a57c9821e94afd5ccaf3d2bc2491e833c93aed5c
[exim.git] / src / src / smtp_in.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2023 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10 /* Functions for handling an incoming SMTP call. */
11
12
13 #include "exim.h"
14 #include <assert.h>
15
16
17 /* Initialize for TCP wrappers if so configured. It appears that the macro
18 HAVE_IPV6 is used in some versions of the tcpd.h header, so we unset it before
19 including that header, and restore its value afterwards. */
20
21 #ifdef USE_TCP_WRAPPERS
22
23   #if HAVE_IPV6
24   #define EXIM_HAVE_IPV6
25   #endif
26   #undef HAVE_IPV6
27   #include <tcpd.h>
28   #undef HAVE_IPV6
29   #ifdef EXIM_HAVE_IPV6
30   #define HAVE_IPV6 TRUE
31   #endif
32
33 int allow_severity = LOG_INFO;
34 int deny_severity  = LOG_NOTICE;
35 uschar *tcp_wrappers_name;
36 #endif
37
38
39 /* Size of buffer for reading SMTP commands. We used to use 512, as defined
40 by RFC 821. However, RFC 1869 specifies that this must be increased for SMTP
41 commands that accept arguments, and this in particular applies to AUTH, where
42 the data can be quite long.  More recently this value was 2048 in Exim;
43 however, RFC 4954 (circa 2007) recommends 12288 bytes to handle AUTH.  Clients
44 such as Thunderbird will send an AUTH with an initial-response for GSSAPI.
45 The maximum size of a Kerberos ticket under Windows 2003 is 12000 bytes, and
46 we need room to handle large base64-encoded AUTHs for GSSAPI.
47 */
48
49 #define SMTP_CMD_BUFFER_SIZE  16384
50
51 /* Size of buffer for reading SMTP incoming packets */
52
53 #define IN_BUFFER_SIZE  8192
54
55 /* Structure for SMTP command list */
56
57 typedef struct {
58   const char *name;
59   int len;
60   short int cmd;
61   short int has_arg;
62   short int is_mail_cmd;
63 } smtp_cmd_list;
64
65 /* Codes for identifying commands. We order them so that those that come first
66 are those for which synchronization is always required. Checking this can help
67 block some spam.  */
68
69 enum {
70   /* These commands are required to be synchronized, i.e. to be the last in a
71   block of commands when pipelining. */
72
73   HELO_CMD, EHLO_CMD, DATA_CMD, /* These are listed in the pipelining */
74   VRFY_CMD, EXPN_CMD, NOOP_CMD, /* RFC as requiring synchronization */
75   ETRN_CMD,                     /* This by analogy with TURN from the RFC */
76   STARTTLS_CMD,                 /* Required by the STARTTLS RFC */
77   TLS_AUTH_CMD,                 /* auto-command at start of SSL */
78 #ifdef EXPERIMENTAL_XCLIENT
79   XCLIENT_CMD,                  /* per xlexkiro implementation */
80 #endif
81
82   /* This is a dummy to identify the non-sync commands when pipelining */
83
84   NON_SYNC_CMD_PIPELINING,
85
86   /* These commands need not be synchronized when pipelining */
87
88   MAIL_CMD, RCPT_CMD, RSET_CMD,
89
90   /* This is a dummy to identify the non-sync commands when not pipelining */
91
92   NON_SYNC_CMD_NON_PIPELINING,
93
94   /* RFC3030 section 2: "After all MAIL and RCPT responses are collected and
95   processed the message is sent using a series of BDAT commands"
96   implies that BDAT should be synchronized.  However, we see Google, at least,
97   sending MAIL,RCPT,BDAT-LAST in a single packet, clearly not waiting for
98   processing of the RCPT response(s).  We shall do the same, and not require
99   synch for BDAT.  Worse, as the chunk may (very likely will) follow the
100   command-header in the same packet we cannot do the usual "is there any
101   follow-on data after the command line" even for non-pipeline mode.
102   So we'll need an explicit check after reading the expected chunk amount
103   when non-pipe, before sending the ACK. */
104
105   BDAT_CMD,
106
107   /* I have been unable to find a statement about the use of pipelining
108   with AUTH, so to be on the safe side it is here, though I kind of feel
109   it should be up there with the synchronized commands. */
110
111   AUTH_CMD,
112
113   /* I'm not sure about these, but I don't think they matter. */
114
115   QUIT_CMD, HELP_CMD,
116
117 #ifdef SUPPORT_PROXY
118   PROXY_FAIL_IGNORE_CMD,
119 #endif
120
121   /* These are specials that don't correspond to actual commands */
122
123   EOF_CMD, OTHER_CMD, BADARG_CMD, BADCHAR_CMD, BADSYN_CMD,
124   TOO_MANY_NONMAIL_CMD };
125
126
127 /* This is a convenience macro for adding the identity of an SMTP command
128 to the circular buffer that holds a list of the last n received. */
129
130 #define HAD(n) \
131     smtp_connection_had[smtp_ch_index++] = n; \
132     if (smtp_ch_index >= SMTP_HBUFF_SIZE) smtp_ch_index = 0
133
134
135 /*************************************************
136 *                Local static variables          *
137 *************************************************/
138
139 static struct {
140   BOOL auth_advertised                  :1;
141 #ifndef DISABLE_TLS
142   BOOL tls_advertised                   :1;
143 #endif
144   BOOL dsn_advertised                   :1;
145   BOOL esmtp                            :1;
146   BOOL helo_verify_required             :1;
147   BOOL helo_verify                      :1;
148   BOOL helo_seen                        :1;
149   BOOL helo_accept_junk                 :1;
150 #ifndef DISABLE_PIPE_CONNECT
151   BOOL pipe_connect_acceptable          :1;
152 #endif
153   BOOL rcpt_smtp_response_same          :1;
154   BOOL rcpt_in_progress                 :1;
155   BOOL smtp_exit_function_called        :1;
156 #ifdef SUPPORT_I18N
157   BOOL smtputf8_advertised              :1;
158 #endif
159 } fl = {
160   .helo_verify_required = FALSE,
161   .helo_verify = FALSE,
162   .smtp_exit_function_called = FALSE,
163 };
164
165 static auth_instance *authenticated_by;
166 static int  count_nonmail;
167 static int  nonmail_command_count;
168 static int  synprot_error_count;
169 static int  unknown_command_count;
170 static int  sync_cmd_limit;
171 static int  smtp_write_error = 0;
172
173 static uschar *rcpt_smtp_response;
174 static uschar *smtp_data_buffer;
175 static uschar *smtp_cmd_data;
176
177 /* We need to know the position of RSET, HELO, EHLO, AUTH, and STARTTLS. Their
178 final fields of all except AUTH are forced TRUE at the start of a new message
179 setup, to allow one of each between messages that is not counted as a nonmail
180 command. (In fact, only one of HELO/EHLO is not counted.) Also, we have to
181 allow a new EHLO after starting up TLS.
182
183 AUTH is "falsely" labelled as a mail command initially, so that it doesn't get
184 counted. However, the flag is changed when AUTH is received, so that multiple
185 failing AUTHs will eventually hit the limit. After a successful AUTH, another
186 AUTH is already forbidden. After a TLS session is started, AUTH's flag is again
187 forced TRUE, to allow for the re-authentication that can happen at that point.
188
189 QUIT is also "falsely" labelled as a mail command so that it doesn't up the
190 count of non-mail commands and possibly provoke an error.
191
192 tls_auth is a pseudo-command, never expected in input.  It is activated
193 on TLS startup and looks for a tls authenticator. */
194
195 enum {
196         CL_RSET = 0,
197         CL_HELO,
198         CL_EHLO,
199         CL_AUTH,
200 #ifndef DISABLE_TLS
201         CL_STLS,
202         CL_TLAU,
203 #endif
204 #ifdef EXPERIMENTAL_XCLIENT
205         CL_XCLI,
206 #endif
207 };
208
209 static smtp_cmd_list cmd_list[] = {
210   /*             name         len                     cmd     has_arg is_mail_cmd */
211
212   [CL_RSET] = { "rset",       sizeof("rset")-1,       RSET_CMD, FALSE, FALSE },  /* First */
213   [CL_HELO] = { "helo",       sizeof("helo")-1,       HELO_CMD, TRUE,  FALSE },
214   [CL_EHLO] = { "ehlo",       sizeof("ehlo")-1,       EHLO_CMD, TRUE,  FALSE },
215   [CL_AUTH] = { "auth",       sizeof("auth")-1,       AUTH_CMD,     TRUE,  TRUE  },
216 #ifndef DISABLE_TLS
217   [CL_STLS] = { "starttls",   sizeof("starttls")-1,   STARTTLS_CMD, FALSE, FALSE },
218   [CL_TLAU] = { "tls_auth",   0,                      TLS_AUTH_CMD, FALSE, FALSE },
219 #endif
220 #ifdef EXPERIMENTAL_XCLIENT
221   [CL_XCLI] = { "xclient",    sizeof("xclient")-1,    XCLIENT_CMD, TRUE,  FALSE },
222 #endif
223
224   { "mail from:", sizeof("mail from:")-1, MAIL_CMD, TRUE,  TRUE  },
225   { "rcpt to:",   sizeof("rcpt to:")-1,   RCPT_CMD, TRUE,  TRUE  },
226   { "data",       sizeof("data")-1,       DATA_CMD, FALSE, TRUE  },
227   { "bdat",       sizeof("bdat")-1,       BDAT_CMD, TRUE,  TRUE  },
228   { "quit",       sizeof("quit")-1,       QUIT_CMD, FALSE, TRUE  },
229   { "noop",       sizeof("noop")-1,       NOOP_CMD, TRUE,  FALSE },
230   { "etrn",       sizeof("etrn")-1,       ETRN_CMD, TRUE,  FALSE },
231   { "vrfy",       sizeof("vrfy")-1,       VRFY_CMD, TRUE,  FALSE },
232   { "expn",       sizeof("expn")-1,       EXPN_CMD, TRUE,  FALSE },
233   { "help",       sizeof("help")-1,       HELP_CMD, TRUE,  FALSE }
234 };
235
236 /* This list of names is used for performing the smtp_no_mail logging action. */
237
238 uschar * smtp_names[] =
239   {
240   [SCH_NONE] = US"NONE",
241   [SCH_AUTH] = US"AUTH",
242   [SCH_DATA] = US"DATA",
243   [SCH_BDAT] = US"BDAT",
244   [SCH_EHLO] = US"EHLO",
245   [SCH_ETRN] = US"ETRN",
246   [SCH_EXPN] = US"EXPN",
247   [SCH_HELO] = US"HELO",
248   [SCH_HELP] = US"HELP",
249   [SCH_MAIL] = US"MAIL",
250   [SCH_NOOP] = US"NOOP",
251   [SCH_QUIT] = US"QUIT",
252   [SCH_RCPT] = US"RCPT",
253   [SCH_RSET] = US"RSET",
254   [SCH_STARTTLS] = US"STARTTLS",
255   [SCH_VRFY] = US"VRFY",
256 #ifdef EXPERIMENTAL_XCLIENT
257   [SCH_XCLIENT] = US"XCLIENT",
258 #endif
259   };
260
261 static uschar *protocols_local[] = {
262   US"local-smtp",        /* HELO */
263   US"local-smtps",       /* The rare case EHLO->STARTTLS->HELO */
264   US"local-esmtp",       /* EHLO */
265   US"local-esmtps",      /* EHLO->STARTTLS->EHLO */
266   US"local-esmtpa",      /* EHLO->AUTH */
267   US"local-esmtpsa"      /* EHLO->STARTTLS->EHLO->AUTH */
268   };
269 static uschar *protocols[] = {
270   US"smtp",              /* HELO */
271   US"smtps",             /* The rare case EHLO->STARTTLS->HELO */
272   US"esmtp",             /* EHLO */
273   US"esmtps",            /* EHLO->STARTTLS->EHLO */
274   US"esmtpa",            /* EHLO->AUTH */
275   US"esmtpsa"            /* EHLO->STARTTLS->EHLO->AUTH */
276   };
277
278 #define pnormal  0
279 #define pextend  2
280 #define pcrpted  1  /* added to pextend or pnormal */
281 #define pauthed  2  /* added to pextend */
282
283 /* Sanity check and validate optional args to MAIL FROM: envelope */
284 enum {
285   ENV_MAIL_OPT_NULL,
286   ENV_MAIL_OPT_SIZE, ENV_MAIL_OPT_BODY, ENV_MAIL_OPT_AUTH,
287 #ifndef DISABLE_PRDR
288   ENV_MAIL_OPT_PRDR,
289 #endif
290   ENV_MAIL_OPT_RET, ENV_MAIL_OPT_ENVID,
291 #ifdef SUPPORT_I18N
292   ENV_MAIL_OPT_UTF8,
293 #endif
294   };
295 typedef struct {
296   uschar *   name;  /* option requested during MAIL cmd */
297   int       value;  /* enum type */
298   BOOL need_value;  /* TRUE requires value (name=value pair format)
299                        FALSE is a singleton */
300   } env_mail_type_t;
301 static env_mail_type_t env_mail_type_list[] = {
302     { US"SIZE",   ENV_MAIL_OPT_SIZE,   TRUE  },
303     { US"BODY",   ENV_MAIL_OPT_BODY,   TRUE  },
304     { US"AUTH",   ENV_MAIL_OPT_AUTH,   TRUE  },
305 #ifndef DISABLE_PRDR
306     { US"PRDR",   ENV_MAIL_OPT_PRDR,   FALSE },
307 #endif
308     { US"RET",    ENV_MAIL_OPT_RET,    TRUE },
309     { US"ENVID",  ENV_MAIL_OPT_ENVID,  TRUE },
310 #ifdef SUPPORT_I18N
311     { US"SMTPUTF8",ENV_MAIL_OPT_UTF8,  FALSE },         /* rfc6531 */
312 #endif
313     /* keep this the last entry */
314     { US"NULL",   ENV_MAIL_OPT_NULL,   FALSE },
315   };
316
317 /* When reading SMTP from a remote host, we have to use our own versions of the
318 C input-reading functions, in order to be able to flush the SMTP output only
319 when about to read more data from the socket. This is the only way to get
320 optimal performance when the client is using pipelining. Flushing for every
321 command causes a separate packet and reply packet each time; saving all the
322 responses up (when pipelining) combines them into one packet and one response.
323
324 For simplicity, these functions are used for *all* SMTP input, not only when
325 receiving over a socket. However, after setting up a secure socket (SSL), input
326 is read via the OpenSSL library, and another set of functions is used instead
327 (see tls.c).
328
329 These functions are set in the receive_getc etc. variables and called with the
330 same interface as the C functions. However, since there can only ever be
331 one incoming SMTP call, we just use a single buffer and flags. There is no need
332 to implement a complicated private FILE-like structure.*/
333
334 static uschar *smtp_inbuffer;
335 static uschar *smtp_inptr;
336 static uschar *smtp_inend;
337 static int     smtp_had_eof;
338 static int     smtp_had_error;
339
340
341 /* forward declarations */
342 static int smtp_read_command(BOOL check_sync, unsigned buffer_lim);
343 static int synprot_error(int type, int code, uschar *data, uschar *errmess);
344 static void smtp_quit_handler(uschar **, uschar **);
345 static void smtp_rset_handler(void);
346
347 /*************************************************
348 *          Log incomplete transactions           *
349 *************************************************/
350
351 /* This function is called after a transaction has been aborted by RSET, QUIT,
352 connection drops or other errors. It logs the envelope information received
353 so far in order to preserve address verification attempts.
354
355 Argument:   string to indicate what aborted the transaction
356 Returns:    nothing
357 */
358
359 static void
360 incomplete_transaction_log(uschar * what)
361 {
362 if (!sender_address                             /* No transaction in progress */
363    || !LOGGING(smtp_incomplete_transaction))
364   return;
365
366 /* Build list of recipients for logging */
367
368 if (recipients_count > 0)
369   {
370   raw_recipients = store_get(recipients_count * sizeof(uschar *), GET_UNTAINTED);
371   for (int i = 0; i < recipients_count; i++)
372     raw_recipients[i] = recipients_list[i].address;
373   raw_recipients_count = recipients_count;
374   }
375
376 log_write(L_smtp_incomplete_transaction, LOG_MAIN|LOG_SENDER|LOG_RECIPIENTS,
377   "%s incomplete transaction (%s)", host_and_ident(TRUE), what);
378 }
379
380
381
382 static void
383 log_close_event(const uschar * reason)
384 {
385 log_write(L_smtp_connection, LOG_MAIN, "%s D=%s closed %s",
386   smtp_get_connection_info(), string_timesince(&smtp_connection_start), reason);
387 }
388
389
390 void
391 smtp_command_timeout_exit(void)
392 {
393 log_write(L_lost_incoming_connection,
394           LOG_MAIN, "SMTP command timeout on%s connection from %s D=%s",
395           tls_in.active.sock >= 0 ? " TLS" : "", host_and_ident(FALSE),
396           string_timesince(&smtp_connection_start));
397 if (smtp_batched_input)
398   moan_smtp_batch(NULL, "421 SMTP command timeout"); /* Does not return */
399 smtp_notquit_exit(US"command-timeout", US"421",
400   US"%s: SMTP command timeout - closing connection",
401   smtp_active_hostname);
402 exim_exit(EXIT_FAILURE);
403 }
404
405 void
406 smtp_command_sigterm_exit(void)
407 {
408 log_close_event(US"after SIGTERM");
409 if (smtp_batched_input)
410   moan_smtp_batch(NULL, "421 SIGTERM received");  /* Does not return */
411 smtp_notquit_exit(US"signal-exit", US"421",
412   US"%s: Service not available - closing connection", smtp_active_hostname);
413 exim_exit(EXIT_FAILURE);
414 }
415
416 void
417 smtp_data_timeout_exit(void)
418 {
419 log_write(L_lost_incoming_connection, LOG_MAIN,
420   "SMTP data timeout (message abandoned) on connection from %s F=<%s> D=%s",
421   sender_fullhost ? sender_fullhost : US"local process", sender_address,
422   string_timesince(&smtp_connection_start));
423 receive_bomb_out(US"data-timeout", US"SMTP incoming data timeout");
424 /* Does not return */
425 }
426
427 void
428 smtp_data_sigint_exit(void)
429 {
430 log_close_event(had_data_sigint == SIGTERM ? US"SIGTERM":US"SIGINT");
431 receive_bomb_out(US"signal-exit",
432   US"Service not available - SIGTERM or SIGINT received");
433 /* Does not return */
434 }
435
436
437 /******************************************************************************/
438 /* SMTP input buffer handling.  Most of these are similar to stdio routines.  */
439
440 static void
441 smtp_buf_init(void)
442 {
443 /* Set up the buffer for inputting using direct read() calls, and arrange to
444 call the local functions instead of the standard C ones.  Place a NUL at the
445 end of the buffer to safety-stop C-string reads from it. */
446
447 if (!(smtp_inbuffer = US malloc(IN_BUFFER_SIZE)))
448   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "malloc() failed for SMTP input buffer");
449 smtp_inbuffer[IN_BUFFER_SIZE-1] = '\0';
450
451 smtp_inptr = smtp_inend = smtp_inbuffer;
452 smtp_had_eof = smtp_had_error = 0;
453 }
454
455
456
457 /* Refill the buffer, and notify DKIM verification code.
458 Return false for error or EOF.
459 */
460
461 static BOOL
462 smtp_refill(unsigned lim)
463 {
464 int rc, save_errno;
465
466 if (!smtp_out) return FALSE;
467 fflush(smtp_out);
468 if (smtp_receive_timeout > 0) ALARM(smtp_receive_timeout);
469
470 /* Limit amount read, so non-message data is not fed to DKIM.
471 Take care to not touch the safety NUL at the end of the buffer. */
472
473 rc = read(fileno(smtp_in), smtp_inbuffer, MIN(IN_BUFFER_SIZE-1, lim));
474 save_errno = errno;
475 if (smtp_receive_timeout > 0) ALARM_CLR(0);
476 if (rc <= 0)
477   {
478   /* Must put the error text in fixed store, because this might be during
479   header reading, where it releases unused store above the header. */
480   if (rc < 0)
481     {
482     if (had_command_timeout)            /* set by signal handler */
483       smtp_command_timeout_exit();      /* does not return */
484     if (had_command_sigterm)
485       smtp_command_sigterm_exit();
486     if (had_data_timeout)
487       smtp_data_timeout_exit();
488     if (had_data_sigint)
489       smtp_data_sigint_exit();
490
491     smtp_had_error = save_errno;
492     smtp_read_error = string_copy_perm(
493       string_sprintf(" (error: %s)", strerror(save_errno)), FALSE);
494     }
495   else
496     smtp_had_eof = 1;
497   return FALSE;
498   }
499 #ifndef DISABLE_DKIM
500 dkim_exim_verify_feed(smtp_inbuffer, rc);
501 #endif
502 smtp_inend = smtp_inbuffer + rc;
503 smtp_inptr = smtp_inbuffer;
504 return TRUE;
505 }
506
507
508 /* Check if there is buffered data */
509
510 BOOL
511 smtp_hasc(void)
512 {
513 return smtp_inptr < smtp_inend;
514 }
515
516 /* SMTP version of getc()
517
518 This gets the next byte from the SMTP input buffer. If the buffer is empty,
519 it flushes the output, and refills the buffer, with a timeout. The signal
520 handler is set appropriately by the calling function. This function is not used
521 after a connection has negotiated itself into an TLS/SSL state.
522
523 Arguments:  lim         Maximum amount to read/buffer
524 Returns:    the next character or EOF
525 */
526
527 int
528 smtp_getc(unsigned lim)
529 {
530 if (!smtp_hasc() && !smtp_refill(lim)) return EOF;
531 return *smtp_inptr++;
532 }
533
534 /* Get many bytes, refilling buffer if needed */
535
536 uschar *
537 smtp_getbuf(unsigned * len)
538 {
539 unsigned size;
540 uschar * buf;
541
542 if (!smtp_hasc() && !smtp_refill(*len))
543   { *len = 0; return NULL; }
544
545 if ((size = smtp_inend - smtp_inptr) > *len) size = *len;
546 buf = smtp_inptr;
547 smtp_inptr += size;
548 *len = size;
549 return buf;
550 }
551
552 /* Copy buffered data to the dkim feed.
553 Called, unless TLS, just before starting to read message headers. */
554
555 void
556 smtp_get_cache(unsigned lim)
557 {
558 #ifndef DISABLE_DKIM
559 int n = smtp_inend - smtp_inptr;
560 if (n > lim)
561   n = lim;
562 if (n > 0)
563   dkim_exim_verify_feed(smtp_inptr, n);
564 #endif
565 }
566
567
568 /* SMTP version of ungetc()
569 Puts a character back in the input buffer. Only ever called once.
570
571 Arguments:
572   ch           the character
573
574 Returns:       the character
575 */
576
577 int
578 smtp_ungetc(int ch)
579 {
580 if (smtp_inptr <= smtp_inbuffer)        /* NB: NOT smtp_hasc() ! */
581   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "buffer underflow in smtp_ungetc");
582
583 *--smtp_inptr = ch;
584 return ch;
585 }
586
587
588 /* SMTP version of feof()
589 Tests for a previous EOF
590
591 Arguments:     none
592 Returns:       non-zero if the eof flag is set
593 */
594
595 int
596 smtp_feof(void)
597 {
598 return smtp_had_eof;
599 }
600
601
602 /* SMTP version of ferror()
603 Tests for a previous read error, and returns with errno
604 restored to what it was when the error was detected.
605
606 Arguments:     none
607 Returns:       non-zero if the error flag is set
608 */
609
610 int
611 smtp_ferror(void)
612 {
613 errno = smtp_had_error;
614 return smtp_had_error;
615 }
616
617
618 /* Check if a getc will block or not */
619
620 static BOOL
621 smtp_could_getc(void)
622 {
623 int fd, rc;
624 fd_set fds;
625 struct timeval tzero = {.tv_sec = 0, .tv_usec = 0};
626
627 if (smtp_inptr < smtp_inend)
628   return TRUE;
629
630 fd = fileno(smtp_in);
631 FD_ZERO(&fds);
632 FD_SET(fd, &fds);
633 rc = select(fd + 1, (SELECT_ARG2_TYPE *)&fds, NULL, NULL, &tzero);
634
635 if (rc <= 0) return FALSE;     /* Not ready to read */
636 rc = smtp_getc(GETC_BUFFER_UNLIMITED);
637 if (rc < 0) return FALSE;      /* End of file or error */
638
639 smtp_ungetc(rc);
640 return TRUE;
641 }
642
643
644 /******************************************************************************/
645 /*************************************************
646 *          Recheck synchronization               *
647 *************************************************/
648
649 /* Synchronization checks can never be perfect because a packet may be on its
650 way but not arrived when the check is done.  Normally, the checks happen when
651 commands are read: Exim ensures that there is no more input in the input buffer.
652 In normal cases, the response to the command will be fast, and there is no
653 further check.
654
655 However, for some commands an ACL is run, and that can include delays. In those
656 cases, it is useful to do another check on the input just before sending the
657 response. This also applies at the start of a connection. This function does
658 that check by means of the select() function, as long as the facility is not
659 disabled or inappropriate. A failure of select() is ignored.
660
661 When there is unwanted input, we read it so that it appears in the log of the
662 error.
663
664 Arguments: none
665 Returns:   TRUE if all is well; FALSE if there is input pending
666 */
667
668 static BOOL
669 wouldblock_reading(void)
670 {
671 #ifndef DISABLE_TLS
672 if (tls_in.active.sock >= 0)
673  return !tls_could_getc();
674 #endif
675
676 return !smtp_could_getc();
677 }
678
679 static BOOL
680 check_sync(void)
681 {
682 if (!smtp_enforce_sync || !sender_host_address || f.sender_host_notsocket)
683   return TRUE;
684
685 return wouldblock_reading();
686 }
687
688
689 /******************************************************************************/
690 /* Variants of the smtp_* input handling functions for use in CHUNKING mode */
691
692 /* Forward declarations */
693 static inline void bdat_push_receive_functions(void);
694 static inline void bdat_pop_receive_functions(void);
695
696
697 /* Get a byte from the smtp input, in CHUNKING mode.  Handle ack of the
698 previous BDAT chunk and getting new ones when we run out.  Uses the
699 underlying smtp_getc or tls_getc both for that and for getting the
700 (buffered) data byte.  EOD signals (an expected) no further data.
701 ERR signals a protocol error, and EOF a closed input stream.
702
703 Called from read_bdat_smtp() in receive.c for the message body, but also
704 by the headers read loop in receive_msg(); manipulates chunking_state
705 to handle the BDAT command/response.
706 Placed here due to the correlation with the above smtp_getc(), which it wraps,
707 and also by the need to do smtp command/response handling.
708
709 Arguments:  lim         (ignored)
710 Returns:    the next character or ERR, EOD or EOF
711 */
712
713 int
714 bdat_getc(unsigned lim)
715 {
716 uschar * user_msg = NULL;
717 uschar * log_msg;
718
719 for(;;)
720   {
721 #ifndef DISABLE_DKIM
722   unsigned dkim_save;
723 #endif
724
725   if (chunking_data_left > 0)
726     return lwr_receive_getc(chunking_data_left--);
727
728   bdat_pop_receive_functions();
729 #ifndef DISABLE_DKIM
730   dkim_save = dkim_collect_input;
731   dkim_collect_input = 0;
732 #endif
733
734   /* Unless PIPELINING was offered, there should be no next command
735   until after we ack that chunk */
736
737   if (!f.smtp_in_pipelining_advertised && !check_sync())
738     {
739     unsigned n = smtp_inend - smtp_inptr;
740     if (n > 32) n = 32;
741
742     incomplete_transaction_log(US"sync failure");
743     log_write(0, LOG_MAIN|LOG_REJECT, "SMTP protocol synchronization error "
744       "(next input sent too soon: pipelining was not advertised): "
745       "rejected \"%s\" %s next input=\"%s\"%s",
746       smtp_cmd_buffer, host_and_ident(TRUE),
747       string_printing(string_copyn(smtp_inptr, n)),
748       smtp_inend - smtp_inptr > n ? "..." : "");
749     (void) synprot_error(L_smtp_protocol_error, 554, NULL,
750       US"SMTP synchronization error");
751     goto repeat_until_rset;
752     }
753
754   /* If not the last, ack the received chunk.  The last response is delayed
755   until after the data ACL decides on it */
756
757   if (chunking_state == CHUNKING_LAST)
758     {
759 #ifndef DISABLE_DKIM
760     dkim_collect_input = dkim_save;
761     dkim_exim_verify_feed(NULL, 0);     /* notify EOD */
762     dkim_collect_input = 0;
763 #endif
764     return EOD;
765     }
766
767   smtp_printf("250 %u byte chunk received\r\n", SP_NO_MORE, chunking_datasize);
768   chunking_state = CHUNKING_OFFERED;
769   DEBUG(D_receive) debug_printf("chunking state %d\n", (int)chunking_state);
770
771   /* Expect another BDAT cmd from input. RFC 3030 says nothing about
772   QUIT, RSET or NOOP but handling them seems obvious */
773
774 next_cmd:
775   switch(smtp_read_command(TRUE, 1))
776     {
777     default:
778       (void) synprot_error(L_smtp_protocol_error, 503, NULL,
779         US"only BDAT permissible after non-LAST BDAT");
780
781   repeat_until_rset:
782       switch(smtp_read_command(TRUE, 1))
783         {
784         case QUIT_CMD:  smtp_quit_handler(&user_msg, &log_msg); /*FALLTHROUGH */
785         case EOF_CMD:   return EOF;
786         case RSET_CMD:  smtp_rset_handler(); return ERR;
787         default:        if (synprot_error(L_smtp_protocol_error, 503, NULL,
788                                           US"only RSET accepted now") > 0)
789                           return EOF;
790                         goto repeat_until_rset;
791         }
792
793     case QUIT_CMD:
794       smtp_quit_handler(&user_msg, &log_msg);
795       /*FALLTHROUGH*/
796     case EOF_CMD:
797       return EOF;
798
799     case RSET_CMD:
800       smtp_rset_handler();
801       return ERR;
802
803     case NOOP_CMD:
804       HAD(SCH_NOOP);
805       smtp_printf("250 OK\r\n", SP_NO_MORE);
806       goto next_cmd;
807
808     case BDAT_CMD:
809       {
810       int n;
811
812       if (sscanf(CS smtp_cmd_data, "%u %n", &chunking_datasize, &n) < 1)
813         {
814         (void) synprot_error(L_smtp_protocol_error, 501, NULL,
815           US"missing size for BDAT command");
816         return ERR;
817         }
818       chunking_state = strcmpic(smtp_cmd_data+n, US"LAST") == 0
819         ? CHUNKING_LAST : CHUNKING_ACTIVE;
820       chunking_data_left = chunking_datasize;
821       DEBUG(D_receive) debug_printf("chunking state %d, %d bytes\n",
822                                     (int)chunking_state, chunking_data_left);
823
824       if (chunking_datasize == 0)
825         if (chunking_state == CHUNKING_LAST)
826           return EOD;
827         else
828           {
829           (void) synprot_error(L_smtp_protocol_error, 504, NULL,
830             US"zero size for BDAT command");
831           goto repeat_until_rset;
832           }
833
834       bdat_push_receive_functions();
835 #ifndef DISABLE_DKIM
836       dkim_collect_input = dkim_save;
837 #endif
838       break;    /* to top of main loop */
839       }
840     }
841   }
842 }
843
844 BOOL
845 bdat_hasc(void)
846 {
847 if (chunking_data_left > 0)
848   return lwr_receive_hasc();
849 return TRUE;
850 }
851
852 uschar *
853 bdat_getbuf(unsigned * len)
854 {
855 uschar * buf;
856
857 if (chunking_data_left <= 0)
858   { *len = 0; return NULL; }
859
860 if (*len > chunking_data_left) *len = chunking_data_left;
861 buf = lwr_receive_getbuf(len);  /* Either smtp_getbuf or tls_getbuf */
862 chunking_data_left -= *len;
863 return buf;
864 }
865
866 void
867 bdat_flush_data(void)
868 {
869 while (chunking_data_left)
870   {
871   unsigned n = chunking_data_left;
872   if (!bdat_getbuf(&n)) break;
873   }
874
875 bdat_pop_receive_functions();
876 chunking_state = CHUNKING_OFFERED;
877 DEBUG(D_receive) debug_printf("chunking state %d\n", (int)chunking_state);
878 }
879
880
881 static inline void
882 bdat_push_receive_functions(void)
883 {
884 /* push the current receive_* function on the "stack", and
885 replace them by bdat_getc(), which in turn will use the lwr_receive_*
886 functions to do the dirty work. */
887 if (!lwr_receive_getc)
888   {
889   lwr_receive_getc = receive_getc;
890   lwr_receive_getbuf = receive_getbuf;
891   lwr_receive_hasc = receive_hasc;
892   lwr_receive_ungetc = receive_ungetc;
893   }
894 else
895   {
896   DEBUG(D_receive) debug_printf("chunking double-push receive functions\n");
897   }
898
899 receive_getc = bdat_getc;
900 receive_getbuf = bdat_getbuf;
901 receive_hasc = bdat_hasc;
902 receive_ungetc = bdat_ungetc;
903 }
904
905 static inline void
906 bdat_pop_receive_functions(void)
907 {
908 if (!lwr_receive_getc)
909   {
910   DEBUG(D_receive) debug_printf("chunking double-pop receive functions\n");
911   return;
912   }
913 receive_getc = lwr_receive_getc;
914 receive_getbuf = lwr_receive_getbuf;
915 receive_hasc = lwr_receive_hasc;
916 receive_ungetc = lwr_receive_ungetc;
917
918 lwr_receive_getc = NULL;
919 lwr_receive_getbuf = NULL;
920 lwr_receive_hasc = NULL;
921 lwr_receive_ungetc = NULL;
922 }
923
924 int
925 bdat_ungetc(int ch)
926 {
927 chunking_data_left++;
928 bdat_push_receive_functions();  /* we're not done yet, calling push is safe, because it checks the state before pushing anything */
929 return lwr_receive_ungetc(ch);
930 }
931
932
933
934 /******************************************************************************/
935
936 /*************************************************
937 *     Write formatted string to SMTP channel     *
938 *************************************************/
939
940 /* This is a separate function so that we don't have to repeat everything for
941 TLS support or debugging. It is global so that the daemon and the
942 authentication functions can use it. It does not return any error indication,
943 because major problems such as dropped connections won't show up till an output
944 flush for non-TLS connections. The smtp_fflush() function is available for
945 checking that: for convenience, TLS output errors are remembered here so that
946 they are also picked up later by smtp_fflush().
947
948 This function is exposed to the local_scan API; do not change the signature.
949
950 Arguments:
951   format      format string
952   more        further data expected
953   ...         optional arguments
954
955 Returns:      nothing
956 */
957
958 void
959 smtp_printf(const char *format, BOOL more, ...)
960 {
961 va_list ap;
962
963 va_start(ap, more);
964 smtp_vprintf(format, more, ap);
965 va_end(ap);
966 }
967
968 /* This is split off so that verify.c:respond_printf() can, in effect, call
969 smtp_printf(), bearing in mind that in C a vararg function can't directly
970 call another vararg function, only a function which accepts a va_list.
971
972 This function is exposed to the local_scan API; do not change the signature.
973 */
974 /*XXX consider passing caller-info in, for string_vformat-onward */
975
976 void
977 smtp_vprintf(const char *format, BOOL more, va_list ap)
978 {
979 gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer };
980 BOOL yield;
981
982 /* Use taint-unchecked routines for writing into big_buffer, trusting
983 that we'll never expand it. */
984
985 yield = !! string_vformat(&gs, SVFMT_TAINT_NOCHK, format, ap);
986 string_from_gstring(&gs);
987
988 DEBUG(D_receive) for (const uschar * t, * s = gs.s;
989                       s && (t = Ustrchr(s, '\r'));
990                       s = t + 2)                                /* \r\n */
991     debug_printf("%s %.*s\n",
992                   s == gs.s ? "SMTP>>" : "      ",
993                   (int)(t - s), s);
994
995 if (!yield)
996   {
997   log_write(0, LOG_MAIN|LOG_PANIC, "string too large in smtp_printf()");
998   smtp_closedown(US"Unexpected error");
999   exim_exit(EXIT_FAILURE);
1000   }
1001
1002 /* If this is the first output for a (non-batch) RCPT command, see if all RCPTs
1003 have had the same. Note: this code is also present in smtp_respond(). It would
1004 be tidier to have it only in one place, but when it was added, it was easier to
1005 do it that way, so as not to have to mess with the code for the RCPT command,
1006 which sometimes uses smtp_printf() and sometimes smtp_respond(). */
1007
1008 if (fl.rcpt_in_progress)
1009   {
1010   if (!rcpt_smtp_response)
1011     rcpt_smtp_response = string_copy(big_buffer);
1012   else if (fl.rcpt_smtp_response_same &&
1013            Ustrcmp(rcpt_smtp_response, big_buffer) != 0)
1014     fl.rcpt_smtp_response_same = FALSE;
1015   fl.rcpt_in_progress = FALSE;
1016   }
1017
1018 /* Now write the string */
1019
1020 if (
1021 #ifndef DISABLE_TLS
1022     tls_in.active.sock >= 0 ? (tls_write(NULL, gs.s, gs.ptr, more) < 0) :
1023 #endif
1024     (fwrite(gs.s, gs.ptr, 1, smtp_out) == 0)
1025    )
1026     smtp_write_error = -1;
1027 }
1028
1029
1030
1031 /*************************************************
1032 *        Flush SMTP out and check for error      *
1033 *************************************************/
1034
1035 /* This function isn't currently used within Exim (it detects errors when it
1036 tries to read the next SMTP input), but is available for use in local_scan().
1037 It flushes the output and checks for errors.
1038
1039 Arguments:  none
1040 Returns:    0 for no error; -1 after an error
1041 */
1042
1043 int
1044 smtp_fflush(void)
1045 {
1046 if (tls_in.active.sock < 0 && fflush(smtp_out) != 0) smtp_write_error = -1;
1047
1048 if (
1049 #ifndef DISABLE_TLS
1050     tls_in.active.sock >= 0 ? (tls_write(NULL, NULL, 0, FALSE) < 0) :
1051 #endif
1052     (fflush(smtp_out) != 0)
1053    )
1054     smtp_write_error = -1;
1055
1056 return smtp_write_error;
1057 }
1058
1059
1060
1061 /* If there's input waiting (and we're doing pipelineing) then we can pipeline
1062 a reponse with the one following. */
1063
1064 static BOOL
1065 pipeline_response(void)
1066 {
1067 if (  !smtp_enforce_sync || !sender_host_address
1068    || f.sender_host_notsocket || !f.smtp_in_pipelining_advertised)
1069   return FALSE;
1070
1071 if (wouldblock_reading()) return FALSE;
1072 f.smtp_in_pipelining_used = TRUE;
1073 return TRUE;
1074 }
1075
1076
1077 #ifndef DISABLE_PIPE_CONNECT
1078 static BOOL
1079 pipeline_connect_sends(void)
1080 {
1081 if (!sender_host_address || f.sender_host_notsocket || !fl.pipe_connect_acceptable)
1082   return FALSE;
1083
1084 if (wouldblock_reading()) return FALSE;
1085 f.smtp_in_early_pipe_used = TRUE;
1086 return TRUE;
1087 }
1088 #endif
1089
1090 /*************************************************
1091 *          SMTP command read timeout             *
1092 *************************************************/
1093
1094 /* Signal handler for timing out incoming SMTP commands. This attempts to
1095 finish off tidily.
1096
1097 Argument: signal number (SIGALRM)
1098 Returns:  nothing
1099 */
1100
1101 static void
1102 command_timeout_handler(int sig)
1103 {
1104 had_command_timeout = sig;
1105 }
1106
1107
1108
1109 /*************************************************
1110 *               SIGTERM received                 *
1111 *************************************************/
1112
1113 /* Signal handler for handling SIGTERM. Again, try to finish tidily.
1114
1115 Argument: signal number (SIGTERM)
1116 Returns:  nothing
1117 */
1118
1119 static void
1120 command_sigterm_handler(int sig)
1121 {
1122 had_command_sigterm = sig;
1123 }
1124
1125
1126
1127
1128 /*************************************************
1129 *           Read one command line                *
1130 *************************************************/
1131
1132 /* Strictly, SMTP commands coming over the net are supposed to end with CRLF.
1133 There are sites that don't do this, and in any case internal SMTP probably
1134 should check only for LF. Consequently, we check here for LF only. The line
1135 ends up with [CR]LF removed from its end. If we get an overlong line, treat as
1136 an unknown command. The command is read into the global smtp_cmd_buffer so that
1137 it is available via $smtp_command.
1138
1139 The character reading routine sets up a timeout for each block actually read
1140 from the input (which may contain more than one command). We set up a special
1141 signal handler that closes down the session on a timeout. Control does not
1142 return when it runs.
1143
1144 Arguments:
1145   check_sync    if TRUE, check synchronization rules if global option is TRUE
1146   buffer_lim    maximum to buffer in lower layer
1147
1148 Returns:       a code identifying the command (enumerated above)
1149 */
1150
1151 static int
1152 smtp_read_command(BOOL check_sync, unsigned buffer_lim)
1153 {
1154 int c;
1155 int ptr = 0;
1156 BOOL hadnull = FALSE;
1157
1158 had_command_timeout = 0;
1159 os_non_restarting_signal(SIGALRM, command_timeout_handler);
1160
1161 while ((c = (receive_getc)(buffer_lim)) != '\n' && c != EOF)
1162   {
1163   if (ptr >= SMTP_CMD_BUFFER_SIZE)
1164     {
1165     os_non_restarting_signal(SIGALRM, sigalrm_handler);
1166     return OTHER_CMD;
1167     }
1168   if (c == 0)
1169     {
1170     hadnull = TRUE;
1171     c = '?';
1172     }
1173   smtp_cmd_buffer[ptr++] = c;
1174   }
1175
1176 receive_linecount++;    /* For BSMTP errors */
1177 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1178
1179 /* If hit end of file, return pseudo EOF command. Whether we have a
1180 part-line already read doesn't matter, since this is an error state. */
1181
1182 if (c == EOF) return EOF_CMD;
1183
1184 /* Remove any CR and white space at the end of the line, and terminate the
1185 string. */
1186
1187 while (ptr > 0 && isspace(smtp_cmd_buffer[ptr-1])) ptr--;
1188 smtp_cmd_buffer[ptr] = 0;
1189
1190 DEBUG(D_receive) debug_printf("SMTP<< %s\n", smtp_cmd_buffer);
1191
1192 /* NULLs are not allowed in SMTP commands */
1193
1194 if (hadnull) return BADCHAR_CMD;
1195
1196 /* Scan command list and return identity, having set the data pointer
1197 to the start of the actual data characters. Check for SMTP synchronization
1198 if required. */
1199
1200 for (smtp_cmd_list * p = cmd_list; p < cmd_list + nelem(cmd_list); p++)
1201   {
1202 #ifdef SUPPORT_PROXY
1203   /* Only allow QUIT command if Proxy Protocol parsing failed */
1204   if (proxy_session && f.proxy_session_failed && p->cmd != QUIT_CMD)
1205     continue;
1206 #endif
1207   if (  p->len
1208      && strncmpic(smtp_cmd_buffer, US p->name, p->len) == 0
1209      && (  smtp_cmd_buffer[p->len-1] == ':'    /* "mail from:" or "rcpt to:" */
1210         || smtp_cmd_buffer[p->len] == 0
1211         || smtp_cmd_buffer[p->len] == ' '
1212      )  )
1213     {
1214     if (   smtp_inptr < smtp_inend              /* Outstanding input */
1215        &&  p->cmd < sync_cmd_limit              /* Command should sync */
1216        &&  check_sync                           /* Local flag set */
1217        &&  smtp_enforce_sync                    /* Global flag set */
1218        &&  sender_host_address != NULL          /* Not local input */
1219        &&  !f.sender_host_notsocket             /* Really is a socket */
1220        )
1221       return BADSYN_CMD;
1222
1223     /* The variables $smtp_command and $smtp_command_argument point into the
1224     unmodified input buffer. A copy of the latter is taken for actual
1225     processing, so that it can be chopped up into separate parts if necessary,
1226     for example, when processing a MAIL command options such as SIZE that can
1227     follow the sender address. */
1228
1229     smtp_cmd_argument = smtp_cmd_buffer + p->len;
1230     while (isspace(*smtp_cmd_argument)) smtp_cmd_argument++;
1231     Ustrcpy(smtp_data_buffer, smtp_cmd_argument);
1232     smtp_cmd_data = smtp_data_buffer;
1233
1234     /* Count non-mail commands from those hosts that are controlled in this
1235     way. The default is all hosts. We don't waste effort checking the list
1236     until we get a non-mail command, but then cache the result to save checking
1237     again. If there's a DEFER while checking the host, assume it's in the list.
1238
1239     Note that one instance of RSET, EHLO/HELO, and STARTTLS is allowed at the
1240     start of each incoming message by fiddling with the value in the table. */
1241
1242     if (!p->is_mail_cmd)
1243       {
1244       if (count_nonmail == TRUE_UNSET) count_nonmail =
1245         verify_check_host(&smtp_accept_max_nonmail_hosts) != FAIL;
1246       if (count_nonmail && ++nonmail_command_count > smtp_accept_max_nonmail)
1247         return TOO_MANY_NONMAIL_CMD;
1248       }
1249
1250     /* If there is data for a command that does not expect it, generate the
1251     error here. */
1252
1253     return (p->has_arg || *smtp_cmd_data == 0)? p->cmd : BADARG_CMD;
1254     }
1255   }
1256
1257 #ifdef SUPPORT_PROXY
1258 /* Only allow QUIT command if Proxy Protocol parsing failed */
1259 if (proxy_session && f.proxy_session_failed)
1260   return PROXY_FAIL_IGNORE_CMD;
1261 #endif
1262
1263 /* Enforce synchronization for unknown commands */
1264
1265 if (  smtp_inptr < smtp_inend           /* Outstanding input */
1266    && check_sync                        /* Local flag set */
1267    && smtp_enforce_sync                 /* Global flag set */
1268    && sender_host_address               /* Not local input */
1269    && !f.sender_host_notsocket          /* Really is a socket */
1270    )
1271   return BADSYN_CMD;
1272
1273 return OTHER_CMD;
1274 }
1275
1276
1277
1278
1279 /*************************************************
1280 *          Forced closedown of call              *
1281 *************************************************/
1282
1283 /* This function is called from log.c when Exim is dying because of a serious
1284 disaster, and also from some other places. If an incoming non-batched SMTP
1285 channel is open, it swallows the rest of the incoming message if in the DATA
1286 phase, sends the reply string, and gives an error to all subsequent commands
1287 except QUIT. The existence of an SMTP call is detected by the non-NULLness of
1288 smtp_in.
1289
1290 Arguments:
1291   message   SMTP reply string to send, excluding the code
1292
1293 Returns:    nothing
1294 */
1295
1296 void
1297 smtp_closedown(uschar * message)
1298 {
1299 if (!smtp_in || smtp_batched_input) return;
1300 receive_swallow_smtp();
1301 smtp_printf("421 %s\r\n", SP_NO_MORE, message);
1302
1303 for (;;) switch(smtp_read_command(FALSE, GETC_BUFFER_UNLIMITED))
1304   {
1305   case EOF_CMD:
1306     return;
1307
1308   case QUIT_CMD:
1309     f.smtp_in_quit = TRUE;
1310     smtp_printf("221 %s closing connection\r\n", SP_NO_MORE, smtp_active_hostname);
1311     mac_smtp_fflush();
1312     return;
1313
1314   case RSET_CMD:
1315     smtp_printf("250 Reset OK\r\n", SP_NO_MORE);
1316     break;
1317
1318   default:
1319     smtp_printf("421 %s\r\n", SP_NO_MORE, message);
1320     break;
1321   }
1322 }
1323
1324
1325
1326
1327 /*************************************************
1328 *        Set up connection info for logging      *
1329 *************************************************/
1330
1331 /* This function is called when logging information about an SMTP connection.
1332 It sets up appropriate source information, depending on the type of connection.
1333 If sender_fullhost is NULL, we are at a very early stage of the connection;
1334 just use the IP address.
1335
1336 Argument:    none
1337 Returns:     a string describing the connection
1338 */
1339
1340 uschar *
1341 smtp_get_connection_info(void)
1342 {
1343 const uschar * hostname = sender_fullhost
1344   ? sender_fullhost : sender_host_address;
1345 gstring * g = string_catn(NULL, US"SMTP connection", 15);
1346
1347 if (LOGGING(connection_id))
1348   g = string_fmt_append(g, " Ci=%lu", connection_id);
1349 g = string_catn(g, US" from ", 6);
1350
1351 if (host_checking)
1352   g = string_cat(g, hostname);
1353
1354 else if (f.sender_host_unknown || f.sender_host_notsocket)
1355   g = string_cat(g, sender_ident);
1356
1357 else if (f.is_inetd)
1358   g = string_append(g, 2, hostname, US" (via inetd)");
1359
1360 else if (LOGGING(incoming_interface) && interface_address)
1361   g = string_fmt_append(g, "%s I=[%s]:%d", hostname, interface_address, interface_port);
1362
1363 else
1364   g = string_cat(g, hostname);
1365
1366 gstring_release_unused(g);
1367 return string_from_gstring(g);
1368 }
1369
1370
1371
1372 #ifndef DISABLE_TLS
1373 /* Append TLS-related information to a log line
1374
1375 Arguments:
1376   g             String under construction: allocated string to extend, or NULL
1377
1378 Returns:        Allocated string or NULL
1379 */
1380 static gstring *
1381 s_tlslog(gstring * g)
1382 {
1383 if (LOGGING(tls_cipher) && tls_in.cipher)
1384   {
1385   g = string_append(g, 2, US" X=", tls_in.cipher);
1386 #ifndef DISABLE_TLS_RESUME
1387   if (LOGGING(tls_resumption) && tls_in.resumption & RESUME_USED)
1388     g = string_catn(g, US"*", 1);
1389 #endif
1390   }
1391 if (LOGGING(tls_certificate_verified) && tls_in.cipher)
1392   g = string_append(g, 2, US" CV=", tls_in.certificate_verified? "yes":"no");
1393 if (LOGGING(tls_peerdn) && tls_in.peerdn)
1394   g = string_append(g, 3, US" DN=\"", string_printing(tls_in.peerdn), US"\"");
1395 if (LOGGING(tls_sni) && tls_in.sni)
1396   g = string_append(g, 2, US" SNI=", string_printing2(tls_in.sni, SP_TAB|SP_SPACE));
1397 return g;
1398 }
1399 #endif
1400
1401
1402
1403 static gstring *
1404 s_connhad_log(gstring * g)
1405 {
1406 const uschar * sep = smtp_connection_had[SMTP_HBUFF_SIZE-1] != SCH_NONE
1407   ? US" C=..." : US" C=";
1408
1409 for (int i = smtp_ch_index; i < SMTP_HBUFF_SIZE; i++)
1410   if (smtp_connection_had[i] != SCH_NONE)
1411     {
1412     g = string_append(g, 2, sep, smtp_names[smtp_connection_had[i]]);
1413     sep = US",";
1414     }
1415 for (int i = 0; i < smtp_ch_index; i++, sep = US",")
1416   g = string_append(g, 2, sep, smtp_names[smtp_connection_had[i]]);
1417 return g;
1418 }
1419
1420
1421 /*************************************************
1422 *      Log lack of MAIL if so configured         *
1423 *************************************************/
1424
1425 /* This function is called when an SMTP session ends. If the log selector
1426 smtp_no_mail is set, write a log line giving some details of what has happened
1427 in the SMTP session.
1428
1429 Arguments:   none
1430 Returns:     nothing
1431 */
1432
1433 void
1434 smtp_log_no_mail(void)
1435 {
1436 uschar * s;
1437 gstring * g = NULL;
1438
1439 if (smtp_mailcmd_count > 0 || !LOGGING(smtp_no_mail))
1440   return;
1441
1442 if (sender_host_authenticated)
1443   {
1444   g = string_append(g, 2, US" A=", sender_host_authenticated);
1445   if (authenticated_id) g = string_append(g, 2, US":", authenticated_id);
1446   }
1447
1448 #ifndef DISABLE_TLS
1449 g = s_tlslog(g);
1450 #endif
1451
1452 g = s_connhad_log(g);
1453
1454 if (!(s = string_from_gstring(g))) s = US"";
1455
1456 log_write(0, LOG_MAIN, "no MAIL in %sSMTP connection from %s D=%s%s",
1457   f.tcp_in_fastopen ? f.tcp_in_fastopen_data ? US"TFO* " : US"TFO " : US"",
1458   host_and_ident(FALSE), string_timesince(&smtp_connection_start), s);
1459 }
1460
1461
1462 /* Return list of recent smtp commands */
1463
1464 uschar *
1465 smtp_cmd_hist(void)
1466 {
1467 gstring * list = NULL;
1468 uschar * s;
1469
1470 for (int i = smtp_ch_index; i < SMTP_HBUFF_SIZE; i++)
1471   if (smtp_connection_had[i] != SCH_NONE)
1472     list = string_append_listele(list, ',', smtp_names[smtp_connection_had[i]]);
1473
1474 for (int i = 0; i < smtp_ch_index; i++)
1475   list = string_append_listele(list, ',', smtp_names[smtp_connection_had[i]]);
1476
1477 s = string_from_gstring(list);
1478 return s ? s : US"";
1479 }
1480
1481
1482
1483
1484 /*************************************************
1485 *   Check HELO line and set sender_helo_name     *
1486 *************************************************/
1487
1488 /* Check the format of a HELO line. The data for HELO/EHLO is supposed to be
1489 the domain name of the sending host, or an ip literal in square brackets. The
1490 argument is placed in sender_helo_name, which is in malloc store, because it
1491 must persist over multiple incoming messages. If helo_accept_junk is set, this
1492 host is permitted to send any old junk (needed for some broken hosts).
1493 Otherwise, helo_allow_chars can be used for rogue characters in general
1494 (typically people want to let in underscores).
1495
1496 Argument:
1497   s       the data portion of the line (already past any white space)
1498
1499 Returns:  TRUE or FALSE
1500 */
1501
1502 static BOOL
1503 check_helo(uschar *s)
1504 {
1505 uschar *start = s;
1506 uschar *end = s + Ustrlen(s);
1507 BOOL yield = fl.helo_accept_junk;
1508
1509 /* Discard any previous helo name */
1510
1511 sender_helo_name = NULL;
1512
1513 /* Skip tests if junk is permitted. */
1514
1515 if (!yield)
1516
1517   /* Allow the new standard form for IPv6 address literals, namely,
1518   [IPv6:....], and because someone is bound to use it, allow an equivalent
1519   IPv4 form. Allow plain addresses as well. */
1520
1521   if (*s == '[')
1522     {
1523     if (end[-1] == ']')
1524       {
1525       end[-1] = 0;
1526       if (strncmpic(s, US"[IPv6:", 6) == 0)
1527         yield = (string_is_ip_address(s+6, NULL) == 6);
1528       else if (strncmpic(s, US"[IPv4:", 6) == 0)
1529         yield = (string_is_ip_address(s+6, NULL) == 4);
1530       else
1531         yield = (string_is_ip_address(s+1, NULL) != 0);
1532       end[-1] = ']';
1533       }
1534     }
1535
1536   /* Non-literals must be alpha, dot, hyphen, plus any non-valid chars
1537   that have been configured (usually underscore - sigh). */
1538
1539   else if (*s)
1540     for (yield = TRUE; *s; s++)
1541       if (!isalnum(*s) && *s != '.' && *s != '-' &&
1542           Ustrchr(helo_allow_chars, *s) == NULL)
1543         {
1544         yield = FALSE;
1545         break;
1546         }
1547
1548 /* Save argument if OK */
1549
1550 if (yield) sender_helo_name = string_copy_perm(start, TRUE);
1551 return yield;
1552 }
1553
1554
1555
1556
1557
1558 /*************************************************
1559 *         Extract SMTP command option            *
1560 *************************************************/
1561
1562 /* This function picks the next option setting off the end of smtp_cmd_data. It
1563 is called for MAIL FROM and RCPT TO commands, to pick off the optional ESMTP
1564 things that can appear there.
1565
1566 Arguments:
1567    name           point this at the name
1568    value          point this at the data string
1569
1570 Returns:          TRUE if found an option
1571 */
1572
1573 static BOOL
1574 extract_option(uschar **name, uschar **value)
1575 {
1576 uschar *n;
1577 uschar *v;
1578 if (Ustrlen(smtp_cmd_data) <= 0) return FALSE;
1579 v = smtp_cmd_data + Ustrlen(smtp_cmd_data) - 1;
1580 while (v > smtp_cmd_data && isspace(*v)) v--;
1581 v[1] = 0;
1582
1583 while (v > smtp_cmd_data && *v != '=' && !isspace(*v))
1584   {
1585   /* Take care to not stop at a space embedded in a quoted local-part */
1586   if (*v == '"')
1587     {
1588     do v--; while (v > smtp_cmd_data && *v != '"');
1589     if (v <= smtp_cmd_data) return FALSE;
1590     }
1591   v--;
1592   }
1593 if (v <= smtp_cmd_data) return FALSE;
1594
1595 n = v;
1596 if (*v == '=')
1597   {
1598   while (n > smtp_cmd_data && isalpha(n[-1])) n--;
1599   /* RFC says SP, but TAB seen in wild and other major MTAs accept it */
1600   if (n <= smtp_cmd_data || !isspace(n[-1])) return FALSE;
1601   n[-1] = 0;
1602   }
1603 else
1604   {
1605   n++;
1606   }
1607 *v++ = 0;
1608 *name = n;
1609 *value = v;
1610 return TRUE;
1611 }
1612
1613
1614
1615
1616
1617 /*************************************************
1618 *         Reset for new message                  *
1619 *************************************************/
1620
1621 /* This function is called whenever the SMTP session is reset from
1622 within either of the setup functions; also from the daemon loop.
1623
1624 Argument:   the stacking pool storage reset point
1625 Returns:    nothing
1626 */
1627
1628 void *
1629 smtp_reset(void *reset_point)
1630 {
1631 recipients_list = NULL;
1632 rcpt_count = rcpt_defer_count = rcpt_fail_count =
1633   raw_recipients_count = recipients_count = recipients_list_max = 0;
1634 message_linecount = 0;
1635 message_size = -1;
1636 message_body = message_body_end = NULL;
1637 acl_added_headers = NULL;
1638 acl_removed_headers = NULL;
1639 f.queue_only_policy = FALSE;
1640 rcpt_smtp_response = NULL;
1641 fl.rcpt_smtp_response_same = TRUE;
1642 fl.rcpt_in_progress = FALSE;
1643 f.deliver_freeze = FALSE;                               /* Can be set by ACL */
1644 freeze_tell = freeze_tell_config;                       /* Can be set by ACL */
1645 fake_response = OK;                                     /* Can be set by ACL */
1646 #ifdef WITH_CONTENT_SCAN
1647 f.no_mbox_unspool = FALSE;                              /* Can be set by ACL */
1648 #endif
1649 f.submission_mode = FALSE;                              /* Can be set by ACL */
1650 f.suppress_local_fixups = f.suppress_local_fixups_default; /* Can be set by ACL */
1651 f.active_local_from_check = local_from_check;           /* Can be set by ACL */
1652 f.active_local_sender_retain = local_sender_retain;     /* Can be set by ACL */
1653 sending_ip_address = NULL;
1654 return_path = sender_address = NULL;
1655 deliver_localpart_data = deliver_domain_data =
1656 recipient_data = sender_data = NULL;                    /* Can be set by ACL */
1657 recipient_verify_failure = NULL;
1658 deliver_localpart_parent = deliver_localpart_orig = NULL;
1659 deliver_domain_parent = deliver_domain_orig = NULL;
1660 callout_address = NULL;
1661 submission_name = NULL;                                 /* Can be set by ACL */
1662 raw_sender = NULL;                  /* After SMTP rewrite, before qualifying */
1663 sender_address_unrewritten = NULL;  /* Set only after verify rewrite */
1664 sender_verified_list = NULL;        /* No senders verified */
1665 memset(sender_address_cache, 0, sizeof(sender_address_cache));
1666 memset(sender_domain_cache, 0, sizeof(sender_domain_cache));
1667
1668 authenticated_sender = NULL;
1669 #ifdef EXPERIMENTAL_BRIGHTMAIL
1670 bmi_run = 0;
1671 bmi_verdicts = NULL;
1672 #endif
1673 dnslist_domain = dnslist_matched = NULL;
1674 #ifdef SUPPORT_SPF
1675 spf_header_comment = spf_received = spf_result = spf_smtp_comment = NULL;
1676 spf_result_guessed = FALSE;
1677 #endif
1678 #ifndef DISABLE_DKIM
1679 dkim_cur_signer = dkim_signers =
1680 dkim_signing_domain = dkim_signing_selector = dkim_signatures = NULL;
1681 dkim_cur_signer = dkim_signers = dkim_signing_domain = dkim_signing_selector = NULL;
1682 f.dkim_disable_verify = FALSE;
1683 dkim_collect_input = 0;
1684 dkim_verify_overall = dkim_verify_status = dkim_verify_reason = NULL;
1685 dkim_key_length = 0;
1686 #endif
1687 #ifdef SUPPORT_DMARC
1688 f.dmarc_has_been_checked = f.dmarc_disable_verify = f.dmarc_enable_forensic = FALSE;
1689 dmarc_domain_policy = dmarc_status = dmarc_status_text =
1690 dmarc_used_domain = NULL;
1691 #endif
1692 #ifdef EXPERIMENTAL_ARC
1693 arc_state = arc_state_reason = NULL;
1694 arc_received_instance = 0;
1695 #endif
1696 dsn_ret = 0;
1697 dsn_envid = NULL;
1698 deliver_host = deliver_host_address = NULL;     /* Can be set by ACL */
1699 #ifndef DISABLE_PRDR
1700 prdr_requested = FALSE;
1701 #endif
1702 #ifdef SUPPORT_I18N
1703 message_smtputf8 = FALSE;
1704 #endif
1705 #ifdef WITH_CONTENT_SCAN
1706 regex_vars_clear();
1707 #endif
1708 body_linecount = body_zerocount = 0;
1709
1710 lookup_value = NULL;                            /* Can be set by ACL */
1711 sender_rate = sender_rate_limit = sender_rate_period = NULL;
1712 ratelimiters_mail = NULL;           /* Updated by ratelimit ACL condition */
1713                    /* Note that ratelimiters_conn persists across resets. */
1714
1715 /* Reset message ACL variables */
1716
1717 acl_var_m = NULL;
1718
1719 /* Warning log messages are saved in malloc store. They are saved to avoid
1720 repetition in the same message, but it seems right to repeat them for different
1721 messages. */
1722
1723 while (acl_warn_logged)
1724   {
1725   string_item *this = acl_warn_logged;
1726   acl_warn_logged = acl_warn_logged->next;
1727   store_free(this);
1728   }
1729
1730 message_tidyup();
1731 store_reset(reset_point);
1732
1733 message_start();
1734 return store_mark();
1735 }
1736
1737
1738
1739
1740
1741 /*************************************************
1742 *  Initialize for incoming batched SMTP message  *
1743 *************************************************/
1744
1745 /* This function is called from smtp_setup_msg() in the case when
1746 smtp_batched_input is true. This happens when -bS is used to pass a whole batch
1747 of messages in one file with SMTP commands between them. All errors must be
1748 reported by sending a message, and only MAIL FROM, RCPT TO, and DATA are
1749 relevant. After an error on a sender, or an invalid recipient, the remainder
1750 of the message is skipped. The value of received_protocol is already set.
1751
1752 Argument: none
1753 Returns:  > 0 message successfully started (reached DATA)
1754           = 0 QUIT read or end of file reached
1755           < 0 should not occur
1756 */
1757
1758 static int
1759 smtp_setup_batch_msg(void)
1760 {
1761 int done = 0;
1762 rmark reset_point = store_mark();
1763
1764 /* Save the line count at the start of each transaction - single commands
1765 like HELO and RSET count as whole transactions. */
1766
1767 bsmtp_transaction_linecount = receive_linecount;
1768
1769 if ((receive_feof)()) return 0;   /* Treat EOF as QUIT */
1770
1771 cancel_cutthrough_connection(TRUE, US"smtp_setup_batch_msg");
1772 reset_point = smtp_reset(reset_point);                /* Reset for start of message */
1773
1774 /* Deal with SMTP commands. This loop is exited by setting done to a POSITIVE
1775 value. The values are 2 larger than the required yield of the function. */
1776
1777 while (done <= 0)
1778   {
1779   uschar *errmess;
1780   uschar *recipient = NULL;
1781   int start, end, sender_domain, recipient_domain;
1782
1783   switch(smtp_read_command(FALSE, GETC_BUFFER_UNLIMITED))
1784     {
1785     /* The HELO/EHLO commands set sender_address_helo if they have
1786     valid data; otherwise they are ignored, except that they do
1787     a reset of the state. */
1788
1789     case HELO_CMD:
1790     case EHLO_CMD:
1791
1792       check_helo(smtp_cmd_data);
1793       /* Fall through */
1794
1795     case RSET_CMD:
1796       cancel_cutthrough_connection(TRUE, US"RSET received");
1797       reset_point = smtp_reset(reset_point);
1798       bsmtp_transaction_linecount = receive_linecount;
1799       break;
1800
1801     /* The MAIL FROM command requires an address as an operand. All we
1802     do here is to parse it for syntactic correctness. The form "<>" is
1803     a special case which converts into an empty string. The start/end
1804     pointers in the original are not used further for this address, as
1805     it is the canonical extracted address which is all that is kept. */
1806
1807     case MAIL_CMD:
1808       smtp_mailcmd_count++;              /* Count for no-mail log */
1809       if (sender_address)
1810         /* The function moan_smtp_batch() does not return. */
1811         moan_smtp_batch(smtp_cmd_buffer, "503 Sender already given");
1812
1813       if (smtp_cmd_data[0] == 0)
1814         /* The function moan_smtp_batch() does not return. */
1815         moan_smtp_batch(smtp_cmd_buffer, "501 MAIL FROM must have an address operand");
1816
1817       /* Reset to start of message */
1818
1819       cancel_cutthrough_connection(TRUE, US"MAIL received");
1820       reset_point = smtp_reset(reset_point);
1821
1822       /* Apply SMTP rewrite */
1823
1824       raw_sender = rewrite_existflags & rewrite_smtp
1825         /* deconst ok as smtp_cmd_data was not const */
1826         ? US rewrite_one(smtp_cmd_data, rewrite_smtp|rewrite_smtp_sender, NULL,
1827                       FALSE, US"", global_rewrite_rules)
1828         : smtp_cmd_data;
1829
1830       /* Extract the address; the TRUE flag allows <> as valid */
1831
1832       raw_sender =
1833         parse_extract_address(raw_sender, &errmess, &start, &end, &sender_domain,
1834           TRUE);
1835
1836       if (!raw_sender)
1837         /* The function moan_smtp_batch() does not return. */
1838         moan_smtp_batch(smtp_cmd_buffer, "501 %s", errmess);
1839
1840       sender_address = string_copy(raw_sender);
1841
1842       /* Qualify unqualified sender addresses if permitted to do so. */
1843
1844       if (  !sender_domain
1845          && sender_address[0] != 0 && sender_address[0] != '@')
1846         if (f.allow_unqualified_sender)
1847           {
1848           /* deconst ok as sender_address was not const */
1849           sender_address = US rewrite_address_qualify(sender_address, FALSE);
1850           DEBUG(D_receive) debug_printf("unqualified address %s accepted "
1851             "and rewritten\n", raw_sender);
1852           }
1853         /* The function moan_smtp_batch() does not return. */
1854         else
1855           moan_smtp_batch(smtp_cmd_buffer, "501 sender address must contain "
1856             "a domain");
1857       break;
1858
1859
1860     /* The RCPT TO command requires an address as an operand. All we do
1861     here is to parse it for syntactic correctness. There may be any number
1862     of RCPT TO commands, specifying multiple senders. We build them all into
1863     a data structure that is in argc/argv format. The start/end values
1864     given by parse_extract_address are not used, as we keep only the
1865     extracted address. */
1866
1867     case RCPT_CMD:
1868       if (!sender_address)
1869         /* The function moan_smtp_batch() does not return. */
1870         moan_smtp_batch(smtp_cmd_buffer, "503 No sender yet given");
1871
1872       if (smtp_cmd_data[0] == 0)
1873         /* The function moan_smtp_batch() does not return. */
1874         moan_smtp_batch(smtp_cmd_buffer,
1875           "501 RCPT TO must have an address operand");
1876
1877       /* Check maximum number allowed */
1878
1879       if (recipients_max > 0 && recipients_count + 1 > recipients_max)
1880         /* The function moan_smtp_batch() does not return. */
1881         moan_smtp_batch(smtp_cmd_buffer, "%s too many recipients",
1882           recipients_max_reject? "552": "452");
1883
1884       /* Apply SMTP rewrite, then extract address. Don't allow "<>" as a
1885       recipient address */
1886
1887       recipient = rewrite_existflags & rewrite_smtp
1888         /* deconst ok as smtp_cmd_data was not const */
1889         ? US rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
1890                       global_rewrite_rules)
1891         : smtp_cmd_data;
1892
1893       recipient = parse_extract_address(recipient, &errmess, &start, &end,
1894         &recipient_domain, FALSE);
1895
1896       if (!recipient)
1897         /* The function moan_smtp_batch() does not return. */
1898         moan_smtp_batch(smtp_cmd_buffer, "501 %s", errmess);
1899
1900       /* If the recipient address is unqualified, qualify it if permitted. Then
1901       add it to the list of recipients. */
1902
1903       if (!recipient_domain)
1904         if (f.allow_unqualified_recipient)
1905           {
1906           DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
1907             recipient);
1908           /* deconst ok as recipient was not const */
1909           recipient = US rewrite_address_qualify(recipient, TRUE);
1910           }
1911         /* The function moan_smtp_batch() does not return. */
1912         else
1913           moan_smtp_batch(smtp_cmd_buffer,
1914             "501 recipient address must contain a domain");
1915
1916       receive_add_recipient(recipient, -1);
1917       break;
1918
1919
1920     /* The DATA command is legal only if it follows successful MAIL FROM
1921     and RCPT TO commands. This function is complete when a valid DATA
1922     command is encountered. */
1923
1924     case DATA_CMD:
1925       if (!sender_address || recipients_count <= 0)
1926         /* The function moan_smtp_batch() does not return. */
1927         if (!sender_address)
1928           moan_smtp_batch(smtp_cmd_buffer,
1929             "503 MAIL FROM:<sender> command must precede DATA");
1930         else
1931           moan_smtp_batch(smtp_cmd_buffer,
1932             "503 RCPT TO:<recipient> must precede DATA");
1933       else
1934         {
1935         done = 3;                      /* DATA successfully achieved */
1936         message_ended = END_NOTENDED;  /* Indicate in middle of message */
1937         }
1938       break;
1939
1940
1941     /* The VRFY, EXPN, HELP, ETRN, and NOOP commands are ignored. */
1942
1943     case VRFY_CMD:
1944     case EXPN_CMD:
1945     case HELP_CMD:
1946     case NOOP_CMD:
1947     case ETRN_CMD:
1948       bsmtp_transaction_linecount = receive_linecount;
1949       break;
1950
1951
1952     case QUIT_CMD:
1953       f.smtp_in_quit = TRUE;
1954     case EOF_CMD:
1955       done = 2;
1956       break;
1957
1958
1959     case BADARG_CMD:
1960       /* The function moan_smtp_batch() does not return. */
1961       moan_smtp_batch(smtp_cmd_buffer, "501 Unexpected argument data");
1962       break;
1963
1964
1965     case BADCHAR_CMD:
1966       /* The function moan_smtp_batch() does not return. */
1967       moan_smtp_batch(smtp_cmd_buffer, "501 Unexpected NULL in SMTP command");
1968       break;
1969
1970
1971     default:
1972       /* The function moan_smtp_batch() does not return. */
1973       moan_smtp_batch(smtp_cmd_buffer, "500 Command unrecognized");
1974       break;
1975     }
1976   }
1977
1978 return done - 2;  /* Convert yield values */
1979 }
1980
1981
1982
1983
1984 #ifndef DISABLE_TLS
1985 static BOOL
1986 smtp_log_tls_fail(const uschar * errstr)
1987 {
1988 const uschar * conn_info = smtp_get_connection_info();
1989
1990 if (Ustrncmp(conn_info, US"SMTP ", 5) == 0) conn_info += 5;
1991 /* I'd like to get separated H= here, but too hard for now */
1992
1993 log_write(0, LOG_MAIN, "TLS error on %s %s", conn_info, errstr);
1994 return FALSE;
1995 }
1996 #endif
1997
1998
1999
2000
2001 #ifdef TCP_FASTOPEN
2002 static void
2003 tfo_in_check(void)
2004 {
2005 # ifdef __FreeBSD__
2006 int is_fastopen;
2007 socklen_t len = sizeof(is_fastopen);
2008
2009 /* The tinfo TCPOPT_FAST_OPEN bit seems unreliable, and we don't see state
2010 TCP_SYN_RCV (as of 12.1) so no idea about data-use. */
2011
2012 if (getsockopt(fileno(smtp_out), IPPROTO_TCP, TCP_FASTOPEN, &is_fastopen, &len) == 0)
2013   {
2014   if (is_fastopen)
2015     {
2016     DEBUG(D_receive)
2017       debug_printf("TFO mode connection (TCP_FASTOPEN getsockopt)\n");
2018     f.tcp_in_fastopen = TRUE;
2019     }
2020   }
2021 else DEBUG(D_receive)
2022   debug_printf("TCP_INFO getsockopt: %s\n", strerror(errno));
2023
2024 # elif defined(TCP_INFO)
2025 struct tcp_info tinfo;
2026 socklen_t len = sizeof(tinfo);
2027
2028 if (getsockopt(fileno(smtp_out), IPPROTO_TCP, TCP_INFO, &tinfo, &len) == 0)
2029 #  ifdef TCPI_OPT_SYN_DATA      /* FreeBSD 11,12 do not seem to have this yet */
2030   if (tinfo.tcpi_options & TCPI_OPT_SYN_DATA)
2031     {
2032     DEBUG(D_receive)
2033       debug_printf("TFO mode connection (ACKd data-on-SYN)\n");
2034     f.tcp_in_fastopen_data = f.tcp_in_fastopen = TRUE;
2035     }
2036   else
2037 #  endif
2038     if (tinfo.tcpi_state == TCP_SYN_RECV)       /* Not seen on FreeBSD 12.1 */
2039     {
2040     DEBUG(D_receive)
2041       debug_printf("TFO mode connection (state TCP_SYN_RECV)\n");
2042     f.tcp_in_fastopen = TRUE;
2043     }
2044 else DEBUG(D_receive)
2045   debug_printf("TCP_INFO getsockopt: %s\n", strerror(errno));
2046 # endif
2047 }
2048 #endif
2049
2050
2051 static void
2052 log_connect_tls_drop(const uschar * what, const uschar * log_msg)
2053 {
2054 if (log_reject_target)
2055   {
2056   gstring * g = s_tlslog(NULL);
2057   uschar * tls = string_from_gstring(g);
2058
2059   log_write(L_connection_reject,
2060     log_reject_target, "%s%s%s dropped by %s%s%s",
2061     LOGGING(dnssec) && sender_host_dnssec ? US" DS" : US"",
2062     host_and_ident(TRUE),
2063     tls ? tls : US"",
2064     what,
2065     log_msg ? US": " : US"", log_msg);
2066   }
2067 }
2068
2069
2070 /*************************************************
2071 *          Start an SMTP session                 *
2072 *************************************************/
2073
2074 /* This function is called at the start of an SMTP session. Thereafter,
2075 smtp_setup_msg() is called to initiate each separate message. This
2076 function does host-specific testing, and outputs the banner line.
2077
2078 Arguments:     none
2079 Returns:       FALSE if the session can not continue; something has
2080                gone wrong, or the connection to the host is blocked
2081 */
2082
2083 BOOL
2084 smtp_start_session(void)
2085 {
2086 int esclen;
2087 uschar *user_msg, *log_msg;
2088 uschar *code, *esc;
2089 uschar *p, *s;
2090 gstring * ss;
2091
2092 gettimeofday(&smtp_connection_start, NULL);
2093 for (smtp_ch_index = 0; smtp_ch_index < SMTP_HBUFF_SIZE; smtp_ch_index++)
2094   smtp_connection_had[smtp_ch_index] = SCH_NONE;
2095 smtp_ch_index = 0;
2096
2097 /* Default values for certain variables */
2098
2099 fl.helo_seen = fl.esmtp = fl.helo_accept_junk = FALSE;
2100 smtp_mailcmd_count = 0;
2101 count_nonmail = TRUE_UNSET;
2102 synprot_error_count = unknown_command_count = nonmail_command_count = 0;
2103 smtp_delay_mail = smtp_rlm_base;
2104 fl.auth_advertised = FALSE;
2105 f.smtp_in_pipelining_advertised = f.smtp_in_pipelining_used = FALSE;
2106 f.pipelining_enable = TRUE;
2107 sync_cmd_limit = NON_SYNC_CMD_NON_PIPELINING;
2108 fl.smtp_exit_function_called = FALSE;    /* For avoiding loop in not-quit exit */
2109
2110 /* If receiving by -bs from a trusted user, or testing with -bh, we allow
2111 authentication settings from -oMaa to remain in force. */
2112
2113 if (!host_checking && !f.sender_host_notsocket)
2114   sender_host_auth_pubname = sender_host_authenticated = NULL;
2115 authenticated_by = NULL;
2116
2117 #ifndef DISABLE_TLS
2118 tls_in.ver = tls_in.cipher = tls_in.peerdn = NULL;
2119 tls_in.ourcert = tls_in.peercert = NULL;
2120 tls_in.sni = NULL;
2121 tls_in.ocsp = OCSP_NOT_REQ;
2122 fl.tls_advertised = FALSE;
2123 #endif
2124 fl.dsn_advertised = FALSE;
2125 #ifdef SUPPORT_I18N
2126 fl.smtputf8_advertised = FALSE;
2127 #endif
2128
2129 /* Reset ACL connection variables */
2130
2131 acl_var_c = NULL;
2132
2133 /* Allow for trailing 0 in the command and data buffers.  Tainted. */
2134
2135 smtp_cmd_buffer = store_get_perm(2*SMTP_CMD_BUFFER_SIZE + 2, GET_TAINTED);
2136
2137 smtp_cmd_buffer[0] = 0;
2138 smtp_data_buffer = smtp_cmd_buffer + SMTP_CMD_BUFFER_SIZE + 1;
2139
2140 /* For batched input, the protocol setting can be overridden from the
2141 command line by a trusted caller. */
2142
2143 if (smtp_batched_input)
2144   {
2145   if (!received_protocol) received_protocol = US"local-bsmtp";
2146   }
2147
2148 /* For non-batched SMTP input, the protocol setting is forced here. It will be
2149 reset later if any of EHLO/AUTH/STARTTLS are received. */
2150
2151 else
2152   received_protocol =
2153     (sender_host_address ? protocols : protocols_local) [pnormal];
2154
2155 /* Set up the buffer for inputting using direct read() calls, and arrange to
2156 call the local functions instead of the standard C ones. */
2157
2158 smtp_buf_init();
2159
2160 receive_getc = smtp_getc;
2161 receive_getbuf = smtp_getbuf;
2162 receive_get_cache = smtp_get_cache;
2163 receive_hasc = smtp_hasc;
2164 receive_ungetc = smtp_ungetc;
2165 receive_feof = smtp_feof;
2166 receive_ferror = smtp_ferror;
2167 lwr_receive_getc = NULL;
2168 lwr_receive_getbuf = NULL;
2169 lwr_receive_hasc = NULL;
2170 lwr_receive_ungetc = NULL;
2171
2172 /* Set up the message size limit; this may be host-specific */
2173
2174 thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
2175 if (expand_string_message)
2176   {
2177   if (thismessage_size_limit == -1)
2178     log_write(0, LOG_MAIN|LOG_PANIC, "unable to expand message_size_limit: "
2179       "%s", expand_string_message);
2180   else
2181     log_write(0, LOG_MAIN|LOG_PANIC, "invalid message_size_limit: "
2182       "%s", expand_string_message);
2183   smtp_closedown(US"Temporary local problem - please try later");
2184   return FALSE;
2185   }
2186
2187 /* When a message is input locally via the -bs or -bS options, sender_host_
2188 unknown is set unless -oMa was used to force an IP address, in which case it
2189 is checked like a real remote connection. When -bs is used from inetd, this
2190 flag is not set, causing the sending host to be checked. The code that deals
2191 with IP source routing (if configured) is never required for -bs or -bS and
2192 the flag sender_host_notsocket is used to suppress it.
2193
2194 If smtp_accept_max and smtp_accept_reserve are set, keep some connections in
2195 reserve for certain hosts and/or networks. */
2196
2197 if (!f.sender_host_unknown)
2198   {
2199   int rc;
2200   BOOL reserved_host = FALSE;
2201
2202   /* Look up IP options (source routing info) on the socket if this is not an
2203   -oMa "host", and if any are found, log them and drop the connection.
2204
2205   Linux (and others now, see below) is different to everyone else, so there
2206   has to be some conditional compilation here. Versions of Linux before 2.1.15
2207   used a structure whose name was "options". Somebody finally realized that
2208   this name was silly, and it got changed to "ip_options". I use the
2209   newer name here, but there is a fudge in the script that sets up os.h
2210   to define a macro in older Linux systems.
2211
2212   Sigh. Linux is a fast-moving target. Another generation of Linux uses
2213   glibc 2, which has chosen ip_opts for the structure name. This is now
2214   really a glibc thing rather than a Linux thing, so the condition name
2215   has been changed to reflect this. It is relevant also to GNU/Hurd.
2216
2217   Mac OS 10.x (Darwin) is like the later glibc versions, but without the
2218   setting of the __GLIBC__ macro, so we can't detect it automatically. There's
2219   a special macro defined in the os.h file.
2220
2221   Some DGUX versions on older hardware appear not to support IP options at
2222   all, so there is now a general macro which can be set to cut out this
2223   support altogether.
2224
2225   How to do this properly in IPv6 is not yet known. */
2226
2227 #if !HAVE_IPV6 && !defined(NO_IP_OPTIONS)
2228
2229 # ifdef GLIBC_IP_OPTIONS
2230 #  if (!defined __GLIBC__) || (__GLIBC__ < 2)
2231 #   define OPTSTYLE 1
2232 #  else
2233 #   define OPTSTYLE 2
2234 #  endif
2235 # elif defined DARWIN_IP_OPTIONS
2236 # define OPTSTYLE 2
2237 # else
2238 # define OPTSTYLE 3
2239 # endif
2240
2241   if (!host_checking && !f.sender_host_notsocket)
2242     {
2243 # if OPTSTYLE == 1
2244     EXIM_SOCKLEN_T optlen = sizeof(struct ip_options) + MAX_IPOPTLEN;
2245     struct ip_options *ipopt = store_get(optlen, GET_UNTAINTED);
2246 # elif OPTSTYLE == 2
2247     struct ip_opts ipoptblock;
2248     struct ip_opts *ipopt = &ipoptblock;
2249     EXIM_SOCKLEN_T optlen = sizeof(ipoptblock);
2250 # else
2251     struct ipoption ipoptblock;
2252     struct ipoption *ipopt = &ipoptblock;
2253     EXIM_SOCKLEN_T optlen = sizeof(ipoptblock);
2254 # endif
2255
2256     /* Occasional genuine failures of getsockopt() have been seen - for
2257     example, "reset by peer". Therefore, just log and give up on this
2258     call, unless the error is ENOPROTOOPT. This error is given by systems
2259     that have the interfaces but not the mechanism - e.g. GNU/Hurd at the time
2260     of writing. So for that error, carry on - we just can't do an IP options
2261     check. */
2262
2263     DEBUG(D_receive) debug_printf("checking for IP options\n");
2264
2265     if (getsockopt(fileno(smtp_out), IPPROTO_IP, IP_OPTIONS, US (ipopt),
2266           &optlen) < 0)
2267       {
2268       if (errno != ENOPROTOOPT)
2269         {
2270         log_write(0, LOG_MAIN, "getsockopt() failed from %s: %s",
2271           host_and_ident(FALSE), strerror(errno));
2272         smtp_printf("451 SMTP service not available\r\n", SP_NO_MORE);
2273         return FALSE;
2274         }
2275       }
2276
2277     /* Deal with any IP options that are set. On the systems I have looked at,
2278     the value of MAX_IPOPTLEN has been 40, meaning that there should never be
2279     more logging data than will fit in big_buffer. Nevertheless, after somebody
2280     questioned this code, I've added in some paranoid checking. */
2281
2282     else if (optlen > 0)
2283       {
2284       uschar * p = big_buffer;
2285       uschar * pend = big_buffer + big_buffer_size;
2286       uschar * adptr;
2287       int optcount;
2288       struct in_addr addr;
2289
2290 # if OPTSTYLE == 1
2291       uschar * optstart = US (ipopt->__data);
2292 # elif OPTSTYLE == 2
2293       uschar * optstart = US (ipopt->ip_opts);
2294 # else
2295       uschar * optstart = US (ipopt->ipopt_list);
2296 # endif
2297
2298       DEBUG(D_receive) debug_printf("IP options exist\n");
2299
2300       Ustrcpy(p, "IP options on incoming call:");
2301       p += Ustrlen(p);
2302
2303       for (uschar * opt = optstart; opt && opt < US (ipopt) + optlen; )
2304         switch (*opt)
2305           {
2306           case IPOPT_EOL:
2307             opt = NULL;
2308             break;
2309
2310           case IPOPT_NOP:
2311             opt++;
2312             break;
2313
2314           case IPOPT_SSRR:
2315           case IPOPT_LSRR:
2316             if (!
2317 # if OPTSTYLE == 1
2318                  string_format(p, pend-p, " %s [@%s",
2319                  (*opt == IPOPT_SSRR)? "SSRR" : "LSRR",
2320                  inet_ntoa(*((struct in_addr *)(&(ipopt->faddr)))))
2321 # elif OPTSTYLE == 2
2322                  string_format(p, pend-p, " %s [@%s",
2323                  (*opt == IPOPT_SSRR)? "SSRR" : "LSRR",
2324                  inet_ntoa(ipopt->ip_dst))
2325 # else
2326                  string_format(p, pend-p, " %s [@%s",
2327                  (*opt == IPOPT_SSRR)? "SSRR" : "LSRR",
2328                  inet_ntoa(ipopt->ipopt_dst))
2329 # endif
2330               )
2331               {
2332               opt = NULL;
2333               break;
2334               }
2335
2336             p += Ustrlen(p);
2337             optcount = (opt[1] - 3) / sizeof(struct in_addr);
2338             adptr = opt + 3;
2339             while (optcount-- > 0)
2340               {
2341               memcpy(&addr, adptr, sizeof(addr));
2342               if (!string_format(p, pend - p - 1, "%s%s",
2343                     (optcount == 0)? ":" : "@", inet_ntoa(addr)))
2344                 {
2345                 opt = NULL;
2346                 break;
2347                 }
2348               p += Ustrlen(p);
2349               adptr += sizeof(struct in_addr);
2350               }
2351             *p++ = ']';
2352             opt += opt[1];
2353             break;
2354
2355           default:
2356               {
2357               if (pend - p < 4 + 3*opt[1]) { opt = NULL; break; }
2358               Ustrcat(p, "[ ");
2359               p += 2;
2360               for (int i = 0; i < opt[1]; i++)
2361                 p += sprintf(CS p, "%2.2x ", opt[i]);
2362               *p++ = ']';
2363               }
2364             opt += opt[1];
2365             break;
2366           }
2367
2368       *p = 0;
2369       log_write(0, LOG_MAIN, "%s", big_buffer);
2370
2371       /* Refuse any call with IP options. This is what tcpwrappers 7.5 does. */
2372
2373       log_write(0, LOG_MAIN|LOG_REJECT,
2374         "connection from %s refused (IP options)", host_and_ident(FALSE));
2375
2376       smtp_printf("554 SMTP service not available\r\n", SP_NO_MORE);
2377       return FALSE;
2378       }
2379
2380     /* Length of options = 0 => there are no options */
2381
2382     else DEBUG(D_receive) debug_printf("no IP options found\n");
2383     }
2384 #endif  /* HAVE_IPV6 && !defined(NO_IP_OPTIONS) */
2385
2386   /* Set keep-alive in socket options. The option is on by default. This
2387   setting is an attempt to get rid of some hanging connections that stick in
2388   read() when the remote end (usually a dialup) goes away. */
2389
2390   if (smtp_accept_keepalive && !f.sender_host_notsocket)
2391     ip_keepalive(fileno(smtp_out), sender_host_address, FALSE);
2392
2393   /* If the current host matches host_lookup, set the name by doing a
2394   reverse lookup. On failure, sender_host_name will be NULL and
2395   host_lookup_failed will be TRUE. This may or may not be serious - optional
2396   checks later. */
2397
2398   if (verify_check_host(&host_lookup) == OK)
2399     {
2400     (void)host_name_lookup();
2401     host_build_sender_fullhost();
2402     }
2403
2404   /* Delay this until we have the full name, if it is looked up. */
2405
2406   set_process_info("handling incoming connection from %s",
2407     host_and_ident(FALSE));
2408
2409   /* Expand smtp_receive_timeout, if needed */
2410
2411   if (smtp_receive_timeout_s)
2412     {
2413     uschar * exp;
2414     if (  !(exp = expand_string(smtp_receive_timeout_s))
2415        || !(*exp)
2416        || (smtp_receive_timeout = readconf_readtime(exp, 0, FALSE)) < 0
2417        )
2418       log_write(0, LOG_MAIN|LOG_PANIC,
2419         "bad value for smtp_receive_timeout: '%s'", exp ? exp : US"");
2420     }
2421
2422   /* Test for explicit connection rejection */
2423
2424   if (verify_check_host(&host_reject_connection) == OK)
2425     {
2426     log_write(L_connection_reject, LOG_MAIN|LOG_REJECT, "refused connection "
2427       "from %s (host_reject_connection)", host_and_ident(FALSE));
2428 #ifndef DISABLE_TLS
2429     if (!tls_in.on_connect)
2430 #endif
2431       smtp_printf("554 SMTP service not available\r\n", SP_NO_MORE);
2432     return FALSE;
2433     }
2434
2435   /* Test with TCP Wrappers if so configured. There is a problem in that
2436   hosts_ctl() returns 0 (deny) under a number of system failure circumstances,
2437   such as disks dying. In these cases, it is desirable to reject with a 4xx
2438   error instead of a 5xx error. There isn't a "right" way to detect such
2439   problems. The following kludge is used: errno is zeroed before calling
2440   hosts_ctl(). If the result is "reject", a 5xx error is given only if the
2441   value of errno is 0 or ENOENT (which happens if /etc/hosts.{allow,deny} does
2442   not exist). */
2443
2444 #ifdef USE_TCP_WRAPPERS
2445   errno = 0;
2446   if (!(tcp_wrappers_name = expand_string(tcp_wrappers_daemon_name)))
2447     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Expansion of \"%s\" "
2448       "(tcp_wrappers_name) failed: %s", string_printing(tcp_wrappers_name),
2449         expand_string_message);
2450
2451   if (!hosts_ctl(tcp_wrappers_name,
2452          sender_host_name ? CS sender_host_name : STRING_UNKNOWN,
2453          sender_host_address ? CS sender_host_address : STRING_UNKNOWN,
2454          sender_ident ? CS sender_ident : STRING_UNKNOWN))
2455     {
2456     if (errno == 0 || errno == ENOENT)
2457       {
2458       HDEBUG(D_receive) debug_printf("tcp wrappers rejection\n");
2459       log_write(L_connection_reject,
2460                 LOG_MAIN|LOG_REJECT, "refused connection from %s "
2461                 "(tcp wrappers)", host_and_ident(FALSE));
2462       smtp_printf("554 SMTP service not available\r\n", SP_NO_MORE);
2463       }
2464     else
2465       {
2466       int save_errno = errno;
2467       HDEBUG(D_receive) debug_printf("tcp wrappers rejected with unexpected "
2468         "errno value %d\n", save_errno);
2469       log_write(L_connection_reject,
2470                 LOG_MAIN|LOG_REJECT, "temporarily refused connection from %s "
2471                 "(tcp wrappers errno=%d)", host_and_ident(FALSE), save_errno);
2472       smtp_printf("451 Temporary local problem - please try later\r\n", SP_NO_MORE);
2473       }
2474     return FALSE;
2475     }
2476 #endif
2477
2478   /* Check for reserved slots. The value of smtp_accept_count has already been
2479   incremented to include this process. */
2480
2481   if (smtp_accept_max > 0 &&
2482       smtp_accept_count > smtp_accept_max - smtp_accept_reserve)
2483     {
2484     if ((rc = verify_check_host(&smtp_reserve_hosts)) != OK)
2485       {
2486       log_write(L_connection_reject,
2487         LOG_MAIN, "temporarily refused connection from %s: not in "
2488         "reserve list: connected=%d max=%d reserve=%d%s",
2489         host_and_ident(FALSE), smtp_accept_count - 1, smtp_accept_max,
2490         smtp_accept_reserve, (rc == DEFER)? " (lookup deferred)" : "");
2491       smtp_printf("421 %s: Too many concurrent SMTP connections; "
2492         "please try again later\r\n", SP_NO_MORE, smtp_active_hostname);
2493       return FALSE;
2494       }
2495     reserved_host = TRUE;
2496     }
2497
2498   /* If a load level above which only messages from reserved hosts are
2499   accepted is set, check the load. For incoming calls via the daemon, the
2500   check is done in the superior process if there are no reserved hosts, to
2501   save a fork. In all cases, the load average will already be available
2502   in a global variable at this point. */
2503
2504   if (smtp_load_reserve >= 0 &&
2505        load_average > smtp_load_reserve &&
2506        !reserved_host &&
2507        verify_check_host(&smtp_reserve_hosts) != OK)
2508     {
2509     log_write(L_connection_reject,
2510       LOG_MAIN, "temporarily refused connection from %s: not in "
2511       "reserve list and load average = %.2f", host_and_ident(FALSE),
2512       (double)load_average/1000.0);
2513     smtp_printf("421 %s: Too much load; please try again later\r\n", SP_NO_MORE,
2514       smtp_active_hostname);
2515     return FALSE;
2516     }
2517
2518   /* Determine whether unqualified senders or recipients are permitted
2519   for this host. Unfortunately, we have to do this every time, in order to
2520   set the flags so that they can be inspected when considering qualifying
2521   addresses in the headers. For a site that permits no qualification, this
2522   won't take long, however. */
2523
2524   f.allow_unqualified_sender =
2525     verify_check_host(&sender_unqualified_hosts) == OK;
2526
2527   f.allow_unqualified_recipient =
2528     verify_check_host(&recipient_unqualified_hosts) == OK;
2529
2530   /* Determine whether HELO/EHLO is required for this host. The requirement
2531   can be hard or soft. */
2532
2533   fl.helo_verify_required = verify_check_host(&helo_verify_hosts) == OK;
2534   if (!fl.helo_verify_required)
2535     fl.helo_verify = verify_check_host(&helo_try_verify_hosts) == OK;
2536
2537   /* Determine whether this hosts is permitted to send syntactic junk
2538   after a HELO or EHLO command. */
2539
2540   fl.helo_accept_junk = verify_check_host(&helo_accept_junk_hosts) == OK;
2541   }
2542
2543 /* For batch SMTP input we are now done. */
2544
2545 if (smtp_batched_input) return TRUE;
2546
2547 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS) || defined(EXPERIMETAL_XCLIENT)
2548 proxy_session = FALSE;
2549 #endif
2550
2551 #ifdef SUPPORT_PROXY
2552 /* If valid Proxy Protocol source is connecting, set up session.
2553 Failure will not allow any SMTP function other than QUIT. */
2554
2555 f.proxy_session_failed = FALSE;
2556 if (proxy_protocol_host())
2557   {
2558   os_non_restarting_signal(SIGALRM, command_timeout_handler);
2559   proxy_protocol_setup();
2560   }
2561 #endif
2562
2563 /* Run the connect ACL if it exists */
2564
2565 user_msg = NULL;
2566 if (acl_smtp_connect)
2567   {
2568   int rc;
2569   if ((rc = acl_check(ACL_WHERE_CONNECT, NULL, acl_smtp_connect, &user_msg,
2570                       &log_msg)) != OK)
2571     {
2572 #ifndef DISABLE_TLS
2573     if (tls_in.on_connect)
2574       log_connect_tls_drop(US"'connect' ACL", log_msg);
2575     else
2576 #endif
2577       (void) smtp_handle_acl_fail(ACL_WHERE_CONNECT, rc, user_msg, log_msg);
2578     return FALSE;
2579     }
2580   }
2581
2582 /* Start up TLS if tls_on_connect is set. This is for supporting the legacy
2583 smtps port for use with older style SSL MTAs. */
2584
2585 #ifndef DISABLE_TLS
2586 if (tls_in.on_connect)
2587   {
2588   if (tls_server_start(&user_msg) != OK)
2589     return smtp_log_tls_fail(user_msg);
2590   cmd_list[CL_TLAU].is_mail_cmd = TRUE;
2591   }
2592 #endif
2593
2594 /* Output the initial message for a two-way SMTP connection. It may contain
2595 newlines, which then cause a multi-line response to be given. */
2596
2597 code = US"220";   /* Default status code */
2598 esc = US"";       /* Default extended status code */
2599 esclen = 0;       /* Length of esc */
2600
2601 if (user_msg)
2602   {
2603   int codelen = 3;
2604   s = user_msg;
2605   smtp_message_code(&code, &codelen, &s, NULL, TRUE);
2606   if (codelen > 4)
2607     {
2608     esc = code + 4;
2609     esclen = codelen - 4;
2610     }
2611   }
2612 else if (!(s = expand_string(smtp_banner)))
2613   {
2614   log_write(0, f.expand_string_forcedfail ? LOG_MAIN : LOG_MAIN|LOG_PANIC_DIE,
2615     "Expansion of \"%s\" (smtp_banner) failed: %s",
2616     smtp_banner, expand_string_message);
2617   /* for force-fail */
2618 #ifndef DISABLE_TLS
2619   if (tls_in.on_connect) tls_close(NULL, TLS_SHUTDOWN_WAIT);
2620 #endif
2621   return FALSE;
2622   }
2623
2624 /* Remove any terminating newlines; might as well remove trailing space too */
2625
2626 p = s + Ustrlen(s);
2627 while (p > s && isspace(p[-1])) p--;
2628 s = string_copyn(s, p-s);
2629
2630 /* It seems that CC:Mail is braindead, and assumes that the greeting message
2631 is all contained in a single IP packet. The original code wrote out the
2632 greeting using several calls to fprint/fputc, and on busy servers this could
2633 cause it to be split over more than one packet - which caused CC:Mail to fall
2634 over when it got the second part of the greeting after sending its first
2635 command. Sigh. To try to avoid this, build the complete greeting message
2636 first, and output it in one fell swoop. This gives a better chance of it
2637 ending up as a single packet. */
2638
2639 ss = string_get(256);
2640
2641 p = s;
2642 do       /* At least once, in case we have an empty string */
2643   {
2644   int len;
2645   uschar *linebreak = Ustrchr(p, '\n');
2646   ss = string_catn(ss, code, 3);
2647   if (!linebreak)
2648     {
2649     len = Ustrlen(p);
2650     ss = string_catn(ss, US" ", 1);
2651     }
2652   else
2653     {
2654     len = linebreak - p;
2655     ss = string_catn(ss, US"-", 1);
2656     }
2657   ss = string_catn(ss, esc, esclen);
2658   ss = string_catn(ss, p, len);
2659   ss = string_catn(ss, US"\r\n", 2);
2660   p += len;
2661   if (linebreak) p++;
2662   }
2663 while (*p);
2664
2665 /* Before we write the banner, check that there is no input pending, unless
2666 this synchronisation check is disabled. */
2667
2668 #ifndef DISABLE_PIPE_CONNECT
2669 fl.pipe_connect_acceptable =
2670   sender_host_address && verify_check_host(&pipe_connect_advertise_hosts) == OK;
2671
2672 if (!check_sync())
2673   if (fl.pipe_connect_acceptable)
2674     f.smtp_in_early_pipe_used = TRUE;
2675   else
2676 #else
2677 if (!check_sync())
2678 #endif
2679     {
2680     unsigned n = smtp_inend - smtp_inptr;
2681     if (n > 128) n = 128;
2682
2683     log_write(0, LOG_MAIN|LOG_REJECT, "SMTP protocol "
2684       "synchronization error (input sent without waiting for greeting): "
2685       "rejected connection from %s input=\"%s\"", host_and_ident(TRUE),
2686       string_printing(string_copyn(smtp_inptr, n)));
2687     smtp_printf("554 SMTP synchronization error\r\n", SP_NO_MORE);
2688     return FALSE;
2689     }
2690
2691 /* Now output the banner */
2692 /*XXX the ehlo-resp code does its own tls/nontls bit.  Maybe subroutine that? */
2693
2694 smtp_printf("%Y",
2695 #ifndef DISABLE_PIPE_CONNECT
2696   fl.pipe_connect_acceptable && pipeline_connect_sends(),
2697 #else
2698   SP_NO_MORE,
2699 #endif
2700   ss);
2701
2702 /* Attempt to see if we sent the banner before the last ACK of the 3-way
2703 handshake arrived.  If so we must have managed a TFO. */
2704
2705 #ifdef TCP_FASTOPEN
2706 if (sender_host_address && !f.sender_host_notsocket) tfo_in_check();
2707 #endif
2708
2709 return TRUE;
2710 }
2711
2712
2713
2714
2715
2716 /*************************************************
2717 *     Handle SMTP syntax and protocol errors     *
2718 *************************************************/
2719
2720 /* Write to the log for SMTP syntax errors in incoming commands, if configured
2721 to do so. Then transmit the error response. The return value depends on the
2722 number of syntax and protocol errors in this SMTP session.
2723
2724 Arguments:
2725   type      error type, given as a log flag bit
2726   code      response code; <= 0 means don't send a response
2727   data      data to reflect in the response (can be NULL)
2728   errmess   the error message
2729
2730 Returns:    -1   limit of syntax/protocol errors NOT exceeded
2731             +1   limit of syntax/protocol errors IS exceeded
2732
2733 These values fit in with the values of the "done" variable in the main
2734 processing loop in smtp_setup_msg(). */
2735
2736 static int
2737 synprot_error(int type, int code, uschar *data, uschar *errmess)
2738 {
2739 int yield = -1;
2740
2741 log_write(type, LOG_MAIN, "SMTP %s error in \"%s\" %s %s",
2742   type == L_smtp_syntax_error ? "syntax" : "protocol",
2743   string_printing(smtp_cmd_buffer), host_and_ident(TRUE), errmess);
2744
2745 if (++synprot_error_count > smtp_max_synprot_errors)
2746   {
2747   yield = 1;
2748   log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
2749     "syntax or protocol errors (last command was \"%s\", %Y)",
2750     host_and_ident(FALSE), string_printing(smtp_cmd_buffer),
2751     s_connhad_log(NULL)
2752     );
2753   }
2754
2755 if (code > 0)
2756   {
2757   smtp_printf("%d%c%s%s%s\r\n", SP_NO_MORE, code, yield == 1 ? '-' : ' ',
2758     data ? data : US"", data ? US": " : US"", errmess);
2759   if (yield == 1)
2760     smtp_printf("%d Too many syntax or protocol errors\r\n", SP_NO_MORE, code);
2761   }
2762
2763 return yield;
2764 }
2765
2766
2767
2768
2769 /*************************************************
2770 *    Send SMTP response, possibly multiline      *
2771 *************************************************/
2772
2773 /* There are, it seems, broken clients out there that cannot handle multiline
2774 responses. If no_multiline_responses is TRUE (it can be set from an ACL), we
2775 output nothing for non-final calls, and only the first line for anything else.
2776
2777 Arguments:
2778   code          SMTP code, may involve extended status codes
2779   codelen       length of smtp code; if > 4 there's an ESC
2780   final         FALSE if the last line isn't the final line
2781   msg           message text, possibly containing newlines
2782
2783 Returns:        nothing
2784 */
2785
2786 void
2787 smtp_respond(uschar * code, int codelen, BOOL final, uschar * msg)
2788 {
2789 int esclen = 0;
2790 uschar *esc = US"";
2791
2792 if (!final && f.no_multiline_responses) return;
2793
2794 if (codelen > 4)
2795   {
2796   esc = code + 4;
2797   esclen = codelen - 4;
2798   }
2799
2800 /* If this is the first output for a (non-batch) RCPT command, see if all RCPTs
2801 have had the same. Note: this code is also present in smtp_printf(). It would
2802 be tidier to have it only in one place, but when it was added, it was easier to
2803 do it that way, so as not to have to mess with the code for the RCPT command,
2804 which sometimes uses smtp_printf() and sometimes smtp_respond(). */
2805
2806 if (fl.rcpt_in_progress)
2807   {
2808   if (!rcpt_smtp_response)
2809     rcpt_smtp_response = string_copy(msg);
2810   else if (fl.rcpt_smtp_response_same &&
2811            Ustrcmp(rcpt_smtp_response, msg) != 0)
2812     fl.rcpt_smtp_response_same = FALSE;
2813   fl.rcpt_in_progress = FALSE;
2814   }
2815
2816 /* Now output the message, splitting it up into multiple lines if necessary.
2817 We only handle pipelining these responses as far as nonfinal/final groups,
2818 not the whole MAIL/RCPT/DATA response set. */
2819
2820 for (;;)
2821   {
2822   uschar *nl = Ustrchr(msg, '\n');
2823   if (!nl)
2824     {
2825     smtp_printf("%.3s%c%.*s%s\r\n", !final, code, final ? ' ':'-', esclen, esc, msg);
2826     return;
2827     }
2828   else if (nl[1] == 0 || f.no_multiline_responses)
2829     {
2830     smtp_printf("%.3s%c%.*s%.*s\r\n", !final, code, final ? ' ':'-', esclen, esc,
2831       (int)(nl - msg), msg);
2832     return;
2833     }
2834   else
2835     {
2836     smtp_printf("%.3s-%.*s%.*s\r\n", SP_MORE, code, esclen, esc, (int)(nl - msg), msg);
2837     msg = nl + 1;
2838     Uskip_whitespace(&msg);
2839     }
2840   }
2841 }
2842
2843
2844
2845
2846 /*************************************************
2847 *            Parse user SMTP message             *
2848 *************************************************/
2849
2850 /* This function allows for user messages overriding the response code details
2851 by providing a suitable response code string at the start of the message
2852 user_msg. Check the message for starting with a response code and optionally an
2853 extended status code. If found, check that the first digit is valid, and if so,
2854 change the code pointer and length to use the replacement. An invalid code
2855 causes a panic log; in this case, if the log messages is the same as the user
2856 message, we must also adjust the value of the log message to show the code that
2857 is actually going to be used (the original one).
2858
2859 This function is global because it is called from receive.c as well as within
2860 this module.
2861
2862 Note that the code length returned includes the terminating whitespace
2863 character, which is always included in the regex match.
2864
2865 Arguments:
2866   code          SMTP code, may involve extended status codes
2867   codelen       length of smtp code; if > 4 there's an ESC
2868   msg           message text
2869   log_msg       optional log message, to be adjusted with the new SMTP code
2870   check_valid   if true, verify the response code
2871
2872 Returns:        nothing
2873 */
2874
2875 void
2876 smtp_message_code(uschar **code, int *codelen, uschar **msg, uschar **log_msg,
2877   BOOL check_valid)
2878 {
2879 uschar * match;
2880 int len;
2881
2882 if (!msg || !*msg || !regex_match(regex_smtp_code, *msg, -1, &match))
2883   return;
2884
2885 len = Ustrlen(match);
2886 if (check_valid && (*msg)[0] != (*code)[0])
2887   {
2888   log_write(0, LOG_MAIN|LOG_PANIC, "configured error code starts with "
2889     "incorrect digit (expected %c) in \"%s\"", (*code)[0], *msg);
2890   if (log_msg && *log_msg == *msg)
2891     *log_msg = string_sprintf("%s %s", *code, *log_msg + len);
2892   }
2893 else
2894   {
2895   *code = *msg;
2896   *codelen = len;    /* Includes final space */
2897   }
2898 *msg += len;         /* Chop the code off the message */
2899 return;
2900 }
2901
2902
2903
2904
2905 /*************************************************
2906 *           Handle an ACL failure                *
2907 *************************************************/
2908
2909 /* This function is called when acl_check() fails. As well as calls from within
2910 this module, it is called from receive.c for an ACL after DATA. It sorts out
2911 logging the incident, and sends the error response. A message containing
2912 newlines is turned into a multiline SMTP response, but for logging, only the
2913 first line is used.
2914
2915 There's a table of default permanent failure response codes to use in
2916 globals.c, along with the table of names. VFRY is special. Despite RFC1123 it
2917 defaults disabled in Exim. However, discussion in connection with RFC 821bis
2918 (aka RFC 2821) has concluded that the response should be 252 in the disabled
2919 state, because there are broken clients that try VRFY before RCPT. A 5xx
2920 response should be given only when the address is positively known to be
2921 undeliverable. Sigh. We return 252 if there is no VRFY ACL or it provides
2922 no explicit code, but if there is one we let it know best.
2923 Also, for ETRN, 458 is given on refusal, and for AUTH, 503.
2924
2925 From Exim 4.63, it is possible to override the response code details by
2926 providing a suitable response code string at the start of the message provided
2927 in user_msg. The code's first digit is checked for validity.
2928
2929 Arguments:
2930   where        where the ACL was called from
2931   rc           the failure code
2932   user_msg     a message that can be included in an SMTP response
2933   log_msg      a message for logging
2934
2935 Returns:     0 in most cases
2936              2 if the failure code was FAIL_DROP, in which case the
2937                SMTP connection should be dropped (this value fits with the
2938                "done" variable in smtp_setup_msg() below)
2939 */
2940
2941 int
2942 smtp_handle_acl_fail(int where, int rc, uschar * user_msg, uschar * log_msg)
2943 {
2944 BOOL drop = rc == FAIL_DROP;
2945 int codelen = 3;
2946 uschar *smtp_code;
2947 uschar *lognl;
2948 uschar *sender_info = US"";
2949 uschar *what;
2950
2951 if (drop) rc = FAIL;
2952
2953 /* Set the default SMTP code, and allow a user message to change it. */
2954
2955 smtp_code = rc == FAIL ? acl_wherecodes[where] : US"451";
2956 smtp_message_code(&smtp_code, &codelen, &user_msg, &log_msg,
2957   where != ACL_WHERE_VRFY);
2958
2959 /* We used to have sender_address here; however, there was a bug that was not
2960 updating sender_address after a rewrite during a verify. When this bug was
2961 fixed, sender_address at this point became the rewritten address. I'm not sure
2962 this is what should be logged, so I've changed to logging the unrewritten
2963 address to retain backward compatibility. */
2964
2965 switch (where)
2966   {
2967 #ifdef WITH_CONTENT_SCAN
2968   case ACL_WHERE_MIME:          what = US"during MIME ACL checks";      break;
2969 #endif
2970   case ACL_WHERE_PREDATA:       what = US"DATA";                        break;
2971   case ACL_WHERE_DATA:          what = US"after DATA";                  break;
2972 #ifndef DISABLE_PRDR
2973   case ACL_WHERE_PRDR:          what = US"after DATA PRDR";             break;
2974 #endif
2975   default:
2976     {
2977     uschar * place = smtp_cmd_data ? smtp_cmd_data : US"in \"connect\" ACL";
2978     int lim = 100;
2979
2980     if (where == ACL_WHERE_AUTH)        /* avoid logging auth creds */
2981       {
2982       uschar * s;
2983       for (s = smtp_cmd_data; *s && !isspace(*s); ) s++;
2984       lim = s - smtp_cmd_data;  /* atop after method */
2985       }
2986     what = string_sprintf("%s %.*s", acl_wherenames[where], lim, place);
2987     }
2988   }
2989 switch (where)
2990   {
2991   case ACL_WHERE_RCPT:
2992   case ACL_WHERE_DATA:
2993 #ifdef WITH_CONTENT_SCAN
2994   case ACL_WHERE_MIME:
2995 #endif
2996     sender_info = string_sprintf("F=<%s>%s%s%s%s ",
2997       sender_address_unrewritten ? sender_address_unrewritten : sender_address,
2998       sender_host_authenticated ? US" A="                                    : US"",
2999       sender_host_authenticated ? sender_host_authenticated                  : US"",
3000       sender_host_authenticated && authenticated_id ? US":"                  : US"",
3001       sender_host_authenticated && authenticated_id ? authenticated_id       : US""
3002       );
3003   break;
3004   }
3005
3006 /* If there's been a sender verification failure with a specific message, and
3007 we have not sent a response about it yet, do so now, as a preliminary line for
3008 failures, but not defers. However, always log it for defer, and log it for fail
3009 unless the sender_verify_fail log selector has been turned off. */
3010
3011 if (sender_verified_failed &&
3012     !testflag(sender_verified_failed, af_sverify_told))
3013   {
3014   BOOL save_rcpt_in_progress = fl.rcpt_in_progress;
3015   fl.rcpt_in_progress = FALSE;  /* So as not to treat these as the error */
3016
3017   setflag(sender_verified_failed, af_sverify_told);
3018
3019   if (rc != FAIL || LOGGING(sender_verify_fail))
3020     log_write(0, LOG_MAIN|LOG_REJECT, "%s sender verify %s for <%s>%s",
3021       host_and_ident(TRUE),
3022       ((sender_verified_failed->special_action & 255) == DEFER)? "defer":"fail",
3023       sender_verified_failed->address,
3024       (sender_verified_failed->message == NULL)? US"" :
3025       string_sprintf(": %s", sender_verified_failed->message));
3026
3027   if (rc == FAIL && sender_verified_failed->user_message)
3028     smtp_respond(smtp_code, codelen, SR_NOT_FINAL, string_sprintf(
3029         testflag(sender_verified_failed, af_verify_pmfail)?
3030           "Postmaster verification failed while checking <%s>\n%s\n"
3031           "Several RFCs state that you are required to have a postmaster\n"
3032           "mailbox for each mail domain. This host does not accept mail\n"
3033           "from domains whose servers reject the postmaster address."
3034           :
3035         testflag(sender_verified_failed, af_verify_nsfail)?
3036           "Callback setup failed while verifying <%s>\n%s\n"
3037           "The initial connection, or a HELO or MAIL FROM:<> command was\n"
3038           "rejected. Refusing MAIL FROM:<> does not help fight spam, disregards\n"
3039           "RFC requirements, and stops you from receiving standard bounce\n"
3040           "messages. This host does not accept mail from domains whose servers\n"
3041           "refuse bounces."
3042           :
3043           "Verification failed for <%s>\n%s",
3044         sender_verified_failed->address,
3045         sender_verified_failed->user_message));
3046
3047   fl.rcpt_in_progress = save_rcpt_in_progress;
3048   }
3049
3050 /* Sort out text for logging */
3051
3052 log_msg = log_msg ? string_sprintf(": %s", log_msg) : US"";
3053 if ((lognl = Ustrchr(log_msg, '\n'))) *lognl = 0;
3054
3055 /* Send permanent failure response to the command, but the code used isn't
3056 always a 5xx one - see comments at the start of this function. If the original
3057 rc was FAIL_DROP we drop the connection and yield 2. */
3058
3059 if (rc == FAIL)
3060   smtp_respond(smtp_code, codelen, SR_FINAL,
3061     user_msg ? user_msg : US"Administrative prohibition");
3062
3063 /* Send temporary failure response to the command. Don't give any details,
3064 unless acl_temp_details is set. This is TRUE for a callout defer, a "defer"
3065 verb, and for a header verify when smtp_return_error_details is set.
3066
3067 This conditional logic is all somewhat of a mess because of the odd
3068 interactions between temp_details and return_error_details. One day it should
3069 be re-implemented in a tidier fashion. */
3070
3071 else
3072   if (f.acl_temp_details && user_msg)
3073     {
3074     if (  smtp_return_error_details
3075        && sender_verified_failed
3076        && sender_verified_failed->message
3077        )
3078       smtp_respond(smtp_code, codelen, SR_NOT_FINAL, sender_verified_failed->message);
3079
3080     smtp_respond(smtp_code, codelen, SR_FINAL, user_msg);
3081     }
3082   else
3083     smtp_respond(smtp_code, codelen, SR_FINAL,
3084       US"Temporary local problem - please try later");
3085
3086 /* Log the incident to the logs that are specified by log_reject_target
3087 (default main, reject). This can be empty to suppress logging of rejections. If
3088 the connection is not forcibly to be dropped, return 0. Otherwise, log why it
3089 is closing if required and return 2.  */
3090
3091 if (log_reject_target)
3092   {
3093 #ifndef DISABLE_TLS
3094   gstring * g = s_tlslog(NULL);
3095   uschar * tls = string_from_gstring(g);
3096   if (!tls) tls = US"";
3097 #else
3098   uschar * tls = US"";
3099 #endif
3100   log_write(where == ACL_WHERE_CONNECT ? L_connection_reject : 0,
3101     log_reject_target, "%s%s%s %s%srejected %s%s",
3102     LOGGING(dnssec) && sender_host_dnssec ? US" DS" : US"",
3103     host_and_ident(TRUE),
3104     tls,
3105     sender_info,
3106     rc == FAIL ? US"" : US"temporarily ",
3107     what, log_msg);
3108   }
3109
3110 if (!drop) return 0;
3111
3112 log_close_event(US"by DROP in ACL");
3113
3114 /* Run the not-quit ACL, but without any custom messages. This should not be a
3115 problem, because we get here only if some other ACL has issued "drop", and
3116 in that case, *its* custom messages will have been used above. */
3117
3118 smtp_notquit_exit(US"acl-drop", NULL, NULL);
3119
3120 /* An overenthusiastic fail2ban/iptables implimentation has been seen to result
3121 in the TCP conn staying open, and retrying, despite this process exiting. A
3122 malicious client could possibly do the same, tying up server netowrking
3123 resources. Close the socket explicitly to try to avoid that (there's a note in
3124 the Linux socket(7) manpage, SO_LINGER para, to the effect that exim() without
3125 close() results in the socket always lingering). */
3126
3127 (void) poll_one_fd(fileno(smtp_in), POLLIN, 200);
3128 DEBUG(D_any) debug_printf_indent("SMTP(close)>>\n");
3129 (void) fclose(smtp_in);
3130 (void) fclose(smtp_out);
3131
3132 return 2;
3133 }
3134
3135
3136
3137
3138 /*************************************************
3139 *     Handle SMTP exit when QUIT is not given    *
3140 *************************************************/
3141
3142 /* This function provides a logging/statistics hook for when an SMTP connection
3143 is dropped on the floor or the other end goes away. It's a global function
3144 because it's called from receive.c as well as this module. As well as running
3145 the NOTQUIT ACL, if there is one, this function also outputs a final SMTP
3146 response, either with a custom message from the ACL, or using a default. There
3147 is one case, however, when no message is output - after "drop". In that case,
3148 the ACL that obeyed "drop" has already supplied the custom message, and NULL is
3149 passed to this function.
3150
3151 In case things go wrong while processing this function, causing an error that
3152 may re-enter this function, there is a recursion check.
3153
3154 Arguments:
3155   reason          What $smtp_notquit_reason will be set to in the ACL;
3156                     if NULL, the ACL is not run
3157   code            The error code to return as part of the response
3158   defaultrespond  The default message if there's no user_msg
3159
3160 Returns:          Nothing
3161 */
3162
3163 void
3164 smtp_notquit_exit(uschar *reason, uschar *code, uschar *defaultrespond, ...)
3165 {
3166 int rc;
3167 uschar *user_msg = NULL;
3168 uschar *log_msg = NULL;
3169
3170 /* Check for recursive call */
3171
3172 if (fl.smtp_exit_function_called)
3173   {
3174   log_write(0, LOG_PANIC, "smtp_notquit_exit() called more than once (%s)",
3175     reason);
3176   return;
3177   }
3178 fl.smtp_exit_function_called = TRUE;
3179
3180 /* Call the not-QUIT ACL, if there is one, unless no reason is given. */
3181
3182 if (acl_smtp_notquit && reason)
3183   {
3184   smtp_notquit_reason = reason;
3185   if ((rc = acl_check(ACL_WHERE_NOTQUIT, NULL, acl_smtp_notquit, &user_msg,
3186                       &log_msg)) == ERROR)
3187     log_write(0, LOG_MAIN|LOG_PANIC, "ACL for not-QUIT returned ERROR: %s",
3188       log_msg);
3189   }
3190
3191 /* If the connection was dropped, we certainly are no longer talking TLS */
3192 tls_in.active.sock = -1;
3193
3194 /* Write an SMTP response if we are expected to give one. As the default
3195 responses are all internal, they should be reasonable size. */
3196
3197 if (code && defaultrespond)
3198   {
3199   if (user_msg)
3200     smtp_respond(code, 3, SR_FINAL, user_msg);
3201   else
3202     {
3203     gstring * g;
3204     va_list ap;
3205
3206     va_start(ap, defaultrespond);
3207     g = string_vformat(NULL, SVFMT_EXTEND|SVFMT_REBUFFER, CS defaultrespond, ap);
3208     va_end(ap);
3209     smtp_printf("%s %Y\r\n", SP_NO_MORE, code, g);
3210     }
3211   mac_smtp_fflush();
3212   }
3213 }
3214
3215
3216
3217
3218 /*************************************************
3219 *             Verify HELO argument               *
3220 *************************************************/
3221
3222 /* This function is called if helo_verify_hosts or helo_try_verify_hosts is
3223 matched. It is also called from ACL processing if verify = helo is used and
3224 verification was not previously tried (i.e. helo_try_verify_hosts was not
3225 matched). The result of its processing is to set helo_verified and
3226 helo_verify_failed. These variables should both be FALSE for this function to
3227 be called.
3228
3229 Note that EHLO/HELO is legitimately allowed to quote an address literal. Allow
3230 for IPv6 ::ffff: literals.
3231
3232 Argument:   none
3233 Returns:    TRUE if testing was completed;
3234             FALSE on a temporary failure
3235 */
3236
3237 BOOL
3238 smtp_verify_helo(void)
3239 {
3240 BOOL yield = TRUE;
3241
3242 HDEBUG(D_receive) debug_printf("verifying EHLO/HELO argument \"%s\"\n",
3243   sender_helo_name);
3244
3245 if (sender_helo_name == NULL)
3246   {
3247   HDEBUG(D_receive) debug_printf("no EHLO/HELO command was issued\n");
3248   }
3249
3250 /* Deal with the case of -bs without an IP address */
3251
3252 else if (sender_host_address == NULL)
3253   {
3254   HDEBUG(D_receive) debug_printf("no client IP address: assume success\n");
3255   f.helo_verified = TRUE;
3256   }
3257
3258 /* Deal with the more common case when there is a sending IP address */
3259
3260 else if (sender_helo_name[0] == '[')
3261   {
3262   f.helo_verified = Ustrncmp(sender_helo_name+1, sender_host_address,
3263     Ustrlen(sender_host_address)) == 0;
3264
3265 #if HAVE_IPV6
3266   if (!f.helo_verified)
3267     {
3268     if (strncmpic(sender_host_address, US"::ffff:", 7) == 0)
3269       f.helo_verified = Ustrncmp(sender_helo_name + 1,
3270         sender_host_address + 7, Ustrlen(sender_host_address) - 7) == 0;
3271     }
3272 #endif
3273
3274   HDEBUG(D_receive)
3275     { if (f.helo_verified) debug_printf("matched host address\n"); }
3276   }
3277
3278 /* Do a reverse lookup if one hasn't already given a positive or negative
3279 response. If that fails, or the name doesn't match, try checking with a forward
3280 lookup. */
3281
3282 else
3283   {
3284   if (sender_host_name == NULL && !host_lookup_failed)
3285     yield = host_name_lookup() != DEFER;
3286
3287   /* If a host name is known, check it and all its aliases. */
3288
3289   if (sender_host_name)
3290     if ((f.helo_verified = strcmpic(sender_host_name, sender_helo_name) == 0))
3291       {
3292       sender_helo_dnssec = sender_host_dnssec;
3293       HDEBUG(D_receive) debug_printf("matched host name\n");
3294       }
3295     else
3296       {
3297       uschar **aliases = sender_host_aliases;
3298       while (*aliases)
3299         if ((f.helo_verified = strcmpic(*aliases++, sender_helo_name) == 0))
3300           {
3301           sender_helo_dnssec = sender_host_dnssec;
3302           break;
3303           }
3304
3305       HDEBUG(D_receive) if (f.helo_verified)
3306           debug_printf("matched alias %s\n", *(--aliases));
3307       }
3308
3309   /* Final attempt: try a forward lookup of the helo name */
3310
3311   if (!f.helo_verified)
3312     {
3313     int rc;
3314     host_item h =
3315       {.name = sender_helo_name, .address = NULL, .mx = MX_NONE, .next = NULL};
3316     dnssec_domains d =
3317       {.request = US"*", .require = US""};
3318
3319     HDEBUG(D_receive) debug_printf("getting IP address for %s\n",
3320       sender_helo_name);
3321     rc = host_find_bydns(&h, NULL, HOST_FIND_BY_A | HOST_FIND_BY_AAAA,
3322                           NULL, NULL, NULL, &d, NULL, NULL);
3323     if (rc == HOST_FOUND || rc == HOST_FOUND_LOCAL)
3324       for (host_item * hh = &h; hh; hh = hh->next)
3325         if (Ustrcmp(hh->address, sender_host_address) == 0)
3326           {
3327           f.helo_verified = TRUE;
3328           if (h.dnssec == DS_YES) sender_helo_dnssec = TRUE;
3329           HDEBUG(D_receive)
3330             debug_printf("IP address for %s matches calling address\n"
3331               "Forward DNS security status: %sverified\n",
3332               sender_helo_name, sender_helo_dnssec ? "" : "un");
3333           break;
3334           }
3335     }
3336   }
3337
3338 if (!f.helo_verified) f.helo_verify_failed = TRUE;  /* We've tried ... */
3339 return yield;
3340 }
3341
3342
3343
3344
3345 /*************************************************
3346 *        Send user response message              *
3347 *************************************************/
3348
3349 /* This function is passed a default response code and a user message. It calls
3350 smtp_message_code() to check and possibly modify the response code, and then
3351 calls smtp_respond() to transmit the response. I put this into a function
3352 just to avoid a lot of repetition.
3353
3354 Arguments:
3355   code         the response code
3356   user_msg     the user message
3357
3358 Returns:       nothing
3359 */
3360
3361 static void
3362 smtp_user_msg(uschar *code, uschar *user_msg)
3363 {
3364 int len = 3;
3365 smtp_message_code(&code, &len, &user_msg, NULL, TRUE);
3366 smtp_respond(code, len, SR_FINAL, user_msg);
3367 }
3368
3369
3370
3371 static int
3372 smtp_in_auth(auth_instance *au, uschar ** smtp_resp, uschar ** errmsg)
3373 {
3374 const uschar *set_id = NULL;
3375 int rc;
3376
3377 /* Set up globals for error messages */
3378
3379 authenticator_name = au->name;
3380 driver_srcfile = au->srcfile;
3381 driver_srcline = au->srcline;
3382
3383 /* Run the checking code, passing the remainder of the command line as
3384 data. Initials the $auth<n> variables as empty. Initialize $0 empty and set
3385 it as the only set numerical variable. The authenticator may set $auth<n>
3386 and also set other numeric variables. The $auth<n> variables are preferred
3387 nowadays; the numerical variables remain for backwards compatibility.
3388
3389 Afterwards, have a go at expanding the set_id string, even if
3390 authentication failed - for bad passwords it can be useful to log the
3391 userid. On success, require set_id to expand and exist, and put it in
3392 authenticated_id. Save this in permanent store, as the working store gets
3393 reset at HELO, RSET, etc. */
3394
3395 for (int i = 0; i < AUTH_VARS; i++) auth_vars[i] = NULL;
3396 expand_nmax = 0;
3397 expand_nlength[0] = 0;   /* $0 contains nothing */
3398
3399 rc = (au->info->servercode)(au, smtp_cmd_data);
3400 if (au->set_id) set_id = expand_string(au->set_id);
3401 expand_nmax = -1;        /* Reset numeric variables */
3402 for (int i = 0; i < AUTH_VARS; i++) auth_vars[i] = NULL;   /* Reset $auth<n> */
3403 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
3404
3405 /* The value of authenticated_id is stored in the spool file and printed in
3406 log lines. It must not contain binary zeros or newline characters. In
3407 normal use, it never will, but when playing around or testing, this error
3408 can (did) happen. To guard against this, ensure that the id contains only
3409 printing characters. */
3410
3411 if (set_id) set_id = string_printing(set_id);
3412
3413 /* For the non-OK cases, set up additional logging data if set_id
3414 is not empty. */
3415
3416 if (rc != OK)
3417   set_id = set_id && *set_id
3418     ? string_sprintf(" (set_id=%s)", set_id) : US"";
3419
3420 /* Switch on the result */
3421
3422 switch(rc)
3423   {
3424   case OK:
3425     if (!au->set_id || set_id)    /* Complete success */
3426       {
3427       if (set_id) authenticated_id = string_copy_perm(set_id, TRUE);
3428       sender_host_authenticated = au->name;
3429       sender_host_auth_pubname  = au->public_name;
3430       authentication_failed = FALSE;
3431       authenticated_fail_id = NULL;   /* Impossible to already be set? */
3432
3433       received_protocol =
3434         (sender_host_address ? protocols : protocols_local)
3435           [pextend + pauthed + (tls_in.active.sock >= 0 ? pcrpted:0)];
3436       *smtp_resp = *errmsg = US"235 Authentication succeeded";
3437       authenticated_by = au;
3438       break;
3439       }
3440
3441     /* Authentication succeeded, but we failed to expand the set_id string.
3442     Treat this as a temporary error. */
3443
3444     auth_defer_msg = expand_string_message;
3445     /* Fall through */
3446
3447   case DEFER:
3448     if (set_id) authenticated_fail_id = string_copy_perm(set_id, TRUE);
3449     *smtp_resp = string_sprintf("435 Unable to authenticate at present%s",
3450       auth_defer_user_msg);
3451     *errmsg = string_sprintf("435 Unable to authenticate at present%s: %s",
3452       set_id, auth_defer_msg);
3453     break;
3454
3455   case BAD64:
3456     *smtp_resp = *errmsg = US"501 Invalid base64 data";
3457     break;
3458
3459   case CANCELLED:
3460     *smtp_resp = *errmsg = US"501 Authentication cancelled";
3461     break;
3462
3463   case UNEXPECTED:
3464     *smtp_resp = *errmsg = US"553 Initial data not expected";
3465     break;
3466
3467   case FAIL:
3468     if (set_id) authenticated_fail_id = string_copy_perm(set_id, TRUE);
3469     *smtp_resp = US"535 Incorrect authentication data";
3470     *errmsg = string_sprintf("535 Incorrect authentication data%s", set_id);
3471     break;
3472
3473   default:
3474     if (set_id) authenticated_fail_id = string_copy_perm(set_id, TRUE);
3475     *smtp_resp = US"435 Internal error";
3476     *errmsg = string_sprintf("435 Internal error%s: return %d from authentication "
3477       "check", set_id, rc);
3478     break;
3479   }
3480
3481 return rc;
3482 }
3483
3484
3485
3486
3487
3488 static int
3489 qualify_recipient(uschar ** recipient, uschar * smtp_cmd_data, uschar * tag)
3490 {
3491 int rd;
3492 if (f.allow_unqualified_recipient || strcmpic(*recipient, US"postmaster") == 0)
3493   {
3494   DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
3495     *recipient);
3496   rd = Ustrlen(recipient) + 1;
3497   /* deconst ok as *recipient was not const */
3498   *recipient = US rewrite_address_qualify(*recipient, TRUE);
3499   return rd;
3500   }
3501 smtp_printf("501 %s: recipient address must contain a domain\r\n", SP_NO_MORE,
3502   smtp_cmd_data);
3503 log_write(L_smtp_syntax_error,
3504   LOG_MAIN|LOG_REJECT, "unqualified %s rejected: <%s> %s%s",
3505   tag, *recipient, host_and_ident(TRUE), host_lookup_msg);
3506 return 0;
3507 }
3508
3509
3510
3511
3512 static void
3513 smtp_quit_handler(uschar ** user_msgp, uschar ** log_msgp)
3514 {
3515 HAD(SCH_QUIT);
3516 f.smtp_in_quit = TRUE;
3517 incomplete_transaction_log(US"QUIT");
3518 if (  acl_smtp_quit
3519    && acl_check(ACL_WHERE_QUIT, NULL, acl_smtp_quit, user_msgp, log_msgp)
3520         == ERROR)
3521     log_write(0, LOG_MAIN|LOG_PANIC, "ACL for QUIT returned ERROR: %s",
3522       *log_msgp);
3523
3524 #ifdef EXIM_TCP_CORK
3525 (void) setsockopt(fileno(smtp_out), IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3526 #endif
3527
3528 if (*user_msgp)
3529   smtp_respond(US"221", 3, SR_FINAL, *user_msgp);
3530 else
3531   smtp_printf("221 %s closing connection\r\n", SP_NO_MORE, smtp_active_hostname);
3532
3533 #ifdef SERVERSIDE_CLOSE_NOWAIT
3534 # ifndef DISABLE_TLS
3535 tls_close(NULL, TLS_SHUTDOWN_NOWAIT);
3536 # endif
3537
3538 log_close_event(US"by QUIT");
3539 #else
3540
3541 # ifndef DISABLE_TLS
3542 tls_close(NULL, TLS_SHUTDOWN_WAIT);
3543 # endif
3544
3545 log_close_event(US"by QUIT");
3546
3547 /* Pause, hoping client will FIN first so that they get the TIME_WAIT.
3548 The socket should become readble (though with no data) */
3549
3550 (void) poll_one_fd(fileno(smtp_in), POLLIN, 200);
3551 #endif  /*!SERVERSIDE_CLOSE_NOWAIT*/
3552 }
3553
3554
3555 static void
3556 smtp_rset_handler(void)
3557 {
3558 HAD(SCH_RSET);
3559 incomplete_transaction_log(US"RSET");
3560 smtp_printf("250 Reset OK\r\n", SP_NO_MORE);
3561 cmd_list[CL_RSET].is_mail_cmd = FALSE;
3562 if (chunking_state > CHUNKING_OFFERED)
3563   chunking_state = CHUNKING_OFFERED;
3564 }
3565
3566
3567 static int
3568 expand_mailmax(const uschar * s)
3569 {
3570 if (!(s = expand_cstring(s)))
3571   log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand smtp_accept_max_per_connection");
3572 return *s ? Uatoi(s) : 0;
3573 }
3574
3575 /*************************************************
3576 *       Initialize for SMTP incoming message     *
3577 *************************************************/
3578
3579 /* This function conducts the initial dialogue at the start of an incoming SMTP
3580 message, and builds a list of recipients. However, if the incoming message
3581 is part of a batch (-bS option) a separate function is called since it would
3582 be messy having tests splattered about all over this function. This function
3583 therefore handles the case where interaction is occurring. The input and output
3584 files are set up in smtp_in and smtp_out.
3585
3586 The global recipients_list is set to point to a vector of recipient_item
3587 blocks, whose number is given by recipients_count. This is extended by the
3588 receive_add_recipient() function. The global variable sender_address is set to
3589 the sender's address. The yield is +1 if a message has been successfully
3590 started, 0 if a QUIT command was encountered or the connection was refused from
3591 the particular host, or -1 if the connection was lost.
3592
3593 Argument: none
3594
3595 Returns:  > 0 message successfully started (reached DATA)
3596           = 0 QUIT read or end of file reached or call refused
3597           < 0 lost connection
3598 */
3599
3600 int
3601 smtp_setup_msg(void)
3602 {
3603 int done = 0;
3604 BOOL toomany = FALSE;
3605 BOOL discarded = FALSE;
3606 BOOL last_was_rej_mail = FALSE;
3607 BOOL last_was_rcpt = FALSE;
3608 rmark reset_point = store_mark();
3609
3610 DEBUG(D_receive) debug_printf("smtp_setup_msg entered\n");
3611
3612 /* Reset for start of new message. We allow one RSET not to be counted as a
3613 nonmail command, for those MTAs that insist on sending it between every
3614 message. Ditto for EHLO/HELO and for STARTTLS, to allow for going in and out of
3615 TLS between messages (an Exim client may do this if it has messages queued up
3616 for the host). Note: we do NOT reset AUTH at this point. */
3617
3618 reset_point = smtp_reset(reset_point);
3619 message_ended = END_NOTSTARTED;
3620
3621 chunking_state = f.chunking_offered ? CHUNKING_OFFERED : CHUNKING_NOT_OFFERED;
3622
3623 cmd_list[CL_RSET].is_mail_cmd = TRUE;
3624 cmd_list[CL_HELO].is_mail_cmd = TRUE;
3625 cmd_list[CL_EHLO].is_mail_cmd = TRUE;
3626 #ifndef DISABLE_TLS
3627 cmd_list[CL_STLS].is_mail_cmd = TRUE;
3628 #endif
3629
3630 if (lwr_receive_getc != NULL)
3631   {
3632   /* This should have already happened, but if we've gotten confused,
3633   force a reset here. */
3634   DEBUG(D_receive) debug_printf("WARNING: smtp_setup_msg had to restore receive functions to lowers\n");
3635   bdat_pop_receive_functions();
3636   }
3637
3638 /* Set the local signal handler for SIGTERM - it tries to end off tidily */
3639
3640 had_command_sigterm = 0;
3641 os_non_restarting_signal(SIGTERM, command_sigterm_handler);
3642
3643 /* Batched SMTP is handled in a different function. */
3644
3645 if (smtp_batched_input) return smtp_setup_batch_msg();
3646
3647 #ifdef TCP_QUICKACK
3648 if (smtp_in)            /* Avoid pure-ACKs while in cmd pingpong phase */
3649   (void) setsockopt(fileno(smtp_in), IPPROTO_TCP, TCP_QUICKACK,
3650           US &off, sizeof(off));
3651 #endif
3652
3653 /* Deal with SMTP commands. This loop is exited by setting done to a POSITIVE
3654 value. The values are 2 larger than the required yield of the function. */
3655
3656 while (done <= 0)
3657   {
3658   const uschar **argv;
3659   uschar *etrn_command;
3660   uschar *etrn_serialize_key;
3661   uschar *errmess;
3662   uschar *log_msg, *smtp_code;
3663   uschar *user_msg = NULL;
3664   uschar *recipient = NULL;
3665   uschar *hello = NULL;
3666   uschar *s, *ss;
3667   BOOL was_rej_mail = FALSE;
3668   BOOL was_rcpt = FALSE;
3669   void (*oldsignal)(int);
3670   pid_t pid;
3671   int start, end, sender_domain, recipient_domain;
3672   int rc;
3673   int c;
3674   uschar *orcpt = NULL;
3675   int dsn_flags;
3676   gstring * g;
3677
3678 #ifdef AUTH_TLS
3679   /* Check once per STARTTLS or SSL-on-connect for a TLS AUTH */
3680   if (  tls_in.active.sock >= 0
3681      && tls_in.peercert
3682      && tls_in.certificate_verified
3683      && cmd_list[CL_TLAU].is_mail_cmd
3684      )
3685     {
3686     cmd_list[CL_TLAU].is_mail_cmd = FALSE;
3687
3688     for (auth_instance * au = auths; au; au = au->next)
3689       if (strcmpic(US"tls", au->driver_name) == 0)
3690         {
3691         if (  acl_smtp_auth
3692            && (rc = acl_check(ACL_WHERE_AUTH, NULL, acl_smtp_auth,
3693                       &user_msg, &log_msg)) != OK
3694            )
3695           done = smtp_handle_acl_fail(ACL_WHERE_AUTH, rc, user_msg, log_msg);
3696         else
3697           {
3698           smtp_cmd_data = NULL;
3699
3700           if (smtp_in_auth(au, &s, &ss) == OK)
3701             { DEBUG(D_auth) debug_printf("tls auth succeeded\n"); }
3702           else
3703             {
3704             DEBUG(D_auth) debug_printf("tls auth not succeeded\n");
3705 #ifndef DISABLE_EVENT
3706              {
3707               uschar * save_name = sender_host_authenticated, * logmsg;
3708               sender_host_authenticated = au->name;
3709               if ((logmsg = event_raise(event_action, US"auth:fail", s, NULL)))
3710                 log_write(0, LOG_MAIN, "%s", logmsg);
3711               sender_host_authenticated = save_name;
3712              }
3713 #endif
3714             }
3715           }
3716         break;
3717         }
3718     }
3719 #endif
3720
3721   switch(smtp_read_command(
3722 #ifndef DISABLE_PIPE_CONNECT
3723           !fl.pipe_connect_acceptable,
3724 #else
3725           TRUE,
3726 #endif
3727           GETC_BUFFER_UNLIMITED))
3728     {
3729     /* The AUTH command is not permitted to occur inside a transaction, and may
3730     occur successfully only once per connection. Actually, that isn't quite
3731     true. When TLS is started, all previous information about a connection must
3732     be discarded, so a new AUTH is permitted at that time.
3733
3734     AUTH may only be used when it has been advertised. However, it seems that
3735     there are clients that send AUTH when it hasn't been advertised, some of
3736     them even doing this after HELO. And there are MTAs that accept this. Sigh.
3737     So there's a get-out that allows this to happen.
3738
3739     AUTH is initially labelled as a "nonmail command" so that one occurrence
3740     doesn't get counted. We change the label here so that multiple failing
3741     AUTHS will eventually hit the nonmail threshold. */
3742
3743     case AUTH_CMD:
3744       HAD(SCH_AUTH);
3745       authentication_failed = TRUE;
3746       cmd_list[CL_AUTH].is_mail_cmd = FALSE;
3747
3748       if (!fl.auth_advertised && !f.allow_auth_unadvertised)
3749         {
3750         done = synprot_error(L_smtp_protocol_error, 503, NULL,
3751           US"AUTH command used when not advertised");
3752         break;
3753         }
3754       if (sender_host_authenticated)
3755         {
3756         done = synprot_error(L_smtp_protocol_error, 503, NULL,
3757           US"already authenticated");
3758         break;
3759         }
3760       if (sender_address)
3761         {
3762         done = synprot_error(L_smtp_protocol_error, 503, NULL,
3763           US"not permitted in mail transaction");
3764         break;
3765         }
3766
3767       /* Check the ACL */
3768
3769       if (  acl_smtp_auth
3770          && (rc = acl_check(ACL_WHERE_AUTH, NULL, acl_smtp_auth,
3771                     &user_msg, &log_msg)) != OK
3772          )
3773         {
3774         done = smtp_handle_acl_fail(ACL_WHERE_AUTH, rc, user_msg, log_msg);
3775         break;
3776         }
3777
3778       /* Find the name of the requested authentication mechanism. */
3779
3780       s = smtp_cmd_data;
3781       for (; (c = *smtp_cmd_data) && !isspace(c); smtp_cmd_data++)
3782         if (!isalnum(c) && c != '-' && c != '_')
3783           {
3784           done = synprot_error(L_smtp_syntax_error, 501, NULL,
3785             US"invalid character in authentication mechanism name");
3786           goto COMMAND_LOOP;
3787           }
3788
3789       /* If not at the end of the line, we must be at white space. Terminate the
3790       name and move the pointer on to any data that may be present. */
3791
3792       if (*smtp_cmd_data)
3793         {
3794         *smtp_cmd_data++ = 0;
3795         while (isspace(*smtp_cmd_data)) smtp_cmd_data++;
3796         }
3797
3798       /* Search for an authentication mechanism which is configured for use
3799       as a server and which has been advertised (unless, sigh, allow_auth_
3800       unadvertised is set). */
3801
3802         {
3803         auth_instance * au;
3804         uschar * smtp_resp, * errmsg;
3805
3806         for (au = auths; au; au = au->next)
3807           if (strcmpic(s, au->public_name) == 0 && au->server &&
3808               (au->advertised || f.allow_auth_unadvertised))
3809             break;
3810
3811         if (au)
3812           {
3813           int rc = smtp_in_auth(au, &smtp_resp, &errmsg);
3814
3815           smtp_printf("%s\r\n", SP_NO_MORE, smtp_resp);
3816           if (rc != OK)
3817             {
3818             uschar * logmsg = NULL;
3819 #ifndef DISABLE_EVENT
3820              {uschar * save_name = sender_host_authenticated;
3821               sender_host_authenticated = au->name;
3822               logmsg = event_raise(event_action, US"auth:fail", smtp_resp, NULL);
3823               sender_host_authenticated = save_name;
3824              }
3825 #endif
3826             if (logmsg)
3827               log_write(0, LOG_MAIN|LOG_REJECT, "%s", logmsg);
3828             else
3829               log_write(0, LOG_MAIN|LOG_REJECT, "%s authenticator failed for %s: %s",
3830                 au->name, host_and_ident(FALSE), errmsg);
3831             }
3832           }
3833         else
3834           done = synprot_error(L_smtp_protocol_error, 504, NULL,
3835             string_sprintf("%s authentication mechanism not supported", s));
3836         }
3837
3838       break;  /* AUTH_CMD */
3839
3840     /* The HELO/EHLO commands are permitted to appear in the middle of a
3841     session as well as at the beginning. They have the effect of a reset in
3842     addition to their other functions. Their absence at the start cannot be
3843     taken to be an error.
3844
3845     RFC 2821 says:
3846
3847       If the EHLO command is not acceptable to the SMTP server, 501, 500,
3848       or 502 failure replies MUST be returned as appropriate.  The SMTP
3849       server MUST stay in the same state after transmitting these replies
3850       that it was in before the EHLO was received.
3851
3852     Therefore, we do not do the reset until after checking the command for
3853     acceptability. This change was made for Exim release 4.11. Previously
3854     it did the reset first. */
3855
3856     case HELO_CMD:
3857       HAD(SCH_HELO);
3858       hello = US"HELO";
3859       fl.esmtp = FALSE;
3860       goto HELO_EHLO;
3861
3862     case EHLO_CMD:
3863       HAD(SCH_EHLO);
3864       hello = US"EHLO";
3865       fl.esmtp = TRUE;
3866
3867     HELO_EHLO:      /* Common code for HELO and EHLO */
3868       cmd_list[CL_HELO].is_mail_cmd = FALSE;
3869       cmd_list[CL_EHLO].is_mail_cmd = FALSE;
3870
3871       /* Reject the HELO if its argument was invalid or non-existent. A
3872       successful check causes the argument to be saved in malloc store. */
3873
3874       if (!check_helo(smtp_cmd_data))
3875         {
3876         smtp_printf("501 Syntactically invalid %s argument(s)\r\n", SP_NO_MORE, hello);
3877
3878         log_write(0, LOG_MAIN|LOG_REJECT, "rejected %s from %s: syntactically "
3879           "invalid argument(s): %s", hello, host_and_ident(FALSE),
3880           *smtp_cmd_argument == 0 ? US"(no argument given)" :
3881                              string_printing(smtp_cmd_argument));
3882
3883         if (++synprot_error_count > smtp_max_synprot_errors)
3884           {
3885           log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
3886             "syntax or protocol errors (last command was \"%s\", %Y)",
3887             host_and_ident(FALSE), string_printing(smtp_cmd_buffer),
3888             s_connhad_log(NULL)
3889             );
3890           done = 1;
3891           }
3892
3893         break;
3894         }
3895
3896       /* If sender_host_unknown is true, we have got here via the -bs interface,
3897       not called from inetd. Otherwise, we are running an IP connection and the
3898       host address will be set. If the helo name is the primary name of this
3899       host and we haven't done a reverse lookup, force one now. If helo_verify_required
3900       is set, ensure that the HELO name matches the actual host. If helo_verify
3901       is set, do the same check, but softly. */
3902
3903       if (!f.sender_host_unknown)
3904         {
3905         BOOL old_helo_verified = f.helo_verified;
3906         uschar *p = smtp_cmd_data;
3907
3908         while (*p != 0 && !isspace(*p)) { *p = tolower(*p); p++; }
3909         *p = 0;
3910
3911         /* Force a reverse lookup if HELO quoted something in helo_lookup_domains
3912         because otherwise the log can be confusing. */
3913
3914         if (  !sender_host_name
3915            && match_isinlist(sender_helo_name, CUSS &helo_lookup_domains, 0,
3916                 &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
3917           (void)host_name_lookup();
3918
3919         /* Rebuild the fullhost info to include the HELO name (and the real name
3920         if it was looked up.) */
3921
3922         host_build_sender_fullhost();  /* Rebuild */
3923         set_process_info("handling%s incoming connection from %s",
3924           tls_in.active.sock >= 0 ? " TLS" : "", host_and_ident(FALSE));
3925
3926         /* Verify if configured. This doesn't give much security, but it does
3927         make some people happy to be able to do it. If helo_verify_required is set,
3928         (host matches helo_verify_hosts) failure forces rejection. If helo_verify
3929         is set (host matches helo_try_verify_hosts), it does not. This is perhaps
3930         now obsolescent, since the verification can now be requested selectively
3931         at ACL time. */
3932
3933         f.helo_verified = f.helo_verify_failed = sender_helo_dnssec = FALSE;
3934         if (fl.helo_verify_required || fl.helo_verify)
3935           {
3936           BOOL tempfail = !smtp_verify_helo();
3937           if (!f.helo_verified)
3938             {
3939             if (fl.helo_verify_required)
3940               {
3941               smtp_printf("%d %s argument does not match calling host\r\n", SP_NO_MORE,
3942                 tempfail? 451 : 550, hello);
3943               log_write(0, LOG_MAIN|LOG_REJECT, "%srejected \"%s %s\" from %s",
3944                 tempfail? "temporarily " : "",
3945                 hello, sender_helo_name, host_and_ident(FALSE));
3946               f.helo_verified = old_helo_verified;
3947               break;                   /* End of HELO/EHLO processing */
3948               }
3949             HDEBUG(D_all) debug_printf("%s verification failed but host is in "
3950               "helo_try_verify_hosts\n", hello);
3951             }
3952           }
3953         }
3954
3955 #ifdef SUPPORT_SPF
3956       /* set up SPF context */
3957       spf_conn_init(sender_helo_name, sender_host_address);
3958 #endif
3959
3960       /* Apply an ACL check if one is defined; afterwards, recheck
3961       synchronization in case the client started sending in a delay. */
3962
3963       if (acl_smtp_helo)
3964         if ((rc = acl_check(ACL_WHERE_HELO, NULL, acl_smtp_helo,
3965                   &user_msg, &log_msg)) != OK)
3966           {
3967           done = smtp_handle_acl_fail(ACL_WHERE_HELO, rc, user_msg, log_msg);
3968           sender_helo_name = NULL;
3969           host_build_sender_fullhost();  /* Rebuild */
3970           break;
3971           }
3972 #ifndef DISABLE_PIPE_CONNECT
3973         else if (!fl.pipe_connect_acceptable && !check_sync())
3974 #else
3975         else if (!check_sync())
3976 #endif
3977           goto SYNC_FAILURE;
3978
3979       /* Generate an OK reply. The default string includes the ident if present,
3980       and also the IP address if present. Reflecting back the ident is intended
3981       as a deterrent to mail forgers. For maximum efficiency, and also because
3982       some broken systems expect each response to be in a single packet, arrange
3983       that the entire reply is sent in one write(). */
3984
3985       fl.auth_advertised = FALSE;
3986       f.smtp_in_pipelining_advertised = FALSE;
3987 #ifndef DISABLE_TLS
3988       fl.tls_advertised = FALSE;
3989 #endif
3990       fl.dsn_advertised = FALSE;
3991 #ifdef SUPPORT_I18N
3992       fl.smtputf8_advertised = FALSE;
3993 #endif
3994
3995       /* Expand the per-connection message count limit option */
3996       smtp_mailcmd_max = expand_mailmax(smtp_accept_max_per_connection);
3997
3998       smtp_code = US"250 ";        /* Default response code plus space*/
3999       if (!user_msg)
4000         {
4001         /* sender_host_name below will be tainted, so save on copy when we hit it */
4002         g = string_get_tainted(24, GET_TAINTED);
4003         g = string_fmt_append(g, "%.3s %s Hello %s%s%s",
4004           smtp_code,
4005           smtp_active_hostname,
4006           sender_ident ? sender_ident : US"",
4007           sender_ident ? US" at " : US"",
4008           sender_host_name ? sender_host_name : sender_helo_name);
4009
4010         if (sender_host_address)
4011           g = string_fmt_append(g, " [%s]", sender_host_address);
4012         }
4013
4014       /* A user-supplied EHLO greeting may not contain more than one line. Note
4015       that the code returned by smtp_message_code() includes the terminating
4016       whitespace character. */
4017
4018       else
4019         {
4020         char * ss;
4021         int codelen = 4;
4022         smtp_message_code(&smtp_code, &codelen, &user_msg, NULL, TRUE);
4023         s = string_sprintf("%.*s%s", codelen, smtp_code, user_msg);
4024         if ((ss = strpbrk(CS s, "\r\n")) != NULL)
4025           {
4026           log_write(0, LOG_MAIN|LOG_PANIC, "EHLO/HELO response must not contain "
4027             "newlines: message truncated: %s", string_printing(s));
4028           *ss = 0;
4029           }
4030         g = string_cat(NULL, s);
4031         }
4032
4033       g = string_catn(g, US"\r\n", 2);
4034
4035       /* If we received EHLO, we must create a multiline response which includes
4036       the functions supported. */
4037
4038       if (fl.esmtp)
4039         {
4040         g->s[3] = '-';  /* overwrite the space after the SMTP response code */
4041
4042         /* I'm not entirely happy with this, as an MTA is supposed to check
4043         that it has enough room to accept a message of maximum size before
4044         it sends this. However, there seems little point in not sending it.
4045         The actual size check happens later at MAIL FROM time. By postponing it
4046         till then, VRFY and EXPN can be used after EHLO when space is short. */
4047
4048         if (thismessage_size_limit > 0)
4049           g = string_fmt_append(g, "%.3s-SIZE %d\r\n", smtp_code,
4050             thismessage_size_limit);
4051         else
4052           {
4053           g = string_catn(g, smtp_code, 3);
4054           g = string_catn(g, US"-SIZE\r\n", 7);
4055           }
4056
4057 #ifndef DISABLE_ESMTP_LIMITS
4058         if (  (smtp_mailcmd_max > 0 || recipients_max)
4059            && verify_check_host(&limits_advertise_hosts) == OK)
4060           {
4061           g = string_fmt_append(g, "%.3s-LIMITS", smtp_code);
4062           if (smtp_mailcmd_max > 0)
4063             g = string_fmt_append(g, " MAILMAX=%d", smtp_mailcmd_max);
4064           if (recipients_max)
4065             g = string_fmt_append(g, " RCPTMAX=%d", recipients_max);
4066           g = string_catn(g, US"\r\n", 2);
4067           }
4068 #endif
4069
4070         /* Exim does not do protocol conversion or data conversion. It is 8-bit
4071         clean; if it has an 8-bit character in its hand, it just sends it. It
4072         cannot therefore specify 8BITMIME and remain consistent with the RFCs.
4073         However, some users want this option simply in order to stop MUAs
4074         mangling messages that contain top-bit-set characters. It is therefore
4075         provided as an option. */
4076
4077         if (accept_8bitmime)
4078           {
4079           g = string_catn(g, smtp_code, 3);
4080           g = string_catn(g, US"-8BITMIME\r\n", 11);
4081           }
4082
4083         /* Advertise DSN support if configured to do so. */
4084         if (verify_check_host(&dsn_advertise_hosts) != FAIL)
4085           {
4086           g = string_catn(g, smtp_code, 3);
4087           g = string_catn(g, US"-DSN\r\n", 6);
4088           fl.dsn_advertised = TRUE;
4089           }
4090
4091         /* Advertise ETRN/VRFY/EXPN if there's are ACL checking whether a host is
4092         permitted to issue them; a check is made when any host actually tries. */
4093
4094         if (acl_smtp_etrn)
4095           {
4096           g = string_catn(g, smtp_code, 3);
4097           g = string_catn(g, US"-ETRN\r\n", 7);
4098           }
4099         if (acl_smtp_vrfy)
4100           {
4101           g = string_catn(g, smtp_code, 3);
4102           g = string_catn(g, US"-VRFY\r\n", 7);
4103           }
4104         if (acl_smtp_expn)
4105           {
4106           g = string_catn(g, smtp_code, 3);
4107           g = string_catn(g, US"-EXPN\r\n", 7);
4108           }
4109
4110         /* Exim is quite happy with pipelining, so let the other end know that
4111         it is safe to use it, unless advertising is disabled. */
4112
4113         if (  f.pipelining_enable
4114            && verify_check_host(&pipelining_advertise_hosts) == OK)
4115           {
4116           g = string_catn(g, smtp_code, 3);
4117           g = string_catn(g, US"-PIPELINING\r\n", 13);
4118           sync_cmd_limit = NON_SYNC_CMD_PIPELINING;
4119           f.smtp_in_pipelining_advertised = TRUE;
4120
4121 #ifndef DISABLE_PIPE_CONNECT
4122           if (fl.pipe_connect_acceptable)
4123             {
4124             f.smtp_in_early_pipe_advertised = TRUE;
4125             g = string_catn(g, smtp_code, 3);
4126             g = string_catn(g, US"-" EARLY_PIPE_FEATURE_NAME "\r\n", EARLY_PIPE_FEATURE_LEN+3);
4127             }
4128 #endif
4129           }
4130
4131
4132         /* If any server authentication mechanisms are configured, advertise
4133         them if the current host is in auth_advertise_hosts. The problem with
4134         advertising always is that some clients then require users to
4135         authenticate (and aren't configurable otherwise) even though it may not
4136         be necessary (e.g. if the host is in host_accept_relay).
4137
4138         RFC 2222 states that SASL mechanism names contain only upper case
4139         letters, so output the names in upper case, though we actually recognize
4140         them in either case in the AUTH command. */
4141
4142         if (  auths
4143 #ifdef AUTH_TLS
4144            && !sender_host_authenticated
4145 #endif
4146            && verify_check_host(&auth_advertise_hosts) == OK
4147            )
4148           {
4149           BOOL first = TRUE;
4150           for (auth_instance * au = auths; au; au = au->next)
4151             {
4152             au->advertised = FALSE;
4153             if (au->server)
4154               {
4155               DEBUG(D_auth+D_expand) debug_printf_indent(
4156                 "Evaluating advertise_condition for %s %s athenticator\n",
4157                 au->name, au->public_name);
4158               if (  !au->advertise_condition
4159                  || expand_check_condition(au->advertise_condition, au->name,
4160                         US"authenticator")
4161                  )
4162                 {
4163                 int saveptr;
4164                 if (first)
4165                   {
4166                   g = string_catn(g, smtp_code, 3);
4167                   g = string_catn(g, US"-AUTH", 5);
4168                   first = FALSE;
4169                   fl.auth_advertised = TRUE;
4170                   }
4171                 saveptr = gstring_length(g);
4172                 g = string_catn(g, US" ", 1);
4173                 g = string_cat(g, au->public_name);
4174                 while (++saveptr < g->ptr) g->s[saveptr] = toupper(g->s[saveptr]);
4175                 au->advertised = TRUE;
4176                 }
4177               }
4178             }
4179
4180           if (!first) g = string_catn(g, US"\r\n", 2);
4181           }
4182
4183         /* RFC 3030 CHUNKING */
4184
4185         if (verify_check_host(&chunking_advertise_hosts) != FAIL)
4186           {
4187           g = string_catn(g, smtp_code, 3);
4188           g = string_catn(g, US"-CHUNKING\r\n", 11);
4189           f.chunking_offered = TRUE;
4190           chunking_state = CHUNKING_OFFERED;
4191           }
4192
4193         /* Advertise TLS (Transport Level Security) aka SSL (Secure Socket Layer)
4194         if it has been included in the binary, and the host matches
4195         tls_advertise_hosts. We must *not* advertise if we are already in a
4196         secure connection. */
4197
4198 #ifndef DISABLE_TLS
4199         if (tls_in.active.sock < 0 &&
4200             verify_check_host(&tls_advertise_hosts) != FAIL)
4201           {
4202           g = string_catn(g, smtp_code, 3);
4203           g = string_catn(g, US"-STARTTLS\r\n", 11);
4204           fl.tls_advertised = TRUE;
4205           }
4206 #endif
4207 #ifdef EXPERIMENTAL_XCLIENT
4208         if (proxy_session || verify_check_host(&hosts_xclient) != FAIL)
4209           {
4210           g = string_catn(g, smtp_code, 3);
4211           g = xclient_smtp_advertise_str(g);
4212           }
4213 #endif
4214 #ifndef DISABLE_PRDR
4215         /* Per Recipient Data Response, draft by Eric A. Hall extending RFC */
4216         if (prdr_enable)
4217           {
4218           g = string_catn(g, smtp_code, 3);
4219           g = string_catn(g, US"-PRDR\r\n", 7);
4220           }
4221 #endif
4222
4223 #ifdef SUPPORT_I18N
4224         if (  accept_8bitmime
4225            && verify_check_host(&smtputf8_advertise_hosts) != FAIL)
4226           {
4227           g = string_catn(g, smtp_code, 3);
4228           g = string_catn(g, US"-SMTPUTF8\r\n", 11);
4229           fl.smtputf8_advertised = TRUE;
4230           }
4231 #endif
4232
4233         /* Finish off the multiline reply with one that is always available. */
4234
4235         g = string_catn(g, smtp_code, 3);
4236         g = string_catn(g, US" HELP\r\n", 7);
4237         }
4238
4239       /* Terminate the string (for debug), write it, and note that HELO/EHLO
4240       has been seen. */
4241
4242        {
4243         uschar * ehlo_resp;
4244         int len = len_string_from_gstring(g, &ehlo_resp);
4245 #ifndef DISABLE_TLS
4246         if (tls_in.active.sock >= 0)
4247           (void) tls_write(NULL, ehlo_resp, len,
4248 # ifndef DISABLE_PIPE_CONNECT
4249                           fl.pipe_connect_acceptable && pipeline_connect_sends());
4250 # else
4251                           FALSE);
4252 # endif
4253         else
4254 #endif
4255           (void) fwrite(ehlo_resp, 1, len, smtp_out);
4256
4257         DEBUG(D_receive) for (const uschar * t, * s = ehlo_resp;
4258                               s && (t = Ustrchr(s, '\r'));
4259                               s = t + 2)                                /* \r\n */
4260             debug_printf("%s %.*s\n",
4261                           s == g->s ? "SMTP>>" : "      ",
4262                           (int)(t - s), s);
4263         fl.helo_seen = TRUE;
4264        }
4265
4266       /* Reset the protocol and the state, abandoning any previous message. */
4267       received_protocol =
4268         (sender_host_address ? protocols : protocols_local)
4269           [ (fl.esmtp
4270             ? pextend + (sender_host_authenticated ? pauthed : 0)
4271             : pnormal)
4272           + (tls_in.active.sock >= 0 ? pcrpted : 0)
4273           ];
4274       cancel_cutthrough_connection(TRUE, US"sent EHLO response");
4275       reset_point = smtp_reset(reset_point);
4276       toomany = FALSE;
4277       break;   /* HELO/EHLO */
4278
4279 #ifdef EXPERIMENTAL_XCLIENT
4280     case XCLIENT_CMD:
4281       {
4282       BOOL fatal = fl.helo_seen;
4283       uschar * errmsg;
4284       int resp;
4285
4286       HAD(SCH_XCLIENT);
4287       smtp_mailcmd_count++;
4288
4289       if ((errmsg = xclient_smtp_command(smtp_cmd_data, &resp, &fatal)))
4290         if (fatal)
4291           done = synprot_error(L_smtp_syntax_error, resp, NULL, errmsg);
4292         else
4293           {
4294           smtp_printf("%d %s\r\n", SP_NO_MORE, resp, errmsg);
4295           log_write(0, LOG_MAIN|LOG_REJECT, "rejected XCLIENT from %s: %s",
4296             host_and_ident(FALSE), errmsg);
4297           }
4298       else
4299         {
4300         fl.helo_seen = FALSE;                   /* Require another EHLO */
4301         smtp_code = string_sprintf("%d", resp);
4302
4303         /*XXX unclear in spec. if this needs to be an ESMTP banner,
4304         nor whether we get the original client's HELO after (or a proxy fake).
4305         We require that we do; the following HELO/EHLO handling will set
4306         sender_helo_name as normal. */
4307
4308         smtp_printf("%s XCLIENT success\r\n", SP_NO_MORE, smtp_code);
4309         }
4310       break; /* XCLIENT */
4311       }
4312 #endif
4313
4314
4315     /* The MAIL command requires an address as an operand. All we do
4316     here is to parse it for syntactic correctness. The form "<>" is
4317     a special case which converts into an empty string. The start/end
4318     pointers in the original are not used further for this address, as
4319     it is the canonical extracted address which is all that is kept. */
4320
4321     case MAIL_CMD:
4322       HAD(SCH_MAIL);
4323       smtp_mailcmd_count++;              /* Count for limit and ratelimit */
4324       message_start();
4325       was_rej_mail = TRUE;               /* Reset if accepted */
4326       env_mail_type_t * mail_args;       /* Sanity check & validate args */
4327
4328       if (!fl.helo_seen)
4329         if (  fl.helo_verify_required
4330            || verify_check_host(&hosts_require_helo) == OK)
4331           {
4332           smtp_printf("503 HELO or EHLO required\r\n", SP_NO_MORE);
4333           log_write(0, LOG_MAIN|LOG_REJECT, "rejected MAIL from %s: no "
4334             "HELO/EHLO given", host_and_ident(FALSE));
4335           break;
4336           }
4337         else if (smtp_mailcmd_max < 0)
4338           smtp_mailcmd_max = expand_mailmax(smtp_accept_max_per_connection);
4339
4340       if (sender_address)
4341         {
4342         done = synprot_error(L_smtp_protocol_error, 503, NULL,
4343           US"sender already given");
4344         break;
4345         }
4346
4347       if (!*smtp_cmd_data)
4348         {
4349         done = synprot_error(L_smtp_protocol_error, 501, NULL,
4350           US"MAIL must have an address operand");
4351         break;
4352         }
4353
4354       /* Check to see if the limit for messages per connection would be
4355       exceeded by accepting further messages. */
4356
4357       if (smtp_mailcmd_max > 0 && smtp_mailcmd_count > smtp_mailcmd_max)
4358         {
4359         smtp_printf("421 too many messages in this connection\r\n", SP_NO_MORE);
4360         log_write(0, LOG_MAIN|LOG_REJECT, "rejected MAIL command %s: too many "
4361           "messages in one connection", host_and_ident(TRUE));
4362         break;
4363         }
4364
4365       /* Reset for start of message - even if this is going to fail, we
4366       obviously need to throw away any previous data. */
4367
4368       cancel_cutthrough_connection(TRUE, US"MAIL received");
4369       reset_point = smtp_reset(reset_point);
4370       toomany = FALSE;
4371       sender_data = recipient_data = NULL;
4372
4373       /* Loop, checking for ESMTP additions to the MAIL FROM command. */
4374
4375       if (fl.esmtp) for(;;)
4376         {
4377         uschar *name, *value, *end;
4378         unsigned long int size;
4379         BOOL arg_error = FALSE;
4380
4381         if (!extract_option(&name, &value)) break;
4382
4383         for (mail_args = env_mail_type_list;
4384              mail_args->value != ENV_MAIL_OPT_NULL;
4385              mail_args++
4386             )
4387           if (strcmpic(name, mail_args->name) == 0)
4388             break;
4389         if (mail_args->need_value && strcmpic(value, US"") == 0)
4390           break;
4391
4392         switch(mail_args->value)
4393           {
4394           /* Handle SIZE= by reading the value. We don't do the check till later,
4395           in order to be able to log the sender address on failure. */
4396           case ENV_MAIL_OPT_SIZE:
4397             if (((size = Ustrtoul(value, &end, 10)), *end == 0))
4398               {
4399               if ((size == ULONG_MAX && errno == ERANGE) || size > INT_MAX)
4400                 size = INT_MAX;
4401               message_size = (int)size;
4402               }
4403             else
4404               arg_error = TRUE;
4405             break;
4406
4407           /* If this session was initiated with EHLO and accept_8bitmime is set,
4408           Exim will have indicated that it supports the BODY=8BITMIME option. In
4409           fact, it does not support this according to the RFCs, in that it does not
4410           take any special action for forwarding messages containing 8-bit
4411           characters. That is why accept_8bitmime is not the default setting, but
4412           some sites want the action that is provided. We recognize both "8BITMIME"
4413           and "7BIT" as body types, but take no action. */
4414           case ENV_MAIL_OPT_BODY:
4415             if (accept_8bitmime) {
4416               if (strcmpic(value, US"8BITMIME") == 0)
4417                 body_8bitmime = 8;
4418               else if (strcmpic(value, US"7BIT") == 0)
4419                 body_8bitmime = 7;
4420               else
4421                 {
4422                 body_8bitmime = 0;
4423                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4424                   US"invalid data for BODY");
4425                 goto COMMAND_LOOP;
4426                 }
4427               DEBUG(D_receive) debug_printf("8BITMIME: %d\n", body_8bitmime);
4428               break;
4429             }
4430             arg_error = TRUE;
4431             break;
4432
4433           /* Handle the two DSN options, but only if configured to do so (which
4434           will have caused "DSN" to be given in the EHLO response). The code itself
4435           is included only if configured in at build time. */
4436
4437           case ENV_MAIL_OPT_RET:
4438             if (fl.dsn_advertised)
4439               {
4440               /* Check if RET has already been set */
4441               if (dsn_ret > 0)
4442                 {
4443                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4444                   US"RET can be specified once only");
4445                 goto COMMAND_LOOP;
4446                 }
4447               dsn_ret = strcmpic(value, US"HDRS") == 0
4448                 ? dsn_ret_hdrs
4449                 : strcmpic(value, US"FULL") == 0
4450                 ? dsn_ret_full
4451                 : 0;
4452               DEBUG(D_receive) debug_printf("DSN_RET: %d\n", dsn_ret);
4453               /* Check for invalid invalid value, and exit with error */
4454               if (dsn_ret == 0)
4455                 {
4456                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4457                   US"Value for RET is invalid");
4458                 goto COMMAND_LOOP;
4459                 }
4460               }
4461             break;
4462           case ENV_MAIL_OPT_ENVID:
4463             if (fl.dsn_advertised)
4464               {
4465               /* Check if the dsn envid has been already set */
4466               if (dsn_envid)
4467                 {
4468                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4469                   US"ENVID can be specified once only");
4470                 goto COMMAND_LOOP;
4471                 }
4472               dsn_envid = string_copy(value);
4473               DEBUG(D_receive) debug_printf("DSN_ENVID: %s\n", dsn_envid);
4474               }
4475             break;
4476
4477           /* Handle the AUTH extension. If the value given is not "<>" and either
4478           the ACL says "yes" or there is no ACL but the sending host is
4479           authenticated, we set it up as the authenticated sender. However, if the
4480           authenticator set a condition to be tested, we ignore AUTH on MAIL unless
4481           the condition is met. The value of AUTH is an xtext, which means that +,
4482           = and cntrl chars are coded in hex; however "<>" is unaffected by this
4483           coding. */
4484           case ENV_MAIL_OPT_AUTH:
4485             if (Ustrcmp(value, "<>") != 0)
4486               {
4487               int rc;
4488               uschar *ignore_msg;
4489
4490               if (auth_xtextdecode(value, &authenticated_sender) < 0)
4491                 {
4492                 /* Put back terminator overrides for error message */
4493                 value[-1] = '=';
4494                 name[-1] = ' ';
4495                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4496                   US"invalid data for AUTH");
4497                 goto COMMAND_LOOP;
4498                 }
4499               if (!acl_smtp_mailauth)
4500                 {
4501                 ignore_msg = US"client not authenticated";
4502                 rc = sender_host_authenticated ? OK : FAIL;
4503                 }
4504               else
4505                 {
4506                 ignore_msg = US"rejected by ACL";
4507                 rc = acl_check(ACL_WHERE_MAILAUTH, NULL, acl_smtp_mailauth,
4508                   &user_msg, &log_msg);
4509                 }
4510
4511               switch (rc)
4512                 {
4513                 case OK:
4514                   if (authenticated_by == NULL ||
4515                       authenticated_by->mail_auth_condition == NULL ||
4516                       expand_check_condition(authenticated_by->mail_auth_condition,
4517                           authenticated_by->name, US"authenticator"))
4518                     break;     /* Accept the AUTH */
4519
4520                   ignore_msg = US"server_mail_auth_condition failed";
4521                   if (authenticated_id != NULL)
4522                     ignore_msg = string_sprintf("%s: authenticated ID=\"%s\"",
4523                       ignore_msg, authenticated_id);
4524
4525                 /* Fall through */
4526
4527                 case FAIL:
4528                   authenticated_sender = NULL;
4529                   log_write(0, LOG_MAIN, "ignoring AUTH=%s from %s (%s)",
4530                     value, host_and_ident(TRUE), ignore_msg);
4531                   break;
4532
4533                 /* Should only get DEFER or ERROR here. Put back terminator
4534                 overrides for error message */
4535
4536                 default:
4537                   value[-1] = '=';
4538                   name[-1] = ' ';
4539                   (void)smtp_handle_acl_fail(ACL_WHERE_MAILAUTH, rc, user_msg,
4540                     log_msg);
4541                   goto COMMAND_LOOP;
4542                 }
4543               }
4544               break;
4545
4546 #ifndef DISABLE_PRDR
4547           case ENV_MAIL_OPT_PRDR:
4548             if (prdr_enable)
4549               prdr_requested = TRUE;
4550             break;
4551 #endif
4552
4553 #ifdef SUPPORT_I18N
4554           case ENV_MAIL_OPT_UTF8:
4555             if (!fl.smtputf8_advertised)
4556               {
4557               done = synprot_error(L_smtp_syntax_error, 501, NULL,
4558                 US"SMTPUTF8 used when not advertised");
4559               goto COMMAND_LOOP;
4560               }
4561
4562             DEBUG(D_receive) debug_printf("smtputf8 requested\n");
4563             message_smtputf8 = allow_utf8_domains = TRUE;
4564             if (Ustrncmp(received_protocol, US"utf8", 4) != 0)
4565               {
4566               int old_pool = store_pool;
4567               store_pool = POOL_PERM;
4568               received_protocol = string_sprintf("utf8%s", received_protocol);
4569               store_pool = old_pool;
4570               }
4571             break;
4572 #endif
4573
4574           /* No valid option. Stick back the terminator characters and break
4575           the loop.  Do the name-terminator second as extract_option sets
4576           value==name when it found no equal-sign.
4577           An error for a malformed address will occur. */
4578           case ENV_MAIL_OPT_NULL:
4579             value[-1] = '=';
4580             name[-1] = ' ';
4581             arg_error = TRUE;
4582             break;
4583
4584           default:  assert(0);
4585           }
4586         /* Break out of for loop if switch() had bad argument or
4587            when start of the email address is reached */
4588         if (arg_error) break;
4589         }
4590
4591       /* If we have passed the threshold for rate limiting, apply the current
4592       delay, and update it for next time, provided this is a limited host. */
4593
4594       if (smtp_mailcmd_count > smtp_rlm_threshold &&
4595           verify_check_host(&smtp_ratelimit_hosts) == OK)
4596         {
4597         DEBUG(D_receive) debug_printf("rate limit MAIL: delay %.3g sec\n",
4598           smtp_delay_mail/1000.0);
4599         millisleep((int)smtp_delay_mail);
4600         smtp_delay_mail *= smtp_rlm_factor;
4601         if (smtp_delay_mail > (double)smtp_rlm_limit)
4602           smtp_delay_mail = (double)smtp_rlm_limit;
4603         }
4604
4605       /* Now extract the address, first applying any SMTP-time rewriting. The
4606       TRUE flag allows "<>" as a sender address. */
4607
4608       raw_sender = rewrite_existflags & rewrite_smtp
4609         /* deconst ok as smtp_cmd_data was not const */
4610         ? US rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
4611                       global_rewrite_rules)
4612         : smtp_cmd_data;
4613
4614       raw_sender =
4615         parse_extract_address(raw_sender, &errmess, &start, &end, &sender_domain,
4616           TRUE);
4617
4618       if (!raw_sender)
4619         {
4620         done = synprot_error(L_smtp_syntax_error, 501, smtp_cmd_data, errmess);
4621         break;
4622         }
4623
4624       sender_address = raw_sender;
4625
4626       /* If there is a configured size limit for mail, check that this message
4627       doesn't exceed it. The check is postponed to this point so that the sender
4628       can be logged. */
4629
4630       if (thismessage_size_limit > 0 && message_size > thismessage_size_limit)
4631         {
4632         smtp_printf("552 Message size exceeds maximum permitted\r\n", SP_NO_MORE);
4633         log_write(L_size_reject,
4634             LOG_MAIN|LOG_REJECT, "rejected MAIL FROM:<%s> %s: "
4635             "message too big: size%s=%d max=%d",
4636             sender_address,
4637             host_and_ident(TRUE),
4638             (message_size == INT_MAX)? ">" : "",
4639             message_size,
4640             thismessage_size_limit);
4641         sender_address = NULL;
4642         break;
4643         }
4644
4645       /* Check there is enough space on the disk unless configured not to.
4646       When smtp_check_spool_space is set, the check is for thismessage_size_limit
4647       plus the current message - i.e. we accept the message only if it won't
4648       reduce the space below the threshold. Add 5000 to the size to allow for
4649       overheads such as the Received: line and storing of recipients, etc.
4650       By putting the check here, even when SIZE is not given, it allow VRFY
4651       and EXPN etc. to be used when space is short. */
4652
4653       if (!receive_check_fs(
4654            smtp_check_spool_space && message_size >= 0
4655               ? message_size + 5000 : 0))
4656         {
4657         smtp_printf("452 Space shortage, please try later\r\n", SP_NO_MORE);
4658         sender_address = NULL;
4659         break;
4660         }
4661
4662       /* If sender_address is unqualified, reject it, unless this is a locally
4663       generated message, or the sending host or net is permitted to send
4664       unqualified addresses - typically local machines behaving as MUAs -
4665       in which case just qualify the address. The flag is set above at the start
4666       of the SMTP connection. */
4667
4668       if (!sender_domain && *sender_address)
4669         if (f.allow_unqualified_sender)
4670           {
4671           sender_domain = Ustrlen(sender_address) + 1;
4672           /* deconst ok as sender_address was not const */
4673           sender_address = US rewrite_address_qualify(sender_address, FALSE);
4674           DEBUG(D_receive) debug_printf("unqualified address %s accepted\n",
4675             raw_sender);
4676           }
4677         else
4678           {
4679           smtp_printf("501 %s: sender address must contain a domain\r\n", SP_NO_MORE,
4680             smtp_cmd_data);
4681           log_write(L_smtp_syntax_error,
4682             LOG_MAIN|LOG_REJECT,
4683             "unqualified sender rejected: <%s> %s%s",
4684             raw_sender,
4685             host_and_ident(TRUE),
4686             host_lookup_msg);
4687           sender_address = NULL;
4688           break;
4689           }
4690
4691       /* Apply an ACL check if one is defined, before responding. Afterwards,
4692       when pipelining is not advertised, do another sync check in case the ACL
4693       delayed and the client started sending in the meantime. */
4694
4695       if (acl_smtp_mail)
4696         {
4697         rc = acl_check(ACL_WHERE_MAIL, NULL, acl_smtp_mail, &user_msg, &log_msg);
4698         if (rc == OK && !f.smtp_in_pipelining_advertised && !check_sync())
4699           goto SYNC_FAILURE;
4700         }
4701       else
4702         rc = OK;
4703
4704       if (rc == OK || rc == DISCARD)
4705         {
4706         BOOL more = pipeline_response();
4707
4708         if (!user_msg)
4709           smtp_printf("%s%s%s", more, US"250 OK",
4710                     #ifndef DISABLE_PRDR
4711                       prdr_requested ? US", PRDR Requested" : US"",
4712                     #else
4713                       US"",
4714                     #endif
4715                       US"\r\n");
4716         else
4717           {
4718         #ifndef DISABLE_PRDR
4719           if (prdr_requested)
4720              user_msg = string_sprintf("%s%s", user_msg, US", PRDR Requested");
4721         #endif
4722           smtp_user_msg(US"250", user_msg);
4723           }
4724         smtp_delay_rcpt = smtp_rlr_base;
4725         f.recipients_discarded = (rc == DISCARD);
4726         was_rej_mail = FALSE;
4727         }
4728       else
4729         {
4730         done = smtp_handle_acl_fail(ACL_WHERE_MAIL, rc, user_msg, log_msg);
4731         sender_address = NULL;
4732         }
4733       break;
4734
4735
4736     /* The RCPT command requires an address as an operand. There may be any
4737     number of RCPT commands, specifying multiple recipients. We build them all
4738     into a data structure. The start/end values given by parse_extract_address
4739     are not used, as we keep only the extracted address. */
4740
4741     case RCPT_CMD:
4742       HAD(SCH_RCPT);
4743       /* We got really to many recipients. A check against configured
4744       limits is done later */
4745       if (rcpt_count < 0 || rcpt_count >= INT_MAX/2)
4746         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Too many recipients: %d", rcpt_count);
4747       rcpt_count++;
4748       was_rcpt = fl.rcpt_in_progress = TRUE;
4749
4750       /* There must be a sender address; if the sender was rejected and
4751       pipelining was advertised, we assume the client was pipelining, and do not
4752       count this as a protocol error. Reset was_rej_mail so that further RCPTs
4753       get the same treatment. */
4754
4755       if (!sender_address)
4756         {
4757         if (f.smtp_in_pipelining_advertised && last_was_rej_mail)
4758           {
4759           smtp_printf("503 sender not yet given\r\n", SP_NO_MORE);
4760           was_rej_mail = TRUE;
4761           }
4762         else
4763           {
4764           done = synprot_error(L_smtp_protocol_error, 503, NULL,
4765             US"sender not yet given");
4766           was_rcpt = FALSE;             /* Not a valid RCPT */
4767           }
4768         rcpt_fail_count++;
4769         break;
4770         }
4771
4772       /* Check for an operand */
4773
4774       if (!smtp_cmd_data[0])
4775         {
4776         done = synprot_error(L_smtp_syntax_error, 501, NULL,
4777           US"RCPT must have an address operand");
4778         rcpt_fail_count++;
4779         break;
4780         }
4781
4782       /* Set the DSN flags orcpt and dsn_flags from the session*/
4783       orcpt = NULL;
4784       dsn_flags = 0;
4785
4786       if (fl.esmtp) for(;;)
4787         {
4788         uschar *name, *value;
4789
4790         if (!extract_option(&name, &value))
4791           break;
4792
4793         if (fl.dsn_advertised && strcmpic(name, US"ORCPT") == 0)
4794           {
4795           /* Check whether orcpt has been already set */
4796           if (orcpt)
4797             {
4798             done = synprot_error(L_smtp_syntax_error, 501, NULL,
4799               US"ORCPT can be specified once only");
4800             goto COMMAND_LOOP;
4801             }
4802           orcpt = string_copy(value);
4803           DEBUG(D_receive) debug_printf("DSN orcpt: %s\n", orcpt);
4804           }
4805
4806         else if (fl.dsn_advertised && strcmpic(name, US"NOTIFY") == 0)
4807           {
4808           /* Check if the notify flags have been already set */
4809           if (dsn_flags > 0)
4810             {
4811             done = synprot_error(L_smtp_syntax_error, 501, NULL,
4812                 US"NOTIFY can be specified once only");
4813             goto COMMAND_LOOP;
4814             }
4815           if (strcmpic(value, US"NEVER") == 0)
4816             dsn_flags |= rf_notify_never;
4817           else
4818             {
4819             uschar *p = value;
4820             while (*p != 0)
4821               {
4822               uschar *pp = p;
4823               while (*pp != 0 && *pp != ',') pp++;
4824               if (*pp == ',') *pp++ = 0;
4825               if (strcmpic(p, US"SUCCESS") == 0)
4826                 {
4827                 DEBUG(D_receive) debug_printf("DSN: Setting notify success\n");
4828                 dsn_flags |= rf_notify_success;
4829                 }
4830               else if (strcmpic(p, US"FAILURE") == 0)
4831                 {
4832                 DEBUG(D_receive) debug_printf("DSN: Setting notify failure\n");
4833                 dsn_flags |= rf_notify_failure;
4834                 }
4835               else if (strcmpic(p, US"DELAY") == 0)
4836                 {
4837                 DEBUG(D_receive) debug_printf("DSN: Setting notify delay\n");
4838                 dsn_flags |= rf_notify_delay;
4839                 }
4840               else
4841                 {
4842                 /* Catch any strange values */
4843                 done = synprot_error(L_smtp_syntax_error, 501, NULL,
4844                   US"Invalid value for NOTIFY parameter");
4845                 goto COMMAND_LOOP;
4846                 }
4847               p = pp;
4848               }
4849               DEBUG(D_receive) debug_printf("DSN Flags: %x\n", dsn_flags);
4850             }
4851           }
4852
4853         /* Unknown option. Stick back the terminator characters and break
4854         the loop. An error for a malformed address will occur. */
4855
4856         else
4857           {
4858           DEBUG(D_receive) debug_printf("Invalid RCPT option: %s : %s\n", name, value);
4859           name[-1] = ' ';
4860           value[-1] = '=';
4861           break;
4862           }
4863         }
4864
4865       /* Apply SMTP rewriting then extract the working address. Don't allow "<>"
4866       as a recipient address */
4867
4868       recipient = rewrite_existflags & rewrite_smtp
4869         /* deconst ok as smtp_cmd_data was not const */
4870         ? US rewrite_one(smtp_cmd_data, rewrite_smtp, NULL, FALSE, US"",
4871             global_rewrite_rules)
4872         : smtp_cmd_data;
4873
4874       if (!(recipient = parse_extract_address(recipient, &errmess, &start, &end,
4875         &recipient_domain, FALSE)))
4876         {
4877         done = synprot_error(L_smtp_syntax_error, 501, smtp_cmd_data, errmess);
4878         rcpt_fail_count++;
4879         break;
4880         }
4881
4882       /* If the recipient address is unqualified, reject it, unless this is a
4883       locally generated message. However, unqualified addresses are permitted
4884       from a configured list of hosts and nets - typically when behaving as
4885       MUAs rather than MTAs. Sad that SMTP is used for both types of traffic,
4886       really. The flag is set at the start of the SMTP connection.
4887
4888       RFC 1123 talks about supporting "the reserved mailbox postmaster"; I always
4889       assumed this meant "reserved local part", but the revision of RFC 821 and
4890       friends now makes it absolutely clear that it means *mailbox*. Consequently
4891       we must always qualify this address, regardless. */
4892
4893       if (!recipient_domain)
4894         if (!(recipient_domain = qualify_recipient(&recipient, smtp_cmd_data,
4895                                     US"recipient")))
4896           {
4897           rcpt_fail_count++;
4898           break;
4899           }
4900
4901       /* Check maximum allowed */
4902
4903       if (rcpt_count+1 < 0 || rcpt_count > recipients_max && recipients_max > 0)
4904         {
4905         if (recipients_max_reject)
4906           {
4907           rcpt_fail_count++;
4908           smtp_printf("552 too many recipients\r\n", SP_NO_MORE);
4909           if (!toomany)
4910             log_write(0, LOG_MAIN|LOG_REJECT, "too many recipients: message "
4911               "rejected: sender=<%s> %s", sender_address, host_and_ident(TRUE));
4912           }
4913         else
4914           {
4915           rcpt_defer_count++;
4916           smtp_printf("452 too many recipients\r\n", SP_NO_MORE);
4917           if (!toomany)
4918             log_write(0, LOG_MAIN|LOG_REJECT, "too many recipients: excess "
4919               "temporarily rejected: sender=<%s> %s", sender_address,
4920               host_and_ident(TRUE));
4921           }
4922
4923         toomany = TRUE;
4924         break;
4925         }
4926
4927       /* If we have passed the threshold for rate limiting, apply the current
4928       delay, and update it for next time, provided this is a limited host. */
4929
4930       if (rcpt_count > smtp_rlr_threshold &&
4931           verify_check_host(&smtp_ratelimit_hosts) == OK)
4932         {
4933         DEBUG(D_receive) debug_printf("rate limit RCPT: delay %.3g sec\n",
4934           smtp_delay_rcpt/1000.0);
4935         millisleep((int)smtp_delay_rcpt);
4936         smtp_delay_rcpt *= smtp_rlr_factor;
4937         if (smtp_delay_rcpt > (double)smtp_rlr_limit)
4938           smtp_delay_rcpt = (double)smtp_rlr_limit;
4939         }
4940
4941       /* If the MAIL ACL discarded all the recipients, we bypass ACL checking
4942       for them. Otherwise, check the access control list for this recipient. As
4943       there may be a delay in this, re-check for a synchronization error
4944       afterwards, unless pipelining was advertised. */
4945
4946       if (f.recipients_discarded)
4947         rc = DISCARD;
4948       else
4949         if (  (rc = acl_check(ACL_WHERE_RCPT, recipient, acl_smtp_rcpt, &user_msg,
4950                       &log_msg)) == OK
4951            && !f.smtp_in_pipelining_advertised && !check_sync())
4952           goto SYNC_FAILURE;
4953
4954       /* The ACL was happy */
4955
4956       if (rc == OK)
4957         {
4958         BOOL more = pipeline_response();
4959
4960         if (user_msg)
4961           smtp_user_msg(US"250", user_msg);
4962         else
4963           smtp_printf("250 Accepted\r\n", more);
4964         receive_add_recipient(recipient, -1);
4965
4966         /* Set the dsn flags in the recipients_list */
4967         recipients_list[recipients_count-1].orcpt = orcpt;
4968         recipients_list[recipients_count-1].dsn_flags = dsn_flags;
4969
4970         /* DEBUG(D_receive) debug_printf("DSN: orcpt: %s  flags: %d\n",
4971           recipients_list[recipients_count-1].orcpt,
4972           recipients_list[recipients_count-1].dsn_flags); */
4973         }
4974
4975       /* The recipient was discarded */
4976
4977       else if (rc == DISCARD)
4978         {
4979         if (user_msg)
4980           smtp_user_msg(US"250", user_msg);
4981         else
4982           smtp_printf("250 Accepted\r\n", SP_NO_MORE);
4983         rcpt_fail_count++;
4984         discarded = TRUE;
4985         log_write(0, LOG_MAIN|LOG_REJECT, "%s F=<%s> RCPT %s: "
4986           "discarded by %s ACL%s%s", host_and_ident(TRUE),
4987           sender_address_unrewritten ? sender_address_unrewritten : sender_address,
4988           smtp_cmd_argument, f.recipients_discarded ? "MAIL" : "RCPT",
4989           log_msg ? US": " : US"", log_msg ? log_msg : US"");
4990         }
4991
4992       /* Either the ACL failed the address, or it was deferred. */
4993
4994       else
4995         {
4996         if (rc == FAIL) rcpt_fail_count++; else rcpt_defer_count++;
4997         done = smtp_handle_acl_fail(ACL_WHERE_RCPT, rc, user_msg, log_msg);
4998         }
4999       break;
5000
5001
5002     /* The DATA command is legal only if it follows successful MAIL FROM
5003     and RCPT TO commands. However, if pipelining is advertised, a bad DATA is
5004     not counted as a protocol error if it follows RCPT (which must have been
5005     rejected if there are no recipients.) This function is complete when a
5006     valid DATA command is encountered.
5007
5008     Note concerning the code used: RFC 2821 says this:
5009
5010      -  If there was no MAIL, or no RCPT, command, or all such commands
5011         were rejected, the server MAY return a "command out of sequence"
5012         (503) or "no valid recipients" (554) reply in response to the
5013         DATA command.
5014
5015     The example in the pipelining RFC 2920 uses 554, but I use 503 here
5016     because it is the same whether pipelining is in use or not.
5017
5018     If all the RCPT commands that precede DATA provoked the same error message
5019     (often indicating some kind of system error), it is helpful to include it
5020     with the DATA rejection (an idea suggested by Tony Finch). */
5021
5022     case BDAT_CMD:
5023       {
5024       int n;
5025
5026       HAD(SCH_BDAT);
5027       if (chunking_state != CHUNKING_OFFERED)
5028         {
5029         done = synprot_error(L_smtp_protocol_error, 503, NULL,
5030           US"BDAT command used when CHUNKING not advertised");
5031         break;
5032         }
5033
5034       /* grab size, endmarker */
5035
5036       if (sscanf(CS smtp_cmd_data, "%u %n", &chunking_datasize, &n) < 1)
5037         {
5038         done = synprot_error(L_smtp_protocol_error, 501, NULL,
5039           US"missing size for BDAT command");
5040         break;
5041         }
5042       chunking_state = strcmpic(smtp_cmd_data+n, US"LAST") == 0
5043         ? CHUNKING_LAST : CHUNKING_ACTIVE;
5044       chunking_data_left = chunking_datasize;
5045       DEBUG(D_receive) debug_printf("chunking state %d, %d bytes\n",
5046                                     (int)chunking_state, chunking_data_left);
5047
5048       f.bdat_readers_wanted = TRUE; /* FIXME: redundant vs chunking_state? */
5049       f.dot_ends = FALSE;
5050
5051       goto DATA_BDAT;
5052       }
5053
5054     case DATA_CMD:
5055       HAD(SCH_DATA);
5056       f.dot_ends = TRUE;
5057       f.bdat_readers_wanted = FALSE;
5058
5059     DATA_BDAT:          /* Common code for DATA and BDAT */
5060 #ifndef DISABLE_PIPE_CONNECT
5061       fl.pipe_connect_acceptable = FALSE;
5062 #endif
5063       if (!discarded && recipients_count <= 0)
5064         {
5065         if (fl.rcpt_smtp_response_same && rcpt_smtp_response)
5066           {
5067           uschar *code = US"503";
5068           int len = Ustrlen(rcpt_smtp_response);
5069           smtp_respond(code, 3, SR_NOT_FINAL, US"All RCPT commands were rejected with "
5070             "this error:");
5071           /* Responses from smtp_printf() will have \r\n on the end */
5072           if (len > 2 && rcpt_smtp_response[len-2] == '\r')
5073             rcpt_smtp_response[len-2] = 0;
5074           smtp_respond(code, 3, SR_NOT_FINAL, rcpt_smtp_response);
5075           }
5076         if (f.smtp_in_pipelining_advertised && last_was_rcpt)
5077           smtp_printf("503 Valid RCPT command must precede %s\r\n", SP_NO_MORE,
5078             smtp_names[smtp_connection_had[SMTP_HBUFF_PREV(smtp_ch_index)]]);
5079         else
5080           done = synprot_error(L_smtp_protocol_error, 503, NULL,
5081             smtp_connection_had[SMTP_HBUFF_PREV(smtp_ch_index)] == SCH_DATA
5082             ? US"valid RCPT command must precede DATA"
5083             : US"valid RCPT command must precede BDAT");
5084
5085         if (chunking_state > CHUNKING_OFFERED)
5086           {
5087           bdat_push_receive_functions();
5088           bdat_flush_data();
5089           }
5090         break;
5091         }
5092
5093       if (toomany && recipients_max_reject)
5094         {
5095         sender_address = NULL;  /* This will allow a new MAIL without RSET */
5096         sender_address_unrewritten = NULL;
5097         smtp_printf("554 Too many recipients\r\n", SP_NO_MORE);
5098
5099         if (chunking_state > CHUNKING_OFFERED)
5100           {
5101           bdat_push_receive_functions();
5102           bdat_flush_data();
5103           }
5104         break;
5105         }
5106
5107       if (chunking_state > CHUNKING_OFFERED)
5108         rc = OK;        /* There is no predata ACL or go-ahead output for BDAT */
5109       else
5110         {
5111         /* If there is a predata-ACL, re-check the synchronization afterwards,
5112         since the ACL may have delayed.  To handle cutthrough delivery enforce a
5113         dummy call to get the DATA command sent. */
5114
5115         if (!acl_smtp_predata && cutthrough.cctx.sock < 0)
5116           rc = OK;
5117         else
5118           {
5119           uschar * acl = acl_smtp_predata ? acl_smtp_predata : US"accept";
5120           f.enable_dollar_recipients = TRUE;
5121           rc = acl_check(ACL_WHERE_PREDATA, NULL, acl, &user_msg,
5122             &log_msg);
5123           f.enable_dollar_recipients = FALSE;
5124           if (rc == OK && !check_sync())
5125             goto SYNC_FAILURE;
5126
5127           if (rc != OK)
5128             {   /* Either the ACL failed the address, or it was deferred. */
5129             done = smtp_handle_acl_fail(ACL_WHERE_PREDATA, rc, user_msg, log_msg);
5130             break;
5131             }
5132           }
5133
5134         if (user_msg)
5135           smtp_user_msg(US"354", user_msg);
5136         else
5137           smtp_printf(
5138             "354 Enter message, ending with \".\" on a line by itself\r\n", SP_NO_MORE);
5139         }
5140
5141       if (f.bdat_readers_wanted)
5142         bdat_push_receive_functions();
5143
5144 #ifdef TCP_QUICKACK
5145       if (smtp_in)      /* all ACKs needed to ramp window up for bulk data */
5146         (void) setsockopt(fileno(smtp_in), IPPROTO_TCP, TCP_QUICKACK,
5147                 US &on, sizeof(on));
5148 #endif
5149       done = 3;
5150       message_ended = END_NOTENDED;   /* Indicate in middle of data */
5151
5152       break;
5153
5154
5155     case VRFY_CMD:
5156       {
5157       uschar * address;
5158
5159       HAD(SCH_VRFY);
5160
5161       if (!(address = parse_extract_address(smtp_cmd_data, &errmess,
5162             &start, &end, &recipient_domain, FALSE)))
5163         {
5164         smtp_printf("501 %s\r\n", SP_NO_MORE, errmess);
5165         break;
5166         }
5167
5168       if (!recipient_domain)
5169         if (!(recipient_domain = qualify_recipient(&address, smtp_cmd_data,
5170                                     US"verify")))
5171           break;
5172
5173       if ((rc = acl_check(ACL_WHERE_VRFY, address, acl_smtp_vrfy,
5174                     &user_msg, &log_msg)) != OK)
5175         done = smtp_handle_acl_fail(ACL_WHERE_VRFY, rc, user_msg, log_msg);
5176       else
5177         {
5178         uschar * s = NULL;
5179         address_item * addr = deliver_make_addr(address, FALSE);
5180
5181         switch(verify_address(addr, NULL, vopt_is_recipient | vopt_qualify, -1,
5182                -1, -1, NULL, NULL, NULL))
5183           {
5184           case OK:
5185             s = string_sprintf("250 <%s> is deliverable", address);
5186             break;
5187
5188           case DEFER:
5189             s = (addr->user_message != NULL)?
5190               string_sprintf("451 <%s> %s", address, addr->user_message) :
5191               string_sprintf("451 Cannot resolve <%s> at this time", address);
5192             break;
5193
5194           case FAIL:
5195             s = (addr->user_message != NULL)?
5196               string_sprintf("550 <%s> %s", address, addr->user_message) :
5197               string_sprintf("550 <%s> is not deliverable", address);
5198             log_write(0, LOG_MAIN, "VRFY failed for %s %s",
5199               smtp_cmd_argument, host_and_ident(TRUE));
5200             break;
5201           }
5202
5203         smtp_printf("%s\r\n", SP_NO_MORE, s);
5204         }
5205       break;
5206       }
5207
5208
5209     case EXPN_CMD:
5210       HAD(SCH_EXPN);
5211       rc = acl_check(ACL_WHERE_EXPN, NULL, acl_smtp_expn, &user_msg, &log_msg);
5212       if (rc != OK)
5213         done = smtp_handle_acl_fail(ACL_WHERE_EXPN, rc, user_msg, log_msg);
5214       else
5215         {
5216         BOOL save_log_testing_mode = f.log_testing_mode;
5217         f.address_test_mode = f.log_testing_mode = TRUE;
5218         (void) verify_address(deliver_make_addr(smtp_cmd_data, FALSE),
5219           smtp_out, vopt_is_recipient | vopt_qualify | vopt_expn, -1, -1, -1,
5220           NULL, NULL, NULL);
5221         f.address_test_mode = FALSE;
5222         f.log_testing_mode = save_log_testing_mode;    /* true for -bh */
5223         }
5224       break;
5225
5226
5227     #ifndef DISABLE_TLS
5228
5229     case STARTTLS_CMD:
5230       HAD(SCH_STARTTLS);
5231       if (!fl.tls_advertised)
5232         {
5233         done = synprot_error(L_smtp_protocol_error, 503, NULL,
5234           US"STARTTLS command used when not advertised");
5235         break;
5236         }
5237
5238       /* Apply an ACL check if one is defined */
5239
5240       if (  acl_smtp_starttls
5241          && (rc = acl_check(ACL_WHERE_STARTTLS, NULL, acl_smtp_starttls,
5242                     &user_msg, &log_msg)) != OK
5243          )
5244         {
5245         done = smtp_handle_acl_fail(ACL_WHERE_STARTTLS, rc, user_msg, log_msg);
5246         break;
5247         }
5248
5249       /* RFC 2487 is not clear on when this command may be sent, though it
5250       does state that all information previously obtained from the client
5251       must be discarded if a TLS session is started. It seems reasonable to
5252       do an implied RSET when STARTTLS is received. */
5253
5254       incomplete_transaction_log(US"STARTTLS");
5255       cancel_cutthrough_connection(TRUE, US"STARTTLS received");
5256       reset_point = smtp_reset(reset_point);
5257       toomany = FALSE;
5258       cmd_list[CL_STLS].is_mail_cmd = FALSE;
5259
5260       /* There's an attack where more data is read in past the STARTTLS command
5261       before TLS is negotiated, then assumed to be part of the secure session
5262       when used afterwards; we use segregated input buffers, so are not
5263       vulnerable, but we want to note when it happens and, for sheer paranoia,
5264       ensure that the buffer is "wiped".
5265       Pipelining sync checks will normally have protected us too, unless disabled
5266       by configuration. */
5267
5268       if (receive_hasc())
5269         {
5270         DEBUG(D_any)
5271           debug_printf("Non-empty input buffer after STARTTLS; naive attack?\n");
5272         if (tls_in.active.sock < 0)
5273           smtp_inend = smtp_inptr = smtp_inbuffer;
5274         /* and if TLS is already active, tls_server_start() should fail */
5275         }
5276
5277       /* There is nothing we value in the input buffer and if TLS is successfully
5278       negotiated, we won't use this buffer again; if TLS fails, we'll just read
5279       fresh content into it.  The buffer contains arbitrary content from an
5280       untrusted remote source; eg: NOOP <shellcode>\r\nSTARTTLS\r\n
5281       It seems safest to just wipe away the content rather than leave it as a
5282       target to jump to. */
5283
5284       memset(smtp_inbuffer, 0, IN_BUFFER_SIZE);
5285
5286       /* Attempt to start up a TLS session, and if successful, discard all
5287       knowledge that was obtained previously. At least, that's what the RFC says,
5288       and that's what happens by default. However, in order to work round YAEB,
5289       there is an option to remember the esmtp state. Sigh.
5290
5291       We must allow for an extra EHLO command and an extra AUTH command after
5292       STARTTLS that don't add to the nonmail command count. */
5293
5294       s = NULL;
5295       if ((rc = tls_server_start(&s)) == OK)
5296         {
5297         if (!tls_remember_esmtp)
5298           fl.helo_seen = fl.esmtp = fl.auth_advertised = f.smtp_in_pipelining_advertised = FALSE;
5299         cmd_list[CL_EHLO].is_mail_cmd = TRUE;
5300         cmd_list[CL_AUTH].is_mail_cmd = TRUE;
5301         cmd_list[CL_TLAU].is_mail_cmd = TRUE;
5302         if (sender_helo_name)
5303           {
5304           sender_helo_name = NULL;
5305           host_build_sender_fullhost();  /* Rebuild */
5306           set_process_info("handling incoming TLS connection from %s",
5307             host_and_ident(FALSE));
5308           }
5309         received_protocol =
5310           (sender_host_address ? protocols : protocols_local)
5311             [ (fl.esmtp
5312               ? pextend + (sender_host_authenticated ? pauthed : 0)
5313               : pnormal)
5314             + (tls_in.active.sock >= 0 ? pcrpted : 0)
5315             ];
5316
5317         sender_host_auth_pubname = sender_host_authenticated = NULL;
5318         authenticated_id = NULL;
5319         sync_cmd_limit = NON_SYNC_CMD_NON_PIPELINING;
5320         DEBUG(D_tls) debug_printf("TLS active\n");
5321         break;     /* Successful STARTTLS */
5322         }
5323       else
5324         (void) smtp_log_tls_fail(s);
5325
5326       /* Some local configuration problem was discovered before actually trying
5327       to do a TLS handshake; give a temporary error. */
5328
5329       if (rc == DEFER)
5330         {
5331         smtp_printf("454 TLS currently unavailable\r\n", SP_NO_MORE);
5332         break;
5333         }
5334
5335       /* Hard failure. Reject everything except QUIT or closed connection. One
5336       cause for failure is a nested STARTTLS, in which case tls_in.active remains
5337       set, but we must still reject all incoming commands.  Another is a handshake
5338       failure - and there may some encrypted data still in the pipe to us, which we
5339       see as garbage commands. */
5340
5341       DEBUG(D_tls) debug_printf("TLS failed to start\n");
5342       while (done <= 0) switch(smtp_read_command(FALSE, GETC_BUFFER_UNLIMITED))
5343         {
5344         case EOF_CMD:
5345           log_close_event(US"by EOF");
5346           smtp_notquit_exit(US"tls-failed", NULL, NULL);
5347           done = 2;
5348           break;
5349
5350         /* It is perhaps arguable as to which exit ACL should be called here,
5351         but as it is probably a situation that almost never arises, it
5352         probably doesn't matter. We choose to call the real QUIT ACL, which in
5353         some sense is perhaps "right". */
5354
5355         case QUIT_CMD:
5356           f.smtp_in_quit = TRUE;
5357           user_msg = NULL;
5358           if (  acl_smtp_quit
5359              && ((rc = acl_check(ACL_WHERE_QUIT, NULL, acl_smtp_quit, &user_msg,
5360                                 &log_msg)) == ERROR))
5361               log_write(0, LOG_MAIN|LOG_PANIC, "ACL for QUIT returned ERROR: %s",
5362                 log_msg);
5363           if (user_msg)
5364             smtp_respond(US"221", 3, SR_FINAL, user_msg);
5365           else
5366             smtp_printf("221 %s closing connection\r\n", SP_NO_MORE, smtp_active_hostname);
5367           log_close_event(US"by QUIT");
5368           done = 2;
5369           break;
5370
5371         default:
5372           smtp_printf("554 Security failure\r\n", SP_NO_MORE);
5373           break;
5374         }
5375       tls_close(NULL, TLS_SHUTDOWN_NOWAIT);
5376       break;
5377     #endif
5378
5379
5380     /* The ACL for QUIT is provided for gathering statistical information or
5381     similar; it does not affect the response code, but it can supply a custom
5382     message. */
5383
5384     case QUIT_CMD:
5385       smtp_quit_handler(&user_msg, &log_msg);
5386       done = 2;
5387       break;
5388
5389
5390     case RSET_CMD:
5391       smtp_rset_handler();
5392       cancel_cutthrough_connection(TRUE, US"RSET received");
5393       reset_point = smtp_reset(reset_point);
5394       toomany = FALSE;
5395       break;
5396
5397
5398     case NOOP_CMD:
5399       HAD(SCH_NOOP);
5400       smtp_printf("250 OK\r\n", SP_NO_MORE);
5401       break;
5402
5403
5404     /* Show ETRN/EXPN/VRFY if there's an ACL for checking hosts; if actually
5405     used, a check will be done for permitted hosts. Show STARTTLS only if not
5406     already in a TLS session and if it would be advertised in the EHLO
5407     response. */
5408
5409     case HELP_CMD:
5410       HAD(SCH_HELP);
5411       smtp_printf("214-Commands supported:\r\n214", SP_MORE);
5412       smtp_printf(" AUTH", SP_MORE);
5413 #ifndef DISABLE_TLS
5414       if (tls_in.active.sock < 0 &&
5415           verify_check_host(&tls_advertise_hosts) != FAIL)
5416         smtp_printf(" STARTTLS", SP_MORE);
5417 #endif
5418       smtp_printf(" HELO EHLO MAIL RCPT DATA BDAT", SP_MORE);
5419       smtp_printf(" NOOP QUIT RSET HELP", SP_MORE);
5420       if (acl_smtp_etrn) smtp_printf(" ETRN", SP_MORE);
5421       if (acl_smtp_expn) smtp_printf(" EXPN", SP_MORE);
5422       if (acl_smtp_vrfy) smtp_printf(" VRFY", SP_MORE);
5423 #ifdef EXPERIMENTAL_XCLIENT
5424       if (proxy_session || verify_check_host(&hosts_xclient) != FAIL)
5425         smtp_printf(" XCLIENT", SP_MORE);
5426 #endif
5427       smtp_printf("\r\n", SP_NO_MORE);
5428       break;
5429
5430
5431     case EOF_CMD:
5432       incomplete_transaction_log(US"connection lost");
5433       smtp_notquit_exit(US"connection-lost", US"421",
5434         US"%s lost input connection", smtp_active_hostname);
5435
5436       /* Don't log by default unless in the middle of a message, as some mailers
5437       just drop the call rather than sending QUIT, and it clutters up the logs.
5438       */
5439
5440       if (sender_address || recipients_count > 0)
5441         log_write(L_lost_incoming_connection, LOG_MAIN,
5442           "unexpected %s while reading SMTP command from %s%s%s D=%s",
5443           f.sender_host_unknown ? "EOF" : "disconnection",
5444           f.tcp_in_fastopen_logged
5445           ? US""
5446           : f.tcp_in_fastopen
5447           ? f.tcp_in_fastopen_data ? US"TFO* " : US"TFO "
5448           : US"",
5449           host_and_ident(FALSE), smtp_read_error,
5450           string_timesince(&smtp_connection_start)
5451           );
5452
5453       else
5454         log_write(L_smtp_connection, LOG_MAIN, "%s %slost%s D=%s",
5455           smtp_get_connection_info(),
5456           f.tcp_in_fastopen && !f.tcp_in_fastopen_logged ? US"TFO " : US"",
5457           smtp_read_error,
5458           string_timesince(&smtp_connection_start)
5459           );
5460
5461       done = 1;
5462       break;
5463
5464
5465     case ETRN_CMD:
5466       HAD(SCH_ETRN);
5467       if (sender_address)
5468         {
5469         done = synprot_error(L_smtp_protocol_error, 503, NULL,
5470           US"ETRN is not permitted inside a transaction");
5471         break;
5472         }
5473
5474       log_write(L_etrn, LOG_MAIN, "ETRN %s received from %s", smtp_cmd_argument,
5475         host_and_ident(FALSE));
5476
5477       if ((rc = acl_check(ACL_WHERE_ETRN, NULL, acl_smtp_etrn,
5478                   &user_msg, &log_msg)) != OK)
5479         {
5480         done = smtp_handle_acl_fail(ACL_WHERE_ETRN, rc, user_msg, log_msg);
5481         break;
5482         }
5483
5484       /* Compute the serialization key for this command. */
5485
5486       etrn_serialize_key = string_sprintf("etrn-%s\n", smtp_cmd_data);
5487
5488       /* If a command has been specified for running as a result of ETRN, we
5489       permit any argument to ETRN. If not, only the # standard form is permitted,
5490       since that is strictly the only kind of ETRN that can be implemented
5491       according to the RFC. */
5492
5493       if (smtp_etrn_command)
5494         {
5495         uschar *error;
5496         BOOL rc;
5497         etrn_command = smtp_etrn_command;
5498         deliver_domain = smtp_cmd_data;
5499         rc = transport_set_up_command(&argv, smtp_etrn_command, TSUC_EXPAND_ARGS, 0, NULL,
5500           US"ETRN processing", &error);
5501         deliver_domain = NULL;
5502         if (!rc)
5503           {
5504           log_write(0, LOG_MAIN|LOG_PANIC, "failed to set up ETRN command: %s",
5505             error);
5506           smtp_printf("458 Internal failure\r\n", SP_NO_MORE);
5507           break;
5508           }
5509         }
5510
5511       /* Else set up to call Exim with the -R option. */
5512
5513       else
5514         {
5515         if (*smtp_cmd_data++ != '#')
5516           {
5517           done = synprot_error(L_smtp_syntax_error, 501, NULL,
5518             US"argument must begin with #");
5519           break;
5520           }
5521         etrn_command = US"exim -R";
5522         argv = CUSS child_exec_exim(CEE_RETURN_ARGV, TRUE, NULL, TRUE,
5523           *queue_name ? 4 : 2,
5524           US"-R", smtp_cmd_data,
5525           US"-MCG", queue_name);
5526         }
5527
5528       /* If we are host-testing, don't actually do anything. */
5529
5530       if (host_checking)
5531         {
5532         HDEBUG(D_any)
5533           {
5534           debug_printf("ETRN command is: %s\n", etrn_command);
5535           debug_printf("ETRN command execution skipped\n");
5536           }
5537         if (user_msg == NULL) smtp_printf("250 OK\r\n", SP_NO_MORE);
5538           else smtp_user_msg(US"250", user_msg);
5539         break;
5540         }
5541
5542
5543       /* If ETRN queue runs are to be serialized, check the database to
5544       ensure one isn't already running. */
5545
5546       if (smtp_etrn_serialize && !enq_start(etrn_serialize_key, 1))
5547         {
5548         smtp_printf("458 Already processing %s\r\n", SP_NO_MORE, smtp_cmd_data);
5549         break;
5550         }
5551
5552       /* Fork a child process and run the command. We don't want to have to
5553       wait for the process at any point, so set SIGCHLD to SIG_IGN before
5554       forking. It should be set that way anyway for external incoming SMTP,
5555       but we save and restore to be tidy. If serialization is required, we
5556       actually run the command in yet another process, so we can wait for it
5557       to complete and then remove the serialization lock. */
5558
5559       oldsignal = signal(SIGCHLD, SIG_IGN);
5560
5561       if ((pid = exim_fork(US"etrn-command")) == 0)
5562         {
5563         smtp_input = FALSE;       /* This process is not associated with the */
5564         (void)fclose(smtp_in);    /* SMTP call any more. */
5565         (void)fclose(smtp_out);
5566
5567         signal(SIGCHLD, SIG_DFL);      /* Want to catch child */
5568
5569         /* If not serializing, do the exec right away. Otherwise, fork down
5570         into another process. */
5571
5572         if (  !smtp_etrn_serialize
5573            || (pid = exim_fork(US"etrn-serialised-command")) == 0)
5574           {
5575           DEBUG(D_exec) debug_print_argv(argv);
5576           exim_nullstd();                   /* Ensure std{in,out,err} exist */
5577           /* argv[0] should be untainted, from child_exec_exim() */
5578           execv(CS argv[0], (char *const *)argv);
5579           log_write(0, LOG_MAIN|LOG_PANIC_DIE, "exec of \"%s\" (ETRN) failed: %s",
5580             etrn_command, strerror(errno));
5581           _exit(EXIT_FAILURE);         /* paranoia */
5582           }
5583
5584         /* Obey this if smtp_serialize and the 2nd fork yielded non-zero. That
5585         is, we are in the first subprocess, after forking again. All we can do
5586         for a failing fork is to log it. Otherwise, wait for the 2nd process to
5587         complete, before removing the serialization. */
5588
5589         if (pid < 0)
5590           log_write(0, LOG_MAIN|LOG_PANIC, "2nd fork for serialized ETRN "
5591             "failed: %s", strerror(errno));
5592         else
5593           {
5594           int status;
5595           DEBUG(D_any) debug_printf("waiting for serialized ETRN process %d\n",
5596             (int)pid);
5597           (void)wait(&status);
5598           DEBUG(D_any) debug_printf("serialized ETRN process %d ended\n",
5599             (int)pid);
5600           }
5601
5602         enq_end(etrn_serialize_key);
5603         exim_underbar_exit(EXIT_SUCCESS);
5604         }
5605
5606       /* Back in the top level SMTP process. Check that we started a subprocess
5607       and restore the signal state. */
5608
5609       if (pid < 0)
5610         {
5611         log_write(0, LOG_MAIN|LOG_PANIC, "fork of process for ETRN failed: %s",
5612           strerror(errno));
5613         smtp_printf("458 Unable to fork process\r\n", SP_NO_MORE);
5614         if (smtp_etrn_serialize) enq_end(etrn_serialize_key);
5615         }
5616       else
5617         if (!user_msg)
5618           smtp_printf("250 OK\r\n", SP_NO_MORE);
5619         else
5620           smtp_user_msg(US"250", user_msg);
5621
5622       signal(SIGCHLD, oldsignal);
5623       break;
5624
5625
5626     case BADARG_CMD:
5627       done = synprot_error(L_smtp_syntax_error, 501, NULL,
5628         US"unexpected argument data");
5629       break;
5630
5631
5632     /* This currently happens only for NULLs, but could be extended. */
5633
5634     case BADCHAR_CMD:
5635       done = synprot_error(L_smtp_syntax_error, 0, NULL,       /* Just logs */
5636         US"NUL character(s) present (shown as '?')");
5637       smtp_printf("501 NUL characters are not allowed in SMTP commands\r\n",
5638                   SP_NO_MORE);
5639       break;
5640
5641
5642     case BADSYN_CMD:
5643     SYNC_FAILURE:
5644       {
5645         unsigned nchars = 150;
5646         uschar * buf = receive_getbuf(&nchars);         /* destructive read */
5647         buf[nchars] = '\0';
5648         incomplete_transaction_log(US"sync failure");
5649         log_write(0, LOG_MAIN|LOG_REJECT, "SMTP protocol synchronization error "
5650           "(next input sent too soon: pipelining was%s advertised): "
5651           "rejected \"%s\" %s next input=\"%s\" (%u bytes)",
5652           f.smtp_in_pipelining_advertised ? "" : " not",
5653           smtp_cmd_buffer, host_and_ident(TRUE),
5654           string_printing(buf), nchars);
5655         smtp_notquit_exit(US"synchronization-error", US"554",
5656           US"SMTP synchronization error");
5657         done = 1;   /* Pretend eof - drops connection */
5658         break;
5659       }
5660
5661
5662     case TOO_MANY_NONMAIL_CMD:
5663       s = smtp_cmd_buffer;
5664       while (*s && !isspace(*s)) s++;
5665       incomplete_transaction_log(US"too many non-mail commands");
5666       log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
5667         "nonmail commands (last was \"%.*s\")",  host_and_ident(FALSE),
5668         (int)(s - smtp_cmd_buffer), smtp_cmd_buffer);
5669       smtp_notquit_exit(US"bad-commands", US"554", US"Too many nonmail commands");
5670       done = 1;   /* Pretend eof - drops connection */
5671       break;
5672
5673 #ifdef SUPPORT_PROXY
5674     case PROXY_FAIL_IGNORE_CMD:
5675       smtp_printf("503 Command refused, required Proxy negotiation failed\r\n", SP_NO_MORE);
5676       break;
5677 #endif
5678
5679     default:
5680       if (unknown_command_count++ >= smtp_max_unknown_commands)
5681         {
5682         log_write(L_smtp_syntax_error, LOG_MAIN,
5683           "SMTP syntax error in \"%s\" %s %s",
5684           string_printing(smtp_cmd_buffer), host_and_ident(TRUE),
5685           US"unrecognized command");
5686         incomplete_transaction_log(US"unrecognized command");
5687         smtp_notquit_exit(US"bad-commands", US"500",
5688           US"Too many unrecognized commands");
5689         done = 2;
5690         log_write(0, LOG_MAIN|LOG_REJECT, "SMTP call from %s dropped: too many "
5691           "unrecognized commands (last was \"%s\")", host_and_ident(FALSE),
5692           string_printing(smtp_cmd_buffer));
5693         }
5694       else
5695         done = synprot_error(L_smtp_syntax_error, 500, NULL,
5696           US"unrecognized command");
5697       break;
5698     }
5699
5700   /* This label is used by goto's inside loops that want to break out to
5701   the end of the command-processing loop. */
5702
5703   COMMAND_LOOP:
5704   last_was_rej_mail = was_rej_mail;     /* Remember some last commands for */
5705   last_was_rcpt = was_rcpt;             /* protocol error handling */
5706   }
5707
5708 return done - 2;  /* Convert yield values */
5709 }
5710
5711
5712
5713 gstring *
5714 authres_smtpauth(gstring * g)
5715 {
5716 if (!sender_host_authenticated)
5717   return g;
5718
5719 g = string_append(g, 2, US";\n\tauth=pass (", sender_host_auth_pubname);
5720
5721 if (Ustrcmp(sender_host_auth_pubname, "tls") == 0)
5722   g = authenticated_id
5723     ? string_append(g, 2, US") x509.auth=", authenticated_id)
5724     : string_cat(g, US") reason=x509.auth");
5725 else
5726   g = authenticated_id
5727     ? string_append(g, 2, US") smtp.auth=", authenticated_id)
5728     : string_cat(g, US", no id saved)");
5729
5730 if (authenticated_sender)
5731   g = string_append(g, 2, US" smtp.mailfrom=", authenticated_sender);
5732 return g;
5733 }
5734
5735
5736
5737 /* vi: aw ai sw=2
5738 */
5739 /* End of smtp_in.c */