bug-fix test-driving input
[exim.git] / test / src / client.c
1 /* A little hacked up program that makes a TCP/IP call and reads a script to
2 drive it, for testing Exim server code running as a daemon. It's got a bit
3 messy with the addition of support for either OpenSSL or GnuTLS. The code for
4 those was hacked out of Exim itself, then code for OpenSSL OCSP stapling was
5 ripped from the openssl ocsp and s_client utilities. */
6
7 /* ANSI C standard includes */
8
9 #include <ctype.h>
10 #include <signal.h>
11 #include <stdarg.h>
12 #include <stddef.h>
13 #include <stdio.h>
14 #include <stdlib.h>
15 #include <string.h>
16 #include <time.h>
17
18 /* Unix includes */
19
20 #include <errno.h>
21 #include <dirent.h>
22 #include <sys/types.h>
23
24 #include <netinet/in_systm.h>
25 #include <netinet/in.h>
26 #include <netinet/ip.h>
27 #include <netinet/tcp.h>
28
29 #include <netdb.h>
30 #include <arpa/inet.h>
31 #include <sys/time.h>
32 #include <sys/resource.h>
33 #include <sys/socket.h>
34 #include <sys/stat.h>
35 #include <fcntl.h>
36 #include <unistd.h>
37 #include <utime.h>
38
39 #ifdef AF_INET6
40 #define HAVE_IPV6 1
41 #endif
42
43 #ifndef S_ADDR_TYPE
44 #define S_ADDR_TYPE u_long
45 #endif
46
47 typedef unsigned char uschar;
48
49 #define CS   (char *)
50 #define US   (unsigned char *)
51
52 #define FALSE         0
53 #define TRUE          1
54
55
56
57 static int sigalrm_seen = 0;
58
59
60 /* TLS support can be optionally included, either for OpenSSL or GnuTLS. The
61 latter needs a whole pile of tables. */
62 #ifdef HAVE_OPENSSL
63 # define HAVE_TLS
64 # include <openssl/crypto.h>
65 # include <openssl/x509.h>
66 # include <openssl/pem.h>
67 # include <openssl/ssl.h>
68 # include <openssl/err.h>
69 # include <openssl/rand.h>
70
71 # if OPENSSL_VERSION_NUMBER < 0x0090806fL && !defined(DISABLE_OCSP) && !defined(OPENSSL_NO_TLSEXT)
72 #  warning "OpenSSL library version too old; define DISABLE_OCSP in Makefile"
73 #  define DISABLE_OCSP
74 # endif
75 # ifndef DISABLE_OCSP
76 #  include <openssl/ocsp.h>
77 # endif
78 #endif
79
80
81 #ifdef HAVE_GNUTLS
82 # define HAVE_TLS
83 # include <gnutls/gnutls.h>
84 # include <gnutls/x509.h>
85 # if GNUTLS_VERSION_NUMBER >= 0x030103
86 #  define HAVE_OCSP
87 #  include <gnutls/ocsp.h>
88 # endif
89 # ifndef GNUTLS_NO_EXTENSIONS
90 #  define GNUTLS_NO_EXTENSIONS 0
91 # endif
92
93 # define DH_BITS      768
94
95 /* Local static variables for GNUTLS */
96
97 static gnutls_dh_params_t dh_params = NULL;
98
99 static gnutls_certificate_credentials_t x509_cred = NULL;
100 static gnutls_session_t tls_session = NULL;
101
102 static int  ssl_session_timeout = 200;
103
104 /* Priorities for TLS algorithms to use. */
105
106 #if GNUTLS_VERSION_NUMBER < 0x030400
107 static const int protocol_priority[16] = { GNUTLS_TLS1, GNUTLS_SSL3, 0 };
108
109 static const int kx_priority[16] = {
110   GNUTLS_KX_RSA,
111   GNUTLS_KX_DHE_DSS,
112   GNUTLS_KX_DHE_RSA,
113   0 };
114
115 static int default_cipher_priority[16] = {
116   GNUTLS_CIPHER_AES_256_CBC,
117   GNUTLS_CIPHER_AES_128_CBC,
118   GNUTLS_CIPHER_3DES_CBC,
119   GNUTLS_CIPHER_ARCFOUR_128,
120   0 };
121
122 static const int mac_priority[16] = {
123   GNUTLS_MAC_SHA,
124   GNUTLS_MAC_MD5,
125   0 };
126
127 static const int comp_priority[16] = { GNUTLS_COMP_NULL, 0 };
128 #endif
129
130 #endif  /*HAVE_GNUTLS*/
131
132
133
134 #ifdef HAVE_TLS
135 char * ocsp_stapling = NULL;
136 #endif
137
138
139 /*************************************************
140 *            SIGALRM handler - crash out         *
141 *************************************************/
142
143 static void
144 sigalrm_handler_crash(int sig)
145 {
146 sig = sig;    /* Keep picky compilers happy */
147 printf("\nClient timed out\n");
148 exit(99);
149 }
150
151
152 /*************************************************
153 *            SIGALRM handler - set flag          *
154 *************************************************/
155
156 static void
157 sigalrm_handler_flag(int sig)
158 {
159 sig = sig;    /* Keep picky compilers happy */
160 sigalrm_seen = 1;
161 }
162
163
164
165 /****************************************************************************/
166 /****************************************************************************/
167
168 #ifdef HAVE_OPENSSL
169 # ifndef DISABLE_OCSP
170
171 static STACK_OF(X509) *
172 chain_from_pem_file(const uschar * file)
173 {
174 BIO * bp;
175 X509 * x;
176 STACK_OF(X509) * sk;
177
178 if (!(sk = sk_X509_new_null())) return NULL;
179 if (!(bp = BIO_new_file(CS file, "r"))) return NULL;
180 while ((x = PEM_read_bio_X509(bp, NULL, 0, NULL)))
181   sk_X509_push(sk, x);
182 BIO_free(bp);
183 return sk;
184 }
185
186
187
188 static void
189 cert_stack_free(STACK_OF(X509) * sk)
190 {
191 while (sk_X509_num(sk) > 0) (void) sk_X509_pop(sk);
192 sk_X509_free(sk);
193 }
194
195
196 static int
197 tls_client_stapling_cb(SSL *s, void *arg)
198 {
199 const unsigned char *p;
200 int len;
201 OCSP_RESPONSE *rsp;
202 OCSP_BASICRESP *bs;
203 STACK_OF(X509) * sk;
204 int ret = 1;
205
206 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
207 /*BIO_printf(arg, "OCSP response: ");*/
208 if (!p)
209         {
210         BIO_printf(arg, "no response received\n");
211         return 1;
212         }
213 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
214         {
215         BIO_printf(arg, "response parse error\n");
216         BIO_dump_indent(arg, (char *)p, len, 4);
217         return 0;
218         }
219 if(!(bs = OCSP_response_get1_basic(rsp)))
220   {
221   BIO_printf(arg, "error parsing response\n");
222   return 0;
223   }
224
225
226 if (!(sk = chain_from_pem_file(ocsp_stapling)))
227   {
228   BIO_printf(arg, "error in cert setup\n");
229   return 0;
230   }
231
232 /* OCSP_basic_verify takes a "store" arg, but does not
233 use it for the chain verification, which is all we do
234 when OCSP_NOVERIFY is set.  The content from the wire
235 (in "bs") and a cert-stack "sk" are all that is used. */
236
237 if(OCSP_basic_verify(bs, sk, NULL, OCSP_NOVERIFY) <= 0)
238   {
239   BIO_printf(arg, "Response Verify Failure\n");
240   ERR_print_errors(arg);
241   ret = 0;
242   }
243 else
244   BIO_printf(arg, "Response verify OK\n");
245
246 cert_stack_free(sk);
247 return ret;
248 }
249 # endif /*DISABLE_OCSP*/
250
251
252 /*************************************************
253 *         Start an OpenSSL TLS session           *
254 *************************************************/
255
256 int
257 tls_start(int sock, SSL **ssl, SSL_CTX *ctx)
258 {
259 int rc;
260 static const unsigned char *sid_ctx = US"exim";
261
262 RAND_load_file("client.c", -1);   /* Not *very* random! */
263
264 *ssl = SSL_new (ctx);
265 SSL_set_session_id_context(*ssl, sid_ctx, strlen(CS sid_ctx));
266 SSL_set_fd (*ssl, sock);
267 SSL_set_connect_state(*ssl);
268
269 #ifndef DISABLE_OCSP
270 if (ocsp_stapling)
271   {
272   SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
273   SSL_CTX_set_tlsext_status_arg(ctx, BIO_new_fp(stdout, BIO_NOCLOSE));
274   SSL_set_tlsext_status_type(*ssl, TLSEXT_STATUSTYPE_ocsp);
275   }
276 #endif
277
278 signal(SIGALRM, sigalrm_handler_flag);
279 sigalrm_seen = 0;
280 alarm(5);
281 rc = SSL_connect (*ssl);
282 alarm(0);
283
284 if (sigalrm_seen)
285   {
286   printf("SSL_connect timed out\n");
287   return 0;
288   }
289
290 if (rc <= 0)
291   {
292   ERR_print_errors_fp(stdout);
293   return 0;
294   }
295
296 printf("SSL connection using %s\n", SSL_get_cipher (*ssl));
297 return 1;
298 }
299
300
301 /*************************************************
302 *           SSL Information callback             *
303 *************************************************/
304
305 static void
306 info_callback(SSL *s, int where, int ret)
307 {
308 where = where;
309 ret = ret;
310 printf("SSL info: %s\n", SSL_state_string_long(s));
311 }
312 #endif
313
314
315 /****************************************************************************/
316 /****************************************************************************/
317
318
319 #ifdef HAVE_GNUTLS
320 /*************************************************
321 *            Handle GnuTLS error                 *
322 *************************************************/
323
324 /* Called from lots of places when errors occur before actually starting to do
325 the TLS handshake, that is, while the session is still in clear.
326
327 Argument:
328   prefix    prefix text
329   err       a GnuTLS error number, or 0 if local error
330
331 Returns:    doesn't - it dies
332 */
333
334 static void
335 gnutls_error(uschar *prefix, int err)
336 {
337 fprintf(stderr, "GnuTLS connection error: %s:", prefix);
338 if (err != 0) fprintf(stderr, " %s", gnutls_strerror(err));
339 fprintf(stderr, "\n");
340 exit(98);
341 }
342
343
344
345 /*************************************************
346 *             Setup up DH parameters             *
347 *************************************************/
348
349 /* For the test suite, the parameters should always be available in the spool
350 directory. */
351
352 static void
353 init_dh(void)
354 {
355 int fd;
356 int ret;
357 gnutls_datum_t m;
358 uschar filename[200];
359 struct stat statbuf;
360
361 /* Initialize the data structures for holding the parameters */
362
363 ret = gnutls_dh_params_init(&dh_params);
364 if (ret < 0) gnutls_error(US"init dh_params", ret);
365
366 /* Open the cache file for reading and if successful, read it and set up the
367 parameters. */
368
369 fd = open("aux-fixed/gnutls-params", O_RDONLY, 0);
370 if (fd < 0)
371   {
372   fprintf(stderr, "Failed to open spool/gnutls-params: %s\n", strerror(errno));
373   exit(97);
374   }
375
376 if (fstat(fd, &statbuf) < 0)
377   {
378   (void)close(fd);
379   return gnutls_error(US"TLS cache stat failed", 0);
380   }
381
382 m.size = statbuf.st_size;
383 m.data = malloc(m.size);
384 if (m.data == NULL)
385   return gnutls_error(US"memory allocation failed", 0);
386 if (read(fd, m.data, m.size) != m.size)
387   return gnutls_error(US"TLS cache read failed", 0);
388 (void)close(fd);
389
390 ret = gnutls_dh_params_import_pkcs3(dh_params, &m, GNUTLS_X509_FMT_PEM);
391 if (ret < 0) return gnutls_error(US"DH params import", ret);
392 free(m.data);
393 }
394
395
396
397
398 /*************************************************
399 *            Initialize for GnuTLS               *
400 *************************************************/
401
402 /*
403 Arguments:
404   certificate     certificate file
405   privatekey      private key file
406 */
407
408 static void
409 tls_init(uschar *certificate, uschar *privatekey)
410 {
411 int rc;
412
413 rc = gnutls_global_init();
414 if (rc < 0) gnutls_error(US"gnutls_global_init", rc);
415
416 /* Read D-H parameters from the cache file. */
417
418 init_dh();
419
420 /* Create the credentials structure */
421
422 rc = gnutls_certificate_allocate_credentials(&x509_cred);
423 if (rc < 0) gnutls_error(US"certificate_allocate_credentials", rc);
424
425 /* Set the certificate and private keys */
426
427 if (certificate != NULL)
428   {
429   rc = gnutls_certificate_set_x509_key_file(x509_cred, CS certificate,
430     CS privatekey, GNUTLS_X509_FMT_PEM);
431   if (rc < 0) gnutls_error("gnutls_certificate", rc);
432   }
433
434 /* Associate the parameters with the x509 credentials structure. */
435
436 gnutls_certificate_set_dh_params(x509_cred, dh_params);
437
438 /* set the CA info for server-cert verify */
439 if (ocsp_stapling)
440   gnutls_certificate_set_x509_trust_file(x509_cred, ocsp_stapling,
441         GNUTLS_X509_FMT_PEM);
442 }
443
444
445
446 /*************************************************
447 *        Initialize a single GNUTLS session      *
448 *************************************************/
449
450 static gnutls_session_t
451 tls_session_init(void)
452 {
453 gnutls_session_t session;
454
455 gnutls_init(&session, GNUTLS_CLIENT | GNUTLS_NO_EXTENSIONS);
456
457 #if GNUTLS_VERSION_NUMBER < 0x030400
458 gnutls_cipher_set_priority(session, default_cipher_priority);
459 gnutls_compression_set_priority(session, comp_priority);
460 gnutls_kx_set_priority(session, kx_priority);
461 gnutls_protocol_set_priority(session, protocol_priority);
462 gnutls_mac_set_priority(session, mac_priority);
463
464 gnutls_cred_set(session, GNUTLS_CRD_CERTIFICATE, x509_cred);
465 #else
466 gnutls_set_default_priority(session);
467 gnutls_credentials_set(session, GNUTLS_CRD_CERTIFICATE, x509_cred);
468 #endif
469
470 gnutls_dh_set_prime_bits(session, DH_BITS);
471 gnutls_db_set_cache_expiration(session, ssl_session_timeout);
472
473 return session;
474 }
475 #endif
476
477
478 /****************************************************************************/
479 /* Turn "\n" and "\r" into the relevant characters. This is a hack. */
480
481 static int
482 unescape_buf(unsigned char * buf, int len)
483 {
484 unsigned char * s;
485 unsigned char c, t;
486 unsigned shift;
487
488 for (s = buf; s < buf+len; s++) if (*s == '\\')
489   {
490   switch (s[1])
491     {
492     default:    c = s[1]; shift = 1; break;
493     case 'n':   c = '\n'; shift = 1; break;
494     case 'r':   c = '\r'; shift = 1; break;
495     case 'x':
496                 t = s[2];
497                 if (t >= 'A' && t <= 'F') t -= 'A'-'9'-1;
498                 else if (t >= 'a' && t <= 'f') t -= 'a'-'9'-1;
499                 t -= '0';
500                 c = (t<<4) & 0xf0;
501                 t = s[3];
502                 if (t >= 'A' && t <= 'F') t -= 'A'-'9'-1;
503                 else if (t >= 'a' && t <= 'f') t -= 'a'-'9'-1;
504                 t -= '0';
505                 c |= t & 0xf;
506                 shift = 3;
507                 break;
508     }
509   *s = c;
510   memmove(s+1, s+shift+1, len-shift);
511   len -= shift;
512   }
513 return len;
514 }
515
516
517 /****************************************************************************/
518
519
520
521
522 /*************************************************
523 *                 Main Program                   *
524 *************************************************/
525
526 const char * const HELP_MESSAGE = "\n\
527 Usage: client\n"
528 #ifdef HAVE_TLS
529 "\
530           [-tls-on-connect]\n\
531           [-ocsp]\n"
532 #endif
533 "\
534           [-tn] n seconds timeout\n\
535           <IP address>\n\
536           <port>\n\
537           [<outgoing interface>]\n\
538           [<cert file>]\n\
539           [<key file>]\n\
540 \n";
541
542 int
543 main(int argc, char **argv)
544 {
545 struct sockaddr *s_ptr;
546 struct sockaddr_in s_in4;
547 char *interface = NULL;
548 char *address = NULL;
549 char *certfile = NULL;
550 char *keyfile = NULL;
551 char *end = NULL;
552 int argi = 1;
553 int host_af, port, s_len, rc, sock, save_errno;
554 int timeout = 5;
555 int tls_active = 0;
556 int sent_starttls = 0;
557 int tls_on_connect = 0;
558 long tmplong;
559
560 #if HAVE_IPV6
561 struct sockaddr_in6 s_in6;
562 #endif
563
564 #ifdef HAVE_OPENSSL
565 SSL_CTX* ctx;
566 SSL*     ssl;
567 #endif
568
569 unsigned char outbuffer[10240];
570 unsigned char inbuffer[10240];
571 unsigned char *inptr = inbuffer;
572
573 *inptr = 0;   /* Buffer empty */
574
575 /* Options */
576
577 while (argc >= argi + 1 && argv[argi][0] == '-')
578   {
579   if (strcmp(argv[argi], "-help") == 0 ||
580       strcmp(argv[argi], "--help") == 0 ||
581       strcmp(argv[argi], "-h") == 0)
582     {
583     puts(HELP_MESSAGE);
584     exit(0);
585     }
586   if (strcmp(argv[argi], "-tls-on-connect") == 0)
587     {
588     tls_on_connect = 1;
589     argi++;
590     }
591 #ifdef HAVE_TLS
592   else if (strcmp(argv[argi], "-ocsp") == 0)
593     {
594     if (argc < ++argi + 1)
595       {
596       fprintf(stderr, "Missing required certificate file for ocsp option\n");
597       exit(96);
598       }
599     ocsp_stapling = argv[argi++];
600     }
601
602 #endif
603   else if (argv[argi][1] == 't' && isdigit(argv[argi][2]))
604     {
605     tmplong = strtol(argv[argi]+2, &end, 10);
606     if (end == argv[argi]+2 || *end)
607       {
608       fprintf(stderr, "Failed to parse seconds from option <%s>\n",
609         argv[argi]);
610       exit(95);
611       }
612     if (tmplong > 10000L)
613       {
614       fprintf(stderr, "Unreasonably long wait of %ld seconds requested\n",
615         tmplong);
616       exit(94);
617       }
618     if (tmplong < 0L)
619       {
620       fprintf(stderr, "Timeout must not be negative (%ld)\n", tmplong);
621       exit(93);
622       }
623     timeout = (int) tmplong;
624     argi++;
625     }
626   else
627     {
628     fprintf(stderr, "Unrecognized option %s\n", argv[argi]);
629     exit(92);
630     }
631   }
632
633 /* Mandatory 1st arg is IP address */
634
635 if (argc < argi+1)
636   {
637   fprintf(stderr, "No IP address given\n");
638   exit(91);
639   }
640
641 address = argv[argi++];
642 host_af = (strchr(address, ':') != NULL)? AF_INET6 : AF_INET;
643
644 /* Mandatory 2nd arg is port */
645
646 if (argc < argi+1)
647   {
648   fprintf(stderr, "No port number given\n");
649   exit(90);
650   }
651
652 port = atoi(argv[argi++]);
653
654 /* Optional next arg is interface */
655
656 if (argc > argi &&
657   (isdigit((unsigned char)argv[argi][0]) || argv[argi][0] == ':'))
658     interface = argv[argi++];
659
660 /* Any more arguments are the name of a certificate file and key file */
661
662 if (argc > argi) certfile = argv[argi++];
663 if (argc > argi) keyfile = argv[argi++];
664
665
666 #if HAVE_IPV6
667 /* For an IPv6 address, use an IPv6 sockaddr structure. */
668
669 if (host_af == AF_INET6)
670   {
671   s_ptr = (struct sockaddr *)&s_in6;
672   s_len = sizeof(s_in6);
673   }
674 else
675 #endif
676
677 /* For an IPv4 address, use an IPv4 sockaddr structure,
678 even on an IPv6 system. */
679
680   {
681   s_ptr = (struct sockaddr *)&s_in4;
682   s_len = sizeof(s_in4);
683   }
684
685 printf("Connecting to %s port %d ... ", address, port);
686
687 sock = socket(host_af, SOCK_STREAM, 0);
688 if (sock < 0)
689   {
690   printf("socket creation failed: %s\n", strerror(errno));
691   exit(89);
692   }
693
694 /* Bind to a specific interface if requested. On an IPv6 system, this has
695 to be of the same family as the address we are calling. On an IPv4 system the
696 test is redundant, but it keeps the code tidier. */
697
698 if (interface != NULL)
699   {
700   int interface_af = (strchr(interface, ':') != NULL)? AF_INET6 : AF_INET;
701
702   if (interface_af == host_af)
703     {
704     #if HAVE_IPV6
705
706     /* Set up for IPv6 binding */
707
708     if (host_af == AF_INET6)
709       {
710       memset(&s_in6, 0, sizeof(s_in6));
711       s_in6.sin6_family = AF_INET6;
712       s_in6.sin6_port = 0;
713       if (inet_pton(AF_INET6, interface, &s_in6.sin6_addr) != 1)
714         {
715         printf("Unable to parse \"%s\"", interface);
716         exit(88);
717         }
718       }
719     else
720     #endif
721
722     /* Set up for IPv4 binding */
723
724       {
725       memset(&s_in4, 0, sizeof(s_in4));
726       s_in4.sin_family = AF_INET;
727       s_in4.sin_port = 0;
728       s_in4.sin_addr.s_addr = (S_ADDR_TYPE)inet_addr(interface);
729       }
730
731     /* Bind */
732
733     if (bind(sock, s_ptr, s_len) < 0)
734       {
735       printf("Unable to bind outgoing SMTP call to %s: %s",
736         interface, strerror(errno));
737       exit(87);
738       }
739     }
740   }
741
742 /* Set up a remote IPv6 address */
743
744 #if HAVE_IPV6
745 if (host_af == AF_INET6)
746   {
747   memset(&s_in6, 0, sizeof(s_in6));
748   s_in6.sin6_family = AF_INET6;
749   s_in6.sin6_port = htons(port);
750   if (inet_pton(host_af, address, &s_in6.sin6_addr) != 1)
751     {
752     printf("Unable to parse \"%s\"", address);
753     exit(86);
754     }
755   }
756 else
757 #endif
758
759 /* Set up a remote IPv4 address */
760
761   {
762   memset(&s_in4, 0, sizeof(s_in4));
763   s_in4.sin_family = AF_INET;
764   s_in4.sin_port = htons(port);
765   s_in4.sin_addr.s_addr = (S_ADDR_TYPE)inet_addr(address);
766   }
767
768 /* SIGALRM handler crashes out */
769
770 signal(SIGALRM, sigalrm_handler_crash);
771 alarm(timeout);
772 rc = connect(sock, s_ptr, s_len);
773 save_errno = errno;
774 alarm(0);
775
776 /* A failure whose error code is "Interrupted system call" is in fact
777 an externally applied timeout if the signal handler has been run. */
778
779 if (rc < 0)
780   {
781   close(sock);
782   printf("connect failed: %s\n", strerror(save_errno));
783   exit(85);
784   }
785
786 printf("connected\n");
787
788
789 /* --------------- Set up for OpenSSL --------------- */
790
791 #ifdef HAVE_OPENSSL
792 SSL_library_init();
793 SSL_load_error_strings();
794
795 ctx = SSL_CTX_new(SSLv23_method());
796 if (ctx == NULL)
797   {
798   printf ("SSL_CTX_new failed\n");
799   exit(84);
800   }
801
802 if (certfile != NULL)
803   {
804   if (!SSL_CTX_use_certificate_file(ctx, certfile, SSL_FILETYPE_PEM))
805     {
806     printf("SSL_CTX_use_certificate_file failed\n");
807     exit(83);
808     }
809   printf("Certificate file = %s\n", certfile);
810   }
811
812 if (keyfile != NULL)
813   {
814   if (!SSL_CTX_use_PrivateKey_file(ctx, keyfile, SSL_FILETYPE_PEM))
815     {
816     printf("SSL_CTX_use_PrivateKey_file failed\n");
817     exit(82);
818     }
819   printf("Key file = %s\n", keyfile);
820   }
821
822 SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_BOTH);
823 SSL_CTX_set_timeout(ctx, 200);
824 SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
825 #endif
826
827
828 /* --------------- Set up for GnuTLS --------------- */
829
830 #ifdef HAVE_GNUTLS
831 if (certfile != NULL) printf("Certificate file = %s\n", certfile);
832 if (keyfile != NULL) printf("Key file = %s\n", keyfile);
833 tls_init(certfile, keyfile);
834 tls_session = tls_session_init();
835 #ifdef HAVE_OCSP
836 if (ocsp_stapling)
837   gnutls_ocsp_status_request_enable_client(tls_session, NULL, 0, NULL);
838 #endif
839 gnutls_transport_set_ptr(tls_session, (gnutls_transport_ptr_t)(intptr_t)sock);
840
841 /* When the server asks for a certificate and the client does not have one,
842 there is a SIGPIPE error in the gnutls_handshake() function for some reason
843 that is not understood. As luck would have it, this has never hit Exim itself
844 because it ignores SIGPIPE errors. Doing the same here allows it all to work as
845 one wants. */
846
847 signal(SIGPIPE, SIG_IGN);
848 #endif
849
850 /* ---------------------------------------------- */
851
852
853 /* Start TLS session if configured to do so without STARTTLS */
854
855 #ifdef HAVE_TLS
856 if (tls_on_connect)
857   {
858   printf("Attempting to start TLS\n");
859
860 #ifdef HAVE_OPENSSL
861   tls_active = tls_start(sock, &ssl, ctx);
862 #endif
863
864 #ifdef HAVE_GNUTLS
865   {
866   int rc;
867   sigalrm_seen = FALSE;
868   alarm(timeout);
869   do {
870     rc = gnutls_handshake(tls_session);
871   } while (rc < 0 && gnutls_error_is_fatal(rc) == 0);
872   tls_active = rc >= 0;
873   alarm(0);
874
875   if (!tls_active) printf("%s\n", gnutls_strerror(rc));
876   }
877 #endif
878
879   if (!tls_active)
880     printf("Failed to start TLS\n");
881 #if defined(HAVE_GNUTLS) && defined(HAVE_OCSP)
882   else if (  ocsp_stapling
883           && gnutls_ocsp_status_request_is_checked(tls_session, 0) == 0)
884     printf("Failed to verify certificate status\n");
885 #endif
886   else
887     printf("Succeeded in starting TLS\n");
888   }
889 #endif
890
891 while (fgets(CS outbuffer, sizeof(outbuffer), stdin) != NULL)
892   {
893   int n = (int)strlen(CS outbuffer);
894   int crlf = 1;
895
896   /* Strip trailing newline */
897   if (outbuffer[n-1] == '\n') outbuffer[--n] = 0;
898
899   /* Expect incoming */
900
901   if (  strncmp(CS outbuffer, "???", 3) == 0
902      && (outbuffer[3] == ' ' || outbuffer[3] == '*')
903      )
904     {
905     unsigned char *lineptr;
906     unsigned exp_eof = outbuffer[3] == '*';
907
908     printf("%s\n", outbuffer);
909     n = unescape_buf(outbuffer, n);
910
911     if (*inptr == 0)   /* Refill input buffer */
912       {
913       if (tls_active)
914         {
915         #ifdef HAVE_OPENSSL
916         rc = SSL_read (ssl, inbuffer, sizeof(inbuffer) - 1);
917         #endif
918         #ifdef HAVE_GNUTLS
919         rc = gnutls_record_recv(tls_session, CS inbuffer, sizeof(inbuffer) - 1);
920         #endif
921         }
922       else
923         {
924         alarm(timeout);
925         rc = read(sock, inbuffer, sizeof(inbuffer));
926         alarm(0);
927         }
928
929       if (rc < 0)
930         {
931         printf("Read error %s\n", strerror(errno));
932         exit(81);
933         }
934       else if (rc == 0)
935         if (exp_eof)
936           {
937           printf("Expected EOF read\n");
938           continue;
939           }
940         else
941           {
942           printf("Unexpected EOF read\n");
943           close(sock);
944           exit(80);
945           }
946       else if (exp_eof)
947         {
948         printf("Expected EOF not read\n");
949         close(sock);
950         exit(74);
951         }
952       else
953         {
954         inbuffer[rc] = 0;
955         inptr = inbuffer;
956         }
957       }
958
959     lineptr = inptr;
960     while (*inptr != 0 && *inptr != '\r' && *inptr != '\n') inptr++;
961     if (*inptr != 0)
962       {
963       *inptr++ = 0;
964       if (*inptr == '\n') inptr++;
965       }
966
967     printf("<<< %s\n", lineptr);
968     if (strncmp(CS lineptr, CS outbuffer + 4, n - 4) != 0)
969       {
970       printf("\n******** Input mismatch ********\n");
971       exit(79);
972       }
973
974     #ifdef HAVE_TLS
975     if (sent_starttls)
976       {
977       if (lineptr[0] == '2')
978         {
979 int rc;
980         unsigned int verify;
981
982         printf("Attempting to start TLS\n");
983         fflush(stdout);
984
985         #ifdef HAVE_OPENSSL
986         tls_active = tls_start(sock, &ssl, ctx);
987         #endif
988
989         #ifdef HAVE_GNUTLS
990           {
991           int rc;
992           sigalrm_seen = FALSE;
993           alarm(timeout);
994           do {
995             rc = gnutls_handshake(tls_session);
996           } while (rc < 0 && gnutls_error_is_fatal(rc) == 0);
997           tls_active = rc >= 0;
998           alarm(0);
999
1000           if (!tls_active) printf("%s\n", gnutls_strerror(rc));
1001           }
1002         #endif
1003
1004         if (!tls_active)
1005           {
1006           printf("Failed to start TLS\n");
1007           fflush(stdout);
1008           }
1009         #ifdef HAVE_GNUTLS
1010         else if (ocsp_stapling)
1011           {
1012           if ((rc= gnutls_certificate_verify_peers2(tls_session, &verify)) < 0)
1013             {
1014             printf("Failed to verify certificate: %s\n", gnutls_strerror(rc));
1015             fflush(stdout);
1016             }
1017           else if (verify & (GNUTLS_CERT_INVALID|GNUTLS_CERT_REVOKED))
1018             {
1019             printf("Bad certificate\n");
1020             fflush(stdout);
1021             }
1022           #ifdef HAVE_OCSP
1023           else if (gnutls_ocsp_status_request_is_checked(tls_session, 0) == 0)
1024             {
1025             printf("Failed to verify certificate status\n");
1026               {
1027               gnutls_datum_t stapling;
1028               gnutls_ocsp_resp_t resp;
1029               gnutls_datum_t printed;
1030               if (  (rc= gnutls_ocsp_status_request_get(tls_session, &stapling)) == 0
1031                  && (rc= gnutls_ocsp_resp_init(&resp)) == 0
1032                  && (rc= gnutls_ocsp_resp_import(resp, &stapling)) == 0
1033                  && (rc= gnutls_ocsp_resp_print(resp, GNUTLS_OCSP_PRINT_FULL, &printed)) == 0
1034                  )
1035                 {
1036                 fprintf(stderr, "%.4096s", printed.data);
1037                 gnutls_free(printed.data);
1038                 }
1039               else
1040                 (void) fprintf(stderr,"ocsp decode: %s", gnutls_strerror(rc));
1041               }
1042             fflush(stdout);
1043             }
1044           #endif
1045           }
1046         #endif
1047         else
1048           printf("Succeeded in starting TLS\n");
1049         }
1050       else printf("Abandoning TLS start attempt\n");
1051       }
1052     sent_starttls = 0;
1053     #endif
1054     }
1055
1056   /* Wait for a bit before proceeding */
1057
1058   else if (strncmp(CS outbuffer, "+++ ", 4) == 0)
1059     {
1060     printf("%s\n", outbuffer);
1061     sleep(atoi(CS outbuffer + 4));
1062     }
1063
1064   /* Send outgoing, but barf if unconsumed incoming */
1065
1066   else
1067     {
1068     unsigned char * out = outbuffer;
1069
1070     if (strncmp(CS outbuffer, ">>> ", 4) == 0)
1071       {
1072       crlf = 0;
1073       out += 4;
1074       n -= 4;
1075       }
1076
1077     if (*inptr != 0)
1078       {
1079       printf("Unconsumed input: %s", inptr);
1080       printf("   About to send: %s\n", out);
1081       exit(78);
1082       }
1083
1084     #ifdef HAVE_TLS
1085
1086     /* Shutdown TLS */
1087
1088     if (strcmp(CS out, "stoptls") == 0 ||
1089         strcmp(CS out, "STOPTLS") == 0)
1090       {
1091       if (!tls_active)
1092         {
1093         printf("STOPTLS read when TLS not active\n");
1094         exit(77);
1095         }
1096       printf("Shutting down TLS encryption\n");
1097
1098       #ifdef HAVE_OPENSSL
1099       SSL_shutdown(ssl);
1100       SSL_free(ssl);
1101       #endif
1102
1103       #ifdef HAVE_GNUTLS
1104       gnutls_bye(tls_session, GNUTLS_SHUT_WR);
1105       gnutls_deinit(tls_session);
1106       tls_session = NULL;
1107       gnutls_global_deinit();
1108       #endif
1109
1110       tls_active = 0;
1111       continue;
1112       }
1113
1114     /* Remember that we sent STARTTLS */
1115
1116     sent_starttls = (strcmp(CS out, "starttls") == 0 ||
1117                      strcmp(CS out, "STARTTLS") == 0);
1118
1119     /* Fudge: if the command is "starttls_wait", we send the starttls bit,
1120     but we haven't set the flag, so that there is no negotiation. This is for
1121     testing the server's timeout. */
1122
1123     if (strcmp(CS out, "starttls_wait") == 0)
1124       {
1125       out[8] = 0;
1126       n = 8;
1127       }
1128     #endif
1129
1130     printf(">>> %s\n", out);
1131     if (crlf)
1132       {
1133       strcpy(CS out + n, "\r\n");
1134       n += 2;
1135       }
1136
1137     n = unescape_buf(out, n);
1138
1139     /* OK, do it */
1140
1141     alarm(timeout);
1142     if (tls_active)
1143       {
1144       #ifdef HAVE_OPENSSL
1145         rc = SSL_write (ssl, out, n);
1146       #endif
1147       #ifdef HAVE_GNUTLS
1148         if ((rc = gnutls_record_send(tls_session, CS out, n)) < 0)
1149           {
1150           printf("GnuTLS write error: %s\n", gnutls_strerror(rc));
1151           exit(76);
1152           }
1153       #endif
1154       }
1155     else
1156       rc = write(sock, out, n);
1157     alarm(0);
1158
1159     if (rc < 0)
1160       {
1161       printf("Write error: %s\n", strerror(errno));
1162       exit(75);
1163       }
1164     }
1165   }
1166
1167 printf("End of script\n");
1168 shutdown(sock, SHUT_WR);
1169 while ((rc = read(sock, inbuffer, sizeof(inbuffer))) > 0) ;
1170 close(sock);
1171
1172 exit(0);
1173 }
1174
1175 /* End of client.c */