if (skipping)
5415         lookup_value = NULL;
5416       else
5417         {
5418         lookup_value = expand_getcertele(sub[0], sub[1]);
5419         if (*expand_string_message) goto EXPAND_FAILED;
5420         }
5421       switch(process_yesno(
5422                skipping,                     /* were previously skipping */
5423                lookup_value != NULL,         /* success/failure indicator */
5424                save_lookup_value,            /* value to reset for string2 */
5425                &s,                           /* input pointer */
5426                &yield,                       /* output pointer */
5427                &size,                        /* output size */
5428                &ptr,                         /* output current point */
5429                US"extract",                  /* condition type */
5430                &resetok))
5431         {
5432         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5433         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5434         }
5435
5436       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5437         save_expand_nlength);
5438       continue;
5439       }
5440 #endif  /*SUPPORT_TLS*/
5441
5442     /* Handle list operations */
5443
5444     case EITEM_FILTER:
5445     case EITEM_MAP:
5446     case EITEM_REDUCE:
5447       {
5448       int sep = 0;
5449       int save_ptr = ptr;
5450       uschar outsep[2] = { '\0', '\0' };
5451       uschar *list, *expr, *temp;
5452       uschar *save_iterate_item = iterate_item;
5453       uschar *save_lookup_value = lookup_value;
5454
5455       while (isspace(*s)) s++;
5456       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5457
5458       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5459       if (list == NULL) goto EXPAND_FAILED;
5460       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5461
5462       if (item_type == EITEM_REDUCE)
5463         {
5464         while (isspace(*s)) s++;
5465         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5466         temp = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5467         if (temp == NULL) goto EXPAND_FAILED;
5468         lookup_value = temp;
5469         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5470         }
5471
5472       while (isspace(*s)) s++;
5473       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5474
5475       expr = s;
5476
5477       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5478       if scanning a "false" part). This allows us to find the end of the
5479       condition, because if the list is empty, we won't actually evaluate the
5480       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5481       the normal internal expansion function. */
5482
5483       if (item_type == EITEM_FILTER)
5484         {
5485         temp = eval_condition(expr, &resetok, NULL);
5486         if (temp != NULL) s = temp;
5487         }
5488       else
5489         {
5490         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5491         }
5492
5493       if (temp == NULL)
5494         {
5495         expand_string_message = string_sprintf("%s inside \"%s\" item",
5496           expand_string_message, name);
5497         goto EXPAND_FAILED;
5498         }
5499
5500       while (isspace(*s)) s++;
5501       if (*s++ != '}')
5502         {                                               /*{*/
5503         expand_string_message = string_sprintf("missing } at end of condition "
5504           "or expression inside \"%s\"", name);
5505         goto EXPAND_FAILED;
5506         }
5507
5508       while (isspace(*s)) s++;                          /*{*/
5509       if (*s++ != '}')
5510         {                                               /*{*/
5511         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5512           name);
5513         goto EXPAND_FAILED;
5514         }
5515
5516       /* If we are skipping, we can now just move on to the next item. When
5517       processing for real, we perform the iteration. */
5518
5519       if (skipping) continue;
5520       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5521         {
5522         *outsep = (uschar)sep;      /* Separator as a string */
5523
5524         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5525
5526         if (item_type == EITEM_FILTER)
5527           {
5528           BOOL condresult;
5529           if (eval_condition(expr, &resetok, &condresult) == NULL)
5530             {
5531             iterate_item = save_iterate_item;
5532             lookup_value = save_lookup_value;
5533             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5534               expand_string_message, name);
5535             goto EXPAND_FAILED;
5536             }
5537           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5538             condresult? "true":"false");
5539           if (condresult)
5540             temp = iterate_item;    /* TRUE => include this item */
5541           else
5542             continue;               /* FALSE => skip this item */
5543           }
5544
5545         /* EITEM_MAP and EITEM_REDUCE */
5546
5547         else
5548           {
5549           temp = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5550           if (temp == NULL)
5551             {
5552             iterate_item = save_iterate_item;
5553             expand_string_message = string_sprintf("%s inside \"%s\" item",
5554               expand_string_message, name);
5555             goto EXPAND_FAILED;
5556             }
5557           if (item_type == EITEM_REDUCE)
5558             {
5559             lookup_value = temp;      /* Update the value of $value */
5560             continue;                 /* and continue the iteration */
5561             }
5562           }
5563
5564         /* We reach here for FILTER if the condition is true, always for MAP,
5565         and never for REDUCE. The value in "temp" is to be added to the output
5566         list that is being created, ensuring that any occurrences of the
5567         separator character are doubled. Unless we are dealing with the first
5568         item of the output list, add in a space if the new item begins with the
5569         separator character, or is an empty string. */
5570
5571         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5572           yield = string_cat(yield, &size, &ptr, US" ", 1);
5573
5574         /* Add the string in "temp" to the output list that we are building,
5575         This is done in chunks by searching for the separator character. */
5576
5577         for (;;)
5578           {
5579           size_t seglen = Ustrcspn(temp, outsep);
5580             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5581
5582           /* If we got to the end of the string we output one character
5583           too many; backup and end the loop. Otherwise arrange to double the
5584           separator. */
5585
5586           if (temp[seglen] == '\0') { ptr--; break; }
5587           yield = string_cat(yield, &size, &ptr, outsep, 1);
5588           temp += seglen + 1;
5589           }
5590
5591         /* Output a separator after the string: we will remove the redundant
5592         final one at the end. */
5593
5594         yield = string_cat(yield, &size, &ptr, outsep, 1);
5595         }   /* End of iteration over the list loop */
5596
5597       /* REDUCE has generated no output above: output the final value of
5598       $value. */
5599
5600       if (item_type == EITEM_REDUCE)
5601         {
5602         yield = string_cat(yield, &size, &ptr, lookup_value,
5603           Ustrlen(lookup_value));
5604         lookup_value = save_lookup_value;  /* Restore $value */
5605         }
5606
5607       /* FILTER and MAP generate lists: if they have generated anything, remove
5608       the redundant final separator. Even though an empty item at the end of a
5609       list does not count, this is tidier. */
5610
5611       else if (ptr != save_ptr) ptr--;
5612
5613       /* Restore preserved $item */
5614
5615       iterate_item = save_iterate_item;
5616       continue;
5617       }
5618
5619
5620     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5621     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5622     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5623     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5624
5625     #define EXPAND_DLFUNC_MAX_ARGS 8
5626
5627     case EITEM_DLFUNC:
5628     #ifndef EXPAND_DLFUNC
5629     expand_string_message = US"\"${dlfunc\" encountered, but this facility "    /*}*/
5630       "is not included in this binary";
5631     goto EXPAND_FAILED;
5632
5633     #else   /* EXPAND_DLFUNC */
5634       {
5635       tree_node *t;
5636       exim_dlfunc_t *func;
5637       uschar *result;
5638       int status, argc;
5639       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5640
5641       if ((expand_forbid & RDO_DLFUNC) != 0)
5642         {
5643         expand_string_message =
5644           US"dynamically-loaded functions are not permitted";
5645         goto EXPAND_FAILED;
5646         }
5647
5648       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5649            TRUE, US"dlfunc", &resetok))
5650         {
5651         case 1: goto EXPAND_FAILED_CURLY;
5652         case 2:
5653         case 3: goto EXPAND_FAILED;
5654         }
5655
5656       /* If skipping, we don't actually do anything */
5657
5658       if (skipping) continue;
5659
5660       /* Look up the dynamically loaded object handle in the tree. If it isn't
5661       found, dlopen() the file and put the handle in the tree for next time. */
5662
5663       t = tree_search(dlobj_anchor, argv[0]);
5664       if (t == NULL)
5665         {
5666         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5667         if (handle == NULL)
5668           {
5669           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5670             argv[0], dlerror());
5671           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5672           goto EXPAND_FAILED;
5673           }
5674         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5675         Ustrcpy(t->name, argv[0]);
5676         t->data.ptr = handle;
5677         (void)tree_insertnode(&dlobj_anchor, t);
5678         }
5679
5680       /* Having obtained the dynamically loaded object handle, look up the
5681       function pointer. */
5682
5683       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5684       if (func == NULL)
5685         {
5686         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5687           "%s", argv[1], argv[0], dlerror());
5688         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5689         goto EXPAND_FAILED;
5690         }
5691
5692       /* Call the function and work out what to do with the result. If it
5693       returns OK, we have a replacement string; if it returns DEFER then
5694       expansion has failed in a non-forced manner; if it returns FAIL then
5695       failure was forced; if it returns ERROR or any other value there's a
5696       problem, so panic slightly. In any case, assume that the function has
5697       side-effects on the store that must be preserved. */
5698
5699       resetok = FALSE;
5700       result = NULL;
5701       for (argc = 0; argv[argc] != NULL; argc++);
5702       status = func(&result, argc - 2, &argv[2]);
5703       if(status == OK)
5704         {
5705         if (result == NULL) result = US"";
5706         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5707         continue;
5708         }
5709       else
5710         {
5711         expand_string_message = result == NULL ? US"(no message)" : result;
5712         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5713           else if(status != FAIL)
5714             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5715               argv[0], argv[1], status, expand_string_message);
5716         goto EXPAND_FAILED;
5717         }
5718       }
5719     #endif /* EXPAND_DLFUNC */
5720     }   /* EITEM_* switch */
5721
5722   /* Control reaches here if the name is not recognized as one of the more
5723   complicated expansion items. Check for the "operator" syntax (name terminated
5724   by a colon). Some of the operators have arguments, separated by _ from the
5725   name. */
5726
5727   if (*s == ':')
5728     {
5729     int c;
5730     uschar *arg = NULL;
5731     uschar *sub;
5732     var_entry *vp = NULL;
5733
5734     /* Owing to an historical mis-design, an underscore may be part of the
5735     operator name, or it may introduce arguments.  We therefore first scan the
5736     table of names that contain underscores. If there is no match, we cut off
5737     the arguments and then scan the main table. */
5738
5739     if ((c = chop_match(name, op_table_underscore,
5740         sizeof(op_table_underscore)/sizeof(uschar *))) < 0)
5741       {
5742       arg = Ustrchr(name, '_');
5743       if (arg != NULL) *arg = 0;
5744       c = chop_match(name, op_table_main,
5745         sizeof(op_table_main)/sizeof(uschar *));
5746       if (c >= 0) c += sizeof(op_table_underscore)/sizeof(uschar *);
5747       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
5748       }
5749
5750     /* Deal specially with operators that might take a certificate variable
5751     as we do not want to do the usual expansion. For most, expand the string.*/
5752     switch(c)
5753       {
5754 #ifdef SUPPORT_TLS
5755       case EOP_MD5:
5756       case EOP_SHA1:
5757       case EOP_SHA256:
5758         if (s[1] == '$')
5759           {
5760           uschar * s1 = s;
5761           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
5762                   FALSE, &resetok);
5763           if (!sub)       goto EXPAND_FAILED;           /*{*/
5764           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
5765           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
5766             {
5767             s = s1+1;
5768             break;
5769             }
5770           vp = NULL;
5771           }
5772         /*FALLTHROUGH*/
5773 #endif
5774       default:
5775         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5776         if (!sub) goto EXPAND_FAILED;
5777         s++;
5778         break;
5779       }
5780
5781     /* If we are skipping, we don't need to perform the operation at all.
5782     This matters for operations like "mask", because the data may not be
5783     in the correct format when skipping. For example, the expression may test
5784     for the existence of $sender_host_address before trying to mask it. For
5785     other operations, doing them may not fail, but it is a waste of time. */
5786
5787     if (skipping && c >= 0) continue;
5788
5789     /* Otherwise, switch on the operator type */
5790
5791     switch(c)
5792       {
5793       case EOP_BASE62:
5794         {
5795         uschar *t;
5796         unsigned long int n = Ustrtoul(sub, &t, 10);
5797         if (*t != 0)
5798           {
5799           expand_string_message = string_sprintf("argument for base62 "
5800             "operator is \"%s\", which is not a decimal number", sub);
5801           goto EXPAND_FAILED;
5802           }
5803         t = string_base62(n);
5804         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5805         continue;
5806         }
5807
5808       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
5809
5810       case EOP_BASE62D:
5811         {
5812         uschar buf[16];
5813         uschar *tt = sub;
5814         unsigned long int n = 0;
5815         while (*tt != 0)
5816           {
5817           uschar *t = Ustrchr(base62_chars, *tt++);
5818           if (t == NULL)
5819             {
5820             expand_string_message = string_sprintf("argument for base62d "
5821               "operator is \"%s\", which is not a base %d number", sub,
5822               BASE_62);
5823             goto EXPAND_FAILED;
5824             }
5825           n = n * BASE_62 + (t - base62_chars);
5826           }
5827         (void)sprintf(CS buf, "%ld", n);
5828         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
5829         continue;
5830         }
5831
5832       case EOP_EXPAND:
5833         {
5834         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
5835         if (expanded == NULL)
5836           {
5837           expand_string_message =
5838             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
5839               expand_string_message);
5840           goto EXPAND_FAILED;
5841           }
5842         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
5843         continue;
5844         }
5845
5846       case EOP_LC:
5847         {
5848         int count = 0;
5849         uschar *t = sub - 1;
5850         while (*(++t) != 0) { *t = tolower(*t); count++; }
5851         yield = string_cat(yield, &size, &ptr, sub, count);
5852         continue;
5853         }
5854
5855       case EOP_UC:
5856         {
5857         int count = 0;
5858         uschar *t = sub - 1;
5859         while (*(++t) != 0) { *t = toupper(*t); count++; }
5860         yield = string_cat(yield, &size, &ptr, sub, count);
5861         continue;
5862         }
5863
5864       case EOP_MD5:
5865 #ifdef SUPPORT_TLS
5866         if (vp && *(void **)vp->value)
5867           {
5868           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
5869           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
5870           }
5871         else
5872 #endif
5873           {
5874           md5 base;
5875           uschar digest[16];
5876           int j;
5877           char st[33];
5878           md5_start(&base);
5879           md5_end(&base, sub, Ustrlen(sub), digest);
5880           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
5881           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
5882           }
5883         continue;
5884
5885       case EOP_SHA1:
5886 #ifdef SUPPORT_TLS
5887         if (vp && *(void **)vp->value)
5888           {
5889           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
5890           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
5891           }
5892         else
5893 #endif
5894           {
5895           sha1 base;
5896           uschar digest[20];
5897           int j;
5898           char st[41];
5899           sha1_start(&base);
5900           sha1_end(&base, sub, Ustrlen(sub), digest);
5901           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
5902           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
5903           }
5904         continue;
5905
5906       case EOP_SHA256:
5907 #ifdef SUPPORT_TLS
5908         if (vp && *(void **)vp->value)
5909           {
5910           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
5911           yield = string_cat(yield, &size, &ptr, cp, (int)strlen(cp));
5912           }
5913         else
5914 #endif
5915           expand_string_message = US"sha256 only supported for certificates";
5916         continue;
5917
5918       /* Convert hex encoding to base64 encoding */
5919
5920       case EOP_HEX2B64:
5921         {
5922         int c = 0;
5923         int b = -1;
5924         uschar *in = sub;
5925         uschar *out = sub;
5926         uschar *enc;
5927
5928         for (enc = sub; *enc != 0; enc++)
5929           {
5930           if (!isxdigit(*enc))
5931             {
5932             expand_string_message = string_sprintf("\"%s\" is not a hex "
5933               "string", sub);
5934             goto EXPAND_FAILED;
5935             }
5936           c++;
5937           }
5938
5939         if ((c & 1) != 0)
5940           {
5941           expand_string_message = string_sprintf("\"%s\" contains an odd "
5942             "number of characters", sub);
5943           goto EXPAND_FAILED;
5944           }
5945
5946         while ((c = *in++) != 0)
5947           {
5948           if (isdigit(c)) c -= '0';
5949           else c = toupper(c) - 'A' + 10;
5950           if (b == -1)
5951             {
5952             b = c << 4;
5953             }
5954           else
5955             {
5956             *out++ = b | c;
5957             b = -1;
5958             }
5959           }
5960
5961         enc = auth_b64encode(sub, out - sub);
5962         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
5963         continue;
5964         }
5965
5966       /* Convert octets outside 0x21..0x7E to \xXX form */
5967
5968       case EOP_HEXQUOTE:
5969         {
5970         uschar *t = sub - 1;
5971         while (*(++t) != 0)
5972           {
5973           if (*t < 0x21 || 0x7E < *t)
5974             yield = string_cat(yield, &size, &ptr,
5975               string_sprintf("\\x%02x", *t), 4);
5976           else
5977             yield = string_cat(yield, &size, &ptr, t, 1);
5978           }
5979         continue;
5980         }
5981
5982       /* count the number of list elements */
5983
5984       case EOP_LISTCOUNT:
5985         {
5986         int cnt = 0;
5987         int sep = 0;
5988         uschar * cp;
5989         uschar buffer[256];
5990
5991         while (string_nextinlist(&sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
5992         cp = string_sprintf("%d", cnt);
5993         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
5994         continue;
5995         }
5996
5997       /* expand a named list given the name */
5998       /* handles nested named lists; requotes as colon-sep list */
5999
6000       case EOP_LISTNAMED:
6001         {
6002         tree_node *t = NULL;
6003         uschar * list;
6004         int sep = 0;
6005         uschar * item;
6006         uschar * suffix = US"";
6007         BOOL needsep = FALSE;
6008         uschar buffer[256];
6009
6010         if (*sub == '+') sub++;
6011         if (arg == NULL)        /* no-argument version */
6012           {
6013           if (!(t = tree_search(addresslist_anchor, sub)) &&
6014               !(t = tree_search(domainlist_anchor,  sub)) &&
6015               !(t = tree_search(hostlist_anchor,    sub)))
6016             t = tree_search(localpartlist_anchor, sub);
6017           }
6018         else switch(*arg)       /* specific list-type version */
6019           {
6020           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6021           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6022           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6023           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6024           default:
6025             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6026             goto EXPAND_FAILED;
6027           }
6028
6029         if(!t)
6030           {
6031           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6032             sub, !arg?""
6033               : *arg=='a'?"address "
6034               : *arg=='d'?"domain "
6035               : *arg=='h'?"host "
6036               : *arg=='l'?"localpart "
6037               : 0);
6038           goto EXPAND_FAILED;
6039           }
6040
6041         list = ((namedlist_block *)(t->data.ptr))->string;
6042
6043         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6044           {
6045           uschar * buf = US" : ";
6046           if (needsep)
6047             yield = string_cat(yield, &size, &ptr, buf, 3);
6048           else
6049             needsep = TRUE;
6050
6051           if (*item == '+')     /* list item is itself a named list */
6052             {
6053             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6054             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6055             }
6056           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6057             {
6058             char * cp;
6059             char tok[3];
6060             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6061             while ((cp= strpbrk((const char *)item, tok)))
6062               {
6063               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6064               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6065                 {
6066                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6067                 item = (uschar *)cp;
6068                 }
6069               else              /* sep in item; should already be doubled; emit once */
6070                 {
6071                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6072                 if (*cp == sep) cp++;
6073                 item = (uschar *)cp;
6074                 }
6075               }
6076             }
6077           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6078           }
6079         continue;
6080         }
6081
6082       /* mask applies a mask to an IP address; for example the result of
6083       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6084
6085       case EOP_MASK:
6086         {
6087         int count;
6088         uschar *endptr;
6089         int binary[4];
6090         int mask, maskoffset;
6091         int type = string_is_ip_address(sub, &maskoffset);
6092         uschar buffer[64];
6093
6094         if (type == 0)
6095           {
6096           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6097            sub);
6098           goto EXPAND_FAILED;
6099           }
6100
6101         if (maskoffset == 0)
6102           {
6103           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6104             sub);
6105           goto EXPAND_FAILED;
6106           }
6107
6108         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6109
6110         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6111           {
6112           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6113             sub);
6114           goto EXPAND_FAILED;
6115           }
6116
6117         /* Convert the address to binary integer(s) and apply the mask */
6118
6119         sub[maskoffset] = 0;
6120         count = host_aton(sub, binary);
6121         host_mask(count, binary, mask);
6122
6123         /* Convert to masked textual format and add to output. */
6124
6125         yield = string_cat(yield, &size, &ptr, buffer,
6126           host_nmtoa(count, binary, mask, buffer, '.'));
6127         continue;
6128         }
6129
6130       case EOP_ADDRESS:
6131       case EOP_LOCAL_PART:
6132       case EOP_DOMAIN:
6133         {
6134         uschar *error;
6135         int start, end, domain;
6136         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6137           FALSE);
6138         if (t != NULL)
6139           {
6140           if (c != EOP_DOMAIN)
6141             {
6142             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6143             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6144             }
6145           else if (domain != 0)
6146             {
6147             domain += start;
6148             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6149             }
6150           }
6151         continue;
6152         }
6153
6154       case EOP_ADDRESSES:
6155         {
6156         uschar outsep[2] = { ':', '\0' };
6157         uschar *address, *error;
6158         int save_ptr = ptr;
6159         int start, end, domain;  /* Not really used */
6160
6161         while (isspace(*sub)) sub++;
6162         if (*sub == '>') { *outsep = *++sub; ++sub; }
6163         parse_allow_group = TRUE;
6164
6165         for (;;)
6166           {
6167           uschar *p = parse_find_address_end(sub, FALSE);
6168           uschar saveend = *p;
6169           *p = '\0';
6170           address = parse_extract_address(sub, &error, &start, &end, &domain,
6171             FALSE);
6172           *p = saveend;
6173
6174           /* Add the address to the output list that we are building. This is
6175           done in chunks by searching for the separator character. At the
6176           start, unless we are dealing with the first address of the output
6177           list, add in a space if the new address begins with the separator
6178           character, or is an empty string. */
6179
6180           if (address != NULL)
6181             {
6182             if (ptr != save_ptr && address[0] == *outsep)
6183               yield = string_cat(yield, &size, &ptr, US" ", 1);
6184
6185             for (;;)
6186               {
6187               size_t seglen = Ustrcspn(address, outsep);
6188               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6189
6190               /* If we got to the end of the string we output one character
6191               too many. */
6192
6193               if (address[seglen] == '\0') { ptr--; break; }
6194               yield = string_cat(yield, &size, &ptr, outsep, 1);
6195               address += seglen + 1;
6196               }
6197
6198             /* Output a separator after the string: we will remove the
6199             redundant final one at the end. */
6200
6201             yield = string_cat(yield, &size, &ptr, outsep, 1);
6202             }
6203
6204           if (saveend == '\0') break;
6205           sub = p + 1;
6206           }
6207
6208         /* If we have generated anything, remove the redundant final
6209         separator. */
6210
6211         if (ptr != save_ptr) ptr--;
6212         parse_allow_group = FALSE;
6213         continue;
6214         }
6215
6216
6217       /* quote puts a string in quotes if it is empty or contains anything
6218       other than alphamerics, underscore, dot, or hyphen.
6219
6220       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6221       be quoted in order to be a valid local part.
6222
6223       In both cases, newlines and carriage returns are converted into \n and \r
6224       respectively */
6225
6226       case EOP_QUOTE:
6227       case EOP_QUOTE_LOCAL_PART:
6228       if (arg == NULL)
6229         {
6230         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6231         uschar *t = sub - 1;
6232
6233         if (c == EOP_QUOTE)
6234           {
6235           while (!needs_quote && *(++t) != 0)
6236             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6237           }
6238         else  /* EOP_QUOTE_LOCAL_PART */
6239           {
6240           while (!needs_quote && *(++t) != 0)
6241             needs_quote = !isalnum(*t) &&
6242               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6243               (*t != '.' || t == sub || t[1] == 0);
6244           }
6245
6246         if (needs_quote)
6247           {
6248           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6249           t = sub - 1;
6250           while (*(++t) != 0)
6251             {
6252             if (*t == '\n')
6253               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6254             else if (*t == '\r')
6255               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6256             else
6257               {
6258               if (*t == '\\' || *t == '"')
6259                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6260               yield = string_cat(yield, &size, &ptr, t, 1);
6261               }
6262             }
6263           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6264           }
6265         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6266         continue;
6267         }
6268
6269       /* quote_lookuptype does lookup-specific quoting */
6270
6271       else
6272         {
6273         int n;
6274         uschar *opt = Ustrchr(arg, '_');
6275
6276         if (opt != NULL) *opt++ = 0;
6277
6278         n = search_findtype(arg, Ustrlen(arg));
6279         if (n < 0)
6280           {
6281           expand_string_message = search_error_message;
6282           goto EXPAND_FAILED;
6283           }
6284
6285         if (lookup_list[n]->quote != NULL)
6286           sub = (lookup_list[n]->quote)(sub, opt);
6287         else if (opt != NULL) sub = NULL;
6288
6289         if (sub == NULL)
6290           {
6291           expand_string_message = string_sprintf(
6292             "\"%s\" unrecognized after \"${quote_%s\"",
6293             opt, arg);
6294           goto EXPAND_FAILED;
6295           }
6296
6297         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6298         continue;
6299         }
6300
6301       /* rx quote sticks in \ before any non-alphameric character so that
6302       the insertion works in a regular expression. */
6303
6304       case EOP_RXQUOTE:
6305         {
6306         uschar *t = sub - 1;
6307         while (*(++t) != 0)
6308           {
6309           if (!isalnum(*t))
6310             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6311           yield = string_cat(yield, &size, &ptr, t, 1);
6312           }
6313         continue;
6314         }
6315
6316       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6317       prescribed by the RFC, if there are characters that need to be encoded */
6318
6319       case EOP_RFC2047:
6320         {
6321         uschar buffer[2048];
6322         uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6323           buffer, sizeof(buffer), FALSE);
6324         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6325         continue;
6326         }
6327
6328       /* RFC 2047 decode */
6329
6330       case EOP_RFC2047D:
6331         {
6332         int len;
6333         uschar *error;
6334         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6335           headers_charset, '?', &len, &error);
6336         if (error != NULL)
6337           {
6338           expand_string_message = error;
6339           goto EXPAND_FAILED;
6340           }
6341         yield = string_cat(yield, &size, &ptr, decoded, len);
6342         continue;
6343         }
6344
6345       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6346       underscores */
6347
6348       case EOP_FROM_UTF8:
6349         {
6350         while (*sub != 0)
6351           {
6352           int c;
6353           uschar buff[4];
6354           GETUTF8INC(c, sub);
6355           if (c > 255) c = '_';
6356           buff[0] = c;
6357           yield = string_cat(yield, &size, &ptr, buff, 1);
6358           }
6359         continue;
6360         }
6361
6362           /* replace illegal UTF-8 sequences by replacement character  */
6363           
6364       #define UTF8_REPLACEMENT_CHAR US"?"
6365
6366       case EOP_UTF8CLEAN:
6367         {
6368         int seq_len, index = 0;
6369         int bytes_left = 0;
6370         uschar seq_buff[4];                     /* accumulate utf-8 here */
6371         
6372         while (*sub != 0)
6373           {
6374           int complete;
6375           long codepoint;
6376           uschar c;
6377
6378           complete = 0;
6379           c = *sub++;
6380           if (bytes_left)
6381             {
6382             if ((c & 0xc0) != 0x80)
6383               {
6384                     /* wrong continuation byte; invalidate all bytes */
6385               complete = 1; /* error */
6386               }
6387             else
6388               {
6389               codepoint = (codepoint << 6) | (c & 0x3f);
6390               seq_buff[index++] = c;
6391               if (--bytes_left == 0)            /* codepoint complete */
6392                 {
6393                 if(codepoint > 0x10FFFF)        /* is it too large? */
6394                   complete = -1;        /* error */
6395                 else
6396                   {             /* finished; output utf-8 sequence */
6397                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6398                   index = 0;
6399                   }
6400                 }
6401               }
6402             }
6403           else  /* no bytes left: new sequence */
6404             {
6405             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6406               {
6407               yield = string_cat(yield, &size, &ptr, &c, 1);
6408               continue;
6409               }
6410             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6411               {
6412               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6413                 complete = -1;
6414               else
6415                 {
6416                   bytes_left = 1;
6417                   codepoint = c & 0x1f;
6418                 }
6419               }
6420             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6421               {
6422               bytes_left = 2;
6423               codepoint = c & 0x0f;
6424               }
6425             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6426               {
6427               bytes_left = 3;
6428               codepoint = c & 0x07;
6429               }
6430             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6431               complete = -1;
6432
6433             seq_buff[index++] = c;
6434             seq_len = bytes_left + 1;
6435             }           /* if(bytes_left) */
6436
6437           if (complete != 0)
6438             {
6439             bytes_left = index = 0;
6440             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6441             }
6442           if ((complete == 1) && ((c & 0x80) == 0))
6443             { /* ASCII character follows incomplete sequence */
6444               yield = string_cat(yield, &size, &ptr, &c, 1);
6445             }
6446           }
6447         continue;
6448         }
6449
6450       /* escape turns all non-printing characters into escape sequences. */
6451
6452       case EOP_ESCAPE:
6453         {
6454         uschar *t = string_printing(sub);
6455         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6456         continue;
6457         }
6458
6459       /* Handle numeric expression evaluation */
6460
6461       case EOP_EVAL:
6462       case EOP_EVAL10:
6463         {
6464         uschar *save_sub = sub;
6465         uschar *error = NULL;
6466         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6467         if (error != NULL)
6468           {
6469           expand_string_message = string_sprintf("error in expression "
6470             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6471               save_sub);
6472           goto EXPAND_FAILED;
6473           }
6474         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6475         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6476         continue;
6477         }
6478
6479       /* Handle time period formating */
6480
6481       case EOP_TIME_EVAL:
6482         {
6483         int n = readconf_readtime(sub, 0, FALSE);
6484         if (n < 0)
6485           {
6486           expand_string_message = string_sprintf("string \"%s\" is not an "
6487             "Exim time interval in \"%s\" operator", sub, name);
6488           goto EXPAND_FAILED;
6489           }
6490         sprintf(CS var_buffer, "%d", n);
6491         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6492         continue;
6493         }
6494
6495       case EOP_TIME_INTERVAL:
6496         {
6497         int n;
6498         uschar *t = read_number(&n, sub);
6499         if (*t != 0) /* Not A Number*/
6500           {
6501           expand_string_message = string_sprintf("string \"%s\" is not a "
6502             "positive number in \"%s\" operator", sub, name);
6503           goto EXPAND_FAILED;
6504           }
6505         t = readconf_printtime(n);
6506         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6507         continue;
6508         }
6509
6510       /* Convert string to base64 encoding */
6511
6512       case EOP_STR2B64:
6513         {
6514         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
6515         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
6516         continue;
6517         }
6518
6519       /* strlen returns the length of the string */
6520
6521       case EOP_STRLEN:
6522         {
6523         uschar buff[24];
6524         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6525         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6526         continue;
6527         }
6528
6529       /* length_n or l_n takes just the first n characters or the whole string,
6530       whichever is the shorter;
6531
6532       substr_m_n, and s_m_n take n characters from offset m; negative m take
6533       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6534       takes the rest, either to the right or to the left.
6535
6536       hash_n or h_n makes a hash of length n from the string, yielding n
6537       characters from the set a-z; hash_n_m makes a hash of length n, but
6538       uses m characters from the set a-zA-Z0-9.
6539
6540       nhash_n returns a single number between 0 and n-1 (in text form), while
6541       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6542       between 0 and n-1 and the second between 0 and m-1. */
6543
6544       case EOP_LENGTH:
6545       case EOP_L:
6546       case EOP_SUBSTR:
6547       case EOP_S:
6548       case EOP_HASH:
6549       case EOP_H:
6550       case EOP_NHASH:
6551       case EOP_NH:
6552         {
6553         int sign = 1;
6554         int value1 = 0;
6555         int value2 = -1;
6556         int *pn;
6557         int len;
6558         uschar *ret;
6559
6560         if (arg == NULL)
6561           {
6562           expand_string_message = string_sprintf("missing values after %s",
6563             name);
6564           goto EXPAND_FAILED;
6565           }
6566
6567         /* "length" has only one argument, effectively being synonymous with
6568         substr_0_n. */
6569
6570         if (c == EOP_LENGTH || c == EOP_L)
6571           {
6572           pn = &value2;
6573           value2 = 0;
6574           }
6575
6576         /* The others have one or two arguments; for "substr" the first may be
6577         negative. The second being negative means "not supplied". */
6578
6579         else
6580           {
6581           pn = &value1;
6582           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
6583           }
6584
6585         /* Read up to two numbers, separated by underscores */
6586
6587         ret = arg;
6588         while (*arg != 0)
6589           {
6590           if (arg != ret && *arg == '_' && pn == &value1)
6591             {
6592             pn = &value2;
6593             value2 = 0;
6594             if (arg[1] != 0) arg++;
6595             }
6596           else if (!isdigit(*arg))
6597             {
6598             expand_string_message =
6599               string_sprintf("non-digit after underscore in \"%s\"", name);
6600             goto EXPAND_FAILED;
6601             }
6602           else *pn = (*pn)*10 + *arg++ - '0';
6603           }
6604         value1 *= sign;
6605
6606         /* Perform the required operation */
6607
6608         ret =
6609           (c == EOP_HASH || c == EOP_H)?
6610              compute_hash(sub, value1, value2, &len) :
6611           (c == EOP_NHASH || c == EOP_NH)?
6612              compute_nhash(sub, value1, value2, &len) :
6613              extract_substr(sub, value1, value2, &len);
6614
6615         if (ret == NULL) goto EXPAND_FAILED;
6616         yield = string_cat(yield, &size, &ptr, ret, len);
6617         continue;
6618         }
6619
6620       /* Stat a path */
6621
6622       case EOP_STAT:
6623         {
6624         uschar *s;
6625         uschar smode[12];
6626         uschar **modetable[3];
6627         int i;
6628         mode_t mode;
6629         struct stat st;
6630
6631         if ((expand_forbid & RDO_EXISTS) != 0)
6632           {
6633           expand_string_message = US"Use of the stat() expansion is not permitted";
6634           goto EXPAND_FAILED;
6635           }
6636
6637         if (stat(CS sub, &st) < 0)
6638           {
6639           expand_string_message = string_sprintf("stat(%s) failed: %s",
6640             sub, strerror(errno));
6641           goto EXPAND_FAILED;
6642           }
6643         mode = st.st_mode;
6644         switch (mode & S_IFMT)
6645           {
6646           case S_IFIFO: smode[0] = 'p'; break;
6647           case S_IFCHR: smode[0] = 'c'; break;
6648           case S_IFDIR: smode[0] = 'd'; break;
6649           case S_IFBLK: smode[0] = 'b'; break;
6650           case S_IFREG: smode[0] = '-'; break;
6651           default: smode[0] = '?'; break;
6652           }
6653
6654         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
6655         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
6656         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
6657
6658         for (i = 0; i < 3; i++)
6659           {
6660           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
6661           mode >>= 3;
6662           }
6663
6664         smode[10] = 0;
6665         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
6666           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
6667           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
6668           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
6669           (long)st.st_gid, st.st_size, (long)st.st_atime,
6670           (long)st.st_mtime, (long)st.st_ctime);
6671         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6672         continue;
6673         }
6674
6675       /* vaguely random number less than N */
6676
6677       case EOP_RANDINT:
6678         {
6679         int_eximarith_t max;
6680         uschar *s;
6681
6682         max = expand_string_integer(sub, TRUE);
6683         if (expand_string_message != NULL)
6684           goto EXPAND_FAILED;
6685         s = string_sprintf("%d", vaguely_random_number((int)max));
6686         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6687         continue;
6688         }
6689
6690       /* Reverse IP, including IPv6 to dotted-nibble */
6691
6692       case EOP_REVERSE_IP:
6693         {
6694         int family, maskptr;
6695         uschar reversed[128];
6696
6697         family = string_is_ip_address(sub, &maskptr);
6698         if (family == 0)
6699           {
6700           expand_string_message = string_sprintf(
6701               "reverse_ip() not given an IP address [%s]", sub);
6702           goto EXPAND_FAILED;
6703           }
6704         invert_address(reversed, sub);
6705         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
6706         continue;
6707         }
6708
6709       /* Unknown operator */
6710
6711       default:
6712       expand_string_message =
6713         string_sprintf("unknown expansion operator \"%s\"", name);
6714       goto EXPAND_FAILED;
6715       }
6716     }
6717
6718   /* Handle a plain name. If this is the first thing in the expansion, release
6719   the pre-allocated buffer. If the result data is known to be in a new buffer,
6720   newsize will be set to the size of that buffer, and we can just point at that
6721   store instead of copying. Many expansion strings contain just one reference,
6722   so this is a useful optimization, especially for humungous headers
6723   ($message_headers). */
6724                                                 /*{*/
6725   if (*s++ == '}')
6726     {
6727     int len;
6728     int newsize = 0;
6729     if (ptr == 0)
6730       {
6731       if (resetok) store_reset(yield);
6732       yield = NULL;
6733       size = 0;
6734       }
6735     value = find_variable(name, FALSE, skipping, &newsize);
6736     if (value == NULL)
6737       {
6738       expand_string_message =
6739         string_sprintf("unknown variable in \"${%s}\"", name);
6740       check_variable_error_message(name);
6741       goto EXPAND_FAILED;
6742       }
6743     len = Ustrlen(value);
6744     if (yield == NULL && newsize != 0)
6745       {
6746       yield = value;
6747       size = newsize;
6748       ptr = len;
6749       }
6750     else yield = string_cat(yield, &size, &ptr, value, len);
6751     continue;
6752     }
6753
6754   /* Else there's something wrong */
6755
6756   expand_string_message =
6757     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
6758     "in a variable reference)", name);
6759   goto EXPAND_FAILED;
6760   }
6761
6762 /* If we hit the end of the string when ket_ends is set, there is a missing
6763 terminating brace. */
6764
6765 if (ket_ends && *s == 0)
6766   {
6767   expand_string_message = malformed_header?
6768     US"missing } at end of string - could be header name not terminated by colon"
6769     :
6770     US"missing } at end of string";
6771   goto EXPAND_FAILED;
6772   }
6773
6774 /* Expansion succeeded; yield may still be NULL here if nothing was actually
6775 added to the string. If so, set up an empty string. Add a terminating zero. If
6776 left != NULL, return a pointer to the terminator. */
6777
6778 if (yield == NULL) yield = store_get(1);
6779 yield[ptr] = 0;
6780 if (left != NULL) *left = s;
6781
6782 /* Any stacking store that was used above the final string is no longer needed.
6783 In many cases the final string will be the first one that was got and so there
6784 will be optimal store usage. */
6785
6786 if (resetok) store_reset(yield + ptr + 1);
6787 else if (resetok_p) *resetok_p = FALSE;
6788
6789 DEBUG(D_expand)
6790   {
6791   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
6792     yield);
6793   if (skipping) debug_printf("skipping: result is not used\n");
6794   }
6795 return yield;
6796
6797 /* This is the failure exit: easiest to program with a goto. We still need
6798 to update the pointer to the terminator, for cases of nested calls with "fail".
6799 */
6800
6801 EXPAND_FAILED_CURLY:
6802 expand_string_message = malformed_header?
6803   US"missing or misplaced { or } - could be header name not terminated by colon"
6804   :
6805   US"missing or misplaced { or }";
6806
6807 /* At one point, Exim reset the store to yield (if yield was not NULL), but
6808 that is a bad idea, because expand_string_message is in dynamic store. */
6809
6810 EXPAND_FAILED:
6811 if (left != NULL) *left = s;
6812 DEBUG(D_expand)
6813   {
6814   debug_printf("failed to expand: %s\n", string);
6815   debug_printf("   error message: %s\n", expand_string_message);
6816   if (expand_string_forcedfail) debug_printf("failure was forced\n");
6817   }
6818 if (resetok_p) *resetok_p = resetok;
6819 return NULL;
6820 }
6821
6822
6823 /* This is the external function call. Do a quick check for any expansion
6824 metacharacters, and if there are none, just return the input string.
6825
6826 Argument: the string to be expanded
6827 Returns:  the expanded string, or NULL if expansion failed; if failure was
6828           due to a lookup deferring, search_find_defer will be TRUE
6829 */
6830
6831 uschar *
6832 expand_string(uschar *string)
6833 {
6834 search_find_defer = FALSE;
6835 malformed_header = FALSE;
6836 return (Ustrpbrk(string, "$\\") == NULL)? string :
6837   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
6838 }
6839
6840
6841
6842 /*************************************************
6843 *              Expand and copy                   *
6844 *************************************************/
6845
6846 /* Now and again we want to expand a string and be sure that the result is in a
6847 new bit of store. This function does that.
6848
6849 Argument: the string to be expanded
6850 Returns:  the expanded string, always in a new bit of store, or NULL
6851 */
6852
6853 uschar *
6854 expand_string_copy(uschar *string)
6855 {
6856 uschar *yield = expand_string(string);
6857 if (yield == string) yield = string_copy(string);
6858 return yield;
6859 }
6860
6861
6862
6863 /*************************************************
6864 *        Expand and interpret as an integer      *
6865 *************************************************/
6866
6867 /* Expand a string, and convert the result into an integer.
6868
6869 Arguments:
6870   string  the string to be expanded
6871   isplus  TRUE if a non-negative number is expected
6872
6873 Returns:  the integer value, or
6874           -1 for an expansion error               ) in both cases, message in
6875           -2 for an integer interpretation error  ) expand_string_message
6876           expand_string_message is set NULL for an OK integer
6877 */
6878
6879 int_eximarith_t
6880 expand_string_integer(uschar *string, BOOL isplus)
6881 {
6882 int_eximarith_t value;
6883 uschar *s = expand_string(string);
6884 uschar *msg = US"invalid integer \"%s\"";
6885 uschar *endptr;
6886
6887 /* If expansion failed, expand_string_message will be set. */
6888
6889 if (s == NULL) return -1;
6890
6891 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
6892 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
6893 systems, so we set it zero ourselves. */
6894
6895 errno = 0;
6896 expand_string_message = NULL;               /* Indicates no error */
6897
6898 /* Before Exim 4.64, strings consisting entirely of whitespace compared
6899 equal to 0.  Unfortunately, people actually relied upon that, so preserve
6900 the behaviour explicitly.  Stripping leading whitespace is a harmless
6901 noop change since strtol skips it anyway (provided that there is a number
6902 to find at all). */
6903 if (isspace(*s))
6904   {
6905   while (isspace(*s)) ++s;
6906   if (*s == '\0')
6907     {
6908       DEBUG(D_expand)
6909        debug_printf("treating blank string as number 0\n");
6910       return 0;
6911     }
6912   }
6913
6914 value = strtoll(CS s, CSS &endptr, 10);
6915
6916 if (endptr == s)
6917   {
6918   msg = US"integer expected but \"%s\" found";
6919   }
6920 else if (value < 0 && isplus)
6921   {
6922   msg = US"non-negative integer expected but \"%s\" found";
6923   }
6924 else
6925   {
6926   switch (tolower(*endptr))
6927     {
6928     default:
6929       break;
6930     case 'k':
6931       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
6932       else value *= 1024;
6933       endptr++;
6934       break;
6935     case 'm':
6936       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
6937       else value *= 1024*1024;
6938       endptr++;
6939       break;
6940     case 'g':
6941       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
6942       else value *= 1024*1024*1024;
6943       endptr++;
6944       break;
6945     }
6946   if (errno == ERANGE)
6947     msg = US"absolute value of integer \"%s\" is too large (overflow)";
6948   else
6949     {
6950     while (isspace(*endptr)) endptr++;
6951     if (*endptr == 0) return value;
6952     }
6953   }
6954
6955 expand_string_message = string_sprintf(CS msg, s);
6956 return -2;
6957 }
6958
6959
6960 /*************************************************
6961 **************************************************
6962 *             Stand-alone test program           *
6963 **************************************************
6964 *************************************************/
6965
6966 #ifdef STAND_ALONE
6967
6968
6969 BOOL
6970 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
6971 {
6972 int ovector[3*(EXPAND_MAXN+1)];
6973 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
6974   ovector, sizeof(ovector)/sizeof(int));
6975 BOOL yield = n >= 0;
6976 if (n == 0) n = EXPAND_MAXN + 1;
6977 if (yield)
6978   {
6979   int nn;
6980   expand_nmax = (setup < 0)? 0 : setup + 1;
6981   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
6982     {
6983     expand_nstring[expand_nmax] = subject + ovector[nn];
6984     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
6985     }
6986   expand_nmax--;
6987   }
6988 return yield;
6989 }
6990
6991
6992 int main(int argc, uschar **argv)
6993 {
6994 int i;
6995 uschar buffer[1024];
6996
6997 debug_selector = D_v;
6998 debug_file = stderr;
6999 debug_fd = fileno(debug_file);
7000 big_buffer = malloc(big_buffer_size);
7001
7002 for (i = 1; i < argc; i++)
7003   {
7004   if (argv[i][0] == '+')
7005     {
7006     debug_trace_memory = 2;
7007     argv[i]++;
7008     }
7009   if (isdigit(argv[i][0]))
7010     debug_selector = Ustrtol(argv[i], NULL, 0);
7011   else
7012     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7013         Ustrlen(argv[i]))
7014       {
7015       #ifdef LOOKUP_LDAP
7016       eldap_default_servers = argv[i];
7017       #endif
7018       #ifdef LOOKUP_MYSQL
7019       mysql_servers = argv[i];
7020       #endif
7021       #ifdef LOOKUP_PGSQL
7022       pgsql_servers = argv[i];
7023       #endif
7024       #ifdef EXPERIMENTAL_REDIS
7025       redis_servers = argv[i];
7026       #endif
7027       }
7028   #ifdef EXIM_PERL
7029   else opt_perl_startup = argv[i];
7030   #endif
7031   }
7032
7033 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7034
7035 expand_nstring[1] = US"string 1....";
7036 expand_nlength[1] = 8;
7037 expand_nmax = 1;
7038
7039 #ifdef EXIM_PERL
7040 if (opt_perl_startup != NULL)
7041   {
7042   uschar *errstr;
7043   printf("Starting Perl interpreter\n");
7044   errstr = init_perl(opt_perl_startup);
7045   if (errstr != NULL)
7046     {
7047     printf("** error in perl_startup code: %s\n", errstr);
7048     return EXIT_FAILURE;
7049     }
7050   }
7051 #endif /* EXIM_PERL */
7052
7053 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7054   {
7055   void *reset_point = store_get(0);
7056   uschar *yield = expand_string(buffer);
7057   if (yield != NULL)
7058     {
7059     printf("%s\n", yield);
7060     store_reset(reset_point);
7061     }
7062   else
7063     {
7064     if (search_find_defer) printf("search_find deferred\n");
7065     printf("Failed: %s\n", expand_string_message);
7066     if (expand_string_forcedfail) printf("Forced failure\n");
7067     printf("\n");
7068     }
7069   }
7070
7071 search_tidyup();
7072
7073 return 0;
7074 }
7075
7076 #endif
7077
7078 /* vi: aw ai sw=2
7079 */
7080 /* End of expand.c */