a51dac5700b6db164dc51c6314060edc0a1ce2df
[exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base62",
203   US"base62d",
204   US"domain",
205   US"escape",
206   US"eval",
207   US"eval10",
208   US"expand",
209   US"h",
210   US"hash",
211   US"hex2b64",
212   US"hexquote",
213   US"ipv6denorm",
214   US"ipv6norm",
215   US"l",
216   US"lc",
217   US"length",
218   US"listcount",
219   US"listnamed",
220   US"mask",
221   US"md5",
222   US"nh",
223   US"nhash",
224   US"quote",
225   US"randint",
226   US"rfc2047",
227   US"rfc2047d",
228   US"rxquote",
229   US"s",
230   US"sha1",
231   US"sha256",
232   US"stat",
233   US"str2b64",
234   US"strlen",
235   US"substr",
236   US"uc",
237   US"utf8clean" };
238
239 enum {
240   EOP_ADDRESS =  nelem(op_table_underscore),
241   EOP_ADDRESSES,
242   EOP_BASE62,
243   EOP_BASE62D,
244   EOP_DOMAIN,
245   EOP_ESCAPE,
246   EOP_EVAL,
247   EOP_EVAL10,
248   EOP_EXPAND,
249   EOP_H,
250   EOP_HASH,
251   EOP_HEX2B64,
252   EOP_HEXQUOTE,
253   EOP_IPV6DENORM,
254   EOP_IPV6NORM,
255   EOP_L,
256   EOP_LC,
257   EOP_LENGTH,
258   EOP_LISTCOUNT,
259   EOP_LISTNAMED,
260   EOP_MASK,
261   EOP_MD5,
262   EOP_NH,
263   EOP_NHASH,
264   EOP_QUOTE,
265   EOP_RANDINT,
266   EOP_RFC2047,
267   EOP_RFC2047D,
268   EOP_RXQUOTE,
269   EOP_S,
270   EOP_SHA1,
271   EOP_SHA256,
272   EOP_STAT,
273   EOP_STR2B64,
274   EOP_STRLEN,
275   EOP_SUBSTR,
276   EOP_UC,
277   EOP_UTF8CLEAN };
278
279
280 /* Table of condition names, and corresponding switch numbers. The names must
281 be in alphabetical order. */
282
283 static uschar *cond_table[] = {
284   US"<",
285   US"<=",
286   US"=",
287   US"==",     /* Backward compatibility */
288   US">",
289   US">=",
290   US"acl",
291   US"and",
292   US"bool",
293   US"bool_lax",
294   US"crypteq",
295   US"def",
296   US"eq",
297   US"eqi",
298   US"exists",
299   US"first_delivery",
300   US"forall",
301   US"forany",
302   US"ge",
303   US"gei",
304   US"gt",
305   US"gti",
306   US"inlist",
307   US"inlisti",
308   US"isip",
309   US"isip4",
310   US"isip6",
311   US"ldapauth",
312   US"le",
313   US"lei",
314   US"lt",
315   US"lti",
316   US"match",
317   US"match_address",
318   US"match_domain",
319   US"match_ip",
320   US"match_local_part",
321   US"or",
322   US"pam",
323   US"pwcheck",
324   US"queue_running",
325   US"radius",
326   US"saslauthd"
327 };
328
329 enum {
330   ECOND_NUM_L,
331   ECOND_NUM_LE,
332   ECOND_NUM_E,
333   ECOND_NUM_EE,
334   ECOND_NUM_G,
335   ECOND_NUM_GE,
336   ECOND_ACL,
337   ECOND_AND,
338   ECOND_BOOL,
339   ECOND_BOOL_LAX,
340   ECOND_CRYPTEQ,
341   ECOND_DEF,
342   ECOND_STR_EQ,
343   ECOND_STR_EQI,
344   ECOND_EXISTS,
345   ECOND_FIRST_DELIVERY,
346   ECOND_FORALL,
347   ECOND_FORANY,
348   ECOND_STR_GE,
349   ECOND_STR_GEI,
350   ECOND_STR_GT,
351   ECOND_STR_GTI,
352   ECOND_INLIST,
353   ECOND_INLISTI,
354   ECOND_ISIP,
355   ECOND_ISIP4,
356   ECOND_ISIP6,
357   ECOND_LDAPAUTH,
358   ECOND_STR_LE,
359   ECOND_STR_LEI,
360   ECOND_STR_LT,
361   ECOND_STR_LTI,
362   ECOND_MATCH,
363   ECOND_MATCH_ADDRESS,
364   ECOND_MATCH_DOMAIN,
365   ECOND_MATCH_IP,
366   ECOND_MATCH_LOCAL_PART,
367   ECOND_OR,
368   ECOND_PAM,
369   ECOND_PWCHECK,
370   ECOND_QUEUE_RUNNING,
371   ECOND_RADIUS,
372   ECOND_SASLAUTHD
373 };
374
375
376 /* Types of table entry */
377
378 enum vtypes {
379   vtype_int,            /* value is address of int */
380   vtype_filter_int,     /* ditto, but recognized only when filtering */
381   vtype_ino,            /* value is address of ino_t (not always an int) */
382   vtype_uid,            /* value is address of uid_t (not always an int) */
383   vtype_gid,            /* value is address of gid_t (not always an int) */
384   vtype_bool,           /* value is address of bool */
385   vtype_stringptr,      /* value is address of pointer to string */
386   vtype_msgbody,        /* as stringptr, but read when first required */
387   vtype_msgbody_end,    /* ditto, the end of the message */
388   vtype_msgheaders,     /* the message's headers, processed */
389   vtype_msgheaders_raw, /* the message's headers, unprocessed */
390   vtype_localpart,      /* extract local part from string */
391   vtype_domain,         /* extract domain from string */
392   vtype_string_func,    /* value is string returned by given function */
393   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
394   vtype_tode,           /* value not used; generate tod in epoch format */
395   vtype_todel,          /* value not used; generate tod in epoch/usec format */
396   vtype_todf,           /* value not used; generate full tod */
397   vtype_todl,           /* value not used; generate log tod */
398   vtype_todlf,          /* value not used; generate log file datestamp tod */
399   vtype_todzone,        /* value not used; generate time zone only */
400   vtype_todzulu,        /* value not used; generate zulu tod */
401   vtype_reply,          /* value not used; get reply from headers */
402   vtype_pid,            /* value not used; result is pid */
403   vtype_host_lookup,    /* value not used; get host name */
404   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
405   vtype_pspace,         /* partition space; value is T/F for spool/log */
406   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
407   vtype_cert            /* SSL certificate */
408   #ifndef DISABLE_DKIM
409   ,vtype_dkim           /* Lookup of value in DKIM signature */
410   #endif
411 };
412
413 /* Type for main variable table */
414
415 typedef struct {
416   const char *name;
417   enum vtypes type;
418   void       *value;
419 } var_entry;
420
421 /* Type for entries pointing to address/length pairs. Not currently
422 in use. */
423
424 typedef struct {
425   uschar **address;
426   int  *length;
427 } alblock;
428
429 static uschar * fn_recipients(void);
430
431 /* This table must be kept in alphabetical order. */
432
433 static var_entry var_table[] = {
434   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
435      they will be confused with user-creatable ACL variables. */
436   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
437   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
438   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
439   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
440   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
441   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
442   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
443   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
444   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
445   { "acl_narg",            vtype_int,         &acl_narg },
446   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
447   { "address_data",        vtype_stringptr,   &deliver_address_data },
448   { "address_file",        vtype_stringptr,   &address_file },
449   { "address_pipe",        vtype_stringptr,   &address_pipe },
450   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
451   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
452   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
453   { "authentication_failed",vtype_int,        &authentication_failed },
454 #ifdef WITH_CONTENT_SCAN
455   { "av_failed",           vtype_int,         &av_failed },
456 #endif
457 #ifdef EXPERIMENTAL_BRIGHTMAIL
458   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
459   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
460   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
461   { "bmi_deliver",         vtype_int,         &bmi_deliver },
462 #endif
463   { "body_linecount",      vtype_int,         &body_linecount },
464   { "body_zerocount",      vtype_int,         &body_zerocount },
465   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
466   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
467   { "caller_gid",          vtype_gid,         &real_gid },
468   { "caller_uid",          vtype_uid,         &real_uid },
469   { "callout_address",     vtype_stringptr,   &callout_address },
470   { "compile_date",        vtype_stringptr,   &version_date },
471   { "compile_number",      vtype_stringptr,   &version_cnumber },
472   { "config_dir",          vtype_stringptr,   &config_main_directory },
473   { "config_file",         vtype_stringptr,   &config_main_filename },
474   { "csa_status",          vtype_stringptr,   &csa_status },
475 #ifdef EXPERIMENTAL_DCC
476   { "dcc_header",          vtype_stringptr,   &dcc_header },
477   { "dcc_result",          vtype_stringptr,   &dcc_result },
478 #endif
479 #ifdef WITH_OLD_DEMIME
480   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
481   { "demime_reason",       vtype_stringptr,   &demime_reason },
482 #endif
483 #ifndef DISABLE_DKIM
484   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
485   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
486   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
487   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
488   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
489   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
490   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
491   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
492   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
493   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
494   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
495   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
496   { "dkim_key_length",     vtype_int,         &dkim_key_length },
497   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
498   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
499   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
500   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
501   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
502   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
503   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
504   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
505 #endif
506 #ifdef EXPERIMENTAL_DMARC
507   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
508   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
509   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
510   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
511   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
512 #endif
513   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
514   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
515   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
516   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
517   { "domain",              vtype_stringptr,   &deliver_domain },
518   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
519 #ifndef DISABLE_EVENT
520   { "event_data",          vtype_stringptr,   &event_data },
521
522   /*XXX want to use generic vars for as many of these as possible*/
523   { "event_defer_errno",   vtype_int,         &event_defer_errno },
524
525   { "event_name",          vtype_stringptr,   &event_name },
526 #endif
527   { "exim_gid",            vtype_gid,         &exim_gid },
528   { "exim_path",           vtype_stringptr,   &exim_path },
529   { "exim_uid",            vtype_uid,         &exim_uid },
530   { "exim_version",        vtype_stringptr,   &version_string },
531 #ifdef WITH_OLD_DEMIME
532   { "found_extension",     vtype_stringptr,   &found_extension },
533 #endif
534   { "headers_added",       vtype_string_func, &fn_hdrs_added },
535   { "home",                vtype_stringptr,   &deliver_home },
536   { "host",                vtype_stringptr,   &deliver_host },
537   { "host_address",        vtype_stringptr,   &deliver_host_address },
538   { "host_data",           vtype_stringptr,   &host_data },
539   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
540   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
541   { "host_port",           vtype_int,         &deliver_host_port },
542   { "inode",               vtype_ino,         &deliver_inode },
543   { "interface_address",   vtype_stringptr,   &interface_address },
544   { "interface_port",      vtype_int,         &interface_port },
545   { "item",                vtype_stringptr,   &iterate_item },
546   #ifdef LOOKUP_LDAP
547   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
548   #endif
549   { "load_average",        vtype_load_avg,    NULL },
550   { "local_part",          vtype_stringptr,   &deliver_localpart },
551   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
552   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
553   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
554   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
555   { "local_user_gid",      vtype_gid,         &local_user_gid },
556   { "local_user_uid",      vtype_uid,         &local_user_uid },
557   { "localhost_number",    vtype_int,         &host_number },
558   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
559   { "log_space",           vtype_pspace,      (void *)FALSE },
560   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
561   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
562 #ifdef WITH_CONTENT_SCAN
563   { "malware_name",        vtype_stringptr,   &malware_name },
564 #endif
565   { "max_received_linelength", vtype_int,     &max_received_linelength },
566   { "message_age",         vtype_int,         &message_age },
567   { "message_body",        vtype_msgbody,     &message_body },
568   { "message_body_end",    vtype_msgbody_end, &message_body_end },
569   { "message_body_size",   vtype_int,         &message_body_size },
570   { "message_exim_id",     vtype_stringptr,   &message_id },
571   { "message_headers",     vtype_msgheaders,  NULL },
572   { "message_headers_raw", vtype_msgheaders_raw, NULL },
573   { "message_id",          vtype_stringptr,   &message_id },
574   { "message_linecount",   vtype_int,         &message_linecount },
575   { "message_size",        vtype_int,         &message_size },
576 #ifdef SUPPORT_I18N
577   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
578 #endif
579 #ifdef WITH_CONTENT_SCAN
580   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
581   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
582   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
583   { "mime_charset",        vtype_stringptr,   &mime_charset },
584   { "mime_content_description", vtype_stringptr, &mime_content_description },
585   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
586   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
587   { "mime_content_size",   vtype_int,         &mime_content_size },
588   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
589   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
590   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
591   { "mime_filename",       vtype_stringptr,   &mime_filename },
592   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
593   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
594   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
595   { "mime_part_count",     vtype_int,         &mime_part_count },
596 #endif
597   { "n0",                  vtype_filter_int,  &filter_n[0] },
598   { "n1",                  vtype_filter_int,  &filter_n[1] },
599   { "n2",                  vtype_filter_int,  &filter_n[2] },
600   { "n3",                  vtype_filter_int,  &filter_n[3] },
601   { "n4",                  vtype_filter_int,  &filter_n[4] },
602   { "n5",                  vtype_filter_int,  &filter_n[5] },
603   { "n6",                  vtype_filter_int,  &filter_n[6] },
604   { "n7",                  vtype_filter_int,  &filter_n[7] },
605   { "n8",                  vtype_filter_int,  &filter_n[8] },
606   { "n9",                  vtype_filter_int,  &filter_n[9] },
607   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
608   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
609   { "originator_gid",      vtype_gid,         &originator_gid },
610   { "originator_uid",      vtype_uid,         &originator_uid },
611   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
612   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
613   { "pid",                 vtype_pid,         NULL },
614 #ifndef DISABLE_PRDR
615   { "prdr_requested",      vtype_bool,        &prdr_requested },
616 #endif
617   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
618 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
619   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
620   { "proxy_external_port", vtype_int,         &proxy_external_port },
621   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
622   { "proxy_local_port",    vtype_int,         &proxy_local_port },
623   { "proxy_session",       vtype_bool,        &proxy_session },
624 #endif
625   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
626   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
627   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
628   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
629   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
630   { "rcpt_count",          vtype_int,         &rcpt_count },
631   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
632   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
633   { "received_count",      vtype_int,         &received_count },
634   { "received_for",        vtype_stringptr,   &received_for },
635   { "received_ip_address", vtype_stringptr,   &interface_address },
636   { "received_port",       vtype_int,         &interface_port },
637   { "received_protocol",   vtype_stringptr,   &received_protocol },
638   { "received_time",       vtype_int,         &received_time },
639   { "recipient_data",      vtype_stringptr,   &recipient_data },
640   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
641   { "recipients",          vtype_string_func, &fn_recipients },
642   { "recipients_count",    vtype_int,         &recipients_count },
643 #ifdef WITH_CONTENT_SCAN
644   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
645 #endif
646   { "reply_address",       vtype_reply,       NULL },
647   { "return_path",         vtype_stringptr,   &return_path },
648   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
649   { "router_name",         vtype_stringptr,   &router_name },
650   { "runrc",               vtype_int,         &runrc },
651   { "self_hostname",       vtype_stringptr,   &self_hostname },
652   { "sender_address",      vtype_stringptr,   &sender_address },
653   { "sender_address_data", vtype_stringptr,   &sender_address_data },
654   { "sender_address_domain", vtype_domain,    &sender_address },
655   { "sender_address_local_part", vtype_localpart, &sender_address },
656   { "sender_data",         vtype_stringptr,   &sender_data },
657   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
658   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
659   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
660   { "sender_host_address", vtype_stringptr,   &sender_host_address },
661   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
662   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
663   { "sender_host_name",    vtype_host_lookup, NULL },
664   { "sender_host_port",    vtype_int,         &sender_host_port },
665   { "sender_ident",        vtype_stringptr,   &sender_ident },
666   { "sender_rate",         vtype_stringptr,   &sender_rate },
667   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
668   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
669   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
670   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
671   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
672   { "sending_port",        vtype_int,         &sending_port },
673   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
674   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
675   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
676   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
677   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
678   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
679   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
680   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
681   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
682   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
683   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
684   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
685   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
686   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
687   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
688 #ifdef WITH_CONTENT_SCAN
689   { "spam_action",         vtype_stringptr,   &spam_action },
690   { "spam_bar",            vtype_stringptr,   &spam_bar },
691   { "spam_report",         vtype_stringptr,   &spam_report },
692   { "spam_score",          vtype_stringptr,   &spam_score },
693   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
694 #endif
695 #ifdef EXPERIMENTAL_SPF
696   { "spf_guess",           vtype_stringptr,   &spf_guess },
697   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
698   { "spf_received",        vtype_stringptr,   &spf_received },
699   { "spf_result",          vtype_stringptr,   &spf_result },
700   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
701 #endif
702   { "spool_directory",     vtype_stringptr,   &spool_directory },
703   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
704   { "spool_space",         vtype_pspace,      (void *)TRUE },
705 #ifdef EXPERIMENTAL_SRS
706   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
707   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
708   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
709   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
710   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
711   { "srs_status",          vtype_stringptr,   &srs_status },
712 #endif
713   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
714
715   /* The non-(in,out) variables are now deprecated */
716   { "tls_bits",            vtype_int,         &tls_in.bits },
717   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
718   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
719
720   { "tls_in_bits",         vtype_int,         &tls_in.bits },
721   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
722   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
723   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
724   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
725   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
726   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
727 #if defined(SUPPORT_TLS)
728   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
729 #endif
730   { "tls_out_bits",        vtype_int,         &tls_out.bits },
731   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
732   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
733 #ifdef EXPERIMENTAL_DANE
734   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
735 #endif
736   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
737   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
738   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
739   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
740 #if defined(SUPPORT_TLS)
741   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
742 #endif
743 #ifdef EXPERIMENTAL_DANE
744   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
745 #endif
746
747   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
748 #if defined(SUPPORT_TLS)
749   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
750 #endif
751
752   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
753   { "tod_epoch",           vtype_tode,        NULL },
754   { "tod_epoch_l",         vtype_todel,       NULL },
755   { "tod_full",            vtype_todf,        NULL },
756   { "tod_log",             vtype_todl,        NULL },
757   { "tod_logfile",         vtype_todlf,       NULL },
758   { "tod_zone",            vtype_todzone,     NULL },
759   { "tod_zulu",            vtype_todzulu,     NULL },
760   { "transport_name",      vtype_stringptr,   &transport_name },
761   { "value",               vtype_stringptr,   &lookup_value },
762   { "verify_mode",         vtype_stringptr,   &verify_mode },
763   { "version_number",      vtype_stringptr,   &version_string },
764   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
765   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
766   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
767   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
768   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
769   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
770 };
771
772 static int var_table_size = nelem(var_table);
773 static uschar var_buffer[256];
774 static BOOL malformed_header;
775
776 /* For textual hashes */
777
778 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
779                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
780                                "0123456789";
781
782 enum { HMAC_MD5, HMAC_SHA1 };
783
784 /* For numeric hashes */
785
786 static unsigned int prime[] = {
787   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
788  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
789  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
790
791 /* For printing modes in symbolic form */
792
793 static uschar *mtable_normal[] =
794   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
795
796 static uschar *mtable_setid[] =
797   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
798
799 static uschar *mtable_sticky[] =
800   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
801
802
803
804 /*************************************************
805 *           Tables for UTF-8 support             *
806 *************************************************/
807
808 /* Table of the number of extra characters, indexed by the first character
809 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
810 0x3d. */
811
812 static uschar utf8_table1[] = {
813   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
814   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
815   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
816   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
817
818 /* These are the masks for the data bits in the first byte of a character,
819 indexed by the number of additional bytes. */
820
821 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
822
823 /* Get the next UTF-8 character, advancing the pointer. */
824
825 #define GETUTF8INC(c, ptr) \
826   c = *ptr++; \
827   if ((c & 0xc0) == 0xc0) \
828     { \
829     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
830     int s = 6*a; \
831     c = (c & utf8_table2[a]) << s; \
832     while (a-- > 0) \
833       { \
834       s -= 6; \
835       c |= (*ptr++ & 0x3f) << s; \
836       } \
837     }
838
839
840 /*************************************************
841 *           Binary chop search on a table        *
842 *************************************************/
843
844 /* This is used for matching expansion items and operators.
845
846 Arguments:
847   name        the name that is being sought
848   table       the table to search
849   table_size  the number of items in the table
850
851 Returns:      the offset in the table, or -1
852 */
853
854 static int
855 chop_match(uschar *name, uschar **table, int table_size)
856 {
857 uschar **bot = table;
858 uschar **top = table + table_size;
859
860 while (top > bot)
861   {
862   uschar **mid = bot + (top - bot)/2;
863   int c = Ustrcmp(name, *mid);
864   if (c == 0) return mid - table;
865   if (c > 0) bot = mid + 1; else top = mid;
866   }
867
868 return -1;
869 }
870
871
872
873 /*************************************************
874 *          Check a condition string              *
875 *************************************************/
876
877 /* This function is called to expand a string, and test the result for a "true"
878 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
879 forced fail or lookup defer.
880
881 We used to release all store used, but this is not not safe due
882 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
883 is reasonably careful to release what it can.
884
885 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
886
887 Arguments:
888   condition     the condition string
889   m1            text to be incorporated in panic error
890   m2            ditto
891
892 Returns:        TRUE if condition is met, FALSE if not
893 */
894
895 BOOL
896 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
897 {
898 int rc;
899 uschar *ss = expand_string(condition);
900 if (ss == NULL)
901   {
902   if (!expand_string_forcedfail && !search_find_defer)
903     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
904       "for %s %s: %s", condition, m1, m2, expand_string_message);
905   return FALSE;
906   }
907 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
908   strcmpic(ss, US"false") != 0;
909 return rc;
910 }
911
912
913
914
915 /*************************************************
916 *        Pseudo-random number generation         *
917 *************************************************/
918
919 /* Pseudo-random number generation.  The result is not "expected" to be
920 cryptographically strong but not so weak that someone will shoot themselves
921 in the foot using it as a nonce in some email header scheme or whatever
922 weirdness they'll twist this into.  The result should ideally handle fork().
923
924 However, if we're stuck unable to provide this, then we'll fall back to
925 appallingly bad randomness.
926
927 If SUPPORT_TLS is defined then this will not be used except as an emergency
928 fallback.
929
930 Arguments:
931   max       range maximum
932 Returns     a random number in range [0, max-1]
933 */
934
935 #ifdef SUPPORT_TLS
936 # define vaguely_random_number vaguely_random_number_fallback
937 #endif
938 int
939 vaguely_random_number(int max)
940 {
941 #ifdef SUPPORT_TLS
942 # undef vaguely_random_number
943 #endif
944   static pid_t pid = 0;
945   pid_t p2;
946 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
947   struct timeval tv;
948 #endif
949
950   p2 = getpid();
951   if (p2 != pid)
952     {
953     if (pid != 0)
954       {
955
956 #ifdef HAVE_ARC4RANDOM
957       /* cryptographically strong randomness, common on *BSD platforms, not
958       so much elsewhere.  Alas. */
959 #ifndef NOT_HAVE_ARC4RANDOM_STIR
960       arc4random_stir();
961 #endif
962 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
963 #ifdef HAVE_SRANDOMDEV
964       /* uses random(4) for seeding */
965       srandomdev();
966 #else
967       gettimeofday(&tv, NULL);
968       srandom(tv.tv_sec | tv.tv_usec | getpid());
969 #endif
970 #else
971       /* Poor randomness and no seeding here */
972 #endif
973
974       }
975     pid = p2;
976     }
977
978 #ifdef HAVE_ARC4RANDOM
979   return arc4random() % max;
980 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
981   return random() % max;
982 #else
983   /* This one returns a 16-bit number, definitely not crypto-strong */
984   return random_number(max);
985 #endif
986 }
987
988
989
990
991 /*************************************************
992 *             Pick out a name from a string      *
993 *************************************************/
994
995 /* If the name is too long, it is silently truncated.
996
997 Arguments:
998   name      points to a buffer into which to put the name
999   max       is the length of the buffer
1000   s         points to the first alphabetic character of the name
1001   extras    chars other than alphanumerics to permit
1002
1003 Returns:    pointer to the first character after the name
1004
1005 Note: The test for *s != 0 in the while loop is necessary because
1006 Ustrchr() yields non-NULL if the character is zero (which is not something
1007 I expected). */
1008
1009 static const uschar *
1010 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1011 {
1012 int ptr = 0;
1013 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1014   {
1015   if (ptr < max-1) name[ptr++] = *s;
1016   s++;
1017   }
1018 name[ptr] = 0;
1019 return s;
1020 }
1021
1022
1023
1024 /*************************************************
1025 *     Pick out the rest of a header name         *
1026 *************************************************/
1027
1028 /* A variable name starting $header_ (or just $h_ for those who like
1029 abbreviations) might not be the complete header name because headers can
1030 contain any printing characters in their names, except ':'. This function is
1031 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1032 on the end, if the name was terminated by white space.
1033
1034 Arguments:
1035   name      points to a buffer in which the name read so far exists
1036   max       is the length of the buffer
1037   s         points to the first character after the name so far, i.e. the
1038             first non-alphameric character after $header_xxxxx
1039
1040 Returns:    a pointer to the first character after the header name
1041 */
1042
1043 static const uschar *
1044 read_header_name(uschar *name, int max, const uschar *s)
1045 {
1046 int prelen = Ustrchr(name, '_') - name + 1;
1047 int ptr = Ustrlen(name) - prelen;
1048 if (ptr > 0) memmove(name, name+prelen, ptr);
1049 while (mac_isgraph(*s) && *s != ':')
1050   {
1051   if (ptr < max-1) name[ptr++] = *s;
1052   s++;
1053   }
1054 if (*s == ':') s++;
1055 name[ptr++] = ':';
1056 name[ptr] = 0;
1057 return s;
1058 }
1059
1060
1061
1062 /*************************************************
1063 *           Pick out a number from a string      *
1064 *************************************************/
1065
1066 /* Arguments:
1067   n     points to an integer into which to put the number
1068   s     points to the first digit of the number
1069
1070 Returns:  a pointer to the character after the last digit
1071 */
1072
1073 static uschar *
1074 read_number(int *n, uschar *s)
1075 {
1076 *n = 0;
1077 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1078 return s;
1079 }
1080
1081 static const uschar *
1082 read_cnumber(int *n, const uschar *s)
1083 {
1084 *n = 0;
1085 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1086 return s;
1087 }
1088
1089
1090
1091 /*************************************************
1092 *        Extract keyed subfield from a string    *
1093 *************************************************/
1094
1095 /* The yield is in dynamic store; NULL means that the key was not found.
1096
1097 Arguments:
1098   key       points to the name of the key
1099   s         points to the string from which to extract the subfield
1100
1101 Returns:    NULL if the subfield was not found, or
1102             a pointer to the subfield's data
1103 */
1104
1105 static uschar *
1106 expand_getkeyed(uschar *key, const uschar *s)
1107 {
1108 int length = Ustrlen(key);
1109 while (isspace(*s)) s++;
1110
1111 /* Loop to search for the key */
1112
1113 while (*s != 0)
1114   {
1115   int dkeylength;
1116   uschar *data;
1117   const uschar *dkey = s;
1118
1119   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1120   dkeylength = s - dkey;
1121   while (isspace(*s)) s++;
1122   if (*s == '=') while (isspace((*(++s))));
1123
1124   data = string_dequote(&s);
1125   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1126     return data;
1127
1128   while (isspace(*s)) s++;
1129   }
1130
1131 return NULL;
1132 }
1133
1134
1135
1136 static var_entry *
1137 find_var_ent(uschar * name)
1138 {
1139 int first = 0;
1140 int last = var_table_size;
1141
1142 while (last > first)
1143   {
1144   int middle = (first + last)/2;
1145   int c = Ustrcmp(name, var_table[middle].name);
1146
1147   if (c > 0) { first = middle + 1; continue; }
1148   if (c < 0) { last = middle; continue; }
1149   return &var_table[middle];
1150   }
1151 return NULL;
1152 }
1153
1154 /*************************************************
1155 *   Extract numbered subfield from string        *
1156 *************************************************/
1157
1158 /* Extracts a numbered field from a string that is divided by tokens - for
1159 example a line from /etc/passwd is divided by colon characters.  First field is
1160 numbered one.  Negative arguments count from the right. Zero returns the whole
1161 string. Returns NULL if there are insufficient tokens in the string
1162
1163 ***WARNING***
1164 Modifies final argument - this is a dynamically generated string, so that's OK.
1165
1166 Arguments:
1167   field       number of field to be extracted,
1168                 first field = 1, whole string = 0, last field = -1
1169   separators  characters that are used to break string into tokens
1170   s           points to the string from which to extract the subfield
1171
1172 Returns:      NULL if the field was not found,
1173               a pointer to the field's data inside s (modified to add 0)
1174 */
1175
1176 static uschar *
1177 expand_gettokened (int field, uschar *separators, uschar *s)
1178 {
1179 int sep = 1;
1180 int count;
1181 uschar *ss = s;
1182 uschar *fieldtext = NULL;
1183
1184 if (field == 0) return s;
1185
1186 /* Break the line up into fields in place; for field > 0 we stop when we have
1187 done the number of fields we want. For field < 0 we continue till the end of
1188 the string, counting the number of fields. */
1189
1190 count = (field > 0)? field : INT_MAX;
1191
1192 while (count-- > 0)
1193   {
1194   size_t len;
1195
1196   /* Previous field was the last one in the string. For a positive field
1197   number, this means there are not enough fields. For a negative field number,
1198   check that there are enough, and scan back to find the one that is wanted. */
1199
1200   if (sep == 0)
1201     {
1202     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1203     if ((-field) == (INT_MAX - count - 1)) return s;
1204     while (field++ < 0)
1205       {
1206       ss--;
1207       while (ss[-1] != 0) ss--;
1208       }
1209     fieldtext = ss;
1210     break;
1211     }
1212
1213   /* Previous field was not last in the string; save its start and put a
1214   zero at its end. */
1215
1216   fieldtext = ss;
1217   len = Ustrcspn(ss, separators);
1218   sep = ss[len];
1219   ss[len] = 0;
1220   ss += len + 1;
1221   }
1222
1223 return fieldtext;
1224 }
1225
1226
1227 static uschar *
1228 expand_getlistele(int field, const uschar * list)
1229 {
1230 const uschar * tlist= list;
1231 int sep= 0;
1232 uschar dummy;
1233
1234 if(field<0)
1235   {
1236   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1237   sep= 0;
1238   }
1239 if(field==0) return NULL;
1240 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1241 return string_nextinlist(&list, &sep, NULL, 0);
1242 }
1243
1244
1245 /* Certificate fields, by name.  Worry about by-OID later */
1246 /* Names are chosen to not have common prefixes */
1247
1248 #ifdef SUPPORT_TLS
1249 typedef struct
1250 {
1251 uschar * name;
1252 int      namelen;
1253 uschar * (*getfn)(void * cert, uschar * mod);
1254 } certfield;
1255 static certfield certfields[] =
1256 {                       /* linear search; no special order */
1257   { US"version",         7,  &tls_cert_version },
1258   { US"serial_number",   13, &tls_cert_serial_number },
1259   { US"subject",         7,  &tls_cert_subject },
1260   { US"notbefore",       9,  &tls_cert_not_before },
1261   { US"notafter",        8,  &tls_cert_not_after },
1262   { US"issuer",          6,  &tls_cert_issuer },
1263   { US"signature",       9,  &tls_cert_signature },
1264   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1265   { US"subj_altname",    12, &tls_cert_subject_altname },
1266   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1267   { US"crl_uri",         7,  &tls_cert_crl_uri },
1268 };
1269
1270 static uschar *
1271 expand_getcertele(uschar * field, uschar * certvar)
1272 {
1273 var_entry * vp;
1274 certfield * cp;
1275
1276 if (!(vp = find_var_ent(certvar)))
1277   {
1278   expand_string_message =
1279     string_sprintf("no variable named \"%s\"", certvar);
1280   return NULL;          /* Unknown variable name */
1281   }
1282 /* NB this stops us passing certs around in variable.  Might
1283 want to do that in future */
1284 if (vp->type != vtype_cert)
1285   {
1286   expand_string_message =
1287     string_sprintf("\"%s\" is not a certificate", certvar);
1288   return NULL;          /* Unknown variable name */
1289   }
1290 if (!*(void **)vp->value)
1291   return NULL;
1292
1293 if (*field >= '0' && *field <= '9')
1294   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1295
1296 for(cp = certfields;
1297     cp < certfields + nelem(certfields);
1298     cp++)
1299   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1300     {
1301     uschar * modifier = *(field += cp->namelen) == ','
1302       ? ++field : NULL;
1303     return (*cp->getfn)( *(void **)vp->value, modifier );
1304     }
1305
1306 expand_string_message =
1307   string_sprintf("bad field selector \"%s\" for certextract", field);
1308 return NULL;
1309 }
1310 #endif  /*SUPPORT_TLS*/
1311
1312 /*************************************************
1313 *        Extract a substring from a string       *
1314 *************************************************/
1315
1316 /* Perform the ${substr or ${length expansion operations.
1317
1318 Arguments:
1319   subject     the input string
1320   value1      the offset from the start of the input string to the start of
1321                 the output string; if negative, count from the right.
1322   value2      the length of the output string, or negative (-1) for unset
1323                 if value1 is positive, unset means "all after"
1324                 if value1 is negative, unset means "all before"
1325   len         set to the length of the returned string
1326
1327 Returns:      pointer to the output string, or NULL if there is an error
1328 */
1329
1330 static uschar *
1331 extract_substr(uschar *subject, int value1, int value2, int *len)
1332 {
1333 int sublen = Ustrlen(subject);
1334
1335 if (value1 < 0)    /* count from right */
1336   {
1337   value1 += sublen;
1338
1339   /* If the position is before the start, skip to the start, and adjust the
1340   length. If the length ends up negative, the substring is null because nothing
1341   can precede. This falls out naturally when the length is unset, meaning "all
1342   to the left". */
1343
1344   if (value1 < 0)
1345     {
1346     value2 += value1;
1347     if (value2 < 0) value2 = 0;
1348     value1 = 0;
1349     }
1350
1351   /* Otherwise an unset length => characters before value1 */
1352
1353   else if (value2 < 0)
1354     {
1355     value2 = value1;
1356     value1 = 0;
1357     }
1358   }
1359
1360 /* For a non-negative offset, if the starting position is past the end of the
1361 string, the result will be the null string. Otherwise, an unset length means
1362 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1363
1364 else
1365   {
1366   if (value1 > sublen)
1367     {
1368     value1 = sublen;
1369     value2 = 0;
1370     }
1371   else if (value2 < 0) value2 = sublen;
1372   }
1373
1374 /* Cut the length down to the maximum possible for the offset value, and get
1375 the required characters. */
1376
1377 if (value1 + value2 > sublen) value2 = sublen - value1;
1378 *len = value2;
1379 return subject + value1;
1380 }
1381
1382
1383
1384
1385 /*************************************************
1386 *            Old-style hash of a string          *
1387 *************************************************/
1388
1389 /* Perform the ${hash expansion operation.
1390
1391 Arguments:
1392   subject     the input string (an expanded substring)
1393   value1      the length of the output string; if greater or equal to the
1394                 length of the input string, the input string is returned
1395   value2      the number of hash characters to use, or 26 if negative
1396   len         set to the length of the returned string
1397
1398 Returns:      pointer to the output string, or NULL if there is an error
1399 */
1400
1401 static uschar *
1402 compute_hash(uschar *subject, int value1, int value2, int *len)
1403 {
1404 int sublen = Ustrlen(subject);
1405
1406 if (value2 < 0) value2 = 26;
1407 else if (value2 > Ustrlen(hashcodes))
1408   {
1409   expand_string_message =
1410     string_sprintf("hash count \"%d\" too big", value2);
1411   return NULL;
1412   }
1413
1414 /* Calculate the hash text. We know it is shorter than the original string, so
1415 can safely place it in subject[] (we know that subject is always itself an
1416 expanded substring). */
1417
1418 if (value1 < sublen)
1419   {
1420   int c;
1421   int i = 0;
1422   int j = value1;
1423   while ((c = (subject[j])) != 0)
1424     {
1425     int shift = (c + j++) & 7;
1426     subject[i] ^= (c << shift) | (c >> (8-shift));
1427     if (++i >= value1) i = 0;
1428     }
1429   for (i = 0; i < value1; i++)
1430     subject[i] = hashcodes[(subject[i]) % value2];
1431   }
1432 else value1 = sublen;
1433
1434 *len = value1;
1435 return subject;
1436 }
1437
1438
1439
1440
1441 /*************************************************
1442 *             Numeric hash of a string           *
1443 *************************************************/
1444
1445 /* Perform the ${nhash expansion operation. The first characters of the
1446 string are treated as most important, and get the highest prime numbers.
1447
1448 Arguments:
1449   subject     the input string
1450   value1      the maximum value of the first part of the result
1451   value2      the maximum value of the second part of the result,
1452                 or negative to produce only a one-part result
1453   len         set to the length of the returned string
1454
1455 Returns:  pointer to the output string, or NULL if there is an error.
1456 */
1457
1458 static uschar *
1459 compute_nhash (uschar *subject, int value1, int value2, int *len)
1460 {
1461 uschar *s = subject;
1462 int i = 0;
1463 unsigned long int total = 0; /* no overflow */
1464
1465 while (*s != 0)
1466   {
1467   if (i == 0) i = nelem(prime) - 1;
1468   total += prime[i--] * (unsigned int)(*s++);
1469   }
1470
1471 /* If value2 is unset, just compute one number */
1472
1473 if (value2 < 0)
1474   {
1475   s = string_sprintf("%d", total % value1);
1476   }
1477
1478 /* Otherwise do a div/mod hash */
1479
1480 else
1481   {
1482   total = total % (value1 * value2);
1483   s = string_sprintf("%d/%d", total/value2, total % value2);
1484   }
1485
1486 *len = Ustrlen(s);
1487 return s;
1488 }
1489
1490
1491
1492
1493
1494 /*************************************************
1495 *     Find the value of a header or headers      *
1496 *************************************************/
1497
1498 /* Multiple instances of the same header get concatenated, and this function
1499 can also return a concatenation of all the header lines. When concatenating
1500 specific headers that contain lists of addresses, a comma is inserted between
1501 them. Otherwise we use a straight concatenation. Because some messages can have
1502 pathologically large number of lines, there is a limit on the length that is
1503 returned. Also, to avoid massive store use which would result from using
1504 string_cat() as it copies and extends strings, we do a preliminary pass to find
1505 out exactly how much store will be needed. On "normal" messages this will be
1506 pretty trivial.
1507
1508 Arguments:
1509   name          the name of the header, without the leading $header_ or $h_,
1510                 or NULL if a concatenation of all headers is required
1511   exists_only   TRUE if called from a def: test; don't need to build a string;
1512                 just return a string that is not "" and not "0" if the header
1513                 exists
1514   newsize       return the size of memory block that was obtained; may be NULL
1515                 if exists_only is TRUE
1516   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1517                 other than concatenating, will be done on the header. Also used
1518                 for $message_headers_raw.
1519   charset       name of charset to translate MIME words to; used only if
1520                 want_raw is false; if NULL, no translation is done (this is
1521                 used for $bh_ and $bheader_)
1522
1523 Returns:        NULL if the header does not exist, else a pointer to a new
1524                 store block
1525 */
1526
1527 static uschar *
1528 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1529   uschar *charset)
1530 {
1531 BOOL found = name == NULL;
1532 int comma = 0;
1533 int len = found? 0 : Ustrlen(name);
1534 int i;
1535 uschar *yield = NULL;
1536 uschar *ptr = NULL;
1537
1538 /* Loop for two passes - saves code repetition */
1539
1540 for (i = 0; i < 2; i++)
1541   {
1542   int size = 0;
1543   header_line *h;
1544
1545   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1546     {
1547     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1548       {
1549       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1550         {
1551         int ilen;
1552         uschar *t;
1553
1554         if (exists_only) return US"1";      /* don't need actual string */
1555         found = TRUE;
1556         t = h->text + len;                  /* text to insert */
1557         if (!want_raw)                      /* unless wanted raw, */
1558           while (isspace(*t)) t++;          /* remove leading white space */
1559         ilen = h->slen - (t - h->text);     /* length to insert */
1560
1561         /* Unless wanted raw, remove trailing whitespace, including the
1562         newline. */
1563
1564         if (!want_raw)
1565           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1566
1567         /* Set comma = 1 if handling a single header and it's one of those
1568         that contains an address list, except when asked for raw headers. Only
1569         need to do this once. */
1570
1571         if (!want_raw && name != NULL && comma == 0 &&
1572             Ustrchr("BCFRST", h->type) != NULL)
1573           comma = 1;
1574
1575         /* First pass - compute total store needed; second pass - compute
1576         total store used, including this header. */
1577
1578         size += ilen + comma + 1;  /* +1 for the newline */
1579
1580         /* Second pass - concatentate the data, up to a maximum. Note that
1581         the loop stops when size hits the limit. */
1582
1583         if (i != 0)
1584           {
1585           if (size > header_insert_maxlen)
1586             {
1587             ilen -= size - header_insert_maxlen - 1;
1588             comma = 0;
1589             }
1590           Ustrncpy(ptr, t, ilen);
1591           ptr += ilen;
1592
1593           /* For a non-raw header, put in the comma if needed, then add
1594           back the newline we removed above, provided there was some text in
1595           the header. */
1596
1597           if (!want_raw && ilen > 0)
1598             {
1599             if (comma != 0) *ptr++ = ',';
1600             *ptr++ = '\n';
1601             }
1602           }
1603         }
1604       }
1605     }
1606
1607   /* At end of first pass, return NULL if no header found. Then truncate size
1608   if necessary, and get the buffer to hold the data, returning the buffer size.
1609   */
1610
1611   if (i == 0)
1612     {
1613     if (!found) return NULL;
1614     if (size > header_insert_maxlen) size = header_insert_maxlen;
1615     *newsize = size + 1;
1616     ptr = yield = store_get(*newsize);
1617     }
1618   }
1619
1620 /* That's all we do for raw header expansion. */
1621
1622 if (want_raw)
1623   {
1624   *ptr = 0;
1625   }
1626
1627 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1628 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1629 function can return an error with decoded data if the charset translation
1630 fails. If decoding fails, it returns NULL. */
1631
1632 else
1633   {
1634   uschar *decoded, *error;
1635   if (ptr > yield && ptr[-1] == '\n') ptr--;
1636   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1637   *ptr = 0;
1638   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1639     newsize, &error);
1640   if (error != NULL)
1641     {
1642     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1643       "    input was: %s\n", error, yield);
1644     }
1645   if (decoded != NULL) yield = decoded;
1646   }
1647
1648 return yield;
1649 }
1650
1651
1652
1653
1654 /*************************************************
1655 *               Return list of recipients        *
1656 *************************************************/
1657 /* A recipients list is available only during system message filtering,
1658 during ACL processing after DATA, and while expanding pipe commands
1659 generated from a system filter, but not elsewhere. */
1660
1661 static uschar *
1662 fn_recipients(void)
1663 {
1664 if (!enable_dollar_recipients) return NULL; else
1665   {
1666   int size = 128;
1667   int ptr = 0;
1668   int i;
1669   uschar * s = store_get(size);
1670   for (i = 0; i < recipients_count; i++)
1671     {
1672     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1673     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1674       Ustrlen(recipients_list[i].address));
1675     }
1676   s[ptr] = 0;     /* string_cat() leaves room */
1677   return s;
1678   }
1679 }
1680
1681
1682 /*************************************************
1683 *               Find value of a variable         *
1684 *************************************************/
1685
1686 /* The table of variables is kept in alphabetic order, so we can search it
1687 using a binary chop. The "choplen" variable is nothing to do with the binary
1688 chop.
1689
1690 Arguments:
1691   name          the name of the variable being sought
1692   exists_only   TRUE if this is a def: test; passed on to find_header()
1693   skipping      TRUE => skip any processing evaluation; this is not the same as
1694                   exists_only because def: may test for values that are first
1695                   evaluated here
1696   newsize       pointer to an int which is initially zero; if the answer is in
1697                 a new memory buffer, *newsize is set to its size
1698
1699 Returns:        NULL if the variable does not exist, or
1700                 a pointer to the variable's contents, or
1701                 something non-NULL if exists_only is TRUE
1702 */
1703
1704 static uschar *
1705 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1706 {
1707 var_entry * vp;
1708 uschar *s, *domain;
1709 uschar **ss;
1710 void * val;
1711
1712 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1713 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1714 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1715 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1716 (this gave backwards compatibility at the changeover). There may be built-in
1717 variables whose names start acl_ but they should never start in this way. This
1718 slightly messy specification is a consequence of the history, needless to say.
1719
1720 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1721 set, in which case give an error. */
1722
1723 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1724      !isalpha(name[5]))
1725   {
1726   tree_node *node =
1727     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1728   return (node == NULL)? (strict_acl_vars? NULL : US"") : node->data.ptr;
1729   }
1730
1731 /* Handle $auth<n> variables. */
1732
1733 if (Ustrncmp(name, "auth", 4) == 0)
1734   {
1735   uschar *endptr;
1736   int n = Ustrtoul(name + 4, &endptr, 10);
1737   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1738     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1739   }
1740 else if (Ustrncmp(name, "regex", 5) == 0)
1741   {
1742   uschar *endptr;
1743   int n = Ustrtoul(name + 5, &endptr, 10);
1744   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1745     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1746   }
1747
1748 /* For all other variables, search the table */
1749
1750 if (!(vp = find_var_ent(name)))
1751   return NULL;          /* Unknown variable name */
1752
1753 /* Found an existing variable. If in skipping state, the value isn't needed,
1754 and we want to avoid processing (such as looking up the host name). */
1755
1756 if (skipping)
1757   return US"";
1758
1759 val = vp->value;
1760 switch (vp->type)
1761   {
1762   case vtype_filter_int:
1763   if (!filter_running) return NULL;
1764   /* Fall through */
1765   /* VVVVVVVVVVVV */
1766   case vtype_int:
1767   sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1768   return var_buffer;
1769
1770   case vtype_ino:
1771   sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1772   return var_buffer;
1773
1774   case vtype_gid:
1775   sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1776   return var_buffer;
1777
1778   case vtype_uid:
1779   sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1780   return var_buffer;
1781
1782   case vtype_bool:
1783   sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1784   return var_buffer;
1785
1786   case vtype_stringptr:                      /* Pointer to string */
1787   s = *((uschar **)(val));
1788   return (s == NULL)? US"" : s;
1789
1790   case vtype_pid:
1791   sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1792   return var_buffer;
1793
1794   case vtype_load_avg:
1795   sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1796   return var_buffer;
1797
1798   case vtype_host_lookup:                    /* Lookup if not done so */
1799   if (sender_host_name == NULL && sender_host_address != NULL &&
1800       !host_lookup_failed && host_name_lookup() == OK)
1801     host_build_sender_fullhost();
1802   return (sender_host_name == NULL)? US"" : sender_host_name;
1803
1804   case vtype_localpart:                      /* Get local part from address */
1805   s = *((uschar **)(val));
1806   if (s == NULL) return US"";
1807   domain = Ustrrchr(s, '@');
1808   if (domain == NULL) return s;
1809   if (domain - s > sizeof(var_buffer) - 1)
1810     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1811         " in string expansion", sizeof(var_buffer));
1812   Ustrncpy(var_buffer, s, domain - s);
1813   var_buffer[domain - s] = 0;
1814   return var_buffer;
1815
1816   case vtype_domain:                         /* Get domain from address */
1817   s = *((uschar **)(val));
1818   if (s == NULL) return US"";
1819   domain = Ustrrchr(s, '@');
1820   return (domain == NULL)? US"" : domain + 1;
1821
1822   case vtype_msgheaders:
1823   return find_header(NULL, exists_only, newsize, FALSE, NULL);
1824
1825   case vtype_msgheaders_raw:
1826   return find_header(NULL, exists_only, newsize, TRUE, NULL);
1827
1828   case vtype_msgbody:                        /* Pointer to msgbody string */
1829   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1830   ss = (uschar **)(val);
1831   if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1832     {
1833     uschar *body;
1834     off_t start_offset = SPOOL_DATA_START_OFFSET;
1835     int len = message_body_visible;
1836     if (len > message_size) len = message_size;
1837     *ss = body = store_malloc(len+1);
1838     body[0] = 0;
1839     if (vp->type == vtype_msgbody_end)
1840       {
1841       struct stat statbuf;
1842       if (fstat(deliver_datafile, &statbuf) == 0)
1843         {
1844         start_offset = statbuf.st_size - len;
1845         if (start_offset < SPOOL_DATA_START_OFFSET)
1846           start_offset = SPOOL_DATA_START_OFFSET;
1847         }
1848       }
1849     lseek(deliver_datafile, start_offset, SEEK_SET);
1850     len = read(deliver_datafile, body, len);
1851     if (len > 0)
1852       {
1853       body[len] = 0;
1854       if (message_body_newlines)   /* Separate loops for efficiency */
1855         {
1856         while (len > 0)
1857           { if (body[--len] == 0) body[len] = ' '; }
1858         }
1859       else
1860         {
1861         while (len > 0)
1862           { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1863         }
1864       }
1865     }
1866   return (*ss == NULL)? US"" : *ss;
1867
1868   case vtype_todbsdin:                       /* BSD inbox time of day */
1869   return tod_stamp(tod_bsdin);
1870
1871   case vtype_tode:                           /* Unix epoch time of day */
1872   return tod_stamp(tod_epoch);
1873
1874   case vtype_todel:                          /* Unix epoch/usec time of day */
1875   return tod_stamp(tod_epoch_l);
1876
1877   case vtype_todf:                           /* Full time of day */
1878   return tod_stamp(tod_full);
1879
1880   case vtype_todl:                           /* Log format time of day */
1881   return tod_stamp(tod_log_bare);            /* (without timezone) */
1882
1883   case vtype_todzone:                        /* Time zone offset only */
1884   return tod_stamp(tod_zone);
1885
1886   case vtype_todzulu:                        /* Zulu time */
1887   return tod_stamp(tod_zulu);
1888
1889   case vtype_todlf:                          /* Log file datestamp tod */
1890   return tod_stamp(tod_log_datestamp_daily);
1891
1892   case vtype_reply:                          /* Get reply address */
1893   s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1894     headers_charset);
1895   if (s != NULL) while (isspace(*s)) s++;
1896   if (s == NULL || *s == 0)
1897     {
1898     *newsize = 0;                            /* For the *s==0 case */
1899     s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1900     }
1901   if (s != NULL)
1902     {
1903     uschar *t;
1904     while (isspace(*s)) s++;
1905     for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1906     while (t > s && isspace(t[-1])) t--;
1907     *t = 0;
1908     }
1909   return (s == NULL)? US"" : s;
1910
1911   case vtype_string_func:
1912     {
1913     uschar * (*fn)() = val;
1914     return fn();
1915     }
1916
1917   case vtype_pspace:
1918     {
1919     int inodes;
1920     sprintf(CS var_buffer, "%d",
1921       receive_statvfs(val == (void *)TRUE, &inodes));
1922     }
1923   return var_buffer;
1924
1925   case vtype_pinodes:
1926     {
1927     int inodes;
1928     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1929     sprintf(CS var_buffer, "%d", inodes);
1930     }
1931   return var_buffer;
1932
1933   case vtype_cert:
1934   return *(void **)val ? US"<cert>" : US"";
1935
1936   #ifndef DISABLE_DKIM
1937   case vtype_dkim:
1938   return dkim_exim_expand_query((int)(long)val);
1939   #endif
1940
1941   }
1942
1943 return NULL;  /* Unknown variable. Silences static checkers. */
1944 }
1945
1946
1947
1948
1949 void
1950 modify_variable(uschar *name, void * value)
1951 {
1952 var_entry * vp;
1953 if ((vp = find_var_ent(name))) vp->value = value;
1954 return;          /* Unknown variable name, fail silently */
1955 }
1956
1957
1958
1959
1960
1961 /*************************************************
1962 *           Read and expand substrings           *
1963 *************************************************/
1964
1965 /* This function is called to read and expand argument substrings for various
1966 expansion items. Some have a minimum requirement that is less than the maximum;
1967 in these cases, the first non-present one is set to NULL.
1968
1969 Arguments:
1970   sub        points to vector of pointers to set
1971   n          maximum number of substrings
1972   m          minimum required
1973   sptr       points to current string pointer
1974   skipping   the skipping flag
1975   check_end  if TRUE, check for final '}'
1976   name       name of item, for error message
1977   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1978              the store.
1979
1980 Returns:     0 OK; string pointer updated
1981              1 curly bracketing error (too few arguments)
1982              2 too many arguments (only if check_end is set); message set
1983              3 other error (expansion failure)
1984 */
1985
1986 static int
1987 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1988   BOOL check_end, uschar *name, BOOL *resetok)
1989 {
1990 int i;
1991 const uschar *s = *sptr;
1992
1993 while (isspace(*s)) s++;
1994 for (i = 0; i < n; i++)
1995   {
1996   if (*s != '{')
1997     {
1998     if (i < m) return 1;
1999     sub[i] = NULL;
2000     break;
2001     }
2002   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
2003   if (sub[i] == NULL) return 3;
2004   if (*s++ != '}') return 1;
2005   while (isspace(*s)) s++;
2006   }
2007 if (check_end && *s++ != '}')
2008   {
2009   if (s[-1] == '{')
2010     {
2011     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
2012       "(max is %d)", name, n);
2013     return 2;
2014     }
2015   return 1;
2016   }
2017
2018 *sptr = s;
2019 return 0;
2020 }
2021
2022
2023
2024
2025 /*************************************************
2026 *     Elaborate message for bad variable         *
2027 *************************************************/
2028
2029 /* For the "unknown variable" message, take a look at the variable's name, and
2030 give additional information about possible ACL variables. The extra information
2031 is added on to expand_string_message.
2032
2033 Argument:   the name of the variable
2034 Returns:    nothing
2035 */
2036
2037 static void
2038 check_variable_error_message(uschar *name)
2039 {
2040 if (Ustrncmp(name, "acl_", 4) == 0)
2041   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2042     (name[4] == 'c' || name[4] == 'm')?
2043       (isalpha(name[5])?
2044         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2045         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2046       ) :
2047       US"user-defined ACL variables must start acl_c or acl_m");
2048 }
2049
2050
2051
2052 /*
2053 Load args from sub array to globals, and call acl_check().
2054 Sub array will be corrupted on return.
2055
2056 Returns:       OK         access is granted by an ACCEPT verb
2057                DISCARD    access is granted by a DISCARD verb
2058                FAIL       access is denied
2059                FAIL_DROP  access is denied; drop the connection
2060                DEFER      can't tell at the moment
2061                ERROR      disaster
2062 */
2063 static int
2064 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2065 {
2066 int i;
2067 int sav_narg = acl_narg;
2068 int ret;
2069 uschar * dummy_logmsg;
2070 extern int acl_where;
2071
2072 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2073 for (i = 0; i < nsub && sub[i+1]; i++)
2074   {
2075   uschar * tmp = acl_arg[i];
2076   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2077   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2078   }
2079 acl_narg = i;
2080 while (i < nsub)
2081   {
2082   sub[i+1] = acl_arg[i];
2083   acl_arg[i++] = NULL;
2084   }
2085
2086 DEBUG(D_expand)
2087   debug_printf("expanding: acl: %s  arg: %s%s\n",
2088     sub[0],
2089     acl_narg>0 ? acl_arg[0] : US"<none>",
2090     acl_narg>1 ? " +more"   : "");
2091
2092 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2093
2094 for (i = 0; i < nsub; i++)
2095   acl_arg[i] = sub[i+1];        /* restore old args */
2096 acl_narg = sav_narg;
2097
2098 return ret;
2099 }
2100
2101
2102
2103
2104 /*************************************************
2105 *        Read and evaluate a condition           *
2106 *************************************************/
2107
2108 /*
2109 Arguments:
2110   s        points to the start of the condition text
2111   resetok  points to a BOOL which is written false if it is unsafe to
2112            free memory. Certain condition types (acl) may have side-effect
2113            allocation which must be preserved.
2114   yield    points to a BOOL to hold the result of the condition test;
2115            if NULL, we are just reading through a condition that is
2116            part of an "or" combination to check syntax, or in a state
2117            where the answer isn't required
2118
2119 Returns:   a pointer to the first character after the condition, or
2120            NULL after an error
2121 */
2122
2123 static const uschar *
2124 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2125 {
2126 BOOL testfor = TRUE;
2127 BOOL tempcond, combined_cond;
2128 BOOL *subcondptr;
2129 BOOL sub2_honour_dollar = TRUE;
2130 int i, rc, cond_type, roffset;
2131 int_eximarith_t num[2];
2132 struct stat statbuf;
2133 uschar name[256];
2134 const uschar *sub[10];
2135
2136 const pcre *re;
2137 const uschar *rerror;
2138
2139 for (;;)
2140   {
2141   while (isspace(*s)) s++;
2142   if (*s == '!') { testfor = !testfor; s++; } else break;
2143   }
2144
2145 /* Numeric comparisons are symbolic */
2146
2147 if (*s == '=' || *s == '>' || *s == '<')
2148   {
2149   int p = 0;
2150   name[p++] = *s++;
2151   if (*s == '=')
2152     {
2153     name[p++] = '=';
2154     s++;
2155     }
2156   name[p] = 0;
2157   }
2158
2159 /* All other conditions are named */
2160
2161 else s = read_name(name, 256, s, US"_");
2162
2163 /* If we haven't read a name, it means some non-alpha character is first. */
2164
2165 if (name[0] == 0)
2166   {
2167   expand_string_message = string_sprintf("condition name expected, "
2168     "but found \"%.16s\"", s);
2169   return NULL;
2170   }
2171
2172 /* Find which condition we are dealing with, and switch on it */
2173
2174 cond_type = chop_match(name, cond_table, nelem(cond_table));
2175 switch(cond_type)
2176   {
2177   /* def: tests for a non-empty variable, or for the existence of a header. If
2178   yield == NULL we are in a skipping state, and don't care about the answer. */
2179
2180   case ECOND_DEF:
2181   if (*s != ':')
2182     {
2183     expand_string_message = US"\":\" expected after \"def\"";
2184     return NULL;
2185     }
2186
2187   s = read_name(name, 256, s+1, US"_");
2188
2189   /* Test for a header's existence. If the name contains a closing brace
2190   character, this may be a user error where the terminating colon has been
2191   omitted. Set a flag to adjust a subsequent error message in this case. */
2192
2193   if (Ustrncmp(name, "h_", 2) == 0 ||
2194       Ustrncmp(name, "rh_", 3) == 0 ||
2195       Ustrncmp(name, "bh_", 3) == 0 ||
2196       Ustrncmp(name, "header_", 7) == 0 ||
2197       Ustrncmp(name, "rheader_", 8) == 0 ||
2198       Ustrncmp(name, "bheader_", 8) == 0)
2199     {
2200     s = read_header_name(name, 256, s);
2201     /* {-for-text-editors */
2202     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2203     if (yield != NULL) *yield =
2204       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2205     }
2206
2207   /* Test for a variable's having a non-empty value. A non-existent variable
2208   causes an expansion failure. */
2209
2210   else
2211     {
2212     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2213     if (value == NULL)
2214       {
2215       expand_string_message = (name[0] == 0)?
2216         string_sprintf("variable name omitted after \"def:\"") :
2217         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2218       check_variable_error_message(name);
2219       return NULL;
2220       }
2221     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2222     }
2223
2224   return s;
2225
2226
2227   /* first_delivery tests for first delivery attempt */
2228
2229   case ECOND_FIRST_DELIVERY:
2230   if (yield != NULL) *yield = deliver_firsttime == testfor;
2231   return s;
2232
2233
2234   /* queue_running tests for any process started by a queue runner */
2235
2236   case ECOND_QUEUE_RUNNING:
2237   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2238   return s;
2239
2240
2241   /* exists:  tests for file existence
2242        isip:  tests for any IP address
2243       isip4:  tests for an IPv4 address
2244       isip6:  tests for an IPv6 address
2245         pam:  does PAM authentication
2246      radius:  does RADIUS authentication
2247    ldapauth:  does LDAP authentication
2248     pwcheck:  does Cyrus SASL pwcheck authentication
2249   */
2250
2251   case ECOND_EXISTS:
2252   case ECOND_ISIP:
2253   case ECOND_ISIP4:
2254   case ECOND_ISIP6:
2255   case ECOND_PAM:
2256   case ECOND_RADIUS:
2257   case ECOND_LDAPAUTH:
2258   case ECOND_PWCHECK:
2259
2260   while (isspace(*s)) s++;
2261   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2262
2263   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2264   if (sub[0] == NULL) return NULL;
2265   /* {-for-text-editors */
2266   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2267
2268   if (yield == NULL) return s;   /* No need to run the test if skipping */
2269
2270   switch(cond_type)
2271     {
2272     case ECOND_EXISTS:
2273     if ((expand_forbid & RDO_EXISTS) != 0)
2274       {
2275       expand_string_message = US"File existence tests are not permitted";
2276       return NULL;
2277       }
2278     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2279     break;
2280
2281     case ECOND_ISIP:
2282     case ECOND_ISIP4:
2283     case ECOND_ISIP6:
2284     rc = string_is_ip_address(sub[0], NULL);
2285     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2286              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2287     break;
2288
2289     /* Various authentication tests - all optionally compiled */
2290
2291     case ECOND_PAM:
2292     #ifdef SUPPORT_PAM
2293     rc = auth_call_pam(sub[0], &expand_string_message);
2294     goto END_AUTH;
2295     #else
2296     goto COND_FAILED_NOT_COMPILED;
2297     #endif  /* SUPPORT_PAM */
2298
2299     case ECOND_RADIUS:
2300     #ifdef RADIUS_CONFIG_FILE
2301     rc = auth_call_radius(sub[0], &expand_string_message);
2302     goto END_AUTH;
2303     #else
2304     goto COND_FAILED_NOT_COMPILED;
2305     #endif  /* RADIUS_CONFIG_FILE */
2306
2307     case ECOND_LDAPAUTH:
2308     #ifdef LOOKUP_LDAP
2309       {
2310       /* Just to keep the interface the same */
2311       BOOL do_cache;
2312       int old_pool = store_pool;
2313       store_pool = POOL_SEARCH;
2314       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2315         &expand_string_message, &do_cache);
2316       store_pool = old_pool;
2317       }
2318     goto END_AUTH;
2319     #else
2320     goto COND_FAILED_NOT_COMPILED;
2321     #endif  /* LOOKUP_LDAP */
2322
2323     case ECOND_PWCHECK:
2324     #ifdef CYRUS_PWCHECK_SOCKET
2325     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2326     goto END_AUTH;
2327     #else
2328     goto COND_FAILED_NOT_COMPILED;
2329     #endif  /* CYRUS_PWCHECK_SOCKET */
2330
2331     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2332         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2333     END_AUTH:
2334     if (rc == ERROR || rc == DEFER) return NULL;
2335     *yield = (rc == OK) == testfor;
2336     #endif
2337     }
2338   return s;
2339
2340
2341   /* call ACL (in a conditional context).  Accept true, deny false.
2342   Defer is a forced-fail.  Anything set by message= goes to $value.
2343   Up to ten parameters are used; we use the braces round the name+args
2344   like the saslauthd condition does, to permit a variable number of args.
2345   See also the expansion-item version EITEM_ACL and the traditional
2346   acl modifier ACLC_ACL.
2347   Since the ACL may allocate new global variables, tell our caller to not
2348   reclaim memory.
2349   */
2350
2351   case ECOND_ACL:
2352     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2353     {
2354     uschar *sub[10];
2355     uschar *user_msg;
2356     BOOL cond = FALSE;
2357     int size = 0;
2358     int ptr = 0;
2359
2360     while (isspace(*s)) s++;
2361     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2362
2363     switch(read_subs(sub, nelem(sub), 1,
2364       &s, yield == NULL, TRUE, US"acl", resetok))
2365       {
2366       case 1: expand_string_message = US"too few arguments or bracketing "
2367         "error for acl";
2368       case 2:
2369       case 3: return NULL;
2370       }
2371
2372     *resetok = FALSE;
2373     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2374         {
2375         case OK:
2376           cond = TRUE;
2377         case FAIL:
2378           lookup_value = NULL;
2379           if (user_msg)
2380             {
2381             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2382             lookup_value[ptr] = '\0';
2383             }
2384           *yield = cond == testfor;
2385           break;
2386
2387         case DEFER:
2388           expand_string_forcedfail = TRUE;
2389         default:
2390           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2391           return NULL;
2392         }
2393     return s;
2394     }
2395
2396
2397   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2398
2399      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2400
2401   However, the last two are optional. That is why the whole set is enclosed
2402   in their own set of braces. */
2403
2404   case ECOND_SASLAUTHD:
2405 #ifndef CYRUS_SASLAUTHD_SOCKET
2406     goto COND_FAILED_NOT_COMPILED;
2407 #else
2408     {
2409     uschar *sub[4];
2410     while (isspace(*s)) s++;
2411     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2412     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2413                     resetok))
2414       {
2415       case 1: expand_string_message = US"too few arguments or bracketing "
2416         "error for saslauthd";
2417       case 2:
2418       case 3: return NULL;
2419       }
2420     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2421     if (yield != NULL)
2422       {
2423       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2424         &expand_string_message);
2425       if (rc == ERROR || rc == DEFER) return NULL;
2426       *yield = (rc == OK) == testfor;
2427       }
2428     return s;
2429     }
2430 #endif /* CYRUS_SASLAUTHD_SOCKET */
2431
2432
2433   /* symbolic operators for numeric and string comparison, and a number of
2434   other operators, all requiring two arguments.
2435
2436   crypteq:           encrypts plaintext and compares against an encrypted text,
2437                        using crypt(), crypt16(), MD5 or SHA-1
2438   inlist/inlisti:    checks if first argument is in the list of the second
2439   match:             does a regular expression match and sets up the numerical
2440                        variables if it succeeds
2441   match_address:     matches in an address list
2442   match_domain:      matches in a domain list
2443   match_ip:          matches a host list that is restricted to IP addresses
2444   match_local_part:  matches in a local part list
2445   */
2446
2447   case ECOND_MATCH_ADDRESS:
2448   case ECOND_MATCH_DOMAIN:
2449   case ECOND_MATCH_IP:
2450   case ECOND_MATCH_LOCAL_PART:
2451 #ifndef EXPAND_LISTMATCH_RHS
2452     sub2_honour_dollar = FALSE;
2453 #endif
2454     /* FALLTHROUGH */
2455
2456   case ECOND_CRYPTEQ:
2457   case ECOND_INLIST:
2458   case ECOND_INLISTI:
2459   case ECOND_MATCH:
2460
2461   case ECOND_NUM_L:     /* Numerical comparisons */
2462   case ECOND_NUM_LE:
2463   case ECOND_NUM_E:
2464   case ECOND_NUM_EE:
2465   case ECOND_NUM_G:
2466   case ECOND_NUM_GE:
2467
2468   case ECOND_STR_LT:    /* String comparisons */
2469   case ECOND_STR_LTI:
2470   case ECOND_STR_LE:
2471   case ECOND_STR_LEI:
2472   case ECOND_STR_EQ:
2473   case ECOND_STR_EQI:
2474   case ECOND_STR_GT:
2475   case ECOND_STR_GTI:
2476   case ECOND_STR_GE:
2477   case ECOND_STR_GEI:
2478
2479   for (i = 0; i < 2; i++)
2480     {
2481     /* Sometimes, we don't expand substrings; too many insecure configurations
2482     created using match_address{}{} and friends, where the second param
2483     includes information from untrustworthy sources. */
2484     BOOL honour_dollar = TRUE;
2485     if ((i > 0) && !sub2_honour_dollar)
2486       honour_dollar = FALSE;
2487
2488     while (isspace(*s)) s++;
2489     if (*s != '{')
2490       {
2491       if (i == 0) goto COND_FAILED_CURLY_START;
2492       expand_string_message = string_sprintf("missing 2nd string in {} "
2493         "after \"%s\"", name);
2494       return NULL;
2495       }
2496     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2497         honour_dollar, resetok);
2498     if (sub[i] == NULL) return NULL;
2499     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2500
2501     /* Convert to numerical if required; we know that the names of all the
2502     conditions that compare numbers do not start with a letter. This just saves
2503     checking for them individually. */
2504
2505     if (!isalpha(name[0]) && yield != NULL)
2506       {
2507       if (sub[i][0] == 0)
2508         {
2509         num[i] = 0;
2510         DEBUG(D_expand)
2511           debug_printf("empty string cast to zero for numerical comparison\n");
2512         }
2513       else
2514         {
2515         num[i] = expanded_string_integer(sub[i], FALSE);
2516         if (expand_string_message != NULL) return NULL;
2517         }
2518       }
2519     }
2520
2521   /* Result not required */
2522
2523   if (yield == NULL) return s;
2524
2525   /* Do an appropriate comparison */
2526
2527   switch(cond_type)
2528     {
2529     case ECOND_NUM_E:
2530     case ECOND_NUM_EE:
2531     tempcond = (num[0] == num[1]);
2532     break;
2533
2534     case ECOND_NUM_G:
2535     tempcond = (num[0] > num[1]);
2536     break;
2537
2538     case ECOND_NUM_GE:
2539     tempcond = (num[0] >= num[1]);
2540     break;
2541
2542     case ECOND_NUM_L:
2543     tempcond = (num[0] < num[1]);
2544     break;
2545
2546     case ECOND_NUM_LE:
2547     tempcond = (num[0] <= num[1]);
2548     break;
2549
2550     case ECOND_STR_LT:
2551     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2552     break;
2553
2554     case ECOND_STR_LTI:
2555     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2556     break;
2557
2558     case ECOND_STR_LE:
2559     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2560     break;
2561
2562     case ECOND_STR_LEI:
2563     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2564     break;
2565
2566     case ECOND_STR_EQ:
2567     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2568     break;
2569
2570     case ECOND_STR_EQI:
2571     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2572     break;
2573
2574     case ECOND_STR_GT:
2575     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2576     break;
2577
2578     case ECOND_STR_GTI:
2579     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2580     break;
2581
2582     case ECOND_STR_GE:
2583     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2584     break;
2585
2586     case ECOND_STR_GEI:
2587     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2588     break;
2589
2590     case ECOND_MATCH:   /* Regular expression match */
2591     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2592       NULL);
2593     if (re == NULL)
2594       {
2595       expand_string_message = string_sprintf("regular expression error in "
2596         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2597       return NULL;
2598       }
2599     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2600     break;
2601
2602     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2603     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2604     goto MATCHED_SOMETHING;
2605
2606     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2607     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2608       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2609     goto MATCHED_SOMETHING;
2610
2611     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2612     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2613       {
2614       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2615         sub[0]);
2616       return NULL;
2617       }
2618     else
2619       {
2620       unsigned int *nullcache = NULL;
2621       check_host_block cb;
2622
2623       cb.host_name = US"";
2624       cb.host_address = sub[0];
2625
2626       /* If the host address starts off ::ffff: it is an IPv6 address in
2627       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2628       addresses. */
2629
2630       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2631         cb.host_address + 7 : cb.host_address;
2632
2633       rc = match_check_list(
2634              &sub[1],                   /* the list */
2635              0,                         /* separator character */
2636              &hostlist_anchor,          /* anchor pointer */
2637              &nullcache,                /* cache pointer */
2638              check_host,                /* function for testing */
2639              &cb,                       /* argument for function */
2640              MCL_HOST,                  /* type of check */
2641              sub[0],                    /* text for debugging */
2642              NULL);                     /* where to pass back data */
2643       }
2644     goto MATCHED_SOMETHING;
2645
2646     case ECOND_MATCH_LOCAL_PART:
2647     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2648       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2649     /* Fall through */
2650     /* VVVVVVVVVVVV */
2651     MATCHED_SOMETHING:
2652     switch(rc)
2653       {
2654       case OK:
2655       tempcond = TRUE;
2656       break;
2657
2658       case FAIL:
2659       tempcond = FALSE;
2660       break;
2661
2662       case DEFER:
2663       expand_string_message = string_sprintf("unable to complete match "
2664         "against \"%s\": %s", sub[1], search_error_message);
2665       return NULL;
2666       }
2667
2668     break;
2669
2670     /* Various "encrypted" comparisons. If the second string starts with
2671     "{" then an encryption type is given. Default to crypt() or crypt16()
2672     (build-time choice). */
2673     /* }-for-text-editors */
2674
2675     case ECOND_CRYPTEQ:
2676     #ifndef SUPPORT_CRYPTEQ
2677     goto COND_FAILED_NOT_COMPILED;
2678     #else
2679     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2680       {
2681       int sublen = Ustrlen(sub[1]+5);
2682       md5 base;
2683       uschar digest[16];
2684
2685       md5_start(&base);
2686       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2687
2688       /* If the length that we are comparing against is 24, the MD5 digest
2689       is expressed as a base64 string. This is the way LDAP does it. However,
2690       some other software uses a straightforward hex representation. We assume
2691       this if the length is 32. Other lengths fail. */
2692
2693       if (sublen == 24)
2694         {
2695         uschar *coded = auth_b64encode((uschar *)digest, 16);
2696         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2697           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2698         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2699         }
2700       else if (sublen == 32)
2701         {
2702         int i;
2703         uschar coded[36];
2704         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2705         coded[32] = 0;
2706         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2707           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2708         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2709         }
2710       else
2711         {
2712         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2713           "fail\n  crypted=%s\n", sub[1]+5);
2714         tempcond = FALSE;
2715         }
2716       }
2717
2718     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2719       {
2720       int sublen = Ustrlen(sub[1]+6);
2721       sha1 base;
2722       uschar digest[20];
2723
2724       sha1_start(&base);
2725       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2726
2727       /* If the length that we are comparing against is 28, assume the SHA1
2728       digest is expressed as a base64 string. If the length is 40, assume a
2729       straightforward hex representation. Other lengths fail. */
2730
2731       if (sublen == 28)
2732         {
2733         uschar *coded = auth_b64encode((uschar *)digest, 20);
2734         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2735           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2736         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2737         }
2738       else if (sublen == 40)
2739         {
2740         int i;
2741         uschar coded[44];
2742         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2743         coded[40] = 0;
2744         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2745           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2746         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2747         }
2748       else
2749         {
2750         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2751           "fail\n  crypted=%s\n", sub[1]+6);
2752         tempcond = FALSE;
2753         }
2754       }
2755
2756     else   /* {crypt} or {crypt16} and non-{ at start */
2757            /* }-for-text-editors */
2758       {
2759       int which = 0;
2760       uschar *coded;
2761
2762       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2763         {
2764         sub[1] += 7;
2765         which = 1;
2766         }
2767       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2768         {
2769         sub[1] += 9;
2770         which = 2;
2771         }
2772       else if (sub[1][0] == '{')                /* }-for-text-editors */
2773         {
2774         expand_string_message = string_sprintf("unknown encryption mechanism "
2775           "in \"%s\"", sub[1]);
2776         return NULL;
2777         }
2778
2779       switch(which)
2780         {
2781         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2782         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2783         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2784         }
2785
2786       #define STR(s) # s
2787       #define XSTR(s) STR(s)
2788       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2789         "  subject=%s\n  crypted=%s\n",
2790         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2791         coded, sub[1]);
2792       #undef STR
2793       #undef XSTR
2794
2795       /* If the encrypted string contains fewer than two characters (for the
2796       salt), force failure. Otherwise we get false positives: with an empty
2797       string the yield of crypt() is an empty string! */
2798
2799       tempcond = (Ustrlen(sub[1]) < 2)? FALSE :
2800         (Ustrcmp(coded, sub[1]) == 0);
2801       }
2802     break;
2803     #endif  /* SUPPORT_CRYPTEQ */
2804
2805     case ECOND_INLIST:
2806     case ECOND_INLISTI:
2807       {
2808       const uschar * list = sub[1];
2809       int sep = 0;
2810       uschar *save_iterate_item = iterate_item;
2811       int (*compare)(const uschar *, const uschar *);
2812
2813       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2814
2815       tempcond = FALSE;
2816       compare = cond_type == ECOND_INLISTI
2817         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2818
2819       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2820         if (compare(sub[0], iterate_item) == 0)
2821           {
2822           tempcond = TRUE;
2823           break;
2824           }
2825       iterate_item = save_iterate_item;
2826       }
2827
2828     }   /* Switch for comparison conditions */
2829
2830   *yield = tempcond == testfor;
2831   return s;    /* End of comparison conditions */
2832
2833
2834   /* and/or: computes logical and/or of several conditions */
2835
2836   case ECOND_AND:
2837   case ECOND_OR:
2838   subcondptr = (yield == NULL)? NULL : &tempcond;
2839   combined_cond = (cond_type == ECOND_AND);
2840
2841   while (isspace(*s)) s++;
2842   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2843
2844   for (;;)
2845     {
2846     while (isspace(*s)) s++;
2847     /* {-for-text-editors */
2848     if (*s == '}') break;
2849     if (*s != '{')                                      /* }-for-text-editors */
2850       {
2851       expand_string_message = string_sprintf("each subcondition "
2852         "inside an \"%s{...}\" condition must be in its own {}", name);
2853       return NULL;
2854       }
2855
2856     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2857       {
2858       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2859         expand_string_message, name);
2860       return NULL;
2861       }
2862     while (isspace(*s)) s++;
2863
2864     /* {-for-text-editors */
2865     if (*s++ != '}')
2866       {
2867       /* {-for-text-editors */
2868       expand_string_message = string_sprintf("missing } at end of condition "
2869         "inside \"%s\" group", name);
2870       return NULL;
2871       }
2872
2873     if (yield != NULL)
2874       {
2875       if (cond_type == ECOND_AND)
2876         {
2877         combined_cond &= tempcond;
2878         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2879         }                                       /* evaluate any more */
2880       else
2881         {
2882         combined_cond |= tempcond;
2883         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2884         }                                       /* evaluate any more */
2885       }
2886     }
2887
2888   if (yield != NULL) *yield = (combined_cond == testfor);
2889   return ++s;
2890
2891
2892   /* forall/forany: iterates a condition with different values */
2893
2894   case ECOND_FORALL:
2895   case ECOND_FORANY:
2896     {
2897     const uschar * list;
2898     int sep = 0;
2899     uschar *save_iterate_item = iterate_item;
2900
2901     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2902
2903     while (isspace(*s)) s++;
2904     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2905     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2906     if (sub[0] == NULL) return NULL;
2907     /* {-for-text-editors */
2908     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2909
2910     while (isspace(*s)) s++;
2911     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2912
2913     sub[1] = s;
2914
2915     /* Call eval_condition once, with result discarded (as if scanning a
2916     "false" part). This allows us to find the end of the condition, because if
2917     the list it empty, we won't actually evaluate the condition for real. */
2918
2919     if (!(s = eval_condition(sub[1], resetok, NULL)))
2920       {
2921       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2922         expand_string_message, name);
2923       return NULL;
2924       }
2925     while (isspace(*s)) s++;
2926
2927     /* {-for-text-editors */
2928     if (*s++ != '}')
2929       {
2930       /* {-for-text-editors */
2931       expand_string_message = string_sprintf("missing } at end of condition "
2932         "inside \"%s\"", name);
2933       return NULL;
2934       }
2935
2936     if (yield != NULL) *yield = !testfor;
2937     list = sub[0];
2938     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2939       {
2940       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2941       if (!eval_condition(sub[1], resetok, &tempcond))
2942         {
2943         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2944           expand_string_message, name);
2945         iterate_item = save_iterate_item;
2946         return NULL;
2947         }
2948       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2949         tempcond? "true":"false");
2950
2951       if (yield != NULL) *yield = (tempcond == testfor);
2952       if (tempcond == (cond_type == ECOND_FORANY)) break;
2953       }
2954
2955     iterate_item = save_iterate_item;
2956     return s;
2957     }
2958
2959
2960   /* The bool{} expansion condition maps a string to boolean.
2961   The values supported should match those supported by the ACL condition
2962   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2963   of true/false.  Note that Router "condition" rules have a different
2964   interpretation, where general data can be used and only a few values
2965   map to FALSE.
2966   Note that readconf.c boolean matching, for boolean configuration options,
2967   only matches true/yes/false/no.
2968   The bool_lax{} condition matches the Router logic, which is much more
2969   liberal. */
2970   case ECOND_BOOL:
2971   case ECOND_BOOL_LAX:
2972     {
2973     uschar *sub_arg[1];
2974     uschar *t, *t2;
2975     uschar *ourname;
2976     size_t len;
2977     BOOL boolvalue = FALSE;
2978     while (isspace(*s)) s++;
2979     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2980     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2981     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2982       {
2983       case 1: expand_string_message = string_sprintf(
2984                   "too few arguments or bracketing error for %s",
2985                   ourname);
2986       /*FALLTHROUGH*/
2987       case 2:
2988       case 3: return NULL;
2989       }
2990     t = sub_arg[0];
2991     while (isspace(*t)) t++;
2992     len = Ustrlen(t);
2993     if (len)
2994       {
2995       /* trailing whitespace: seems like a good idea to ignore it too */
2996       t2 = t + len - 1;
2997       while (isspace(*t2)) t2--;
2998       if (t2 != (t + len))
2999         {
3000         *++t2 = '\0';
3001         len = t2 - t;
3002         }
3003       }
3004     DEBUG(D_expand)
3005       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3006     /* logic for the lax case from expand_check_condition(), which also does
3007     expands, and the logic is both short and stable enough that there should
3008     be no maintenance burden from replicating it. */
3009     if (len == 0)
3010       boolvalue = FALSE;
3011     else if (*t == '-'
3012              ? Ustrspn(t+1, "0123456789") == len-1
3013              : Ustrspn(t,   "0123456789") == len)
3014       {
3015       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3016       /* expand_check_condition only does a literal string "0" check */
3017       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3018         boolvalue = TRUE;
3019       }
3020     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3021       boolvalue = TRUE;
3022     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3023       boolvalue = FALSE;
3024     else if (cond_type == ECOND_BOOL_LAX)
3025       boolvalue = TRUE;
3026     else
3027       {
3028       expand_string_message = string_sprintf("unrecognised boolean "
3029        "value \"%s\"", t);
3030       return NULL;
3031       }
3032     if (yield != NULL) *yield = (boolvalue == testfor);
3033     return s;
3034     }
3035
3036   /* Unknown condition */
3037
3038   default:
3039   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3040   return NULL;
3041   }   /* End switch on condition type */
3042
3043 /* Missing braces at start and end of data */
3044
3045 COND_FAILED_CURLY_START:
3046 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3047 return NULL;
3048
3049 COND_FAILED_CURLY_END:
3050 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3051   name);
3052 return NULL;
3053
3054 /* A condition requires code that is not compiled */
3055
3056 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3057     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3058     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3059 COND_FAILED_NOT_COMPILED:
3060 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3061   name);
3062 return NULL;
3063 #endif
3064 }
3065
3066
3067
3068
3069 /*************************************************
3070 *          Save numerical variables              *
3071 *************************************************/
3072
3073 /* This function is called from items such as "if" that want to preserve and
3074 restore the numbered variables.
3075
3076 Arguments:
3077   save_expand_string    points to an array of pointers to set
3078   save_expand_nlength   points to an array of ints for the lengths
3079
3080 Returns:                the value of expand max to save
3081 */
3082
3083 static int
3084 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3085 {
3086 int i;
3087 for (i = 0; i <= expand_nmax; i++)
3088   {
3089   save_expand_nstring[i] = expand_nstring[i];
3090   save_expand_nlength[i] = expand_nlength[i];
3091   }
3092 return expand_nmax;
3093 }
3094
3095
3096
3097 /*************************************************
3098 *           Restore numerical variables          *
3099 *************************************************/
3100
3101 /* This function restored saved values of numerical strings.
3102
3103 Arguments:
3104   save_expand_nmax      the number of strings to restore
3105   save_expand_string    points to an array of pointers
3106   save_expand_nlength   points to an array of ints
3107
3108 Returns:                nothing
3109 */
3110
3111 static void
3112 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3113   int *save_expand_nlength)
3114 {
3115 int i;
3116 expand_nmax = save_expand_nmax;
3117 for (i = 0; i <= expand_nmax; i++)
3118   {
3119   expand_nstring[i] = save_expand_nstring[i];
3120   expand_nlength[i] = save_expand_nlength[i];
3121   }
3122 }
3123
3124
3125
3126
3127
3128 /*************************************************
3129 *            Handle yes/no substrings            *
3130 *************************************************/
3131
3132 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3133 alternative substrings that depend on whether or not the condition was true,
3134 or the lookup or extraction succeeded. The substrings always have to be
3135 expanded, to check their syntax, but "skipping" is set when the result is not
3136 needed - this avoids unnecessary nested lookups.
3137
3138 Arguments:
3139   skipping       TRUE if we were skipping when this item was reached
3140   yes            TRUE if the first string is to be used, else use the second
3141   save_lookup    a value to put back into lookup_value before the 2nd expansion
3142   sptr           points to the input string pointer
3143   yieldptr       points to the output string pointer
3144   sizeptr        points to the output string size
3145   ptrptr         points to the output string pointer
3146   type           "lookup" or "if" or "extract" or "run", for error message
3147   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3148                 the store.
3149
3150 Returns:         0 OK; lookup_value has been reset to save_lookup
3151                  1 expansion failed
3152                  2 expansion failed because of bracketing error
3153 */
3154
3155 static int
3156 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3157   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3158 {
3159 int rc = 0;
3160 const uschar *s = *sptr;    /* Local value */
3161 uschar *sub1, *sub2;
3162
3163 /* If there are no following strings, we substitute the contents of $value for
3164 lookups and for extractions in the success case. For the ${if item, the string
3165 "true" is substituted. In the fail case, nothing is substituted for all three
3166 items. */
3167
3168 while (isspace(*s)) s++;
3169 if (*s == '}')
3170   {
3171   if (type[0] == 'i')
3172     {
3173     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3174     }
3175   else
3176     {
3177     if (yes && lookup_value != NULL)
3178       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3179         Ustrlen(lookup_value));
3180     lookup_value = save_lookup;
3181     }
3182   s++;
3183   goto RETURN;
3184   }
3185
3186 /* The first following string must be braced. */
3187
3188 if (*s++ != '{') goto FAILED_CURLY;
3189
3190 /* Expand the first substring. Forced failures are noticed only if we actually
3191 want this string. Set skipping in the call in the fail case (this will always
3192 be the case if we were already skipping). */
3193
3194 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3195 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3196 expand_string_forcedfail = FALSE;
3197 if (*s++ != '}') goto FAILED_CURLY;
3198
3199 /* If we want the first string, add it to the output */
3200
3201 if (yes)
3202   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3203
3204 /* If this is called from a lookup or an extract, we want to restore $value to
3205 what it was at the start of the item, so that it has this value during the
3206 second string expansion. For the call from "if" or "run" to this function,
3207 save_lookup is set to lookup_value, so that this statement does nothing. */
3208
3209 lookup_value = save_lookup;
3210
3211 /* There now follows either another substring, or "fail", or nothing. This
3212 time, forced failures are noticed only if we want the second string. We must
3213 set skipping in the nested call if we don't want this string, or if we were
3214 already skipping. */
3215
3216 while (isspace(*s)) s++;
3217 if (*s == '{')
3218   {
3219   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3220   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3221   expand_string_forcedfail = FALSE;
3222   if (*s++ != '}') goto FAILED_CURLY;
3223
3224   /* If we want the second string, add it to the output */
3225
3226   if (!yes)
3227     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3228   }
3229
3230 /* If there is no second string, but the word "fail" is present when the use of
3231 the second string is wanted, set a flag indicating it was a forced failure
3232 rather than a syntactic error. Swallow the terminating } in case this is nested
3233 inside another lookup or if or extract. */
3234
3235 else if (*s != '}')
3236   {
3237   uschar name[256];
3238   /* deconst cast ok here as source is s anyway */
3239   s = US read_name(name, sizeof(name), s, US"_");
3240   if (Ustrcmp(name, "fail") == 0)
3241     {
3242     if (!yes && !skipping)
3243       {
3244       while (isspace(*s)) s++;
3245       if (*s++ != '}') goto FAILED_CURLY;
3246       expand_string_message =
3247         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3248       expand_string_forcedfail = TRUE;
3249       goto FAILED;
3250       }
3251     }
3252   else
3253     {
3254     expand_string_message =
3255       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3256     goto FAILED;
3257     }
3258   }
3259
3260 /* All we have to do now is to check on the final closing brace. */
3261
3262 while (isspace(*s)) s++;
3263 if (*s++ == '}') goto RETURN;
3264
3265 /* Get here if there is a bracketing failure */
3266
3267 FAILED_CURLY:
3268 rc++;
3269
3270 /* Get here for other failures */
3271
3272 FAILED:
3273 rc++;
3274
3275 /* Update the input pointer value before returning */
3276
3277 RETURN:
3278 *sptr = s;
3279 return rc;
3280 }
3281
3282
3283
3284
3285 /*************************************************
3286 *    Handle MD5 or SHA-1 computation for HMAC    *
3287 *************************************************/
3288
3289 /* These are some wrapping functions that enable the HMAC code to be a bit
3290 cleaner. A good compiler will spot the tail recursion.
3291
3292 Arguments:
3293   type         HMAC_MD5 or HMAC_SHA1
3294   remaining    are as for the cryptographic hash functions
3295
3296 Returns:       nothing
3297 */
3298
3299 static void
3300 chash_start(int type, void *base)
3301 {
3302 if (type == HMAC_MD5)
3303   md5_start((md5 *)base);
3304 else
3305   sha1_start((sha1 *)base);
3306 }
3307
3308 static void
3309 chash_mid(int type, void *base, uschar *string)
3310 {
3311 if (type == HMAC_MD5)
3312   md5_mid((md5 *)base, string);
3313 else
3314   sha1_mid((sha1 *)base, string);
3315 }
3316
3317 static void
3318 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3319 {
3320 if (type == HMAC_MD5)
3321   md5_end((md5 *)base, string, length, digest);
3322 else
3323   sha1_end((sha1 *)base, string, length, digest);
3324 }
3325
3326
3327
3328
3329
3330 /********************************************************
3331 * prvs: Get last three digits of days since Jan 1, 1970 *
3332 ********************************************************/
3333
3334 /* This is needed to implement the "prvs" BATV reverse
3335    path signing scheme
3336
3337 Argument: integer "days" offset to add or substract to
3338           or from the current number of days.
3339
3340 Returns:  pointer to string containing the last three
3341           digits of the number of days since Jan 1, 1970,
3342           modified by the offset argument, NULL if there
3343           was an error in the conversion.
3344
3345 */
3346
3347 static uschar *
3348 prvs_daystamp(int day_offset)
3349 {
3350 uschar *days = store_get(32);                /* Need at least 24 for cases */
3351 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3352   (time(NULL) + day_offset*86400)/86400);
3353 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3354 }
3355
3356
3357
3358 /********************************************************
3359 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3360 ********************************************************/
3361
3362 /* This is needed to implement the "prvs" BATV reverse
3363    path signing scheme
3364
3365 Arguments:
3366   address RFC2821 Address to use
3367       key The key to use (must be less than 64 characters
3368           in size)
3369   key_num Single-digit key number to use. Defaults to
3370           '0' when NULL.
3371
3372 Returns:  pointer to string containing the first three
3373           bytes of the final hash in hex format, NULL if
3374           there was an error in the process.
3375 */
3376
3377 static uschar *
3378 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3379 {
3380 uschar *hash_source, *p;
3381 int size = 0,offset = 0,i;
3382 sha1 sha1_base;
3383 void *use_base = &sha1_base;
3384 uschar innerhash[20];
3385 uschar finalhash[20];
3386 uschar innerkey[64];
3387 uschar outerkey[64];
3388 uschar *finalhash_hex = store_get(40);
3389
3390 if (key_num == NULL)
3391   key_num = US"0";
3392
3393 if (Ustrlen(key) > 64)
3394   return NULL;
3395
3396 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3397 string_cat(hash_source,&size,&offset,daystamp,3);
3398 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3399 hash_source[offset] = '\0';
3400
3401 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3402
3403 memset(innerkey, 0x36, 64);
3404 memset(outerkey, 0x5c, 64);
3405
3406 for (i = 0; i < Ustrlen(key); i++)
3407   {
3408   innerkey[i] ^= key[i];
3409   outerkey[i] ^= key[i];
3410   }
3411
3412 chash_start(HMAC_SHA1, use_base);
3413 chash_mid(HMAC_SHA1, use_base, innerkey);
3414 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3415
3416 chash_start(HMAC_SHA1, use_base);
3417 chash_mid(HMAC_SHA1, use_base, outerkey);
3418 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3419
3420 p = finalhash_hex;
3421 for (i = 0; i < 3; i++)
3422   {
3423   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3424   *p++ = hex_digits[finalhash[i] & 0x0f];
3425   }
3426 *p = '\0';
3427
3428 return finalhash_hex;
3429 }
3430
3431
3432
3433
3434 /*************************************************
3435 *        Join a file onto the output string      *
3436 *************************************************/
3437
3438 /* This is used for readfile and after a run expansion. It joins the contents
3439 of a file onto the output string, globally replacing newlines with a given
3440 string (optionally). The file is closed at the end.
3441
3442 Arguments:
3443   f            the FILE
3444   yield        pointer to the expandable string
3445   sizep        pointer to the current size
3446   ptrp         pointer to the current position
3447   eol          newline replacement string, or NULL
3448
3449 Returns:       new value of string pointer
3450 */
3451
3452 static uschar *
3453 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3454 {
3455 int eollen;
3456 uschar buffer[1024];
3457
3458 eollen = (eol == NULL)? 0 : Ustrlen(eol);
3459
3460 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
3461   {
3462   int len = Ustrlen(buffer);
3463   if (eol != NULL && buffer[len-1] == '\n') len--;
3464   yield = string_cat(yield, sizep, ptrp, buffer, len);
3465   if (buffer[len] != 0)
3466     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3467   }
3468
3469 if (yield != NULL) yield[*ptrp] = 0;
3470
3471 return yield;
3472 }
3473
3474
3475
3476
3477 /*************************************************
3478 *          Evaluate numeric expression           *
3479 *************************************************/
3480
3481 /* This is a set of mutually recursive functions that evaluate an arithmetic
3482 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3483 these functions that is called from elsewhere is eval_expr, whose interface is:
3484
3485 Arguments:
3486   sptr        pointer to the pointer to the string - gets updated
3487   decimal     TRUE if numbers are to be assumed decimal
3488   error       pointer to where to put an error message - must be NULL on input
3489   endket      TRUE if ')' must terminate - FALSE for external call
3490
3491 Returns:      on success: the value of the expression, with *error still NULL
3492               on failure: an undefined value, with *error = a message
3493 */
3494
3495 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3496
3497
3498 static int_eximarith_t
3499 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3500 {
3501 uschar *s = *sptr;
3502 int_eximarith_t x = eval_op_or(&s, decimal, error);
3503 if (*error == NULL)
3504   {
3505   if (endket)
3506     {
3507     if (*s != ')')
3508       *error = US"expecting closing parenthesis";
3509     else
3510       while (isspace(*(++s)));
3511     }
3512   else if (*s != 0) *error = US"expecting operator";
3513   }
3514 *sptr = s;
3515 return x;
3516 }
3517
3518
3519 static int_eximarith_t
3520 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3521 {
3522 register int c;
3523 int_eximarith_t n;
3524 uschar *s = *sptr;
3525 while (isspace(*s)) s++;
3526 c = *s;
3527 if (isdigit(c))
3528   {
3529   int count;
3530   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3531   s += count;
3532   switch (tolower(*s))
3533     {
3534     default: break;
3535     case 'k': n *= 1024; s++; break;
3536     case 'm': n *= 1024*1024; s++; break;
3537     case 'g': n *= 1024*1024*1024; s++; break;
3538     }
3539   while (isspace (*s)) s++;
3540   }
3541 else if (c == '(')
3542   {
3543   s++;
3544   n = eval_expr(&s, decimal, error, 1);
3545   }
3546 else
3547   {
3548   *error = US"expecting number or opening parenthesis";
3549   n = 0;
3550   }
3551 *sptr = s;
3552 return n;
3553 }
3554
3555
3556 static int_eximarith_t
3557 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3558 {
3559 uschar *s = *sptr;
3560 int_eximarith_t x;
3561 while (isspace(*s)) s++;
3562 if (*s == '+' || *s == '-' || *s == '~')
3563   {
3564   int op = *s++;
3565   x = eval_op_unary(&s, decimal, error);
3566   if (op == '-') x = -x;
3567     else if (op == '~') x = ~x;
3568   }
3569 else
3570   {
3571   x = eval_number(&s, decimal, error);
3572   }
3573 *sptr = s;
3574 return x;
3575 }
3576
3577
3578 static int_eximarith_t
3579 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3580 {
3581 uschar *s = *sptr;
3582 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3583 if (*error == NULL)
3584   {
3585   while (*s == '*' || *s == '/' || *s == '%')
3586     {
3587     int op = *s++;
3588     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3589     if (*error != NULL) break;
3590     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3591      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3592      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3593      * -N*M is INT_MIN will yielf INT_MIN.
3594      * Since we don't support floating point, this is somewhat simpler.
3595      * Ideally, we'd return an error, but since we overflow for all other
3596      * arithmetic, consistency suggests otherwise, but what's the correct value
3597      * to use?  There is none.
3598      * The C standard guarantees overflow for unsigned arithmetic but signed
3599      * overflow invokes undefined behaviour; in practice, this is overflow
3600      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3601      * that long/longlong larger than int are available, or we could just work
3602      * with larger types.  We should consider whether to guarantee 32bit eval
3603      * and 64-bit working variables, with errors returned.  For now ...
3604      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3605      * can just let the other invalid results occur otherwise, as they have
3606      * until now.  For this one case, we can coerce.
3607      */
3608     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3609       {
3610       DEBUG(D_expand)
3611         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3612             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3613       x = EXIM_ARITH_MAX;
3614       continue;
3615       }
3616     if (op == '*')
3617       x *= y;
3618     else
3619       {
3620       if (y == 0)
3621         {
3622         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3623         x = 0;
3624         break;
3625         }
3626       if (op == '/')
3627         x /= y;
3628       else
3629         x %= y;
3630       }
3631     }
3632   }
3633 *sptr = s;
3634 return x;
3635 }
3636
3637
3638 static int_eximarith_t
3639 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3640 {
3641 uschar *s = *sptr;
3642 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3643 if (*error == NULL)
3644   {
3645   while (*s == '+' || *s == '-')
3646     {
3647     int op = *s++;
3648     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3649     if (*error != NULL) break;
3650     if (op == '+') x += y; else x -= y;
3651     }
3652   }
3653 *sptr = s;
3654 return x;
3655 }
3656
3657
3658 static int_eximarith_t
3659 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3660 {
3661 uschar *s = *sptr;
3662 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3663 if (*error == NULL)
3664   {
3665   while ((*s == '<' || *s == '>') && s[1] == s[0])
3666     {
3667     int_eximarith_t y;
3668     int op = *s++;
3669     s++;
3670     y = eval_op_sum(&s, decimal, error);
3671     if (*error != NULL) break;
3672     if (op == '<') x <<= y; else x >>= y;
3673     }
3674   }
3675 *sptr = s;
3676 return x;
3677 }
3678
3679
3680 static int_eximarith_t
3681 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3682 {
3683 uschar *s = *sptr;
3684 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3685 if (*error == NULL)
3686   {
3687   while (*s == '&')
3688     {
3689     int_eximarith_t y;
3690     s++;
3691     y = eval_op_shift(&s, decimal, error);
3692     if (*error != NULL) break;
3693     x &= y;
3694     }
3695   }
3696 *sptr = s;
3697 return x;
3698 }
3699
3700
3701 static int_eximarith_t
3702 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3703 {
3704 uschar *s = *sptr;
3705 int_eximarith_t x = eval_op_and(&s, decimal, error);
3706 if (*error == NULL)
3707   {
3708   while (*s == '^')
3709     {
3710     int_eximarith_t y;
3711     s++;
3712     y = eval_op_and(&s, decimal, error);
3713     if (*error != NULL) break;
3714     x ^= y;
3715     }
3716   }
3717 *sptr = s;
3718 return x;
3719 }
3720
3721
3722 static int_eximarith_t
3723 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3724 {
3725 uschar *s = *sptr;
3726 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3727 if (*error == NULL)
3728   {
3729   while (*s == '|')
3730     {
3731     int_eximarith_t y;
3732     s++;
3733     y = eval_op_xor(&s, decimal, error);
3734     if (*error != NULL) break;
3735     x |= y;
3736     }
3737   }
3738 *sptr = s;
3739 return x;
3740 }
3741
3742
3743
3744 /*************************************************
3745 *                 Expand string                  *
3746 *************************************************/
3747
3748 /* Returns either an unchanged string, or the expanded string in stacking pool
3749 store. Interpreted sequences are:
3750
3751    \...                    normal escaping rules
3752    $name                   substitutes the variable
3753    ${name}                 ditto
3754    ${op:string}            operates on the expanded string value
3755    ${item{arg1}{arg2}...}  expands the args and then does the business
3756                              some literal args are not enclosed in {}
3757
3758 There are now far too many operators and item types to make it worth listing
3759 them here in detail any more.
3760
3761 We use an internal routine recursively to handle embedded substrings. The
3762 external function follows. The yield is NULL if the expansion failed, and there
3763 are two cases: if something collapsed syntactically, or if "fail" was given
3764 as the action on a lookup failure. These can be distinguised by looking at the
3765 variable expand_string_forcedfail, which is TRUE in the latter case.
3766
3767 The skipping flag is set true when expanding a substring that isn't actually
3768 going to be used (after "if" or "lookup") and it prevents lookups from
3769 happening lower down.
3770
3771 Store usage: At start, a store block of the length of the input plus 64
3772 is obtained. This is expanded as necessary by string_cat(), which might have to
3773 get a new block, or might be able to expand the original. At the end of the
3774 function we can release any store above that portion of the yield block that
3775 was actually used. In many cases this will be optimal.
3776
3777 However: if the first item in the expansion is a variable name or header name,
3778 we reset the store before processing it; if the result is in fresh store, we
3779 use that without copying. This is helpful for expanding strings like
3780 $message_headers which can get very long.
3781
3782 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3783 since resetting the store at the end of the expansion will free store that was
3784 allocated by the plugin code as well as the slop after the expanded string. So
3785 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3786 and, given the acl condition, ${if }. This is an unfortunate consequence of
3787 string expansion becoming too powerful.
3788
3789 Arguments:
3790   string         the string to be expanded
3791   ket_ends       true if expansion is to stop at }
3792   left           if not NULL, a pointer to the first character after the
3793                  expansion is placed here (typically used with ket_ends)
3794   skipping       TRUE for recursive calls when the value isn't actually going
3795                  to be used (to allow for optimisation)
3796   honour_dollar  TRUE if $ is to be expanded,
3797                  FALSE if it's just another character
3798   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3799                  the store.
3800
3801 Returns:         NULL if expansion fails:
3802                    expand_string_forcedfail is set TRUE if failure was forced
3803                    expand_string_message contains a textual error message
3804                  a pointer to the expanded string on success
3805 */
3806
3807 static uschar *
3808 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3809   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3810 {
3811 int ptr = 0;
3812 int size = Ustrlen(string)+ 64;
3813 int item_type;
3814 uschar *yield = store_get(size);
3815 const uschar *s = string;
3816 uschar *save_expand_nstring[EXPAND_MAXN+1];
3817 int save_expand_nlength[EXPAND_MAXN+1];
3818 BOOL resetok = TRUE;
3819
3820 expand_string_forcedfail = FALSE;
3821 expand_string_message = US"";
3822
3823 while (*s != 0)
3824   {
3825   uschar *value;
3826   uschar name[256];
3827
3828   /* \ escapes the next character, which must exist, or else
3829   the expansion fails. There's a special escape, \N, which causes
3830   copying of the subject verbatim up to the next \N. Otherwise,
3831   the escapes are the standard set. */
3832
3833   if (*s == '\\')
3834     {
3835     if (s[1] == 0)
3836       {
3837       expand_string_message = US"\\ at end of string";
3838       goto EXPAND_FAILED;
3839       }
3840
3841     if (s[1] == 'N')
3842       {
3843       const uschar * t = s + 2;
3844       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3845       yield = string_cat(yield, &size, &ptr, t, s - t);
3846       if (*s != 0) s += 2;
3847       }
3848
3849     else
3850       {
3851       uschar ch[1];
3852       ch[0] = string_interpret_escape(&s);
3853       s++;
3854       yield = string_cat(yield, &size, &ptr, ch, 1);
3855       }
3856
3857     continue;
3858     }
3859
3860   /*{*/
3861   /* Anything other than $ is just copied verbatim, unless we are
3862   looking for a terminating } character. */
3863
3864   /*{*/
3865   if (ket_ends && *s == '}') break;
3866
3867   if (*s != '$' || !honour_dollar)
3868     {
3869     yield = string_cat(yield, &size, &ptr, s++, 1);
3870     continue;
3871     }
3872
3873   /* No { after the $ - must be a plain name or a number for string
3874   match variable. There has to be a fudge for variables that are the
3875   names of header fields preceded by "$header_" because header field
3876   names can contain any printing characters except space and colon.
3877   For those that don't like typing this much, "$h_" is a synonym for
3878   "$header_". A non-existent header yields a NULL value; nothing is
3879   inserted. */  /*}*/
3880
3881   if (isalpha((*(++s))))
3882     {
3883     int len;
3884     int newsize = 0;
3885
3886     s = read_name(name, sizeof(name), s, US"_");
3887
3888     /* If this is the first thing to be expanded, release the pre-allocated
3889     buffer. */
3890
3891     if (ptr == 0 && yield != NULL)
3892       {
3893       if (resetok) store_reset(yield);
3894       yield = NULL;
3895       size = 0;
3896       }
3897
3898     /* Header */
3899
3900     if (Ustrncmp(name, "h_", 2) == 0 ||
3901         Ustrncmp(name, "rh_", 3) == 0 ||
3902         Ustrncmp(name, "bh_", 3) == 0 ||
3903         Ustrncmp(name, "header_", 7) == 0 ||
3904         Ustrncmp(name, "rheader_", 8) == 0 ||
3905         Ustrncmp(name, "bheader_", 8) == 0)
3906       {
3907       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3908       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3909       s = read_header_name(name, sizeof(name), s);
3910       value = find_header(name, FALSE, &newsize, want_raw, charset);
3911
3912       /* If we didn't find the header, and the header contains a closing brace
3913       character, this may be a user error where the terminating colon
3914       has been omitted. Set a flag to adjust the error message in this case.
3915       But there is no error here - nothing gets inserted. */
3916
3917       if (value == NULL)
3918         {
3919         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3920         continue;
3921         }
3922       }
3923
3924     /* Variable */
3925
3926     else
3927       {
3928       value = find_variable(name, FALSE, skipping, &newsize);
3929       if (value == NULL)
3930         {
3931         expand_string_message =
3932           string_sprintf("unknown variable name \"%s\"", name);
3933           check_variable_error_message(name);
3934         goto EXPAND_FAILED;
3935         }
3936       }
3937
3938     /* If the data is known to be in a new buffer, newsize will be set to the
3939     size of that buffer. If this is the first thing in an expansion string,
3940     yield will be NULL; just point it at the new store instead of copying. Many
3941     expansion strings contain just one reference, so this is a useful
3942     optimization, especially for humungous headers. */
3943
3944     len = Ustrlen(value);
3945     if (yield == NULL && newsize != 0)
3946       {
3947       yield = value;
3948       size = newsize;
3949       ptr = len;
3950       }
3951     else yield = string_cat(yield, &size, &ptr, value, len);
3952
3953     continue;
3954     }
3955
3956   if (isdigit(*s))
3957     {
3958     int n;
3959     s = read_cnumber(&n, s);
3960     if (n >= 0 && n <= expand_nmax)
3961       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3962         expand_nlength[n]);
3963     continue;
3964     }
3965
3966   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3967
3968   if (*s != '{')                                                        /*}*/
3969     {
3970     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3971     goto EXPAND_FAILED;
3972     }
3973
3974   /* After { there can be various things, but they all start with
3975   an initial word, except for a number for a string match variable. */
3976
3977   if (isdigit((*(++s))))
3978     {
3979     int n;
3980     s = read_cnumber(&n, s);            /*{*/
3981     if (*s++ != '}')
3982       {                                 /*{*/
3983       expand_string_message = US"} expected after number";
3984       goto EXPAND_FAILED;
3985       }
3986     if (n >= 0 && n <= expand_nmax)
3987       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3988         expand_nlength[n]);
3989     continue;
3990     }
3991
3992   if (!isalpha(*s))
3993     {
3994     expand_string_message = US"letter or digit expected after ${";      /*}*/
3995     goto EXPAND_FAILED;
3996     }
3997
3998   /* Allow "-" in names to cater for substrings with negative
3999   arguments. Since we are checking for known names after { this is
4000   OK. */
4001
4002   s = read_name(name, sizeof(name), s, US"_-");
4003   item_type = chop_match(name, item_table, nelem(item_table));
4004
4005   switch(item_type)
4006     {
4007     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4008     If the ACL returns accept or reject we return content set by "message ="
4009     There is currently no limit on recursion; this would have us call
4010     acl_check_internal() directly and get a current level from somewhere.
4011     See also the acl expansion condition ECOND_ACL and the traditional
4012     acl modifier ACLC_ACL.
4013     Assume that the function has side-effects on the store that must be preserved.
4014     */
4015
4016     case EITEM_ACL:
4017       /* ${acl {name} {arg1}{arg2}...} */
4018       {
4019       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4020       uschar *user_msg;
4021
4022       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4023                       &resetok))
4024         {
4025         case 1: goto EXPAND_FAILED_CURLY;
4026         case 2:
4027         case 3: goto EXPAND_FAILED;
4028         }
4029       if (skipping) continue;
4030
4031       resetok = FALSE;
4032       switch(eval_acl(sub, nelem(sub), &user_msg))
4033         {
4034         case OK:
4035         case FAIL:
4036           DEBUG(D_expand)
4037             debug_printf("acl expansion yield: %s\n", user_msg);
4038           if (user_msg)
4039             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
4040           continue;
4041
4042         case DEFER:
4043           expand_string_forcedfail = TRUE;
4044         default:
4045           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4046           goto EXPAND_FAILED;
4047         }
4048       }
4049
4050     /* Handle conditionals - preserve the values of the numerical expansion
4051     variables in case they get changed by a regular expression match in the
4052     condition. If not, they retain their external settings. At the end
4053     of this "if" section, they get restored to their previous values. */
4054
4055     case EITEM_IF:
4056       {
4057       BOOL cond = FALSE;
4058       const uschar *next_s;
4059       int save_expand_nmax =
4060         save_expand_strings(save_expand_nstring, save_expand_nlength);
4061
4062       while (isspace(*s)) s++;
4063       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
4064       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4065
4066       DEBUG(D_expand)
4067         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
4068           cond? "true" : "false");
4069
4070       s = next_s;
4071
4072       /* The handling of "yes" and "no" result strings is now in a separate
4073       function that is also used by ${lookup} and ${extract} and ${run}. */
4074
4075       switch(process_yesno(
4076                skipping,                     /* were previously skipping */
4077                cond,                         /* success/failure indicator */
4078                lookup_value,                 /* value to reset for string2 */
4079                &s,                           /* input pointer */
4080                &yield,                       /* output pointer */
4081                &size,                        /* output size */
4082                &ptr,                         /* output current point */
4083                US"if",                       /* condition type */
4084                &resetok))
4085         {
4086         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4087         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4088         }
4089
4090       /* Restore external setting of expansion variables for continuation
4091       at this level. */
4092
4093       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4094         save_expand_nlength);
4095       continue;
4096       }
4097
4098 #ifdef SUPPORT_I18N
4099     case EITEM_IMAPFOLDER:
4100       {                         /* ${imapfolder {name}{sep]{specials}} */
4101       uschar *sub_arg[3];
4102       uschar *encoded;
4103
4104       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4105                       &resetok))
4106         {
4107         case 1: goto EXPAND_FAILED_CURLY;
4108         case 2:
4109         case 3: goto EXPAND_FAILED;
4110         }
4111
4112       if (sub_arg[1] == NULL)           /* One argument */
4113         {
4114         sub_arg[1] = US"/";             /* default separator */
4115         sub_arg[2] = NULL;
4116         }
4117       else if (Ustrlen(sub_arg[1]) != 1)
4118         {
4119         expand_string_message =
4120           string_sprintf(
4121                 "IMAP folder separator must be one character, found \"%s\"",
4122                 sub_arg[1]);
4123         goto EXPAND_FAILED;
4124         }
4125
4126       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4127                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4128         goto EXPAND_FAILED;
4129       if (!skipping)
4130         yield = string_cat(yield, &size, &ptr, encoded, Ustrlen(encoded));
4131       continue;
4132       }
4133 #endif
4134
4135     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4136     expanding an internal string that isn't actually going to be used. All we
4137     need to do is check the syntax, so don't do a lookup at all. Preserve the
4138     values of the numerical expansion variables in case they get changed by a
4139     partial lookup. If not, they retain their external settings. At the end
4140     of this "lookup" section, they get restored to their previous values. */
4141
4142     case EITEM_LOOKUP:
4143       {
4144       int stype, partial, affixlen, starflags;
4145       int expand_setup = 0;
4146       int nameptr = 0;
4147       uschar *key, *filename;
4148       const uschar *affix;
4149       uschar *save_lookup_value = lookup_value;
4150       int save_expand_nmax =
4151         save_expand_strings(save_expand_nstring, save_expand_nlength);
4152
4153       if ((expand_forbid & RDO_LOOKUP) != 0)
4154         {
4155         expand_string_message = US"lookup expansions are not permitted";
4156         goto EXPAND_FAILED;
4157         }
4158
4159       /* Get the key we are to look up for single-key+file style lookups.
4160       Otherwise set the key NULL pro-tem. */
4161
4162       while (isspace(*s)) s++;
4163       if (*s == '{')                                    /*}*/
4164         {
4165         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4166         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4167         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4168         while (isspace(*s)) s++;
4169         }
4170       else key = NULL;
4171
4172       /* Find out the type of database */
4173
4174       if (!isalpha(*s))
4175         {
4176         expand_string_message = US"missing lookup type";
4177         goto EXPAND_FAILED;
4178         }
4179
4180       /* The type is a string that may contain special characters of various
4181       kinds. Allow everything except space or { to appear; the actual content
4182       is checked by search_findtype_partial. */         /*}*/
4183
4184       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4185         {
4186         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4187         s++;
4188         }
4189       name[nameptr] = 0;
4190       while (isspace(*s)) s++;
4191
4192       /* Now check for the individual search type and any partial or default
4193       options. Only those types that are actually in the binary are valid. */
4194
4195       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4196         &starflags);
4197       if (stype < 0)
4198         {
4199         expand_string_message = search_error_message;
4200         goto EXPAND_FAILED;
4201         }
4202
4203       /* Check that a key was provided for those lookup types that need it,
4204       and was not supplied for those that use the query style. */
4205
4206       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4207         {
4208         if (key == NULL)
4209           {
4210           expand_string_message = string_sprintf("missing {key} for single-"
4211             "key \"%s\" lookup", name);
4212           goto EXPAND_FAILED;
4213           }
4214         }
4215       else
4216         {
4217         if (key != NULL)
4218           {
4219           expand_string_message = string_sprintf("a single key was given for "
4220             "lookup type \"%s\", which is not a single-key lookup type", name);
4221           goto EXPAND_FAILED;
4222           }
4223         }
4224
4225       /* Get the next string in brackets and expand it. It is the file name for
4226       single-key+file lookups, and the whole query otherwise. In the case of
4227       queries that also require a file name (e.g. sqlite), the file name comes
4228       first. */
4229
4230       if (*s != '{') goto EXPAND_FAILED_CURLY;
4231       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4232       if (filename == NULL) goto EXPAND_FAILED;
4233       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4234       while (isspace(*s)) s++;
4235
4236       /* If this isn't a single-key+file lookup, re-arrange the variables
4237       to be appropriate for the search_ functions. For query-style lookups,
4238       there is just a "key", and no file name. For the special query-style +
4239       file types, the query (i.e. "key") starts with a file name. */
4240
4241       if (key == NULL)
4242         {
4243         while (isspace(*filename)) filename++;
4244         key = filename;
4245
4246         if (mac_islookup(stype, lookup_querystyle))
4247           {
4248           filename = NULL;
4249           }
4250         else
4251           {
4252           if (*filename != '/')
4253             {
4254             expand_string_message = string_sprintf(
4255               "absolute file name expected for \"%s\" lookup", name);
4256             goto EXPAND_FAILED;
4257             }
4258           while (*key != 0 && !isspace(*key)) key++;
4259           if (*key != 0) *key++ = 0;
4260           }
4261         }
4262
4263       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4264       the entry was not found. Note that there is no search_close() function.
4265       Files are left open in case of re-use. At suitable places in higher logic,
4266       search_tidyup() is called to tidy all open files. This can save opening
4267       the same file several times. However, files may also get closed when
4268       others are opened, if too many are open at once. The rule is that a
4269       handle should not be used after a second search_open().
4270
4271       Request that a partial search sets up $1 and maybe $2 by passing
4272       expand_setup containing zero. If its value changes, reset expand_nmax,
4273       since new variables will have been set. Note that at the end of this
4274       "lookup" section, the old numeric variables are restored. */
4275
4276       if (skipping)
4277         lookup_value = NULL;
4278       else
4279         {
4280         void *handle = search_open(filename, stype, 0, NULL, NULL);
4281         if (handle == NULL)
4282           {
4283           expand_string_message = search_error_message;
4284           goto EXPAND_FAILED;
4285           }
4286         lookup_value = search_find(handle, filename, key, partial, affix,
4287           affixlen, starflags, &expand_setup);
4288         if (search_find_defer)
4289           {
4290           expand_string_message =
4291             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4292               string_printing2(key, FALSE), search_error_message);
4293           goto EXPAND_FAILED;
4294           }
4295         if (expand_setup > 0) expand_nmax = expand_setup;
4296         }
4297
4298       /* The handling of "yes" and "no" result strings is now in a separate
4299       function that is also used by ${if} and ${extract}. */
4300
4301       switch(process_yesno(
4302                skipping,                     /* were previously skipping */
4303                lookup_value != NULL,         /* success/failure indicator */
4304                save_lookup_value,            /* value to reset for string2 */
4305                &s,                           /* input pointer */
4306                &yield,                       /* output pointer */
4307                &size,                        /* output size */
4308                &ptr,                         /* output current point */
4309                US"lookup",                   /* condition type */
4310                &resetok))
4311         {
4312         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4313         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4314         }
4315
4316       /* Restore external setting of expansion variables for carrying on
4317       at this level, and continue. */
4318
4319       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4320         save_expand_nlength);
4321       continue;
4322       }
4323
4324     /* If Perl support is configured, handle calling embedded perl subroutines,
4325     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4326     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4327     arguments (defined below). */
4328
4329     #define EXIM_PERL_MAX_ARGS 8
4330
4331     case EITEM_PERL:
4332     #ifndef EXIM_PERL
4333     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4334       "is not included in this binary";
4335     goto EXPAND_FAILED;
4336
4337     #else   /* EXIM_PERL */
4338       {
4339       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4340       uschar *new_yield;
4341
4342       if ((expand_forbid & RDO_PERL) != 0)
4343         {
4344         expand_string_message = US"Perl calls are not permitted";
4345         goto EXPAND_FAILED;
4346         }
4347
4348       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4349            US"perl", &resetok))
4350         {
4351         case 1: goto EXPAND_FAILED_CURLY;
4352         case 2:
4353         case 3: goto EXPAND_FAILED;
4354         }
4355
4356       /* If skipping, we don't actually do anything */
4357
4358       if (skipping) continue;
4359
4360       /* Start the interpreter if necessary */
4361
4362       if (!opt_perl_started)
4363         {
4364         uschar *initerror;
4365         if (opt_perl_startup == NULL)
4366           {
4367           expand_string_message = US"A setting of perl_startup is needed when "
4368             "using the Perl interpreter";
4369           goto EXPAND_FAILED;
4370           }
4371         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4372         initerror = init_perl(opt_perl_startup);
4373         if (initerror != NULL)
4374           {
4375           expand_string_message =
4376             string_sprintf("error in perl_startup code: %s\n", initerror);
4377           goto EXPAND_FAILED;
4378           }
4379         opt_perl_started = TRUE;
4380         }
4381
4382       /* Call the function */
4383
4384       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4385       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4386         sub_arg[0], sub_arg + 1);
4387
4388       /* NULL yield indicates failure; if the message pointer has been set to
4389       NULL, the yield was undef, indicating a forced failure. Otherwise the
4390       message will indicate some kind of Perl error. */
4391
4392       if (new_yield == NULL)
4393         {
4394         if (expand_string_message == NULL)
4395           {
4396           expand_string_message =
4397             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4398               "failure", sub_arg[0]);
4399           expand_string_forcedfail = TRUE;
4400           }
4401         goto EXPAND_FAILED;
4402         }
4403
4404       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4405       set during a callback from Perl. */
4406
4407       expand_string_forcedfail = FALSE;
4408       yield = new_yield;
4409       continue;
4410       }
4411     #endif /* EXIM_PERL */
4412
4413     /* Transform email address to "prvs" scheme to use
4414        as BATV-signed return path */
4415
4416     case EITEM_PRVS:
4417       {
4418       uschar *sub_arg[3];
4419       uschar *p,*domain;
4420
4421       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4422         {
4423         case 1: goto EXPAND_FAILED_CURLY;
4424         case 2:
4425         case 3: goto EXPAND_FAILED;
4426         }
4427
4428       /* If skipping, we don't actually do anything */
4429       if (skipping) continue;
4430
4431       /* sub_arg[0] is the address */
4432       domain = Ustrrchr(sub_arg[0],'@');
4433       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4434         {
4435         expand_string_message = US"prvs first argument must be a qualified email address";
4436         goto EXPAND_FAILED;
4437         }
4438
4439       /* Calculate the hash. The second argument must be a single-digit
4440       key number, or unset. */
4441
4442       if (sub_arg[2] != NULL &&
4443           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4444         {
4445         expand_string_message = US"prvs second argument must be a single digit";
4446         goto EXPAND_FAILED;
4447         }
4448
4449       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4450       if (p == NULL)
4451         {
4452         expand_string_message = US"prvs hmac-sha1 conversion failed";
4453         goto EXPAND_FAILED;
4454         }
4455
4456       /* Now separate the domain from the local part */
4457       *domain++ = '\0';
4458
4459       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4460       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4461       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4462       string_cat(yield,&size,&ptr,p,6);
4463       string_cat(yield,&size,&ptr,US"=",1);
4464       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4465       string_cat(yield,&size,&ptr,US"@",1);
4466       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4467
4468       continue;
4469       }
4470
4471     /* Check a prvs-encoded address for validity */
4472
4473     case EITEM_PRVSCHECK:
4474       {
4475       uschar *sub_arg[3];
4476       int mysize = 0, myptr = 0;
4477       const pcre *re;
4478       uschar *p;
4479
4480       /* TF: Ugliness: We want to expand parameter 1 first, then set
4481          up expansion variables that are used in the expansion of
4482          parameter 2. So we clone the string for the first
4483          expansion, where we only expand parameter 1.
4484
4485          PH: Actually, that isn't necessary. The read_subs() function is
4486          designed to work this way for the ${if and ${lookup expansions. I've
4487          tidied the code.
4488       */
4489
4490       /* Reset expansion variables */
4491       prvscheck_result = NULL;
4492       prvscheck_address = NULL;
4493       prvscheck_keynum = NULL;
4494
4495       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4496         {
4497         case 1: goto EXPAND_FAILED_CURLY;
4498         case 2:
4499         case 3: goto EXPAND_FAILED;
4500         }
4501
4502       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4503                               TRUE,FALSE);
4504
4505       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4506         {
4507         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4508         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4509         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4510         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4511         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4512
4513         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4514         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4515         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4516         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4517         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4518
4519         /* Set up expansion variables */
4520         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4521         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4522         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4523         prvscheck_address[myptr] = '\0';
4524         prvscheck_keynum = string_copy(key_num);
4525
4526         /* Now expand the second argument */
4527         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4528           {
4529           case 1: goto EXPAND_FAILED_CURLY;
4530           case 2:
4531           case 3: goto EXPAND_FAILED;
4532           }
4533
4534         /* Now we have the key and can check the address. */
4535
4536         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4537           daystamp);
4538
4539         if (p == NULL)
4540           {
4541           expand_string_message = US"hmac-sha1 conversion failed";
4542           goto EXPAND_FAILED;
4543           }
4544
4545         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4546         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4547
4548         if (Ustrcmp(p,hash) == 0)
4549           {
4550           /* Success, valid BATV address. Now check the expiry date. */
4551           uschar *now = prvs_daystamp(0);
4552           unsigned int inow = 0,iexpire = 1;
4553
4554           (void)sscanf(CS now,"%u",&inow);
4555           (void)sscanf(CS daystamp,"%u",&iexpire);
4556
4557           /* When "iexpire" is < 7, a "flip" has occured.
4558              Adjust "inow" accordingly. */
4559           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4560
4561           if (iexpire >= inow)
4562             {
4563             prvscheck_result = US"1";
4564             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4565             }
4566             else
4567             {
4568             prvscheck_result = NULL;
4569             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4570             }
4571           }
4572         else
4573           {
4574           prvscheck_result = NULL;
4575           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4576           }
4577
4578         /* Now expand the final argument. We leave this till now so that
4579         it can include $prvscheck_result. */
4580
4581         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4582           {
4583           case 1: goto EXPAND_FAILED_CURLY;
4584           case 2:
4585           case 3: goto EXPAND_FAILED;
4586           }
4587
4588         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4589           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4590         else
4591           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4592
4593         /* Reset the "internal" variables afterwards, because they are in
4594         dynamic store that will be reclaimed if the expansion succeeded. */
4595
4596         prvscheck_address = NULL;
4597         prvscheck_keynum = NULL;
4598         }
4599       else
4600         {
4601         /* Does not look like a prvs encoded address, return the empty string.
4602            We need to make sure all subs are expanded first, so as to skip over
4603            the entire item. */
4604
4605         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4606           {
4607           case 1: goto EXPAND_FAILED_CURLY;
4608           case 2:
4609           case 3: goto EXPAND_FAILED;
4610           }
4611         }
4612
4613       continue;
4614       }
4615
4616     /* Handle "readfile" to insert an entire file */
4617
4618     case EITEM_READFILE:
4619       {
4620       FILE *f;
4621       uschar *sub_arg[2];
4622
4623       if ((expand_forbid & RDO_READFILE) != 0)
4624         {
4625         expand_string_message = US"file insertions are not permitted";
4626         goto EXPAND_FAILED;
4627         }
4628
4629       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4630         {
4631         case 1: goto EXPAND_FAILED_CURLY;
4632         case 2:
4633         case 3: goto EXPAND_FAILED;
4634         }
4635
4636       /* If skipping, we don't actually do anything */
4637
4638       if (skipping) continue;
4639
4640       /* Open the file and read it */
4641
4642       f = Ufopen(sub_arg[0], "rb");
4643       if (f == NULL)
4644         {
4645         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4646         goto EXPAND_FAILED;
4647         }
4648
4649       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4650       (void)fclose(f);
4651       continue;
4652       }
4653
4654     /* Handle "readsocket" to insert data from a Unix domain socket */
4655
4656     case EITEM_READSOCK:
4657       {
4658       int fd;
4659       int timeout = 5;
4660       int save_ptr = ptr;
4661       FILE *f;
4662       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4663       uschar *arg;
4664       uschar *sub_arg[4];
4665
4666       if ((expand_forbid & RDO_READSOCK) != 0)
4667         {
4668         expand_string_message = US"socket insertions are not permitted";
4669         goto EXPAND_FAILED;
4670         }
4671
4672       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4673       because there may be a string for expansion on failure. */
4674
4675       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4676         {
4677         case 1: goto EXPAND_FAILED_CURLY;
4678         case 2:                             /* Won't occur: no end check */
4679         case 3: goto EXPAND_FAILED;
4680         }
4681
4682       /* Sort out timeout, if given */
4683
4684       if (sub_arg[2] != NULL)
4685         {
4686         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4687         if (timeout < 0)
4688           {
4689           expand_string_message = string_sprintf("bad time value %s",
4690             sub_arg[2]);
4691           goto EXPAND_FAILED;
4692           }
4693         }
4694       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4695
4696       /* If skipping, we don't actually do anything. Otherwise, arrange to
4697       connect to either an IP or a Unix socket. */
4698
4699       if (!skipping)
4700         {
4701         /* Handle an IP (internet) domain */
4702
4703         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4704           {
4705           int port;
4706           uschar *server_name = sub_arg[0] + 5;
4707           uschar *port_name = Ustrrchr(server_name, ':');
4708
4709           /* Sort out the port */
4710
4711           if (port_name == NULL)
4712             {
4713             expand_string_message =
4714               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4715             goto EXPAND_FAILED;
4716             }
4717           *port_name++ = 0;           /* Terminate server name */
4718
4719           if (isdigit(*port_name))
4720             {
4721             uschar *end;
4722             port = Ustrtol(port_name, &end, 0);
4723             if (end != port_name + Ustrlen(port_name))
4724               {
4725               expand_string_message =
4726                 string_sprintf("invalid port number %s", port_name);
4727               goto EXPAND_FAILED;
4728               }
4729             }
4730           else
4731             {
4732             struct servent *service_info = getservbyname(CS port_name, "tcp");
4733             if (service_info == NULL)
4734               {
4735               expand_string_message = string_sprintf("unknown port \"%s\"",
4736                 port_name);
4737               goto EXPAND_FAILED;
4738               }
4739             port = ntohs(service_info->s_port);
4740             }
4741
4742           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4743                   timeout, NULL, &expand_string_message)) < 0)
4744               goto SOCK_FAIL;
4745           }
4746
4747         /* Handle a Unix domain socket */
4748
4749         else
4750           {
4751           int rc;
4752           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4753             {
4754             expand_string_message = string_sprintf("failed to create socket: %s",
4755               strerror(errno));
4756             goto SOCK_FAIL;
4757             }
4758
4759           sockun.sun_family = AF_UNIX;
4760           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4761             sub_arg[0]);
4762
4763           sigalrm_seen = FALSE;
4764           alarm(timeout);
4765           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4766           alarm(0);
4767           if (sigalrm_seen)
4768             {
4769             expand_string_message = US "socket connect timed out";
4770             goto SOCK_FAIL;
4771             }
4772           if (rc < 0)
4773             {
4774             expand_string_message = string_sprintf("failed to connect to socket "
4775               "%s: %s", sub_arg[0], strerror(errno));
4776             goto SOCK_FAIL;
4777             }
4778           }
4779
4780         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4781
4782         /* Allow sequencing of test actions */
4783         if (running_in_test_harness) millisleep(100);
4784
4785         /* Write the request string, if not empty */
4786
4787         if (sub_arg[1][0] != 0)
4788           {
4789           int len = Ustrlen(sub_arg[1]);
4790           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4791             sub_arg[1]);
4792           if (write(fd, sub_arg[1], len) != len)
4793             {
4794             expand_string_message = string_sprintf("request write to socket "
4795               "failed: %s", strerror(errno));
4796             goto SOCK_FAIL;
4797             }
4798           }
4799
4800         /* Shut down the sending side of the socket. This helps some servers to
4801         recognise that it is their turn to do some work. Just in case some
4802         system doesn't have this function, make it conditional. */
4803
4804         #ifdef SHUT_WR
4805         shutdown(fd, SHUT_WR);
4806         #endif
4807
4808         if (running_in_test_harness) millisleep(100);
4809
4810         /* Now we need to read from the socket, under a timeout. The function
4811         that reads a file can be used. */
4812
4813         f = fdopen(fd, "rb");
4814         sigalrm_seen = FALSE;
4815         alarm(timeout);
4816         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4817         alarm(0);
4818         (void)fclose(f);
4819
4820         /* After a timeout, we restore the pointer in the result, that is,
4821         make sure we add nothing from the socket. */
4822
4823         if (sigalrm_seen)
4824           {
4825           ptr = save_ptr;
4826           expand_string_message = US "socket read timed out";
4827           goto SOCK_FAIL;
4828           }
4829         }
4830
4831       /* The whole thing has worked (or we were skipping). If there is a
4832       failure string following, we need to skip it. */
4833
4834       if (*s == '{')
4835         {
4836         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4837           goto EXPAND_FAILED;
4838         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4839         while (isspace(*s)) s++;
4840         }
4841       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4842       continue;
4843
4844       /* Come here on failure to create socket, connect socket, write to the
4845       socket, or timeout on reading. If another substring follows, expand and
4846       use it. Otherwise, those conditions give expand errors. */
4847
4848       SOCK_FAIL:
4849       if (*s != '{') goto EXPAND_FAILED;
4850       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4851       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4852       if (arg == NULL) goto EXPAND_FAILED;
4853       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4854       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4855       while (isspace(*s)) s++;
4856       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4857       continue;
4858       }
4859
4860     /* Handle "run" to execute a program. */
4861
4862     case EITEM_RUN:
4863       {
4864       FILE *f;
4865       uschar *arg;
4866       const uschar **argv;
4867       pid_t pid;
4868       int fd_in, fd_out;
4869       int lsize = 0;
4870       int lptr = 0;
4871
4872       if ((expand_forbid & RDO_RUN) != 0)
4873         {
4874         expand_string_message = US"running a command is not permitted";
4875         goto EXPAND_FAILED;
4876         }
4877
4878       while (isspace(*s)) s++;
4879       if (*s != '{') goto EXPAND_FAILED_CURLY;
4880       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4881       if (arg == NULL) goto EXPAND_FAILED;
4882       while (isspace(*s)) s++;
4883       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4884
4885       if (skipping)   /* Just pretend it worked when we're skipping */
4886         {
4887         runrc = 0;
4888         }
4889       else
4890         {
4891         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4892             arg,                                /* raw command */
4893             FALSE,                              /* don't expand the arguments */
4894             0,                                  /* not relevant when... */
4895             NULL,                               /* no transporting address */
4896             US"${run} expansion",               /* for error messages */
4897             &expand_string_message))            /* where to put error message */
4898           {
4899           goto EXPAND_FAILED;
4900           }
4901
4902         /* Create the child process, making it a group leader. */
4903
4904         pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE);
4905
4906         if (pid < 0)
4907           {
4908           expand_string_message =
4909             string_sprintf("couldn't create child process: %s", strerror(errno));
4910           goto EXPAND_FAILED;
4911           }
4912
4913         /* Nothing is written to the standard input. */
4914
4915         (void)close(fd_in);
4916
4917         /* Read the pipe to get the command's output into $value (which is kept
4918         in lookup_value). Read during execution, so that if the output exceeds
4919         the OS pipe buffer limit, we don't block forever. */
4920
4921         f = fdopen(fd_out, "rb");
4922         sigalrm_seen = FALSE;
4923         alarm(60);
4924         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
4925         alarm(0);
4926         (void)fclose(f);
4927
4928         /* Wait for the process to finish, applying the timeout, and inspect its
4929         return code for serious disasters. Simple non-zero returns are passed on.
4930         */
4931
4932         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4933           {
4934           if (sigalrm_seen == TRUE || runrc == -256)
4935             {
4936             expand_string_message = string_sprintf("command timed out");
4937             killpg(pid, SIGKILL);       /* Kill the whole process group */
4938             }
4939
4940           else if (runrc == -257)
4941             expand_string_message = string_sprintf("wait() failed: %s",
4942               strerror(errno));
4943
4944           else
4945             expand_string_message = string_sprintf("command killed by signal %d",
4946               -runrc);
4947
4948           goto EXPAND_FAILED;
4949           }
4950         }
4951
4952       /* Process the yes/no strings; $value may be useful in both cases */
4953
4954       switch(process_yesno(
4955                skipping,                     /* were previously skipping */
4956                runrc == 0,                   /* success/failure indicator */
4957                lookup_value,                 /* value to reset for string2 */
4958                &s,                           /* input pointer */
4959                &yield,                       /* output pointer */
4960                &size,                        /* output size */
4961                &ptr,                         /* output current point */
4962                US"run",                      /* condition type */
4963                &resetok))
4964         {
4965         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4966         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4967         }
4968
4969       continue;
4970       }
4971
4972     /* Handle character translation for "tr" */
4973
4974     case EITEM_TR:
4975       {
4976       int oldptr = ptr;
4977       int o2m;
4978       uschar *sub[3];
4979
4980       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4981         {
4982         case 1: goto EXPAND_FAILED_CURLY;
4983         case 2:
4984         case 3: goto EXPAND_FAILED;
4985         }
4986
4987       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4988       o2m = Ustrlen(sub[2]) - 1;
4989
4990       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4991         {
4992         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4993         if (m != NULL)
4994           {
4995           int o = m - sub[1];
4996           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4997           }
4998         }
4999
5000       continue;
5001       }
5002
5003     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5004     expanded arguments. */
5005
5006     case EITEM_HASH:
5007     case EITEM_LENGTH:
5008     case EITEM_NHASH:
5009     case EITEM_SUBSTR:
5010       {
5011       int i;
5012       int len;
5013       uschar *ret;
5014       int val[2] = { 0, -1 };
5015       uschar *sub[3];
5016
5017       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5018       Ensure that sub[2] is set in the ${length } case. */
5019
5020       sub[2] = NULL;
5021       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5022              TRUE, name, &resetok))
5023         {
5024         case 1: goto EXPAND_FAILED_CURLY;
5025         case 2:
5026         case 3: goto EXPAND_FAILED;
5027         }
5028
5029       /* Juggle the arguments if there are only two of them: always move the
5030       string to the last position and make ${length{n}{str}} equivalent to
5031       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5032
5033       if (sub[2] == NULL)
5034         {
5035         sub[2] = sub[1];
5036         sub[1] = NULL;
5037         if (item_type == EITEM_LENGTH)
5038           {
5039           sub[1] = sub[0];
5040           sub[0] = NULL;
5041           }
5042         }
5043
5044       for (i = 0; i < 2; i++)
5045         {
5046         if (sub[i] == NULL) continue;
5047         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5048         if (*ret != 0 || (i != 0 && val[i] < 0))
5049           {
5050           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5051             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5052           goto EXPAND_FAILED;
5053           }
5054         }
5055
5056       ret =
5057         (item_type == EITEM_HASH)?
5058           compute_hash(sub[2], val[0], val[1], &len) :
5059         (item_type == EITEM_NHASH)?
5060           compute_nhash(sub[2], val[0], val[1], &len) :
5061           extract_substr(sub[2], val[0], val[1], &len);
5062
5063       if (ret == NULL) goto EXPAND_FAILED;
5064       yield = string_cat(yield, &size, &ptr, ret, len);
5065       continue;
5066       }
5067
5068     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5069     This code originally contributed by Steve Haslam. It currently supports
5070     the use of MD5 and SHA-1 hashes.
5071
5072     We need some workspace that is large enough to handle all the supported
5073     hash types. Use macros to set the sizes rather than be too elaborate. */
5074
5075     #define MAX_HASHLEN      20
5076     #define MAX_HASHBLOCKLEN 64
5077
5078     case EITEM_HMAC:
5079       {
5080       uschar *sub[3];
5081       md5 md5_base;
5082       sha1 sha1_base;
5083       void *use_base;
5084       int type, i;
5085       int hashlen;      /* Number of octets for the hash algorithm's output */
5086       int hashblocklen; /* Number of octets the hash algorithm processes */
5087       uschar *keyptr, *p;
5088       unsigned int keylen;
5089
5090       uschar keyhash[MAX_HASHLEN];
5091       uschar innerhash[MAX_HASHLEN];
5092       uschar finalhash[MAX_HASHLEN];
5093       uschar finalhash_hex[2*MAX_HASHLEN];
5094       uschar innerkey[MAX_HASHBLOCKLEN];
5095       uschar outerkey[MAX_HASHBLOCKLEN];
5096
5097       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5098         {
5099         case 1: goto EXPAND_FAILED_CURLY;
5100         case 2:
5101         case 3: goto EXPAND_FAILED;
5102         }
5103
5104       if (Ustrcmp(sub[0], "md5") == 0)
5105         {
5106         type = HMAC_MD5;
5107         use_base = &md5_base;
5108         hashlen = 16;
5109         hashblocklen = 64;
5110         }
5111       else if (Ustrcmp(sub[0], "sha1") == 0)
5112         {
5113         type = HMAC_SHA1;
5114         use_base = &sha1_base;
5115         hashlen = 20;
5116         hashblocklen = 64;
5117         }
5118       else
5119         {
5120         expand_string_message =
5121           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5122         goto EXPAND_FAILED;
5123         }
5124
5125       keyptr = sub[1];
5126       keylen = Ustrlen(keyptr);
5127
5128       /* If the key is longer than the hash block length, then hash the key
5129       first */
5130
5131       if (keylen > hashblocklen)
5132         {
5133         chash_start(type, use_base);
5134         chash_end(type, use_base, keyptr, keylen, keyhash);
5135         keyptr = keyhash;
5136         keylen = hashlen;
5137         }
5138
5139       /* Now make the inner and outer key values */
5140
5141       memset(innerkey, 0x36, hashblocklen);
5142       memset(outerkey, 0x5c, hashblocklen);
5143
5144       for (i = 0; i < keylen; i++)
5145         {
5146         innerkey[i] ^= keyptr[i];
5147         outerkey[i] ^= keyptr[i];
5148         }
5149
5150       /* Now do the hashes */
5151
5152       chash_start(type, use_base);
5153       chash_mid(type, use_base, innerkey);
5154       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5155
5156       chash_start(type, use_base);
5157       chash_mid(type, use_base, outerkey);
5158       chash_end(type, use_base, innerhash, hashlen, finalhash);
5159
5160       /* Encode the final hash as a hex string */
5161
5162       p = finalhash_hex;
5163       for (i = 0; i < hashlen; i++)
5164         {
5165         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5166         *p++ = hex_digits[finalhash[i] & 0x0f];
5167         }
5168
5169       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5170         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5171
5172       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5173       }
5174
5175     continue;
5176
5177     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5178     We have to save the numerical variables and restore them afterwards. */
5179
5180     case EITEM_SG:
5181       {
5182       const pcre *re;
5183       int moffset, moffsetextra, slen;
5184       int roffset;
5185       int emptyopt;
5186       const uschar *rerror;
5187       uschar *subject;
5188       uschar *sub[3];
5189       int save_expand_nmax =
5190         save_expand_strings(save_expand_nstring, save_expand_nlength);
5191
5192       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5193         {
5194         case 1: goto EXPAND_FAILED_CURLY;
5195         case 2:
5196         case 3: goto EXPAND_FAILED;
5197         }
5198
5199       /* Compile the regular expression */
5200
5201       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5202         NULL);
5203
5204       if (re == NULL)
5205         {
5206         expand_string_message = string_sprintf("regular expression error in "
5207           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5208         goto EXPAND_FAILED;
5209         }
5210
5211       /* Now run a loop to do the substitutions as often as necessary. It ends
5212       when there are no more matches. Take care over matches of the null string;
5213       do the same thing as Perl does. */
5214
5215       subject = sub[0];
5216       slen = Ustrlen(sub[0]);
5217       moffset = moffsetextra = 0;
5218       emptyopt = 0;
5219
5220       for (;;)
5221         {
5222         int ovector[3*(EXPAND_MAXN+1)];
5223         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5224           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5225         int nn;
5226         uschar *insert;
5227
5228         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5229         is not necessarily the end. We want to repeat the match from one
5230         character further along, but leaving the basic offset the same (for
5231         copying below). We can't be at the end of the string - that was checked
5232         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5233         finished; copy the remaining string and end the loop. */
5234
5235         if (n < 0)
5236           {
5237           if (emptyopt != 0)
5238             {
5239             moffsetextra = 1;
5240             emptyopt = 0;
5241             continue;
5242             }
5243           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5244           break;
5245           }
5246
5247         /* Match - set up for expanding the replacement. */
5248
5249         if (n == 0) n = EXPAND_MAXN + 1;
5250         expand_nmax = 0;
5251         for (nn = 0; nn < n*2; nn += 2)
5252           {
5253           expand_nstring[expand_nmax] = subject + ovector[nn];
5254           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5255           }
5256         expand_nmax--;
5257
5258         /* Copy the characters before the match, plus the expanded insertion. */
5259
5260         yield = string_cat(yield, &size, &ptr, subject + moffset,
5261           ovector[0] - moffset);
5262         insert = expand_string(sub[2]);
5263         if (insert == NULL) goto EXPAND_FAILED;
5264         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5265
5266         moffset = ovector[1];
5267         moffsetextra = 0;
5268         emptyopt = 0;
5269
5270         /* If we have matched an empty string, first check to see if we are at
5271         the end of the subject. If so, the loop is over. Otherwise, mimic
5272         what Perl's /g options does. This turns out to be rather cunning. First
5273         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5274         string at the same point. If this fails (picked up above) we advance to
5275         the next character. */
5276
5277         if (ovector[0] == ovector[1])
5278           {
5279           if (ovector[0] == slen) break;
5280           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5281           }
5282         }
5283
5284       /* All done - restore numerical variables. */
5285
5286       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5287         save_expand_nlength);
5288       continue;
5289       }
5290
5291     /* Handle keyed and numbered substring extraction. If the first argument
5292     consists entirely of digits, then a numerical extraction is assumed. */
5293
5294     case EITEM_EXTRACT:
5295       {
5296       int i;
5297       int j = 2;
5298       int field_number = 1;
5299       BOOL field_number_set = FALSE;
5300       uschar *save_lookup_value = lookup_value;
5301       uschar *sub[3];
5302       int save_expand_nmax =
5303         save_expand_strings(save_expand_nstring, save_expand_nlength);
5304
5305       /* Read the arguments */
5306
5307       for (i = 0; i < j; i++)
5308         {
5309         while (isspace(*s)) s++;
5310         if (*s == '{')                                          /*}*/
5311           {
5312           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5313           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5314           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5315
5316           /* After removal of leading and trailing white space, the first
5317           argument must not be empty; if it consists entirely of digits
5318           (optionally preceded by a minus sign), this is a numerical
5319           extraction, and we expect 3 arguments. */
5320
5321           if (i == 0)
5322             {
5323             int len;
5324             int x = 0;
5325             uschar *p = sub[0];
5326
5327             while (isspace(*p)) p++;
5328             sub[0] = p;
5329
5330             len = Ustrlen(p);
5331             while (len > 0 && isspace(p[len-1])) len--;
5332             p[len] = 0;
5333
5334             if (!skipping)
5335               {
5336               if (*p == 0)
5337                 {
5338                 expand_string_message = US"first argument of \"extract\" must "
5339                   "not be empty";
5340                 goto EXPAND_FAILED;
5341                 }
5342
5343               if (*p == '-')
5344                 {
5345                 field_number = -1;
5346                 p++;
5347                 }
5348               while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5349               if (*p == 0)
5350                 {
5351                 field_number *= x;
5352                 j = 3;               /* Need 3 args */
5353                 field_number_set = TRUE;
5354                 }
5355               }
5356             }
5357           }
5358         else goto EXPAND_FAILED_CURLY;
5359         }
5360
5361       /* Extract either the numbered or the keyed substring into $value. If
5362       skipping, just pretend the extraction failed. */
5363
5364       lookup_value = skipping? NULL : field_number_set?
5365         expand_gettokened(field_number, sub[1], sub[2]) :
5366         expand_getkeyed(sub[0], sub[1]);
5367
5368       /* If no string follows, $value gets substituted; otherwise there can
5369       be yes/no strings, as for lookup or if. */
5370
5371       switch(process_yesno(
5372                skipping,                     /* were previously skipping */
5373                lookup_value != NULL,         /* success/failure indicator */
5374                save_lookup_value,            /* value to reset for string2 */
5375                &s,                           /* input pointer */
5376                &yield,                       /* output pointer */
5377                &size,                        /* output size */
5378                &ptr,                         /* output current point */
5379                US"extract",                  /* condition type */
5380                &resetok))
5381         {
5382         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5383         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5384         }
5385
5386       /* All done - restore numerical variables. */
5387
5388       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5389         save_expand_nlength);
5390
5391       continue;
5392       }
5393
5394     /* return the Nth item from a list */
5395
5396     case EITEM_LISTEXTRACT:
5397       {
5398       int i;
5399       int field_number = 1;
5400       uschar *save_lookup_value = lookup_value;
5401       uschar *sub[2];
5402       int save_expand_nmax =
5403         save_expand_strings(save_expand_nstring, save_expand_nlength);
5404
5405       /* Read the field & list arguments */
5406
5407       for (i = 0; i < 2; i++)
5408         {
5409         while (isspace(*s)) s++;
5410         if (*s != '{')                                  /*}*/
5411           goto EXPAND_FAILED_CURLY;
5412
5413         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5414         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5415         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5416
5417         /* After removal of leading and trailing white space, the first
5418         argument must be numeric and nonempty. */
5419
5420         if (i == 0)
5421           {
5422           int len;
5423           int x = 0;
5424           uschar *p = sub[0];
5425
5426           while (isspace(*p)) p++;
5427           sub[0] = p;
5428
5429           len = Ustrlen(p);
5430           while (len > 0 && isspace(p[len-1])) len--;
5431           p[len] = 0;
5432
5433           if (!*p && !skipping)
5434             {
5435             expand_string_message = US"first argument of \"listextract\" must "
5436               "not be empty";
5437             goto EXPAND_FAILED;
5438             }
5439
5440           if (*p == '-')
5441             {
5442             field_number = -1;
5443             p++;
5444             }
5445           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5446           if (*p)
5447             {
5448             expand_string_message = US"first argument of \"listextract\" must "
5449               "be numeric";
5450             goto EXPAND_FAILED;
5451             }
5452           field_number *= x;
5453           }
5454         }
5455
5456       /* Extract the numbered element into $value. If
5457       skipping, just pretend the extraction failed. */
5458
5459       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5460
5461       /* If no string follows, $value gets substituted; otherwise there can
5462       be yes/no strings, as for lookup or if. */
5463
5464       switch(process_yesno(
5465                skipping,                     /* were previously skipping */
5466                lookup_value != NULL,         /* success/failure indicator */
5467                save_lookup_value,            /* value to reset for string2 */
5468                &s,                           /* input pointer */
5469                &yield,                       /* output pointer */
5470                &size,                        /* output size */
5471                &ptr,                         /* output current point */
5472                US"extract",                  /* condition type */
5473                &resetok))
5474         {
5475         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5476         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5477         }
5478
5479       /* All done - restore numerical variables. */
5480
5481       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5482         save_expand_nlength);
5483
5484       continue;
5485       }
5486
5487 #ifdef SUPPORT_TLS
5488     case EITEM_CERTEXTRACT:
5489       {
5490       uschar *save_lookup_value = lookup_value;
5491       uschar *sub[2];
5492       int save_expand_nmax =
5493         save_expand_strings(save_expand_nstring, save_expand_nlength);
5494
5495       /* Read the field argument */
5496       while (isspace(*s)) s++;
5497       if (*s != '{')                                    /*}*/
5498         goto EXPAND_FAILED_CURLY;
5499       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5500       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5501       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5502       /* strip spaces fore & aft */
5503       {
5504       int len;
5505       uschar *p = sub[0];
5506
5507       while (isspace(*p)) p++;
5508       sub[0] = p;
5509
5510       len = Ustrlen(p);
5511       while (len > 0 && isspace(p[len-1])) len--;
5512       p[len] = 0;
5513       }
5514
5515       /* inspect the cert argument */
5516       while (isspace(*s)) s++;
5517       if (*s != '{')                                    /*}*/
5518         goto EXPAND_FAILED_CURLY;
5519       if (*++s != '$')
5520         {
5521         expand_string_message = US"second argument of \"certextract\" must "
5522           "be a certificate variable";
5523         goto EXPAND_FAILED;
5524         }
5525       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5526       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5527       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5528
5529       if (skipping)
5530         lookup_value = NULL;
5531       else
5532         {
5533         lookup_value = expand_getcertele(sub[0], sub[1]);
5534         if (*expand_string_message) goto EXPAND_FAILED;
5535         }
5536       switch(process_yesno(
5537                skipping,                     /* were previously skipping */
5538                lookup_value != NULL,         /* success/failure indicator */
5539                save_lookup_value,            /* value to reset for string2 */
5540                &s,                           /* input pointer */
5541                &yield,                       /* output pointer */
5542                &size,                        /* output size */
5543                &ptr,                         /* output current point */
5544                US"extract",                  /* condition type */
5545                &resetok))
5546         {
5547         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5548         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5549         }
5550
5551       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5552         save_expand_nlength);
5553       continue;
5554       }
5555 #endif  /*SUPPORT_TLS*/
5556
5557     /* Handle list operations */
5558
5559     case EITEM_FILTER:
5560     case EITEM_MAP:
5561     case EITEM_REDUCE:
5562       {
5563       int sep = 0;
5564       int save_ptr = ptr;
5565       uschar outsep[2] = { '\0', '\0' };
5566       const uschar *list, *expr, *temp;
5567       uschar *save_iterate_item = iterate_item;
5568       uschar *save_lookup_value = lookup_value;
5569
5570       while (isspace(*s)) s++;
5571       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5572
5573       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5574       if (list == NULL) goto EXPAND_FAILED;
5575       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5576
5577       if (item_type == EITEM_REDUCE)
5578         {
5579         uschar * t;
5580         while (isspace(*s)) s++;
5581         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5582         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5583         if (!t) goto EXPAND_FAILED;
5584         lookup_value = t;
5585         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5586         }
5587
5588       while (isspace(*s)) s++;
5589       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5590
5591       expr = s;
5592
5593       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5594       if scanning a "false" part). This allows us to find the end of the
5595       condition, because if the list is empty, we won't actually evaluate the
5596       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5597       the normal internal expansion function. */
5598
5599       if (item_type == EITEM_FILTER)
5600         {
5601         temp = eval_condition(expr, &resetok, NULL);
5602         if (temp != NULL) s = temp;
5603         }
5604       else
5605         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5606
5607       if (temp == NULL)
5608         {
5609         expand_string_message = string_sprintf("%s inside \"%s\" item",
5610           expand_string_message, name);
5611         goto EXPAND_FAILED;
5612         }
5613
5614       while (isspace(*s)) s++;
5615       if (*s++ != '}')
5616         {                                               /*{*/
5617         expand_string_message = string_sprintf("missing } at end of condition "
5618           "or expression inside \"%s\"", name);
5619         goto EXPAND_FAILED;
5620         }
5621
5622       while (isspace(*s)) s++;                          /*{*/
5623       if (*s++ != '}')
5624         {                                               /*{*/
5625         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5626           name);
5627         goto EXPAND_FAILED;
5628         }
5629
5630       /* If we are skipping, we can now just move on to the next item. When
5631       processing for real, we perform the iteration. */
5632
5633       if (skipping) continue;
5634       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5635         {
5636         *outsep = (uschar)sep;      /* Separator as a string */
5637
5638         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5639
5640         if (item_type == EITEM_FILTER)
5641           {
5642           BOOL condresult;
5643           if (eval_condition(expr, &resetok, &condresult) == NULL)
5644             {
5645             iterate_item = save_iterate_item;
5646             lookup_value = save_lookup_value;
5647             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5648               expand_string_message, name);
5649             goto EXPAND_FAILED;
5650             }
5651           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5652             condresult? "true":"false");
5653           if (condresult)
5654             temp = iterate_item;    /* TRUE => include this item */
5655           else
5656             continue;               /* FALSE => skip this item */
5657           }
5658
5659         /* EITEM_MAP and EITEM_REDUCE */
5660
5661         else
5662           {
5663           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5664           temp = t;
5665           if (temp == NULL)
5666             {
5667             iterate_item = save_iterate_item;
5668             expand_string_message = string_sprintf("%s inside \"%s\" item",
5669               expand_string_message, name);
5670             goto EXPAND_FAILED;
5671             }
5672           if (item_type == EITEM_REDUCE)
5673             {
5674             lookup_value = t;         /* Update the value of $value */
5675             continue;                 /* and continue the iteration */
5676             }
5677           }
5678
5679         /* We reach here for FILTER if the condition is true, always for MAP,
5680         and never for REDUCE. The value in "temp" is to be added to the output
5681         list that is being created, ensuring that any occurrences of the
5682         separator character are doubled. Unless we are dealing with the first
5683         item of the output list, add in a space if the new item begins with the
5684         separator character, or is an empty string. */
5685
5686         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5687           yield = string_cat(yield, &size, &ptr, US" ", 1);
5688
5689         /* Add the string in "temp" to the output list that we are building,
5690         This is done in chunks by searching for the separator character. */
5691
5692         for (;;)
5693           {
5694           size_t seglen = Ustrcspn(temp, outsep);
5695             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5696
5697           /* If we got to the end of the string we output one character
5698           too many; backup and end the loop. Otherwise arrange to double the
5699           separator. */
5700
5701           if (temp[seglen] == '\0') { ptr--; break; }
5702           yield = string_cat(yield, &size, &ptr, outsep, 1);
5703           temp += seglen + 1;
5704           }
5705
5706         /* Output a separator after the string: we will remove the redundant
5707         final one at the end. */
5708
5709         yield = string_cat(yield, &size, &ptr, outsep, 1);
5710         }   /* End of iteration over the list loop */
5711
5712       /* REDUCE has generated no output above: output the final value of
5713       $value. */
5714
5715       if (item_type == EITEM_REDUCE)
5716         {
5717         yield = string_cat(yield, &size, &ptr, lookup_value,
5718           Ustrlen(lookup_value));
5719         lookup_value = save_lookup_value;  /* Restore $value */
5720         }
5721
5722       /* FILTER and MAP generate lists: if they have generated anything, remove
5723       the redundant final separator. Even though an empty item at the end of a
5724       list does not count, this is tidier. */
5725
5726       else if (ptr != save_ptr) ptr--;
5727
5728       /* Restore preserved $item */
5729
5730       iterate_item = save_iterate_item;
5731       continue;
5732       }
5733
5734     case EITEM_SORT:
5735       {
5736       int sep = 0;
5737       const uschar *srclist, *cmp, *xtract;
5738       uschar *srcitem;
5739       const uschar *dstlist = NULL, *dstkeylist = NULL;
5740       uschar * tmp;
5741       uschar *save_iterate_item = iterate_item;
5742
5743       while (isspace(*s)) s++;
5744       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5745
5746       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5747       if (!srclist) goto EXPAND_FAILED;
5748       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5749
5750       while (isspace(*s)) s++;
5751       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5752
5753       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5754       if (!cmp) goto EXPAND_FAILED;
5755       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5756
5757       while (isspace(*s)) s++;
5758       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5759
5760       xtract = s;
5761       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5762       if (!tmp) goto EXPAND_FAILED;
5763       xtract = string_copyn(xtract, s - xtract);
5764
5765       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5766                                                         /*{*/
5767       if (*s++ != '}')
5768         {                                               /*{*/
5769         expand_string_message = US"missing } at end of \"sort\"";
5770         goto EXPAND_FAILED;
5771         }
5772
5773       if (skipping) continue;
5774
5775       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5776         {
5777         uschar * dstitem;
5778         uschar * newlist = NULL;
5779         uschar * newkeylist = NULL;
5780         uschar * srcfield;
5781
5782         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5783
5784         /* extract field for comparisons */
5785         iterate_item = srcitem;
5786         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5787                                           TRUE, &resetok))
5788            || !*srcfield)
5789           {
5790           expand_string_message = string_sprintf(
5791               "field-extract in sort: \"%s\"", xtract);
5792           goto EXPAND_FAILED;
5793           }
5794
5795         /* Insertion sort */
5796
5797         /* copy output list until new-item < list-item */
5798         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5799           {
5800           uschar * dstfield;
5801           uschar * expr;
5802           BOOL before;
5803
5804           /* field for comparison */
5805           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5806             goto sort_mismatch;
5807
5808           /* build and run condition string */
5809           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5810
5811           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
5812           if (!eval_condition(expr, &resetok, &before))
5813             {
5814             expand_string_message = string_sprintf("comparison in sort: %s",
5815                 expr);
5816             goto EXPAND_FAILED;
5817             }
5818
5819           if (before)
5820             {
5821             /* New-item sorts before this dst-item.  Append new-item,
5822             then dst-item, then remainder of dst list. */
5823
5824             newlist = string_append_listele(newlist, sep, srcitem);
5825             newkeylist = string_append_listele(newkeylist, sep, srcfield);
5826             srcitem = NULL;
5827
5828             newlist = string_append_listele(newlist, sep, dstitem);
5829             newkeylist = string_append_listele(newkeylist, sep, dstfield);
5830
5831             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5832               {
5833               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5834                 goto sort_mismatch;
5835               newlist = string_append_listele(newlist, sep, dstitem);
5836               newkeylist = string_append_listele(newkeylist, sep, dstfield);
5837               }
5838
5839             break;
5840             }
5841
5842           newlist = string_append_listele(newlist, sep, dstitem);
5843           newkeylist = string_append_listele(newkeylist, sep, dstfield);
5844           }
5845
5846         /* If we ran out of dstlist without consuming srcitem, append it */
5847         if (srcitem)
5848           {
5849           newlist = string_append_listele(newlist, sep, srcitem);
5850           newkeylist = string_append_listele(newkeylist, sep, srcfield);
5851           }
5852
5853         dstlist = newlist;
5854         dstkeylist = newkeylist;
5855
5856         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
5857         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
5858         }
5859
5860       if (dstlist)
5861         yield = string_cat(yield, &size, &ptr, dstlist, Ustrlen(dstlist));
5862
5863       /* Restore preserved $item */
5864       iterate_item = save_iterate_item;
5865       continue;
5866
5867       sort_mismatch:
5868         expand_string_message = US"Internal error in sort (list mismatch)";
5869         goto EXPAND_FAILED;
5870       }
5871
5872
5873     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5874     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5875     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5876     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5877
5878     #define EXPAND_DLFUNC_MAX_ARGS 8
5879
5880     case EITEM_DLFUNC:
5881 #ifndef EXPAND_DLFUNC
5882       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
5883         "is not included in this binary";
5884       goto EXPAND_FAILED;
5885
5886 #else   /* EXPAND_DLFUNC */
5887       {
5888       tree_node *t;
5889       exim_dlfunc_t *func;
5890       uschar *result;
5891       int status, argc;
5892       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5893
5894       if ((expand_forbid & RDO_DLFUNC) != 0)
5895         {
5896         expand_string_message =
5897           US"dynamically-loaded functions are not permitted";
5898         goto EXPAND_FAILED;
5899         }
5900
5901       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5902            TRUE, US"dlfunc", &resetok))
5903         {
5904         case 1: goto EXPAND_FAILED_CURLY;
5905         case 2:
5906         case 3: goto EXPAND_FAILED;
5907         }
5908
5909       /* If skipping, we don't actually do anything */
5910
5911       if (skipping) continue;
5912
5913       /* Look up the dynamically loaded object handle in the tree. If it isn't
5914       found, dlopen() the file and put the handle in the tree for next time. */
5915
5916       t = tree_search(dlobj_anchor, argv[0]);
5917       if (t == NULL)
5918         {
5919         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5920         if (handle == NULL)
5921           {
5922           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5923             argv[0], dlerror());
5924           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5925           goto EXPAND_FAILED;
5926           }
5927         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5928         Ustrcpy(t->name, argv[0]);
5929         t->data.ptr = handle;
5930         (void)tree_insertnode(&dlobj_anchor, t);
5931         }
5932
5933       /* Having obtained the dynamically loaded object handle, look up the
5934       function pointer. */
5935
5936       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5937       if (func == NULL)
5938         {
5939         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5940           "%s", argv[1], argv[0], dlerror());
5941         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5942         goto EXPAND_FAILED;
5943         }
5944
5945       /* Call the function and work out what to do with the result. If it
5946       returns OK, we have a replacement string; if it returns DEFER then
5947       expansion has failed in a non-forced manner; if it returns FAIL then
5948       failure was forced; if it returns ERROR or any other value there's a
5949       problem, so panic slightly. In any case, assume that the function has
5950       side-effects on the store that must be preserved. */
5951
5952       resetok = FALSE;
5953       result = NULL;
5954       for (argc = 0; argv[argc] != NULL; argc++);
5955       status = func(&result, argc - 2, &argv[2]);
5956       if(status == OK)
5957         {
5958         if (result == NULL) result = US"";
5959         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5960         continue;
5961         }
5962       else
5963         {
5964         expand_string_message = result == NULL ? US"(no message)" : result;
5965         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5966           else if(status != FAIL)
5967             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5968               argv[0], argv[1], status, expand_string_message);
5969         goto EXPAND_FAILED;
5970         }
5971       }
5972 #endif /* EXPAND_DLFUNC */
5973
5974     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
5975       {
5976       uschar * key;
5977       uschar *save_lookup_value = lookup_value;
5978
5979       while (isspace(*s)) s++;
5980       if (*s != '{')                                    /*}*/
5981         goto EXPAND_FAILED;
5982
5983       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5984       if (!key) goto EXPAND_FAILED;                     /*{*/
5985       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5986
5987       lookup_value = US getenv(CS key);
5988
5989       switch(process_yesno(
5990                skipping,                     /* were previously skipping */
5991                lookup_value != NULL,         /* success/failure indicator */
5992                save_lookup_value,            /* value to reset for string2 */
5993                &s,                           /* input pointer */
5994                &yield,                       /* output pointer */
5995                &size,                        /* output size */
5996                &ptr,                         /* output current point */
5997                US"env",                      /* condition type */
5998                &resetok))
5999         {
6000         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6001         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6002         }
6003       continue;
6004       }
6005     }   /* EITEM_* switch */
6006
6007   /* Control reaches here if the name is not recognized as one of the more
6008   complicated expansion items. Check for the "operator" syntax (name terminated
6009   by a colon). Some of the operators have arguments, separated by _ from the
6010   name. */
6011
6012   if (*s == ':')
6013     {
6014     int c;
6015     uschar *arg = NULL;
6016     uschar *sub;
6017     var_entry *vp = NULL;
6018
6019     /* Owing to an historical mis-design, an underscore may be part of the
6020     operator name, or it may introduce arguments.  We therefore first scan the
6021     table of names that contain underscores. If there is no match, we cut off
6022     the arguments and then scan the main table. */
6023
6024     if ((c = chop_match(name, op_table_underscore,
6025                         nelem(op_table_underscore))) < 0)
6026       {
6027       arg = Ustrchr(name, '_');
6028       if (arg != NULL) *arg = 0;
6029       c = chop_match(name, op_table_main, nelem(op_table_main));
6030       if (c >= 0) c += nelem(op_table_underscore);
6031       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6032       }
6033
6034     /* Deal specially with operators that might take a certificate variable
6035     as we do not want to do the usual expansion. For most, expand the string.*/
6036     switch(c)
6037       {
6038 #ifdef SUPPORT_TLS
6039       case EOP_MD5:
6040       case EOP_SHA1:
6041       case EOP_SHA256:
6042         if (s[1] == '$')
6043           {
6044           const uschar * s1 = s;
6045           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6046                   FALSE, &resetok);
6047           if (!sub)       goto EXPAND_FAILED;           /*{*/
6048           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
6049           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6050             {
6051             s = s1+1;
6052             break;
6053             }
6054           vp = NULL;
6055           }
6056         /*FALLTHROUGH*/
6057 #endif
6058       default:
6059         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6060         if (!sub) goto EXPAND_FAILED;
6061         s++;
6062         break;
6063       }
6064
6065     /* If we are skipping, we don't need to perform the operation at all.
6066     This matters for operations like "mask", because the data may not be
6067     in the correct format when skipping. For example, the expression may test
6068     for the existence of $sender_host_address before trying to mask it. For
6069     other operations, doing them may not fail, but it is a waste of time. */
6070
6071     if (skipping && c >= 0) continue;
6072
6073     /* Otherwise, switch on the operator type */
6074
6075     switch(c)
6076       {
6077       case EOP_BASE62:
6078         {
6079         uschar *t;
6080         unsigned long int n = Ustrtoul(sub, &t, 10);
6081         if (*t != 0)
6082           {
6083           expand_string_message = string_sprintf("argument for base62 "
6084             "operator is \"%s\", which is not a decimal number", sub);
6085           goto EXPAND_FAILED;
6086           }
6087         t = string_base62(n);
6088         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6089         continue;
6090         }
6091
6092       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6093
6094       case EOP_BASE62D:
6095         {
6096         uschar buf[16];
6097         uschar *tt = sub;
6098         unsigned long int n = 0;
6099         while (*tt != 0)
6100           {
6101           uschar *t = Ustrchr(base62_chars, *tt++);
6102           if (t == NULL)
6103             {
6104             expand_string_message = string_sprintf("argument for base62d "
6105               "operator is \"%s\", which is not a base %d number", sub,
6106               BASE_62);
6107             goto EXPAND_FAILED;
6108             }
6109           n = n * BASE_62 + (t - base62_chars);
6110           }
6111         (void)sprintf(CS buf, "%ld", n);
6112         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
6113         continue;
6114         }
6115
6116       case EOP_EXPAND:
6117         {
6118         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6119         if (expanded == NULL)
6120           {
6121           expand_string_message =
6122             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6123               expand_string_message);
6124           goto EXPAND_FAILED;
6125           }
6126         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
6127         continue;
6128         }
6129
6130       case EOP_LC:
6131         {
6132         int count = 0;
6133         uschar *t = sub - 1;
6134         while (*(++t) != 0) { *t = tolower(*t); count++; }
6135         yield = string_cat(yield, &size, &ptr, sub, count);
6136         continue;
6137         }
6138
6139       case EOP_UC:
6140         {
6141         int count = 0;
6142         uschar *t = sub - 1;
6143         while (*(++t) != 0) { *t = toupper(*t); count++; }
6144         yield = string_cat(yield, &size, &ptr, sub, count);
6145         continue;
6146         }
6147
6148       case EOP_MD5:
6149 #ifdef SUPPORT_TLS
6150         if (vp && *(void **)vp->value)
6151           {
6152           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6153           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6154           }
6155         else
6156 #endif
6157           {
6158           md5 base;
6159           uschar digest[16];
6160           int j;
6161           char st[33];
6162           md5_start(&base);
6163           md5_end(&base, sub, Ustrlen(sub), digest);
6164           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6165           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6166           }
6167         continue;
6168
6169       case EOP_SHA1:
6170 #ifdef SUPPORT_TLS
6171         if (vp && *(void **)vp->value)
6172           {
6173           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6174           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6175           }
6176         else
6177 #endif
6178           {
6179           sha1 base;
6180           uschar digest[20];
6181           int j;
6182           char st[41];
6183           sha1_start(&base);
6184           sha1_end(&base, sub, Ustrlen(sub), digest);
6185           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6186           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6187           }
6188         continue;
6189
6190       case EOP_SHA256:
6191 #ifdef SUPPORT_TLS
6192         if (vp && *(void **)vp->value)
6193           {
6194           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6195           yield = string_cat(yield, &size, &ptr, cp, (int)Ustrlen(cp));
6196           }
6197         else
6198 #endif
6199           expand_string_message = US"sha256 only supported for certificates";
6200         continue;
6201
6202       /* Convert hex encoding to base64 encoding */
6203
6204       case EOP_HEX2B64:
6205         {
6206         int c = 0;
6207         int b = -1;
6208         uschar *in = sub;
6209         uschar *out = sub;
6210         uschar *enc;
6211
6212         for (enc = sub; *enc != 0; enc++)
6213           {
6214           if (!isxdigit(*enc))
6215             {
6216             expand_string_message = string_sprintf("\"%s\" is not a hex "
6217               "string", sub);
6218             goto EXPAND_FAILED;
6219             }
6220           c++;
6221           }
6222
6223         if ((c & 1) != 0)
6224           {
6225           expand_string_message = string_sprintf("\"%s\" contains an odd "
6226             "number of characters", sub);
6227           goto EXPAND_FAILED;
6228           }
6229
6230         while ((c = *in++) != 0)
6231           {
6232           if (isdigit(c)) c -= '0';
6233           else c = toupper(c) - 'A' + 10;
6234           if (b == -1)
6235             {
6236             b = c << 4;
6237             }
6238           else
6239             {
6240             *out++ = b | c;
6241             b = -1;
6242             }
6243           }
6244
6245         enc = auth_b64encode(sub, out - sub);
6246         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
6247         continue;
6248         }
6249
6250       /* Convert octets outside 0x21..0x7E to \xXX form */
6251
6252       case EOP_HEXQUOTE:
6253         {
6254         uschar *t = sub - 1;
6255         while (*(++t) != 0)
6256           {
6257           if (*t < 0x21 || 0x7E < *t)
6258             yield = string_cat(yield, &size, &ptr,
6259               string_sprintf("\\x%02x", *t), 4);
6260           else
6261             yield = string_cat(yield, &size, &ptr, t, 1);
6262           }
6263         continue;
6264         }
6265
6266       /* count the number of list elements */
6267
6268       case EOP_LISTCOUNT:
6269         {
6270         int cnt = 0;
6271         int sep = 0;
6272         uschar * cp;
6273         uschar buffer[256];
6274
6275         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6276         cp = string_sprintf("%d", cnt);
6277         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6278         continue;
6279         }
6280
6281       /* expand a named list given the name */
6282       /* handles nested named lists; requotes as colon-sep list */
6283
6284       case EOP_LISTNAMED:
6285         {
6286         tree_node *t = NULL;
6287         const uschar * list;
6288         int sep = 0;
6289         uschar * item;
6290         uschar * suffix = US"";
6291         BOOL needsep = FALSE;
6292         uschar buffer[256];
6293
6294         if (*sub == '+') sub++;
6295         if (arg == NULL)        /* no-argument version */
6296           {
6297           if (!(t = tree_search(addresslist_anchor, sub)) &&
6298               !(t = tree_search(domainlist_anchor,  sub)) &&
6299               !(t = tree_search(hostlist_anchor,    sub)))
6300             t = tree_search(localpartlist_anchor, sub);
6301           }
6302         else switch(*arg)       /* specific list-type version */
6303           {
6304           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6305           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6306           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6307           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6308           default:
6309             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6310             goto EXPAND_FAILED;
6311           }
6312
6313         if(!t)
6314           {
6315           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6316             sub, !arg?""
6317               : *arg=='a'?"address "
6318               : *arg=='d'?"domain "
6319               : *arg=='h'?"host "
6320               : *arg=='l'?"localpart "
6321               : 0);
6322           goto EXPAND_FAILED;
6323           }
6324
6325         list = ((namedlist_block *)(t->data.ptr))->string;
6326
6327         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6328           {
6329           uschar * buf = US" : ";
6330           if (needsep)
6331             yield = string_cat(yield, &size, &ptr, buf, 3);
6332           else
6333             needsep = TRUE;
6334
6335           if (*item == '+')     /* list item is itself a named list */
6336             {
6337             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6338             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6339             }
6340           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6341             {
6342             char * cp;
6343             char tok[3];
6344             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6345             while ((cp= strpbrk((const char *)item, tok)))
6346               {
6347               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6348               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6349                 {
6350                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6351                 item = (uschar *)cp;
6352                 }
6353               else              /* sep in item; should already be doubled; emit once */
6354                 {
6355                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6356                 if (*cp == sep) cp++;
6357                 item = (uschar *)cp;
6358                 }
6359               }
6360             }
6361           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6362           }
6363         continue;
6364         }
6365
6366       /* mask applies a mask to an IP address; for example the result of
6367       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6368
6369       case EOP_MASK:
6370         {
6371         int count;
6372         uschar *endptr;
6373         int binary[4];
6374         int mask, maskoffset;
6375         int type = string_is_ip_address(sub, &maskoffset);
6376         uschar buffer[64];
6377
6378         if (type == 0)
6379           {
6380           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6381            sub);
6382           goto EXPAND_FAILED;
6383           }
6384
6385         if (maskoffset == 0)
6386           {
6387           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6388             sub);
6389           goto EXPAND_FAILED;
6390           }
6391
6392         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6393
6394         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6395           {
6396           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6397             sub);
6398           goto EXPAND_FAILED;
6399           }
6400
6401         /* Convert the address to binary integer(s) and apply the mask */
6402
6403         sub[maskoffset] = 0;
6404         count = host_aton(sub, binary);
6405         host_mask(count, binary, mask);
6406
6407         /* Convert to masked textual format and add to output. */
6408
6409         yield = string_cat(yield, &size, &ptr, buffer,
6410           host_nmtoa(count, binary, mask, buffer, '.'));
6411         continue;
6412         }
6413
6414       case EOP_IPV6NORM:
6415       case EOP_IPV6DENORM:
6416         {
6417         int type = string_is_ip_address(sub, NULL);
6418         int binary[4];
6419         uschar buffer[44];
6420
6421         switch (type)
6422           {
6423           case 6:
6424             (void) host_aton(sub, binary);
6425             break;
6426
6427           case 4:       /* convert to IPv4-mapped IPv6 */
6428             binary[0] = binary[1] = 0;
6429             binary[2] = 0x0000ffff;
6430             (void) host_aton(sub, binary+3);
6431             break;
6432
6433           case 0:
6434             expand_string_message =
6435               string_sprintf("\"%s\" is not an IP address", sub);
6436             goto EXPAND_FAILED;
6437           }
6438
6439         yield = string_cat(yield, &size, &ptr, buffer,
6440                   c == EOP_IPV6NORM
6441                     ? ipv6_nmtoa(binary, buffer)
6442                     : host_nmtoa(4, binary, -1, buffer, ':')
6443                   );
6444         continue;
6445         }
6446
6447       case EOP_ADDRESS:
6448       case EOP_LOCAL_PART:
6449       case EOP_DOMAIN:
6450         {
6451         uschar *error;
6452         int start, end, domain;
6453         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6454           FALSE);
6455         if (t != NULL)
6456           {
6457           if (c != EOP_DOMAIN)
6458             {
6459             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6460             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6461             }
6462           else if (domain != 0)
6463             {
6464             domain += start;
6465             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6466             }
6467           }
6468         continue;
6469         }
6470
6471       case EOP_ADDRESSES:
6472         {
6473         uschar outsep[2] = { ':', '\0' };
6474         uschar *address, *error;
6475         int save_ptr = ptr;
6476         int start, end, domain;  /* Not really used */
6477
6478         while (isspace(*sub)) sub++;
6479         if (*sub == '>') { *outsep = *++sub; ++sub; }
6480         parse_allow_group = TRUE;
6481
6482         for (;;)
6483           {
6484           uschar *p = parse_find_address_end(sub, FALSE);
6485           uschar saveend = *p;
6486           *p = '\0';
6487           address = parse_extract_address(sub, &error, &start, &end, &domain,
6488             FALSE);
6489           *p = saveend;
6490
6491           /* Add the address to the output list that we are building. This is
6492           done in chunks by searching for the separator character. At the
6493           start, unless we are dealing with the first address of the output
6494           list, add in a space if the new address begins with the separator
6495           character, or is an empty string. */
6496
6497           if (address != NULL)
6498             {
6499             if (ptr != save_ptr && address[0] == *outsep)
6500               yield = string_cat(yield, &size, &ptr, US" ", 1);
6501
6502             for (;;)
6503               {
6504               size_t seglen = Ustrcspn(address, outsep);
6505               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6506
6507               /* If we got to the end of the string we output one character
6508               too many. */
6509
6510               if (address[seglen] == '\0') { ptr--; break; }
6511               yield = string_cat(yield, &size, &ptr, outsep, 1);
6512               address += seglen + 1;
6513               }
6514
6515             /* Output a separator after the string: we will remove the
6516             redundant final one at the end. */
6517
6518             yield = string_cat(yield, &size, &ptr, outsep, 1);
6519             }
6520
6521           if (saveend == '\0') break;
6522           sub = p + 1;
6523           }
6524
6525         /* If we have generated anything, remove the redundant final
6526         separator. */
6527
6528         if (ptr != save_ptr) ptr--;
6529         parse_allow_group = FALSE;
6530         continue;
6531         }
6532
6533
6534       /* quote puts a string in quotes if it is empty or contains anything
6535       other than alphamerics, underscore, dot, or hyphen.
6536
6537       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6538       be quoted in order to be a valid local part.
6539
6540       In both cases, newlines and carriage returns are converted into \n and \r
6541       respectively */
6542
6543       case EOP_QUOTE:
6544       case EOP_QUOTE_LOCAL_PART:
6545       if (arg == NULL)
6546         {
6547         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6548         uschar *t = sub - 1;
6549
6550         if (c == EOP_QUOTE)
6551           {
6552           while (!needs_quote && *(++t) != 0)
6553             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6554           }
6555         else  /* EOP_QUOTE_LOCAL_PART */
6556           {
6557           while (!needs_quote && *(++t) != 0)
6558             needs_quote = !isalnum(*t) &&
6559               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6560               (*t != '.' || t == sub || t[1] == 0);
6561           }
6562
6563         if (needs_quote)
6564           {
6565           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6566           t = sub - 1;
6567           while (*(++t) != 0)
6568             {
6569             if (*t == '\n')
6570               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6571             else if (*t == '\r')
6572               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6573             else
6574               {
6575               if (*t == '\\' || *t == '"')
6576                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6577               yield = string_cat(yield, &size, &ptr, t, 1);
6578               }
6579             }
6580           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6581           }
6582         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6583         continue;
6584         }
6585
6586       /* quote_lookuptype does lookup-specific quoting */
6587
6588       else
6589         {
6590         int n;
6591         uschar *opt = Ustrchr(arg, '_');
6592
6593         if (opt != NULL) *opt++ = 0;
6594
6595         n = search_findtype(arg, Ustrlen(arg));
6596         if (n < 0)
6597           {
6598           expand_string_message = search_error_message;
6599           goto EXPAND_FAILED;
6600           }
6601
6602         if (lookup_list[n]->quote != NULL)
6603           sub = (lookup_list[n]->quote)(sub, opt);
6604         else if (opt != NULL) sub = NULL;
6605
6606         if (sub == NULL)
6607           {
6608           expand_string_message = string_sprintf(
6609             "\"%s\" unrecognized after \"${quote_%s\"",
6610             opt, arg);
6611           goto EXPAND_FAILED;
6612           }
6613
6614         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6615         continue;
6616         }
6617
6618       /* rx quote sticks in \ before any non-alphameric character so that
6619       the insertion works in a regular expression. */
6620
6621       case EOP_RXQUOTE:
6622         {
6623         uschar *t = sub - 1;
6624         while (*(++t) != 0)
6625           {
6626           if (!isalnum(*t))
6627             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6628           yield = string_cat(yield, &size, &ptr, t, 1);
6629           }
6630         continue;
6631         }
6632
6633       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6634       prescribed by the RFC, if there are characters that need to be encoded */
6635
6636       case EOP_RFC2047:
6637         {
6638         uschar buffer[2048];
6639         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6640           buffer, sizeof(buffer), FALSE);
6641         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6642         continue;
6643         }
6644
6645       /* RFC 2047 decode */
6646
6647       case EOP_RFC2047D:
6648         {
6649         int len;
6650         uschar *error;
6651         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6652           headers_charset, '?', &len, &error);
6653         if (error != NULL)
6654           {
6655           expand_string_message = error;
6656           goto EXPAND_FAILED;
6657           }
6658         yield = string_cat(yield, &size, &ptr, decoded, len);
6659         continue;
6660         }
6661
6662       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6663       underscores */
6664
6665       case EOP_FROM_UTF8:
6666         {
6667         while (*sub != 0)
6668           {
6669           int c;
6670           uschar buff[4];
6671           GETUTF8INC(c, sub);
6672           if (c > 255) c = '_';
6673           buff[0] = c;
6674           yield = string_cat(yield, &size, &ptr, buff, 1);
6675           }
6676         continue;
6677         }
6678
6679           /* replace illegal UTF-8 sequences by replacement character  */
6680
6681       #define UTF8_REPLACEMENT_CHAR US"?"
6682
6683       case EOP_UTF8CLEAN:
6684         {
6685         int seq_len = 0, index = 0;
6686         int bytes_left = 0;
6687         long codepoint = -1;
6688         uschar seq_buff[4];                     /* accumulate utf-8 here */
6689
6690         while (*sub != 0)
6691           {
6692           int complete = 0;
6693           uschar c = *sub++;
6694
6695           if (bytes_left)
6696             {
6697             if ((c & 0xc0) != 0x80)
6698                     /* wrong continuation byte; invalidate all bytes */
6699               complete = 1; /* error */
6700             else
6701               {
6702               codepoint = (codepoint << 6) | (c & 0x3f);
6703               seq_buff[index++] = c;
6704               if (--bytes_left == 0)            /* codepoint complete */
6705                 if(codepoint > 0x10FFFF)        /* is it too large? */
6706                   complete = -1;        /* error (RFC3629 limit) */
6707                 else
6708                   {             /* finished; output utf-8 sequence */
6709                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6710                   index = 0;
6711                   }
6712               }
6713             }
6714           else  /* no bytes left: new sequence */
6715             {
6716             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6717               {
6718               yield = string_cat(yield, &size, &ptr, &c, 1);
6719               continue;
6720               }
6721             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6722               {
6723               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6724                 complete = -1;
6725               else
6726                 {
6727                   bytes_left = 1;
6728                   codepoint = c & 0x1f;
6729                 }
6730               }
6731             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6732               {
6733               bytes_left = 2;
6734               codepoint = c & 0x0f;
6735               }
6736             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6737               {
6738               bytes_left = 3;
6739               codepoint = c & 0x07;
6740               }
6741             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6742               complete = -1;
6743
6744             seq_buff[index++] = c;
6745             seq_len = bytes_left + 1;
6746             }           /* if(bytes_left) */
6747
6748           if (complete != 0)
6749             {
6750             bytes_left = index = 0;
6751             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6752             }
6753           if ((complete == 1) && ((c & 0x80) == 0))
6754                         /* ASCII character follows incomplete sequence */
6755               yield = string_cat(yield, &size, &ptr, &c, 1);
6756           }
6757         continue;
6758         }
6759
6760 #ifdef SUPPORT_I18N
6761       case EOP_UTF8_DOMAIN_TO_ALABEL:
6762         {
6763         uschar * error = NULL;
6764         uschar * s = string_domain_utf8_to_alabel(sub, &error);
6765         if (error)
6766           {
6767           expand_string_message = string_sprintf(
6768             "error converting utf8 (%s) to alabel: %s",
6769             string_printing(sub), error);
6770           goto EXPAND_FAILED;
6771           }
6772         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6773         continue;
6774         }
6775
6776       case EOP_UTF8_DOMAIN_FROM_ALABEL:
6777         {
6778         uschar * error = NULL;
6779         uschar * s = string_domain_alabel_to_utf8(sub, &error);
6780         if (error)
6781           {
6782           expand_string_message = string_sprintf(
6783             "error converting alabel (%s) to utf8: %s",
6784             string_printing(sub), error);
6785           goto EXPAND_FAILED;
6786           }
6787         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6788         continue;
6789         }
6790
6791       case EOP_UTF8_LOCALPART_TO_ALABEL:
6792         {
6793         uschar * error = NULL;
6794         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
6795         if (error)
6796           {
6797           expand_string_message = string_sprintf(
6798             "error converting utf8 (%s) to alabel: %s",
6799             string_printing(sub), error);
6800           goto EXPAND_FAILED;
6801           }
6802         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6803         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
6804         continue;
6805         }
6806
6807       case EOP_UTF8_LOCALPART_FROM_ALABEL:
6808         {
6809         uschar * error = NULL;
6810         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
6811         if (error)
6812           {
6813           expand_string_message = string_sprintf(
6814             "error converting alabel (%s) to utf8: %s",
6815             string_printing(sub), error);
6816           goto EXPAND_FAILED;
6817           }
6818         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6819         continue;
6820         }
6821 #endif  /* EXPERIMENTAL_INTERNATIONAL */
6822
6823       /* escape turns all non-printing characters into escape sequences. */
6824
6825       case EOP_ESCAPE:
6826         {
6827         const uschar *t = string_printing(sub);
6828         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6829         continue;
6830         }
6831
6832       /* Handle numeric expression evaluation */
6833
6834       case EOP_EVAL:
6835       case EOP_EVAL10:
6836         {
6837         uschar *save_sub = sub;
6838         uschar *error = NULL;
6839         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6840         if (error != NULL)
6841           {
6842           expand_string_message = string_sprintf("error in expression "
6843             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6844               save_sub);
6845           goto EXPAND_FAILED;
6846           }
6847         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6848         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6849         continue;
6850         }
6851
6852       /* Handle time period formating */
6853
6854       case EOP_TIME_EVAL:
6855         {
6856         int n = readconf_readtime(sub, 0, FALSE);
6857         if (n < 0)
6858           {
6859           expand_string_message = string_sprintf("string \"%s\" is not an "
6860             "Exim time interval in \"%s\" operator", sub, name);
6861           goto EXPAND_FAILED;
6862           }
6863         sprintf(CS var_buffer, "%d", n);
6864         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6865         continue;
6866         }
6867
6868       case EOP_TIME_INTERVAL:
6869         {
6870         int n;
6871         uschar *t = read_number(&n, sub);
6872         if (*t != 0) /* Not A Number*/
6873           {
6874           expand_string_message = string_sprintf("string \"%s\" is not a "
6875             "positive number in \"%s\" operator", sub, name);
6876           goto EXPAND_FAILED;
6877           }
6878         t = readconf_printtime(n);
6879         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6880         continue;
6881         }
6882
6883       /* Convert string to base64 encoding */
6884
6885       case EOP_STR2B64:
6886         {
6887         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
6888         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
6889         continue;
6890         }
6891
6892       /* strlen returns the length of the string */
6893
6894       case EOP_STRLEN:
6895         {
6896         uschar buff[24];
6897         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6898         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6899         continue;
6900         }
6901
6902       /* length_n or l_n takes just the first n characters or the whole string,
6903       whichever is the shorter;
6904
6905       substr_m_n, and s_m_n take n characters from offset m; negative m take
6906       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6907       takes the rest, either to the right or to the left.
6908
6909       hash_n or h_n makes a hash of length n from the string, yielding n
6910       characters from the set a-z; hash_n_m makes a hash of length n, but
6911       uses m characters from the set a-zA-Z0-9.
6912
6913       nhash_n returns a single number between 0 and n-1 (in text form), while
6914       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6915       between 0 and n-1 and the second between 0 and m-1. */
6916
6917       case EOP_LENGTH:
6918       case EOP_L:
6919       case EOP_SUBSTR:
6920       case EOP_S:
6921       case EOP_HASH:
6922       case EOP_H:
6923       case EOP_NHASH:
6924       case EOP_NH:
6925         {
6926         int sign = 1;
6927         int value1 = 0;
6928         int value2 = -1;
6929         int *pn;
6930         int len;
6931         uschar *ret;
6932
6933         if (arg == NULL)
6934           {
6935           expand_string_message = string_sprintf("missing values after %s",
6936             name);
6937           goto EXPAND_FAILED;
6938           }
6939
6940         /* "length" has only one argument, effectively being synonymous with
6941         substr_0_n. */
6942
6943         if (c == EOP_LENGTH || c == EOP_L)
6944           {
6945           pn = &value2;
6946           value2 = 0;
6947           }
6948
6949         /* The others have one or two arguments; for "substr" the first may be
6950         negative. The second being negative means "not supplied". */
6951
6952         else
6953           {
6954           pn = &value1;
6955           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
6956           }
6957
6958         /* Read up to two numbers, separated by underscores */
6959
6960         ret = arg;
6961         while (*arg != 0)
6962           {
6963           if (arg != ret && *arg == '_' && pn == &value1)
6964             {
6965             pn = &value2;
6966             value2 = 0;
6967             if (arg[1] != 0) arg++;
6968             }
6969           else if (!isdigit(*arg))
6970             {
6971             expand_string_message =
6972               string_sprintf("non-digit after underscore in \"%s\"", name);
6973             goto EXPAND_FAILED;
6974             }
6975           else *pn = (*pn)*10 + *arg++ - '0';
6976           }
6977         value1 *= sign;
6978
6979         /* Perform the required operation */
6980
6981         ret =
6982           (c == EOP_HASH || c == EOP_H)?
6983              compute_hash(sub, value1, value2, &len) :
6984           (c == EOP_NHASH || c == EOP_NH)?
6985              compute_nhash(sub, value1, value2, &len) :
6986              extract_substr(sub, value1, value2, &len);
6987
6988         if (ret == NULL) goto EXPAND_FAILED;
6989         yield = string_cat(yield, &size, &ptr, ret, len);
6990         continue;
6991         }
6992
6993       /* Stat a path */
6994
6995       case EOP_STAT:
6996         {
6997         uschar *s;
6998         uschar smode[12];
6999         uschar **modetable[3];
7000         int i;
7001         mode_t mode;
7002         struct stat st;
7003
7004         if ((expand_forbid & RDO_EXISTS) != 0)
7005           {
7006           expand_string_message = US"Use of the stat() expansion is not permitted";
7007           goto EXPAND_FAILED;
7008           }
7009
7010         if (stat(CS sub, &st) < 0)
7011           {
7012           expand_string_message = string_sprintf("stat(%s) failed: %s",
7013             sub, strerror(errno));
7014           goto EXPAND_FAILED;
7015           }
7016         mode = st.st_mode;
7017         switch (mode & S_IFMT)
7018           {
7019           case S_IFIFO: smode[0] = 'p'; break;
7020           case S_IFCHR: smode[0] = 'c'; break;
7021           case S_IFDIR: smode[0] = 'd'; break;
7022           case S_IFBLK: smode[0] = 'b'; break;
7023           case S_IFREG: smode[0] = '-'; break;
7024           default: smode[0] = '?'; break;
7025           }
7026
7027         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7028         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7029         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7030
7031         for (i = 0; i < 3; i++)
7032           {
7033           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7034           mode >>= 3;
7035           }
7036
7037         smode[10] = 0;
7038         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7039           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7040           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7041           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7042           (long)st.st_gid, st.st_size, (long)st.st_atime,
7043           (long)st.st_mtime, (long)st.st_ctime);
7044         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7045         continue;
7046         }
7047
7048       /* vaguely random number less than N */
7049
7050       case EOP_RANDINT:
7051         {
7052         int_eximarith_t max;
7053         uschar *s;
7054
7055         max = expanded_string_integer(sub, TRUE);
7056         if (expand_string_message != NULL)
7057           goto EXPAND_FAILED;
7058         s = string_sprintf("%d", vaguely_random_number((int)max));
7059         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7060         continue;
7061         }
7062
7063       /* Reverse IP, including IPv6 to dotted-nibble */
7064
7065       case EOP_REVERSE_IP:
7066         {
7067         int family, maskptr;
7068         uschar reversed[128];
7069
7070         family = string_is_ip_address(sub, &maskptr);
7071         if (family == 0)
7072           {
7073           expand_string_message = string_sprintf(
7074               "reverse_ip() not given an IP address [%s]", sub);
7075           goto EXPAND_FAILED;
7076           }
7077         invert_address(reversed, sub);
7078         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
7079         continue;
7080         }
7081
7082       /* Unknown operator */
7083
7084       default:
7085       expand_string_message =
7086         string_sprintf("unknown expansion operator \"%s\"", name);
7087       goto EXPAND_FAILED;
7088       }
7089     }
7090
7091   /* Handle a plain name. If this is the first thing in the expansion, release
7092   the pre-allocated buffer. If the result data is known to be in a new buffer,
7093   newsize will be set to the size of that buffer, and we can just point at that
7094   store instead of copying. Many expansion strings contain just one reference,
7095   so this is a useful optimization, especially for humungous headers
7096   ($message_headers). */
7097                                                 /*{*/
7098   if (*s++ == '}')
7099     {
7100     int len;
7101     int newsize = 0;
7102     if (ptr == 0)
7103       {
7104       if (resetok) store_reset(yield);
7105       yield = NULL;
7106       size = 0;
7107       }
7108     value = find_variable(name, FALSE, skipping, &newsize);
7109     if (value == NULL)
7110       {
7111       expand_string_message =
7112         string_sprintf("unknown variable in \"${%s}\"", name);
7113       check_variable_error_message(name);
7114       goto EXPAND_FAILED;
7115       }
7116     len = Ustrlen(value);
7117     if (yield == NULL && newsize != 0)
7118       {
7119       yield = value;
7120       size = newsize;
7121       ptr = len;
7122       }
7123     else yield = string_cat(yield, &size, &ptr, value, len);
7124     continue;
7125     }
7126
7127   /* Else there's something wrong */
7128
7129   expand_string_message =
7130     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7131     "in a variable reference)", name);
7132   goto EXPAND_FAILED;
7133   }
7134
7135 /* If we hit the end of the string when ket_ends is set, there is a missing
7136 terminating brace. */
7137
7138 if (ket_ends && *s == 0)
7139   {
7140   expand_string_message = malformed_header?
7141     US"missing } at end of string - could be header name not terminated by colon"
7142     :
7143     US"missing } at end of string";
7144   goto EXPAND_FAILED;
7145   }
7146
7147 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7148 added to the string. If so, set up an empty string. Add a terminating zero. If
7149 left != NULL, return a pointer to the terminator. */
7150
7151 if (yield == NULL) yield = store_get(1);
7152 yield[ptr] = 0;
7153 if (left != NULL) *left = s;
7154
7155 /* Any stacking store that was used above the final string is no longer needed.
7156 In many cases the final string will be the first one that was got and so there
7157 will be optimal store usage. */
7158
7159 if (resetok) store_reset(yield + ptr + 1);
7160 else if (resetok_p) *resetok_p = FALSE;
7161
7162 DEBUG(D_expand)
7163   {
7164   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
7165     yield);
7166   if (skipping) debug_printf("skipping: result is not used\n");
7167   }
7168 return yield;
7169
7170 /* This is the failure exit: easiest to program with a goto. We still need
7171 to update the pointer to the terminator, for cases of nested calls with "fail".
7172 */
7173
7174 EXPAND_FAILED_CURLY:
7175 expand_string_message = malformed_header?
7176   US"missing or misplaced { or } - could be header name not terminated by colon"
7177   :
7178   US"missing or misplaced { or }";
7179
7180 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7181 that is a bad idea, because expand_string_message is in dynamic store. */
7182
7183 EXPAND_FAILED:
7184 if (left != NULL) *left = s;
7185 DEBUG(D_expand)
7186   {
7187   debug_printf("failed to expand: %s\n", string);
7188   debug_printf("   error message: %s\n", expand_string_message);
7189   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7190   }
7191 if (resetok_p) *resetok_p = resetok;
7192 return NULL;
7193 }
7194
7195
7196 /* This is the external function call. Do a quick check for any expansion
7197 metacharacters, and if there are none, just return the input string.
7198
7199 Argument: the string to be expanded
7200 Returns:  the expanded string, or NULL if expansion failed; if failure was
7201           due to a lookup deferring, search_find_defer will be TRUE
7202 */
7203
7204 uschar *
7205 expand_string(uschar *string)
7206 {
7207 search_find_defer = FALSE;
7208 malformed_header = FALSE;
7209 return (Ustrpbrk(string, "$\\") == NULL)? string :
7210   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7211 }
7212
7213
7214
7215 const uschar *
7216 expand_cstring(const uschar *string)
7217 {
7218 search_find_defer = FALSE;
7219 malformed_header = FALSE;
7220 return (Ustrpbrk(string, "$\\") == NULL)? string :
7221   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7222 }
7223
7224
7225
7226 /*************************************************
7227 *              Expand and copy                   *
7228 *************************************************/
7229
7230 /* Now and again we want to expand a string and be sure that the result is in a
7231 new bit of store. This function does that.
7232 Since we know it has been copied, the de-const cast is safe.
7233
7234 Argument: the string to be expanded
7235 Returns:  the expanded string, always in a new bit of store, or NULL
7236 */
7237
7238 uschar *
7239 expand_string_copy(const uschar *string)
7240 {
7241 const uschar *yield = expand_cstring(string);
7242 if (yield == string) yield = string_copy(string);
7243 return US yield;
7244 }
7245
7246
7247
7248 /*************************************************
7249 *        Expand and interpret as an integer      *
7250 *************************************************/
7251
7252 /* Expand a string, and convert the result into an integer.
7253
7254 Arguments:
7255   string  the string to be expanded
7256   isplus  TRUE if a non-negative number is expected
7257
7258 Returns:  the integer value, or
7259           -1 for an expansion error               ) in both cases, message in
7260           -2 for an integer interpretation error  ) expand_string_message
7261           expand_string_message is set NULL for an OK integer
7262 */
7263
7264 int_eximarith_t
7265 expand_string_integer(uschar *string, BOOL isplus)
7266 {
7267 return expanded_string_integer(expand_string(string), isplus);
7268 }
7269
7270
7271 /*************************************************
7272  *         Interpret string as an integer        *
7273  *************************************************/
7274
7275 /* Convert a string (that has already been expanded) into an integer.
7276
7277 This function is used inside the expansion code.
7278
7279 Arguments:
7280   s       the string to be expanded
7281   isplus  TRUE if a non-negative number is expected
7282
7283 Returns:  the integer value, or
7284           -1 if string is NULL (which implies an expansion error)
7285           -2 for an integer interpretation error
7286           expand_string_message is set NULL for an OK integer
7287 */
7288
7289 static int_eximarith_t
7290 expanded_string_integer(const uschar *s, BOOL isplus)
7291 {
7292 int_eximarith_t value;
7293 uschar *msg = US"invalid integer \"%s\"";
7294 uschar *endptr;
7295
7296 /* If expansion failed, expand_string_message will be set. */
7297
7298 if (s == NULL) return -1;
7299
7300 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7301 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7302 systems, so we set it zero ourselves. */
7303
7304 errno = 0;
7305 expand_string_message = NULL;               /* Indicates no error */
7306
7307 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7308 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7309 the behaviour explicitly.  Stripping leading whitespace is a harmless
7310 noop change since strtol skips it anyway (provided that there is a number
7311 to find at all). */
7312 if (isspace(*s))
7313   {
7314   while (isspace(*s)) ++s;
7315   if (*s == '\0')
7316     {
7317       DEBUG(D_expand)
7318        debug_printf("treating blank string as number 0\n");
7319       return 0;
7320     }
7321   }
7322
7323 value = strtoll(CS s, CSS &endptr, 10);
7324
7325 if (endptr == s)
7326   {
7327   msg = US"integer expected but \"%s\" found";
7328   }
7329 else if (value < 0 && isplus)
7330   {
7331   msg = US"non-negative integer expected but \"%s\" found";
7332   }
7333 else
7334   {
7335   switch (tolower(*endptr))
7336     {
7337     default:
7338       break;
7339     case 'k':
7340       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7341       else value *= 1024;
7342       endptr++;
7343       break;
7344     case 'm':
7345       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7346       else value *= 1024*1024;
7347       endptr++;
7348       break;
7349     case 'g':
7350       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7351       else value *= 1024*1024*1024;
7352       endptr++;
7353       break;
7354     }
7355   if (errno == ERANGE)
7356     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7357   else
7358     {
7359     while (isspace(*endptr)) endptr++;
7360     if (*endptr == 0) return value;
7361     }
7362   }
7363
7364 expand_string_message = string_sprintf(CS msg, s);
7365 return -2;
7366 }
7367
7368
7369 /* These values are usually fixed boolean values, but they are permitted to be
7370 expanded strings.
7371
7372 Arguments:
7373   addr       address being routed
7374   mtype      the module type
7375   mname      the module name
7376   dbg_opt    debug selectors
7377   oname      the option name
7378   bvalue     the router's boolean value
7379   svalue     the router's string value
7380   rvalue     where to put the returned value
7381
7382 Returns:     OK     value placed in rvalue
7383              DEFER  expansion failed
7384 */
7385
7386 int
7387 exp_bool(address_item *addr,
7388   uschar *mtype, uschar *mname, unsigned dbg_opt,
7389   uschar *oname, BOOL bvalue,
7390   uschar *svalue, BOOL *rvalue)
7391 {
7392 uschar *expanded;
7393 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7394
7395 expanded = expand_string(svalue);
7396 if (expanded == NULL)
7397   {
7398   if (expand_string_forcedfail)
7399     {
7400     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7401     *rvalue = bvalue;
7402     return OK;
7403     }
7404   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7405       oname, mname, mtype, expand_string_message);
7406   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7407   return DEFER;
7408   }
7409
7410 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7411   expanded);
7412
7413 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7414   *rvalue = TRUE;
7415 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7416   *rvalue = FALSE;
7417 else
7418   {
7419   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7420     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7421   return DEFER;
7422   }
7423
7424 return OK;
7425 }
7426
7427
7428
7429
7430 /*************************************************
7431 **************************************************
7432 *             Stand-alone test program           *
7433 **************************************************
7434 *************************************************/
7435
7436 #ifdef STAND_ALONE
7437
7438
7439 BOOL
7440 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7441 {
7442 int ovector[3*(EXPAND_MAXN+1)];
7443 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7444   ovector, nelem(ovector));
7445 BOOL yield = n >= 0;
7446 if (n == 0) n = EXPAND_MAXN + 1;
7447 if (yield)
7448   {
7449   int nn;
7450   expand_nmax = (setup < 0)? 0 : setup + 1;
7451   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7452     {
7453     expand_nstring[expand_nmax] = subject + ovector[nn];
7454     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7455     }
7456   expand_nmax--;
7457   }
7458 return yield;
7459 }
7460
7461
7462 int main(int argc, uschar **argv)
7463 {
7464 int i;
7465 uschar buffer[1024];
7466
7467 debug_selector = D_v;
7468 debug_file = stderr;
7469 debug_fd = fileno(debug_file);
7470 big_buffer = malloc(big_buffer_size);
7471
7472 for (i = 1; i < argc; i++)
7473   {
7474   if (argv[i][0] == '+')
7475     {
7476     debug_trace_memory = 2;
7477     argv[i]++;
7478     }
7479   if (isdigit(argv[i][0]))
7480     debug_selector = Ustrtol(argv[i], NULL, 0);
7481   else
7482     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7483         Ustrlen(argv[i]))
7484       {
7485 #ifdef LOOKUP_LDAP
7486       eldap_default_servers = argv[i];
7487 #endif
7488 #ifdef LOOKUP_MYSQL
7489       mysql_servers = argv[i];
7490 #endif
7491 #ifdef LOOKUP_PGSQL
7492       pgsql_servers = argv[i];
7493 #endif
7494 #ifdef LOOKUP_REDIS
7495       redis_servers = argv[i];
7496 #endif
7497       }
7498 #ifdef EXIM_PERL
7499   else opt_perl_startup = argv[i];
7500 #endif
7501   }
7502
7503 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7504
7505 expand_nstring[1] = US"string 1....";
7506 expand_nlength[1] = 8;
7507 expand_nmax = 1;
7508
7509 #ifdef EXIM_PERL
7510 if (opt_perl_startup != NULL)
7511   {
7512   uschar *errstr;
7513   printf("Starting Perl interpreter\n");
7514   errstr = init_perl(opt_perl_startup);
7515   if (errstr != NULL)
7516     {
7517     printf("** error in perl_startup code: %s\n", errstr);
7518     return EXIT_FAILURE;
7519     }
7520   }
7521 #endif /* EXIM_PERL */
7522
7523 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7524   {
7525   void *reset_point = store_get(0);
7526   uschar *yield = expand_string(buffer);
7527   if (yield != NULL)
7528     {
7529     printf("%s\n", yield);
7530     store_reset(reset_point);
7531     }
7532   else
7533     {
7534     if (search_find_defer) printf("search_find deferred\n");
7535     printf("Failed: %s\n", expand_string_message);
7536     if (expand_string_forcedfail) printf("Forced failure\n");
7537     printf("\n");
7538     }
7539   }
7540
7541 search_tidyup();
7542
7543 return 0;
7544 }
7545
7546 #endif
7547
7548 /* vi: aw ai sw=2
7549 */
7550 /* End of expand.c */