9da921a5c13c833970a0685a94c58e4a004eec5f
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 - 2021 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9
10 /* The main function: entry point, initialization, and high-level control.
11 Also a few functions that don't naturally fit elsewhere. */
12
13
14 #include "exim.h"
15
16 #if defined(__GLIBC__) && !defined(__UCLIBC__)
17 # include <gnu/libc-version.h>
18 #endif
19
20 #ifdef USE_GNUTLS
21 # include <gnutls/gnutls.h>
22 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
23 #  define DISABLE_OCSP
24 # endif
25 #endif
26
27 #ifndef _TIME_H
28 # include <time.h>
29 #endif
30
31 extern void init_lookup_list(void);
32
33
34
35 /*************************************************
36 *      Function interface to store functions     *
37 *************************************************/
38
39 /* We need some real functions to pass to the PCRE regular expression library
40 for store allocation via Exim's store manager. The normal calls are actually
41 macros that pass over location information to make tracing easier. These
42 functions just interface to the standard macro calls. A good compiler will
43 optimize out the tail recursion and so not make them too expensive. */
44
45 static void *
46 function_store_malloc(PCRE2_SIZE size, void * tag)
47 {
48 return store_malloc((int)size);
49 }
50
51 static void
52 function_store_free(void * block, void * tag)
53 {
54 /* At least some version of pcre2 pass a null pointer */
55 if (block) store_free(block);
56 }
57
58
59
60
61 /*************************************************
62 *         Enums for cmdline interface            *
63 *************************************************/
64
65 enum commandline_info { CMDINFO_NONE=0,
66   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
67
68
69
70
71 /*************************************************
72 *  Compile regular expression and panic on fail  *
73 *************************************************/
74
75 /* This function is called when failure to compile a regular expression leads
76 to a panic exit. In other cases, pcre_compile() is called directly. In many
77 cases where this function is used, the results of the compilation are to be
78 placed in long-lived store, so we temporarily reset the store management
79 functions that PCRE uses if the use_malloc flag is set.
80
81 Argument:
82   pattern     the pattern to compile
83   caseless    TRUE if caseless matching is required
84   use_malloc  TRUE if compile into malloc store
85
86 Returns:      pointer to the compiled pattern
87 */
88
89 const pcre2_code *
90 regex_must_compile(const uschar * pattern, BOOL caseless, BOOL use_malloc)
91 {
92 size_t offset;
93 int options = caseless ? PCRE_COPT|PCRE2_CASELESS : PCRE_COPT;
94 const pcre2_code * yield;
95 int err;
96 pcre2_general_context * gctx;
97 pcre2_compile_context * cctx;
98
99 if (use_malloc)
100   {
101   gctx = pcre2_general_context_create(function_store_malloc, function_store_free, NULL);
102   cctx = pcre2_compile_context_create(gctx);
103   }
104 else
105   cctx = pcre_cmp_ctx;
106
107 if (!(yield = pcre2_compile((PCRE2_SPTR)pattern, PCRE2_ZERO_TERMINATED, options,
108   &err, &offset, cctx)))
109   {
110   uschar errbuf[128];
111   pcre2_get_error_message(err, errbuf, sizeof(errbuf));
112   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
113     "%s at offset %ld while compiling %s", errbuf, (long)offset, pattern);
114   }
115
116 if (use_malloc)
117   {
118   pcre2_compile_context_free(cctx);
119   pcre2_general_context_free(gctx);
120   }
121 return yield;
122 }
123
124
125 static void
126 pcre_init(void)
127 {
128 pcre_gen_ctx = pcre2_general_context_create(function_store_malloc, function_store_free, NULL);
129 pcre_cmp_ctx = pcre2_compile_context_create(pcre_gen_ctx);
130 pcre_mtc_ctx = pcre2_match_context_create(pcre_gen_ctx);
131 }
132
133
134
135
136 /*************************************************
137 *   Execute regular expression and set strings   *
138 *************************************************/
139
140 /* This function runs a regular expression match, and sets up the pointers to
141 the matched substrings.  The matched strings are copied so the lifetime of
142 the subject is not a problem.
143
144 Arguments:
145   re          the compiled expression
146   subject     the subject string
147   options     additional PCRE options
148   setup       if < 0 do full setup
149               if >= 0 setup from setup+1 onwards,
150                 excluding the full matched string
151
152 Returns:      TRUE if matched, or FALSE
153 */
154
155 BOOL
156 regex_match_and_setup(const pcre2_code * re, const uschar * subject, int options, int setup)
157 {
158 pcre2_match_data * md = pcre2_match_data_create_from_pattern(re, pcre_gen_ctx);
159 int res = pcre2_match(re, (PCRE2_SPTR)subject, PCRE2_ZERO_TERMINATED, 0,
160                         PCRE_EOPT | options, md, pcre_mtc_ctx);
161 BOOL yield;
162
163 if ((yield = (res >= 0)))
164   {
165   res = pcre2_get_ovector_count(md);
166   expand_nmax = setup < 0 ? 0 : setup + 1;
167   for (int matchnum = setup < 0 ? 0 : 1; matchnum < res; matchnum++)
168     {
169     PCRE2_SIZE len;
170     pcre2_substring_get_bynumber(md, matchnum,
171       (PCRE2_UCHAR **)&expand_nstring[expand_nmax], &len);
172     expand_nlength[expand_nmax++] = (int)len;
173     }
174   expand_nmax--;
175   }
176 else if (res != PCRE2_ERROR_NOMATCH) DEBUG(D_any)
177   {
178   uschar errbuf[128];
179   pcre2_get_error_message(res, errbuf, sizeof(errbuf));
180   debug_printf_indent("pcre2: %s\n", errbuf);
181   }
182 pcre2_match_data_free(md);
183 return yield;
184 }
185
186
187 /* Check just for match with regex.  Uses the common memory-handling.
188
189 Arguments:
190         re      compiled regex
191         subject string to be checked
192         slen    length of subject; -1 for nul-terminated
193         rptr    pointer for matched string, copied, or NULL
194
195 Return: TRUE for a match.
196 */
197
198 BOOL
199 regex_match(const pcre2_code * re, const uschar * subject, int slen, uschar ** rptr)
200 {
201 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
202 int rc = pcre2_match(re, (PCRE2_SPTR)subject,
203                       slen >= 0 ? slen : PCRE2_ZERO_TERMINATED,
204                       0, PCRE_EOPT, md, pcre_mtc_ctx);
205 PCRE2_SIZE * ovec = pcre2_get_ovector_pointer(md);
206 if (rc < 0)
207   return FALSE;
208 if (rptr)
209   *rptr = string_copyn(subject + ovec[0], ovec[1] - ovec[0]);
210 return TRUE;
211 }
212
213
214
215 /*************************************************
216 *            Set up processing details           *
217 *************************************************/
218
219 /* Save a text string for dumping when SIGUSR1 is received.
220 Do checks for overruns.
221
222 Arguments: format and arguments, as for printf()
223 Returns:   nothing
224 */
225
226 void
227 set_process_info(const char *format, ...)
228 {
229 gstring gs = { .size = PROCESS_INFO_SIZE - 2, .ptr = 0, .s = process_info };
230 gstring * g;
231 int len;
232 va_list ap;
233
234 g = string_fmt_append(&gs, "%5d ", (int)getpid());
235 len = g->ptr;
236 va_start(ap, format);
237 if (!string_vformat(g, 0, format, ap))
238   {
239   gs.ptr = len;
240   g = string_cat(&gs, US"**** string overflowed buffer ****");
241   }
242 g = string_catn(g, US"\n", 1);
243 string_from_gstring(g);
244 process_info_len = g->ptr;
245 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
246 va_end(ap);
247 }
248
249 /***********************************************
250 *            Handler for SIGTERM               *
251 ***********************************************/
252
253 static void
254 term_handler(int sig)
255 {
256 exit(1);
257 }
258
259
260 /***********************************************
261 *            Handler for SIGSEGV               *
262 ***********************************************/
263
264 static void
265 #ifdef SA_SIGINFO
266 segv_handler(int sig, siginfo_t * info, void * uctx)
267 {
268 log_write(0, LOG_MAIN|LOG_PANIC, "SIGSEGV (fault address: %p)", info->si_addr);
269 # if defined(SEGV_MAPERR) && defined(SEGV_ACCERR) && defined(SEGV_BNDERR) && defined(SEGV_PKUERR)
270 switch (info->si_code)
271   {
272   case SEGV_MAPERR: log_write(0, LOG_MAIN|LOG_PANIC, "SEGV_MAPERR"); break;
273   case SEGV_ACCERR: log_write(0, LOG_MAIN|LOG_PANIC, "SEGV_ACCERR"); break;
274   case SEGV_BNDERR: log_write(0, LOG_MAIN|LOG_PANIC, "SEGV_BNDERR"); break;
275   case SEGV_PKUERR: log_write(0, LOG_MAIN|LOG_PANIC, "SEGV_PKUERR"); break;
276   }
277 # endif
278 if (US info->si_addr < US 4096)
279   log_write(0, LOG_MAIN|LOG_PANIC, "SIGSEGV (null pointer indirection)");
280 else
281   log_write(0, LOG_MAIN|LOG_PANIC, "SIGSEGV (maybe attempt to write to immutable memory)");
282 signal(SIGSEGV, SIG_DFL);
283 kill(getpid(), sig);
284 }
285
286 #else
287 segv_handler(int sig)
288 {
289 log_write(0, LOG_MAIN|LOG_PANIC, "SIGSEGV (maybe attempt to write to immutable memory)");
290 signal(SIGSEGV, SIG_DFL);
291 kill(getpid(), sig);
292 }
293 #endif
294
295
296 /*************************************************
297 *             Handler for SIGUSR1                *
298 *************************************************/
299
300 /* SIGUSR1 causes any exim process to write to the process log details of
301 what it is currently doing. It will only be used if the OS is capable of
302 setting up a handler that causes automatic restarting of any system call
303 that is in progress at the time.
304
305 This function takes care to be signal-safe.
306
307 Argument: the signal number (SIGUSR1)
308 Returns:  nothing
309 */
310
311 static void
312 usr1_handler(int sig)
313 {
314 int fd;
315
316 os_restarting_signal(sig, usr1_handler);
317
318 if (!process_log_path) return;
319 fd = log_open_as_exim(process_log_path);
320
321 /* If we are neither exim nor root, or if we failed to create the log file,
322 give up. There is not much useful we can do with errors, since we don't want
323 to disrupt whatever is going on outside the signal handler. */
324
325 if (fd < 0) return;
326
327 (void)write(fd, process_info, process_info_len);
328 (void)close(fd);
329 }
330
331
332
333 /*************************************************
334 *             Timeout handler                    *
335 *************************************************/
336
337 /* This handler is enabled most of the time that Exim is running. The handler
338 doesn't actually get used unless alarm() has been called to set a timer, to
339 place a time limit on a system call of some kind. When the handler is run, it
340 re-enables itself.
341
342 There are some other SIGALRM handlers that are used in special cases when more
343 than just a flag setting is required; for example, when reading a message's
344 input. These are normally set up in the code module that uses them, and the
345 SIGALRM handler is reset to this one afterwards.
346
347 Argument: the signal value (SIGALRM)
348 Returns:  nothing
349 */
350
351 void
352 sigalrm_handler(int sig)
353 {
354 sigalrm_seen = TRUE;
355 os_non_restarting_signal(SIGALRM, sigalrm_handler);
356 }
357
358
359
360 /*************************************************
361 *      Sleep for a fractional time interval      *
362 *************************************************/
363
364 /* This function is called by millisleep() and exim_wait_tick() to wait for a
365 period of time that may include a fraction of a second. The coding is somewhat
366 tedious. We do not expect setitimer() ever to fail, but if it does, the process
367 will wait for ever, so we panic in this instance. (There was a case of this
368 when a bug in a function that calls milliwait() caused it to pass invalid data.
369 That's when I added the check. :-)
370
371 We assume it to be not worth sleeping for under 50us; this value will
372 require revisiting as hardware advances.  This avoids the issue of
373 a zero-valued timer setting meaning "never fire".
374
375 Argument:  an itimerval structure containing the interval
376 Returns:   nothing
377 */
378
379 static void
380 milliwait(struct itimerval *itval)
381 {
382 sigset_t sigmask;
383 sigset_t old_sigmask;
384 int save_errno = errno;
385
386 if (itval->it_value.tv_usec < 50 && itval->it_value.tv_sec == 0)
387   return;
388 (void)sigemptyset(&sigmask);                           /* Empty mask */
389 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
390 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
391 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
392   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
393     "setitimer() failed: %s", strerror(errno));
394 (void)sigfillset(&sigmask);                            /* All signals */
395 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
396 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
397 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
398 errno = save_errno;
399 sigalrm_seen = FALSE;
400 }
401
402
403
404
405 /*************************************************
406 *         Millisecond sleep function             *
407 *************************************************/
408
409 /* The basic sleep() function has a granularity of 1 second, which is too rough
410 in some cases - for example, when using an increasing delay to slow down
411 spammers.
412
413 Argument:    number of millseconds
414 Returns:     nothing
415 */
416
417 void
418 millisleep(int msec)
419 {
420 struct itimerval itval = {.it_interval = {.tv_sec = 0, .tv_usec = 0},
421                           .it_value = {.tv_sec = msec/1000,
422                                        .tv_usec = (msec % 1000) * 1000}};
423 milliwait(&itval);
424 }
425
426
427
428 /*************************************************
429 *         Compare microsecond times              *
430 *************************************************/
431
432 /*
433 Arguments:
434   tv1         the first time
435   tv2         the second time
436
437 Returns:      -1, 0, or +1
438 */
439
440 static int
441 exim_tvcmp(struct timeval *t1, struct timeval *t2)
442 {
443 if (t1->tv_sec > t2->tv_sec) return +1;
444 if (t1->tv_sec < t2->tv_sec) return -1;
445 if (t1->tv_usec > t2->tv_usec) return +1;
446 if (t1->tv_usec < t2->tv_usec) return -1;
447 return 0;
448 }
449
450
451
452
453 /*************************************************
454 *          Clock tick wait function              *
455 *************************************************/
456
457 #ifdef _POSIX_MONOTONIC_CLOCK
458 # ifdef CLOCK_BOOTTIME
459 #  define EXIM_CLOCKTYPE CLOCK_BOOTTIME
460 # else
461 #  define EXIM_CLOCKTYPE CLOCK_MONOTONIC
462 # endif
463
464 /* Amount EXIM_CLOCK is behind realtime, at startup. */
465 static struct timespec offset_ts;
466
467 static void
468 exim_clock_init(void)
469 {
470 struct timeval tv;
471 if (clock_gettime(EXIM_CLOCKTYPE, &offset_ts) != 0) return;
472 (void)gettimeofday(&tv, NULL);
473 offset_ts.tv_sec = tv.tv_sec - offset_ts.tv_sec;
474 offset_ts.tv_nsec = tv.tv_usec * 1000 - offset_ts.tv_nsec;
475 if (offset_ts.tv_nsec >= 0) return;
476 offset_ts.tv_sec--;
477 offset_ts.tv_nsec += 1000*1000*1000;
478 }
479 #endif
480
481
482 void
483 exim_gettime(struct timeval * tv)
484 {
485 #ifdef _POSIX_MONOTONIC_CLOCK
486 struct timespec now_ts;
487
488 if (clock_gettime(EXIM_CLOCKTYPE, &now_ts) == 0)
489   {
490   now_ts.tv_sec += offset_ts.tv_sec;
491   if ((now_ts.tv_nsec += offset_ts.tv_nsec) >= 1000*1000*1000)
492     {
493     now_ts.tv_sec++;
494     now_ts.tv_nsec -= 1000*1000*1000;
495     }
496   tv->tv_sec = now_ts.tv_sec;
497   tv->tv_usec = now_ts.tv_nsec / 1000;
498   }
499 else
500 #endif
501   (void)gettimeofday(tv, NULL);
502 }
503
504
505 /* Exim uses a time + a pid to generate a unique identifier in two places: its
506 message IDs, and in file names for maildir deliveries. Because some OS now
507 re-use pids within the same second, sub-second times are now being used.
508 However, for absolute certainty, we must ensure the clock has ticked before
509 allowing the relevant process to complete. At the time of implementation of
510 this code (February 2003), the speed of processors is such that the clock will
511 invariably have ticked already by the time a process has done its job. This
512 function prepares for the time when things are faster - and it also copes with
513 clocks that go backwards.
514
515 Arguments:
516   prev_tv      A timeval which was used to create uniqueness; its usec field
517                  has been rounded down to the value of the resolution.
518                  We want to be sure the current time is greater than this.
519                  On return, updated to current (rounded down).
520   resolution   The resolution that was used to divide the microseconds
521                  (1 for maildir, larger for message ids)
522
523 Returns:       nothing
524 */
525
526 void
527 exim_wait_tick(struct timeval * prev_tv, int resolution)
528 {
529 struct timeval now_tv;
530 long int now_true_usec;
531
532 exim_gettime(&now_tv);
533 now_true_usec = now_tv.tv_usec;
534 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
535
536 while (exim_tvcmp(&now_tv, prev_tv) <= 0)
537   {
538   struct itimerval itval;
539   itval.it_interval.tv_sec = 0;
540   itval.it_interval.tv_usec = 0;
541   itval.it_value.tv_sec = prev_tv->tv_sec - now_tv.tv_sec;
542   itval.it_value.tv_usec = prev_tv->tv_usec + resolution - now_true_usec;
543
544   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
545   negative value for the microseconds is possible only in the case when "now"
546   is more than a second less than "tgt". That means that itval.it_value.tv_sec
547   is greater than zero. The following correction is therefore safe. */
548
549   if (itval.it_value.tv_usec < 0)
550     {
551     itval.it_value.tv_usec += 1000000;
552     itval.it_value.tv_sec -= 1;
553     }
554
555   DEBUG(D_transport|D_receive)
556     {
557     if (!f.running_in_test_harness)
558       {
559       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
560         prev_tv->tv_sec, (long) prev_tv->tv_usec,
561         now_tv.tv_sec, (long) now_tv.tv_usec);
562       debug_printf("waiting " TIME_T_FMT ".%06lu sec\n",
563         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
564       }
565     }
566
567   milliwait(&itval);
568
569   /* Be prapared to go around if the kernel does not implement subtick
570   granularity (GNU Hurd) */
571
572   exim_gettime(&now_tv);
573   now_true_usec = now_tv.tv_usec;
574   now_tv.tv_usec = (now_true_usec/resolution) * resolution;
575   }
576 *prev_tv = now_tv;
577 }
578
579
580
581
582 /*************************************************
583 *   Call fopen() with umask 777 and adjust mode  *
584 *************************************************/
585
586 /* Exim runs with umask(0) so that files created with open() have the mode that
587 is specified in the open() call. However, there are some files, typically in
588 the spool directory, that are created with fopen(). They end up world-writeable
589 if no precautions are taken. Although the spool directory is not accessible to
590 the world, this is an untidiness. So this is a wrapper function for fopen()
591 that sorts out the mode of the created file.
592
593 Arguments:
594    filename       the file name
595    options        the fopen() options
596    mode           the required mode
597
598 Returns:          the fopened FILE or NULL
599 */
600
601 FILE *
602 modefopen(const uschar *filename, const char *options, mode_t mode)
603 {
604 mode_t saved_umask = umask(0777);
605 FILE *f = Ufopen(filename, options);
606 (void)umask(saved_umask);
607 if (f != NULL) (void)fchmod(fileno(f), mode);
608 return f;
609 }
610
611
612 /*************************************************
613 *   Ensure stdin, stdout, and stderr exist       *
614 *************************************************/
615
616 /* Some operating systems grumble if an exec() happens without a standard
617 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
618 file will be opened and will use these fd values, and then some other bit of
619 code will assume, for example, that it can write error messages to stderr.
620 This function ensures that fds 0, 1, and 2 are open if they do not already
621 exist, by connecting them to /dev/null.
622
623 This function is also used to ensure that std{in,out,err} exist at all times,
624 so that if any library that Exim calls tries to use them, it doesn't crash.
625
626 Arguments:  None
627 Returns:    Nothing
628 */
629
630 void
631 exim_nullstd(void)
632 {
633 int devnull = -1;
634 struct stat statbuf;
635 for (int i = 0; i <= 2; i++)
636   {
637   if (fstat(i, &statbuf) < 0 && errno == EBADF)
638     {
639     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
640     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
641       string_open_failed("/dev/null", NULL));
642     if (devnull != i) (void)dup2(devnull, i);
643     }
644   }
645 if (devnull > 2) (void)close(devnull);
646 }
647
648
649
650
651 /*************************************************
652 *   Close unwanted file descriptors for delivery *
653 *************************************************/
654
655 /* This function is called from a new process that has been forked to deliver
656 an incoming message, either directly, or using exec.
657
658 We want any smtp input streams to be closed in this new process. However, it
659 has been observed that using fclose() here causes trouble. When reading in -bS
660 input, duplicate copies of messages have been seen. The files will be sharing a
661 file pointer with the parent process, and it seems that fclose() (at least on
662 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
663 least sometimes. Hence we go for closing the underlying file descriptors.
664
665 If TLS is active, we want to shut down the TLS library, but without molesting
666 the parent's SSL connection.
667
668 For delivery of a non-SMTP message, we want to close stdin and stdout (and
669 stderr unless debugging) because the calling process might have set them up as
670 pipes and be waiting for them to close before it waits for the submission
671 process to terminate. If they aren't closed, they hold up the calling process
672 until the initial delivery process finishes, which is not what we want.
673
674 Exception: We do want it for synchronous delivery!
675
676 And notwithstanding all the above, if D_resolver is set, implying resolver
677 debugging, leave stdout open, because that's where the resolver writes its
678 debugging output.
679
680 When we close stderr (which implies we've also closed stdout), we also get rid
681 of any controlling terminal.
682
683 Arguments:   None
684 Returns:     Nothing
685 */
686
687 static void
688 close_unwanted(void)
689 {
690 if (smtp_input)
691   {
692 #ifndef DISABLE_TLS
693   tls_close(NULL, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
694 #endif
695   (void)close(fileno(smtp_in));
696   (void)close(fileno(smtp_out));
697   smtp_in = NULL;
698   }
699 else
700   {
701   (void)close(0);                                          /* stdin */
702   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
703   if (debug_selector == 0)                                 /* stderr */
704     {
705     if (!f.synchronous_delivery)
706       {
707       (void)close(2);
708       log_stderr = NULL;
709       }
710     (void)setsid();
711     }
712   }
713 }
714
715
716
717
718 /*************************************************
719 *          Set uid and gid                       *
720 *************************************************/
721
722 /* This function sets a new uid and gid permanently, optionally calling
723 initgroups() to set auxiliary groups. There are some special cases when running
724 Exim in unprivileged modes. In these situations the effective uid will not be
725 root; if we already have the right effective uid/gid, and don't need to
726 initialize any groups, leave things as they are.
727
728 Arguments:
729   uid        the uid
730   gid        the gid
731   igflag     TRUE if initgroups() wanted
732   msg        text to use in debugging output and failure log
733
734 Returns:     nothing; bombs out on failure
735 */
736
737 void
738 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
739 {
740 uid_t euid = geteuid();
741 gid_t egid = getegid();
742
743 if (euid == root_uid || euid != uid || egid != gid || igflag)
744   {
745   /* At least one OS returns +1 for initgroups failure, so just check for
746   non-zero. */
747
748   if (igflag)
749     {
750     struct passwd *pw = getpwuid(uid);
751     if (!pw)
752       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
753         "no passwd entry for uid=%ld", (long int)uid);
754
755     if (initgroups(pw->pw_name, gid) != 0)
756       log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
757         (long int)uid, strerror(errno));
758     }
759
760   if (setgid(gid) < 0 || setuid(uid) < 0)
761     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
762       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
763   }
764
765 /* Debugging output included uid/gid and all groups */
766
767 DEBUG(D_uid)
768   {
769   int group_count, save_errno;
770   gid_t group_list[EXIM_GROUPLIST_SIZE];
771   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
772     (long int)geteuid(), (long int)getegid(), (long int)getpid());
773   group_count = getgroups(nelem(group_list), group_list);
774   save_errno = errno;
775   debug_printf("  auxiliary group list:");
776   if (group_count > 0)
777     for (int i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
778   else if (group_count < 0)
779     debug_printf(" <error: %s>", strerror(save_errno));
780   else debug_printf(" <none>");
781   debug_printf("\n");
782   }
783 }
784
785
786
787
788 /*************************************************
789 *               Exit point                       *
790 *************************************************/
791
792 /* Exim exits via this function so that it always clears up any open
793 databases.
794
795 Arguments:
796   rc         return code
797
798 Returns:     does not return
799 */
800
801 void
802 exim_exit(int rc)
803 {
804 search_tidyup();
805 store_exit();
806 DEBUG(D_any)
807   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
808     ">>>>>>>>>>>>>>>>\n",
809     (int)getpid(), process_purpose, rc);
810 exit(rc);
811 }
812
813
814 void
815 exim_underbar_exit(int rc)
816 {
817 store_exit();
818 DEBUG(D_any)
819   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
820     ">>>>>>>>>>>>>>>>\n",
821     (int)getpid(), process_purpose, rc);
822 _exit(rc);
823 }
824
825
826
827 /* Print error string, then die */
828 static void
829 exim_fail(const char * fmt, ...)
830 {
831 va_list ap;
832 va_start(ap, fmt);
833 vfprintf(stderr, fmt, ap);
834 exit(EXIT_FAILURE);
835 }
836
837 /* fail if a length is too long */
838 static inline void
839 exim_len_fail_toolong(int itemlen, int maxlen, const char *description)
840 {
841 if (itemlen <= maxlen)
842   return;
843 fprintf(stderr, "exim: length limit exceeded (%d > %d) for: %s\n",
844         itemlen, maxlen, description);
845 exit(EXIT_FAILURE);
846 }
847
848 /* only pass through the string item back to the caller if it's short enough */
849 static inline const uschar *
850 exim_str_fail_toolong(const uschar *item, int maxlen, const char *description)
851 {
852 exim_len_fail_toolong(Ustrlen(item), maxlen, description);
853 return item;
854 }
855
856 /* exim_chown_failure() called from exim_chown()/exim_fchown() on failure
857 of chown()/fchown().  See src/functions.h for more explanation */
858 int
859 exim_chown_failure(int fd, const uschar *name, uid_t owner, gid_t group)
860 {
861 int saved_errno = errno;  /* from the preceeding chown call */
862 #if 1
863 log_write(0, LOG_MAIN|LOG_PANIC,
864   __FILE__ ":%d: chown(%s, %d:%d) failed (%s)."
865   " Please contact the authors and refer to https://bugs.exim.org/show_bug.cgi?id=2391",
866   __LINE__, name?name:US"<unknown>", owner, group, strerror(errno));
867 #else
868 /* I leave this here, commented, in case the "bug"(?) comes up again.
869    It is not an Exim bug, but we can provide a workaround.
870    See Bug 2391
871    HS 2019-04-18 */
872
873 struct stat buf;
874
875 if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
876 {
877   if (buf.st_uid == owner && buf.st_gid == group) return 0;
878   log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
879 }
880 else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
881
882 #endif
883 errno = saved_errno;
884 return -1;
885 }
886
887
888 /*************************************************
889 *         Extract port from host address         *
890 *************************************************/
891
892 /* Called to extract the port from the values given to -oMa and -oMi.
893 It also checks the syntax of the address, and terminates it before the
894 port data when a port is extracted.
895
896 Argument:
897   address   the address, with possible port on the end
898
899 Returns:    the port, or zero if there isn't one
900             bombs out on a syntax error
901 */
902
903 static int
904 check_port(uschar *address)
905 {
906 int port = host_address_extract_port(address);
907 if (string_is_ip_address(address, NULL) == 0)
908   exim_fail("exim abandoned: \"%s\" is not an IP address\n", address);
909 return port;
910 }
911
912
913
914 /*************************************************
915 *              Test/verify an address            *
916 *************************************************/
917
918 /* This function is called by the -bv and -bt code. It extracts a working
919 address from a full RFC 822 address. This isn't really necessary per se, but it
920 has the effect of collapsing source routes.
921
922 Arguments:
923   s            the address string
924   flags        flag bits for verify_address()
925   exit_value   to be set for failures
926
927 Returns:       nothing
928 */
929
930 static void
931 test_address(uschar *s, int flags, int *exit_value)
932 {
933 int start, end, domain;
934 uschar *parse_error = NULL;
935 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
936   FALSE);
937 if (!address)
938   {
939   fprintf(stdout, "syntax error: %s\n", parse_error);
940   *exit_value = 2;
941   }
942 else
943   {
944   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
945     -1, -1, NULL, NULL, NULL);
946   if (rc == FAIL) *exit_value = 2;
947     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
948   }
949 }
950
951
952
953 /*************************************************
954 *          Show supported features               *
955 *************************************************/
956
957 void
958 show_string(BOOL is_stdout, gstring * g)
959 {
960 const uschar * s = string_from_gstring(g);
961 if (is_stdout) fputs(CCS s, stdout);
962 else debug_printf("%s", s);
963 }
964
965
966 static gstring *
967 show_db_version(gstring * g)
968 {
969 #ifdef DB_VERSION_STRING
970 DEBUG(D_any)
971   {
972   g = string_fmt_append(g, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
973   g = string_fmt_append(g, "                      Runtime: %s\n",
974     db_version(NULL, NULL, NULL));
975   }
976 else
977   g = string_fmt_append(g, "Berkeley DB: %s\n", DB_VERSION_STRING);
978
979 #elif defined(BTREEVERSION) && defined(HASHVERSION)
980 # ifdef USE_DB
981   g = string_cat(g, US"Probably Berkeley DB version 1.8x (native mode)\n");
982 # else
983   g = string_cat(g, US"Probably Berkeley DB version 1.8x (compatibility mode)\n");
984 # endif
985
986 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
987 g = string_cat(g, US"Probably ndbm\n");
988 #elif defined(USE_TDB)
989 g = string_cat(g, US"Using tdb\n");
990 #else
991 # ifdef USE_GDBM
992   g = string_cat(g, US"Probably GDBM (native mode)\n");
993 # else
994   g = string_cat(g, US"Probably GDBM (compatibility mode)\n");
995 # endif
996 #endif
997 return g;
998 }
999
1000
1001 /* This function is called for -bV/--version and for -d to output the optional
1002 features of the current Exim binary.
1003
1004 Arguments:  BOOL, true for stdout else debug channel
1005 Returns:    nothing
1006 */
1007
1008 static void
1009 show_whats_supported(BOOL is_stdout)
1010 {
1011 rmark reset_point = store_mark();
1012 gstring * g = NULL;
1013
1014 DEBUG(D_any) {} else g = show_db_version(g);
1015
1016 g = string_cat(g, US"Support for:");
1017 #ifdef SUPPORT_CRYPTEQ
1018   g = string_cat(g, US" crypteq");
1019 #endif
1020 #if HAVE_ICONV
1021   g = string_cat(g, US" iconv()");
1022 #endif
1023 #if HAVE_IPV6
1024   g = string_cat(g, US" IPv6");
1025 #endif
1026 #ifdef HAVE_SETCLASSRESOURCES
1027   g = string_cat(g, US" use_setclassresources");
1028 #endif
1029 #ifdef SUPPORT_PAM
1030   g = string_cat(g, US" PAM");
1031 #endif
1032 #ifdef EXIM_PERL
1033   g = string_cat(g, US" Perl");
1034 #endif
1035 #ifdef EXPAND_DLFUNC
1036   g = string_cat(g, US" Expand_dlfunc");
1037 #endif
1038 #ifdef USE_TCP_WRAPPERS
1039   g = string_cat(g, US" TCPwrappers");
1040 #endif
1041 #ifdef USE_GNUTLS
1042   g = string_cat(g, US" GnuTLS");
1043 #endif
1044 #ifdef USE_OPENSSL
1045   g = string_cat(g, US" OpenSSL");
1046 #endif
1047 #ifndef DISABLE_TLS_RESUME
1048   g = string_cat(g, US" TLS_resume");
1049 #endif
1050 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
1051   g = string_cat(g, US" translate_ip_address");
1052 #endif
1053 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
1054   g = string_cat(g, US" move_frozen_messages");
1055 #endif
1056 #ifdef WITH_CONTENT_SCAN
1057   g = string_cat(g, US" Content_Scanning");
1058 #endif
1059 #ifdef SUPPORT_DANE
1060   g = string_cat(g, US" DANE");
1061 #endif
1062 #ifndef DISABLE_DKIM
1063   g = string_cat(g, US" DKIM");
1064 #endif
1065 #ifdef SUPPORT_DMARC
1066   g = string_cat(g, US" DMARC");
1067 #endif
1068 #ifndef DISABLE_DNSSEC
1069   g = string_cat(g, US" DNSSEC");
1070 #endif
1071 #ifndef DISABLE_EVENT
1072   g = string_cat(g, US" Event");
1073 #endif
1074 #ifdef SUPPORT_I18N
1075   g = string_cat(g, US" I18N");
1076 #endif
1077 #ifndef DISABLE_OCSP
1078   g = string_cat(g, US" OCSP");
1079 #endif
1080 #ifndef DISABLE_PIPE_CONNECT
1081   g = string_cat(g, US" PIPECONNECT");
1082 #endif
1083 #ifndef DISABLE_PRDR
1084   g = string_cat(g, US" PRDR");
1085 #endif
1086 #ifdef SUPPORT_PROXY
1087   g = string_cat(g, US" PROXY");
1088 #endif
1089 #ifndef DISABLE_QUEUE_RAMP
1090   g = string_cat(g, US" Queue_Ramp");
1091 #endif
1092 #ifdef SUPPORT_SOCKS
1093   g = string_cat(g, US" SOCKS");
1094 #endif
1095 #ifdef SUPPORT_SPF
1096   g = string_cat(g, US" SPF");
1097 #endif
1098 #if defined(SUPPORT_SRS)
1099   g = string_cat(g, US" SRS");
1100 #endif
1101 #ifdef TCP_FASTOPEN
1102   tcp_init();
1103   if (f.tcp_fastopen_ok) g = string_cat(g, US" TCP_Fast_Open");
1104 #endif
1105 #ifdef EXPERIMENTAL_ARC
1106   g = string_cat(g, US" Experimental_ARC");
1107 #endif
1108 #ifdef EXPERIMENTAL_BRIGHTMAIL
1109   g = string_cat(g, US" Experimental_Brightmail");
1110 #endif
1111 #ifdef EXPERIMENTAL_DCC
1112   g = string_cat(g, US" Experimental_DCC");
1113 #endif
1114 #ifdef EXPERIMENTAL_DSN_INFO
1115   g = string_cat(g, US" Experimental_DSN_info");
1116 #endif
1117 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1118   g = string_cat(g, US" Experimental_ESMTP_Limits");
1119 #endif
1120 #ifdef EXPERIMENTAL_QUEUEFILE
1121   g = string_cat(g, US" Experimental_QUEUEFILE");
1122 #endif
1123 #if defined(EXPERIMENTAL_SRS_ALT)
1124   g = string_cat(g, US" Experimental_SRS");
1125 #endif
1126 g = string_cat(g, US"\n");
1127
1128 g = string_cat(g, US"Lookups (built-in):");
1129 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
1130   g = string_cat(g, US" lsearch wildlsearch nwildlsearch iplsearch");
1131 #endif
1132 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
1133   g = string_cat(g, US" cdb");
1134 #endif
1135 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
1136   g = string_cat(g, US" dbm dbmjz dbmnz");
1137 #endif
1138 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
1139   g = string_cat(g, US" dnsdb");
1140 #endif
1141 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
1142   g = string_cat(g, US" dsearch");
1143 #endif
1144 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
1145   g = string_cat(g, US" ibase");
1146 #endif
1147 #if defined(LOOKUP_JSON) && LOOKUP_JSON!=2
1148   g = string_cat(g, US" json");
1149 #endif
1150 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
1151   g = string_cat(g, US" ldap ldapdn ldapm");
1152 #endif
1153 #ifdef LOOKUP_LMDB
1154   g = string_cat(g, US" lmdb");
1155 #endif
1156 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
1157   g = string_cat(g, US" mysql");
1158 #endif
1159 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
1160   g = string_cat(g, US" nis nis0");
1161 #endif
1162 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
1163   g = string_cat(g, US" nisplus");
1164 #endif
1165 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
1166   g = string_cat(g, US" oracle");
1167 #endif
1168 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
1169   g = string_cat(g, US" passwd");
1170 #endif
1171 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
1172   g = string_cat(g, US" pgsql");
1173 #endif
1174 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
1175   g = string_cat(g, US" redis");
1176 #endif
1177 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
1178   g = string_cat(g, US" sqlite");
1179 #endif
1180 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
1181   g = string_cat(g, US" testdb");
1182 #endif
1183 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
1184   g = string_cat(g, US" whoson");
1185 #endif
1186 g = string_cat(g, US"\n");
1187
1188 g = auth_show_supported(g);
1189 g = route_show_supported(g);
1190 g = transport_show_supported(g);
1191
1192 #ifdef WITH_CONTENT_SCAN
1193 g = malware_show_supported(g);
1194 #endif
1195 show_string(is_stdout, g); g = NULL;
1196
1197 if (fixed_never_users[0] > 0)
1198   {
1199   int i;
1200   g = string_cat(g, US"Fixed never_users: ");
1201   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1202     string_fmt_append(g, "%u:", (unsigned)fixed_never_users[i]);
1203   g = string_fmt_append(g, "%u\n", (unsigned)fixed_never_users[i]);
1204   }
1205
1206 g = string_fmt_append(g, "Configure owner: %d:%d\n", config_uid, config_gid);
1207
1208 g = string_fmt_append(g, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1209
1210 /* Everything else is details which are only worth reporting when debugging.
1211 Perhaps the tls_version_report should move into this too. */
1212 DEBUG(D_any)
1213   {
1214
1215 /* clang defines __GNUC__ (at least, for me) so test for it first */
1216 #if defined(__clang__)
1217   g = string_fmt_append(g, "Compiler: CLang [%s]\n", __clang_version__);
1218 #elif defined(__GNUC__)
1219   g = string_fmt_append(g, "Compiler: GCC [%s]\n",
1220 # ifdef __VERSION__
1221       __VERSION__
1222 # else
1223       "? unknown version ?"
1224 # endif
1225       );
1226 #else
1227   g = string_cat(g, US"Compiler: <unknown>\n");
1228 #endif
1229
1230 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1231   g = string_fmt_append(g, "Library version: Glibc: Compile: %d.%d\n",
1232                 __GLIBC__, __GLIBC_MINOR__);
1233   if (__GLIBC_PREREQ(2, 1))
1234     g = string_fmt_append(g, "                        Runtime: %s\n",
1235                 gnu_get_libc_version());
1236 #endif
1237
1238 g = show_db_version(g);
1239
1240 #ifndef DISABLE_TLS
1241   g = tls_version_report(g);
1242 #endif
1243 #ifdef SUPPORT_I18N
1244   g = utf8_version_report(g);
1245 #endif
1246 #ifdef SUPPORT_DMARC
1247   g = dmarc_version_report(g);
1248 #endif
1249 #ifdef SUPPORT_SPF
1250   g = spf_lib_version_report(g);
1251 #endif
1252
1253 show_string(is_stdout, g);
1254 g = NULL;
1255
1256 for (auth_info * authi = auths_available; *authi->driver_name != '\0'; ++authi)
1257   if (authi->version_report)
1258     g = (*authi->version_report)(g);
1259
1260   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1261   characters; unless it's an ancient version of PCRE in which case it
1262   is not defined. */
1263 #ifndef PCRE_PRERELEASE
1264 # define PCRE_PRERELEASE
1265 #endif
1266 #define QUOTE(X) #X
1267 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1268   {
1269   uschar buf[24];
1270   pcre2_config(PCRE2_CONFIG_VERSION, buf);
1271   g = string_fmt_append(g, "Library version: PCRE2: Compile: %d.%d%s\n"
1272               "                        Runtime: %s\n",
1273           PCRE2_MAJOR, PCRE2_MINOR,
1274           EXPAND_AND_QUOTE(PCRE2_PRERELEASE) "",
1275           buf);
1276   }
1277 #undef QUOTE
1278 #undef EXPAND_AND_QUOTE
1279
1280 show_string(is_stdout, g);
1281 g = NULL;
1282
1283 init_lookup_list();
1284 for (int i = 0; i < lookup_list_count; i++)
1285   if (lookup_list[i]->version_report)
1286     g = lookup_list[i]->version_report(g);
1287 show_string(is_stdout, g);
1288 g = NULL;
1289
1290 #ifdef WHITELIST_D_MACROS
1291   g = string_fmt_append(g, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1292 #else
1293   g = string_cat(g, US"WHITELIST_D_MACROS unset\n");
1294 #endif
1295 #ifdef TRUSTED_CONFIG_LIST
1296   g = string_fmt_append(g, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1297 #else
1298   g = string_cat(g, US"TRUSTED_CONFIG_LIST unset\n");
1299 #endif
1300   }
1301
1302 show_string(is_stdout, g);
1303 store_reset(reset_point);
1304 }
1305
1306
1307 /*************************************************
1308 *     Show auxiliary information about Exim      *
1309 *************************************************/
1310
1311 static void
1312 show_exim_information(enum commandline_info request, FILE *stream)
1313 {
1314 switch(request)
1315   {
1316   case CMDINFO_NONE:
1317     fprintf(stream, "Oops, something went wrong.\n");
1318     return;
1319   case CMDINFO_HELP:
1320     fprintf(stream,
1321 "The -bI: flag takes a string indicating which information to provide.\n"
1322 "If the string is not recognised, you'll get this help (on stderr).\n"
1323 "\n"
1324 "  exim -bI:help    this information\n"
1325 "  exim -bI:dscp    list of known dscp value keywords\n"
1326 "  exim -bI:sieve   list of supported sieve extensions\n"
1327 );
1328     return;
1329   case CMDINFO_SIEVE:
1330     for (const uschar ** pp = exim_sieve_extension_list; *pp; ++pp)
1331       fprintf(stream, "%s\n", *pp);
1332     return;
1333   case CMDINFO_DSCP:
1334     dscp_list_to_stream(stream);
1335     return;
1336   }
1337 }
1338
1339
1340 /*************************************************
1341 *               Quote a local part               *
1342 *************************************************/
1343
1344 /* This function is used when a sender address or a From: or Sender: header
1345 line is being created from the caller's login, or from an authenticated_id. It
1346 applies appropriate quoting rules for a local part.
1347
1348 Argument:    the local part
1349 Returns:     the local part, quoted if necessary
1350 */
1351
1352 uschar *
1353 local_part_quote(uschar *lpart)
1354 {
1355 BOOL needs_quote = FALSE;
1356 gstring * g;
1357
1358 for (uschar * t = lpart; !needs_quote && *t != 0; t++)
1359   {
1360   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1361     (*t != '.' || t == lpart || t[1] == 0);
1362   }
1363
1364 if (!needs_quote) return lpart;
1365
1366 g = string_catn(NULL, US"\"", 1);
1367
1368 for (;;)
1369   {
1370   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1371   if (nq == NULL)
1372     {
1373     g = string_cat(g, lpart);
1374     break;
1375     }
1376   g = string_catn(g, lpart, nq - lpart);
1377   g = string_catn(g, US"\\", 1);
1378   g = string_catn(g, nq, 1);
1379   lpart = nq + 1;
1380   }
1381
1382 g = string_catn(g, US"\"", 1);
1383 return string_from_gstring(g);
1384 }
1385
1386
1387
1388 #ifdef USE_READLINE
1389 /*************************************************
1390 *         Load readline() functions              *
1391 *************************************************/
1392
1393 /* This function is called from testing executions that read data from stdin,
1394 but only when running as the calling user. Currently, only -be does this. The
1395 function loads the readline() function library and passes back the functions.
1396 On some systems, it needs the curses library, so load that too, but try without
1397 it if loading fails. All this functionality has to be requested at build time.
1398
1399 Arguments:
1400   fn_readline_ptr   pointer to where to put the readline pointer
1401   fn_addhist_ptr    pointer to where to put the addhistory function
1402
1403 Returns:            the dlopen handle or NULL on failure
1404 */
1405
1406 static void *
1407 set_readline(char * (**fn_readline_ptr)(const char *),
1408              void   (**fn_addhist_ptr)(const char *))
1409 {
1410 void *dlhandle;
1411 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1412
1413 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1414 if (dlhandle_curses) dlclose(dlhandle_curses);
1415
1416 if (dlhandle)
1417   {
1418   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1419    *   char * readline (const char *prompt);
1420    *   void add_history (const char *string);
1421    */
1422   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1423   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1424   }
1425 else
1426   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1427
1428 return dlhandle;
1429 }
1430 #endif
1431
1432
1433
1434 /*************************************************
1435 *    Get a line from stdin for testing things    *
1436 *************************************************/
1437
1438 /* This function is called when running tests that can take a number of lines
1439 of input (for example, -be and -bt). It handles continuations and trailing
1440 spaces. And prompting and a blank line output on eof. If readline() is in use,
1441 the arguments are non-NULL and provide the relevant functions.
1442
1443 Arguments:
1444   fn_readline   readline function or NULL
1445   fn_addhist    addhist function or NULL
1446
1447 Returns:        pointer to dynamic memory, or NULL at end of file
1448 */
1449
1450 static uschar *
1451 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1452 {
1453 gstring * g = NULL;
1454 BOOL had_input = FALSE;
1455
1456 if (!fn_readline) { printf("> "); fflush(stdout); }
1457
1458 for (int i = 0;; i++)
1459   {
1460   uschar buffer[1024];
1461   uschar * p, * ss;
1462
1463 #ifdef USE_READLINE
1464   char *readline_line = NULL;
1465   if (fn_readline)
1466     {
1467     if (!(readline_line = fn_readline((i > 0)? "":"> "))) break;
1468     if (*readline_line && fn_addhist) fn_addhist(readline_line);
1469     p = US readline_line;
1470     }
1471   else
1472 #endif
1473
1474   /* readline() not in use */
1475
1476     {
1477     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;   /*EOF*/
1478     p = buffer;
1479     }
1480
1481   /* Handle the line */
1482
1483   had_input = TRUE;
1484   ss = p + Ustrlen(p);
1485   while (ss > p && isspace(ss[-1])) ss--; /* strip trailing newline (and spaces) */
1486
1487   if (i > 0)
1488     while (p < ss && isspace(*p)) p++;   /* strip leading space after cont */
1489
1490   g = string_catn(g, p, ss - p);
1491
1492 #ifdef USE_READLINE
1493   if (fn_readline) free(readline_line);
1494 #endif
1495
1496   /* g can only be NULL if ss==p */
1497   if (ss == p || g->s[g->ptr-1] != '\\') /* not continuation; done */
1498     break;
1499
1500   --g->ptr;                             /* drop the \ */
1501   }
1502
1503 if (had_input) return g ? string_from_gstring(g) : US"";
1504 printf("\n");
1505 return NULL;
1506 }
1507
1508
1509
1510 /*************************************************
1511 *    Output usage information for the program    *
1512 *************************************************/
1513
1514 /* This function is called when there are no recipients
1515    or a specific --help argument was added.
1516
1517 Arguments:
1518   progname      information on what name we were called by
1519
1520 Returns:        DOES NOT RETURN
1521 */
1522
1523 static void
1524 exim_usage(uschar *progname)
1525 {
1526
1527 /* Handle specific program invocation variants */
1528 if (Ustrcmp(progname, US"-mailq") == 0)
1529   exim_fail(
1530     "mailq - list the contents of the mail queue\n\n"
1531     "For a list of options, see the Exim documentation.\n");
1532
1533 /* Generic usage - we output this whatever happens */
1534 exim_fail(
1535   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1536   "not directly from a shell command line. Options and/or arguments control\n"
1537   "what it does when called. For a list of options, see the Exim documentation.\n");
1538 }
1539
1540
1541
1542 /*************************************************
1543 *    Validate that the macros given are okay     *
1544 *************************************************/
1545
1546 /* Typically, Exim will drop privileges if macros are supplied.  In some
1547 cases, we want to not do so.
1548
1549 Arguments:    opt_D_used - true if the commandline had a "-D" option
1550 Returns:      true if trusted, false otherwise
1551 */
1552
1553 static BOOL
1554 macros_trusted(BOOL opt_D_used)
1555 {
1556 #ifdef WHITELIST_D_MACROS
1557 uschar *whitelisted, *end, *p, **whites;
1558 int white_count, i, n;
1559 size_t len;
1560 BOOL prev_char_item, found;
1561 #endif
1562
1563 if (!opt_D_used)
1564   return TRUE;
1565 #ifndef WHITELIST_D_MACROS
1566 return FALSE;
1567 #else
1568
1569 /* We only trust -D overrides for some invoking users:
1570 root, the exim run-time user, the optional config owner user.
1571 I don't know why config-owner would be needed, but since they can own the
1572 config files anyway, there's no security risk to letting them override -D. */
1573 if ( ! ((real_uid == root_uid)
1574      || (real_uid == exim_uid)
1575 #ifdef CONFIGURE_OWNER
1576      || (real_uid == config_uid)
1577 #endif
1578    ))
1579   {
1580   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1581   return FALSE;
1582   }
1583
1584 /* Get a list of macros which are whitelisted */
1585 whitelisted = string_copy_perm(US WHITELIST_D_MACROS, FALSE);
1586 prev_char_item = FALSE;
1587 white_count = 0;
1588 for (p = whitelisted; *p != '\0'; ++p)
1589   {
1590   if (*p == ':' || isspace(*p))
1591     {
1592     *p = '\0';
1593     if (prev_char_item)
1594       ++white_count;
1595     prev_char_item = FALSE;
1596     continue;
1597     }
1598   if (!prev_char_item)
1599     prev_char_item = TRUE;
1600   }
1601 end = p;
1602 if (prev_char_item)
1603   ++white_count;
1604 if (!white_count)
1605   return FALSE;
1606 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1607 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1608   {
1609   if (*p != '\0')
1610     {
1611     whites[i++] = p;
1612     if (i == white_count)
1613       break;
1614     while (*p != '\0' && p < end)
1615       ++p;
1616     }
1617   }
1618 whites[i] = NULL;
1619
1620 /* The list of commandline macros should be very short.
1621 Accept the N*M complexity. */
1622 for (macro_item * m = macros_user; m; m = m->next) if (m->command_line)
1623   {
1624   found = FALSE;
1625   for (uschar ** w = whites; *w; ++w)
1626     if (Ustrcmp(*w, m->name) == 0)
1627       {
1628       found = TRUE;
1629       break;
1630       }
1631   if (!found)
1632     return FALSE;
1633   if (!m->replacement)
1634     continue;
1635   if ((len = m->replen) == 0)
1636     continue;
1637   if (!regex_match(regex_whitelisted_macro, m->replacement, len, NULL))
1638     return FALSE;
1639   }
1640 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1641 return TRUE;
1642 #endif
1643 }
1644
1645
1646 /*************************************************
1647 *          Expansion testing                     *
1648 *************************************************/
1649
1650 /* Expand and print one item, doing macro-processing.
1651
1652 Arguments:
1653   item          line for expansion
1654 */
1655
1656 static void
1657 expansion_test_line(const uschar * line)
1658 {
1659 int len;
1660 BOOL dummy_macexp;
1661 uschar * s;
1662
1663 Ustrncpy(big_buffer, line, big_buffer_size);
1664 big_buffer[big_buffer_size-1] = '\0';
1665 len = Ustrlen(big_buffer);
1666
1667 (void) macros_expand(0, &len, &dummy_macexp);
1668
1669 if (isupper(big_buffer[0]))
1670   {
1671   if (macro_read_assignment(big_buffer))
1672     printf("Defined macro '%s'\n", mlast->name);
1673   }
1674 else
1675   if ((s = expand_string(big_buffer))) printf("%s\n", CS s);
1676   else printf("Failed: %s\n", expand_string_message);
1677 }
1678
1679
1680
1681 /*************************************************
1682 *          Entry point and high-level code       *
1683 *************************************************/
1684
1685 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1686 the appropriate action. All the necessary functions are present in the one
1687 binary. I originally thought one should split it up, but it turns out that so
1688 much of the apparatus is needed in each chunk that one might as well just have
1689 it all available all the time, which then makes the coding easier as well.
1690
1691 Arguments:
1692   argc      count of entries in argv
1693   argv      argument strings, with argv[0] being the program name
1694
1695 Returns:    EXIT_SUCCESS if terminated successfully
1696             EXIT_FAILURE otherwise, except when a message has been sent
1697               to the sender, and -oee was given
1698 */
1699
1700 int
1701 main(int argc, char **cargv)
1702 {
1703 uschar **argv = USS cargv;
1704 int  arg_receive_timeout = -1;
1705 int  arg_smtp_receive_timeout = -1;
1706 int  arg_error_handling = error_handling;
1707 int  filter_sfd = -1;
1708 int  filter_ufd = -1;
1709 int  group_count;
1710 int  i, rv;
1711 int  list_queue_option = 0;
1712 int  msg_action = 0;
1713 int  msg_action_arg = -1;
1714 int  namelen = argv[0] ? Ustrlen(argv[0]) : 0;
1715 int  queue_only_reason = 0;
1716 #ifdef EXIM_PERL
1717 int  perl_start_option = 0;
1718 #endif
1719 int  recipients_arg = argc;
1720 int  sender_address_domain = 0;
1721 int  test_retry_arg = -1;
1722 int  test_rewrite_arg = -1;
1723 gid_t original_egid;
1724 BOOL arg_queue_only = FALSE;
1725 BOOL bi_option = FALSE;
1726 BOOL checking = FALSE;
1727 BOOL count_queue = FALSE;
1728 BOOL expansion_test = FALSE;
1729 BOOL extract_recipients = FALSE;
1730 BOOL flag_G = FALSE;
1731 BOOL flag_n = FALSE;
1732 BOOL forced_delivery = FALSE;
1733 BOOL f_end_dot = FALSE;
1734 BOOL deliver_give_up = FALSE;
1735 BOOL list_queue = FALSE;
1736 BOOL list_options = FALSE;
1737 BOOL list_config = FALSE;
1738 BOOL local_queue_only;
1739 BOOL one_msg_action = FALSE;
1740 BOOL opt_D_used = FALSE;
1741 BOOL queue_only_set = FALSE;
1742 BOOL receiving_message = TRUE;
1743 BOOL sender_ident_set = FALSE;
1744 BOOL session_local_queue_only;
1745 BOOL unprivileged;
1746 BOOL removed_privilege = FALSE;
1747 BOOL usage_wanted = FALSE;
1748 BOOL verify_address_mode = FALSE;
1749 BOOL verify_as_sender = FALSE;
1750 BOOL rcpt_verify_quota = FALSE;
1751 BOOL version_printed = FALSE;
1752 uschar *alias_arg = NULL;
1753 uschar *called_as = US"";
1754 uschar *cmdline_syslog_name = NULL;
1755 uschar *start_queue_run_id = NULL;
1756 uschar *stop_queue_run_id = NULL;
1757 uschar *expansion_test_message = NULL;
1758 const uschar *ftest_domain = NULL;
1759 const uschar *ftest_localpart = NULL;
1760 const uschar *ftest_prefix = NULL;
1761 const uschar *ftest_suffix = NULL;
1762 uschar *log_oneline = NULL;
1763 uschar *malware_test_file = NULL;
1764 uschar *real_sender_address;
1765 uschar *originator_home = US"/";
1766 size_t sz;
1767
1768 struct passwd *pw;
1769 struct stat statbuf;
1770 pid_t passed_qr_pid = (pid_t)0;
1771 int passed_qr_pipe = -1;
1772 gid_t group_list[EXIM_GROUPLIST_SIZE];
1773
1774 /* For the -bI: flag */
1775 enum commandline_info info_flag = CMDINFO_NONE;
1776 BOOL info_stdout = FALSE;
1777
1778 /* Possible options for -R and -S */
1779
1780 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1781
1782 /* Need to define this in case we need to change the environment in order
1783 to get rid of a bogus time zone. We have to make it char rather than uschar
1784 because some OS define it in /usr/include/unistd.h. */
1785
1786 extern char **environ;
1787
1788 #ifdef MEASURE_TIMING
1789 (void)gettimeofday(&timestamp_startup, NULL);
1790 #endif
1791
1792 store_init();   /* Initialise the memory allocation susbsystem */
1793 pcre_init();    /* Set up memory handling for pcre */
1794
1795 /* If the Exim user and/or group and/or the configuration file owner/group were
1796 defined by ref:name at build time, we must now find the actual uid/gid values.
1797 This is a feature to make the lives of binary distributors easier. */
1798
1799 #ifdef EXIM_USERNAME
1800 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1801   {
1802   if (exim_uid == 0)
1803     exim_fail("exim: refusing to run with uid 0 for \"%s\"\n", EXIM_USERNAME);
1804
1805   /* If ref:name uses a number as the name, route_finduser() returns
1806   TRUE with exim_uid set and pw coerced to NULL. */
1807   if (pw)
1808     exim_gid = pw->pw_gid;
1809 #ifndef EXIM_GROUPNAME
1810   else
1811     exim_fail(
1812         "exim: ref:name should specify a usercode, not a group.\n"
1813         "exim: can't let you get away with it unless you also specify a group.\n");
1814 #endif
1815   }
1816 else
1817   exim_fail("exim: failed to find uid for user name \"%s\"\n", EXIM_USERNAME);
1818 #endif
1819
1820 #ifdef EXIM_GROUPNAME
1821 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1822   exim_fail("exim: failed to find gid for group name \"%s\"\n", EXIM_GROUPNAME);
1823 #endif
1824
1825 #ifdef CONFIGURE_OWNERNAME
1826 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1827   exim_fail("exim: failed to find uid for user name \"%s\"\n",
1828     CONFIGURE_OWNERNAME);
1829 #endif
1830
1831 /* We default the system_filter_user to be the Exim run-time user, as a
1832 sane non-root value. */
1833 system_filter_uid = exim_uid;
1834
1835 #ifdef CONFIGURE_GROUPNAME
1836 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1837   exim_fail("exim: failed to find gid for group name \"%s\"\n",
1838     CONFIGURE_GROUPNAME);
1839 #endif
1840
1841 /* In the Cygwin environment, some initialization used to need doing.
1842 It was fudged in by means of this macro; now no longer but we'll leave
1843 it in case of others. */
1844
1845 #ifdef OS_INIT
1846 OS_INIT
1847 #endif
1848
1849 /* Check a field which is patched when we are running Exim within its
1850 testing harness; do a fast initial check, and then the whole thing. */
1851
1852 f.running_in_test_harness =
1853   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1854 if (f.running_in_test_harness)
1855   debug_store = TRUE;
1856
1857 /* Protect against abusive argv[0] */
1858 if (!argv[0] || !argc) exim_fail("exim: executable name required\n");
1859 exim_str_fail_toolong(argv[0], PATH_MAX, "argv[0]");
1860
1861 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1862 at the start of a program; however, it seems that some environments do not
1863 follow this. A "strange" locale can affect the formatting of timestamps, so we
1864 make quite sure. */
1865
1866 setlocale(LC_ALL, "C");
1867
1868 /* Get the offset between CLOCK_MONOTONIC/CLOCK_BOOTTIME and wallclock */
1869
1870 #ifdef _POSIX_MONOTONIC_CLOCK
1871 exim_clock_init();
1872 #endif
1873
1874 /* Set up the default handler for timing using alarm(). */
1875
1876 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1877
1878 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1879 because store_malloc writes a log entry on failure. */
1880
1881 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1882   exim_fail("exim: failed to get store for log buffer\n");
1883
1884 /* Initialize the default log options. */
1885
1886 bits_set(log_selector, log_selector_size, log_default);
1887
1888 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1889 NULL when the daemon is run and the file is closed. We have to use this
1890 indirection, because some systems don't allow writing to the variable "stderr".
1891 */
1892
1893 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1894
1895 /* Ensure there is a big buffer for temporary use in several places. It is put
1896 in malloc store so that it can be freed for enlargement if necessary. */
1897
1898 big_buffer = store_malloc(big_buffer_size);
1899
1900 /* Set up the handler for the data request signal, and set the initial
1901 descriptive text. */
1902
1903 process_info = store_get(PROCESS_INFO_SIZE, TRUE);      /* tainted */
1904 set_process_info("initializing");
1905 os_restarting_signal(SIGUSR1, usr1_handler);            /* exiwhat */
1906 #ifdef SA_SIGINFO
1907   {
1908   struct sigaction act = { .sa_sigaction = segv_handler, .sa_flags = SA_RESETHAND | SA_SIGINFO };
1909   sigaction(SIGSEGV, &act, NULL);
1910   }
1911 #else
1912 signal(SIGSEGV, segv_handler);                          /* log faults */
1913 #endif
1914
1915 /* If running in a dockerized environment, the TERM signal is only
1916 delegated to the PID 1 if we request it by setting an signal handler */
1917 if (getpid() == 1) signal(SIGTERM, term_handler);
1918
1919 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1920 in the daemon code. For the rest of Exim's uses, we ignore it. */
1921
1922 signal(SIGHUP, SIG_IGN);
1923
1924 /* We don't want to die on pipe errors as the code is written to handle
1925 the write error instead. */
1926
1927 signal(SIGPIPE, SIG_IGN);
1928
1929 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1930 set to SIG_IGN. This causes subprocesses that complete before the parent
1931 process waits for them not to hang around, so when Exim calls wait(), nothing
1932 is there. The wait() code has been made robust against this, but let's ensure
1933 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1934 ending status. We use sigaction rather than plain signal() on those OS where
1935 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1936 problem on AIX with this.) */
1937
1938 #ifdef SA_NOCLDWAIT
1939   {
1940   struct sigaction act;
1941   act.sa_handler = SIG_DFL;
1942   sigemptyset(&(act.sa_mask));
1943   act.sa_flags = 0;
1944   sigaction(SIGCHLD, &act, NULL);
1945   }
1946 #else
1947 signal(SIGCHLD, SIG_DFL);
1948 #endif
1949
1950 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1951 SIGHUP. */
1952
1953 sighup_argv = argv;
1954
1955 /* Set up the version number. Set up the leading 'E' for the external form of
1956 message ids, set the pointer to the internal form, and initialize it to
1957 indicate no message being processed. */
1958
1959 version_init();
1960 message_id_option[0] = '-';
1961 message_id_external = message_id_option + 1;
1962 message_id_external[0] = 'E';
1963 message_id = message_id_external + 1;
1964 message_id[0] = 0;
1965
1966 /* Set the umask to zero so that any files Exim creates using open() are
1967 created with the modes that it specifies. NOTE: Files created with fopen() have
1968 a problem, which was not recognized till rather late (February 2006). With this
1969 umask, such files will be world writeable. (They are all content scanning files
1970 in the spool directory, which isn't world-accessible, so this is not a
1971 disaster, but it's untidy.) I don't want to change this overall setting,
1972 however, because it will interact badly with the open() calls. Instead, there's
1973 now a function called modefopen() that fiddles with the umask while calling
1974 fopen(). */
1975
1976 (void)umask(0);
1977
1978 /* Precompile the regular expression for matching a message id. Keep this in
1979 step with the code that generates ids in the accept.c module. We need to do
1980 this here, because the -M options check their arguments for syntactic validity
1981 using mac_ismsgid, which uses this. */
1982
1983 regex_ismsgid =
1984   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1985
1986 /* Precompile the regular expression that is used for matching an SMTP error
1987 code, possibly extended, at the start of an error message. Note that the
1988 terminating whitespace character is included. */
1989
1990 regex_smtp_code =
1991   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1992     FALSE, TRUE);
1993
1994 #ifdef WHITELIST_D_MACROS
1995 /* Precompile the regular expression used to filter the content of macros
1996 given to -D for permissibility. */
1997
1998 regex_whitelisted_macro =
1999   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
2000 #endif
2001
2002 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
2003
2004 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
2005 this seems to be a generally accepted convention, since one finds symbolic
2006 links called "mailq" in standard OS configurations. */
2007
2008 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
2009     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
2010   {
2011   list_queue = TRUE;
2012   receiving_message = FALSE;
2013   called_as = US"-mailq";
2014   }
2015
2016 /* If the program is called as "rmail" treat it as equivalent to
2017 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
2018 i.e. preventing a single dot on a line from terminating the message, and
2019 returning with zero return code, even in cases of error (provided an error
2020 message has been sent). */
2021
2022 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
2023     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
2024   {
2025   f.dot_ends = FALSE;
2026   called_as = US"-rmail";
2027   errors_sender_rc = EXIT_SUCCESS;
2028   }
2029
2030 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
2031 this is a smail convention. */
2032
2033 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
2034     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
2035   {
2036   smtp_input = smtp_batched_input = TRUE;
2037   called_as = US"-rsmtp";
2038   }
2039
2040 /* If the program is called as "runq" treat it as equivalent to "exim -q";
2041 this is a smail convention. */
2042
2043 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
2044     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
2045   {
2046   queue_interval = 0;
2047   receiving_message = FALSE;
2048   called_as = US"-runq";
2049   }
2050
2051 /* If the program is called as "newaliases" treat it as equivalent to
2052 "exim -bi"; this is a sendmail convention. */
2053
2054 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
2055     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
2056   {
2057   bi_option = TRUE;
2058   receiving_message = FALSE;
2059   called_as = US"-newaliases";
2060   }
2061
2062 /* Save the original effective uid for a couple of uses later. It should
2063 normally be root, but in some esoteric environments it may not be. */
2064
2065 original_euid = geteuid();
2066 original_egid = getegid();
2067
2068 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
2069 to be the same as the real ones. This makes a difference only if Exim is setuid
2070 (or setgid) to something other than root, which could be the case in some
2071 special configurations. */
2072
2073 real_uid = getuid();
2074 real_gid = getgid();
2075
2076 if (real_uid == root_uid)
2077   {
2078   if ((rv = setgid(real_gid)))
2079     exim_fail("exim: setgid(%ld) failed: %s\n",
2080         (long int)real_gid, strerror(errno));
2081   if ((rv = setuid(real_uid)))
2082     exim_fail("exim: setuid(%ld) failed: %s\n",
2083         (long int)real_uid, strerror(errno));
2084   }
2085
2086 /* If neither the original real uid nor the original euid was root, Exim is
2087 running in an unprivileged state. */
2088
2089 unprivileged = (real_uid != root_uid && original_euid != root_uid);
2090
2091 /* For most of the args-parsing we need to use permanent pool memory */
2092  {
2093  int old_pool = store_pool;
2094  store_pool = POOL_PERM;
2095
2096 /* Scan the program's arguments. Some can be dealt with right away; others are
2097 simply recorded for checking and handling afterwards. Do a high-level switch
2098 on the second character (the one after '-'), to save some effort. */
2099
2100  for (i = 1; i < argc; i++)
2101   {
2102   BOOL badarg = FALSE;
2103   uschar * arg = argv[i];
2104   uschar * argrest;
2105   int switchchar;
2106
2107   /* An argument not starting with '-' is the start of a recipients list;
2108   break out of the options-scanning loop. */
2109
2110   if (arg[0] != '-')
2111     {
2112     recipients_arg = i;
2113     break;
2114     }
2115
2116   /* An option consisting of -- terminates the options */
2117
2118   if (Ustrcmp(arg, "--") == 0)
2119     {
2120     recipients_arg = i + 1;
2121     break;
2122     }
2123
2124   /* Handle flagged options */
2125
2126   switchchar = arg[1];
2127   argrest = arg+2;
2128
2129   /* Make all -ex options synonymous with -oex arguments, since that
2130   is assumed by various callers. Also make -qR options synonymous with -R
2131   options, as that seems to be required as well. Allow for -qqR too, and
2132   the same for -S options. */
2133
2134   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
2135       Ustrncmp(arg+1, "qR", 2) == 0 ||
2136       Ustrncmp(arg+1, "qS", 2) == 0)
2137     {
2138     switchchar = arg[2];
2139     argrest++;
2140     }
2141   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
2142     {
2143     switchchar = arg[3];
2144     argrest += 2;
2145     f.queue_2stage = TRUE;
2146     }
2147
2148   /* Make -r synonymous with -f, since it is a documented alias */
2149
2150   else if (arg[1] == 'r') switchchar = 'f';
2151
2152   /* Make -ov synonymous with -v */
2153
2154   else if (Ustrcmp(arg, "-ov") == 0)
2155     {
2156     switchchar = 'v';
2157     argrest++;
2158     }
2159
2160   /* deal with --option_aliases */
2161   else if (switchchar == '-')
2162     {
2163     if (Ustrcmp(argrest, "help") == 0)
2164       {
2165       usage_wanted = TRUE;
2166       break;
2167       }
2168     else if (Ustrcmp(argrest, "version") == 0)
2169       {
2170       switchchar = 'b';
2171       argrest = US"V";
2172       }
2173     }
2174
2175   /* High-level switch on active initial letter */
2176
2177   switch(switchchar)
2178     {
2179
2180     /* sendmail uses -Ac and -Am to control which .cf file is used;
2181     we ignore them. */
2182     case 'A':
2183     if (!*argrest) { badarg = TRUE; break; }
2184     else
2185       {
2186       BOOL ignore = FALSE;
2187       switch (*argrest)
2188         {
2189         case 'c':
2190         case 'm':
2191           if (*(argrest + 1) == '\0')
2192             ignore = TRUE;
2193           break;
2194         }
2195       if (!ignore) badarg = TRUE;
2196       }
2197     break;
2198
2199     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
2200     so has no need of it. */
2201
2202     case 'B':
2203     if (!*argrest) i++;       /* Skip over the type */
2204     break;
2205
2206
2207     case 'b':
2208       {
2209       receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
2210
2211       switch (*argrest++)
2212         {
2213         /* -bd:  Run in daemon mode, awaiting SMTP connections.
2214            -bdf: Ditto, but in the foreground.
2215         */
2216         case 'd':
2217           f.daemon_listen = TRUE;
2218           if (*argrest == 'f') f.background_daemon = FALSE;
2219           else if (*argrest) badarg = TRUE;
2220           break;
2221
2222         /* -be:  Run in expansion test mode
2223            -bem: Ditto, but read a message from a file first
2224         */
2225         case 'e':
2226           expansion_test = checking = TRUE;
2227           if (*argrest == 'm')
2228             {
2229             if (++i >= argc) { badarg = TRUE; break; }
2230             expansion_test_message = argv[i];
2231             argrest++;
2232             }
2233           if (*argrest) badarg = TRUE;
2234           break;
2235
2236         /* -bF:  Run system filter test */
2237         case 'F':
2238           filter_test |= checking = FTEST_SYSTEM;
2239           if (*argrest) badarg = TRUE;
2240           else if (++i < argc) filter_test_sfile = argv[i];
2241           else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2242           break;
2243
2244         /* -bf:  Run user filter test
2245            -bfd: Set domain for filter testing
2246            -bfl: Set local part for filter testing
2247            -bfp: Set prefix for filter testing
2248            -bfs: Set suffix for filter testing
2249         */
2250         case 'f':
2251           if (!*argrest)
2252             {
2253             filter_test |= checking = FTEST_USER;
2254             if (++i < argc) filter_test_ufile = argv[i];
2255             else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2256             }
2257           else
2258             {
2259             if (++i >= argc)
2260               exim_fail("exim: string expected after %s\n", arg);
2261             if (Ustrcmp(argrest, "d") == 0) ftest_domain = exim_str_fail_toolong(argv[i], EXIM_DOMAINNAME_MAX, "-bfd");
2262             else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfl");
2263             else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfp");
2264             else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfs");
2265             else badarg = TRUE;
2266             }
2267           break;
2268
2269         /* -bh: Host checking - an IP address must follow. */
2270         case 'h':
2271           if (!*argrest || Ustrcmp(argrest, "c") == 0)
2272             {
2273             if (++i >= argc) { badarg = TRUE; break; }
2274             sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-bh"), TRUE);
2275             host_checking = checking = f.log_testing_mode = TRUE;
2276             f.host_checking_callout = *argrest == 'c';
2277             message_logs = FALSE;
2278             }
2279           else badarg = TRUE;
2280           break;
2281
2282         /* -bi: This option is used by sendmail to initialize *the* alias file,
2283         though it has the -oA option to specify a different file. Exim has no
2284         concept of *the* alias file, but since Sun's YP make script calls
2285         sendmail this way, some support must be provided. */
2286         case 'i':
2287           if (!*argrest) bi_option = TRUE;
2288           else badarg = TRUE;
2289           break;
2290
2291         /* -bI: provide information, of the type to follow after a colon.
2292         This is an Exim flag. */
2293         case 'I':
2294           if (Ustrlen(argrest) >= 1 && *argrest == ':')
2295             {
2296             uschar *p = argrest+1;
2297             info_flag = CMDINFO_HELP;
2298             if (Ustrlen(p))
2299               if (strcmpic(p, CUS"sieve") == 0)
2300                 {
2301                 info_flag = CMDINFO_SIEVE;
2302                 info_stdout = TRUE;
2303                 }
2304               else if (strcmpic(p, CUS"dscp") == 0)
2305                 {
2306                 info_flag = CMDINFO_DSCP;
2307                 info_stdout = TRUE;
2308                 }
2309               else if (strcmpic(p, CUS"help") == 0)
2310                 info_stdout = TRUE;
2311             }
2312           else badarg = TRUE;
2313           break;
2314
2315         /* -bm: Accept and deliver message - the default option. Reinstate
2316         receiving_message, which got turned off for all -b options.
2317            -bmalware: test the filename given for malware */
2318         case 'm':
2319           if (!*argrest) receiving_message = TRUE;
2320           else if (Ustrcmp(argrest, "alware") == 0)
2321             {
2322             if (++i >= argc) { badarg = TRUE; break; }
2323             checking = TRUE;
2324             malware_test_file = argv[i];
2325             }
2326           else badarg = TRUE;
2327           break;
2328
2329         /* -bnq: For locally originating messages, do not qualify unqualified
2330         addresses. In the envelope, this causes errors; in header lines they
2331         just get left. */
2332         case 'n':
2333           if (Ustrcmp(argrest, "q") == 0)
2334             {
2335             f.allow_unqualified_sender = FALSE;
2336             f.allow_unqualified_recipient = FALSE;
2337             }
2338           else badarg = TRUE;
2339           break;
2340
2341         /* -bpxx: List the contents of the mail queue, in various forms. If
2342         the option is -bpc, just a queue count is needed. Otherwise, if the
2343         first letter after p is r, then order is random. */
2344         case 'p':
2345           if (*argrest == 'c')
2346             {
2347             count_queue = TRUE;
2348             if (*++argrest) badarg = TRUE;
2349             break;
2350             }
2351
2352           if (*argrest == 'r')
2353             {
2354             list_queue_option = 8;
2355             argrest++;
2356             }
2357           else list_queue_option = 0;
2358
2359           list_queue = TRUE;
2360
2361           /* -bp: List the contents of the mail queue, top-level only */
2362
2363           if (!*argrest) {}
2364
2365           /* -bpu: List the contents of the mail queue, top-level undelivered */
2366
2367           else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2368
2369           /* -bpa: List the contents of the mail queue, including all delivered */
2370
2371           else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2372
2373           /* Unknown after -bp[r] */
2374
2375           else badarg = TRUE;
2376           break;
2377
2378
2379         /* -bP: List the configuration variables given as the address list.
2380         Force -v, so configuration errors get displayed. */
2381         case 'P':
2382
2383           /* -bP config: we need to setup here, because later,
2384           when list_options is checked, the config is read already */
2385           if (*argrest)
2386             badarg = TRUE;
2387           else if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2388             {
2389             list_config = TRUE;
2390             readconf_save_config(version_string);
2391             }
2392           else
2393             {
2394             list_options = TRUE;
2395             debug_selector |= D_v;
2396             debug_file = stderr;
2397             }
2398           break;
2399
2400         /* -brt: Test retry configuration lookup */
2401         case 'r':
2402           if (Ustrcmp(argrest, "t") == 0)
2403             {
2404             checking = TRUE;
2405             test_retry_arg = i + 1;
2406             goto END_ARG;
2407             }
2408
2409           /* -brw: Test rewrite configuration */
2410
2411           else if (Ustrcmp(argrest, "w") == 0)
2412             {
2413             checking = TRUE;
2414             test_rewrite_arg = i + 1;
2415             goto END_ARG;
2416             }
2417           else badarg = TRUE;
2418           break;
2419
2420         /* -bS: Read SMTP commands on standard input, but produce no replies -
2421         all errors are reported by sending messages. */
2422         case 'S':
2423           if (!*argrest)
2424             smtp_input = smtp_batched_input = receiving_message = TRUE;
2425           else badarg = TRUE;
2426           break;
2427
2428         /* -bs: Read SMTP commands on standard input and produce SMTP replies
2429         on standard output. */
2430         case 's':
2431           if (!*argrest) smtp_input = receiving_message = TRUE;
2432           else badarg = TRUE;
2433           break;
2434
2435         /* -bt: address testing mode */
2436         case 't':
2437           if (!*argrest)
2438             f.address_test_mode = checking = f.log_testing_mode = TRUE;
2439           else badarg = TRUE;
2440           break;
2441
2442         /* -bv: verify addresses */
2443         case 'v':
2444           if (!*argrest)
2445             verify_address_mode = checking = f.log_testing_mode = TRUE;
2446
2447         /* -bvs: verify sender addresses */
2448
2449           else if (Ustrcmp(argrest, "s") == 0)
2450             {
2451             verify_address_mode = checking = f.log_testing_mode = TRUE;
2452             verify_as_sender = TRUE;
2453             }
2454           else badarg = TRUE;
2455           break;
2456
2457         /* -bV: Print version string and support details */
2458         case 'V':
2459           if (!*argrest)
2460             {
2461             printf("Exim version %s #%s built %s\n", version_string,
2462               version_cnumber, version_date);
2463             printf("%s\n", CS version_copyright);
2464             version_printed = TRUE;
2465             show_whats_supported(TRUE);
2466             f.log_testing_mode = TRUE;
2467             }
2468           else badarg = TRUE;
2469           break;
2470
2471         /* -bw: inetd wait mode, accept a listening socket as stdin */
2472         case 'w':
2473           f.inetd_wait_mode = TRUE;
2474           f.background_daemon = FALSE;
2475           f.daemon_listen = TRUE;
2476           if (*argrest)
2477             if ((inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE)) <= 0)
2478               exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
2479           break;
2480
2481         default:
2482           badarg = TRUE;
2483           break;
2484         }
2485       break;
2486       }
2487
2488
2489     /* -C: change configuration file list; ignore if it isn't really
2490     a change! Enforce a prefix check if required. */
2491
2492     case 'C':
2493     if (!*argrest)
2494       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2495     if (Ustrcmp(config_main_filelist, argrest) != 0)
2496       {
2497       #ifdef ALT_CONFIG_PREFIX
2498       int sep = 0;
2499       int len = Ustrlen(ALT_CONFIG_PREFIX);
2500       const uschar *list = argrest;
2501       uschar *filename;
2502       /* The argv is untainted, so big_buffer (also untainted) is ok to use */
2503       while((filename = string_nextinlist(&list, &sep, big_buffer,
2504              big_buffer_size)))
2505         if (  (  Ustrlen(filename) < len
2506               || Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0
2507               || Ustrstr(filename, "/../") != NULL
2508               )
2509            && (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid)
2510            )
2511           exim_fail("-C Permission denied\n");
2512       #endif
2513       if (real_uid != root_uid)
2514         {
2515         #ifdef TRUSTED_CONFIG_LIST
2516
2517         if (real_uid != exim_uid
2518             #ifdef CONFIGURE_OWNER
2519             && real_uid != config_uid
2520             #endif
2521             )
2522           f.trusted_config = FALSE;
2523         else
2524           {
2525           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2526           if (trust_list)
2527             {
2528             struct stat statbuf;
2529
2530             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2531                 (statbuf.st_uid != root_uid        /* owner not root */
2532                  #ifdef CONFIGURE_OWNER
2533                  && statbuf.st_uid != config_uid   /* owner not the special one */
2534                  #endif
2535                    ) ||                            /* or */
2536                 (statbuf.st_gid != root_gid        /* group not root */
2537                  #ifdef CONFIGURE_GROUP
2538                  && statbuf.st_gid != config_gid   /* group not the special one */
2539                  #endif
2540                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2541                    ) ||                            /* or */
2542                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2543               {
2544               f.trusted_config = FALSE;
2545               fclose(trust_list);
2546               }
2547             else
2548               {
2549               /* Well, the trust list at least is up to scratch... */
2550               rmark reset_point;
2551               uschar *trusted_configs[32];
2552               int nr_configs = 0;
2553               int i = 0;
2554               int old_pool = store_pool;
2555               store_pool = POOL_MAIN;
2556
2557               reset_point = store_mark();
2558               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2559                 {
2560                 uschar *start = big_buffer, *nl;
2561                 while (*start && isspace(*start))
2562                 start++;
2563                 if (*start != '/')
2564                   continue;
2565                 nl = Ustrchr(start, '\n');
2566                 if (nl)
2567                   *nl = 0;
2568                 trusted_configs[nr_configs++] = string_copy(start);
2569                 if (nr_configs == nelem(trusted_configs))
2570                   break;
2571                 }
2572               fclose(trust_list);
2573
2574               if (nr_configs)
2575                 {
2576                 int sep = 0;
2577                 const uschar *list = argrest;
2578                 uschar *filename;
2579                 while (f.trusted_config && (filename = string_nextinlist(&list,
2580                         &sep, big_buffer, big_buffer_size)))
2581                   {
2582                   for (i=0; i < nr_configs; i++)
2583                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2584                       break;
2585                   if (i == nr_configs)
2586                     {
2587                     f.trusted_config = FALSE;
2588                     break;
2589                     }
2590                   }
2591                 }
2592               else      /* No valid prefixes found in trust_list file. */
2593                 f.trusted_config = FALSE;
2594               store_reset(reset_point);
2595               store_pool = old_pool;
2596               }
2597             }
2598           else          /* Could not open trust_list file. */
2599             f.trusted_config = FALSE;
2600           }
2601       #else
2602         /* Not root; don't trust config */
2603         f.trusted_config = FALSE;
2604       #endif
2605         }
2606
2607       config_main_filelist = argrest;
2608       f.config_changed = TRUE;
2609       }
2610     break;
2611
2612
2613     /* -D: set up a macro definition */
2614
2615     case 'D':
2616 #ifdef DISABLE_D_OPTION
2617       exim_fail("exim: -D is not available in this Exim binary\n");
2618 #else
2619       {
2620       int ptr = 0;
2621       macro_item *m;
2622       uschar name[24];
2623       uschar *s = argrest;
2624
2625       opt_D_used = TRUE;
2626       while (isspace(*s)) s++;
2627
2628       if (*s < 'A' || *s > 'Z')
2629         exim_fail("exim: macro name set by -D must start with "
2630           "an upper case letter\n");
2631
2632       while (isalnum(*s) || *s == '_')
2633         {
2634         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2635         s++;
2636         }
2637       name[ptr] = 0;
2638       if (ptr == 0) { badarg = TRUE; break; }
2639       while (isspace(*s)) s++;
2640       if (*s != 0)
2641         {
2642         if (*s++ != '=') { badarg = TRUE; break; }
2643         while (isspace(*s)) s++;
2644         }
2645
2646       for (m = macros_user; m; m = m->next)
2647         if (Ustrcmp(m->name, name) == 0)
2648           exim_fail("exim: duplicated -D in command line\n");
2649
2650       m = macro_create(name, s, TRUE);
2651
2652       if (clmacro_count >= MAX_CLMACROS)
2653         exim_fail("exim: too many -D options on command line\n");
2654       clmacros[clmacro_count++] =
2655         string_sprintf("-D%s=%s", m->name, m->replacement);
2656       }
2657     #endif
2658     break;
2659
2660     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2661     The latter is now a no-op, retained for compatibility only. If -dd is used,
2662     debugging subprocesses of the daemon is disabled. */
2663
2664     case 'd':
2665     if (Ustrcmp(argrest, "ropcr") == 0)
2666       {
2667       /* drop_cr = TRUE; */
2668       }
2669
2670     /* Use an intermediate variable so that we don't set debugging while
2671     decoding the debugging bits. */
2672
2673     else
2674       {
2675       unsigned int selector = D_default;
2676       debug_selector = 0;
2677       debug_file = NULL;
2678       if (*argrest == 'd')
2679         {
2680         f.debug_daemon = TRUE;
2681         argrest++;
2682         }
2683       if (*argrest)
2684         decode_bits(&selector, 1, debug_notall, argrest,
2685           debug_options, debug_options_count, US"debug", 0);
2686       debug_selector = selector;
2687       }
2688     break;
2689
2690
2691     /* -E: This is a local error message. This option is not intended for
2692     external use at all, but is not restricted to trusted callers because it
2693     does no harm (just suppresses certain error messages) and if Exim is run
2694     not setuid root it won't always be trusted when it generates error
2695     messages using this option. If there is a message id following -E, point
2696     message_reference at it, for logging. */
2697
2698     case 'E':
2699     f.local_error_message = TRUE;
2700     if (mac_ismsgid(argrest)) message_reference = argrest;
2701     break;
2702
2703
2704     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2705     option, so it looks as if historically the -oex options are also callable
2706     without the leading -o. So we have to accept them. Before the switch,
2707     anything starting -oe has been converted to -e. Exim does not support all
2708     of the sendmail error options. */
2709
2710     case 'e':
2711     if (Ustrcmp(argrest, "e") == 0)
2712       {
2713       arg_error_handling = ERRORS_SENDER;
2714       errors_sender_rc = EXIT_SUCCESS;
2715       }
2716     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2717     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2718     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2719     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2720     else badarg = TRUE;
2721     break;
2722
2723
2724     /* -F: Set sender's full name, used instead of the gecos entry from
2725     the password file. Since users can usually alter their gecos entries,
2726     there's no security involved in using this instead. The data can follow
2727     the -F or be in the next argument. */
2728
2729     case 'F':
2730     if (!*argrest)
2731       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2732     originator_name = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_HUMANNAME_MAX, "-F"), TRUE);
2733     f.sender_name_forced = TRUE;
2734     break;
2735
2736
2737     /* -f: Set sender's address - this value is only actually used if Exim is
2738     run by a trusted user, or if untrusted_set_sender is set and matches the
2739     address, except that the null address can always be set by any user. The
2740     test for this happens later, when the value given here is ignored when not
2741     permitted. For an untrusted user, the actual sender is still put in Sender:
2742     if it doesn't match the From: header (unless no_local_from_check is set).
2743     The data can follow the -f or be in the next argument. The -r switch is an
2744     obsolete form of -f but since there appear to be programs out there that
2745     use anything that sendmail has ever supported, better accept it - the
2746     synonymizing is done before the switch above.
2747
2748     At this stage, we must allow domain literal addresses, because we don't
2749     know what the setting of allow_domain_literals is yet. Ditto for trailing
2750     dots and strip_trailing_dot. */
2751
2752     case 'f':
2753       {
2754       int dummy_start, dummy_end;
2755       uschar *errmess;
2756       if (!*argrest)
2757         if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
2758       (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
2759       if (!*argrest)
2760         *(sender_address = store_get(1, FALSE)) = '\0';  /* Ensure writeable memory */
2761       else
2762         {
2763         uschar * temp = argrest + Ustrlen(argrest) - 1;
2764         while (temp >= argrest && isspace(*temp)) temp--;
2765         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2766         allow_domain_literals = TRUE;
2767         strip_trailing_dot = TRUE;
2768 #ifdef SUPPORT_I18N
2769         allow_utf8_domains = TRUE;
2770 #endif
2771         if (!(sender_address = parse_extract_address(argrest, &errmess,
2772                   &dummy_start, &dummy_end, &sender_address_domain, TRUE)))
2773           exim_fail("exim: bad -f address \"%s\": %s\n", argrest, errmess);
2774
2775         sender_address = string_copy_taint(sender_address, TRUE);
2776 #ifdef SUPPORT_I18N
2777         message_smtputf8 =  string_is_utf8(sender_address);
2778         allow_utf8_domains = FALSE;
2779 #endif
2780         allow_domain_literals = FALSE;
2781         strip_trailing_dot = FALSE;
2782         }
2783       f.sender_address_forced = TRUE;
2784       }
2785     break;
2786
2787     /* -G: sendmail invocation to specify that it's a gateway submission and
2788     sendmail may complain about problems instead of fixing them.
2789     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2790     not at this time complain about problems. */
2791
2792     case 'G':
2793     flag_G = TRUE;
2794     break;
2795
2796     /* -h: Set the hop count for an incoming message. Exim does not currently
2797     support this; it always computes it by counting the Received: headers.
2798     To put it in will require a change to the spool header file format. */
2799
2800     case 'h':
2801     if (!*argrest)
2802       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2803     if (!isdigit(*argrest)) badarg = TRUE;
2804     break;
2805
2806
2807     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2808     not to be documented for sendmail but mailx (at least) uses it) */
2809
2810     case 'i':
2811     if (!*argrest) f.dot_ends = FALSE; else badarg = TRUE;
2812     break;
2813
2814
2815     /* -L: set the identifier used for syslog; equivalent to setting
2816     syslog_processname in the config file, but needs to be an admin option. */
2817
2818     case 'L':
2819     if (!*argrest)
2820       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2821     if ((sz = Ustrlen(argrest)) > 32)
2822       exim_fail("exim: the -L syslog name is too long: \"%s\"\n", argrest);
2823     if (sz < 1)
2824       exim_fail("exim: the -L syslog name is too short\n");
2825     cmdline_syslog_name = string_copy_taint(argrest, TRUE);
2826     break;
2827
2828     case 'M':
2829     receiving_message = FALSE;
2830
2831     /* -MC:  continue delivery of another message via an existing open
2832     file descriptor. This option is used for an internal call by the
2833     smtp transport when there is a pending message waiting to go to an
2834     address to which it has got a connection. Five subsequent arguments are
2835     required: transport name, host name, IP address, sequence number, and
2836     message_id. Transports may decline to create new processes if the sequence
2837     number gets too big. The channel is stdin. This (-MC) must be the last
2838     argument. There's a subsequent check that the real-uid is privileged.
2839
2840     If we are running in the test harness. delay for a bit, to let the process
2841     that set this one up complete. This makes for repeatability of the logging,
2842     etc. output. */
2843
2844     if (Ustrcmp(argrest, "C") == 0)
2845       {
2846       union sockaddr_46 interface_sock;
2847       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2848
2849       if (argc != i + 6)
2850         exim_fail("exim: too many or too few arguments after -MC\n");
2851
2852       if (msg_action_arg >= 0)
2853         exim_fail("exim: incompatible arguments\n");
2854
2855       continue_transport = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-C internal transport"), TRUE);
2856       continue_hostname = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-C internal hostname"), TRUE);
2857       continue_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-C internal hostaddr"), TRUE);
2858       continue_sequence = Uatoi(argv[++i]);
2859       msg_action = MSG_DELIVER;
2860       msg_action_arg = ++i;
2861       forced_delivery = TRUE;
2862       queue_run_pid = passed_qr_pid;
2863       queue_run_pipe = passed_qr_pipe;
2864
2865       if (!mac_ismsgid(argv[i]))
2866         exim_fail("exim: malformed message id %s after -MC option\n",
2867           argv[i]);
2868
2869       /* Set up $sending_ip_address and $sending_port, unless proxied */
2870
2871       if (!continue_proxy_cipher)
2872         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2873             &size) == 0)
2874           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2875             &sending_port);
2876         else
2877           exim_fail("exim: getsockname() failed after -MC option: %s\n",
2878             strerror(errno));
2879
2880       testharness_pause_ms(500);
2881       break;
2882       }
2883
2884     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2885       {
2886       switch(argrest[1])
2887         {
2888     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2889     precedes -MC (see above). The flag indicates that the host to which
2890     Exim is connected has accepted an AUTH sequence. */
2891
2892         case 'A': f.smtp_authenticated = TRUE; break;
2893
2894     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2895        that exim is connected to supports the esmtp extension DSN */
2896
2897         case 'D': smtp_peer_options |= OPTION_DSN; break;
2898
2899     /* -MCd: for debug, set a process-purpose string */
2900
2901         case 'd': if (++i < argc)
2902                     process_purpose = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCd"), TRUE);
2903                   else badarg = TRUE;
2904                   break;
2905
2906     /* -MCG: set the queue name, to a non-default value. Arguably, anything
2907        from the commandline should be tainted - but we will need an untainted
2908        value for the spoolfile when doing a -odi delivery process. */
2909
2910         case 'G': if (++i < argc) queue_name = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCG"), FALSE);
2911                   else badarg = TRUE;
2912                   break;
2913
2914     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2915
2916         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2917
2918 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2919     /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
2920         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
2921                   else badarg = TRUE;
2922                   if (++i < argc) continue_limit_rcpt = Uatoi(argv[i]);
2923                   else badarg = TRUE;
2924                   if (++i < argc) continue_limit_rcptdom = Uatoi(argv[i]);
2925                   else badarg = TRUE;
2926                   break;
2927 #endif
2928
2929     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2930     it preceded -MC (see above) */
2931
2932         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2933
2934 #ifdef SUPPORT_SOCKS
2935     /* -MCp: Socks proxy in use; nearside IP, port, external IP, port */
2936         case 'p': proxy_session = TRUE;
2937                   if (++i < argc)
2938                     {
2939                     proxy_local_address = string_copy_taint(argv[i], TRUE);
2940                     if (++i < argc)
2941                       {
2942                       proxy_local_port = Uatoi(argv[i]);
2943                       if (++i < argc)
2944                         {
2945                         proxy_external_address = string_copy_taint(argv[i], TRUE);
2946                         if (++i < argc)
2947                           {
2948                           proxy_external_port = Uatoi(argv[i]);
2949                           break;
2950                     } } } }
2951                   badarg = TRUE;
2952                   break;
2953 #endif
2954     /* -MCQ: pass on the pid of the queue-running process that started
2955     this chain of deliveries and the fd of its synchronizing pipe; this
2956     is useful only when it precedes -MC (see above) */
2957
2958         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2959                   else badarg = TRUE;
2960                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2961                   else badarg = TRUE;
2962                   break;
2963
2964     /* -MCq: do a quota check on the given recipient for the given size
2965     of message.  Separate from -MC. */
2966         case 'q': rcpt_verify_quota = TRUE;
2967                   if (++i < argc) message_size = Uatoi(argv[i]);
2968                   else badarg = TRUE;
2969                   break;
2970
2971     /* -MCS: set the smtp_use_size flag; this is useful only when it
2972     precedes -MC (see above) */
2973
2974         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2975
2976 #ifndef DISABLE_TLS
2977     /* -MCs: used with -MCt; SNI was sent */
2978     /* -MCr: ditto, DANE */
2979
2980         case 'r':
2981         case 's': if (++i < argc)
2982                     {
2983                     continue_proxy_sni = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_HOSTNAME_MAX, "-MCr/-MCs"), TRUE);
2984                     if (argrest[1] == 'r') continue_proxy_dane = TRUE;
2985                     }
2986                   else badarg = TRUE;
2987                   break;
2988
2989     /* -MCt: similar to -MCT below but the connection is still open
2990     via a proxy process which handles the TLS context and coding.
2991     Require three arguments for the proxied local address and port,
2992     and the TLS cipher. */
2993
2994         case 't': if (++i < argc)
2995                     sending_ip_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-MCt IP"), TRUE);
2996                   else badarg = TRUE;
2997                   if (++i < argc)
2998                     sending_port = (int)(Uatol(argv[i]));
2999                   else badarg = TRUE;
3000                   if (++i < argc)
3001                     continue_proxy_cipher = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_CIPHERNAME_MAX, "-MCt cipher"), TRUE);
3002                   else badarg = TRUE;
3003                   /*FALLTHROUGH*/
3004
3005     /* -MCT: set the tls_offered flag; this is useful only when it
3006     precedes -MC (see above). The flag indicates that the host to which
3007     Exim is connected has offered TLS support. */
3008
3009         case 'T': smtp_peer_options |= OPTION_TLS; break;
3010 #endif
3011
3012         default:  badarg = TRUE; break;
3013         }
3014       break;
3015       }
3016
3017     /* -M[x]: various operations on the following list of message ids:
3018        -M    deliver the messages, ignoring next retry times and thawing
3019        -Mc   deliver the messages, checking next retry times, no thawing
3020        -Mf   freeze the messages
3021        -Mg   give up on the messages
3022        -Mt   thaw the messages
3023        -Mrm  remove the messages
3024     In the above cases, this must be the last option. There are also the
3025     following options which are followed by a single message id, and which
3026     act on that message. Some of them use the "recipient" addresses as well.
3027        -Mar  add recipient(s)
3028        -MG   move to a different queue
3029        -Mmad mark all recipients delivered
3030        -Mmd  mark recipients(s) delivered
3031        -Mes  edit sender
3032        -Mset load a message for use with -be
3033        -Mvb  show body
3034        -Mvc  show copy (of whole message, in RFC 2822 format)
3035        -Mvh  show header
3036        -Mvl  show log
3037     */
3038
3039     else if (!*argrest)
3040       {
3041       msg_action = MSG_DELIVER;
3042       forced_delivery = f.deliver_force_thaw = TRUE;
3043       }
3044     else if (Ustrcmp(argrest, "ar") == 0)
3045       {
3046       msg_action = MSG_ADD_RECIPIENT;
3047       one_msg_action = TRUE;
3048       }
3049     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
3050     else if (Ustrcmp(argrest, "es") == 0)
3051       {
3052       msg_action = MSG_EDIT_SENDER;
3053       one_msg_action = TRUE;
3054       }
3055     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
3056     else if (Ustrcmp(argrest, "g") == 0)
3057       {
3058       msg_action = MSG_DELIVER;
3059       deliver_give_up = TRUE;
3060       }
3061    else if (Ustrcmp(argrest, "G") == 0)
3062       {
3063       msg_action = MSG_SETQUEUE;
3064       queue_name_dest = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-MG"), TRUE);
3065       }
3066     else if (Ustrcmp(argrest, "mad") == 0)
3067       {
3068       msg_action = MSG_MARK_ALL_DELIVERED;
3069       }
3070     else if (Ustrcmp(argrest, "md") == 0)
3071       {
3072       msg_action = MSG_MARK_DELIVERED;
3073       one_msg_action = TRUE;
3074       }
3075     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
3076     else if (Ustrcmp(argrest, "set") == 0)
3077       {
3078       msg_action = MSG_LOAD;
3079       one_msg_action = TRUE;
3080       }
3081     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
3082     else if (Ustrcmp(argrest, "vb") == 0)
3083       {
3084       msg_action = MSG_SHOW_BODY;
3085       one_msg_action = TRUE;
3086       }
3087     else if (Ustrcmp(argrest, "vc") == 0)
3088       {
3089       msg_action = MSG_SHOW_COPY;
3090       one_msg_action = TRUE;
3091       }
3092     else if (Ustrcmp(argrest, "vh") == 0)
3093       {
3094       msg_action = MSG_SHOW_HEADER;
3095       one_msg_action = TRUE;
3096       }
3097     else if (Ustrcmp(argrest, "vl") == 0)
3098       {
3099       msg_action = MSG_SHOW_LOG;
3100       one_msg_action = TRUE;
3101       }
3102     else { badarg = TRUE; break; }
3103
3104     /* All the -Mxx options require at least one message id. */
3105
3106     msg_action_arg = i + 1;
3107     if (msg_action_arg >= argc)
3108       exim_fail("exim: no message ids given after %s option\n", arg);
3109
3110     /* Some require only message ids to follow */
3111
3112     if (!one_msg_action)
3113       {
3114       for (int j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
3115         exim_fail("exim: malformed message id %s after %s option\n",
3116           argv[j], arg);
3117       goto END_ARG;   /* Remaining args are ids */
3118       }
3119
3120     /* Others require only one message id, possibly followed by addresses,
3121     which will be handled as normal arguments. */
3122
3123     else
3124       {
3125       if (!mac_ismsgid(argv[msg_action_arg]))
3126         exim_fail("exim: malformed message id %s after %s option\n",
3127           argv[msg_action_arg], arg);
3128       i++;
3129       }
3130     break;
3131
3132
3133     /* Some programs seem to call the -om option without the leading o;
3134     for sendmail it askes for "me too". Exim always does this. */
3135
3136     case 'm':
3137     if (*argrest) badarg = TRUE;
3138     break;
3139
3140
3141     /* -N: don't do delivery - a debugging option that stops transports doing
3142     their thing. It implies debugging at the D_v level. */
3143
3144     case 'N':
3145     if (!*argrest)
3146       {
3147       f.dont_deliver = TRUE;
3148       debug_selector |= D_v;
3149       debug_file = stderr;
3150       }
3151     else badarg = TRUE;
3152     break;
3153
3154
3155     /* -n: This means "don't alias" in sendmail, apparently.
3156     For normal invocations, it has no effect.
3157     It may affect some other options. */
3158
3159     case 'n':
3160     flag_n = TRUE;
3161     break;
3162
3163     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
3164     option to the specified value. This form uses long names. We need to handle
3165     -O option=value and -Ooption=value. */
3166
3167     case 'O':
3168     if (!*argrest)
3169       if (++i >= argc)
3170         exim_fail("exim: string expected after -O\n");
3171     break;
3172
3173     case 'o':
3174     switch (*argrest++)
3175       {
3176       /* -oA: Set an argument for the bi command (sendmail's "alternate alias
3177       file" option). */
3178       case 'A':
3179         if (!*(alias_arg = argrest))
3180           if (i+1 < argc) alias_arg = argv[++i];
3181           else exim_fail("exim: string expected after -oA\n");
3182         break;
3183
3184       /* -oB: Set a connection message max value for remote deliveries */
3185       case 'B':
3186         {
3187         uschar * p = argrest;
3188         if (!*p)
3189           if (i+1 < argc && isdigit((argv[i+1][0])))
3190             p = argv[++i];
3191           else
3192             {
3193             connection_max_messages = 1;
3194             p = NULL;
3195             }
3196
3197         if (p)
3198           {
3199           if (!isdigit(*p))
3200             exim_fail("exim: number expected after -oB\n");
3201           connection_max_messages = Uatoi(p);
3202           }
3203         }
3204         break;
3205
3206       /* -odb: background delivery */
3207
3208       case 'd':
3209         if (Ustrcmp(argrest, "b") == 0)
3210           {
3211           f.synchronous_delivery = FALSE;
3212           arg_queue_only = FALSE;
3213           queue_only_set = TRUE;
3214           }
3215
3216       /* -odd: testsuite-only: add no inter-process delays */
3217
3218         else if (Ustrcmp(argrest, "d") == 0)
3219           f.testsuite_delays = FALSE;
3220
3221       /* -odf: foreground delivery (smail-compatible option); same effect as
3222          -odi: interactive (synchronous) delivery (sendmail-compatible option)
3223       */
3224
3225         else if (Ustrcmp(argrest, "f") == 0 || Ustrcmp(argrest, "i") == 0)
3226           {
3227           f.synchronous_delivery = TRUE;
3228           arg_queue_only = FALSE;
3229           queue_only_set = TRUE;
3230           }
3231
3232       /* -odq: queue only */
3233
3234         else if (Ustrcmp(argrest, "q") == 0)
3235           {
3236           f.synchronous_delivery = FALSE;
3237           arg_queue_only = TRUE;
3238           queue_only_set = TRUE;
3239           }
3240
3241       /* -odqs: queue SMTP only - do local deliveries and remote routing,
3242       but no remote delivery */
3243
3244         else if (Ustrcmp(argrest, "qs") == 0)
3245           {
3246           f.queue_smtp = TRUE;
3247           arg_queue_only = FALSE;
3248           queue_only_set = TRUE;
3249           }
3250         else badarg = TRUE;
3251         break;
3252
3253       /* -oex: Sendmail error flags. As these are also accepted without the
3254       leading -o prefix, for compatibility with vacation and other callers,
3255       they are handled with -e above. */
3256
3257       /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3258          -oitrue: Another sendmail syntax for the same */
3259
3260       case 'i':
3261         if (!*argrest || Ustrcmp(argrest, "true") == 0)
3262           f.dot_ends = FALSE;
3263         else badarg = TRUE;
3264         break;
3265
3266     /* -oM*: Set various characteristics for an incoming message; actually
3267     acted on for trusted callers only. */
3268
3269       case 'M':
3270         {
3271         if (i+1 >= argc)
3272           exim_fail("exim: data expected after -oM%s\n", argrest);
3273
3274         /* -oMa: Set sender host address */
3275
3276         if (Ustrcmp(argrest, "a") == 0)
3277           sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMa"), TRUE);
3278
3279         /* -oMaa: Set authenticator name */
3280
3281         else if (Ustrcmp(argrest, "aa") == 0)
3282           sender_host_authenticated = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMaa"), TRUE);
3283
3284         /* -oMas: setting authenticated sender */
3285
3286         else if (Ustrcmp(argrest, "as") == 0)
3287           authenticated_sender = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3288
3289         /* -oMai: setting authenticated id */
3290
3291         else if (Ustrcmp(argrest, "ai") == 0)
3292           authenticated_id = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3293
3294         /* -oMi: Set incoming interface address */
3295
3296         else if (Ustrcmp(argrest, "i") == 0)
3297           interface_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMi"), TRUE);
3298
3299         /* -oMm: Message reference */
3300
3301         else if (Ustrcmp(argrest, "m") == 0)
3302           {
3303           if (!mac_ismsgid(argv[i+1]))
3304               exim_fail("-oMm must be a valid message ID\n");
3305           if (!f.trusted_config)
3306               exim_fail("-oMm must be called by a trusted user/config\n");
3307             message_reference = argv[++i];
3308           }
3309
3310         /* -oMr: Received protocol */
3311
3312         else if (Ustrcmp(argrest, "r") == 0)
3313
3314           if (received_protocol)
3315             exim_fail("received_protocol is set already\n");
3316           else
3317             received_protocol = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMr"), TRUE);
3318
3319         /* -oMs: Set sender host name */
3320
3321         else if (Ustrcmp(argrest, "s") == 0)
3322           sender_host_name = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-oMs"), TRUE);
3323
3324         /* -oMt: Set sender ident */
3325
3326         else if (Ustrcmp(argrest, "t") == 0)
3327           {
3328           sender_ident_set = TRUE;
3329           sender_ident = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IDENTUSER_MAX, "-oMt"), TRUE);
3330           }
3331
3332         /* Else a bad argument */
3333
3334         else
3335           badarg = TRUE;
3336         }
3337         break;
3338
3339       /* -om: Me-too flag for aliases. Exim always does this. Some programs
3340       seem to call this as -m (undocumented), so that is also accepted (see
3341       above). */
3342       /* -oo: An ancient flag for old-style addresses which still seems to
3343       crop up in some calls (see in SCO). */
3344
3345       case 'm':
3346       case 'o':
3347         if (*argrest) badarg = TRUE;
3348         break;
3349
3350       /* -oP <name>: set pid file path for daemon
3351          -oPX:       delete pid file of daemon */
3352
3353       case 'P':
3354         if (!f.running_in_test_harness && real_uid != root_uid && real_uid != exim_uid)
3355           exim_fail("exim: only uid=%d or uid=%d can use -oP and -oPX "
3356                     "(uid=%d euid=%d | %d)\n",
3357                     root_uid, exim_uid, getuid(), geteuid(), real_uid);
3358         if (!*argrest) override_pid_file_path = argv[++i];
3359         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
3360         else badarg = TRUE;
3361         break;
3362
3363
3364       /* -or <n>: set timeout for non-SMTP acceptance
3365          -os <n>: set timeout for SMTP acceptance */
3366
3367       case 'r':
3368       case 's':
3369         {
3370         int * tp = argrest[-1] == 'r'
3371           ? &arg_receive_timeout : &arg_smtp_receive_timeout;
3372         if (*argrest)
3373           *tp = readconf_readtime(argrest, 0, FALSE);
3374         else if (i+1 < argc)
3375           *tp = readconf_readtime(argv[++i], 0, FALSE);
3376
3377         if (*tp < 0)
3378           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3379         }
3380         break;
3381
3382       /* -oX <list>: Override local_interfaces and/or default daemon ports */
3383       /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
3384
3385       case 'X':
3386         if (*argrest) badarg = TRUE;
3387         else override_local_interfaces = string_copy_taint(exim_str_fail_toolong(argv[++i], 1024, "-oX"), TRUE);
3388         break;
3389
3390       /* -oY: Override creation of daemon notifier socket */
3391
3392       case 'Y':
3393         if (*argrest) badarg = TRUE;
3394         else notifier_socket = NULL;
3395         break;
3396
3397       /* Unknown -o argument */
3398
3399       default:
3400         badarg = TRUE;
3401       }
3402     break;
3403
3404
3405     /* -ps: force Perl startup; -pd force delayed Perl startup */
3406
3407     case 'p':
3408     #ifdef EXIM_PERL
3409     if (*argrest == 's' && argrest[1] == 0)
3410       {
3411       perl_start_option = 1;
3412       break;
3413       }
3414     if (*argrest == 'd' && argrest[1] == 0)
3415       {
3416       perl_start_option = -1;
3417       break;
3418       }
3419     #endif
3420
3421     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3422     which sets the host protocol and host name */
3423
3424     if (!*argrest)
3425       if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
3426
3427     if (*argrest)
3428       {
3429       uschar * hn = Ustrchr(argrest, ':');
3430
3431       if (received_protocol)
3432         exim_fail("received_protocol is set already\n");
3433
3434       if (!hn)
3435         received_protocol = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_DRIVERNAME_MAX, "-p<protocol>"), TRUE);
3436       else
3437         {
3438         (void) exim_str_fail_toolong(argrest, (EXIM_DRIVERNAME_MAX+1+EXIM_HOSTNAME_MAX), "-p<protocol>:<host>");
3439         received_protocol = string_copyn_taint(argrest, hn - argrest, TRUE);
3440         sender_host_name = string_copy_taint(hn + 1, TRUE);
3441         }
3442       }
3443     break;
3444
3445
3446     case 'q':
3447     receiving_message = FALSE;
3448     if (queue_interval >= 0)
3449       exim_fail("exim: -q specified more than once\n");
3450
3451     /* -qq...: Do queue runs in a 2-stage manner */
3452
3453     if (*argrest == 'q')
3454       {
3455       f.queue_2stage = TRUE;
3456       argrest++;
3457       }
3458
3459     /* -qi...: Do only first (initial) deliveries */
3460
3461     if (*argrest == 'i')
3462       {
3463       f.queue_run_first_delivery = TRUE;
3464       argrest++;
3465       }
3466
3467     /* -qf...: Run the queue, forcing deliveries
3468        -qff..: Ditto, forcing thawing as well */
3469
3470     if (*argrest == 'f')
3471       {
3472       f.queue_run_force = TRUE;
3473       if (*++argrest == 'f')
3474         {
3475         f.deliver_force_thaw = TRUE;
3476         argrest++;
3477         }
3478       }
3479
3480     /* -q[f][f]l...: Run the queue only on local deliveries */
3481
3482     if (*argrest == 'l')
3483       {
3484       f.queue_run_local = TRUE;
3485       argrest++;
3486       }
3487
3488     /* -q[f][f][l][G<name>]... Work on the named queue */
3489
3490     if (*argrest == 'G')
3491       {
3492       int i;
3493       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3494       exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
3495       queue_name = string_copyn(argrest, i);
3496       argrest += i;
3497       if (*argrest == '/') argrest++;
3498       }
3499
3500     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3501     only, optionally named, optionally starting from a given message id. */
3502
3503     if (!(list_queue || count_queue))
3504       if (  !*argrest
3505          && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3506         {
3507         queue_interval = 0;
3508         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3509           start_queue_run_id = string_copy_taint(argv[++i], TRUE);
3510         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3511           stop_queue_run_id = string_copy_taint(argv[++i], TRUE);
3512         }
3513
3514     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3515     forced, optionally local only, optionally named. */
3516
3517       else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3518                                                   0, FALSE)) <= 0)
3519         exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3520     break;
3521
3522
3523     case 'R':   /* Synonymous with -qR... */
3524       {
3525       const uschar *tainted_selectstr;
3526
3527       receiving_message = FALSE;
3528
3529     /* -Rf:   As -R (below) but force all deliveries,
3530        -Rff:  Ditto, but also thaw all frozen messages,
3531        -Rr:   String is regex
3532        -Rrf:  Regex and force
3533        -Rrff: Regex and force and thaw
3534
3535     in all cases provided there are no further characters in this
3536     argument. */
3537
3538       if (*argrest)
3539         for (int i = 0; i < nelem(rsopts); i++)
3540           if (Ustrcmp(argrest, rsopts[i]) == 0)
3541             {
3542             if (i != 2) f.queue_run_force = TRUE;
3543             if (i >= 2) f.deliver_selectstring_regex = TRUE;
3544             if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3545             argrest += Ustrlen(rsopts[i]);
3546             }
3547
3548     /* -R: Set string to match in addresses for forced queue run to
3549     pick out particular messages. */
3550
3551       /* Avoid attacks from people providing very long strings, and do so before
3552       we make copies. */
3553       if (*argrest)
3554         tainted_selectstr = argrest;
3555       else if (i+1 < argc)
3556         tainted_selectstr = argv[++i];
3557       else
3558         exim_fail("exim: string expected after -R\n");
3559       deliver_selectstring = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"), TRUE);
3560       }
3561     break;
3562
3563     /* -r: an obsolete synonym for -f (see above) */
3564
3565
3566     /* -S: Like -R but works on sender. */
3567
3568     case 'S':   /* Synonymous with -qS... */
3569       {
3570       const uschar *tainted_selectstr;
3571
3572       receiving_message = FALSE;
3573
3574     /* -Sf:   As -S (below) but force all deliveries,
3575        -Sff:  Ditto, but also thaw all frozen messages,
3576        -Sr:   String is regex
3577        -Srf:  Regex and force
3578        -Srff: Regex and force and thaw
3579
3580     in all cases provided there are no further characters in this
3581     argument. */
3582
3583       if (*argrest)
3584         for (int i = 0; i < nelem(rsopts); i++)
3585           if (Ustrcmp(argrest, rsopts[i]) == 0)
3586             {
3587             if (i != 2) f.queue_run_force = TRUE;
3588             if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
3589             if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3590             argrest += Ustrlen(rsopts[i]);
3591             }
3592
3593     /* -S: Set string to match in addresses for forced queue run to
3594     pick out particular messages. */
3595
3596       if (*argrest)
3597         tainted_selectstr = argrest;
3598       else if (i+1 < argc)
3599         tainted_selectstr = argv[++i];
3600       else
3601         exim_fail("exim: string expected after -S\n");
3602       deliver_selectstring_sender = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-S"), TRUE);
3603       }
3604     break;
3605
3606     /* -Tqt is an option that is exclusively for use by the testing suite.
3607     It is not recognized in other circumstances. It allows for the setting up
3608     of explicit "queue times" so that various warning/retry things can be
3609     tested. Otherwise variability of clock ticks etc. cause problems. */
3610
3611     case 'T':
3612     if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3613       fudged_queue_times = string_copy_taint(argv[++i], TRUE);
3614     else badarg = TRUE;
3615     break;
3616
3617
3618     /* -t: Set flag to extract recipients from body of message. */
3619
3620     case 't':
3621     if (!*argrest) extract_recipients = TRUE;
3622
3623     /* -ti: Set flag to extract recipients from body of message, and also
3624     specify that dot does not end the message. */
3625
3626     else if (Ustrcmp(argrest, "i") == 0)
3627       {
3628       extract_recipients = TRUE;
3629       f.dot_ends = FALSE;
3630       }
3631
3632     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3633
3634     #ifndef DISABLE_TLS
3635     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3636     #endif
3637
3638     else badarg = TRUE;
3639     break;
3640
3641
3642     /* -U: This means "initial user submission" in sendmail, apparently. The
3643     doc claims that in future sendmail may refuse syntactically invalid
3644     messages instead of fixing them. For the moment, we just ignore it. */
3645
3646     case 'U':
3647     break;
3648
3649
3650     /* -v: verify things - this is a very low-level debugging */
3651
3652     case 'v':
3653     if (!*argrest)
3654       {
3655       debug_selector |= D_v;
3656       debug_file = stderr;
3657       }
3658     else badarg = TRUE;
3659     break;
3660
3661
3662     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3663
3664       The -x flag tells the sendmail command that mail from a local
3665       mail program has National Language Support (NLS) extended characters
3666       in the body of the mail item. The sendmail command can send mail with
3667       extended NLS characters across networks that normally corrupts these
3668       8-bit characters.
3669
3670     As Exim is 8-bit clean, it just ignores this flag. */
3671
3672     case 'x':
3673     if (*argrest) badarg = TRUE;
3674     break;
3675
3676     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3677     logs to that file.  We swallow the parameter and otherwise ignore it. */
3678
3679     case 'X':
3680     if (!*argrest)
3681       if (++i >= argc)
3682         exim_fail("exim: string expected after -X\n");
3683     break;
3684
3685     /* -z: a line of text to log */
3686
3687     case 'z':
3688     if (!*argrest)
3689       if (++i < argc)
3690         log_oneline = string_copy_taint(exim_str_fail_toolong(argv[i], 2048, "-z logtext"), TRUE);
3691       else
3692         exim_fail("exim: file name expected after %s\n", argv[i-1]);
3693     break;
3694
3695     /* All other initial characters are errors */
3696
3697     default:
3698     badarg = TRUE;
3699     break;
3700     }         /* End of high-level switch statement */
3701
3702   /* Failed to recognize the option, or syntax error */
3703
3704   if (badarg)
3705     exim_fail("exim abandoned: unknown, malformed, or incomplete "
3706       "option %s\n", arg);
3707   }
3708
3709
3710 /* If -R or -S have been specified without -q, assume a single queue run. */
3711
3712  if (  (deliver_selectstring || deliver_selectstring_sender)
3713     && queue_interval < 0)
3714   queue_interval = 0;
3715
3716
3717 END_ARG:
3718  store_pool = old_pool;
3719  }
3720
3721 /* If usage_wanted is set we call the usage function - which never returns */
3722 if (usage_wanted) exim_usage(called_as);
3723
3724 /* Arguments have been processed. Check for incompatibilities. */
3725 if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
3726       && (  f.daemon_listen || queue_interval >= 0 || bi_option
3727          || test_retry_arg >= 0 || test_rewrite_arg >= 0
3728          || filter_test != FTEST_NONE
3729          || msg_action_arg > 0 && !one_msg_action
3730       )  )
3731    || (  msg_action_arg > 0
3732       && (  f.daemon_listen || queue_interval > 0 || list_options
3733          || checking && msg_action != MSG_LOAD
3734          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
3735       )  )
3736    || (  (f.daemon_listen || queue_interval > 0)
3737       && (  sender_address || list_options || list_queue || checking
3738          || bi_option
3739       )  )
3740    || f.daemon_listen && queue_interval == 0
3741    || f.inetd_wait_mode && queue_interval >= 0
3742    || (  list_options
3743       && (  checking || smtp_input || extract_recipients
3744          || filter_test != FTEST_NONE || bi_option
3745       )  )
3746    || (  verify_address_mode
3747       && (  f.address_test_mode || smtp_input || extract_recipients
3748          || filter_test != FTEST_NONE || bi_option
3749       )  )
3750    || (  f.address_test_mode
3751       && (  smtp_input || extract_recipients || filter_test != FTEST_NONE
3752          || bi_option
3753       )  )
3754    || (  smtp_input
3755       && (sender_address || filter_test != FTEST_NONE || extract_recipients)
3756       )
3757    || deliver_selectstring && queue_interval < 0
3758    || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
3759    )
3760   exim_fail("exim: incompatible command-line options or arguments\n");
3761
3762 /* If debugging is set up, set the file and the file descriptor to pass on to
3763 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3764 to run in the foreground. */
3765
3766 if (debug_selector != 0)
3767   {
3768   debug_file = stderr;
3769   debug_fd = fileno(debug_file);
3770   f.background_daemon = FALSE;
3771   testharness_pause_ms(100);   /* lets caller finish */
3772   if (debug_selector != D_v)    /* -v only doesn't show this */
3773     {
3774     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3775       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3776       debug_selector);
3777     if (!version_printed)
3778       show_whats_supported(FALSE);
3779     }
3780   }
3781
3782 /* When started with root privilege, ensure that the limits on the number of
3783 open files and the number of processes (where that is accessible) are
3784 sufficiently large, or are unset, in case Exim has been called from an
3785 environment where the limits are screwed down. Not all OS have the ability to
3786 change some of these limits. */
3787
3788 if (unprivileged)
3789   {
3790   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3791   }
3792 else
3793   {
3794   struct rlimit rlp;
3795
3796 #ifdef RLIMIT_NOFILE
3797   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3798     {
3799     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3800       strerror(errno));
3801     rlp.rlim_cur = rlp.rlim_max = 0;
3802     }
3803
3804   /* I originally chose 1000 as a nice big number that was unlikely to
3805   be exceeded. It turns out that some older OS have a fixed upper limit of
3806   256. */
3807
3808   if (rlp.rlim_cur < 1000)
3809     {
3810     rlp.rlim_cur = rlp.rlim_max = 1000;
3811     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3812       {
3813       rlp.rlim_cur = rlp.rlim_max = 256;
3814       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3815         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3816           strerror(errno));
3817       }
3818     }
3819 #endif
3820
3821 #ifdef RLIMIT_NPROC
3822   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3823     {
3824     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3825       strerror(errno));
3826     rlp.rlim_cur = rlp.rlim_max = 0;
3827     }
3828
3829 # ifdef RLIM_INFINITY
3830   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3831     {
3832     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3833 # else
3834   if (rlp.rlim_cur < 1000)
3835     {
3836     rlp.rlim_cur = rlp.rlim_max = 1000;
3837 # endif
3838     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3839       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3840         strerror(errno));
3841     }
3842 #endif
3843   }
3844
3845 /* Exim is normally entered as root (but some special configurations are
3846 possible that don't do this). However, it always spins off sub-processes that
3847 set their uid and gid as required for local delivery. We don't want to pass on
3848 any extra groups that root may belong to, so we want to get rid of them all at
3849 this point.
3850
3851 We need to obey setgroups() at this stage, before possibly giving up root
3852 privilege for a changed configuration file, but later on we might need to
3853 check on the additional groups for the admin user privilege - can't do that
3854 till after reading the config, which might specify the exim gid. Therefore,
3855 save the group list here first. */
3856
3857 if ((group_count = getgroups(nelem(group_list), group_list)) < 0)
3858   exim_fail("exim: getgroups() failed: %s\n", strerror(errno));
3859
3860 /* There is a fundamental difference in some BSD systems in the matter of
3861 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3862 known not to be different. On the "different" systems there is a single group
3863 list, and the first entry in it is the current group. On all other versions of
3864 Unix there is a supplementary group list, which is in *addition* to the current
3865 group. Consequently, to get rid of all extraneous groups on a "standard" system
3866 you pass over 0 groups to setgroups(), while on a "different" system you pass
3867 over a single group - the current group, which is always the first group in the
3868 list. Calling setgroups() with zero groups on a "different" system results in
3869 an error return. The following code should cope with both types of system.
3870
3871  Unfortunately, recent MacOS, which should be a FreeBSD, "helpfully" succeeds
3872  the "setgroups() with zero groups" - and changes the egid.
3873  Thanks to that we had to stash the original_egid above, for use below
3874  in the call to exim_setugid().
3875
3876 However, if this process isn't running as root, setgroups() can't be used
3877 since you have to be root to run it, even if throwing away groups.
3878 Except, sigh, for Hurd - where you can.
3879 Not being root here happens only in some unusual configurations. */
3880
3881 if (  !unprivileged
3882 #ifndef OS_SETGROUPS_ZERO_DROPS_ALL
3883    && setgroups(0, NULL) != 0
3884 #endif
3885    && setgroups(1, group_list) != 0)
3886   exim_fail("exim: setgroups() failed: %s\n", strerror(errno));
3887
3888 /* If the configuration file name has been altered by an argument on the
3889 command line (either a new file name or a macro definition) and the caller is
3890 not root, or if this is a filter testing run, remove any setuid privilege the
3891 program has and run as the underlying user.
3892
3893 The exim user is locked out of this, which severely restricts the use of -C
3894 for some purposes.
3895
3896 Otherwise, set the real ids to the effective values (should be root unless run
3897 from inetd, which it can either be root or the exim uid, if one is configured).
3898
3899 There is a private mechanism for bypassing some of this, in order to make it
3900 possible to test lots of configurations automatically, without having either to
3901 recompile each time, or to patch in an actual configuration file name and other
3902 values (such as the path name). If running in the test harness, pretend that
3903 configuration file changes and macro definitions haven't happened. */
3904
3905 if ((                                            /* EITHER */
3906     (!f.trusted_config ||                          /* Config changed, or */
3907      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3908     real_uid != root_uid &&                      /* Not root, and */
3909     !f.running_in_test_harness                     /* Not fudged */
3910     ) ||                                         /*   OR   */
3911     expansion_test                               /* expansion testing */
3912     ||                                           /*   OR   */
3913     filter_test != FTEST_NONE)                   /* Filter testing */
3914   {
3915   setgroups(group_count, group_list);
3916   exim_setugid(real_uid, real_gid, FALSE,
3917     US"-C, -D, -be or -bf forces real uid");
3918   removed_privilege = TRUE;
3919
3920   /* In the normal case when Exim is called like this, stderr is available
3921   and should be used for any logging information because attempts to write
3922   to the log will usually fail. To arrange this, we unset really_exim. However,
3923   if no stderr is available there is no point - we might as well have a go
3924   at the log (if it fails, syslog will be written).
3925
3926   Note that if the invoker is Exim, the logs remain available. Messing with
3927   this causes unlogged successful deliveries.  */
3928
3929   if (log_stderr && real_uid != exim_uid)
3930     f.really_exim = FALSE;
3931   }
3932
3933 /* Privilege is to be retained for the moment. It may be dropped later,
3934 depending on the job that this Exim process has been asked to do. For now, set
3935 the real uid to the effective so that subsequent re-execs of Exim are done by a
3936 privileged user. */
3937
3938 else
3939   exim_setugid(geteuid(), original_egid, FALSE, US"forcing real = effective");
3940
3941 /* If testing a filter, open the file(s) now, before wasting time doing other
3942 setups and reading the message. */
3943
3944 if (filter_test & FTEST_SYSTEM)
3945   if ((filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0)) < 0)
3946     exim_fail("exim: failed to open %s: %s\n", filter_test_sfile,
3947       strerror(errno));
3948
3949 if (filter_test & FTEST_USER)
3950   if ((filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0)) < 0)
3951     exim_fail("exim: failed to open %s: %s\n", filter_test_ufile,
3952       strerror(errno));
3953
3954 /* Initialise lookup_list
3955 If debugging, already called above via version reporting.
3956 In either case, we initialise the list of available lookups while running
3957 as root.  All dynamically modules are loaded from a directory which is
3958 hard-coded into the binary and is code which, if not a module, would be
3959 part of Exim already.  Ability to modify the content of the directory
3960 is equivalent to the ability to modify a setuid binary!
3961
3962 This needs to happen before we read the main configuration. */
3963 init_lookup_list();
3964
3965 /*XXX this excrescence could move to the testsuite standard config setup file */
3966 #ifdef SUPPORT_I18N
3967 if (f.running_in_test_harness) smtputf8_advertise_hosts = NULL;
3968 #endif
3969
3970 /* Read the main runtime configuration data; this gives up if there
3971 is a failure. It leaves the configuration file open so that the subsequent
3972 configuration data for delivery can be read if needed.
3973
3974 NOTE: immediately after opening the configuration file we change the working
3975 directory to "/"! Later we change to $spool_directory. We do it there, because
3976 during readconf_main() some expansion takes place already. */
3977
3978 /* Store the initial cwd before we change directories.  Can be NULL if the
3979 dir has already been unlinked. */
3980 initial_cwd = os_getcwd(NULL, 0);
3981 if (!initial_cwd && errno)
3982   exim_fail("exim: getting initial cwd failed: %s\n", strerror(errno));
3983
3984 if (initial_cwd && (strlen(CCS initial_cwd) >= BIG_BUFFER_SIZE))
3985   exim_fail("exim: initial cwd is far too long (%d)\n", Ustrlen(CCS initial_cwd));
3986
3987 /* checking:
3988     -be[m] expansion test        -
3989     -b[fF] filter test           new
3990     -bh[c] host test             -
3991     -bmalware malware_test_file  new
3992     -brt   retry test            new
3993     -brw   rewrite test          new
3994     -bt    address test          -
3995     -bv[s] address verify        -
3996    list_options:
3997     -bP <option> (except -bP config, which sets list_config)
3998
3999 If any of these options is set, we suppress warnings about configuration
4000 issues (currently about tls_advertise_hosts and keep_environment not being
4001 defined) */
4002
4003   {
4004   int old_pool = store_pool;
4005 #ifdef MEASURE_TIMING
4006   struct timeval t0, diff;
4007   (void)gettimeofday(&t0, NULL);
4008 #endif
4009
4010   store_pool = POOL_CONFIG;
4011   readconf_main(checking || list_options);
4012   store_pool = old_pool;
4013
4014 #ifdef MEASURE_TIMING
4015   report_time_since(&t0, US"readconf_main (delta)");
4016 #endif
4017   }
4018
4019 /* Now in directory "/" */
4020
4021 if (cleanup_environment() == FALSE)
4022   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
4023
4024
4025 /* If an action on specific messages is requested, or if a daemon or queue
4026 runner is being started, we need to know if Exim was called by an admin user.
4027 This is the case if the real user is root or exim, or if the real group is
4028 exim, or if one of the supplementary groups is exim or a group listed in
4029 admin_groups. We don't fail all message actions immediately if not admin_user,
4030 since some actions can be performed by non-admin users. Instead, set admin_user
4031 for later interrogation. */
4032
4033 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
4034   f.admin_user = TRUE;
4035 else
4036   for (int i = 0; i < group_count && !f.admin_user; i++)
4037     if (group_list[i] == exim_gid)
4038       f.admin_user = TRUE;
4039     else if (admin_groups)
4040       for (int j = 1; j <= (int)admin_groups[0] && !f.admin_user; j++)
4041         if (admin_groups[j] == group_list[i])
4042           f.admin_user = TRUE;
4043
4044 /* Another group of privileged users are the trusted users. These are root,
4045 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
4046 are permitted to specify sender_addresses with -f on the command line, and
4047 other message parameters as well. */
4048
4049 if (real_uid == root_uid || real_uid == exim_uid)
4050   f.trusted_caller = TRUE;
4051 else
4052   {
4053   if (trusted_users)
4054     for (int i = 1; i <= (int)trusted_users[0] && !f.trusted_caller; i++)
4055       if (trusted_users[i] == real_uid)
4056         f.trusted_caller = TRUE;
4057
4058   if (trusted_groups)
4059     for (int i = 1; i <= (int)trusted_groups[0] && !f.trusted_caller; i++)
4060       if (trusted_groups[i] == real_gid)
4061         f.trusted_caller = TRUE;
4062       else for (int j = 0; j < group_count && !f.trusted_caller; j++)
4063         if (trusted_groups[i] == group_list[j])
4064           f.trusted_caller = TRUE;
4065   }
4066
4067 /* At this point, we know if the user is privileged and some command-line
4068 options become possibly impermissible, depending upon the configuration file. */
4069
4070 if (checking && commandline_checks_require_admin && !f.admin_user)
4071   exim_fail("exim: those command-line flags are set to require admin\n");
4072
4073 /* Handle the decoding of logging options. */
4074
4075 decode_bits(log_selector, log_selector_size, log_notall,
4076   log_selector_string, log_options, log_options_count, US"log", 0);
4077
4078 DEBUG(D_any)
4079   {
4080   debug_printf("configuration file is %s\n", config_main_filename);
4081   debug_printf("log selectors =");
4082   for (int i = 0; i < log_selector_size; i++)
4083     debug_printf(" %08x", log_selector[i]);
4084   debug_printf("\n");
4085   }
4086
4087 /* If domain literals are not allowed, check the sender address that was
4088 supplied with -f. Ditto for a stripped trailing dot. */
4089
4090 if (sender_address)
4091   {
4092   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
4093     exim_fail("exim: bad -f address \"%s\": domain literals not "
4094       "allowed\n", sender_address);
4095   if (f_end_dot && !strip_trailing_dot)
4096     exim_fail("exim: bad -f address \"%s.\": domain is malformed "
4097       "(trailing dot not allowed)\n", sender_address);
4098   }
4099
4100 /* See if an admin user overrode our logging. */
4101
4102 if (cmdline_syslog_name)
4103   if (f.admin_user)
4104     {
4105     syslog_processname = cmdline_syslog_name;
4106     log_file_path = string_copy(CUS"syslog");
4107     }
4108   else
4109     /* not a panic, non-privileged users should not be able to spam paniclog */
4110     exim_fail(
4111         "exim: you lack sufficient privilege to specify syslog process name\n");
4112
4113 /* Paranoia check of maximum lengths of certain strings. There is a check
4114 on the length of the log file path in log.c, which will come into effect
4115 if there are any calls to write the log earlier than this. However, if we
4116 get this far but the string is very long, it is better to stop now than to
4117 carry on and (e.g.) receive a message and then have to collapse. The call to
4118 log_write() from here will cause the ultimate panic collapse if the complete
4119 file name exceeds the buffer length. */
4120
4121 if (Ustrlen(log_file_path) > 200)
4122   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4123     "log_file_path is longer than 200 chars: aborting");
4124
4125 if (Ustrlen(pid_file_path) > 200)
4126   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4127     "pid_file_path is longer than 200 chars: aborting");
4128
4129 if (Ustrlen(spool_directory) > 200)
4130   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4131     "spool_directory is longer than 200 chars: aborting");
4132
4133 /* Length check on the process name given to syslog for its TAG field,
4134 which is only permitted to be 32 characters or less. See RFC 3164. */
4135
4136 if (Ustrlen(syslog_processname) > 32)
4137   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4138     "syslog_processname is longer than 32 chars: aborting");
4139
4140 if (log_oneline)
4141   if (f.admin_user)
4142     {
4143     log_write(0, LOG_MAIN, "%s", log_oneline);
4144     return EXIT_SUCCESS;
4145     }
4146   else
4147     return EXIT_FAILURE;
4148
4149 /* In some operating systems, the environment variable TMPDIR controls where
4150 temporary files are created; Exim doesn't use these (apart from when delivering
4151 to MBX mailboxes), but called libraries such as DBM libraries may require them.
4152 If TMPDIR is found in the environment, reset it to the value defined in the
4153 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
4154 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
4155 EXIM_TMPDIR by the build scripts.
4156 */
4157
4158 #ifdef EXIM_TMPDIR
4159   if (environ) for (uschar ** p = USS environ; *p; p++)
4160     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
4161       {
4162       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
4163       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
4164       *p = newp;
4165       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
4166       }
4167 #endif
4168
4169 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
4170 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
4171 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4172 called by a user who has set the TZ variable. This then affects the timestamps
4173 in log files and in Received: headers, and any created Date: header lines. The
4174 required timezone is settable in the configuration file, so nothing can be done
4175 about this earlier - but hopefully nothing will normally be logged earlier than
4176 this. We have to make a new environment if TZ is wrong, but don't bother if
4177 timestamps_utc is set, because then all times are in UTC anyway. */
4178
4179 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4180   f.timestamps_utc = TRUE;
4181 else
4182   {
4183   uschar *envtz = US getenv("TZ");
4184   if (envtz
4185       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4186       : timezone_string != NULL
4187      )
4188     {
4189     uschar **p = USS environ;
4190     uschar **new;
4191     uschar **newp;
4192     int count = 0;
4193     if (environ) while (*p++) count++;
4194     if (!envtz) count++;
4195     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4196     if (environ) for (p = USS environ; *p; p++)
4197       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4198     if (timezone_string)
4199       {
4200       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4201       sprintf(CS *newp++, "TZ=%s", timezone_string);
4202       }
4203     *newp = NULL;
4204     environ = CSS new;
4205     tzset();
4206     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4207       tod_stamp(tod_log));
4208     }
4209   }
4210
4211 /* Handle the case when we have removed the setuid privilege because of -C or
4212 -D. This means that the caller of Exim was not root.
4213
4214 There is a problem if we were running as the Exim user. The sysadmin may
4215 expect this case to retain privilege because "the binary was called by the
4216 Exim user", but it hasn't, because either the -D option set macros, or the
4217 -C option set a non-trusted configuration file. There are two possibilities:
4218
4219   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4220       to do message deliveries. Thus, the fact that it is running as a
4221       non-privileged user is plausible, and might be wanted in some special
4222       configurations. However, really_exim will have been set false when
4223       privilege was dropped, to stop Exim trying to write to its normal log
4224       files. Therefore, re-enable normal log processing, assuming the sysadmin
4225       has set up the log directory correctly.
4226
4227   (2) If deliver_drop_privilege is not set, the configuration won't work as
4228       apparently intended, and so we log a panic message. In order to retain
4229       root for -C or -D, the caller must either be root or be invoking a
4230       trusted configuration file (when deliver_drop_privilege is false). */
4231
4232 if (  removed_privilege
4233    && (!f.trusted_config || opt_D_used)
4234    && real_uid == exim_uid)
4235   if (deliver_drop_privilege)
4236     f.really_exim = TRUE; /* let logging work normally */
4237   else
4238     log_write(0, LOG_MAIN|LOG_PANIC,
4239       "exim user lost privilege for using %s option",
4240       f.trusted_config? "-D" : "-C");
4241
4242 /* Start up Perl interpreter if Perl support is configured and there is a
4243 perl_startup option, and the configuration or the command line specifies
4244 initializing starting. Note that the global variables are actually called
4245 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4246
4247 #ifdef EXIM_PERL
4248 if (perl_start_option != 0)
4249   opt_perl_at_start = (perl_start_option > 0);
4250 if (opt_perl_at_start && opt_perl_startup != NULL)
4251   {
4252   uschar *errstr;
4253   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4254   if ((errstr = init_perl(opt_perl_startup)))
4255     exim_fail("exim: error in perl_startup code: %s\n", errstr);
4256   opt_perl_started = TRUE;
4257   }
4258 #endif /* EXIM_PERL */
4259
4260 /* Log the arguments of the call if the configuration file said so. This is
4261 a debugging feature for finding out what arguments certain MUAs actually use.
4262 Don't attempt it if logging is disabled, or if listing variables or if
4263 verifying/testing addresses or expansions. */
4264
4265 if (  (debug_selector & D_any  ||  LOGGING(arguments))
4266    && f.really_exim && !list_options && !checking)
4267   {
4268   uschar *p = big_buffer;
4269   Ustrcpy(p, US"cwd= (failed)");
4270
4271   if (!initial_cwd)
4272     p += 13;
4273   else
4274     {
4275     p += 4;
4276     snprintf(CS p, big_buffer_size - (p - big_buffer), "%s", CCS initial_cwd);
4277     p += Ustrlen(CCS p);
4278     }
4279
4280   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4281   while (*p) p++;
4282   for (int i = 0; i < argc; i++)
4283     {
4284     int len = Ustrlen(argv[i]);
4285     const uschar *printing;
4286     uschar *quote;
4287     if (p + len + 8 >= big_buffer + big_buffer_size)
4288       {
4289       Ustrcpy(p, US" ...");
4290       log_write(0, LOG_MAIN, "%s", big_buffer);
4291       Ustrcpy(big_buffer, US"...");
4292       p = big_buffer + 3;
4293       }
4294     printing = string_printing(argv[i]);
4295     if (!*printing) quote = US"\"";
4296     else
4297       {
4298       const uschar *pp = printing;
4299       quote = US"";
4300       while (*pp) if (isspace(*pp++)) { quote = US"\""; break; }
4301       }
4302     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4303       (p - big_buffer) - 4), printing, quote);
4304     }
4305
4306   if (LOGGING(arguments))
4307     log_write(0, LOG_MAIN, "%s", big_buffer);
4308   else
4309     debug_printf("%s\n", big_buffer);
4310   }
4311
4312 /* Set the working directory to be the top-level spool directory. We don't rely
4313 on this in the code, which always uses fully qualified names, but it's useful
4314 for core dumps etc. Don't complain if it fails - the spool directory might not
4315 be generally accessible and calls with the -C option (and others) have lost
4316 privilege by now. Before the chdir, we try to ensure that the directory exists.
4317 */
4318
4319 if (Uchdir(spool_directory) != 0)
4320   {
4321   (void) directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4322   (void) Uchdir(spool_directory);
4323   }
4324
4325 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4326 alias file. Exim doesn't have such a concept, but this call is screwed into
4327 Sun's YP makefiles. Handle this by calling a configured script, as the real
4328 user who called Exim. The -oA option can be used to pass an argument to the
4329 script. */
4330
4331 if (bi_option)
4332   {
4333   (void) fclose(config_file);
4334   if (bi_command && *bi_command)
4335     {
4336     int i = 0;
4337     uschar *argv[3];
4338     argv[i++] = bi_command;
4339     if (alias_arg) argv[i++] = alias_arg;
4340     argv[i++] = NULL;
4341
4342     setgroups(group_count, group_list);
4343     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4344
4345     DEBUG(D_exec) debug_printf("exec '%.256s' %s%.256s%s\n", argv[0],
4346       argv[1] ? "'" : "", argv[1] ? argv[1] : US"", argv[1] ? "'" : "");
4347
4348     execv(CS argv[0], (char *const *)argv);
4349     exim_fail("exim: exec '%s' failed: %s\n", argv[0], strerror(errno));
4350     }
4351   else
4352     {
4353     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4354     exit(EXIT_SUCCESS);
4355     }
4356   }
4357
4358 /* We moved the admin/trusted check to be immediately after reading the
4359 configuration file.  We leave these prints here to ensure that syslog setup,
4360 logfile setup, and so on has already happened. */
4361
4362 if (f.trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4363 if (f.admin_user) DEBUG(D_any) debug_printf("admin user\n");
4364
4365 /* Only an admin user may start the daemon or force a queue run in the default
4366 configuration, but the queue run restriction can be relaxed. Only an admin
4367 user may request that a message be returned to its sender forthwith. Only an
4368 admin user may specify a debug level greater than D_v (because it might show
4369 passwords, etc. in lookup queries). Only an admin user may request a queue
4370 count. Only an admin user can use the test interface to scan for email
4371 (because Exim will be in the spool dir and able to look at mails). */
4372
4373 if (!f.admin_user)
4374   {
4375   BOOL debugset = (debug_selector & ~D_v) != 0;
4376   if (  deliver_give_up || f.daemon_listen || malware_test_file
4377      || count_queue && queue_list_requires_admin
4378      || list_queue && queue_list_requires_admin
4379      || queue_interval >= 0 && prod_requires_admin
4380      || queue_name_dest && prod_requires_admin
4381      || debugset && !f.running_in_test_harness
4382      )
4383     exim_fail("exim:%s permission denied\n", debugset ? " debugging" : "");
4384   }
4385
4386 /* If the real user is not root or the exim uid, the argument for passing
4387 in an open TCP/IP connection for another message is not permitted, nor is
4388 running with the -N option for any delivery action, unless this call to exim is
4389 one that supplied an input message, or we are using a patched exim for
4390 regression testing. */
4391
4392 if (  real_uid != root_uid && real_uid != exim_uid
4393    && (  continue_hostname
4394       || (  f.dont_deliver
4395          && (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
4396       )  )
4397    && !f.running_in_test_harness
4398    )
4399   exim_fail("exim: Permission denied\n");
4400
4401 /* If the caller is not trusted, certain arguments are ignored when running for
4402 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4403 Note that authority for performing certain actions on messages is tested in the
4404 queue_action() function. */
4405
4406 if (!f.trusted_caller && !checking)
4407   {
4408   sender_host_name = sender_host_address = interface_address =
4409     sender_ident = received_protocol = NULL;
4410   sender_host_port = interface_port = 0;
4411   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4412   }
4413
4414 /* If a sender host address is set, extract the optional port number off the
4415 end of it and check its syntax. Do the same thing for the interface address.
4416 Exim exits if the syntax is bad. */
4417
4418 else
4419   {
4420   if (sender_host_address)
4421     sender_host_port = check_port(sender_host_address);
4422   if (interface_address)
4423     interface_port = check_port(interface_address);
4424   }
4425
4426 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4427 if (flag_G)
4428   {
4429   if (f.trusted_caller)
4430     {
4431     f.suppress_local_fixups = f.suppress_local_fixups_default = TRUE;
4432     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4433     }
4434   else
4435     exim_fail("exim: permission denied (-G requires a trusted user)\n");
4436   }
4437
4438 /* If an SMTP message is being received check to see if the standard input is a
4439 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4440 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4441 barf. */
4442
4443 if (smtp_input)
4444   {
4445   union sockaddr_46 inetd_sock;
4446   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4447   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4448     {
4449     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4450     if (family == AF_INET || family == AF_INET6)
4451       {
4452       union sockaddr_46 interface_sock;
4453       size = sizeof(interface_sock);
4454
4455       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4456         interface_address = host_ntoa(-1, &interface_sock, NULL,
4457           &interface_port);
4458
4459       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4460
4461       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4462         {
4463         f.is_inetd = TRUE;
4464         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4465           NULL, &sender_host_port);
4466         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4467           "inetd is not supported when mua_wrapper is set");
4468         }
4469       else
4470         exim_fail(
4471           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4472       }
4473     }
4474   }
4475
4476 /* If the load average is going to be needed while receiving a message, get it
4477 now for those OS that require the first call to os_getloadavg() to be done as
4478 root. There will be further calls later for each message received. */
4479
4480 #ifdef LOAD_AVG_NEEDS_ROOT
4481 if (  receiving_message
4482    && (queue_only_load >= 0 || (f.is_inetd && smtp_load_reserve >= 0)))
4483   load_average = OS_GETLOADAVG();
4484 #endif
4485
4486 /* The queue_only configuration option can be overridden by -odx on the command
4487 line, except that if queue_only_override is false, queue_only cannot be unset
4488 from the command line. */
4489
4490 if (queue_only_set && (queue_only_override || arg_queue_only))
4491   queue_only = arg_queue_only;
4492
4493 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4494 -or and -os. */
4495
4496 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4497 if (arg_smtp_receive_timeout >= 0)
4498   smtp_receive_timeout = arg_smtp_receive_timeout;
4499
4500 /* If Exim was started with root privilege, unless we have already removed the
4501 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4502 except when starting the daemon or doing some kind of delivery or address
4503 testing (-bt). These are the only cases when root need to be retained. We run
4504 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4505 retained only for starting the daemon. We always do the initgroups() in this
4506 situation (controlled by the TRUE below), in order to be as close as possible
4507 to the state Exim usually runs in. */
4508
4509 if (  !unprivileged                             /* originally had root AND */
4510    && !removed_privilege                        /* still got root AND      */
4511    && !f.daemon_listen                          /* not starting the daemon */
4512    && queue_interval <= 0                       /* (either kind of daemon) */
4513    && (                                         /*    AND EITHER           */
4514          deliver_drop_privilege                 /* requested unprivileged  */
4515       || (                                      /*       OR                */
4516             queue_interval < 0                  /* not running the queue   */
4517          && (  msg_action_arg < 0               /*       and               */
4518             || msg_action != MSG_DELIVER        /* not delivering          */
4519             )                                   /*       and               */
4520          && (!checking || !f.address_test_mode) /* not address checking    */
4521          && !rcpt_verify_quota                  /* and not quota checking  */
4522    )  )  )
4523   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4524
4525 /* When we are retaining a privileged uid, we still change to the exim gid. */
4526
4527 else
4528   {
4529   int rv;
4530   DEBUG(D_any) debug_printf("dropping to exim gid; retaining priv uid\n");
4531   rv = setgid(exim_gid);
4532   /* Impact of failure is that some stuff might end up with an incorrect group.
4533   We track this for failures from root, since any attempt to change privilege
4534   by root should succeed and failures should be examined.  For non-root,
4535   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4536   no need to complain then. */
4537   if (rv == -1)
4538     if (!(unprivileged || removed_privilege))
4539       exim_fail("exim: changing group failed: %s\n", strerror(errno));
4540     else
4541       {
4542       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4543           (long int)exim_gid, strerror(errno));
4544       }
4545   }
4546
4547 /* Handle a request to scan a file for malware */
4548 if (malware_test_file)
4549   {
4550 #ifdef WITH_CONTENT_SCAN
4551   int result;
4552   set_process_info("scanning file for malware");
4553   if ((result = malware_in_file(malware_test_file)) == FAIL)
4554     {
4555     printf("No malware found.\n");
4556     exit(EXIT_SUCCESS);
4557     }
4558   if (result != OK)
4559     {
4560     printf("Malware lookup returned non-okay/fail: %d\n", result);
4561     exit(EXIT_FAILURE);
4562     }
4563   if (malware_name)
4564     printf("Malware found: %s\n", malware_name);
4565   else
4566     printf("Malware scan detected malware of unknown name.\n");
4567 #else
4568   printf("Malware scanning not enabled at compile time.\n");
4569 #endif
4570   exit(EXIT_FAILURE);
4571   }
4572
4573 /* Handle a request to list the delivery queue */
4574
4575 if (list_queue)
4576   {
4577   set_process_info("listing the queue");
4578   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4579   exit(EXIT_SUCCESS);
4580   }
4581
4582 /* Handle a request to count the delivery queue */
4583
4584 if (count_queue)
4585   {
4586   set_process_info("counting the queue");
4587   fprintf(stdout, "%u\n", queue_count());
4588   exit(EXIT_SUCCESS);
4589   }
4590
4591 /* Handle actions on specific messages, except for the force delivery and
4592 message load actions, which are done below. Some actions take a whole list of
4593 message ids, which are known to continue up to the end of the arguments. Others
4594 take a single message id and then operate on the recipients list. */
4595
4596 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4597   {
4598   int yield = EXIT_SUCCESS;
4599   set_process_info("acting on specified messages");
4600
4601   /* ACL definitions may be needed when removing a message (-Mrm) because
4602   event_action gets expanded */
4603
4604   if (msg_action == MSG_REMOVE)
4605     {
4606     int old_pool = store_pool;
4607     store_pool = POOL_CONFIG;
4608     readconf_rest();
4609     store_pool = old_pool;
4610     store_writeprotect(POOL_CONFIG);
4611     }
4612
4613   if (!one_msg_action)
4614     {
4615     for (i = msg_action_arg; i < argc; i++)
4616       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4617         yield = EXIT_FAILURE;
4618     switch (msg_action)
4619       {
4620       case MSG_REMOVE: case MSG_FREEZE: case MSG_THAW: break;
4621       default: printf("\n"); break;
4622       }
4623     }
4624
4625   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4626     recipients_arg)) yield = EXIT_FAILURE;
4627   exit(yield);
4628   }
4629
4630 /* We used to set up here to skip reading the ACL section, on
4631  (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
4632 Now, since the intro of the ${acl } expansion, ACL definitions may be
4633 needed in transports so we lost the optimisation. */
4634
4635   {
4636   int old_pool = store_pool;
4637 #ifdef MEASURE_TIMING
4638   struct timeval t0, diff;
4639   (void)gettimeofday(&t0, NULL);
4640 #endif
4641
4642   store_pool = POOL_CONFIG;
4643   readconf_rest();
4644   store_pool = old_pool;
4645
4646   /* -be can add macro definitions, needing to link to the macro structure
4647   chain.  Otherwise, make the memory used for config data readonly. */
4648
4649   if (!expansion_test)
4650     store_writeprotect(POOL_CONFIG);
4651
4652 #ifdef MEASURE_TIMING
4653   report_time_since(&t0, US"readconf_rest (delta)");
4654 #endif
4655   }
4656
4657 /* Handle a request to check quota */
4658 if (rcpt_verify_quota)
4659   if (real_uid != root_uid && real_uid != exim_uid)
4660     exim_fail("exim: Permission denied\n");
4661   else if (recipients_arg >= argc)
4662     exim_fail("exim: missing recipient for quota check\n");
4663   else
4664     {
4665     verify_quota(argv[recipients_arg]);
4666     exim_exit(EXIT_SUCCESS);
4667     }
4668
4669 /* Handle the -brt option. This is for checking out retry configurations.
4670 The next three arguments are a domain name or a complete address, and
4671 optionally two error numbers. All it does is to call the function that
4672 scans the retry configuration data. */
4673
4674 if (test_retry_arg >= 0)
4675   {
4676   retry_config *yield;
4677   int basic_errno = 0;
4678   int more_errno = 0;
4679   const uschar *s1, *s2;
4680
4681   if (test_retry_arg >= argc)
4682     {
4683     printf("-brt needs a domain or address argument\n");
4684     exim_exit(EXIT_FAILURE);
4685     }
4686   s1 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_EMAILADDR_MAX, "-brt");
4687   s2 = NULL;
4688
4689   /* If the first argument contains no @ and no . it might be a local user
4690   or it might be a single-component name. Treat as a domain. */
4691
4692   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4693     {
4694     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4695       "being \ntreated as a one-component domain, not as a local part.\n\n",
4696       s1);
4697     }
4698
4699   /* There may be an optional second domain arg. */
4700
4701   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4702     s2 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_DOMAINNAME_MAX, "-brt 2nd");
4703
4704   /* The final arg is an error name */
4705
4706   if (test_retry_arg < argc)
4707     {
4708     const uschar *ss = exim_str_fail_toolong(argv[test_retry_arg], EXIM_DRIVERNAME_MAX, "-brt 3rd");
4709     uschar *error =
4710       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4711     if (error != NULL)
4712       {
4713       printf("%s\n", CS error);
4714       return EXIT_FAILURE;
4715       }
4716
4717     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4718     code > 100 as an error is for matching codes to the decade. Turn them into
4719     a real error code, off the decade. */
4720
4721     if (basic_errno == ERRNO_MAIL4XX ||
4722         basic_errno == ERRNO_RCPT4XX ||
4723         basic_errno == ERRNO_DATA4XX)
4724       {
4725       int code = (more_errno >> 8) & 255;
4726       if (code == 255)
4727         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4728       else if (code > 100)
4729         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4730       }
4731     }
4732
4733   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4734     printf("No retry information found\n");
4735   else
4736     {
4737     more_errno = yield->more_errno;
4738     printf("Retry rule: %s  ", yield->pattern);
4739
4740     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4741       {
4742       printf("quota%s%s  ",
4743         (more_errno > 0)? "_" : "",
4744         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4745       }
4746     else if (yield->basic_errno == ECONNREFUSED)
4747       {
4748       printf("refused%s%s  ",
4749         (more_errno > 0)? "_" : "",
4750         (more_errno == 'M')? "MX" :
4751         (more_errno == 'A')? "A" : "");
4752       }
4753     else if (yield->basic_errno == ETIMEDOUT)
4754       {
4755       printf("timeout");
4756       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4757       more_errno &= 255;
4758       if (more_errno != 0) printf("_%s",
4759         (more_errno == 'M')? "MX" : "A");
4760       printf("  ");
4761       }
4762     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4763       printf("auth_failed  ");
4764     else printf("*  ");
4765
4766     for (retry_rule * r = yield->rules; r; r = r->next)
4767       {
4768       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4769       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4770       if (r->rule == 'G')
4771         {
4772         int x = r->p2;
4773         int f = x % 1000;
4774         int d = 100;
4775         printf(",%d.", x/1000);
4776         do
4777           {
4778           printf("%d", f/d);
4779           f %= d;
4780           d /= 10;
4781           }
4782         while (f != 0);
4783         }
4784       printf("; ");
4785       }
4786
4787     printf("\n");
4788     }
4789   exim_exit(EXIT_SUCCESS);
4790   }
4791
4792 /* Handle a request to list one or more configuration options */
4793 /* If -n was set, we suppress some information */
4794
4795 if (list_options)
4796   {
4797   BOOL fail = FALSE;
4798   set_process_info("listing variables");
4799   if (recipients_arg >= argc)
4800     fail = !readconf_print(US"all", NULL, flag_n);
4801   else for (i = recipients_arg; i < argc; i++)
4802     {
4803     if (i < argc - 1 &&
4804         (Ustrcmp(argv[i], "router") == 0 ||
4805          Ustrcmp(argv[i], "transport") == 0 ||
4806          Ustrcmp(argv[i], "authenticator") == 0 ||
4807          Ustrcmp(argv[i], "macro") == 0 ||
4808          Ustrcmp(argv[i], "environment") == 0))
4809       {
4810       fail |= !readconf_print(exim_str_fail_toolong(argv[i+1], EXIM_DRIVERNAME_MAX, "-bP name"), argv[i], flag_n);
4811       i++;
4812       }
4813     else
4814       fail = !readconf_print(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-bP item"), NULL, flag_n);
4815     }
4816   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS);
4817   }
4818
4819 if (list_config)
4820   {
4821   set_process_info("listing config");
4822   exim_exit(readconf_print(US"config", NULL, flag_n)
4823                 ? EXIT_SUCCESS : EXIT_FAILURE);
4824   }
4825
4826
4827 /* Initialise subsystems as required. */
4828
4829 tcp_init();
4830
4831 /* Handle a request to deliver one or more messages that are already on the
4832 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4833 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4834
4835 Delivery of specific messages is typically used for a small number when
4836 prodding by hand (when the option forced_delivery will be set) or when
4837 re-execing to regain root privilege. Each message delivery must happen in a
4838 separate process, so we fork a process for each one, and run them sequentially
4839 so that debugging output doesn't get intertwined, and to avoid spawning too
4840 many processes if a long list is given. However, don't fork for the last one;
4841 this saves a process in the common case when Exim is called to deliver just one
4842 message. */
4843
4844 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4845   {
4846   if (prod_requires_admin && !f.admin_user)
4847     {
4848     fprintf(stderr, "exim: Permission denied\n");
4849     exim_exit(EXIT_FAILURE);
4850     }
4851   set_process_info("delivering specified messages");
4852   if (deliver_give_up) forced_delivery = f.deliver_force_thaw = TRUE;
4853   for (i = msg_action_arg; i < argc; i++)
4854     {
4855     int status;
4856     pid_t pid;
4857     /*XXX This use of argv[i] for msg_id should really be tainted, but doing
4858     that runs into a later copy into the untainted global message_id[] */
4859     /*XXX Do we need a length limit check here? */
4860     if (i == argc - 1)
4861       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4862     else if ((pid = exim_fork(US"cmdline-delivery")) == 0)
4863       {
4864       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4865       exim_underbar_exit(EXIT_SUCCESS);
4866       }
4867     else if (pid < 0)
4868       {
4869       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4870         strerror(errno));
4871       exim_exit(EXIT_FAILURE);
4872       }
4873     else wait(&status);
4874     }
4875   exim_exit(EXIT_SUCCESS);
4876   }
4877
4878
4879 /* If only a single queue run is requested, without SMTP listening, we can just
4880 turn into a queue runner, with an optional starting message id. */
4881
4882 if (queue_interval == 0 && !f.daemon_listen)
4883   {
4884   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4885     start_queue_run_id ? US" starting at " : US"",
4886     start_queue_run_id ? start_queue_run_id: US"",
4887     stop_queue_run_id ?  US" stopping at " : US"",
4888     stop_queue_run_id ?  stop_queue_run_id : US"");
4889   if (*queue_name)
4890     set_process_info("running the '%s' queue (single queue run)", queue_name);
4891   else
4892     set_process_info("running the queue (single queue run)");
4893   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4894   exim_exit(EXIT_SUCCESS);
4895   }
4896
4897
4898 /* Find the login name of the real user running this process. This is always
4899 needed when receiving a message, because it is written into the spool file. It
4900 may also be used to construct a from: or a sender: header, and in this case we
4901 need the user's full name as well, so save a copy of it, checked for RFC822
4902 syntax and munged if necessary, if it hasn't previously been set by the -F
4903 argument. We may try to get the passwd entry more than once, in case NIS or
4904 other delays are in evidence. Save the home directory for use in filter testing
4905 (only). */
4906
4907 for (i = 0;;)
4908   {
4909   if ((pw = getpwuid(real_uid)) != NULL)
4910     {
4911     originator_login = string_copy(US pw->pw_name);
4912     originator_home = string_copy(US pw->pw_dir);
4913
4914     /* If user name has not been set by -F, set it from the passwd entry
4915     unless -f has been used to set the sender address by a trusted user. */
4916
4917     if (!originator_name)
4918       {
4919       if (!sender_address || (!f.trusted_caller && filter_test == FTEST_NONE))
4920         {
4921         uschar *name = US pw->pw_gecos;
4922         uschar *amp = Ustrchr(name, '&');
4923         uschar buffer[256];
4924
4925         /* Most Unix specify that a '&' character in the gecos field is
4926         replaced by a copy of the login name, and some even specify that
4927         the first character should be upper cased, so that's what we do. */
4928
4929         if (amp)
4930           {
4931           int loffset;
4932           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4933             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4934           buffer[loffset] = toupper(buffer[loffset]);
4935           name = buffer;
4936           }
4937
4938         /* If a pattern for matching the gecos field was supplied, apply
4939         it and then expand the name string. */
4940
4941         if (gecos_pattern && gecos_name)
4942           {
4943           const pcre2_code *re;
4944           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4945
4946           if (regex_match_and_setup(re, name, 0, -1))
4947             {
4948             uschar *new_name = expand_string(gecos_name);
4949             expand_nmax = -1;
4950             if (new_name)
4951               {
4952               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4953                 "gecos field \"%s\"\n", new_name, name);
4954               name = new_name;
4955               }
4956             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4957               "\"%s\": %s\n", gecos_name, expand_string_message);
4958             }
4959           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4960             "gecos field \"%s\"\n", gecos_pattern, name);
4961           store_free((void *)re);
4962           }
4963         originator_name = string_copy(name);
4964         }
4965
4966       /* A trusted caller has used -f but not -F */
4967
4968       else originator_name = US"";
4969       }
4970
4971     /* Break the retry loop */
4972
4973     break;
4974     }
4975
4976   if (++i > finduser_retries) break;
4977   sleep(1);
4978   }
4979
4980 /* If we cannot get a user login, log the incident and give up, unless the
4981 configuration specifies something to use. When running in the test harness,
4982 any setting of unknown_login overrides the actual name. */
4983
4984 if (!originator_login || f.running_in_test_harness)
4985   {
4986   if (unknown_login)
4987     {
4988     originator_login = expand_string(unknown_login);
4989     if (!originator_name && unknown_username)
4990       originator_name = expand_string(unknown_username);
4991     if (!originator_name) originator_name = US"";
4992     }
4993   if (!originator_login)
4994     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4995       (int)real_uid);
4996   }
4997
4998 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4999 RFC822 address.*/
5000
5001 originator_name = US parse_fix_phrase(originator_name, Ustrlen(originator_name));
5002
5003 /* If a message is created by this call of Exim, the uid/gid of its originator
5004 are those of the caller. These values are overridden if an existing message is
5005 read in from the spool. */
5006
5007 originator_uid = real_uid;
5008 originator_gid = real_gid;
5009
5010 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
5011   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
5012
5013 /* Run in daemon and/or queue-running mode. The function daemon_go() never
5014 returns. We leave this till here so that the originator_ fields are available
5015 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
5016 mode. */
5017
5018 if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
5019   {
5020   if (mua_wrapper)
5021     {
5022     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
5023     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
5024       "mua_wrapper is set");
5025     }
5026
5027 # ifndef DISABLE_TLS
5028   /* This also checks that the library linkage is working and we can call
5029   routines in it, so call even if tls_require_ciphers is unset */
5030     {
5031 # ifdef MEASURE_TIMING
5032     struct timeval t0, diff;
5033     (void)gettimeofday(&t0, NULL);
5034 # endif
5035     if (!tls_dropprivs_validate_require_cipher(FALSE))
5036       exit(1);
5037 # ifdef MEASURE_TIMING
5038     report_time_since(&t0, US"validate_ciphers (delta)");
5039 # endif
5040     }
5041 #endif
5042
5043   daemon_go();
5044   }
5045
5046 /* If the sender ident has not been set (by a trusted caller) set it to
5047 the caller. This will get overwritten below for an inetd call. If a trusted
5048 caller has set it empty, unset it. */
5049
5050 if (!sender_ident) sender_ident = originator_login;
5051 else if (!*sender_ident) sender_ident = NULL;
5052
5053 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
5054 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
5055 originator_* variables set. */
5056
5057 if (test_rewrite_arg >= 0)
5058   {
5059   f.really_exim = FALSE;
5060   if (test_rewrite_arg >= argc)
5061     {
5062     printf("-brw needs an address argument\n");
5063     exim_exit(EXIT_FAILURE);
5064     }
5065   rewrite_test(exim_str_fail_toolong(argv[test_rewrite_arg], EXIM_EMAILADDR_MAX, "-brw"));
5066   exim_exit(EXIT_SUCCESS);
5067   }
5068
5069 /* A locally-supplied message is considered to be coming from a local user
5070 unless a trusted caller supplies a sender address with -f, or is passing in the
5071 message via SMTP (inetd invocation or otherwise). */
5072
5073 if (  !sender_address && !smtp_input
5074    || !f.trusted_caller && filter_test == FTEST_NONE)
5075   {
5076   f.sender_local = TRUE;
5077
5078   /* A trusted caller can supply authenticated_sender and authenticated_id
5079   via -oMas and -oMai and if so, they will already be set. Otherwise, force
5080   defaults except when host checking. */
5081
5082   if (!authenticated_sender && !host_checking)
5083     authenticated_sender = string_sprintf("%s@%s", originator_login,
5084       qualify_domain_sender);
5085   if (!authenticated_id && !host_checking)
5086     authenticated_id = originator_login;
5087   }
5088
5089 /* Trusted callers are always permitted to specify the sender address.
5090 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
5091 is specified is the empty address. However, if a trusted caller does not
5092 specify a sender address for SMTP input, we leave sender_address unset. This
5093 causes the MAIL commands to be honoured. */
5094
5095 if (  !smtp_input && !sender_address
5096    || !receive_check_set_sender(sender_address))
5097   {
5098   /* Either the caller is not permitted to set a general sender, or this is
5099   non-SMTP input and the trusted caller has not set a sender. If there is no
5100   sender, or if a sender other than <> is set, override with the originator's
5101   login (which will get qualified below), except when checking things. */
5102
5103   if (  !sender_address                  /* No sender_address set */
5104      ||                                  /*         OR            */
5105        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
5106        !checking))                       /* Not running tests, including filter tests */
5107     {
5108     sender_address = originator_login;
5109     f.sender_address_forced = FALSE;
5110     sender_address_domain = 0;
5111     }
5112   }
5113
5114 /* Remember whether an untrusted caller set the sender address */
5115
5116 f.sender_set_untrusted = sender_address != originator_login && !f.trusted_caller;
5117
5118 /* Ensure that the sender address is fully qualified unless it is the empty
5119 address, which indicates an error message, or doesn't exist (root caller, smtp
5120 interface, no -f argument). */
5121
5122 if (sender_address && *sender_address && sender_address_domain == 0)
5123   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
5124     qualify_domain_sender);
5125
5126 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
5127
5128 /* Handle a request to verify a list of addresses, or test them for delivery.
5129 This must follow the setting of the sender address, since routers can be
5130 predicated upon the sender. If no arguments are given, read addresses from
5131 stdin. Set debug_level to at least D_v to get full output for address testing.
5132 */
5133
5134 if (verify_address_mode || f.address_test_mode)
5135   {
5136   int exit_value = 0;
5137   int flags = vopt_qualify;
5138
5139   if (verify_address_mode)
5140     {
5141     if (!verify_as_sender) flags |= vopt_is_recipient;
5142     DEBUG(D_verify) debug_print_ids(US"Verifying:");
5143     }
5144
5145   else
5146     {
5147     flags |= vopt_is_recipient;
5148     debug_selector |= D_v;
5149     debug_file = stderr;
5150     debug_fd = fileno(debug_file);
5151     DEBUG(D_verify) debug_print_ids(US"Address testing:");
5152     }
5153
5154   if (recipients_arg < argc)
5155     while (recipients_arg < argc)
5156       {
5157       /* Supplied addresses are tainted since they come from a user */
5158       uschar * s = string_copy_taint(exim_str_fail_toolong(argv[recipients_arg++], EXIM_DISPLAYMAIL_MAX, "address verification"), TRUE);
5159       while (*s)
5160         {
5161         BOOL finished = FALSE;
5162         uschar *ss = parse_find_address_end(s, FALSE);
5163         if (*ss == ',') *ss = 0; else finished = TRUE;
5164         test_address(s, flags, &exit_value);
5165         s = ss;
5166         if (!finished)
5167           while (*++s == ',' || isspace(*s)) ;
5168         }
5169       }
5170
5171   else for (;;)
5172     {
5173     uschar * s = get_stdinput(NULL, NULL);
5174     if (!s) break;
5175     test_address(string_copy_taint(exim_str_fail_toolong(s, EXIM_DISPLAYMAIL_MAX, "address verification (stdin)"), TRUE), flags, &exit_value);
5176     }
5177
5178   route_tidyup();
5179   exim_exit(exit_value);
5180   }
5181
5182 /* Handle expansion checking. Either expand items on the command line, or read
5183 from stdin if there aren't any. If -Mset was specified, load the message so
5184 that its variables can be used, but restrict this facility to admin users.
5185 Otherwise, if -bem was used, read a message from stdin. */
5186
5187 if (expansion_test)
5188   {
5189   dns_init(FALSE, FALSE, FALSE);
5190   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
5191     {
5192     uschar * spoolname;
5193     if (!f.admin_user)
5194       exim_fail("exim: permission denied\n");
5195     message_id = US exim_str_fail_toolong(argv[msg_action_arg], MESSAGE_ID_LENGTH, "message-id");
5196     /* Checking the length of the ID is sufficient to validate it.
5197     Get an untainted version so file opens can be done. */
5198     message_id = string_copy_taint(message_id, FALSE);
5199
5200     spoolname = string_sprintf("%s-H", message_id);
5201     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
5202       printf ("Failed to load message datafile %s\n", message_id);
5203     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
5204       printf ("Failed to load message %s\n", message_id);
5205     }
5206
5207   /* Read a test message from a file. We fudge it up to be on stdin, saving
5208   stdin itself for later reading of expansion strings. */
5209
5210   else if (expansion_test_message)
5211     {
5212     int save_stdin = dup(0);
5213     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
5214     if (fd < 0)
5215       exim_fail("exim: failed to open %s: %s\n", expansion_test_message,
5216         strerror(errno));
5217     (void) dup2(fd, 0);
5218     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5219     message_ended = END_NOTENDED;
5220     read_message_body(receive_msg(extract_recipients));
5221     message_linecount += body_linecount;
5222     (void)dup2(save_stdin, 0);
5223     (void)close(save_stdin);
5224     clearerr(stdin);               /* Required by Darwin */
5225     }
5226
5227   /* Only admin users may see config-file macros this way */
5228
5229   if (!f.admin_user) macros_user = macros = mlast = NULL;
5230
5231   /* Allow $recipients for this testing */
5232
5233   f.enable_dollar_recipients = TRUE;
5234
5235   /* Expand command line items */
5236
5237   if (recipients_arg < argc)
5238     while (recipients_arg < argc)
5239       expansion_test_line(exim_str_fail_toolong(argv[recipients_arg++], EXIM_EMAILADDR_MAX, "recipient"));
5240
5241   /* Read stdin */
5242
5243   else
5244     {
5245     char *(*fn_readline)(const char *) = NULL;
5246     void (*fn_addhist)(const char *) = NULL;
5247     uschar * s;
5248
5249 #ifdef USE_READLINE
5250     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5251 #endif
5252
5253     while (s = get_stdinput(fn_readline, fn_addhist))
5254       expansion_test_line(s);
5255
5256 #ifdef USE_READLINE
5257     if (dlhandle) dlclose(dlhandle);
5258 #endif
5259     }
5260
5261   /* The data file will be open after -Mset */
5262
5263   if (deliver_datafile >= 0)
5264     {
5265     (void)close(deliver_datafile);
5266     deliver_datafile = -1;
5267     }
5268
5269   exim_exit(EXIT_SUCCESS);
5270   }
5271
5272
5273 /* The active host name is normally the primary host name, but it can be varied
5274 for hosts that want to play several parts at once. We need to ensure that it is
5275 set for host checking, and for receiving messages. */
5276
5277 smtp_active_hostname = primary_hostname;
5278 if (raw_active_hostname != NULL)
5279   {
5280   uschar *nah = expand_string(raw_active_hostname);
5281   if (nah == NULL)
5282     {
5283     if (!f.expand_string_forcedfail)
5284       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5285         "(smtp_active_hostname): %s", raw_active_hostname,
5286         expand_string_message);
5287     }
5288   else if (nah[0] != 0) smtp_active_hostname = nah;
5289   }
5290
5291 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5292 given IP address so that the blocking and relay configuration can be tested.
5293 Unless a sender_ident was set by -oMt, we discard it (the default is the
5294 caller's login name). An RFC 1413 call is made only if we are running in the
5295 test harness and an incoming interface and both ports are specified, because
5296 there is no TCP/IP call to find the ident for. */
5297
5298 if (host_checking)
5299   {
5300   int x[4];
5301   int size;
5302
5303   if (!sender_ident_set)
5304     {
5305     sender_ident = NULL;
5306     if (f.running_in_test_harness && sender_host_port
5307        && interface_address && interface_port)
5308       verify_get_ident(1223);           /* note hardwired port number */
5309     }
5310
5311   /* In case the given address is a non-canonical IPv6 address, canonicalize
5312   it. The code works for both IPv4 and IPv6, as it happens. */
5313
5314   size = host_aton(sender_host_address, x);
5315   sender_host_address = store_get(48, FALSE);  /* large enough for full IPv6 */
5316   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5317
5318   /* Now set up for testing */
5319
5320   host_build_sender_fullhost();
5321   smtp_input = TRUE;
5322   smtp_in = stdin;
5323   smtp_out = stdout;
5324   f.sender_local = FALSE;
5325   f.sender_host_notsocket = TRUE;
5326   debug_file = stderr;
5327   debug_fd = fileno(debug_file);
5328   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5329     "**** but without any ident (RFC 1413) callback.\n"
5330     "**** This is not for real!\n\n",
5331       sender_host_address);
5332
5333   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5334   if (verify_check_host(&hosts_connection_nolog) == OK)
5335     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5336   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5337
5338   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5339   because a log line has already been written for all its failure exists
5340   (usually "connection refused: <reason>") and writing another one is
5341   unnecessary clutter. */
5342
5343   if (smtp_start_session())
5344     {
5345     rmark reset_point;
5346     for (; (reset_point = store_mark()); store_reset(reset_point))
5347       {
5348       if (smtp_setup_msg() <= 0) break;
5349       if (!receive_msg(FALSE)) break;
5350
5351       return_path = sender_address = NULL;
5352       dnslist_domain = dnslist_matched = NULL;
5353 #ifndef DISABLE_DKIM
5354       dkim_cur_signer = NULL;
5355 #endif
5356       acl_var_m = NULL;
5357       deliver_localpart_orig = NULL;
5358       deliver_domain_orig = NULL;
5359       callout_address = sending_ip_address = NULL;
5360       deliver_localpart_data = deliver_domain_data =
5361       recipient_data = sender_data = NULL;
5362       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5363       }
5364     smtp_log_no_mail();
5365     }
5366   exim_exit(EXIT_SUCCESS);
5367   }
5368
5369
5370 /* Arrange for message reception if recipients or SMTP were specified;
5371 otherwise complain unless a version print (-bV) happened or this is a filter
5372 verification test or info dump.
5373 In the former case, show the configuration file name. */
5374
5375 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5376   {
5377   if (version_printed)
5378     {
5379     if (Ustrchr(config_main_filelist, ':'))
5380       printf("Configuration file search path is %s\n", config_main_filelist);
5381     printf("Configuration file is %s\n", config_main_filename);
5382     return EXIT_SUCCESS;
5383     }
5384
5385   if (info_flag != CMDINFO_NONE)
5386     {
5387     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5388     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5389     }
5390
5391   if (filter_test == FTEST_NONE)
5392     exim_usage(called_as);
5393   }
5394
5395
5396 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5397 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5398 that we are not called from inetd, because that is rejected above. The
5399 following configuration settings are forced here:
5400
5401   (1) Synchronous delivery (-odi)
5402   (2) Errors to stderr (-oep == -oeq)
5403   (3) No parallel remote delivery
5404   (4) Unprivileged delivery
5405
5406 We don't force overall queueing options because there are several of them;
5407 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5408 to override any SMTP queueing. */
5409
5410 if (mua_wrapper)
5411   {
5412   f.synchronous_delivery = TRUE;
5413   arg_error_handling = ERRORS_STDERR;
5414   remote_max_parallel = 1;
5415   deliver_drop_privilege = TRUE;
5416   f.queue_smtp = FALSE;
5417   queue_smtp_domains = NULL;
5418 #ifdef SUPPORT_I18N
5419   message_utf8_downconvert = -1;        /* convert-if-needed */
5420 #endif
5421   }
5422
5423
5424 /* Prepare to accept one or more new messages on the standard input. When a
5425 message has been read, its id is returned in message_id[]. If doing immediate
5426 delivery, we fork a delivery process for each received message, except for the
5427 last one, where we can save a process switch.
5428
5429 It is only in non-smtp mode that error_handling is allowed to be changed from
5430 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5431 sendmail error modes other than -oem ever actually used? Later: yes.) */
5432
5433 if (!smtp_input) error_handling = arg_error_handling;
5434
5435 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5436 logging being sent down the socket and make an identd call to get the
5437 sender_ident. */
5438
5439 else if (f.is_inetd)
5440   {
5441   (void)fclose(stderr);
5442   exim_nullstd();                       /* Re-open to /dev/null */
5443   verify_get_ident(IDENT_PORT);
5444   host_build_sender_fullhost();
5445   set_process_info("handling incoming connection from %s via inetd",
5446     sender_fullhost);
5447   }
5448
5449 /* If the sender host address has been set, build sender_fullhost if it hasn't
5450 already been done (which it will have been for inetd). This caters for the
5451 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5452 so that the test for IP options is skipped for -bs input. */
5453
5454 if (sender_host_address && !sender_fullhost)
5455   {
5456   host_build_sender_fullhost();
5457   set_process_info("handling incoming connection from %s via -oMa",
5458     sender_fullhost);
5459   f.sender_host_notsocket = TRUE;
5460   }
5461
5462 /* Otherwise, set the sender host as unknown except for inetd calls. This
5463 prevents host checking in the case of -bs not from inetd and also for -bS. */
5464
5465 else if (!f.is_inetd) f.sender_host_unknown = TRUE;
5466
5467 /* If stdout does not exist, then dup stdin to stdout. This can happen
5468 if exim is started from inetd. In this case fd 0 will be set to the socket,
5469 but fd 1 will not be set. This also happens for passed SMTP channels. */
5470
5471 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5472
5473 /* Set up the incoming protocol name and the state of the program. Root is
5474 allowed to force received protocol via the -oMr option above. If we have come
5475 via inetd, the process info has already been set up. We don't set
5476 received_protocol here for smtp input, as it varies according to
5477 batch/HELO/EHLO/AUTH/TLS. */
5478
5479 if (smtp_input)
5480   {
5481   if (!f.is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5482     smtp_batched_input? "batched " : "",
5483     sender_address ? sender_address : originator_login);
5484   }
5485 else
5486   {
5487   int old_pool = store_pool;
5488   store_pool = POOL_PERM;
5489   if (!received_protocol)
5490     received_protocol = string_sprintf("local%s", called_as);
5491   store_pool = old_pool;
5492   set_process_info("accepting a local non-SMTP message from <%s>",
5493     sender_address);
5494   }
5495
5496 /* Initialize the session_local_queue-only flag (this will be ignored if
5497 mua_wrapper is set) */
5498
5499 queue_check_only();
5500 session_local_queue_only = queue_only;
5501
5502 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5503 the spool if so configured. On failure, we must not attempt to send an error
5504 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5505 error code is given.) */
5506
5507 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5508   exim_fail("exim: insufficient disk space\n");
5509
5510 /* If this is smtp input of any kind, real or batched, handle the start of the
5511 SMTP session.
5512
5513 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5514 because a log line has already been written for all its failure exists
5515 (usually "connection refused: <reason>") and writing another one is
5516 unnecessary clutter. */
5517
5518 if (smtp_input)
5519   {
5520   smtp_in = stdin;
5521   smtp_out = stdout;
5522   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5523   if (verify_check_host(&hosts_connection_nolog) == OK)
5524     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5525   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5526   if (!smtp_start_session())
5527     {
5528     mac_smtp_fflush();
5529     exim_exit(EXIT_SUCCESS);
5530     }
5531   }
5532
5533 /* Otherwise, set up the input size limit here and set no stdin stdio buffer
5534 (we handle buferring so as to have visibility of fill level). */
5535
5536 else
5537   {
5538   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5539   if (expand_string_message)
5540     if (thismessage_size_limit == -1)
5541       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5542         "message_size_limit: %s", expand_string_message);
5543     else
5544       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5545         "message_size_limit: %s", expand_string_message);
5546
5547   setvbuf(stdin, NULL, _IONBF, 0);
5548   }
5549
5550 /* Loop for several messages when reading SMTP input. If we fork any child
5551 processes, we don't want to wait for them unless synchronous delivery is
5552 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5553 same as SIG_DFL, despite the fact that documentation often lists the default as
5554 "ignore". This is a confusing area. This is what I know:
5555
5556 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5557 processes that complete simply to go away without ever becoming defunct. You
5558 can't then wait for them - but we don't want to wait for them in the
5559 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5560 happen for all OS (e.g. *BSD is different).
5561
5562 But that's not the end of the story. Some (many? all?) systems have the
5563 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5564 has by default, so it seems that the difference is merely one of default
5565 (compare restarting vs non-restarting signals).
5566
5567 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5568 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5569 of the loop below. Paranoia rules.
5570
5571 February 2003: That's *still* not the end of the story. There are now versions
5572 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5573 process then calls waitpid(), a grumble is written to the system log, because
5574 this is logically inconsistent. In other words, it doesn't like the paranoia.
5575 As a consequence of this, the waitpid() below is now excluded if we are sure
5576 that SIG_IGN works. */
5577
5578 if (!f.synchronous_delivery)
5579   {
5580 #ifdef SA_NOCLDWAIT
5581   struct sigaction act;
5582   act.sa_handler = SIG_IGN;
5583   sigemptyset(&(act.sa_mask));
5584   act.sa_flags = SA_NOCLDWAIT;
5585   sigaction(SIGCHLD, &act, NULL);
5586 #else
5587   signal(SIGCHLD, SIG_IGN);
5588 #endif
5589   }
5590
5591 /* Save the current store pool point, for resetting at the start of
5592 each message, and save the real sender address, if any. */
5593
5594 real_sender_address = sender_address;
5595
5596 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5597 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5598 collapsed). */
5599
5600 for (BOOL more = TRUE; more; )
5601   {
5602   rmark reset_point = store_mark();
5603   message_id[0] = 0;
5604
5605   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5606   input and build the recipients list, before calling receive_msg() to read the
5607   message proper. Whatever sender address is given in the SMTP transaction is
5608   often ignored for local senders - we use the actual sender, which is normally
5609   either the underlying user running this process or a -f argument provided by
5610   a trusted caller. It is saved in real_sender_address. The test for whether to
5611   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5612
5613   if (smtp_input)
5614     {
5615     int rc;
5616     if ((rc = smtp_setup_msg()) > 0)
5617       {
5618       if (real_sender_address != NULL &&
5619           !receive_check_set_sender(sender_address))
5620         {
5621         sender_address = raw_sender = real_sender_address;
5622         sender_address_unrewritten = NULL;
5623         }
5624
5625       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5626       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5627       the very end. The result of the ACL is ignored (as for other non-SMTP
5628       messages). It is run for its potential side effects. */
5629
5630       if (smtp_batched_input && acl_not_smtp_start != NULL)
5631         {
5632         uschar *user_msg, *log_msg;
5633         f.enable_dollar_recipients = TRUE;
5634         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5635           &user_msg, &log_msg);
5636         f.enable_dollar_recipients = FALSE;
5637         }
5638
5639       /* Now get the data for the message */
5640
5641       more = receive_msg(extract_recipients);
5642       if (!message_id[0])
5643         {
5644         cancel_cutthrough_connection(TRUE, US"receive dropped");
5645         if (more) goto MORELOOP;
5646         smtp_log_no_mail();               /* Log no mail if configured */
5647         exim_exit(EXIT_FAILURE);
5648         }
5649       }
5650     else
5651       {
5652       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5653       smtp_log_no_mail();               /* Log no mail if configured */
5654       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS);
5655       }
5656     }
5657
5658   /* In the non-SMTP case, we have all the information from the command
5659   line, but must process it in case it is in the more general RFC822
5660   format, and in any case, to detect syntax errors. Also, it appears that
5661   the use of comma-separated lists as single arguments is common, so we
5662   had better support them. */
5663
5664   else
5665     {
5666     int rcount = 0;
5667     int count = argc - recipients_arg;
5668     uschar **list = argv + recipients_arg;
5669
5670     /* These options cannot be changed dynamically for non-SMTP messages */
5671
5672     f.active_local_sender_retain = local_sender_retain;
5673     f.active_local_from_check = local_from_check;
5674
5675     /* Save before any rewriting */
5676
5677     raw_sender = string_copy(sender_address);
5678
5679     /* Loop for each argument (supplied by user hence tainted) */
5680
5681     for (int i = 0; i < count; i++)
5682       {
5683       int start, end, domain;
5684       uschar * errmess;
5685       /* There can be multiple addresses, so EXIM_DISPLAYMAIL_MAX (tuned for 1) is too short.
5686        * We'll still want to cap it to something, just in case. */
5687       uschar * s = string_copy_taint(exim_str_fail_toolong(list[i], BIG_BUFFER_SIZE, "address argument"), TRUE);
5688
5689       /* Loop for each comma-separated address */
5690
5691       while (*s != 0)
5692         {
5693         BOOL finished = FALSE;
5694         uschar *recipient;
5695         uschar *ss = parse_find_address_end(s, FALSE);
5696
5697         if (*ss == ',') *ss = 0; else finished = TRUE;
5698
5699         /* Check max recipients - if -t was used, these aren't recipients */
5700
5701         if (recipients_max > 0 && ++rcount > recipients_max &&
5702             !extract_recipients)
5703           if (error_handling == ERRORS_STDERR)
5704             {
5705             fprintf(stderr, "exim: too many recipients\n");
5706             exim_exit(EXIT_FAILURE);
5707             }
5708           else
5709             return
5710               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5711                 errors_sender_rc : EXIT_FAILURE;
5712
5713 #ifdef SUPPORT_I18N
5714         {
5715         BOOL b = allow_utf8_domains;
5716         allow_utf8_domains = TRUE;
5717 #endif
5718         recipient =
5719           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5720
5721 #ifdef SUPPORT_I18N
5722         if (recipient)
5723           if (string_is_utf8(recipient)) message_smtputf8 = TRUE;
5724           else allow_utf8_domains = b;
5725         }
5726 #else
5727         ;
5728 #endif
5729         if (domain == 0 && !f.allow_unqualified_recipient)
5730           {
5731           recipient = NULL;
5732           errmess = US"unqualified recipient address not allowed";
5733           }
5734
5735         if (!recipient)
5736           if (error_handling == ERRORS_STDERR)
5737             {
5738             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5739               string_printing(list[i]), errmess);
5740             exim_exit(EXIT_FAILURE);
5741             }
5742           else
5743             {
5744             error_block eblock;
5745             eblock.next = NULL;
5746             eblock.text1 = string_printing(list[i]);
5747             eblock.text2 = errmess;
5748             return
5749               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5750                 errors_sender_rc : EXIT_FAILURE;
5751             }
5752
5753         receive_add_recipient(string_copy_taint(recipient, TRUE), -1);
5754         s = ss;
5755         if (!finished)
5756           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5757         }
5758       }
5759
5760     /* Show the recipients when debugging */
5761
5762     DEBUG(D_receive)
5763       {
5764       if (sender_address) debug_printf("Sender: %s\n", sender_address);
5765       if (recipients_list)
5766         {
5767         debug_printf("Recipients:\n");
5768         for (int i = 0; i < recipients_count; i++)
5769           debug_printf("  %s\n", recipients_list[i].address);
5770         }
5771       }
5772
5773     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5774     ignored; rejecting here would just add complication, and it can just as
5775     well be done later. Allow $recipients to be visible in the ACL. */
5776
5777     if (acl_not_smtp_start)
5778       {
5779       uschar *user_msg, *log_msg;
5780       f.enable_dollar_recipients = TRUE;
5781       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5782         &user_msg, &log_msg);
5783       f.enable_dollar_recipients = FALSE;
5784       }
5785
5786     /* Pause for a while waiting for input.  If none received in that time,
5787     close the logfile, if we had one open; then if we wait for a long-running
5788     datasource (months, in one use-case) log rotation will not leave us holding
5789     the file copy. */
5790
5791     if (!receive_timeout)
5792       if (poll_one_fd(0, POLLIN, 30*60*1000) == 0)      /* 30 minutes */
5793         mainlog_close();
5794
5795     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5796     will just read the headers for the message, and not write anything onto the
5797     spool. */
5798
5799     message_ended = END_NOTENDED;
5800     more = receive_msg(extract_recipients);
5801
5802     /* more is always FALSE here (not SMTP message) when reading a message
5803     for real; when reading the headers of a message for filter testing,
5804     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5805
5806     if (!message_id[0]) exim_exit(EXIT_FAILURE);
5807     }  /* Non-SMTP message reception */
5808
5809   /* If this is a filter testing run, there are headers in store, but
5810   no message on the spool. Run the filtering code in testing mode, setting
5811   the domain to the qualify domain and the local part to the current user,
5812   unless they have been set by options. The prefix and suffix are left unset
5813   unless specified. The the return path is set to to the sender unless it has
5814   already been set from a return-path header in the message. */
5815
5816   if (filter_test != FTEST_NONE)
5817     {
5818     deliver_domain = ftest_domain ? ftest_domain : qualify_domain_recipient;
5819     deliver_domain_orig = deliver_domain;
5820     deliver_localpart = ftest_localpart ? US ftest_localpart : originator_login;
5821     deliver_localpart_orig = deliver_localpart;
5822     deliver_localpart_prefix = US ftest_prefix;
5823     deliver_localpart_suffix = US ftest_suffix;
5824     deliver_home = originator_home;
5825
5826     if (!return_path)
5827       {
5828       printf("Return-path copied from sender\n");
5829       return_path = string_copy(sender_address);
5830       }
5831     else
5832       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5833     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5834
5835     receive_add_recipient(
5836       string_sprintf("%s%s%s@%s",
5837         ftest_prefix ? ftest_prefix : US"",
5838         deliver_localpart,
5839         ftest_suffix ? ftest_suffix : US"",
5840         deliver_domain), -1);
5841
5842     printf("Recipient   = %s\n", recipients_list[0].address);
5843     if (ftest_prefix) printf("Prefix    = %s\n", ftest_prefix);
5844     if (ftest_suffix) printf("Suffix    = %s\n", ftest_suffix);
5845
5846     if (chdir("/"))   /* Get away from wherever the user is running this from */
5847       {
5848       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5849       exim_exit(EXIT_FAILURE);
5850       }
5851
5852     /* Now we run either a system filter test, or a user filter test, or both.
5853     In the latter case, headers added by the system filter will persist and be
5854     available to the user filter. We need to copy the filter variables
5855     explicitly. */
5856
5857     if (filter_test & FTEST_SYSTEM)
5858       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5859         exim_exit(EXIT_FAILURE);
5860
5861     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5862
5863     if (filter_test & FTEST_USER)
5864       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5865         exim_exit(EXIT_FAILURE);
5866
5867     exim_exit(EXIT_SUCCESS);
5868     }
5869
5870   /* Else act on the result of message reception. We should not get here unless
5871   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5872   will be TRUE. If it is not, check on the number of messages received in this
5873   connection. */
5874
5875   if (  !session_local_queue_only
5876      && smtp_accept_queue_per_connection > 0
5877      && receive_messagecount > smtp_accept_queue_per_connection)
5878     {
5879     session_local_queue_only = TRUE;
5880     queue_only_reason = 2;
5881     }
5882
5883   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5884   and queue_only_load is set, check that the load average is below it. If it is
5885   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5886   default), we put the whole session into queue_only mode. It then remains this
5887   way for any subsequent messages on the same SMTP connection. This is a
5888   deliberate choice; even though the load average may fall, it doesn't seem
5889   right to deliver later messages on the same call when not delivering earlier
5890   ones. However, there are odd cases where this is not wanted, so this can be
5891   changed by setting queue_only_load_latch false. */
5892
5893   if (!(local_queue_only = session_local_queue_only) && queue_only_load >= 0)
5894     if ((local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load))
5895       {
5896       queue_only_reason = 3;
5897       if (queue_only_load_latch) session_local_queue_only = TRUE;
5898       }
5899
5900   /* If running as an MUA wrapper, all queueing options and freezing options
5901   are ignored. */
5902
5903   if (mua_wrapper)
5904     local_queue_only = f.queue_only_policy = f.deliver_freeze = FALSE;
5905
5906   /* Log the queueing here, when it will get a message id attached, but
5907   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5908   connections). */
5909
5910   if (local_queue_only)
5911     {
5912     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5913     switch(queue_only_reason)
5914       {
5915       case 2:
5916         log_write(L_delay_delivery,
5917                 LOG_MAIN, "no immediate delivery: more than %d messages "
5918           "received in one connection", smtp_accept_queue_per_connection);
5919         break;
5920
5921       case 3:
5922         log_write(L_delay_delivery,
5923                 LOG_MAIN, "no immediate delivery: load average %.2f",
5924                 (double)load_average/1000.0);
5925       break;
5926       }
5927     }
5928
5929   else if (f.queue_only_policy || f.deliver_freeze)
5930     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5931
5932   /* Else do the delivery unless the ACL or local_scan() called for queue only
5933   or froze the message. Always deliver in a separate process. A fork failure is
5934   not a disaster, as the delivery will eventually happen on a subsequent queue
5935   run. The search cache must be tidied before the fork, as the parent will
5936   do it before exiting. The child will trigger a lookup failure and
5937   thereby defer the delivery if it tries to use (for example) a cached ldap
5938   connection that the parent has called unbind on. */
5939
5940   else
5941     {
5942     pid_t pid;
5943     search_tidyup();
5944
5945     if ((pid = exim_fork(US"local-accept-delivery")) == 0)
5946       {
5947       int rc;
5948       close_unwanted();      /* Close unwanted file descriptors and TLS */
5949       exim_nullstd();        /* Ensure std{in,out,err} exist */
5950
5951       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5952       mode, deliver_drop_privilege is forced TRUE). */
5953
5954       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5955         {
5956         delivery_re_exec(CEE_EXEC_EXIT);
5957         /* Control does not return here. */
5958         }
5959
5960       /* No need to re-exec */
5961
5962       rc = deliver_message(message_id, FALSE, FALSE);
5963       search_tidyup();
5964       exim_underbar_exit(!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED
5965         ? EXIT_SUCCESS : EXIT_FAILURE);
5966       }
5967
5968     if (pid < 0)
5969       {
5970       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5971       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5972         "process: %s", strerror(errno));
5973       }
5974     else
5975       {
5976       release_cutthrough_connection(US"msg passed for delivery");
5977
5978       /* In the parent, wait if synchronous delivery is required. This will
5979       always be the case in MUA wrapper mode. */
5980
5981       if (f.synchronous_delivery)
5982         {
5983         int status;
5984         while (wait(&status) != pid);
5985         if ((status & 0x00ff) != 0)
5986           log_write(0, LOG_MAIN|LOG_PANIC,
5987             "process %d crashed with signal %d while delivering %s",
5988             (int)pid, status & 0x00ff, message_id);
5989         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5990         }
5991       }
5992     }
5993
5994   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5995   automatically reaps children (see comments above the loop), clear away any
5996   finished subprocesses here, in case there are lots of messages coming in
5997   from the same source. */
5998
5999 #ifndef SIG_IGN_WORKS
6000   while (waitpid(-1, NULL, WNOHANG) > 0);
6001 #endif
6002
6003 MORELOOP:
6004   return_path = sender_address = NULL;
6005   authenticated_sender = NULL;
6006   deliver_localpart_orig = NULL;
6007   deliver_domain_orig = NULL;
6008   deliver_host = deliver_host_address = NULL;
6009   dnslist_domain = dnslist_matched = NULL;
6010 #ifdef WITH_CONTENT_SCAN
6011   malware_name = NULL;
6012 #endif
6013   callout_address = NULL;
6014   sending_ip_address = NULL;
6015   deliver_localpart_data = deliver_domain_data =
6016   recipient_data = sender_data = NULL;
6017   acl_var_m = NULL;
6018   for(int i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
6019
6020   store_reset(reset_point);
6021   }
6022
6023 exim_exit(EXIT_SUCCESS);   /* Never returns */
6024 return 0;                  /* To stop compiler warning */
6025 }
6026
6027
6028 /* End of exim.c */