a5caf3de67017010f986e52563d3dc52eb0d9c40
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2024 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10 #include "../exim.h"
11 #include "smtp.h"
12
13 #if defined(SUPPORT_DANE) && defined(DISABLE_TLS)
14 # error TLS is required for DANE
15 #endif
16
17
18 /* Options specific to the smtp transport. This transport also supports LMTP
19 over TCP/IP. The options must be in alphabetic order (note that "_" comes
20 before the lower case letters). Some live in the transport_instance block so as
21 to be publicly visible; these are flagged with opt_public. */
22
23 #define LOFF(field) OPT_OFF(smtp_transport_options_block, field)
24
25 optionlist smtp_transport_options[] = {
26   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
27       OPT_OFF(transport_instance, expand_multi_domain) },
28   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
29       LOFF(expand_retry_include_ip_address) },
30
31   { "address_retry_include_sender", opt_bool,
32       LOFF(address_retry_include_sender) },
33   { "allow_localhost",      opt_bool,      LOFF(allow_localhost) },
34 #ifdef EXPERIMENTAL_ARC
35   { "arc_sign", opt_stringptr,             LOFF(arc_sign) },
36 #endif
37   { "authenticated_sender", opt_stringptr, LOFF(authenticated_sender) },
38   { "authenticated_sender_force", opt_bool, LOFF(authenticated_sender_force) },
39   { "command_timeout",      opt_time,      LOFF(command_timeout) },
40   { "connect_timeout",      opt_time,      LOFF(connect_timeout) },
41   { "connection_max_messages", opt_int | opt_public,
42       OPT_OFF(transport_instance, connection_max_messages) },
43 # ifdef SUPPORT_DANE
44   { "dane_require_tls_ciphers", opt_stringptr, LOFF(dane_require_tls_ciphers) },
45 # endif
46   { "data_timeout",         opt_time,      LOFF(data_timeout) },
47   { "delay_after_cutoff",   opt_bool,      LOFF(delay_after_cutoff) },
48 #ifndef DISABLE_DKIM
49   { "dkim_canon", opt_stringptr,           LOFF(dkim.dkim_canon) },
50   { "dkim_domain", opt_stringptr,          LOFF(dkim.dkim_domain) },
51   { "dkim_hash", opt_stringptr,            LOFF(dkim.dkim_hash) },
52   { "dkim_identity", opt_stringptr,        LOFF(dkim.dkim_identity) },
53   { "dkim_private_key", opt_stringptr,     LOFF(dkim.dkim_private_key) },
54   { "dkim_selector", opt_stringptr,        LOFF(dkim.dkim_selector) },
55   { "dkim_sign_headers", opt_stringptr,    LOFF(dkim.dkim_sign_headers) },
56   { "dkim_strict", opt_stringptr,          LOFF(dkim.dkim_strict) },
57   { "dkim_timestamps", opt_stringptr,      LOFF(dkim.dkim_timestamps) },
58 #endif
59   { "dns_qualify_single",   opt_bool,      LOFF(dns_qualify_single) },
60   { "dns_search_parents",   opt_bool,      LOFF(dns_search_parents) },
61   { "dnssec_request_domains", opt_stringptr, LOFF(dnssec.request) },
62   { "dnssec_require_domains", opt_stringptr, LOFF(dnssec.require) },
63   { "dscp",                 opt_stringptr, LOFF(dscp) },
64   { "fallback_hosts",       opt_stringptr, LOFF(fallback_hosts) },
65   { "final_timeout",        opt_time,      LOFF(final_timeout) },
66   { "gethostbyname",        opt_bool,      LOFF(gethostbyname) },
67   { "helo_data",            opt_stringptr, LOFF(helo_data) },
68 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
69   { "host_name_extract",    opt_stringptr, LOFF(host_name_extract) },
70 # endif
71   { "hosts",                opt_stringptr, LOFF(hosts) },
72   { "hosts_avoid_esmtp",    opt_stringptr, LOFF(hosts_avoid_esmtp) },
73   { "hosts_avoid_pipelining", opt_stringptr, LOFF(hosts_avoid_pipelining) },
74 #ifndef DISABLE_TLS
75   { "hosts_avoid_tls",      opt_stringptr, LOFF(hosts_avoid_tls) },
76 #endif
77   { "hosts_max_try",        opt_int,       LOFF(hosts_max_try) },
78   { "hosts_max_try_hardlimit", opt_int,    LOFF(hosts_max_try_hardlimit) },
79 #ifndef DISABLE_TLS
80   { "hosts_nopass_tls",     opt_stringptr, LOFF(hosts_nopass_tls) },
81   { "hosts_noproxy_tls",    opt_stringptr, LOFF(hosts_noproxy_tls) },
82 #endif
83   { "hosts_override",       opt_bool,      LOFF(hosts_override) },
84 #ifndef DISABLE_PIPE_CONNECT
85   { "hosts_pipe_connect",   opt_stringptr, LOFF(hosts_pipe_connect) },
86 #endif
87   { "hosts_randomize",      opt_bool,      LOFF(hosts_randomize) },
88 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
89   { "hosts_request_ocsp",   opt_stringptr, LOFF(hosts_request_ocsp) },
90 #endif
91   { "hosts_require_alpn",   opt_stringptr, LOFF(hosts_require_alpn) },
92   { "hosts_require_auth",   opt_stringptr, LOFF(hosts_require_auth) },
93 #ifndef DISABLE_TLS
94 # ifdef SUPPORT_DANE
95   { "hosts_require_dane",   opt_stringptr, LOFF(hosts_require_dane) },
96 # endif
97 # ifndef DISABLE_OCSP
98   { "hosts_require_ocsp",   opt_stringptr, LOFF(hosts_require_ocsp) },
99 # endif
100   { "hosts_require_tls",    opt_stringptr, LOFF(hosts_require_tls) },
101 #endif
102   { "hosts_try_auth",       opt_stringptr, LOFF(hosts_try_auth) },
103   { "hosts_try_chunking",   opt_stringptr, LOFF(hosts_try_chunking) },
104 #ifdef SUPPORT_DANE
105   { "hosts_try_dane",       opt_stringptr, LOFF(hosts_try_dane) },
106 #endif
107   { "hosts_try_fastopen",   opt_stringptr, LOFF(hosts_try_fastopen) },
108 #ifndef DISABLE_PRDR
109   { "hosts_try_prdr",       opt_stringptr, LOFF(hosts_try_prdr) },
110 #endif
111 #ifndef DISABLE_TLS
112   { "hosts_verify_avoid_tls", opt_stringptr, LOFF(hosts_verify_avoid_tls) },
113 #endif
114   { "interface",            opt_stringptr, LOFF(interface) },
115   { "keepalive",            opt_bool,      LOFF(keepalive) },
116   { "lmtp_ignore_quota",    opt_bool,      LOFF(lmtp_ignore_quota) },
117   { "max_rcpt",             opt_stringptr | opt_public,
118       OPT_OFF(transport_instance, max_addresses) },
119   { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
120   { "multi_domain",         opt_expand_bool | opt_public,
121       OPT_OFF(transport_instance, multi_domain) },
122   { "port",                 opt_stringptr, LOFF(port) },
123   { "protocol",             opt_stringptr, LOFF(protocol) },
124   { "retry_include_ip_address", opt_expand_bool, LOFF(retry_include_ip_address) },
125   { "serialize_hosts",      opt_stringptr, LOFF(serialize_hosts) },
126   { "size_addition",        opt_int,       LOFF(size_addition) },
127 #ifdef SUPPORT_SOCKS
128   { "socks_proxy",          opt_stringptr, LOFF(socks_proxy) },
129 #endif
130 #ifndef DISABLE_TLS
131   { "tls_alpn",             opt_stringptr, LOFF(tls_alpn) },
132   { "tls_certificate",      opt_stringptr, LOFF(tls_certificate) },
133   { "tls_crl",              opt_stringptr, LOFF(tls_crl) },
134   { "tls_dh_min_bits",      opt_int,       LOFF(tls_dh_min_bits) },
135   { "tls_privatekey",       opt_stringptr, LOFF(tls_privatekey) },
136   { "tls_require_ciphers",  opt_stringptr, LOFF(tls_require_ciphers) },
137 # ifndef DISABLE_TLS_RESUME
138   { "tls_resumption_hosts", opt_stringptr, LOFF(tls_resumption_hosts) },
139 # endif
140   { "tls_sni",              opt_stringptr, LOFF(tls_sni) },
141   { "tls_tempfail_tryclear", opt_bool, LOFF(tls_tempfail_tryclear) },
142   { "tls_try_verify_hosts", opt_stringptr, LOFF(tls_try_verify_hosts) },
143   { "tls_verify_cert_hostnames", opt_stringptr, LOFF(tls_verify_cert_hostnames)},
144   { "tls_verify_certificates", opt_stringptr, LOFF(tls_verify_certificates) },
145   { "tls_verify_hosts",     opt_stringptr, LOFF(tls_verify_hosts) },
146 #endif
147 #ifdef SUPPORT_I18N
148   { "utf8_downconvert",     opt_stringptr, LOFF(utf8_downconvert) },
149 #endif
150 };
151
152 /* Size of the options list. An extern variable has to be used so that its
153 address can appear in the tables drtables.c. */
154
155 int smtp_transport_options_count = nelem(smtp_transport_options);
156
157
158 #ifdef MACRO_PREDEF
159
160 /* Dummy values */
161 smtp_transport_options_block smtp_transport_option_defaults = {0};
162 void smtp_transport_init(transport_instance *tblock) {}
163 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
164 void smtp_transport_closedown(transport_instance *tblock) {}
165
166 #else   /*!MACRO_PREDEF*/
167
168
169 /* Default private options block for the smtp transport. */
170
171 smtp_transport_options_block smtp_transport_option_defaults = {
172   /* All non-mentioned elements 0/NULL/FALSE */
173   .helo_data =                  US"$primary_hostname",
174   .protocol =                   US"smtp",
175   .hosts_try_chunking =         US"*",
176 #ifdef SUPPORT_DANE
177   .hosts_try_dane =             US"*",
178 #endif
179   .hosts_try_fastopen =         US"*",
180 #ifndef DISABLE_PRDR
181   .hosts_try_prdr =             US"*",
182 #endif
183 #ifndef DISABLE_OCSP
184   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
185 #endif
186   .command_timeout =            5*60,
187   .connect_timeout =            5*60,
188   .data_timeout =               5*60,
189   .final_timeout =              10*60,
190   .size_addition =              1024,
191   .hosts_max_try =              5,
192   .hosts_max_try_hardlimit =    50,
193   .message_linelength_limit =   998,
194   .address_retry_include_sender = TRUE,
195   .dns_qualify_single =         TRUE,
196   .dnssec = { .request= US"*", .require=NULL },
197   .delay_after_cutoff =         TRUE,
198   .keepalive =                  TRUE,
199   .retry_include_ip_address =   TRUE,
200 #ifndef DISABLE_TLS
201   .tls_verify_certificates =    US"system",
202   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
203   .tls_tempfail_tryclear =      TRUE,
204   .tls_try_verify_hosts =       US"*",
205   .tls_verify_cert_hostnames =  US"*",
206 #endif
207 #ifdef SUPPORT_I18N
208   .utf8_downconvert =           US"-1",
209 #endif
210 #ifndef DISABLE_DKIM
211  .dkim =
212    { .dkim_hash =               US"sha256", },
213 #endif
214 };
215
216 /* some DSN flags for use later */
217
218 static int     rf_list[] = {rf_notify_never, rf_notify_success,
219                             rf_notify_failure, rf_notify_delay };
220
221 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
222
223
224
225 /* Local statics */
226
227 static uschar *smtp_command;            /* Points to last cmd for error messages */
228 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
229 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
230 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
231
232 /*XXX move to smtp_context */
233 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
234
235
236 static unsigned ehlo_response(uschar * buf, unsigned checks);
237
238 /* sync_responses() return codes */
239
240 #define RESP_BIT_HAD_5XX        BIT(1)
241 #define RESP_BIT_HAD_2XX        BIT(0)
242 #define RESP_HAD_2_AND_5        (RESP_BIT_HAD_2XX | RESP_BIT_HAD_5XX)
243 #define RESP_NOERROR            0
244 #define RESP_RCPT_TIMEO         -1
245 #define RESP_RCPT_ERROR         -2
246 #define RESP_MAIL_OR_DATA_ERROR -3
247 #define RESP_EPIPE_EHLO_ERR     -4
248 #define RESP_EHLO_ERR_TLS       -5
249
250 /******************************************************************************/
251
252 void
253 smtp_deliver_init(void)
254 {
255 struct list
256   {
257   const pcre2_code **   re;
258   const uschar *        string;
259   } list[] =
260   {
261     { &regex_AUTH,              AUTHS_REGEX },
262     { &regex_CHUNKING,          US"\\n250[\\s\\-]CHUNKING(\\s|\\n|$)" },
263     { &regex_DSN,               US"\\n250[\\s\\-]DSN(\\s|\\n|$)" },
264     { &regex_IGNOREQUOTA,       US"\\n250[\\s\\-]IGNOREQUOTA(\\s|\\n|$)" },
265     { &regex_PIPELINING,        US"\\n250[\\s\\-]PIPELINING(\\s|\\n|$)" },
266     { &regex_SIZE,              US"\\n250[\\s\\-]SIZE(\\s|\\n|$)" },
267
268 #ifndef DISABLE_TLS
269     { &regex_STARTTLS,          US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)" },
270 #endif
271 #ifndef DISABLE_PRDR
272     { &regex_PRDR,              US"\\n250[\\s\\-]PRDR(\\s|\\n|$)" },
273 #endif
274 #ifdef SUPPORT_I18N
275     { &regex_UTF8,              US"\\n250[\\s\\-]SMTPUTF8(\\s|\\n|$)" },
276 #endif
277 #ifndef DISABLE_PIPE_CONNECT
278     { &regex_EARLY_PIPE,        US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
279 #endif
280 #ifndef DISABLE_ESMTP_LIMITS
281     { &regex_LIMITS,            US"\\n250[\\s\\-]LIMITS\\s" },
282 #endif
283   };
284
285 for (struct list * l = list; l < list + nelem(list); l++)
286   if (!*l->re)
287     *l->re = regex_must_compile(l->string, MCS_NOFLAGS, TRUE);
288 }
289
290
291 /*************************************************
292 *             Setup entry point                  *
293 *************************************************/
294
295 /* This function is called when the transport is about to be used,
296 but before running it in a sub-process. It is used for two things:
297
298   (1) To set the fallback host list in addresses, when delivering.
299   (2) To pass back the interface, port, protocol, and other options, for use
300       during callout verification.
301
302 Arguments:
303   tblock    pointer to the transport instance block
304   addrlist  list of addresses about to be transported
305   tf        if not NULL, pointer to block in which to return options
306   uid       the uid that will be set (not used)
307   gid       the gid that will be set (not used)
308   errmsg    place for error message (not used)
309
310 Returns:  OK always (FAIL, DEFER not used)
311 */
312
313 static int
314 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
315   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
316 {
317 smtp_transport_options_block *ob = SOB tblock->options_block;
318
319 /* Pass back options if required. This interface is getting very messy. */
320
321 if (tf)
322   {
323   tf->interface = ob->interface;
324   tf->port = ob->port;
325   tf->protocol = ob->protocol;
326   tf->hosts = ob->hosts;
327   tf->hosts_override = ob->hosts_override;
328   tf->hosts_randomize = ob->hosts_randomize;
329   tf->gethostbyname = ob->gethostbyname;
330   tf->qualify_single = ob->dns_qualify_single;
331   tf->search_parents = ob->dns_search_parents;
332   tf->helo_data = ob->helo_data;
333   }
334
335 /* Set the fallback host list for all the addresses that don't have fallback
336 host lists, provided that the local host wasn't present in the original host
337 list. */
338
339 if (!testflag(addrlist, af_local_host_removed))
340   for (; addrlist; addrlist = addrlist->next)
341     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
342
343 return OK;
344 }
345
346
347
348 /*************************************************
349 *          Initialization entry point            *
350 *************************************************/
351
352 /* Called for each instance, after its options have been read, to
353 enable consistency checks to be done, or anything else that needs
354 to be set up.
355
356 Argument:   pointer to the transport instance block
357 Returns:    nothing
358 */
359
360 void
361 smtp_transport_init(transport_instance *tblock)
362 {
363 smtp_transport_options_block * ob = SOB tblock->options_block;
364 int old_pool = store_pool;
365
366 /* Retry_use_local_part defaults FALSE if unset */
367
368 if (tblock->retry_use_local_part == TRUE_UNSET)
369   tblock->retry_use_local_part = FALSE;
370
371 /* Set the default port according to the protocol */
372
373 if (!ob->port)
374   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
375   ? US"lmtp"
376   : strcmpic(ob->protocol, US"smtps") == 0
377   ? US"smtps" : US"smtp";
378
379 /* Set up the setup entry point, to be called before subprocesses for this
380 transport. */
381
382 tblock->setup = smtp_transport_setup;
383
384 /* Complain if any of the timeouts are zero. */
385
386 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
387     ob->final_timeout <= 0)
388   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
389     "command, data, or final timeout value is zero for %s transport",
390       tblock->name);
391
392 /* If hosts_override is set and there are local hosts, set the global
393 flag that stops verify from showing router hosts. */
394
395 if (ob->hosts_override && ob->hosts) tblock->overrides_hosts = TRUE;
396
397 /* If there are any fallback hosts listed, build a chain of host items
398 for them, but do not do any lookups at this time. */
399
400 store_pool = POOL_PERM;
401 host_build_hostlist(&ob->fallback_hostlist, ob->fallback_hosts, FALSE);
402 store_pool = old_pool;
403 }
404
405
406
407
408
409 /*************************************************
410 *   Set delivery info into all active addresses  *
411 *************************************************/
412
413 /* Only addresses whose status is >= PENDING are relevant. A lesser
414 status means that an address is not currently being processed.
415
416 Arguments:
417   addrlist       points to a chain of addresses
418   errno_value    to put in each address's errno field
419   msg            to put in each address's message field
420   rc             to put in each address's transport_return field
421   pass_message   if TRUE, set the "pass message" flag in the address
422   host           if set, mark addrs as having used this host
423   smtp_greeting  from peer
424   helo_response  from peer
425   start          points to timestamp of delivery start
426
427 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
428 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
429 this particular type of timeout.
430
431 Returns:       nothing
432 */
433
434 static void
435 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
436   BOOL pass_message, host_item * host,
437 #ifdef EXPERIMENTAL_DSN_INFO
438   const uschar * smtp_greeting, const uschar * helo_response,
439 #endif
440   struct timeval * start
441   )
442 {
443 int orvalue = 0;
444 struct timeval deliver_time;
445
446 if (errno_value == ERRNO_CONNECTTIMEOUT)
447   {
448   errno_value = ETIMEDOUT;
449   orvalue = RTEF_CTOUT;
450   }
451 timesince(&deliver_time, start);
452
453 for (address_item * addr = addrlist; addr; addr = addr->next)
454   if (addr->transport_return >= PENDING)
455     {
456     addr->basic_errno = errno_value;
457     addr->more_errno |= orvalue;
458     addr->delivery_time = deliver_time;
459     if (msg)
460       {
461       addr->message = msg;
462       if (pass_message) setflag(addr, af_pass_message);
463       }
464     addr->transport_return = rc;
465     if (host)
466       {
467       addr->host_used = host;
468 #ifdef EXPERIMENTAL_DSN_INFO
469       if (smtp_greeting)
470         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
471       addr->smtp_greeting = smtp_greeting;
472
473       if (helo_response)
474         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
475       addr->helo_response = helo_response;
476 #endif
477       }
478     }
479 }
480
481 static void
482 set_errno_nohost(address_item * addrlist, int errno_value, uschar * msg, int rc,
483   BOOL pass_message, struct timeval * start)
484 {
485 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL,
486 #ifdef EXPERIMENTAL_DSN_INFO
487           NULL, NULL,
488 #endif
489           start);
490 }
491
492
493 /*************************************************
494 *          Check an SMTP response                *
495 *************************************************/
496
497 /* This function is given an errno code and the SMTP response buffer
498 to analyse, together with the host identification for generating messages. It
499 sets an appropriate message and puts the first digit of the response code into
500 the yield variable. If no response was actually read, a suitable digit is
501 chosen.
502
503 Arguments:
504   host           the current host, to get its name for messages
505   errno_value    pointer to the errno value
506   more_errno     from the top address for use with ERRNO_FILTER_FAIL
507   buffer         the SMTP response buffer
508   yield          where to put a one-digit SMTP response code
509   message        where to put an error message
510   pass_message   set TRUE if message is an SMTP response
511
512 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
513 */
514
515 static BOOL
516 check_response(host_item *host, int *errno_value, int more_errno,
517   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
518 {
519 uschar * pl = pipelining_active ? US"pipelined " : US"";
520 const uschar * s;
521
522 *yield = '4';    /* Default setting is to give a temporary error */
523
524 switch(*errno_value)
525   {
526   case ETIMEDOUT:               /* Handle response timeout */
527     *message = US string_sprintf("SMTP timeout after %s%s",
528         pl, smtp_command);
529     if (transport_count > 0)
530       *message = US string_sprintf("%s (%d bytes written)", *message,
531         transport_count);
532     return FALSE;
533
534   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
535     s = string_printing(buffer);
536     Uskip_whitespace(&s);
537     *message = *s == 0
538       ? string_sprintf("Malformed SMTP reply (an empty line) "
539           "in response to %s%s", pl, smtp_command)
540       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
541           pl, smtp_command, s);
542     return FALSE;
543
544   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
545                                 GnuTLS and TLS1.3 */
546     *message = US"bad first read from TLS conn";
547     return TRUE;
548
549   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
550                           can't send QUIT as we mustn't end the DATA. */
551     *message = string_sprintf("transport filter process failed (%d)%s",
552       more_errno,
553       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
554     return FALSE;
555
556   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
557                             can't send QUIT as we mustn't end the DATA. */
558     *message =
559       string_sprintf("failed to expand headers_add or headers_remove: %s",
560         expand_string_message);
561     return FALSE;
562
563   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
564     *message = US"failed to write a data block";
565     return FALSE;
566
567 #ifdef SUPPORT_I18N
568   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
569     *message = US"utf8 support required but not offered for forwarding";
570     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
571     return TRUE;
572 #endif
573   }
574
575 /* Handle error responses from the remote mailer. */
576
577 if (buffer[0] != 0)
578   {
579   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
580     "%s", pl, smtp_command, s = string_printing(buffer));
581   *pass_message = TRUE;
582   *yield = buffer[0];
583   return TRUE;
584   }
585
586 /* No data was read. If there is no errno, this must be the EOF (i.e.
587 connection closed) case, which causes deferral. An explicit connection reset
588 error has the same effect. Otherwise, put the host's identity in the message,
589 leaving the errno value to be interpreted as well. In all cases, we have to
590 assume the connection is now dead. */
591
592 if (*errno_value == 0 || *errno_value == ECONNRESET)
593   {
594   *errno_value = ERRNO_SMTPCLOSED;
595   *message = US string_sprintf("Remote host closed connection "
596     "in response to %s%s", pl, smtp_command);
597   }
598 else
599   *message = US string_sprintf("%s [%s]", host->name, host->address);
600
601 return FALSE;
602 }
603
604
605
606 /*************************************************
607 *          Write error message to logs           *
608 *************************************************/
609
610 /* This writes to the main log and to the message log.
611
612 Arguments:
613   host     the current host
614   detail  the current message (addr_item->message)
615   basic_errno the errno (addr_item->basic_errno)
616
617 Returns:   nothing
618 */
619
620 static void
621 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
622 {
623 gstring * message = LOGGING(outgoing_port)
624   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
625                     host->port == PORT_NONE ? 25 : host->port)
626   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
627
628 if (suffix)
629   {
630   message = string_fmt_append(message, ": %s", suffix);
631   if (basic_errno > 0)
632     message = string_fmt_append(message, ": %s", strerror(basic_errno));
633   }
634 else
635   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
636
637 log_write(0, LOG_MAIN, "%Y", message);
638 deliver_msglog("%s %.*s\n", tod_stamp(tod_log), message->ptr, message->s);
639 }
640
641 static void
642 msglog_line(host_item * host, uschar * message)
643 {
644 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
645   host->name, host->address, message);
646 }
647
648
649
650 #ifndef DISABLE_EVENT
651 /*************************************************
652 *   Post-defer action                            *
653 *************************************************/
654
655 /* This expands an arbitrary per-transport string.
656    It might, for example, be used to write to the database log.
657
658 Arguments:
659   addr                  the address item containing error information
660   host                  the current host
661   evstr                 the event
662
663 Returns:   nothing
664 */
665
666 static void
667 deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
668 {
669 uschar * action = addr->transport->event_action;
670 const uschar * save_domain, * save_local;
671 uschar * save_rn, * save_tn;
672
673 if (!action)
674   return;
675
676 save_domain = deliver_domain;
677 save_local = deliver_localpart;
678 save_rn = router_name;
679 save_tn = transport_name;
680
681 /*XXX would ip & port already be set up? */
682 deliver_host_address = string_copy(host->address);
683 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
684 event_defer_errno =    addr->basic_errno;
685
686 router_name =    addr->router->name;
687 transport_name = addr->transport->name;
688 deliver_domain = addr->domain;
689 deliver_localpart = addr->local_part;
690
691 (void) event_raise(action, evstr,
692     addr->message
693       ? addr->basic_errno > 0
694         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
695         : string_copy(addr->message)
696       : addr->basic_errno > 0
697         ? string_copy(US strerror(addr->basic_errno))
698         : NULL,
699       NULL);
700
701 deliver_localpart = save_local;
702 deliver_domain =    save_domain;
703 router_name = save_rn;
704 router_name = save_tn;
705 }
706 #endif
707
708 /*************************************************
709 *           Reap SMTP specific responses         *
710 *************************************************/
711 static int
712 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
713   int count)
714 {
715 uschar flushbuffer[4096];
716
717 while (count-- > 0)
718   {
719   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
720              '2', ob->command_timeout)
721       && (errno != 0 || flushbuffer[0] == 0))
722     break;
723   }
724 return count;
725 }
726
727
728 /* Return boolean success */
729
730 static BOOL
731 smtp_reap_banner(smtp_context * sx)
732 {
733 BOOL good_response;
734 #if defined(__linux__) && defined(TCP_QUICKACK)
735   {     /* Hack to get QUICKACK disabled; has to be right after 3whs, and has to on->off */
736   int sock = sx->cctx.sock;
737   struct pollfd p = {.fd = sock, .events = POLLOUT};
738   if (poll(&p, 1, 1000) >= 0)   /* retval test solely for compiler quitening */
739     {
740     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &on, sizeof(on));
741     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &off, sizeof(off));
742     }
743   }
744 #endif
745 good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
746   '2', (SOB sx->conn_args.ob)->command_timeout);
747 #ifdef EXPERIMENTAL_DSN_INFO
748 sx->smtp_greeting = string_copy(sx->buffer);
749 #endif
750 return good_response;
751 }
752
753 static BOOL
754 smtp_reap_ehlo(smtp_context * sx)
755 {
756 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
757        (SOB sx->conn_args.ob)->command_timeout))
758   {
759   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
760     {
761 #ifdef EXPERIMENTAL_DSN_INFO
762     sx->helo_response = string_copy(sx->buffer);
763 #endif
764     return FALSE;
765     }
766   sx->esmtp = FALSE;
767   }
768 #ifdef EXPERIMENTAL_DSN_INFO
769 sx->helo_response = string_copy(sx->buffer);
770 #endif
771 #ifndef DISABLE_EVENT
772 (void) event_raise(sx->conn_args.tblock->event_action,
773   US"smtp:ehlo", sx->buffer, NULL);
774 #endif
775 return TRUE;
776 }
777
778
779 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
780
781 /* Grab a string differentiating server behind a loadbalancer, for TLS
782 resumption when such servers do not share a session-cache */
783
784 static void
785 ehlo_response_lbserver(smtp_context * sx, const uschar * name_extract)
786 {
787 const uschar * s;
788 uschar * save_item = iterate_item;
789
790 if (sx->conn_args.have_lbserver)
791   return;
792 iterate_item = sx->buffer;
793 s = expand_cstring(name_extract);
794 iterate_item = save_item;
795 sx->conn_args.host_lbserver = s && !*s ? NULL : s;
796 sx->conn_args.have_lbserver = TRUE;
797 }
798 #endif
799
800
801
802 /******************************************************************************/
803
804 #ifndef DISABLE_ESMTP_LIMITS
805 /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
806 Check it for a LIMITS keyword and parse values into the smtp context structure.
807
808 We don't bother with peers that we won't talk TLS to, even though they can,
809 just ignore their LIMITS advice (if any) and treat them as if they do not.
810 This saves us dealing with a duplicate set of values. */
811
812 static void
813 ehlo_response_limits_read(smtp_context * sx)
814 {
815 uschar * match;
816
817 /* matches up to just after the first space after the keyword */
818
819 if (regex_match(regex_LIMITS, sx->buffer, -1, &match))
820   for (const uschar * s = sx->buffer + Ustrlen(match); *s; )
821     {
822     if (Uskip_whitespace(&s) == '\n') break;
823
824     if (strncmpic(s, US"MAILMAX=", 8) == 0)
825       {
826       sx->peer_limit_mail = atoi(CS (s += 8));
827       while (isdigit(*s)) s++;
828       }
829     else if (strncmpic(s, US"RCPTMAX=", 8) == 0)
830       {
831       sx->peer_limit_rcpt = atoi(CS (s += 8));
832       while (isdigit(*s)) s++;
833       }
834     else if (strncmpic(s, US"RCPTDOMAINMAX=", 14) == 0)
835       {
836       sx->peer_limit_rcptdom = atoi(CS (s += 14));
837       while (isdigit(*s)) s++;
838       }
839     else
840       while (*s && !isspace(*s)) s++;
841     }
842 }
843
844 /* Apply given values to the current connection */
845 static void
846 ehlo_limits_apply(smtp_context * sx,
847   unsigned limit_mail, unsigned limit_rcpt, unsigned limit_rcptdom)
848 {
849 if (limit_mail && limit_mail < sx->max_mail) sx->max_mail = limit_mail;
850 if (limit_rcpt && limit_rcpt < sx->max_rcpt) sx->max_rcpt = limit_rcpt;
851 if (limit_rcptdom)
852   {
853   DEBUG(D_transport) debug_printf("will treat as !multi_domain\n");
854   sx->single_rcpt_domain = TRUE;
855   }
856 }
857
858 /* Apply values from EHLO-resp to the current connection */
859 static void
860 ehlo_response_limits_apply(smtp_context * sx)
861 {
862 ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
863   sx->peer_limit_rcptdom);
864 }
865
866 /* Apply values read from cache to the current connection */
867 static void
868 ehlo_cache_limits_apply(smtp_context * sx)
869 {
870 # ifndef DISABLE_PIPE_CONNECT
871 ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
872   sx->ehlo_resp.limit_rcptdom);
873 # endif
874 }
875 #endif  /*EXPERIMENTAL_ESMTP_LIMITS*/
876
877 /******************************************************************************/
878
879 #ifndef DISABLE_PIPE_CONNECT
880 static uschar *
881 ehlo_cache_key(const smtp_context * sx)
882 {
883 host_item * host = sx->conn_args.host;
884 return Ustrchr(host->address, ':')
885   ? string_sprintf("[%s]:%d.EHLO", host->address,
886     host->port == PORT_NONE ? sx->port : host->port)
887   : string_sprintf("%s:%d.EHLO", host->address,
888     host->port == PORT_NONE ? sx->port : host->port);
889 }
890
891 /* Cache EHLO-response info for use by early-pipe.
892 Called
893 - During a normal flow on EHLO response (either cleartext or under TLS),
894   when we are willing to do PIPECONNECT and it is offered
895 - During an early-pipe flow on receiving the actual EHLO response and noting
896   disparity versus the cached info used, when PIPECONNECT is still being offered
897
898 We assume that suitable values have been set in the sx.ehlo_resp structure for
899 features and auths; we handle the copy of limits. */
900
901 static void
902 write_ehlo_cache_entry(smtp_context * sx)
903 {
904 open_db dbblock, * dbm_file;
905
906 # ifndef DISABLE_ESMTP_LIMITS
907 sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
908 sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
909 sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
910 # endif
911
912 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
913   {
914   uschar * ehlo_resp_key = ehlo_cache_key(sx);
915   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
916
917   HDEBUG(D_transport)
918 # ifndef DISABLE_ESMTP_LIMITS
919     if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
920       debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
921         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
922         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths,
923         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
924         sx->ehlo_resp.limit_rcptdom);
925     else
926 # endif
927       debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
928         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
929         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
930
931   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
932   dbfn_close(dbm_file);
933   }
934 }
935
936 static void
937 invalidate_ehlo_cache_entry(smtp_context * sx)
938 {
939 open_db dbblock, * dbm_file;
940
941 if (  sx->early_pipe_active
942    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
943   {
944   uschar * ehlo_resp_key = ehlo_cache_key(sx);
945   HDEBUG(D_transport)
946     {
947     dbdata_ehlo_resp * er;
948
949     if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
950       debug_printf("no ehlo-resp record!\n");
951     else
952       debug_printf("ehlo-resp record is %.0f seconds old\n",
953                     difftime(time(NULL), er->time_stamp));
954     }
955
956   dbfn_delete(dbm_file, ehlo_resp_key);
957   dbfn_close(dbm_file);
958   }
959 }
960
961 static BOOL
962 read_ehlo_cache_entry(smtp_context * sx)
963 {
964 open_db dbblock;
965 open_db * dbm_file;
966
967 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
968   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
969 else
970   {
971   uschar * ehlo_resp_key = ehlo_cache_key(sx);
972   dbdata_ehlo_resp * er;
973
974   if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
975     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
976   else if (time(NULL) - er->time_stamp > retry_data_expire)
977     {
978     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
979     dbfn_close(dbm_file);
980     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
981       dbfn_delete(dbm_file, ehlo_resp_key);
982     }
983   else
984     {
985     DEBUG(D_transport)
986 # ifndef DISABLE_ESMTP_LIMITS
987       if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
988         debug_printf("EHLO response bits from cache:"
989           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
990           er->data.cleartext_features, er->data.cleartext_auths,
991           er->data.crypted_features, er->data.crypted_auths,
992           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
993       else
994 # endif
995         debug_printf("EHLO response bits from cache:"
996           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
997           er->data.cleartext_features, er->data.cleartext_auths,
998           er->data.crypted_features, er->data.crypted_auths);
999
1000     sx->ehlo_resp = er->data;
1001 # ifndef DISABLE_ESMTP_LIMITS
1002     ehlo_cache_limits_apply(sx);
1003 # endif
1004     dbfn_close(dbm_file);
1005     return TRUE;
1006     }
1007   dbfn_close(dbm_file);
1008   }
1009 return FALSE;
1010 }
1011
1012
1013
1014 /* Return an auths bitmap for the set of AUTH methods offered by the server
1015 which match our client-side authenticators. */
1016
1017 static unsigned short
1018 study_ehlo_auths(smtp_context * sx)
1019 {
1020 uschar * names;
1021 auth_instance * au;
1022 uschar authnum;
1023 unsigned short authbits = 0;
1024
1025 if (!sx->esmtp) return 0;
1026 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1027 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
1028 expand_nmax = -1;                                               /* reset */
1029 names = string_copyn(expand_nstring[1], expand_nlength[1]);
1030
1031 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
1032   {
1033   const uschar * list = names;
1034   uschar * s;
1035   for (int sep = ' '; s = string_nextinlist(&list, &sep, NULL, 0); )
1036     if (strcmpic(au->public_name, s) == 0)
1037       { authbits |= BIT(authnum); break; }
1038   }
1039
1040 DEBUG(D_transport)
1041   debug_printf("server offers %s AUTH, methods '%s', usable-bitmap 0x%04x\n",
1042     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
1043
1044 if (tls_out.active.sock >= 0)
1045   sx->ehlo_resp.crypted_auths = authbits;
1046 else
1047   sx->ehlo_resp.cleartext_auths = authbits;
1048 return authbits;
1049 }
1050
1051
1052
1053
1054 /* Wait for and check responses for early-pipelining.
1055
1056 Called from the lower-level smtp_read_response() function
1057 used for general code that assume synchronisation, if context
1058 flags indicate outstanding early-pipelining commands.  Also
1059 called fom sync_responses() which handles pipelined commands.
1060
1061 Arguments:
1062  sx     smtp connection context
1063  countp number of outstanding responses, adjusted on return
1064
1065 Return:
1066  OK     all well
1067  DEFER  error on first read of TLS'd conn
1068  FAIL   SMTP error in response
1069 */
1070 int
1071 smtp_reap_early_pipe(smtp_context * sx, int * countp)
1072 {
1073 BOOL pending_BANNER = sx->pending_BANNER;
1074 BOOL pending_EHLO = sx->pending_EHLO;
1075 int rc = FAIL;
1076
1077 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
1078 sx->pending_EHLO = FALSE;
1079
1080 if (pending_BANNER)
1081   {
1082   const uschar * s;
1083
1084   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
1085   (*countp)--;
1086   if (!smtp_reap_banner(sx))
1087     {
1088     DEBUG(D_transport) debug_printf("bad banner\n");
1089     if (tls_out.active.sock >= 0) rc = DEFER;
1090     goto fail;
1091     }
1092   /*XXX EXPERIMENTAL_ESMTP_LIMITS ? */
1093
1094 # if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
1095   GET_OPTION("host_name_extract");
1096   s = ((smtp_transport_options_block *)sx->conn_args.ob)->host_name_extract;
1097   if (!s) s = HNE_DEFAULT;
1098   ehlo_response_lbserver(sx, s);
1099 # endif
1100   }
1101
1102 if (pending_EHLO)
1103   {
1104   unsigned peer_offered;
1105   unsigned short authbits = 0, * ap;
1106
1107   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
1108   (*countp)--;
1109   if (!smtp_reap_ehlo(sx))
1110     {
1111     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
1112     if (tls_out.active.sock >= 0) rc = DEFER;
1113     goto fail;
1114     }
1115
1116   /* Compare the actual EHLO response extensions and AUTH methods to the cached
1117   value we assumed; on difference, dump or rewrite the cache and arrange for a
1118   retry. */
1119
1120   ap = tls_out.active.sock < 0
1121       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1122
1123   peer_offered = ehlo_response(sx->buffer,
1124           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1125         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1126         | OPTION_UTF8 | OPTION_EARLY_PIPE
1127         );
1128 # ifndef DISABLE_ESMTP_LIMITS
1129   if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1130     ehlo_response_limits_read(sx);
1131 # endif
1132   if (  peer_offered != sx->peer_offered
1133      || (authbits = study_ehlo_auths(sx)) != *ap)
1134     {
1135     HDEBUG(D_transport)
1136       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1137                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1138                     sx->peer_offered, *ap, peer_offered, authbits);
1139     if (peer_offered & OPTION_EARLY_PIPE)
1140       {
1141       *(tls_out.active.sock < 0
1142         ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) =
1143           peer_offered;
1144       *ap = authbits;
1145       write_ehlo_cache_entry(sx);
1146       }
1147     else
1148       {
1149       invalidate_ehlo_cache_entry(sx);
1150       sx->early_pipe_active = FALSE;    /* cancel further early-pipe on this conn */
1151       }
1152
1153     return OK;          /* just carry on */
1154     }
1155 # ifndef DISABLE_ESMTP_LIMITS
1156     /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
1157     cached values and invalidate cache if different.  OK to carry on with
1158     connect since values are advisory. */
1159     {
1160     if (  (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1161        && (  sx->peer_limit_mail != sx->ehlo_resp.limit_mail
1162           || sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt
1163           || sx->peer_limit_rcptdom != sx->ehlo_resp.limit_rcptdom
1164        )  )
1165       {
1166       HDEBUG(D_transport)
1167         {
1168         debug_printf("EHLO LIMITS changed:");
1169         if (sx->peer_limit_mail != sx->ehlo_resp.limit_mail)
1170           debug_printf(" MAILMAX %u -> %u\n", sx->ehlo_resp.limit_mail, sx->peer_limit_mail);
1171         else if (sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt)
1172           debug_printf(" RCPTMAX %u -> %u\n", sx->ehlo_resp.limit_rcpt, sx->peer_limit_rcpt);
1173         else
1174           debug_printf(" RCPTDOMAINMAX %u -> %u\n", sx->ehlo_resp.limit_rcptdom, sx->peer_limit_rcptdom);
1175         }
1176       invalidate_ehlo_cache_entry(sx);
1177       }
1178     }
1179 # endif
1180   }
1181 return OK;
1182
1183 fail:
1184   invalidate_ehlo_cache_entry(sx);
1185   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1186   return rc;
1187 }
1188 #endif  /*!DISABLE_PIPE_CONNECT*/
1189
1190
1191 /*************************************************
1192 *           Synchronize SMTP responses           *
1193 *************************************************/
1194
1195 /* This function is called from smtp_deliver() to receive SMTP responses from
1196 the server, and match them up with the commands to which they relate. When
1197 PIPELINING is not in use, this function is called after every command, and is
1198 therefore somewhat over-engineered, but it is simpler to use a single scheme
1199 that works both with and without PIPELINING instead of having two separate sets
1200 of code.
1201
1202 The set of commands that are buffered up with pipelining may start with MAIL
1203 and may end with DATA; in between are RCPT commands that correspond to the
1204 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1205 etc.) are never buffered.
1206
1207 Errors after MAIL or DATA abort the whole process leaving the response in the
1208 buffer. After MAIL, pending responses are flushed, and the original command is
1209 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1210 permitted to reject some recipient addresses while accepting others. However
1211 certain errors clearly abort the whole process. Set the value in
1212 transport_return to PENDING_OK if the address is accepted. If there is a
1213 subsequent general error, it will get reset accordingly. If not, it will get
1214 converted to OK at the end.
1215
1216 Arguments:
1217   sx                smtp connection context
1218   count             the number of responses to read
1219   pending_DATA      0 if last command sent was not DATA
1220                    +1 if previously had a good recipient
1221                    -1 if not previously had a good recipient
1222
1223 Returns:      3 if at least one address had 2xx and one had 5xx
1224               2 if at least one address had 5xx but none had 2xx
1225               1 if at least one host had a 2xx response, but none had 5xx
1226               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1227              -1 timeout while reading RCPT response
1228              -2 I/O or other non-response error for RCPT
1229              -3 DATA or MAIL failed - errno and buffer set
1230              -4 banner or EHLO failed (early-pipelining)
1231              -5 banner or EHLO failed (early-pipelining, TLS)
1232 */
1233
1234 static int
1235 sync_responses(smtp_context * sx, int count, int pending_DATA)
1236 {
1237 address_item * addr = sx->sync_addr;
1238 smtp_transport_options_block * ob = sx->conn_args.ob;
1239 int yield = 0;
1240
1241 #ifndef DISABLE_PIPE_CONNECT
1242 int rc;
1243 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1244   return rc == FAIL ? RESP_EPIPE_EHLO_ERR : RESP_EHLO_ERR_TLS;
1245 #endif
1246
1247 /* Handle the response for a MAIL command. On error, reinstate the original
1248 command in big_buffer for error message use, and flush any further pending
1249 responses before returning, except after I/O errors and timeouts. */
1250
1251 if (sx->pending_MAIL)
1252   {
1253   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1254   count--;
1255   sx->pending_MAIL = sx->RCPT_452 = FALSE;
1256   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1257                           '2', ob->command_timeout))
1258     {
1259     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1260     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1261     if (errno == ERRNO_TLSFAILURE)
1262       return RESP_EHLO_ERR_TLS;
1263     if (errno == 0 && sx->buffer[0] != 0)
1264       {
1265       int save_errno = 0;
1266       if (sx->buffer[0] == '4')
1267         {
1268         save_errno = ERRNO_MAIL4XX;
1269         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1270         }
1271       count = smtp_discard_responses(sx, ob, count);
1272       errno = save_errno;
1273       }
1274
1275     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1276     while (count-- > 0)         /* Mark any pending addrs with the host used */
1277       {
1278       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1279       addr->host_used = sx->conn_args.host;
1280       addr = addr->next;
1281       }
1282     return RESP_MAIL_OR_DATA_ERROR;
1283     }
1284   }
1285
1286 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1287
1288 /* Read and handle the required number of RCPT responses, matching each one up
1289 with an address by scanning for the next address whose status is PENDING_DEFER.
1290 */
1291
1292 while (count-- > 0)
1293   {
1294   while (addr->transport_return != PENDING_DEFER)
1295     if (!(addr = addr->next))
1296       return RESP_RCPT_ERROR;
1297
1298   /* The address was accepted */
1299   addr->host_used = sx->conn_args.host;
1300
1301   DEBUG(D_transport) debug_printf("%s expect rcpt for %s\n", __FUNCTION__, addr->address);
1302   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1303                           '2', ob->command_timeout))
1304     {
1305     yield |= RESP_BIT_HAD_2XX;
1306     addr->transport_return = PENDING_OK;
1307
1308     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1309     ensure that any address-specific retry record is expunged. We do this both
1310     for the basic key and for the version that also includes the sender. */
1311
1312     if (testflag(addr, af_dr_retry_exists))
1313       {
1314       uschar * altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1315         sender_address);
1316       retry_add_item(addr, altkey, rf_delete);
1317       retry_add_item(addr, addr->address_retry_key, rf_delete);
1318       }
1319     }
1320
1321   /* Error on first TLS read */
1322
1323   else if (errno == ERRNO_TLSFAILURE)
1324     return RESP_EHLO_ERR_TLS;
1325
1326   /* Timeout while reading the response */
1327
1328   else if (errno == ETIMEDOUT)
1329     {
1330     uschar * message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1331                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1332     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
1333     retry_add_item(addr, addr->address_retry_key, 0);
1334     update_waiting = FALSE;
1335     return RESP_RCPT_TIMEO;
1336     }
1337
1338   /* Handle other errors in obtaining an SMTP response by returning -1. This
1339   will cause all the addresses to be deferred. Restore the SMTP command in
1340   big_buffer for which we are checking the response, so the error message
1341   makes sense. */
1342
1343   else if (errno != 0 || sx->buffer[0] == 0)
1344     {
1345     gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer }, * g = &gs;
1346
1347     /* Use taint-unchecked routines for writing into big_buffer, trusting
1348     that we'll never expand it. */
1349
1350     g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
1351       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1352     string_from_gstring(g);
1353     return RESP_RCPT_ERROR;
1354     }
1355
1356   /* Handle SMTP permanent and temporary response codes. */
1357
1358   else
1359     {
1360     addr->message =
1361       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1362         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1363         string_printing(sx->buffer));
1364     setflag(addr, af_pass_message);
1365     if (!sx->verify)
1366       msglog_line(sx->conn_args.host, addr->message);
1367
1368     /* The response was 5xx */
1369
1370     if (sx->buffer[0] == '5')
1371       {
1372       addr->transport_return = FAIL;
1373       yield |= RESP_BIT_HAD_5XX;
1374       }
1375
1376     /* The response was 4xx */
1377
1378     else
1379       {
1380       addr->transport_return = DEFER;
1381       addr->basic_errno = ERRNO_RCPT4XX;
1382       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1383
1384       if (!sx->verify)
1385         {
1386 #ifndef DISABLE_EVENT
1387         event_defer_errno = addr->more_errno;
1388         msg_event_raise(US"msg:rcpt:host:defer", addr);
1389 #endif
1390         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
1391         start point for another MAIL command. */
1392
1393         if (addr->more_errno >> 8 == 52  &&  yield > 0)
1394           {
1395           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
1396             {
1397             DEBUG(D_transport)
1398               debug_printf("%s: seen first 452 too-many-rcpts\n", __FUNCTION__);
1399             sx->RCPT_452 = TRUE;
1400             sx->next_addr = addr;
1401             }
1402           addr->transport_return = PENDING_DEFER;
1403           addr->basic_errno = 0;
1404           }
1405         else
1406           {
1407           /* Log temporary errors if there are more hosts to be tried.
1408           If not, log this last one in the == line. */
1409
1410           if (sx->conn_args.host->next)
1411             if (LOGGING(outgoing_port))
1412               log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1413                 sx->conn_args.host->address,
1414                 sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1415             else
1416               log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1417                 sx->conn_args.host->address, addr->message);
1418
1419 #ifndef DISABLE_EVENT
1420           else
1421             msg_event_raise(US"msg:rcpt:defer", addr);
1422 #endif
1423
1424           /* Do not put this message on the list of those waiting for specific
1425           hosts, as otherwise it is likely to be tried too often. */
1426
1427           update_waiting = FALSE;
1428
1429           /* Add a retry item for the address so that it doesn't get tried again
1430           too soon. If address_retry_include_sender is true, add the sender address
1431           to the retry key. */
1432
1433           retry_add_item(addr,
1434             ob->address_retry_include_sender
1435               ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1436               : addr->address_retry_key,
1437             0);
1438           }
1439         }
1440       }
1441     }
1442   if (count && !(addr = addr->next))
1443     return RESP_RCPT_ERROR;
1444   }       /* Loop for next RCPT response */
1445
1446 /* Update where to start at for the next block of responses, unless we
1447 have already handled all the addresses. */
1448
1449 if (addr) sx->sync_addr = addr->next;
1450
1451 /* Handle a response to DATA. If we have not had any good recipients, either
1452 previously or in this block, the response is ignored. */
1453
1454 if (pending_DATA != 0)
1455   {
1456   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1457   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1458                         '3', ob->command_timeout))
1459     {
1460     int code;
1461     uschar *msg;
1462     BOOL pass_message;
1463
1464     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1465       return RESP_EHLO_ERR_TLS;
1466
1467     if (pending_DATA > 0 || yield & RESP_BIT_HAD_2XX)
1468       {
1469       if (errno == 0 && sx->buffer[0] == '4')
1470         {
1471         errno = ERRNO_DATA4XX;
1472         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1473         }
1474       return RESP_MAIL_OR_DATA_ERROR;
1475       }
1476     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1477     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1478       "is in use and there were no good recipients\n", msg);
1479     }
1480   }
1481
1482 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1483 present) received 3xx. If any RCPTs were handled and yielded anything other
1484 than 4xx, yield will be set non-zero. */
1485
1486 return yield;
1487 }
1488
1489
1490
1491
1492
1493 /* Try an authenticator's client entry */
1494
1495 static int
1496 try_authenticator(smtp_context * sx, auth_instance * au)
1497 {
1498 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1499 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1500 int rc;
1501
1502 /* Set up globals for error messages */
1503
1504 authenticator_name = au->name;
1505 driver_srcfile = au->srcfile;
1506 driver_srcline = au->srcline;
1507
1508 sx->outblock.authenticating = TRUE;
1509 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1510                             sx->buffer, sizeof(sx->buffer));
1511 sx->outblock.authenticating = FALSE;
1512 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
1513 DEBUG(D_transport) debug_printf("%s authenticator yielded %s\n", au->name, rc_names[rc]);
1514
1515 /* A temporary authentication failure must hold up delivery to
1516 this host. After a permanent authentication failure, we carry on
1517 to try other authentication methods. If all fail hard, try to
1518 deliver the message unauthenticated unless require_auth was set. */
1519
1520 switch(rc)
1521   {
1522   case OK:
1523     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1524     client_authenticator = au->name;
1525     if (au->set_client_id)
1526       client_authenticated_id = expand_string(au->set_client_id);
1527     break;
1528
1529   /* Failure after writing a command */
1530
1531   case FAIL_SEND:
1532     return FAIL_SEND;
1533
1534   /* Failure after reading a response */
1535
1536   case FAIL:
1537     {
1538     uschar * logmsg = NULL;
1539
1540     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1541 #ifndef DISABLE_EVENT
1542      {
1543       uschar * save_name = sender_host_authenticated;
1544       sender_host_authenticated = au->name;
1545       if ((logmsg = event_raise(sx->conn_args.tblock->event_action, US"auth:fail",
1546                                 sx->buffer, NULL)))
1547         log_write(0, LOG_MAIN, "%s", logmsg);
1548       sender_host_authenticated = save_name;
1549      }
1550 #endif
1551     if (!logmsg)
1552       log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1553         au->name, host->name, host->address, sx->buffer);
1554     break;
1555     }
1556
1557   /* Failure by some other means. In effect, the authenticator
1558   decided it wasn't prepared to handle this case. Typically this
1559   is the result of "fail" in an expansion string. Do we need to
1560   log anything here? Feb 2006: a message is now put in the buffer
1561   if logging is required. */
1562
1563   case CANCELLED:
1564     if (*sx->buffer != 0)
1565       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1566         "authentication H=%s [%s] %s", au->name, host->name,
1567         host->address, sx->buffer);
1568     break;
1569
1570   /* Internal problem, message in buffer. */
1571
1572   case ERROR:
1573     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1574               DEFER, FALSE, &sx->delivery_start);
1575     return ERROR;
1576   }
1577 return OK;
1578 }
1579
1580
1581
1582
1583 /* Do the client side of smtp-level authentication.
1584
1585 Arguments:
1586   sx            smtp connection context
1587
1588 sx->buffer should have the EHLO response from server (gets overwritten)
1589
1590 Returns:
1591   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1592   DEFER                 Failed authentication (and was required)
1593   ERROR                 Internal problem
1594
1595   FAIL_SEND             Failed communications - transmit
1596   FAIL                  - response
1597 */
1598
1599 static int
1600 smtp_auth(smtp_context * sx)
1601 {
1602 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1603 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1604 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1605 #ifndef DISABLE_PIPE_CONNECT
1606 unsigned short authbits = tls_out.active.sock >= 0
1607       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1608 #endif
1609 uschar * fail_reason = US"server did not advertise AUTH support";
1610
1611 f.smtp_authenticated = FALSE;
1612 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1613
1614 if (!regex_AUTH)
1615   regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1616
1617 /* Is the server offering AUTH? */
1618
1619 if (  sx->esmtp
1620    &&
1621 #ifndef DISABLE_PIPE_CONNECT
1622       sx->early_pipe_active ? authbits
1623       :
1624 #endif
1625         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1626    )
1627   {
1628   uschar * names = NULL;
1629   expand_nmax = -1;                          /* reset */
1630
1631 #ifndef DISABLE_PIPE_CONNECT
1632   if (!sx->early_pipe_active)
1633 #endif
1634     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1635
1636   /* Must not do this check until after we have saved the result of the
1637   regex match above as the check could be another RE. */
1638
1639   if (  require_auth == OK
1640      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1641     {
1642     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1643     fail_reason = US"no common mechanisms were found";
1644
1645 #ifndef DISABLE_PIPE_CONNECT
1646     if (sx->early_pipe_active)
1647       {
1648       /* Scan our authenticators (which support use by a client and were offered
1649       by the server (checked at cache-write time)), not suppressed by
1650       client_condition.  If one is found, attempt to authenticate by calling its
1651       client function.  We are limited to supporting up to 16 authenticator
1652       public-names by the number of bits in a short. */
1653
1654       auth_instance * au;
1655       uschar bitnum;
1656       int rc;
1657
1658       for (bitnum = 0, au = auths;
1659            !f.smtp_authenticated && au && bitnum < 16;
1660            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1661         {
1662         if (  au->client_condition
1663            && !expand_check_condition(au->client_condition, au->name,
1664                    US"client authenticator"))
1665           {
1666           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1667             au->name, "client_condition is false");
1668           continue;
1669           }
1670
1671         /* Found data for a listed mechanism. Call its client entry. Set
1672         a flag in the outblock so that data is overwritten after sending so
1673         that reflections don't show it. */
1674
1675         fail_reason = US"authentication attempt(s) failed";
1676
1677         if ((rc = try_authenticator(sx, au)) != OK)
1678           return rc;
1679         }
1680       }
1681     else
1682 #endif
1683
1684     /* Scan the configured authenticators looking for one which is configured
1685     for use as a client, which is not suppressed by client_condition, and
1686     whose name matches an authentication mechanism supported by the server.
1687     If one is found, attempt to authenticate by calling its client function.
1688     */
1689
1690     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1691       {
1692       uschar *p = names;
1693
1694       if (  !au->client
1695          || (   au->client_condition
1696             &&  !expand_check_condition(au->client_condition, au->name,
1697                    US"client authenticator")))
1698         {
1699         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1700           au->name,
1701           au->client ? "client_condition is false"
1702                     : "not configured as a client");
1703         continue;
1704         }
1705
1706       /* Loop to scan supported server mechanisms */
1707
1708       while (*p)
1709         {
1710         int len = Ustrlen(au->public_name), rc;
1711
1712         Uskip_whitespace(&p);
1713
1714         if (strncmpic(au->public_name, p, len) != 0 ||
1715             (p[len] && !isspace(p[len])))
1716           {
1717           while (*p && !isspace(*p)) p++;
1718           continue;
1719           }
1720
1721         /* Found data for a listed mechanism. Call its client entry. Set
1722         a flag in the outblock so that data is overwritten after sending so
1723         that reflections don't show it. */
1724
1725         fail_reason = US"authentication attempt(s) failed";
1726
1727         if ((rc = try_authenticator(sx, au)) != OK)
1728           return rc;
1729
1730         break;  /* If not authenticated, try next authenticator */
1731         }       /* Loop for scanning supported server mechanisms */
1732       }         /* Loop for further authenticators */
1733     }
1734   }
1735
1736 /* If we haven't authenticated, but are required to, give up. */
1737
1738 if (require_auth == OK && !f.smtp_authenticated)
1739   {
1740 #ifndef DISABLE_PIPE_CONNECT
1741   invalidate_ehlo_cache_entry(sx);
1742 #endif
1743   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1744     string_sprintf("authentication required but %s", fail_reason), DEFER,
1745     FALSE, &sx->delivery_start);
1746   return DEFER;
1747   }
1748
1749 return OK;
1750 }
1751
1752
1753 /* Construct AUTH appendix string for MAIL TO */
1754 /*
1755 Arguments
1756   sx            context for smtp connection
1757   p             point in sx->buffer to build string
1758   addrlist      chain of potential addresses to deliver
1759
1760 Globals         f.smtp_authenticated
1761                 client_authenticated_sender
1762 Return  True on error, otherwise buffer has (possibly empty) terminated string
1763 */
1764
1765 static BOOL
1766 smtp_mail_auth_str(smtp_context * sx, uschar * p, address_item * addrlist)
1767 {
1768 smtp_transport_options_block * ob = sx->conn_args.ob;
1769 uschar * local_authenticated_sender = authenticated_sender;
1770
1771 #ifdef notdef
1772   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n",
1773     authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1774 #endif
1775
1776 GET_OPTION("authenticated_sender");
1777 if (ob->authenticated_sender)
1778   {
1779   uschar * new = expand_string(ob->authenticated_sender);
1780   if (!new)
1781     {
1782     if (!f.expand_string_forcedfail)
1783       {
1784       uschar *message = string_sprintf("failed to expand "
1785         "authenticated_sender: %s", expand_string_message);
1786       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
1787       return TRUE;
1788       }
1789     }
1790   else if (*new)
1791     local_authenticated_sender = new;
1792   }
1793
1794 /* Add the authenticated sender address if present */
1795
1796 if (  (f.smtp_authenticated || ob->authenticated_sender_force)
1797    && local_authenticated_sender)
1798   {
1799   string_format_nt(p, sizeof(sx->buffer) - (p-sx->buffer), " AUTH=%s",
1800     auth_xtextencode(local_authenticated_sender,
1801       Ustrlen(local_authenticated_sender)));
1802   client_authenticated_sender = string_copy(local_authenticated_sender);
1803   }
1804 else
1805   *p = 0;
1806
1807 return FALSE;
1808 }
1809
1810
1811
1812 typedef struct smtp_compare_s
1813 {
1814     const uschar *              current_sender_address;
1815     struct transport_instance * tblock;
1816 } smtp_compare_t;
1817
1818
1819 /* Create a unique string that identifies this message, it is based on
1820 sender_address, helo_data and tls_certificate if enabled.
1821 */
1822
1823 static uschar *
1824 smtp_local_identity(const uschar * sender, struct transport_instance * tblock)
1825 {
1826 address_item * addr1;
1827 uschar * if1 = US"";
1828 uschar * helo1 = US"";
1829 #ifndef DISABLE_TLS
1830 uschar * tlsc1 = US"";
1831 #endif
1832 const uschar * save_sender_address = sender_address;
1833 uschar * local_identity = NULL;
1834 smtp_transport_options_block * ob = SOB tblock->options_block;
1835
1836 sender_address = sender;
1837
1838 addr1 = deliver_make_addr (sender, TRUE);
1839 deliver_set_expansions(addr1);
1840
1841 if (ob->interface)
1842   if1 = expand_string(ob->interface);
1843
1844 if (ob->helo_data)
1845   helo1 = expand_string(ob->helo_data);
1846
1847 #ifndef DISABLE_TLS
1848 if (ob->tls_certificate)
1849   tlsc1 = expand_string(ob->tls_certificate);
1850 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1851 #else
1852 local_identity = string_sprintf ("%s^%s", if1, helo1);
1853 #endif
1854
1855 deliver_set_expansions(NULL);
1856 sender_address = save_sender_address;
1857
1858 return local_identity;
1859 }
1860
1861
1862
1863 /* This routine is a callback that is called from transport_check_waiting.
1864 This function will evaluate the incoming message versus the previous
1865 message.  If the incoming message is using a different local identity then
1866 we will veto this new message.  */
1867
1868 static BOOL
1869 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1870 {
1871 uschar * message_local_identity,
1872        * current_local_identity,
1873        * new_sender_address;
1874
1875 current_local_identity =
1876   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1877
1878 if (!(new_sender_address = spool_sender_from_msgid(message_id)))
1879   return FALSE;
1880
1881
1882 message_local_identity =
1883   smtp_local_identity(new_sender_address, s_compare->tblock);
1884
1885 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1886 }
1887
1888
1889
1890 static unsigned
1891 ehlo_response(uschar * buf, unsigned checks)
1892 {
1893 PCRE2_SIZE bsize = Ustrlen(buf);
1894 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
1895
1896 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1897
1898 #ifndef DISABLE_TLS
1899 if (  checks & OPTION_TLS
1900    && pcre2_match(regex_STARTTLS,
1901                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1902 #endif
1903   checks &= ~OPTION_TLS;
1904
1905 if (  checks & OPTION_IGNQ
1906    && pcre2_match(regex_IGNOREQUOTA,
1907                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1908   checks &= ~OPTION_IGNQ;
1909
1910 if (  checks & OPTION_CHUNKING
1911    && pcre2_match(regex_CHUNKING,
1912                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1913   checks &= ~OPTION_CHUNKING;
1914
1915 #ifndef DISABLE_PRDR
1916 if (  checks & OPTION_PRDR
1917    && pcre2_match(regex_PRDR,
1918                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1919 #endif
1920   checks &= ~OPTION_PRDR;
1921
1922 #ifdef SUPPORT_I18N
1923 if (  checks & OPTION_UTF8
1924    && pcre2_match(regex_UTF8,
1925                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1926 #endif
1927   checks &= ~OPTION_UTF8;
1928
1929 if (  checks & OPTION_DSN
1930    && pcre2_match(regex_DSN,
1931                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1932   checks &= ~OPTION_DSN;
1933
1934 if (  checks & OPTION_PIPE
1935    && pcre2_match(regex_PIPELINING,
1936                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1937   checks &= ~OPTION_PIPE;
1938
1939 if (  checks & OPTION_SIZE
1940    && pcre2_match(regex_SIZE,
1941                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1942   checks &= ~OPTION_SIZE;
1943
1944 #ifndef DISABLE_PIPE_CONNECT
1945 if (  checks & OPTION_EARLY_PIPE
1946    && pcre2_match(regex_EARLY_PIPE,
1947                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1948 #endif
1949   checks &= ~OPTION_EARLY_PIPE;
1950
1951 /* pcre2_match_data_free(md);   gen ctx needs no free */
1952 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1953 return checks;
1954 }
1955
1956
1957
1958 /* Callback for emitting a BDAT data chunk header.
1959
1960 If given a nonzero size, first flush any buffered SMTP commands
1961 then emit the command.
1962
1963 Reap previous SMTP command responses if requested, and always reap
1964 the response from a previous BDAT command.
1965
1966 Args:
1967  tctx           transport context
1968  chunk_size     value for SMTP BDAT command
1969  flags
1970    tc_chunk_last        add LAST option to SMTP BDAT command
1971    tc_reap_prev         reap response to previous SMTP commands
1972
1973 Returns:
1974   OK or ERROR
1975   DEFER                 TLS error on first read (EHLO-resp); errno set
1976 */
1977
1978 static int
1979 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1980   unsigned flags)
1981 {
1982 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1983 smtp_context * sx = tctx->smtp_context;
1984 int cmd_count = 0;
1985 int prev_cmd_count;
1986
1987 /* Write SMTP chunk header command.  If not reaping responses, note that
1988 there may be more writes (like, the chunk data) done soon. */
1989
1990 if (chunk_size > 0)
1991   {
1992 #ifndef DISABLE_PIPE_CONNECT
1993   BOOL new_conn = !!(sx->outblock.conn_args);
1994 #endif
1995   if((cmd_count = smtp_write_command(sx,
1996               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1997               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1998      ) < 0) return ERROR;
1999   if (flags & tc_chunk_last)
2000     data_command = string_copy(big_buffer);  /* Save for later error message */
2001 #ifndef DISABLE_PIPE_CONNECT
2002   /* That command write could have been the one that made the connection.
2003   Copy the fd from the client conn ctx (smtp transport specific) to the
2004   generic transport ctx. */
2005
2006   if (new_conn)
2007     tctx->u.fd = sx->outblock.cctx->sock;
2008 #endif
2009   }
2010
2011 prev_cmd_count = cmd_count += sx->cmd_count;
2012
2013 /* Reap responses for any previous, but not one we just emitted */
2014
2015 if (chunk_size > 0)
2016   prev_cmd_count--;
2017 if (sx->pending_BDAT)
2018   prev_cmd_count--;
2019
2020 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
2021   {
2022   DEBUG(D_transport) debug_printf("look for %d responses"
2023     " for previous pipelined cmds\n", prev_cmd_count);
2024
2025   switch(sync_responses(sx, prev_cmd_count, 0))
2026     {
2027     case RESP_BIT_HAD_2XX:                              /* OK */
2028     case RESP_HAD_2_AND_5: sx->good_RCPT = TRUE;        /* OK & progress made */
2029     case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE;   /* progress made */
2030     case RESP_NOERROR:     break;       /* No 2xx or 5xx, but no probs */
2031
2032     case RESP_EHLO_ERR_TLS:errno = ERRNO_TLSFAILURE;
2033                            return DEFER;
2034 #ifndef DISABLE_PIPE_CONNECT
2035     case RESP_EPIPE_EHLO_ERR:           /* non-2xx for pipelined banner or EHLO */
2036 #endif
2037     case RESP_RCPT_TIMEO:               /* Timeout on RCPT */
2038     default:               return ERROR;/* I/O error, or any MAIL/DATA error */
2039     }
2040   cmd_count = 1;
2041   if (!sx->pending_BDAT)
2042     pipelining_active = FALSE;
2043   }
2044
2045 /* Reap response for an outstanding BDAT */
2046
2047 if (sx->pending_BDAT)
2048   {
2049   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
2050
2051   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
2052        ob->command_timeout))
2053     {
2054     if (errno == 0 && sx->buffer[0] == '4')
2055       {
2056       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
2057       sx->addrlist->more_errno |=
2058         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
2059       }
2060     return ERROR;
2061     }
2062   cmd_count--;
2063   sx->pending_BDAT = FALSE;
2064   pipelining_active = FALSE;
2065   }
2066 else if (chunk_size > 0)
2067   sx->pending_BDAT = TRUE;
2068
2069
2070 sx->cmd_count = cmd_count;
2071 return OK;
2072 }
2073
2074
2075
2076 #ifdef SUPPORT_DANE
2077 static int
2078 check_force_dane_conn(smtp_context * sx, smtp_transport_options_block * ob)
2079 {
2080 int rc;
2081 if(  sx->dane_required
2082   || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2083   )
2084   switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2085     {
2086     case OK:            sx->conn_args.dane = TRUE;
2087                         ob->tls_tempfail_tryclear = FALSE;      /* force TLS */
2088                         ob->tls_sni = sx->conn_args.host->name; /* force SNI */
2089                         break;
2090     case FAIL_FORCED:   break;
2091     default:            set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2092                             string_sprintf("DANE error: tlsa lookup %s",
2093                               rc_to_string(rc)),
2094                             rc, FALSE, &sx->delivery_start);
2095 # ifndef DISABLE_EVENT
2096                         (void) event_raise(sx->conn_args.tblock->event_action,
2097                           US"dane:fail", sx->dane_required
2098                             ?  US"dane-required" : US"dnssec-invalid",
2099                           NULL);
2100 # endif
2101                         return rc;
2102     }
2103 return OK;
2104 }
2105 #endif
2106
2107
2108 /*************************************************
2109 *       Make connection for given message        *
2110 *************************************************/
2111
2112 /*
2113 Arguments:
2114   sx              connection context
2115   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
2116                     a second attempt after TLS initialization fails
2117
2118 Returns:          OK    - the connection was made and the delivery attempted;
2119                           fd is set in the conn context, tls_out set up.
2120                   DEFER - the connection could not be made, or something failed
2121                           while setting up the SMTP session, or there was a
2122                           non-message-specific error, such as a timeout.
2123                   ERROR - helo_data or add_headers or authenticated_sender is
2124                           specified for this transport, and the string failed
2125                           to expand
2126 */
2127 int
2128 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
2129 {
2130 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
2131 BOOL pass_message = FALSE;
2132 uschar * message = NULL;
2133 int yield = OK;
2134 #ifndef DISABLE_TLS
2135 uschar * tls_errstr;
2136 #endif
2137
2138 /* Many lines of clearing individual elements of *sx that used to
2139 be here have been replaced by a full memset to zero (de41aff051).
2140 There are two callers, this file and verify.c .  Now we only set
2141 up nonzero elements. */
2142
2143 sx->conn_args.ob = ob;
2144
2145 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
2146 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
2147 sx->send_rset = TRUE;
2148 sx->send_quit = TRUE;
2149 sx->setting_up = TRUE;
2150 sx->esmtp = TRUE;
2151 sx->dsn_all_lasthop = TRUE;
2152 #ifdef SUPPORT_DANE
2153 sx->dane_required =
2154   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
2155 #endif
2156
2157 if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0)
2158   sx->max_mail = UNLIMITED_ADDRS;
2159 sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2160 sx->igquotstr = US"";
2161 if (!sx->helo_data) sx->helo_data = ob->helo_data;
2162
2163 smtp_command = US"initial connection";
2164
2165 /* Set up the buffer for reading SMTP response packets. */
2166
2167 sx->inblock.buffer = sx->inbuffer;
2168 sx->inblock.buffersize = sizeof(sx->inbuffer);
2169 sx->inblock.ptr = sx->inbuffer;
2170 sx->inblock.ptrend = sx->inbuffer;
2171
2172 /* Set up the buffer for holding SMTP commands while pipelining */
2173
2174 sx->outblock.buffer = sx->outbuffer;
2175 sx->outblock.buffersize = sizeof(sx->outbuffer);
2176 sx->outblock.ptr = sx->outbuffer;
2177
2178 /* Reset the parameters of a TLS session. */
2179
2180 tls_out.bits = 0;
2181 tls_out.cipher = NULL;  /* the one we may use for this transport */
2182 tls_out.ourcert = NULL;
2183 tls_out.peercert = NULL;
2184 tls_out.peerdn = NULL;
2185 #ifdef USE_OPENSSL
2186 tls_out.sni = NULL;
2187 #endif
2188 tls_out.ocsp = OCSP_NOT_REQ;
2189 #ifndef DISABLE_TLS_RESUME
2190 tls_out.resumption = 0;
2191 #endif
2192 tls_out.ver = NULL;
2193
2194 /* Flip the legacy TLS-related variables over to the outbound set in case
2195 they're used in the context of the transport.  Don't bother resetting
2196 afterward (when being used by a transport) as we're in a subprocess.
2197 For verify, unflipped once the callout is dealt with */
2198
2199 tls_modify_variables(&tls_out);
2200
2201 #ifdef DISABLE_TLS
2202 if (sx->smtps)
2203   {
2204   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2205             DEFER, FALSE, &sx->delivery_start);
2206   return ERROR;
2207   }
2208 #else
2209
2210 /* If we have a proxied TLS connection, check usability for this message */
2211
2212 if (continue_hostname && continue_proxy_cipher)
2213   {
2214   int rc;
2215   const uschar * sni = US"";
2216
2217 # ifdef SUPPORT_DANE
2218   /* Check if the message will be DANE-verified; if so force TLS and its SNI */
2219
2220   tls_out.dane_verified = FALSE;
2221   smtp_port_for_connect(sx->conn_args.host, sx->port);
2222   if (  sx->conn_args.host->dnssec == DS_YES
2223      && (rc = check_force_dane_conn(sx, ob)) != OK
2224      )
2225     return rc;
2226 # endif
2227
2228   /* If the SNI or the DANE status required for the new message differs from the
2229   existing conn drop the connection to force a new one. */
2230
2231   if (ob->tls_sni && !(sni = expand_cstring(ob->tls_sni)))
2232     log_write(0, LOG_MAIN|LOG_PANIC,
2233       "<%s>: failed to expand transport's tls_sni value: %s",
2234       sx->addrlist->address, expand_string_message);
2235
2236 # ifdef SUPPORT_DANE
2237   if (  (continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni)
2238      && continue_proxy_dane == sx->conn_args.dane)
2239     {
2240     tls_out.sni = US sni;
2241     if ((tls_out.dane_verified = continue_proxy_dane))
2242       sx->conn_args.host->dnssec = DS_YES;
2243     }
2244 # else
2245   if ((continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni))
2246     tls_out.sni = US sni;
2247 # endif
2248   else
2249     {
2250     DEBUG(D_transport)
2251       debug_printf("Closing proxied-TLS connection due to SNI mismatch\n");
2252
2253     smtp_debug_cmd(US"QUIT", 0);
2254     write(0, "QUIT\r\n", 6);
2255     close(0);
2256     continue_hostname = continue_proxy_cipher = NULL;
2257     f.continue_more = FALSE;
2258     continue_sequence = 1;      /* Unfortunately, this process cannot affect success log
2259                                 which is done by delivery proc.  Would have to pass this
2260                                 back through reporting pipe. */
2261     }
2262   }
2263 #endif  /*!DISABLE_TLS*/
2264
2265 /* Make a connection to the host if this isn't a continued delivery, and handle
2266 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2267 specially so they can be identified for retries. */
2268
2269 if (!continue_hostname)
2270   {
2271   if (sx->verify)
2272     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2273
2274   /* Arrange to report to calling process this is a new connection */
2275
2276   clearflag(sx->first_addr, af_cont_conn);
2277   setflag(sx->first_addr, af_new_conn);
2278
2279   /* Get the actual port the connection will use, into sx->conn_args.host */
2280
2281   smtp_port_for_connect(sx->conn_args.host, sx->port);
2282
2283 #ifdef SUPPORT_DANE
2284     /* Do TLSA lookup for DANE */
2285     {
2286     tls_out.dane_verified = FALSE;
2287     tls_out.tlsa_usage = 0;
2288
2289     if (sx->conn_args.host->dnssec == DS_YES)
2290       {
2291       int rc;
2292       if ((rc = check_force_dane_conn(sx, ob)) != OK)
2293         return rc;
2294       }
2295     else if (sx->dane_required)
2296       {
2297       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2298         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2299         FAIL, FALSE, &sx->delivery_start);
2300 # ifndef DISABLE_EVENT
2301       (void) event_raise(sx->conn_args.tblock->event_action,
2302         US"dane:fail", US"dane-required", NULL);
2303 # endif
2304       return FAIL;
2305       }
2306     }
2307 #endif  /*DANE*/
2308
2309   /* Make the TCP connection */
2310
2311   sx->cctx.tls_ctx = NULL;
2312   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2313 #ifndef DISABLE_ESMTP_LIMITS
2314   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
2315 #endif
2316   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2317 #ifndef DISABLE_CLIENT_CMD_LOG
2318   client_cmd_log = NULL;
2319 #endif
2320
2321 #ifndef DISABLE_PIPE_CONNECT
2322   if (  verify_check_given_host(CUSS &ob->hosts_pipe_connect,
2323                                             sx->conn_args.host) == OK)
2324
2325     /* We don't find out the local ip address until the connect, so if
2326     the helo string might use it avoid doing early-pipelining. */
2327
2328     if (  !sx->helo_data
2329        || sx->conn_args.interface
2330        || !Ustrstr(sx->helo_data, "$sending_ip_address")
2331        || Ustrstr(sx->helo_data, "def:sending_ip_address")
2332        )
2333       {
2334       sx->early_pipe_ok = TRUE;
2335       if (  read_ehlo_cache_entry(sx)
2336          && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2337         {
2338         DEBUG(D_transport)
2339           debug_printf("Using cached cleartext PIPECONNECT\n");
2340         sx->early_pipe_active = TRUE;
2341         sx->peer_offered = sx->ehlo_resp.cleartext_features;
2342         }
2343       }
2344     else DEBUG(D_transport)
2345       debug_printf("helo needs $sending_ip_address; avoid early-pipelining\n");
2346
2347 PIPE_CONNECT_RETRY:
2348   if (sx->early_pipe_active)
2349     {
2350     sx->outblock.conn_args = &sx->conn_args;
2351     (void) smtp_boundsock(&sx->conn_args);
2352     }
2353   else
2354 #endif
2355     {
2356     blob lazy_conn = {.data = NULL};
2357     /* For TLS-connect, a TFO lazy-connect is useful since the Client Hello
2358     can go on the TCP SYN. */
2359
2360     if ((sx->cctx.sock = smtp_connect(&sx->conn_args,
2361                             sx->smtps ? &lazy_conn : NULL)) < 0)
2362       {
2363       set_errno_nohost(sx->addrlist,
2364         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2365         sx->verify ? US strerror(errno) : NULL,
2366         DEFER, FALSE, &sx->delivery_start);
2367       sx->send_quit = FALSE;
2368       return DEFER;
2369       }
2370 #ifdef TCP_QUICKACK
2371     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2372                         sizeof(off));
2373 #endif
2374     }
2375   /* Expand the greeting message while waiting for the initial response. (Makes
2376   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2377   delayed till here so that $sending_ip_address and $sending_port are set.
2378   Those will be known even for a TFO lazy-connect, having been set by the bind().
2379   For early-pipe, we are ok if binding to a local interface; otherwise (if
2380   $sending_ip_address is seen in helo_data) we disabled early-pipe above. */
2381
2382   GET_OPTION("helo_data");
2383   if (sx->helo_data)
2384     if (!(sx->helo_data = expand_string(sx->helo_data)))
2385       if (sx->verify)
2386         log_write(0, LOG_MAIN|LOG_PANIC,
2387           "<%s>: failed to expand transport's helo_data value for callout: %s",
2388           sx->addrlist->address, expand_string_message);
2389
2390 #ifdef SUPPORT_I18N
2391   if (sx->helo_data)
2392     {
2393     expand_string_message = NULL;
2394     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2395                                               &expand_string_message)),
2396         expand_string_message)
2397       if (sx->verify)
2398         log_write(0, LOG_MAIN|LOG_PANIC,
2399           "<%s>: failed to expand transport's helo_data value for callout: %s",
2400           sx->addrlist->address, expand_string_message);
2401       else
2402         sx->helo_data = NULL;
2403     }
2404 #endif
2405
2406   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2407   is nevertheless a reasonably clean way of programming this kind of logic,
2408   where you want to escape on any error. */
2409
2410   if (!sx->smtps)
2411     {
2412 #ifndef DISABLE_PIPE_CONNECT
2413     if (sx->early_pipe_active)
2414       {
2415       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2416       sx->outblock.cmd_count = 1;
2417       }
2418     else
2419 #endif
2420       {
2421       if (!smtp_reap_banner(sx))
2422         goto RESPONSE_FAILED;
2423       }
2424
2425 #ifndef DISABLE_EVENT
2426       {
2427       uschar * s;
2428       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2429         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2430       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer, NULL);
2431       if (s)
2432         {
2433         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2434           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2435           DEFER, FALSE, &sx->delivery_start);
2436         yield = DEFER;
2437         goto SEND_QUIT;
2438         }
2439       }
2440 #endif
2441
2442     /* Now check if the helo_data expansion went well, and sign off cleanly if
2443     it didn't. */
2444
2445     if (!sx->helo_data)
2446       {
2447       message = string_sprintf("failed to expand helo_data: %s",
2448         expand_string_message);
2449       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2450       yield = DEFER;
2451       goto SEND_QUIT;
2452       }
2453     }
2454
2455 /** Debugging without sending a message
2456 sx->addrlist->transport_return = DEFER;
2457 goto SEND_QUIT;
2458 **/
2459
2460   /* Errors that occur after this point follow an SMTP command, which is
2461   left in big_buffer by smtp_write_command() for use in error messages. */
2462
2463   smtp_command = big_buffer;
2464
2465   /* Tell the remote who we are...
2466
2467   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2468   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2469   greeting is of this form. The assumption was that the far end supports it
2470   properly... but experience shows that there are some that give 5xx responses,
2471   even though the banner includes "ESMTP" (there's a bloody-minded one that
2472   says "ESMTP not spoken here"). Cope with that case.
2473
2474   September 2000: Time has passed, and it seems reasonable now to always send
2475   EHLO at the start. It is also convenient to make the change while installing
2476   the TLS stuff.
2477
2478   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2479   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2480   would be no way to send out the mails, so there is now a host list
2481   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2482   PIPELINING problem as well. Maybe it can also be useful to cure other
2483   problems with broken servers.
2484
2485   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2486   Then somebody tried it with a Microsoft mailer... It seems that all other
2487   mailers use upper case for some reason (the RFC is quite clear about case
2488   independence) so, for peace of mind, I gave in. */
2489
2490   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2491
2492   /* Alas; be careful, since this goto is not an error-out, so conceivably
2493   we might set data between here and the target which we assume to exist
2494   and be usable.  I can see this coming back to bite us. */
2495 #ifndef DISABLE_TLS
2496   if (sx->smtps)
2497     {
2498     const uschar * s;
2499
2500     smtp_peer_options |= OPTION_TLS;
2501     suppress_tls = FALSE;
2502     ob->tls_tempfail_tryclear = FALSE;
2503     smtp_command = US"SSL-on-connect";
2504
2505 # ifndef DISABLE_TLS_RESUME
2506     /* Having no EHLO response yet, cannot peek there for a servername to detect
2507     an LB.  Call this anyway, so that a dummy host_name_extract option value can
2508     force resumption attempts. */
2509
2510     GET_OPTION("host_name_extract");
2511     if (!(s = ob->host_name_extract)) s = US"never-LB";
2512     ehlo_response_lbserver(sx, s);
2513 # endif
2514     goto TLS_NEGOTIATE;
2515     }
2516 #endif
2517
2518   if (sx->esmtp)
2519     {
2520     if (smtp_write_command(sx,
2521 #ifndef DISABLE_PIPE_CONNECT
2522           sx->early_pipe_active ? SCMD_BUFFER :
2523 #endif
2524             SCMD_FLUSH,
2525           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2526       goto SEND_FAILED;
2527     sx->esmtp_sent = TRUE;
2528
2529 #ifndef DISABLE_PIPE_CONNECT
2530     if (sx->early_pipe_active)
2531       {
2532       sx->pending_EHLO = TRUE;
2533
2534       /* If we have too many authenticators to handle and might need to AUTH
2535       for this transport, pipeline no further as we will need the
2536       list of auth methods offered.  Reap the banner and EHLO. */
2537
2538       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2539          && f.smtp_in_early_pipe_no_auth)
2540         {
2541         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2542         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2543           goto SEND_FAILED;
2544         if (sync_responses(sx, 2, 0) != RESP_NOERROR)
2545           {
2546           HDEBUG(D_transport)
2547             debug_printf("failed reaping pipelined cmd responses\n");
2548           goto RESPONSE_FAILED;
2549           }
2550         sx->early_pipe_active = FALSE;
2551         }
2552       }
2553     else
2554 #endif
2555       if (!smtp_reap_ehlo(sx))
2556         goto RESPONSE_FAILED;
2557     }
2558   else
2559     DEBUG(D_transport)
2560       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2561
2562 #ifndef DISABLE_PIPE_CONNECT
2563   if (!sx->early_pipe_active)
2564 #endif
2565     if (!sx->esmtp)
2566       {
2567       BOOL good_response;
2568       int n = sizeof(sx->buffer);
2569       uschar * rsp = sx->buffer;
2570
2571       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer) + 1) < sizeof(sx->buffer)/2)
2572         { rsp = sx->buffer + n; n = sizeof(sx->buffer) - n; }
2573
2574       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2575         goto SEND_FAILED;
2576       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2577 #ifdef EXPERIMENTAL_DSN_INFO
2578       sx->helo_response = string_copy(rsp);
2579 #endif
2580       if (!good_response)
2581         {
2582         /* Handle special logging for a closed connection after HELO
2583         when had previously sent EHLO */
2584
2585         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2586           {
2587           errno = ERRNO_SMTPCLOSED;
2588           goto EHLOHELO_FAILED;
2589           }
2590         memmove(sx->buffer, rsp, Ustrlen(rsp));
2591         goto RESPONSE_FAILED;
2592         }
2593       }
2594
2595   if (sx->esmtp || sx->lmtp)
2596     {
2597 #ifndef DISABLE_PIPE_CONNECT
2598     if (!sx->early_pipe_active)
2599 #endif
2600       {
2601       const uschar * s;
2602
2603       sx->peer_offered = ehlo_response(sx->buffer,
2604         OPTION_TLS      /* others checked later */
2605 #ifndef DISABLE_PIPE_CONNECT
2606         | (sx->early_pipe_ok
2607           ?   OPTION_IGNQ
2608             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2609 #ifdef SUPPORT_I18N
2610             | OPTION_UTF8
2611 #endif
2612             | OPTION_EARLY_PIPE
2613           : 0
2614           )
2615 #endif
2616         );
2617 #ifndef DISABLE_ESMTP_LIMITS
2618       if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2619         {
2620         ehlo_response_limits_read(sx);
2621         ehlo_response_limits_apply(sx);
2622         }
2623 #endif
2624 #ifndef DISABLE_PIPE_CONNECT
2625       if (sx->early_pipe_ok)
2626         {
2627         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2628
2629         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2630            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2631           {
2632           DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
2633           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2634           write_ehlo_cache_entry(sx);
2635           }
2636         }
2637 #endif
2638 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
2639       GET_OPTION("host_name_extract");
2640       if (!(s = ob->host_name_extract)) s = HNE_DEFAULT;
2641       ehlo_response_lbserver(sx, s);
2642 #endif
2643       }
2644
2645   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2646
2647 #ifndef DISABLE_TLS
2648     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2649 #endif
2650     }
2651   }
2652
2653 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2654 is the standard input; for a socket held open from verify it is recorded
2655 in the cutthrough context block.  Either way we don't need to redo EHLO here
2656 (but may need to do so for TLS - see below).
2657 Set up the pointer to where subsequent commands will be left, for
2658 error messages. Note that smtp_peer_options will have been
2659 set from the command line if they were set in the process that passed the
2660 connection on. */
2661
2662 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2663 as the continue goes via transport_pass_socket() and doublefork and exec.
2664 It does not wait.  Unclear how we keep separate host's responses
2665 separate - we could match up by host ip+port as a bodge. */
2666
2667 else
2668   {
2669   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2670     {
2671     sx->cctx = cutthrough.cctx;
2672     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2673     }
2674   else
2675     {
2676     sx->cctx.sock = 0;                          /* stdin */
2677     sx->cctx.tls_ctx = NULL;
2678     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2679     }
2680   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2681   smtp_command = big_buffer;
2682   sx->peer_offered = smtp_peer_options;
2683 #ifndef DISABLE_ESMTP_LIMITS
2684   /* Limits passed by cmdline over exec. */
2685   ehlo_limits_apply(sx,
2686                     sx->peer_limit_mail = continue_limit_mail,
2687                     sx->peer_limit_rcpt = continue_limit_rcpt,
2688                     sx->peer_limit_rcptdom = continue_limit_rcptdom);
2689 #endif
2690   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2691
2692   /* For a continued connection with TLS being proxied for us, or a
2693   held-open verify connection with TLS, nothing more to do. */
2694
2695   if (  continue_proxy_cipher
2696      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2697          && cutthrough.is_tls)
2698      )
2699     {
2700     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2701     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2702       continue_proxy_cipher ? "proxied" : "verify conn with");
2703     return OK;
2704     }
2705   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2706   }
2707
2708 /* If TLS is available on this connection, whether continued or not, attempt to
2709 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2710 send another EHLO - the server may give a different answer in secure mode. We
2711 use a separate buffer for reading the response to STARTTLS so that if it is
2712 negative, the original EHLO data is available for subsequent analysis, should
2713 the client not be required to use TLS. If the response is bad, copy the buffer
2714 for error analysis. */
2715
2716 #ifndef DISABLE_TLS
2717 if (  smtp_peer_options & OPTION_TLS
2718    && !suppress_tls
2719    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2720    && (  !sx->verify
2721       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2722    )  )
2723   {
2724   uschar buffer2[4096];
2725
2726   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2727     goto SEND_FAILED;
2728
2729 #ifndef DISABLE_PIPE_CONNECT
2730   /* If doing early-pipelining reap the banner and EHLO-response but leave
2731   the response for the STARTTLS we just sent alone.  On fail, assume wrong
2732   cached capability and retry with the pipelining disabled. */
2733
2734   if (sx->early_pipe_active)
2735     {
2736     if (sync_responses(sx, 2, 0) != RESP_NOERROR)
2737       {
2738       HDEBUG(D_transport)
2739         debug_printf("failed reaping pipelined cmd responses\n");
2740       close(sx->cctx.sock);
2741       sx->cctx.sock = -1;
2742       sx->early_pipe_active = FALSE;
2743       goto PIPE_CONNECT_RETRY;
2744       }
2745     }
2746 #endif
2747
2748   /* If there is an I/O error, transmission of this message is deferred. If
2749   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2750   false, we also defer. However, if there is a temporary rejection of STARTTLS
2751   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2752   STARTTLS, we carry on. This means we will try to send the message in clear,
2753   unless the host is in hosts_require_tls (tested below). */
2754
2755   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2756     {
2757     if (  errno != 0
2758        || buffer2[0] == 0
2759        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2760        )
2761       {
2762       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2763       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2764       goto RESPONSE_FAILED;
2765       }
2766     }
2767
2768   /* STARTTLS accepted: try to negotiate a TLS session. */
2769
2770   else
2771   TLS_NEGOTIATE:
2772     {
2773     sx->conn_args.sending_ip_address = sending_ip_address;
2774     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2775       {
2776       /* TLS negotiation failed; give an error. From outside, this function may
2777       be called again to try in clear on a new connection, if the options permit
2778       it for this host. */
2779   TLS_CONN_FAILED:
2780       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2781
2782 # ifdef SUPPORT_DANE
2783       if (sx->conn_args.dane)
2784         {
2785         log_write(0, LOG_MAIN,
2786           "DANE attempt failed; TLS connection to %s [%s]: %s",
2787           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2788 #  ifndef DISABLE_EVENT
2789         (void) event_raise(sx->conn_args.tblock->event_action,
2790           US"dane:fail", US"validation-failure", NULL); /* could do with better detail */
2791 #  endif
2792         }
2793 # endif
2794
2795       errno = ERRNO_TLSFAILURE;
2796       message = string_sprintf("TLS session: %s", tls_errstr);
2797       sx->send_quit = FALSE;
2798       goto TLS_FAILED;
2799       }
2800     sx->send_tlsclose = TRUE;
2801
2802     /* TLS session is set up.  Check the inblock fill level.  If there is
2803     content then as we have not yet done a tls read it must have arrived before
2804     the TLS handshake, in-clear.  That violates the sync requirement of the
2805     STARTTLS RFC, so fail. */
2806
2807     if (sx->inblock.ptr != sx->inblock.ptrend)
2808       {
2809       DEBUG(D_tls)
2810         {
2811         int i = sx->inblock.ptrend - sx->inblock.ptr;
2812         debug_printf("unused data in input buffer after ack for STARTTLS:\n"
2813           "'%.*s'%s\n",
2814           i > 100 ? 100 : i, sx->inblock.ptr, i > 100 ? "..." : "");
2815         }
2816       tls_errstr = US"synch error before connect";
2817       goto TLS_CONN_FAILED;
2818       }
2819
2820     smtp_peer_options_wrap = smtp_peer_options;
2821     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2822       if (addr->transport_return == PENDING_DEFER)
2823         {
2824         addr->cipher = tls_out.cipher;
2825         addr->ourcert = tls_out.ourcert;
2826         addr->peercert = tls_out.peercert;
2827         addr->peerdn = tls_out.peerdn;
2828         addr->ocsp = tls_out.ocsp;
2829         addr->tlsver = tls_out.ver;
2830         }
2831     }
2832   }
2833
2834 /* if smtps, we'll have smtp_command set to something else; always safe to
2835 reset it here. */
2836 smtp_command = big_buffer;
2837
2838 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2839 helo_data is null, we are dealing with a connection that was passed from
2840 another process, and so we won't have expanded helo_data above. We have to
2841 expand it here. $sending_ip_address and $sending_port are set up right at the
2842 start of the Exim process (in exim.c). */
2843
2844 if (tls_out.active.sock >= 0)
2845   {
2846   uschar * greeting_cmd;
2847
2848   if (!sx->helo_data)
2849     {
2850     GET_OPTION("helo_data");
2851     if (!(sx->helo_data = expand_string(ob->helo_data)))
2852       {
2853       uschar *message = string_sprintf("failed to expand helo_data: %s",
2854         expand_string_message);
2855       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2856       yield = DEFER;
2857       goto SEND_QUIT;
2858       }
2859     }
2860
2861 #ifndef DISABLE_PIPE_CONNECT
2862   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2863   We're unlikely to get the group sent and delivered before the server sends its
2864   banner, but it's still worth sending as a group.
2865   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2866   the reverse.  */
2867
2868   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2869     {
2870     sx->peer_offered = sx->ehlo_resp.crypted_features;
2871     if ((sx->early_pipe_active =
2872          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2873       DEBUG(D_transport) debug_printf("Using cached crypted PIPECONNECT\n");
2874     }
2875 #endif
2876 #ifdef EXPERIMMENTAL_ESMTP_LIMITS
2877   /* As we are about to send another EHLO, forget any LIMITS received so far. */
2878   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
2879   if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0)
2880     sx->max_mail = UNLIMITED_ADDRS;
2881   sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2882   sx->single_rcpt_domain = FALSE;
2883 #endif
2884
2885   /* For SMTPS we need to wait for the initial OK response. */
2886   if (sx->smtps)
2887 #ifndef DISABLE_PIPE_CONNECT
2888     if (sx->early_pipe_active)
2889       {
2890       sx->pending_BANNER = TRUE;
2891       sx->outblock.cmd_count = 1;
2892       }
2893     else
2894 #endif
2895       if (!smtp_reap_banner(sx))
2896         goto RESPONSE_FAILED;
2897
2898   if (sx->lmtp)
2899     greeting_cmd = US"LHLO";
2900   else if (sx->esmtp)
2901     greeting_cmd = US"EHLO";
2902   else
2903     {
2904     greeting_cmd = US"HELO";
2905     DEBUG(D_transport)
2906       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2907     }
2908
2909   if (smtp_write_command(sx,
2910 #ifndef DISABLE_PIPE_CONNECT
2911         sx->early_pipe_active ? SCMD_BUFFER :
2912 #endif
2913           SCMD_FLUSH,
2914         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2915     goto SEND_FAILED;
2916
2917 #ifndef DISABLE_PIPE_CONNECT
2918   if (sx->early_pipe_active)
2919     sx->pending_EHLO = TRUE;
2920   else
2921 #endif
2922     {
2923     if (!smtp_reap_ehlo(sx))
2924 #ifdef USE_GNUTLS
2925       {
2926       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2927       cert late, under TLS1.3 - which means here; the first time we try to
2928       receive crypted data.  Treat it as if it was a connect-time failure.
2929       See also the early-pipe equivalent... which will be hard; every call
2930       to sync_responses will need to check the result.
2931       It would be nicer to have GnuTLS check the cert during the handshake.
2932       Can it do that, with all the flexibility we need? */
2933
2934       tls_errstr = US"error on first read";
2935       goto TLS_CONN_FAILED;
2936       }
2937 #else
2938       goto RESPONSE_FAILED;
2939 #endif
2940     smtp_peer_options = 0;
2941     }
2942   }
2943
2944 /* If the host is required to use a secure channel, ensure that we
2945 have one. */
2946
2947 else if (  sx->smtps
2948 # ifdef SUPPORT_DANE
2949         || sx->conn_args.dane
2950 # endif
2951         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2952         )
2953   {
2954   errno = ERRNO_TLSREQUIRED;
2955   message = string_sprintf("a TLS session is required, but %s",
2956     smtp_peer_options & OPTION_TLS
2957     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2958 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2959   if (sx->conn_args.dane)
2960     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2961       smtp_peer_options & OPTION_TLS
2962       ? US"validation-failure"          /* could do with better detail */
2963       : US"starttls-not-supported",
2964       NULL);
2965 # endif
2966   goto TLS_FAILED;
2967   }
2968 #endif  /*DISABLE_TLS*/
2969
2970 /* If TLS is active, we have just started it up and re-done the EHLO command,
2971 so its response needs to be analyzed. If TLS is not active and this is a
2972 continued session down a previously-used socket, we haven't just done EHLO, so
2973 we skip this. */
2974
2975 if (   !continue_hostname
2976 #ifndef DISABLE_TLS
2977     || tls_out.active.sock >= 0
2978 #endif
2979     )
2980   {
2981   if (sx->esmtp || sx->lmtp)
2982     {
2983 #ifndef DISABLE_PIPE_CONNECT
2984   if (!sx->early_pipe_active)
2985 #endif
2986     {
2987     sx->peer_offered = ehlo_response(sx->buffer,
2988         0 /* no TLS */
2989 #ifndef DISABLE_PIPE_CONNECT
2990         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2991         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2992         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2993         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2994
2995 #else
2996
2997         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2998         | OPTION_CHUNKING
2999         | OPTION_PRDR
3000 # ifdef SUPPORT_I18N
3001         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
3002           /*XXX if we hand peercaps on to continued-conn processes,
3003                 must not depend on this addr */
3004 # endif
3005         | OPTION_DSN
3006         | OPTION_PIPE
3007         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
3008 #endif
3009       );
3010 #ifndef DISABLE_PIPE_CONNECT
3011     if (tls_out.active.sock >= 0)
3012       sx->ehlo_resp.crypted_features = sx->peer_offered;
3013 #endif
3014
3015 #ifndef DISABLE_ESMTP_LIMITS
3016     if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
3017       {
3018       ehlo_response_limits_read(sx);
3019       ehlo_response_limits_apply(sx);
3020       }
3021 #endif
3022     }
3023
3024     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
3025     lmtp_ignore_quota option was set. */
3026
3027     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
3028
3029     /* If the response to EHLO specified support for the SIZE parameter, note
3030     this, provided size_addition is non-negative. */
3031
3032     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
3033
3034     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
3035     the current host, esmtp will be false, so PIPELINING can never be used. If
3036     the current host matches hosts_avoid_pipelining, don't do it. */
3037
3038     if (  sx->peer_offered & OPTION_PIPE
3039        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
3040       smtp_peer_options |= OPTION_PIPE;
3041
3042     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
3043       smtp_peer_options & OPTION_PIPE ? "" : "not ");
3044
3045     if (  sx->peer_offered & OPTION_CHUNKING
3046        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) == OK)
3047       smtp_peer_options |= OPTION_CHUNKING;
3048
3049     if (smtp_peer_options & OPTION_CHUNKING)
3050       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
3051
3052 #ifndef DISABLE_PRDR
3053     if (  sx->peer_offered & OPTION_PRDR
3054        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) == OK)
3055       smtp_peer_options |= OPTION_PRDR;
3056
3057     if (smtp_peer_options & OPTION_PRDR)
3058       DEBUG(D_transport) debug_printf("PRDR usable\n");
3059 #endif
3060
3061     /* Note if the server supports DSN */
3062     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
3063     DEBUG(D_transport) debug_printf("%susing DSN\n",
3064                         sx->peer_offered & OPTION_DSN ? "" : "not ");
3065
3066 #ifndef DISABLE_PIPE_CONNECT
3067     if (  sx->early_pipe_ok
3068        && !sx->early_pipe_active
3069        && tls_out.active.sock >= 0
3070        && smtp_peer_options & OPTION_PIPE
3071        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
3072           & OPTION_EARLY_PIPE)
3073       {
3074       DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
3075       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
3076       write_ehlo_cache_entry(sx);
3077       }
3078 #endif
3079
3080     /* Note if the response to EHLO specifies support for the AUTH extension.
3081     If it has, check that this host is one we want to authenticate to, and do
3082     the business. The host name and address must be available when the
3083     authenticator's client driver is running. */
3084
3085     switch (yield = smtp_auth(sx))
3086       {
3087       default:          goto SEND_QUIT;
3088       case OK:          break;
3089       case FAIL_SEND:   goto SEND_FAILED;
3090       case FAIL:        goto RESPONSE_FAILED;
3091       }
3092     }
3093   }
3094 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
3095
3096 /* The setting up of the SMTP call is now complete. Any subsequent errors are
3097 message-specific. */
3098
3099 sx->setting_up = FALSE;
3100
3101 #ifdef SUPPORT_I18N
3102 if (sx->addrlist->prop.utf8_msg)
3103   {
3104   uschar * s;
3105
3106   /* If the transport sets a downconversion mode it overrides any set by ACL
3107   for the message. */
3108
3109   GET_OPTION("utf8_downconvert");
3110   if ((s = ob->utf8_downconvert))
3111     {
3112     if (!(s = expand_string(s)))
3113       {
3114       message = string_sprintf("failed to expand utf8_downconvert: %s",
3115         expand_string_message);
3116       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
3117       yield = DEFER;
3118       goto SEND_QUIT;
3119       }
3120     switch (*s)
3121       {
3122       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
3123                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3124                 break;
3125       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
3126                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3127                 break;
3128       case '-': if (s[1] == '1')
3129                   {
3130                   sx->addrlist->prop.utf8_downcvt = FALSE;
3131                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
3132                   }
3133                 break;
3134       }
3135     }
3136
3137   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
3138                     && !sx->addrlist->prop.utf8_downcvt_maybe;
3139   DEBUG(D_transport) if (!sx->utf8_needed)
3140     debug_printf("utf8: %s downconvert\n",
3141       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
3142   }
3143
3144 /* If this is an international message we need the host to speak SMTPUTF8 */
3145 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
3146   {
3147   errno = ERRNO_UTF8_FWD;
3148   goto RESPONSE_FAILED;
3149   }
3150 #endif  /*SUPPORT_I18N*/
3151
3152 return OK;
3153
3154
3155   {
3156   int code;
3157
3158   RESPONSE_FAILED:
3159     if (errno == ECONNREFUSED)  /* first-read error on a TFO conn */
3160       {
3161       /* There is a testing facility for simulating a connection timeout, as I
3162       can't think of any other way of doing this. It converts a connection
3163       refused into a timeout if the timeout is set to 999999.  This is done for
3164       a 3whs connection in ip_connect(), but a TFO connection does not error
3165       there - instead it gets ECONNREFUSED on the first data read.  Tracking
3166       that a TFO really was done is too hard, or we would set a
3167       sx->pending_conn_done bit and test that in smtp_reap_banner() and
3168       smtp_reap_ehlo().  That would let us also add the conn-timeout to the
3169       cmd-timeout. */
3170
3171       if (f.running_in_test_harness && ob->connect_timeout == 999999)
3172         errno = ETIMEDOUT;
3173       set_errno_nohost(sx->addrlist,
3174         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
3175         sx->verify ? US strerror(errno) : NULL,
3176         DEFER, FALSE, &sx->delivery_start);
3177       sx->send_quit = FALSE;
3178       return DEFER;
3179       }
3180
3181     /* really an error on an SMTP read */
3182     message = NULL;
3183     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
3184       sx->buffer, &code, &message, &pass_message);
3185     yield = DEFER;
3186     goto FAILED;
3187
3188   SEND_FAILED:
3189     code = '4';
3190     message = US string_sprintf("smtp send to %s [%s] failed: %s",
3191       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
3192     sx->send_quit = FALSE;
3193     yield = DEFER;
3194     goto FAILED;
3195
3196   EHLOHELO_FAILED:
3197     code = '4';
3198     message = string_sprintf("Remote host closed connection in response to %s"
3199       " (EHLO response was: %s)", smtp_command, sx->buffer);
3200     sx->send_quit = FALSE;
3201     yield = DEFER;
3202     goto FAILED;
3203
3204   /* This label is jumped to directly when a TLS negotiation has failed,
3205   or was not done for a host for which it is required. Values will be set
3206   in message and errno, and setting_up will always be true. Treat as
3207   a temporary error. */
3208
3209 #ifndef DISABLE_TLS
3210   TLS_FAILED:
3211     code = '4', yield = DEFER;
3212     goto FAILED;
3213 #endif
3214
3215   /* The failure happened while setting up the call; see if the failure was
3216   a 5xx response (this will either be on connection, or following HELO - a 5xx
3217   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
3218   fail all addresses, as this host is never going to accept them. For other
3219   errors during setting up (timeouts or whatever), defer all addresses, and
3220   yield DEFER, so that the host is not tried again for a while.
3221
3222   XXX This peeking for another host feels like a layering violation. We want
3223   to note the host as unusable, but down here we shouldn't know if this was
3224   the last host to try for the addr(list).  Perhaps the upper layer should be
3225   the one to do set_errno() ?  The problem is that currently the addr is where
3226   errno etc. are stashed, but until we run out of hosts to try the errors are
3227   host-specific.  Maybe we should enhance the host_item definition? */
3228
3229 FAILED:
3230   sx->ok = FALSE;                /* For when reached by GOTO */
3231   set_errno(sx->addrlist, errno, message,
3232             sx->conn_args.host->next
3233             ? DEFER
3234             : code == '5'
3235 #ifdef SUPPORT_I18N
3236                         || errno == ERRNO_UTF8_FWD
3237 #endif
3238             ? FAIL : DEFER,
3239             pass_message,
3240             errno == ECONNREFUSED ? NULL : sx->conn_args.host,
3241 #ifdef EXPERIMENTAL_DSN_INFO
3242             sx->smtp_greeting, sx->helo_response,
3243 #endif
3244             &sx->delivery_start);
3245   }
3246
3247
3248 SEND_QUIT:
3249
3250 if (sx->send_quit)
3251   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
3252
3253 #ifndef DISABLE_TLS
3254 if (sx->cctx.tls_ctx)
3255   {
3256   if (sx->send_tlsclose)
3257     {
3258     tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
3259     sx->send_tlsclose = FALSE;
3260     }
3261   sx->cctx.tls_ctx = NULL;
3262   }
3263 #endif
3264
3265 /* Close the socket, and return the appropriate value, first setting
3266 works because the NULL setting is passed back to the calling process, and
3267 remote_max_parallel is forced to 1 when delivering over an existing connection,
3268 */
3269
3270 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
3271 if (sx->send_quit)
3272   {
3273   shutdown(sx->cctx.sock, SHUT_WR);
3274   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
3275     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
3276       i--;                              /* drain socket */
3277   sx->send_quit = FALSE;
3278   }
3279 (void)close(sx->cctx.sock);
3280 sx->cctx.sock = -1;
3281
3282 #ifndef DISABLE_EVENT
3283 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL, NULL);
3284 #endif
3285
3286 smtp_debug_cmd_report();
3287 continue_transport = NULL;
3288 continue_hostname = NULL;
3289 return yield;
3290 }
3291
3292
3293
3294
3295 /* Create the string of options that will be appended to the MAIL FROM:
3296 in the connection context buffer */
3297
3298 static int
3299 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
3300 {
3301 uschar * p = sx->buffer;
3302 address_item * addr;
3303 int address_count;
3304
3305 *p = 0;
3306
3307 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
3308 send it, adding something to the message size to allow for imprecision
3309 and things that get added en route. Exim keeps the number of lines
3310 in a message, so we can give an accurate value for the original message, but we
3311 need some additional to handle added headers. (Double "." characters don't get
3312 included in the count.) */
3313
3314 if (  message_size > 0
3315    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
3316   {
3317 /*XXX problem here under spool_files_wireformat?
3318 Or just forget about lines?  Or inflate by a fixed proportion? */
3319
3320   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
3321   while (*p) p++;
3322   }
3323
3324 #ifndef DISABLE_PRDR
3325 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
3326 request that */
3327
3328 sx->prdr_active = FALSE;
3329 if (smtp_peer_options & OPTION_PRDR)
3330   for (address_item * addr = addrlist; addr; addr = addr->next)
3331     if (addr->transport_return == PENDING_DEFER)
3332       {
3333       for (addr = addr->next; addr; addr = addr->next)
3334         if (addr->transport_return == PENDING_DEFER)
3335           {                     /* at least two recipients to send */
3336           sx->prdr_active = TRUE;
3337           sprintf(CS p, " PRDR"); p += 5;
3338           break;
3339           }
3340       break;
3341       }
3342 #endif
3343
3344 #ifdef SUPPORT_I18N
3345 /* If it supports internationalised messages, and this meesage need that,
3346 request it */
3347
3348 if (  sx->peer_offered & OPTION_UTF8
3349    && addrlist->prop.utf8_msg
3350    && !addrlist->prop.utf8_downcvt
3351    )
3352   Ustrcpy(p, US" SMTPUTF8"), p += 9;
3353 #endif
3354
3355 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3356 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3357      addr && address_count < sx->max_rcpt;      /*XXX maybe also || sx->single_rcpt_domain ? */
3358      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3359   {
3360   address_count++;
3361   if (!(addr->dsn_flags & rf_dsnlasthop))
3362     {
3363     sx->dsn_all_lasthop = FALSE;
3364     break;
3365     }
3366   }
3367
3368 /* Add any DSN flags to the mail command */
3369
3370 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3371   {
3372   if (dsn_ret == dsn_ret_hdrs)
3373     { Ustrcpy(p, US" RET=HDRS"); p += 9; }
3374   else if (dsn_ret == dsn_ret_full)
3375     { Ustrcpy(p, US" RET=FULL"); p += 9; }
3376
3377   if (dsn_envid)
3378     {
3379     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3380     while (*p) p++;
3381     }
3382   }
3383
3384 /* If an authenticated_sender override has been specified for this transport
3385 instance, expand it. If the expansion is forced to fail, and there was already
3386 an authenticated_sender for this message, the original value will be used.
3387 Other expansion failures are serious. An empty result is ignored, but there is
3388 otherwise no check - this feature is expected to be used with LMTP and other
3389 cases where non-standard addresses (e.g. without domains) might be required. */
3390
3391 return smtp_mail_auth_str(sx, p, addrlist) ? ERROR : OK;
3392 }
3393
3394
3395 static void
3396 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3397 {
3398 uschar * p = sx->buffer;
3399 *p = 0;
3400
3401 /* Add any DSN flags to the rcpt command */
3402
3403 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3404   {
3405   if (addr->dsn_flags & rf_dsnflags)
3406     {
3407     BOOL first = TRUE;
3408
3409     Ustrcpy(p, US" NOTIFY=");
3410     while (*p) p++;
3411     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3412       {
3413       if (!first) *p++ = ',';
3414       first = FALSE;
3415       Ustrcpy(p, rf_names[i]);
3416       while (*p) p++;
3417       }
3418     }
3419
3420   if (addr->dsn_orcpt)
3421     {
3422     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3423       addr->dsn_orcpt);
3424     while (*p) p++;
3425     }
3426   }
3427 }
3428
3429
3430
3431 /* Send MAIL FROM and RCPT TO commands.
3432 See sw_mrc_t definition for return codes.
3433  */
3434
3435 sw_mrc_t
3436 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3437 {
3438 address_item * addr;
3439 #ifndef DISABLE_ESMTP_LIMITS
3440 address_item * restart_addr = NULL;
3441 #endif
3442 int address_count, pipe_limit;
3443 int rc;
3444
3445 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3446   {
3447   *yield = ERROR;
3448   return sw_mrc_bad_internal;
3449   }
3450
3451 /* From here until we send the DATA command, we can make use of PIPELINING
3452 if the server host supports it. The code has to be able to check the responses
3453 at any point, for when the buffer fills up, so we write it totally generally.
3454 When PIPELINING is off, each command written reports that it has flushed the
3455 buffer. */
3456
3457 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3458
3459   {
3460   const uschar * s = sx->from_addr;
3461 #ifdef SUPPORT_I18N
3462   uschar * errstr = NULL;
3463
3464   /* If we must downconvert, do the from-address here.  Remember we had to
3465   for the to-addresses (done below), and also (ugly) for re-doing when building
3466   the delivery log line. */
3467
3468   if (  sx->addrlist->prop.utf8_msg
3469      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3470      )
3471     {
3472     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3473       {
3474       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
3475       *yield = ERROR;
3476       return sw_mrc_bad_internal;
3477       }
3478     setflag(sx->addrlist, af_utf8_downcvt);
3479     }
3480 #endif
3481
3482   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3483           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3484   }
3485
3486 mail_command = string_copy(big_buffer);  /* Save for later error message */
3487
3488 switch(rc)
3489   {
3490   case -1:                /* Transmission error */
3491     return sw_mrc_bad_mail;
3492
3493   case +1:                /* Cmd was sent */
3494     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3495        (SOB sx->conn_args.ob)->command_timeout))
3496       {
3497       if (errno == 0 && sx->buffer[0] == '4')
3498         {
3499         errno = ERRNO_MAIL4XX;
3500         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3501         }
3502       return sw_mrc_bad_mail;
3503       }
3504     sx->pending_MAIL = FALSE;
3505     break;
3506
3507   /* otherwise zero: command queued for pipeline */
3508   }
3509
3510 /* Pass over all the relevant recipient addresses for this host, which are the
3511 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3512 several before we have to read the responses for those seen so far. This
3513 checking is done by a subroutine because it also needs to be done at the end.
3514 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3515 the next one if not all are sent.
3516
3517 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3518 last address because we want to abort if any recipients have any kind of
3519 problem, temporary or permanent. We know that all recipient addresses will have
3520 the PENDING_DEFER status, because only one attempt is ever made, and we know
3521 that max_rcpt will be large, so all addresses will be done at once.
3522
3523 For verify we flush the pipeline after any (the only) rcpt address. */
3524
3525 for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
3526      addr &&  address_count < sx->max_rcpt;
3527      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3528   {
3529   int cmds_sent;
3530   BOOL no_flush;
3531   const uschar * rcpt_addr;
3532
3533 #ifndef DISABLE_ESMTP_LIMITS
3534   if (  sx->single_rcpt_domain                                  /* restriction on domains */
3535      && address_count > 0                                       /* not first being sent */
3536      && Ustrcmp(addr->domain, sx->first_addr->domain) != 0      /* dom diff from first */
3537      )
3538     {
3539     DEBUG(D_transport) debug_printf("skipping different domain %s\n", addr->domain);
3540
3541     /* Ensure the smtp-response reaper does not think the address had a RCPT
3542     command sent for it.  Reset to PENDING_DEFER in smtp_deliver(), where we
3543     goto SEND_MESSAGE.  */
3544
3545     addr->transport_return = SKIP;
3546     if (!restart_addr) restart_addr = addr;     /* note restart point */
3547     continue;                                   /* skip this one */
3548     }
3549 #endif
3550
3551   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3552     ? dsn_support_yes : dsn_support_no;
3553
3554   address_count++;
3555   if (pipe_limit-- <= 0)
3556     { no_flush = FALSE; pipe_limit = 100; }
3557   else
3558     no_flush = pipelining_active && !sx->verify
3559           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3560
3561   build_rcptcmd_options(sx, addr);
3562
3563   /* Now send the RCPT command, and process outstanding responses when
3564   necessary. After a timeout on RCPT, we just end the function, leaving the
3565   yield as OK, because this error can often mean that there is a problem with
3566   just one address, so we don't want to delay the host. */
3567
3568   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3569
3570 #ifdef SUPPORT_I18N
3571   if (  testflag(sx->addrlist, af_utf8_downcvt)
3572      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3573      )
3574     {
3575     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3576     errno = ERRNO_EXPANDFAIL;
3577     return sw_mrc_tx_fail;              /*XXX too harsh? */
3578     }
3579 #endif
3580
3581   cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3582     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3583
3584   if (cmds_sent < 0) return sw_mrc_tx_fail;
3585   if (cmds_sent > 0)
3586     {
3587     switch(sync_responses(sx, cmds_sent, 0))
3588       {
3589       case RESP_HAD_2_AND_5: sx->ok = TRUE;     /* OK & progress made */
3590       case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
3591               break;
3592
3593       case RESP_BIT_HAD_2XX: sx->ok = TRUE;     /* OK, but if LMTP, */
3594               if (!sx->lmtp)                    /*  can't tell about progress yet */
3595                 sx->completed_addr = TRUE;
3596       case RESP_NOERROR:                        /* No 2xx or 5xx, but no probs */
3597               /* If any RCPT got a 452 response then next_addr has been updated
3598               for restarting with a new MAIL on the same connection.  Send no more
3599               RCPTs for this MAIL. */
3600
3601               if (sx->RCPT_452)
3602                 {
3603                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
3604                 sx->RCPT_452 = FALSE;
3605                 /* sx->next_addr has been reset for fast_retry */
3606                 return sw_mrc_ok;
3607                 }
3608               break;
3609
3610       case RESP_RCPT_TIMEO:         return sw_mrc_nonmail_read_timeo;
3611       case RESP_RCPT_ERROR:         return sw_mrc_bad_read;
3612       default:                      return sw_mrc_bad_mail;     /* any MAIL error */
3613
3614 #ifndef DISABLE_PIPE_CONNECT
3615       case RESP_EPIPE_EHLO_ERR:     return sw_mrc_bad_mail;     /* non-2xx for pipelined banner or EHLO */
3616       case RESP_EHLO_ERR_TLS:       return sw_mrc_bad_mail;     /* TLS first-read error */
3617 #endif
3618       }
3619     }
3620   }      /* Loop for next address */
3621
3622 #ifndef DISABLE_ESMTP_LIMITS
3623 sx->next_addr = restart_addr ? restart_addr : addr;
3624 #else
3625 sx->next_addr = addr;
3626 #endif
3627 return sw_mrc_ok;
3628 }
3629
3630
3631 #ifndef DISABLE_TLS
3632 /*****************************************************
3633 * Proxy TLS connection for another transport process *
3634 ******************************************************/
3635 /*
3636 Close the unused end of the pipe, fork once more, then use the given buffer
3637 as a staging area, and select on both the given fd and the TLS'd client-fd for
3638 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3639 Do blocking full-size writes, and reads under a timeout.  Once both input
3640 channels are closed, exit the process.
3641
3642 Arguments:
3643   ct_ctx        tls context
3644   buf           space to use for buffering
3645   bufsiz        size of buffer
3646   pfd           pipe filedescriptor array; [0] is comms to proxied process
3647   timeout       per-read timeout, seconds
3648   host          hostname of remote
3649
3650 Does not return.
3651 */
3652
3653 void
3654 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3655   int timeout, const uschar * host)
3656 {
3657 struct pollfd p[2] = {{.fd = tls_out.active.sock, .events = POLLIN},
3658                       {.fd = pfd[0], .events = POLLIN}};
3659 int rc, i;
3660 BOOL send_tls_shutdown = TRUE;
3661
3662 close(pfd[1]);
3663 if ((rc = exim_fork(US"tls-proxy")))
3664   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3665
3666 set_process_info("proxying TLS connection for continued transport to %s\n", host);
3667
3668 do
3669   {
3670   time_t time_left = timeout;
3671   time_t time_start = time(NULL);
3672
3673   /* wait for data */
3674   do
3675     {
3676     rc = poll(p, 2, time_left * 1000);
3677
3678     if (rc < 0 && errno == EINTR)
3679       if ((time_left -= time(NULL) - time_start) > 0) continue;
3680
3681     if (rc <= 0)
3682       {
3683       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3684       goto done;
3685       }
3686
3687     /* For errors where not readable, bomb out */
3688
3689     if (p[0].revents & POLLERR || p[1].revents & POLLERR)
3690       {
3691       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3692         p[0].revents & POLLERR ? "tls" : "proxy");
3693       if (!(p[0].revents & POLLIN || p[1].events & POLLIN))
3694         goto done;
3695       DEBUG(D_transport) debug_printf("- but also readable; no exit yet\n");
3696       }
3697     }
3698   while (rc < 0 || !(p[0].revents & POLLIN || p[1].revents & POLLIN));
3699
3700   /* handle inbound data */
3701   if (p[0].revents & POLLIN)
3702     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)       /* Expect -1 for EOF; */
3703     {                               /* that reaps the TLS Close Notify record */
3704       p[0].fd = -1;
3705       shutdown(pfd[0], SHUT_WR);
3706       timeout = 5;
3707       }
3708     else
3709       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3710         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3711
3712   /* Handle outbound data.  We cannot combine payload and the TLS-close
3713   due to the limitations of the (pipe) channel feeding us.  Maybe use a unix-domain
3714   socket? */
3715   if (p[1].revents & POLLIN)
3716     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3717       {
3718       p[1].fd = -1;
3719
3720 # ifdef EXIM_TCP_CORK  /* Use _CORK to get TLS Close Notify in FIN segment */
3721       (void) setsockopt(tls_out.active.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3722 # endif
3723       tls_shutdown_wr(ct_ctx);
3724       send_tls_shutdown = FALSE;
3725       shutdown(tls_out.active.sock, SHUT_WR);
3726       }
3727     else
3728       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3729         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3730           goto done;
3731   }
3732 while (p[0].fd >= 0 || p[1].fd >= 0);
3733
3734 done:
3735   if (send_tls_shutdown) tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3736   ct_ctx = NULL;
3737   testharness_pause_ms(100);    /* let logging complete */
3738   exim_exit(EXIT_SUCCESS);
3739 }
3740 #endif
3741
3742
3743 /*************************************************
3744 *       Deliver address list to given host       *
3745 *************************************************/
3746
3747 /* If continue_hostname is not null, we get here only when continuing to
3748 deliver down an existing channel. The channel was passed as the standard
3749 input. TLS is never active on a passed channel; the previous process either
3750 closes it down before passing the connection on, or inserts a TLS-proxy
3751 process and passes on a cleartext conection.
3752
3753 Otherwise, we have to make a connection to the remote host, and do the
3754 initial protocol exchange.
3755
3756 When running as an MUA wrapper, if the sender or any recipient is rejected,
3757 temporarily or permanently, we force failure for all recipients.
3758
3759 Arguments:
3760   addrlist        chain of potential addresses to deliver; only those whose
3761                   transport_return field is set to PENDING_DEFER are currently
3762                   being processed; others should be skipped - they have either
3763                   been delivered to an earlier host or IP address, or been
3764                   failed by one of them.
3765   host            host to deliver to
3766   host_af         AF_INET or AF_INET6
3767   defport         default TCP/IP port to use if host does not specify, in host
3768                   byte order
3769   interface       interface to bind to, or NULL
3770   tblock          transport instance block
3771   message_defer   set TRUE if yield is OK, but all addresses were deferred
3772                     because of a non-recipient, non-host failure, that is, a
3773                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3774                     that is specific to the message.
3775   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3776                     a second attempt after TLS initialization fails
3777
3778 Returns:          OK    - the connection was made and the delivery attempted;
3779                           the result for each address is in its data block.
3780                   DEFER - the connection could not be made, or something failed
3781                           while setting up the SMTP session, or there was a
3782                           non-message-specific error, such as a timeout.
3783                   ERROR - a filter command is specified for this transport,
3784                           and there was a problem setting it up; OR helo_data
3785                           or add_headers or authenticated_sender is specified
3786                           for this transport, and the string failed to expand
3787
3788                 For all non-OK returns the first addr of the list carries the
3789                 time taken for the attempt.
3790 */
3791
3792 static int
3793 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3794   uschar *interface, transport_instance *tblock,
3795   BOOL *message_defer, BOOL suppress_tls)
3796 {
3797 smtp_transport_options_block * ob = SOB tblock->options_block;
3798 int yield = OK;
3799 int save_errno;
3800 int rc;
3801
3802 uschar *message = NULL;
3803 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3804 smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);        /* tainted, for the data buffers */
3805 BOOL pass_message = FALSE;
3806 #ifndef DISABLE_ESMTP_LIMITS
3807 BOOL mail_limit = FALSE;
3808 #endif
3809 #ifdef SUPPORT_DANE
3810 BOOL dane_held;
3811 #endif
3812 BOOL tcw_done = FALSE, tcw = FALSE;
3813
3814 *message_defer = FALSE;
3815
3816 memset(sx, 0, sizeof(*sx));
3817 sx->addrlist = addrlist;
3818 sx->conn_args.host = host;
3819 sx->conn_args.host_af = host_af;
3820 sx->port = defport;
3821 sx->conn_args.interface = interface;
3822 sx->helo_data = NULL;
3823 sx->conn_args.tblock = tblock;
3824 sx->conn_args.sock = -1;
3825 gettimeofday(&sx->delivery_start, NULL);
3826 sx->sync_addr = sx->first_addr = addrlist;
3827
3828 REPEAT_CONN:
3829 #ifdef SUPPORT_DANE
3830 dane_held = FALSE;
3831 #endif
3832
3833 /* Get the channel set up ready for a message, MAIL FROM being the next
3834 SMTP command to send. */
3835
3836 if ((rc = smtp_setup_conn(sx, suppress_tls)) != OK)
3837   {
3838   timesince(&addrlist->delivery_time, &sx->delivery_start);
3839   yield = rc;
3840   goto TIDYUP;
3841   }
3842
3843 #ifdef SUPPORT_DANE
3844 /* If the connection used DANE, ignore for now any addresses with incompatible
3845 domains.  The SNI has to be the domain.  Arrange a whole new TCP conn later,
3846 just in case only TLS isn't enough. */
3847
3848 if (sx->conn_args.dane)
3849   {
3850   const uschar * dane_domain = sx->first_addr->domain;
3851
3852   for (address_item * a = sx->first_addr->next; a; a = a->next)
3853     if (  a->transport_return == PENDING_DEFER
3854        && Ustrcmp(dane_domain, a->domain) != 0)
3855       {
3856       DEBUG(D_transport) debug_printf("DANE: holding %s for later\n", a->domain);
3857       dane_held = TRUE;
3858       a->transport_return = DANE;
3859       }
3860   }
3861 #endif
3862
3863 /* If there is a filter command specified for this transport, we can now
3864 set it up. This cannot be done until the identity of the host is known. */
3865
3866 if (tblock->filter_command)
3867   {
3868   transport_filter_timeout = tblock->filter_timeout;
3869
3870   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3871   yield ERROR. */
3872
3873   if (!transport_set_up_command(&transport_filter_argv,
3874         tblock->filter_command, TSUC_EXPAND_ARGS, DEFER, addrlist,
3875         string_sprintf("%.50s transport filter", tblock->name), NULL))
3876     {
3877     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3878       FALSE, &sx->delivery_start);
3879     yield = ERROR;
3880     goto SEND_QUIT;
3881     }
3882
3883   if (  transport_filter_argv
3884      && *transport_filter_argv
3885      && **transport_filter_argv
3886      && smtp_peer_options & OPTION_CHUNKING
3887 #ifndef DISABLE_DKIM
3888     /* When dkim signing, chunking is handled even with a transport-filter */
3889      && !(ob->dkim.dkim_private_key && ob->dkim.dkim_domain && ob->dkim.dkim_selector)
3890      && !ob->dkim.force_bodyhash
3891 #endif
3892      )
3893     {
3894     smtp_peer_options &= ~OPTION_CHUNKING;
3895     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3896     }
3897   }
3898
3899 /* For messages that have more than the maximum number of envelope recipients,
3900 we want to send several transactions down the same SMTP connection. (See
3901 comments in deliver.c as to how this reconciles, heuristically, with
3902 remote_max_parallel.) This optimization was added to Exim after the following
3903 code was already working. The simplest way to put it in without disturbing the
3904 code was to use a goto to jump back to this point when there is another
3905 transaction to handle. */
3906
3907 SEND_MESSAGE:
3908 sx->from_addr = return_path;
3909 sx->sync_addr = sx->first_addr;
3910 sx->ok = FALSE;
3911 sx->send_rset = TRUE;
3912 sx->completed_addr = FALSE;
3913
3914
3915 /* If we are a continued-connection-after-verify the MAIL and RCPT
3916 commands were already sent; do not re-send but do mark the addrs as
3917 having been accepted up to RCPT stage.  A traditional cont-conn
3918 always has a sequence number greater than one. */
3919
3920 if (continue_hostname && continue_sequence == 1)
3921   {
3922   /* sx->pending_MAIL = FALSE; */
3923   sx->ok = TRUE;
3924   /* sx->next_addr = NULL; */
3925
3926   for (address_item * addr = addrlist; addr; addr = addr->next)
3927     addr->transport_return = PENDING_OK;
3928   }
3929 else
3930   {
3931   /* Initiate a message transfer. */
3932
3933   switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
3934     {
3935     case sw_mrc_ok:                     break;
3936     case sw_mrc_bad_mail:               goto RESPONSE_FAILED;
3937     case sw_mrc_bad_read:               goto RESPONSE_FAILED;
3938     case sw_mrc_nonmail_read_timeo:     goto END_OFF;
3939     case sw_mrc_bad_internal:           goto SEND_QUIT;
3940     default:                            goto SEND_FAILED;
3941     }
3942
3943   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3944   permanently or temporarily. We should have flushed and synced after the last
3945   RCPT. */
3946
3947   if (mua_wrapper)
3948     {
3949     address_item * a;
3950     unsigned cnt;
3951
3952     for (a = sx->first_addr, cnt = 0; a && cnt < sx->max_rcpt; a = a->next, cnt++)
3953       if (a->transport_return != PENDING_OK)
3954         {
3955         /*XXX could we find a better errno than 0 here? */
3956         set_errno_nohost(addrlist, 0, a->message, FAIL,
3957           testflag(a, af_pass_message), &sx->delivery_start);
3958         sx->ok = FALSE;
3959         break;
3960         }
3961     }
3962   }
3963
3964 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3965 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3966 have a good recipient buffered up if we are pipelining. We don't want to waste
3967 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3968 are pipelining. The responses are all handled by sync_responses().
3969 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3970 to send is. */
3971
3972 if (  !(smtp_peer_options & OPTION_CHUNKING)
3973    && (sx->ok || (pipelining_active && !mua_wrapper)))
3974   {
3975   int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
3976
3977   if (count < 0) goto SEND_FAILED;
3978
3979   switch(sync_responses(sx, count, sx->ok ? +1 : -1))
3980     {
3981     case RESP_HAD_2_AND_5: sx->ok = TRUE;       /* OK & progress made */
3982     case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
3983                            break;
3984
3985     case RESP_BIT_HAD_2XX: sx->ok = TRUE;       /* OK, but if LMTP, */
3986                            if (!sx->lmtp)       /* can't tell about progress yet */
3987                             sx->completed_addr = TRUE;
3988     case RESP_NOERROR:     break;               /* No 2xx or 5xx, but no probs */
3989
3990     case RESP_RCPT_TIMEO:  goto END_OFF;
3991
3992 #ifndef DISABLE_PIPE_CONNECT
3993     case -5:                            /* TLS first-read error */
3994     case -4:  HDEBUG(D_transport)
3995                 debug_printf("failed reaping pipelined cmd responses\n");
3996 #endif
3997     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3998     }
3999   pipelining_active = FALSE;
4000   data_command = string_copy(big_buffer);  /* Save for later error message */
4001   }
4002
4003 /* If there were no good recipients (but otherwise there have been no
4004 problems), just set ok TRUE, since we have handled address-specific errors
4005 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
4006 for handling the SMTP dot-handling protocol, flagging to apply to headers as
4007 well as body. Set the appropriate timeout value to be used for each chunk.
4008 (Haven't been able to make it work using select() for writing yet.) */
4009
4010 if (  !sx->ok
4011    && (!(smtp_peer_options & OPTION_CHUNKING) || !pipelining_active))
4012   {
4013   /* Save the first address of the next batch. */
4014   sx->first_addr = sx->next_addr;
4015
4016   sx->ok = TRUE;
4017   }
4018 else
4019   {
4020   transport_ctx tctx = {
4021     .u = {.fd = sx->cctx.sock}, /*XXX will this need TLS info? */
4022     .tblock =   tblock,
4023     .addr =     addrlist,
4024     .check_string = US".",
4025     .escape_string = US"..",    /* Escaping strings */
4026     .options =
4027       topt_use_crlf | topt_escape_headers
4028     | (tblock->body_only        ? topt_no_headers : 0)
4029     | (tblock->headers_only     ? topt_no_body : 0)
4030     | (tblock->return_path_add  ? topt_add_return_path : 0)
4031     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
4032     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
4033   };
4034
4035   /* If using CHUNKING we need a callback from the generic transport
4036   support to us, for the sending of BDAT smtp commands and the reaping
4037   of responses.  The callback needs a whole bunch of state so set up
4038   a transport-context structure to be passed around. */
4039
4040   if (smtp_peer_options & OPTION_CHUNKING)
4041     {
4042     tctx.check_string = tctx.escape_string = NULL;
4043     tctx.options |= topt_use_bdat;
4044     tctx.chunk_cb = smtp_chunk_cmd_callback;
4045     sx->pending_BDAT = FALSE;
4046     sx->good_RCPT = sx->ok;
4047     sx->cmd_count = 0;
4048     tctx.smtp_context = sx;
4049     }
4050   else
4051     tctx.options |= topt_end_dot;
4052
4053   /* Save the first address of the next batch. */
4054   sx->first_addr = sx->next_addr;
4055
4056   /* Responses from CHUNKING commands go in buffer.  Otherwise,
4057   there has not been a response. */
4058
4059   sx->buffer[0] = 0;
4060
4061   sigalrm_seen = FALSE;
4062   transport_write_timeout = ob->data_timeout;
4063   smtp_command = US"sending data block";   /* For error messages */
4064   DEBUG(D_transport|D_v)
4065     if (smtp_peer_options & OPTION_CHUNKING)
4066       debug_printf("         will write message using CHUNKING\n");
4067     else
4068       debug_printf("  SMTP>> (writing message)\n");
4069   transport_count = 0;
4070
4071 #ifndef DISABLE_DKIM
4072   {
4073 # ifdef MEASURE_TIMING
4074   struct timeval t0;
4075   gettimeofday(&t0, NULL);
4076 # endif
4077   dkim_exim_sign_init();
4078 # ifdef EXPERIMENTAL_ARC
4079     {
4080     uschar * s = ob->arc_sign;
4081     if (s)
4082       {
4083       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
4084         {
4085         if (!f.expand_string_forcedfail)
4086           {
4087           message = US"failed to expand arc_sign";
4088           sx->ok = FALSE;
4089           goto SEND_FAILED;
4090           }
4091         }
4092       else if (*s)
4093         {
4094         /* Ask dkim code to hash the body for ARC */
4095         (void) arc_ams_setup_sign_bodyhash();
4096         ob->dkim.force_bodyhash = TRUE;
4097         }
4098       }
4099     }
4100 # endif
4101 # ifdef MEASURE_TIMING
4102   report_time_since(&t0, US"dkim_exim_sign_init (delta)");
4103 # endif
4104   }
4105 #endif
4106
4107   /* See if we can pipeline QUIT.  Reasons not to are
4108   - pipelining not active
4109   - not ok to send quit
4110   - errors in amtp transation responses
4111   - more addrs to send for this message or this host
4112   - this message was being retried
4113   - more messages for this host
4114   If we can, we want the message-write to not flush (the tail end of) its data out.  */
4115
4116   if (  sx->pipelining_used
4117      && (sx->ok && sx->completed_addr || smtp_peer_options & OPTION_CHUNKING)
4118      && sx->send_quit
4119      && !(sx->first_addr || f.continue_more)
4120      && f.deliver_firsttime
4121      )
4122     {
4123     smtp_compare_t t_compare =
4124       {.tblock = tblock, .current_sender_address = sender_address};
4125
4126     tcw_done = TRUE;
4127     tcw =
4128 #ifndef DISABLE_TLS
4129            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4130            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4131            )
4132         &&
4133 #endif
4134            transport_check_waiting(tblock->name, host->name,
4135              tblock->connection_max_messages, new_message_id,
4136              (oicf)smtp_are_same_identities, (void*)&t_compare);
4137     if (!tcw)
4138       {
4139       HDEBUG(D_transport) debug_printf("will pipeline QUIT\n");
4140       tctx.options |= topt_no_flush;
4141       }
4142     }
4143
4144 #ifndef DISABLE_DKIM
4145   sx->ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
4146 #else
4147   sx->ok = transport_write_message(&tctx, 0);
4148 #endif
4149
4150   /* transport_write_message() uses write() because it is called from other
4151   places to write to non-sockets. This means that under some OS (e.g. Solaris)
4152   it can exit with "Broken pipe" as its error. This really means that the
4153   socket got closed at the far end. */
4154
4155   transport_write_timeout = 0;   /* for subsequent transports */
4156
4157   /* Failure can either be some kind of I/O disaster (including timeout),
4158   or the failure of a transport filter or the expansion of added headers.
4159   Or, when CHUNKING, it can be a protocol-detected failure. */
4160
4161   if (!sx->ok)
4162     if (message) goto SEND_FAILED;
4163     else         goto RESPONSE_FAILED;
4164
4165   /* We used to send the terminating "." explicitly here, but because of
4166   buffering effects at both ends of TCP/IP connections, you don't gain
4167   anything by keeping it separate, so it might as well go in the final
4168   data buffer for efficiency. This is now done by setting the topt_end_dot
4169   flag above. */
4170
4171   smtp_command = US"end of data";
4172
4173   /* If we can pipeline a QUIT with the data them send it now.  If a new message
4174   for this host appeared in the queue while data was being sent, we will not see
4175   it and it will have to wait for a queue run.  If there was one but another
4176   thread took it, we might attempt to send it - but locking of spoolfiles will
4177   detect that. Use _MORE to get QUIT in FIN segment. */
4178
4179   if (tcw_done && !tcw)
4180     {
4181     /*XXX jgh 2021/03/10 google et. al screwup.  G, at least, sends TCP FIN in response to TLS
4182     close-notify.  Under TLS 1.3, violating RFC.
4183     However, TLS 1.2 does not have half-close semantics. */
4184
4185     if (     sx->cctx.tls_ctx
4186 #if 0 && !defined(DISABLE_TLS)
4187           && Ustrcmp(tls_out.ver, "TLS1.3") != 0
4188 #endif
4189        || !f.deliver_firsttime
4190        )
4191       {                         /* Send QUIT now and not later */
4192       (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
4193       sx->send_quit = FALSE;
4194       }
4195     else
4196       {                         /* add QUIT to the output buffer */
4197       (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4198       sx->send_quit = FALSE;    /* avoid sending it later */
4199
4200 #ifndef DISABLE_TLS
4201       if (sx->cctx.tls_ctx && sx->send_tlsclose)        /* need to send TLS Close Notify */
4202         {
4203 # ifdef EXIM_TCP_CORK           /* Use _CORK to get Close Notify in FIN segment */
4204         (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4205 # endif
4206         tls_shutdown_wr(sx->cctx.tls_ctx);
4207         sx->send_tlsclose = FALSE;      /* avoid later repeat */
4208         }
4209 #endif
4210       HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4211       shutdown(sx->cctx.sock, SHUT_WR); /* flush output buffer, with TCP FIN */
4212       }
4213     }
4214
4215   if (smtp_peer_options & OPTION_CHUNKING && sx->cmd_count > 1)
4216     {
4217     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
4218     switch(sync_responses(sx, sx->cmd_count-1, 0))
4219       {
4220       case RESP_HAD_2_AND_5: sx->ok = TRUE;             /* OK & progress made */
4221       case RESP_BIT_HAD_5XX: sx->completed_addr = TRUE; /* progress made */
4222                              break;
4223
4224       case RESP_BIT_HAD_2XX: sx->ok = TRUE;             /*  OK, but if LMTP, */
4225                              if (!sx->lmtp)             /* can't tell about progress yet */
4226                                sx->completed_addr = TRUE;
4227       case RESP_NOERROR:     break;                     /* No 2xx or 5xx, but no probs */
4228
4229       case RESP_RCPT_TIMEO: goto END_OFF;               /* Timeout on RCPT */
4230
4231 #ifndef DISABLE_PIPE_CONNECT
4232       case RESP_EHLO_ERR_TLS:                           /* TLS first-read error */
4233       case RESP_EPIPE_EHLO_ERR:  HDEBUG(D_transport)
4234                   debug_printf("failed reaping pipelined cmd responses\n");
4235 #endif
4236       default:               goto RESPONSE_FAILED;      /* I/O error, or any MAIL/DATA error */
4237       }
4238     }
4239
4240 #ifndef DISABLE_PRDR
4241   /* For PRDR we optionally get a partial-responses warning followed by the
4242   individual responses, before going on with the overall response.  If we don't
4243   get the warning then deal with per non-PRDR. */
4244
4245   if(sx->prdr_active)
4246     {
4247     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '3', ob->final_timeout);
4248     if (!sx->ok && errno == 0) switch(sx->buffer[0])
4249       {
4250       case '2': sx->prdr_active = FALSE;
4251                 sx->ok = TRUE;
4252                 break;
4253       case '4': errno = ERRNO_DATA4XX;
4254                 addrlist->more_errno |=
4255                   ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4256                 break;
4257       }
4258     }
4259   else
4260 #endif
4261
4262   /* For non-PRDR SMTP, we now read a single response that applies to the
4263   whole message.  If it is OK, then all the addresses have been delivered. */
4264
4265   if (!sx->lmtp)
4266     {
4267     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4268       ob->final_timeout);
4269     if (!sx->ok && errno == 0 && sx->buffer[0] == '4')
4270       {
4271       errno = ERRNO_DATA4XX;
4272       addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4273       }
4274     }
4275
4276   /* For LMTP, we get back a response for every RCPT command that we sent;
4277   some may be accepted and some rejected. For those that get a response, their
4278   status is fixed; any that are accepted have been handed over, even if later
4279   responses crash - at least, that's how I read RFC 2033.
4280
4281   If all went well, mark the recipient addresses as completed, record which
4282   host/IPaddress they were delivered to, and cut out RSET when sending another
4283   message down the same channel. Write the completed addresses to the journal
4284   now so that they are recorded in case there is a crash of hardware or
4285   software before the spool gets updated. Also record the final SMTP
4286   confirmation if needed (for SMTP only). */
4287
4288   if (sx->ok)
4289     {
4290     int flag = '=';
4291     struct timeval delivery_time;
4292     int len;
4293     uschar * conf = NULL;
4294
4295     timesince(&delivery_time, &sx->delivery_start);
4296     sx->send_rset = FALSE;
4297     pipelining_active = FALSE;
4298
4299     /* Set up confirmation if needed - applies only to SMTP */
4300
4301     if (
4302 #ifdef DISABLE_EVENT
4303           LOGGING(smtp_confirmation) &&
4304 #endif
4305           !sx->lmtp
4306        )
4307       {
4308       const uschar * s = string_printing(sx->buffer);
4309       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4310       conf = s == sx->buffer ? US string_copy(s) : US s;
4311       }
4312
4313     /* Process all transported addresses - for LMTP or PRDR, read a status for
4314     each one. We used to drop out at first_addr, until someone returned a 452
4315     followed by a 250... and we screwed up the accepted addresses. */
4316
4317     for (address_item * addr = addrlist; addr; addr = addr->next)
4318       {
4319       if (addr->transport_return != PENDING_OK) continue;
4320
4321       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
4322       remaining addresses. Otherwise, it's a return code for just the one
4323       address. For temporary errors, add a retry item for the address so that
4324       it doesn't get tried again too soon. */
4325
4326 #ifndef DISABLE_PRDR
4327       if (sx->lmtp || sx->prdr_active)
4328 #else
4329       if (sx->lmtp)
4330 #endif
4331         {
4332         if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4333             ob->final_timeout))
4334           {
4335           if (errno != 0 || sx->buffer[0] == 0) goto RESPONSE_FAILED;
4336           addr->message = string_sprintf(
4337 #ifndef DISABLE_PRDR
4338             "%s error after %s: %s", sx->prdr_active ? "PRDR":"LMTP",
4339 #else
4340             "LMTP error after %s: %s",
4341 #endif
4342             data_command, string_printing(sx->buffer));
4343           setflag(addr, af_pass_message);   /* Allow message to go to user */
4344           if (sx->buffer[0] == '5')
4345             addr->transport_return = FAIL;
4346           else
4347             {
4348             errno = ERRNO_DATA4XX;
4349             addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4350             addr->transport_return = DEFER;
4351 #ifndef DISABLE_PRDR
4352             if (!sx->prdr_active)
4353 #endif
4354               retry_add_item(addr, addr->address_retry_key, 0);
4355             }
4356           continue;
4357           }
4358         sx->completed_addr = TRUE;   /* NOW we can set this flag */
4359         if (LOGGING(smtp_confirmation))
4360           {
4361           const uschar *s = string_printing(sx->buffer);
4362           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4363           conf = (s == sx->buffer) ? US string_copy(s) : US s;
4364           }
4365         }
4366
4367       /* SMTP, or success return from LMTP for this address. Pass back the
4368       actual host that was used. */
4369
4370       addr->transport_return = OK;
4371       addr->host_used = host;
4372       addr->delivery_time = delivery_time;
4373       addr->special_action = flag;
4374       addr->message = conf;
4375
4376       if (tcp_out_fastopen)
4377         {
4378         setflag(addr, af_tcp_fastopen_conn);
4379         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
4380         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
4381         }
4382       if (sx->pipelining_used) setflag(addr, af_pipelining);
4383 #ifndef DISABLE_PIPE_CONNECT
4384       if (sx->early_pipe_active) setflag(addr, af_early_pipe);
4385 #endif
4386 #ifndef DISABLE_PRDR
4387       if (sx->prdr_active) setflag(addr, af_prdr_used);
4388 #endif
4389       if (smtp_peer_options & OPTION_CHUNKING) setflag(addr, af_chunking_used);
4390       flag = '-';
4391
4392 #ifndef DISABLE_PRDR
4393       if (!sx->prdr_active)
4394 #endif
4395         {
4396         /* Update the journal. For homonymic addresses, use the base address plus
4397         the transport name. See lots of comments in deliver.c about the reasons
4398         for the complications when homonyms are involved. Just carry on after
4399         write error, as it may prove possible to update the spool file later. */
4400
4401         if (testflag(addr, af_homonym))
4402           sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4403         else
4404           sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4405
4406         DEBUG(D_deliver) debug_printf("S:journalling %s", sx->buffer);
4407         len = Ustrlen(CS sx->buffer);
4408         if (write(journal_fd, sx->buffer, len) != len)
4409           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4410             "%s: %s", sx->buffer, strerror(errno));
4411         }
4412       }
4413
4414 #ifndef DISABLE_PRDR
4415     if (sx->prdr_active)
4416       {
4417       const uschar * overall_message;
4418
4419       /* PRDR - get the final, overall response.  For any non-success
4420       upgrade all the address statuses. */
4421
4422       sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4423         ob->final_timeout);
4424       if (!sx->ok)
4425         {
4426         if(errno == 0 && sx->buffer[0] == '4')
4427           {
4428           errno = ERRNO_DATA4XX;
4429           addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4430           }
4431         for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4432           if (sx->buffer[0] == '5' || addr->transport_return == OK)
4433             addr->transport_return = PENDING_OK; /* allow set_errno action */
4434         goto RESPONSE_FAILED;
4435         }
4436
4437       /* Append the overall response to the individual PRDR response for logging
4438       and update the journal, or setup retry. */
4439
4440       overall_message = string_printing(sx->buffer);
4441       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4442         if (addr->transport_return == OK)
4443           addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
4444
4445       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4446         if (addr->transport_return == OK)
4447           {
4448           if (testflag(addr, af_homonym))
4449             sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4450           else
4451             sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4452
4453           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx->buffer);
4454           len = Ustrlen(CS sx->buffer);
4455           if (write(journal_fd, sx->buffer, len) != len)
4456             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4457               "%s: %s", sx->buffer, strerror(errno));
4458           }
4459         else if (addr->transport_return == DEFER)
4460           /*XXX magic value -2 ? maybe host+message ? */
4461           retry_add_item(addr, addr->address_retry_key, -2);
4462       }
4463 #endif
4464
4465     /* Ensure the journal file is pushed out to disk. */
4466
4467     if (EXIMfsync(journal_fd) < 0)
4468       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
4469         strerror(errno));
4470     }
4471   }
4472
4473
4474 /* Handle general (not specific to one address) failures here. The value of ok
4475 is used to skip over this code on the falling through case. A timeout causes a
4476 deferral. Other errors may defer or fail according to the response code, and
4477 may set up a special errno value, e.g. after connection chopped, which is
4478 assumed if errno == 0 and there is no text in the buffer. If control reaches
4479 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
4480 the problem is not related to this specific message. */
4481
4482 if (!sx->ok)
4483   {
4484   int code, set_rc;
4485   uschar * set_message;
4486
4487   RESPONSE_FAILED:
4488     {
4489     save_errno = errno;
4490     message = NULL;
4491     /* Clear send_quit flag if needed.  Do not set. */
4492     sx->send_quit &= check_response(host, &save_errno, addrlist->more_errno,
4493       sx->buffer, &code, &message, &pass_message);
4494     goto FAILED;
4495     }
4496
4497   SEND_FAILED:
4498     {
4499     save_errno = errno;
4500     code = '4';
4501     message = string_sprintf("smtp send to %s [%s] failed: %s",
4502       host->name, host->address, message ? message : US strerror(save_errno));
4503     sx->send_quit = FALSE;
4504     goto FAILED;
4505     }
4506
4507   FAILED:
4508     {
4509     BOOL message_error;
4510
4511     sx->ok = FALSE;                /* For when reached by GOTO */
4512     set_message = message;
4513
4514   /* We want to handle timeouts after MAIL or "." and loss of connection after
4515   "." specially. They can indicate a problem with the sender address or with
4516   the contents of the message rather than a real error on the connection. These
4517   cases are treated in the same way as a 4xx response. This next bit of code
4518   does the classification. */
4519
4520     switch(save_errno)
4521       {
4522       case 0:
4523       case ERRNO_MAIL4XX:
4524       case ERRNO_DATA4XX:
4525         message_error = TRUE;
4526         break;
4527
4528       case ETIMEDOUT:
4529         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4530                         Ustrncmp(smtp_command,"end ",4) == 0;
4531         break;
4532
4533       case ERRNO_SMTPCLOSED:
4534         /* If the peer closed the TCP connection after end-of-data, but before
4535         we could send QUIT, do TLS close, etc - call it a message error.
4536         Otherwise, if all the recipients have been dealt with, call a close no
4537         error at all; each address_item should have a suitable result already
4538         (2xx: PENDING_OK, 4xx: DEFER, 5xx: FAIL) */
4539
4540         if (!(message_error = Ustrncmp(smtp_command,"end ",4) == 0))
4541           {
4542           address_item * addr;
4543           for (addr = sx->addrlist; addr; addr = addr->next)
4544             if (addr->transport_return == PENDING_DEFER)
4545               break;
4546           if (!addr)    /* all rcpts fates determined */
4547             {
4548             log_write(0, LOG_MAIN, "peer close after all rcpt responses;"
4549               " converting i/o-error to no-error");
4550             sx->ok = TRUE;
4551             goto happy;
4552             }
4553           }
4554         break;
4555
4556 #ifndef DISABLE_DKIM
4557       case EACCES:
4558         /* DKIM signing failure: avoid thinking we pipelined quit,
4559         just abandon the message and close the socket. */
4560
4561         message_error = FALSE;
4562 # ifndef DISABLE_TLS
4563         if (sx->cctx.tls_ctx)
4564           {
4565           tls_close(sx->cctx.tls_ctx,
4566                     sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4567           sx->cctx.tls_ctx = NULL;
4568           }
4569 # endif
4570         break;
4571 #endif
4572       default:
4573         message_error = FALSE;
4574         break;
4575       }
4576
4577     /* Handle the cases that are treated as message errors (as opposed to
4578     host-errors). These are:
4579
4580       (a) negative response or timeout after MAIL
4581       (b) negative response after DATA
4582       (c) negative response or timeout or dropped connection after "."
4583       (d) utf8 support required and not offered
4584
4585     It won't be a negative response or timeout after RCPT, as that is dealt
4586     with separately above. The action in all cases is to set an appropriate
4587     error code for all the addresses, but to leave yield set to OK because the
4588     host itself has not failed. Of course, it might in practice have failed
4589     when we've had a timeout, but if so, we'll discover that at the next
4590     delivery attempt. For a temporary error, set the message_defer flag, and
4591     write to the logs for information if this is not the last host. The error
4592     for the last host will be logged as part of the address's log line. */
4593
4594     if (message_error)
4595       {
4596       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4597
4598       /* If there's an errno, the message contains just the identity of
4599       the host. */
4600
4601       if (code == '5')
4602         set_rc = FAIL;
4603       else              /* Anything other than 5 is treated as temporary */
4604         {
4605         set_rc = DEFER;
4606         if (save_errno > 0)
4607           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4608
4609         write_logs(host, message, sx->first_addr ? sx->first_addr->basic_errno : 0);
4610
4611         *message_defer = TRUE;
4612         }
4613 #ifdef TIOCOUTQ
4614       DEBUG(D_transport) if (sx->cctx.sock >= 0)
4615         {
4616         int n;
4617         if (ioctl(sx->cctx.sock, TIOCOUTQ, &n) == 0)
4618           debug_printf("%d bytes remain in socket output buffer\n", n);
4619         }
4620 #endif
4621       }
4622     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4623     ".", or some other transportation error. We defer all addresses and yield
4624     DEFER, except for the case of failed add_headers expansion, or a transport
4625     filter failure, when the yield should be ERROR, to stop it trying other
4626     hosts. */
4627
4628     else
4629       {
4630 #ifndef DISABLE_PIPE_CONNECT
4631       /* If we were early-pipelinng and the actual EHLO response did not match
4632       the cached value we assumed, we could have detected it and passed a
4633       custom errno through to here.  It would be nice to RSET and retry right
4634       away, but to reliably do that we eould need an extra synch point before
4635       we committed to data and that would discard half the gained roundrips.
4636       Or we could summarily drop the TCP connection. but that is also ugly.
4637       Instead, we ignore the possibility (having freshened the cache) and rely
4638       on the server telling us with a nonmessage error if we have tried to
4639       do something it no longer supports. */
4640 #endif
4641       set_rc = DEFER;
4642       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4643                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4644       }
4645     }
4646
4647   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host,
4648 #ifdef EXPERIMENTAL_DSN_INFO
4649             sx->smtp_greeting, sx->helo_response,
4650 #endif
4651             &sx->delivery_start);
4652   }
4653
4654 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4655 SMTP session tidily. However, if there were too many addresses to send in one
4656 message (indicated by first_addr being non-NULL) we want to carry on with the
4657 rest of them. Also, it is desirable to send more than one message down the SMTP
4658 connection if there are several waiting, provided we haven't already sent so
4659 many as to hit the configured limit. The function transport_check_waiting looks
4660 for a waiting message and returns its id. Then transport_pass_socket tries to
4661 set up a continued delivery by passing the socket on to another process. The
4662 variable send_rset is FALSE if a message has just been successfully transferred.
4663
4664 If we are already sending down a continued channel, there may be further
4665 addresses not yet delivered that are aimed at the same host, but which have not
4666 been passed in this run of the transport. In this case, continue_more will be
4667 true, and all we should do is send RSET if necessary, and return, leaving the
4668 channel open.
4669
4670 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4671 do not want to continue with other messages down the same channel, because that
4672 can lead to looping between two or more messages, all with the same,
4673 temporarily failing address(es). [The retry information isn't updated yet, so
4674 new processes keep on trying.] We probably also don't want to try more of this
4675 message's addresses either.
4676
4677 If we have started a TLS session, we have to end it before passing the
4678 connection to a new process. However, not all servers can handle this (Exim
4679 can), so we do not pass such a connection on if the host matches
4680 hosts_nopass_tls. */
4681
4682 happy:
4683
4684 DEBUG(D_transport)
4685   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4686     "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
4687     sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
4688
4689 if (sx->completed_addr && sx->ok && sx->send_quit)
4690 #ifndef DISABLE_ESMTP_LIMITS
4691   if (mail_limit = continue_sequence >= sx->max_mail)
4692     {
4693     DEBUG(D_transport)
4694       debug_printf("reached limit %u for MAILs per conn\n", sx->max_mail);
4695     }
4696   else
4697 #endif
4698     {
4699     smtp_compare_t t_compare =
4700       {.tblock = tblock, .current_sender_address = sender_address};
4701
4702     if (  sx->first_addr                        /* more addrs for this message */
4703        || f.continue_more                       /* more addrs for continued-host */
4704        || tcw_done && tcw                       /* more messages for host */
4705        || (
4706 #ifndef DISABLE_TLS
4707              (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4708              || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4709              )
4710           &&
4711 #endif
4712              transport_check_waiting(tblock->name, host->name,
4713                sx->max_mail, new_message_id,
4714                (oicf)smtp_are_same_identities, (void*)&t_compare)
4715        )  )
4716       {
4717       uschar *msg;
4718       BOOL pass_message;
4719
4720       if (sx->send_rset)
4721         if (! (sx->ok = smtp_write_command(sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4722           {
4723           msg = US string_sprintf("smtp send to %s [%s] failed: %s", host->name,
4724             host->address, strerror(errno));
4725           sx->send_quit = FALSE;
4726           }
4727         else if (! (sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4728                     '2', ob->command_timeout)))
4729           {
4730           int code;
4731           sx->send_quit = check_response(host, &errno, 0, sx->buffer, &code, &msg,
4732             &pass_message);
4733           if (!sx->send_quit)
4734             {
4735             DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4736               host->name, host->address, msg);
4737             }
4738           }
4739
4740       /* Either RSET was not needed, or it succeeded */
4741
4742       if (sx->ok)
4743         {
4744 #ifndef DISABLE_TLS
4745         int pfd[2];
4746 #endif
4747         int socket_fd = sx->cctx.sock;
4748
4749         if (sx->first_addr)             /* More addresses still to be sent */
4750           {                             /*   for this message              */
4751 #ifndef DISABLE_ESMTP_LIMITS
4752           /* Any that we marked as skipped, reset to do now */
4753           for (address_item * a = sx->first_addr; a; a = a->next)
4754             if (a->transport_return == SKIP)
4755               a->transport_return = PENDING_DEFER;
4756 #endif
4757           continue_sequence++;                          /* for consistency */
4758           clearflag(sx->first_addr, af_new_conn);
4759           setflag(sx->first_addr, af_cont_conn);        /* Causes * in logging */
4760           pipelining_active = sx->pipelining_used;      /* was cleared at DATA */
4761           goto SEND_MESSAGE;
4762           }
4763
4764         /* Unless caller said it already has more messages listed for this host,
4765         pass the connection on to a new Exim process (below, the call to
4766         transport_pass_socket).  If the caller has more ready, just return with
4767         the connection still open. */
4768
4769 #ifndef DISABLE_TLS
4770         if (tls_out.active.sock >= 0)
4771           if (  f.continue_more
4772              || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4773             {
4774             /* Before passing the socket on, or returning to caller with it still
4775             open, we must shut down TLS.  Not all MTAs allow for the continuation
4776             of the SMTP session when TLS is shut down. We test for this by sending
4777             a new EHLO. If we don't get a good response, we don't attempt to pass
4778             the socket on.
4779             NB: TLS close is *required* per RFC 9266 when tls-exporter info has
4780             been used, which we do under TLSv1.3 for the gsasl SCRAM*PLUS methods.
4781             But we were always doing it anyway. */
4782
4783           tls_close(sx->cctx.tls_ctx,
4784             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4785           sx->send_tlsclose = FALSE;
4786           sx->cctx.tls_ctx = NULL;
4787           tls_out.active.sock = -1;
4788           smtp_peer_options = smtp_peer_options_wrap;
4789           sx->ok = !sx->smtps
4790             && smtp_write_command(sx, SCMD_FLUSH, "EHLO %s\r\n", sx->helo_data)
4791                 >= 0
4792             && smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4793                                       '2', ob->command_timeout);
4794
4795             if (sx->ok && f.continue_more)
4796               goto TIDYUP;              /* More addresses for another run */
4797             }
4798           else
4799             {
4800             /* Set up a pipe for proxying TLS for the new transport process */
4801
4802             smtp_peer_options |= OPTION_TLS;
4803             if ((sx->ok = socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4804               socket_fd = pfd[1];
4805             else
4806               set_errno(sx->first_addr, errno, US"internal allocation problem",
4807                       DEFER, FALSE, host,
4808 # ifdef EXPERIMENTAL_DSN_INFO
4809                       sx->smtp_greeting, sx->helo_response,
4810 # endif
4811                       &sx->delivery_start);
4812             }
4813         else
4814 #endif
4815           if (f.continue_more)
4816             goto TIDYUP;                        /* More addresses for another run */
4817
4818         /* If the socket is successfully passed, we mustn't send QUIT (or
4819         indeed anything!) from here. */
4820
4821   /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4822   propagate it from the initial
4823   */
4824         if (sx->ok && transport_pass_socket(tblock->name, host->name,
4825               host->address, new_message_id, socket_fd
4826 #ifndef DISABLE_ESMTP_LIMITS
4827               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
4828 #endif
4829               ))
4830           {
4831           sx->send_quit = FALSE;
4832
4833           /* We have passed the client socket to a fresh transport process.
4834           If TLS is still active, we need to proxy it for the transport we
4835           just passed the baton to.  Fork a child to to do it, and return to
4836           get logging done asap.  Which way to place the work makes assumptions
4837           about post-fork prioritisation which may not hold on all platforms. */
4838 #ifndef DISABLE_TLS
4839           if (tls_out.active.sock >= 0)
4840             {
4841             int pid = exim_fork(US"tls-proxy-interproc");
4842             if (pid == 0)               /* child; fork again to disconnect totally */
4843               {
4844               /* does not return */
4845               smtp_proxy_tls(sx->cctx.tls_ctx, sx->buffer, sizeof(sx->buffer), pfd,
4846                               ob->command_timeout, host->name);
4847               }
4848
4849             if (pid > 0)                /* parent */
4850               {
4851               close(pfd[0]);
4852               /* tidy the inter-proc to disconn the proxy proc */
4853               waitpid(pid, NULL, 0);
4854               tls_close(sx->cctx.tls_ctx, TLS_NO_SHUTDOWN);
4855               sx->cctx.tls_ctx = NULL;
4856               (void)close(sx->cctx.sock);
4857               sx->cctx.sock = -1;
4858               continue_transport = NULL;
4859               continue_hostname = NULL;
4860               goto TIDYUP;
4861               }
4862             log_write(0, LOG_PANIC_DIE, "fork failed");
4863             }
4864 #endif
4865           }
4866         }
4867
4868       /* If RSET failed and there are addresses left, they get deferred. */
4869       else
4870         set_errno(sx->first_addr, errno, msg, DEFER, FALSE, host,
4871 #ifdef EXPERIMENTAL_DSN_INFO
4872                     sx->smtp_greeting, sx->helo_response,
4873 #endif
4874                     &sx->delivery_start);
4875       }
4876     }
4877
4878 /* End off tidily with QUIT unless the connection has died or the socket has
4879 been passed to another process. */
4880
4881 SEND_QUIT:
4882 if (sx->send_quit)
4883   {                     /* Use _MORE to get QUIT in FIN segment */
4884   (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4885 #ifndef DISABLE_TLS
4886   if (sx->cctx.tls_ctx && sx->send_tlsclose)
4887     {
4888 # ifdef EXIM_TCP_CORK   /* Use _CORK to get TLS Close Notify in FIN segment */
4889     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4890 # endif
4891     tls_shutdown_wr(sx->cctx.tls_ctx);
4892     sx->send_tlsclose = FALSE;
4893     }
4894 #endif
4895   }
4896
4897 END_OFF:
4898
4899 /* Close the socket, and return the appropriate value, first setting
4900 works because the NULL setting is passed back to the calling process, and
4901 remote_max_parallel is forced to 1 when delivering over an existing connection,
4902
4903 If all went well and continue_more is set, we shouldn't actually get here if
4904 there are further addresses, as the return above will be taken. However,
4905 writing RSET might have failed, or there may be other addresses whose hosts are
4906 specified in the transports, and therefore not visible at top level, in which
4907 case continue_more won't get set. */
4908
4909 if (sx->send_quit)
4910   {
4911   /* This flushes data queued in the socket, being the QUIT and any TLS Close,
4912   sending them along with the client FIN flag.  Us (we hope) sending FIN first
4913   means we (client) take the TIME_WAIT state, so the server (which likely has a
4914   higher connection rate) does not have to. */
4915
4916   HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4917   shutdown(sx->cctx.sock, SHUT_WR);
4918   }
4919
4920 if (sx->send_quit || tcw_done && !tcw)
4921   {
4922   /* Wait for (we hope) ack of our QUIT, and a server FIN.  Discard any data
4923   received, then discard the socket.  Any packet received after then, or receive
4924   data still in the socket, will get a RST - hence the pause/drain. */
4925
4926   /* Reap the response to QUIT, timing out after one second */
4927   (void) smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2', 1);
4928 #ifndef DISABLE_TLS
4929   if (sx->cctx.tls_ctx)
4930     {
4931     int n;
4932
4933     /* Reap the TLS Close Notify from the server, timing out after one second */
4934     sigalrm_seen = FALSE;
4935     ALARM(1);
4936     do
4937       n = tls_read(sx->cctx.tls_ctx, sx->inbuffer, sizeof(sx->inbuffer));
4938     while (!sigalrm_seen && n > 0);
4939     ALARM_CLR(0);
4940
4941     if (sx->send_tlsclose)
4942       {
4943 # ifdef EXIM_TCP_CORK
4944       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4945 # endif
4946       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4947       }
4948     else
4949       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WONLY);
4950     sx->cctx.tls_ctx = NULL;
4951     }
4952 #endif
4953
4954   /* Drain any trailing data from the socket before close, to avoid sending a RST */
4955
4956   if (  poll_one_fd(sx->cctx.sock, POLLIN, 20) != 0             /* 20ms */
4957      && fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4958     for (int i = 16, n;                                         /* drain socket */
4959          (n = read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer))) > 0 && i > 0;
4960          i--) HDEBUG(D_transport|D_acl|D_v)
4961       {
4962       int m = MIN(n, 64);
4963       debug_printf_indent("  SMTP(drain %d bytes)<< %.*s\n", n, m, sx->inbuffer);
4964       for (m = 0; m < n; m++)
4965         debug_printf("0x%02x\n", sx->inbuffer[m]);
4966       }
4967   }
4968 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4969 (void)close(sx->cctx.sock);
4970 sx->cctx.sock = -1;
4971 continue_transport = NULL;
4972 continue_hostname = NULL;
4973 smtp_debug_cmd_report();
4974
4975 #ifndef DISABLE_EVENT
4976 (void) event_raise(tblock->event_action, US"tcp:close", NULL, NULL);
4977 #endif
4978
4979 #ifdef SUPPORT_DANE
4980 if (dane_held)
4981   {
4982   sx->first_addr = NULL;
4983   for (address_item * a = sx->addrlist->next; a; a = a->next)
4984     if (a->transport_return == DANE)
4985       {
4986       a->transport_return = PENDING_DEFER;
4987       if (!sx->first_addr)
4988         {
4989         /* Remember the new start-point in the addrlist, for smtp_setup_conn()
4990         to get the domain string for SNI */
4991
4992         sx->first_addr = a;
4993         clearflag(a, af_cont_conn);
4994         setflag(a, af_new_conn);                /* clear * from logging */
4995         DEBUG(D_transport) debug_printf("DANE: go-around for %s\n", a->domain);
4996         }
4997       }
4998   continue_sequence = 1;                        /* for consistency */
4999   goto REPEAT_CONN;
5000   }
5001 #endif
5002
5003 #ifndef DISABLE_ESMTP_LIMITS
5004 if (mail_limit && sx->first_addr)
5005   {
5006   /* Reset the sequence count since we closed the connection.  This is flagged
5007   on the pipe back to the delivery process so that a non-continued-conn delivery
5008   is logged. */
5009
5010   continue_sequence = 1;                        /* for consistency */
5011   clearflag(sx->first_addr, af_cont_conn);
5012   setflag(sx->first_addr, af_new_conn);         /* clear  * from logging */
5013   goto REPEAT_CONN;
5014   }
5015 #endif
5016
5017 return yield;
5018
5019 TIDYUP:
5020 #ifdef SUPPORT_DANE
5021 if (dane_held) for (address_item * a = sx->addrlist->next; a; a = a->next)
5022   if (a->transport_return == DANE)
5023     a->transport_return = PENDING_DEFER;
5024 #endif
5025 return yield;
5026 }
5027
5028
5029
5030
5031 /*************************************************
5032 *              Closedown entry point             *
5033 *************************************************/
5034
5035 /* This function is called when exim is passed an open smtp channel
5036 from another incarnation, but the message which it has been asked
5037 to deliver no longer exists. The channel is on stdin.
5038
5039 We might do fancy things like looking for another message to send down
5040 the channel, but if the one we sought has gone, it has probably been
5041 delivered by some other process that itself will seek further messages,
5042 so just close down our connection.
5043
5044 Argument:   pointer to the transport instance block
5045 Returns:    nothing
5046 */
5047
5048 void
5049 smtp_transport_closedown(transport_instance *tblock)
5050 {
5051 smtp_transport_options_block * ob = SOB tblock->options_block;
5052 client_conn_ctx cctx;
5053 smtp_context sx = {0};
5054 uschar buffer[256];
5055 uschar inbuffer[4096];
5056 uschar outbuffer[16];
5057
5058 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
5059 cctx.sock = fileno(stdin);
5060 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
5061
5062 sx.inblock.cctx = &cctx;
5063 sx.inblock.buffer = inbuffer;
5064 sx.inblock.buffersize = sizeof(inbuffer);
5065 sx.inblock.ptr = inbuffer;
5066 sx.inblock.ptrend = inbuffer;
5067
5068 sx.outblock.cctx = &cctx;
5069 sx.outblock.buffersize = sizeof(outbuffer);
5070 sx.outblock.buffer = outbuffer;
5071 sx.outblock.ptr = outbuffer;
5072 sx.outblock.cmd_count = 0;
5073 sx.outblock.authenticating = FALSE;
5074
5075 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
5076 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
5077 (void)close(cctx.sock);
5078 }
5079
5080
5081
5082 /*************************************************
5083 *            Prepare addresses for delivery      *
5084 *************************************************/
5085
5086 /* This function is called to flush out error settings from previous delivery
5087 attempts to other hosts. It also records whether we got here via an MX record
5088 or not in the more_errno field of the address. We are interested only in
5089 addresses that are still marked DEFER - others may have got delivered to a
5090 previously considered IP address. Set their status to PENDING_DEFER to indicate
5091 which ones are relevant this time.
5092
5093 Arguments:
5094   addrlist     the list of addresses
5095   host         the host we are delivering to
5096
5097 Returns:       the first address for this delivery
5098 */
5099
5100 static address_item *
5101 prepare_addresses(address_item * addrlist, host_item * host)
5102 {
5103 address_item * first_addr = NULL;
5104 for (address_item * addr = addrlist; addr; addr = addr->next)
5105   if (addr->transport_return == DEFER)
5106     {
5107     if (!first_addr) first_addr = addr;
5108     addr->transport_return = PENDING_DEFER;
5109     addr->basic_errno = 0;
5110     addr->more_errno = host->mx >= 0 ? 'M' : 'A';
5111     addr->message = NULL;
5112 #ifndef DISABLE_TLS
5113     addr->cipher = NULL;
5114     addr->ourcert = NULL;
5115     addr->peercert = NULL;
5116     addr->peerdn = NULL;
5117     addr->ocsp = OCSP_NOT_REQ;
5118     addr->tlsver = NULL;
5119 #endif
5120 #ifdef EXPERIMENTAL_DSN_INFO
5121     addr->smtp_greeting = NULL;
5122     addr->helo_response = NULL;
5123 #endif
5124     }
5125 return first_addr;
5126 }
5127
5128
5129
5130 /*************************************************
5131 *              Main entry point                  *
5132 *************************************************/
5133
5134 /* See local README for interface details. As this is a remote transport, it is
5135 given a chain of addresses to be delivered in one connection, if possible. It
5136 always returns TRUE, indicating that each address has its own independent
5137 status set, except if there is a setting up problem, in which case it returns
5138 FALSE. */
5139
5140 BOOL
5141 smtp_transport_entry(
5142   transport_instance * tblock,      /* data for this instantiation */
5143   address_item * addrlist)          /* addresses we are working on */
5144 {
5145 int defport;
5146 int hosts_defer = 0, hosts_fail  = 0, hosts_looked_up = 0;
5147 int hosts_retry = 0, hosts_serial = 0, hosts_total = 0, total_hosts_tried = 0;
5148 BOOL expired = TRUE;
5149 uschar * expanded_hosts = NULL, * pistring;
5150 uschar * tid = string_sprintf("%s transport", tblock->name);
5151 smtp_transport_options_block * ob = SOB tblock->options_block;
5152 host_item * hostlist = addrlist->host_list, * host = NULL;
5153
5154 DEBUG(D_transport)
5155   {
5156   debug_printf("%s transport entered\n", tblock->name);
5157   for (address_item * addr = addrlist; addr; addr = addr->next)
5158     debug_printf("  %s\n", addr->address);
5159   if (hostlist)
5160     {
5161     debug_printf("hostlist:\n");
5162     for (host_item * host = hostlist; host; host = host->next)
5163       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
5164     }
5165   if (continue_hostname)
5166     debug_printf("already connected to %s [%s] (on fd %d)\n",
5167       continue_hostname, continue_host_address,
5168       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
5169   }
5170
5171 /* Check the restrictions on line length */
5172
5173 if (max_received_linelength > ob->message_linelength_limit)
5174   {
5175   struct timeval now;
5176   gettimeofday(&now, NULL);
5177
5178   for (address_item * addr = addrlist; addr; addr = addr->next)
5179     if (addr->transport_return == DEFER)
5180       addr->transport_return = PENDING_DEFER;
5181
5182   set_errno_nohost(addrlist, ERRNO_SMTPFORMAT,
5183     US"message has lines too long for transport", FAIL, TRUE, &now);
5184   goto END_TRANSPORT;
5185   }
5186
5187 /* Set the flag requesting that these hosts be added to the waiting
5188 database if the delivery fails temporarily or if we are running with
5189 queue_smtp or a 2-stage queue run. This gets unset for certain
5190 kinds of error, typically those that are specific to the message. */
5191
5192 update_waiting = TRUE;
5193
5194 /* If a host list is not defined for the addresses - they must all have the
5195 same one in order to be passed to a single transport - or if the transport has
5196 a host list with hosts_override set, use the host list supplied with the
5197 transport. It is an error for this not to exist. */
5198
5199 if (!hostlist || (ob->hosts_override && ob->hosts))
5200   {
5201   if (!ob->hosts)
5202     {
5203     addrlist->message = string_sprintf("%s transport called with no hosts set",
5204       tblock->name);
5205     addrlist->transport_return = PANIC;
5206     return FALSE;   /* Only top address has status */
5207     }
5208
5209   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
5210     ob->hosts);
5211
5212   /* If the transport's host list contains no '$' characters, and we are not
5213   randomizing, it is fixed and therefore a chain of hosts can be built once
5214   and for all, and remembered for subsequent use by other calls to this
5215   transport. If, on the other hand, the host list does contain '$', or we are
5216   randomizing its order, we have to rebuild it each time. In the fixed case,
5217   as the hosts string will never be used again, it doesn't matter that we
5218   replace all the : characters with zeros. */
5219
5220   if (!ob->hostlist)
5221     {
5222     uschar *s = ob->hosts;
5223
5224     if (Ustrchr(s, '$'))
5225       {
5226       if (!(expanded_hosts = expand_string(s)))
5227         {
5228         addrlist->message = string_sprintf("failed to expand list of hosts "
5229           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
5230         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
5231         return FALSE;     /* Only top address has status */
5232         }
5233       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
5234         "\"%s\"\n", s, expanded_hosts);
5235       s = expanded_hosts;
5236       }
5237     else
5238       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
5239
5240     if (is_tainted(s))
5241       {
5242       log_write(0, LOG_MAIN|LOG_PANIC,
5243         "attempt to use tainted host list '%s' from '%s' in transport %s",
5244         s, ob->hosts, tblock->name);
5245       /* Avoid leaking info to an attacker */
5246       addrlist->message = US"internal configuration error";
5247       addrlist->transport_return = PANIC;
5248       return FALSE;
5249       }
5250
5251     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
5252
5253     /* Check that the expansion yielded something useful. */
5254     if (!hostlist)
5255       {
5256       addrlist->message =
5257         string_sprintf("%s transport has empty hosts setting", tblock->name);
5258       addrlist->transport_return = PANIC;
5259       return FALSE;   /* Only top address has status */
5260       }
5261
5262     /* If there was no expansion of hosts, save the host list for
5263     next time. */
5264
5265     if (!expanded_hosts) ob->hostlist = hostlist;
5266     }
5267
5268   /* This is not the first time this transport has been run in this delivery;
5269   the host list was built previously. */
5270
5271   else
5272     hostlist = ob->hostlist;
5273   }
5274
5275 /* The host list was supplied with the address. If hosts_randomize is set, we
5276 must sort it into a random order if it did not come from MX records and has not
5277 already been randomized (but don't bother if continuing down an existing
5278 connection). */
5279
5280 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
5281   {
5282   host_item *newlist = NULL;
5283   while (hostlist)
5284     {
5285     host_item *h = hostlist;
5286     hostlist = hostlist->next;
5287
5288     h->sort_key = random_number(100);
5289
5290     if (!newlist)
5291       {
5292       h->next = NULL;
5293       newlist = h;
5294       }
5295     else if (h->sort_key < newlist->sort_key)
5296       {
5297       h->next = newlist;
5298       newlist = h;
5299       }
5300     else
5301       {
5302       host_item *hh = newlist;
5303       while (hh->next)
5304         {
5305         if (h->sort_key < hh->next->sort_key) break;
5306         hh = hh->next;
5307         }
5308       h->next = hh->next;
5309       hh->next = h;
5310       }
5311     }
5312
5313   hostlist = addrlist->host_list = newlist;
5314   }
5315
5316 /* Sort out the default port.  */
5317
5318 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
5319
5320 /* For each host-plus-IP-address on the list:
5321
5322 .  If this is a continued delivery and the host isn't the one with the
5323    current connection, skip.
5324
5325 .  If the status is unusable (i.e. previously failed or retry checked), skip.
5326
5327 .  If no IP address set, get the address, either by turning the name into
5328    an address, calling gethostbyname if gethostbyname is on, or by calling
5329    the DNS. The DNS may yield multiple addresses, in which case insert the
5330    extra ones into the list.
5331
5332 .  Get the retry data if not previously obtained for this address and set the
5333    field which remembers the state of this address. Skip if the retry time is
5334    not reached. If not, remember whether retry data was found. The retry string
5335    contains both the name and the IP address.
5336
5337 .  Scan the list of addresses and mark those whose status is DEFER as
5338    PENDING_DEFER. These are the only ones that will be processed in this cycle
5339    of the hosts loop.
5340
5341 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
5342    Some addresses may be successfully delivered, others may fail, and yet
5343    others may get temporary errors and so get marked DEFER.
5344
5345 .  The return from the delivery attempt is OK if a connection was made and a
5346    valid SMTP dialogue was completed. Otherwise it is DEFER.
5347
5348 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
5349
5350 .  If fail to connect, or other defer state, add a retry item.
5351
5352 .  If there are any addresses whose status is still DEFER, carry on to the
5353    next host/IPaddress, unless we have tried the number of hosts given
5354    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
5355    there is some fancy logic for hosts_max_try that means its limit can be
5356    overstepped in some circumstances.
5357
5358 If we get to the end of the list, all hosts have deferred at least one address,
5359 or not reached their retry times. If delay_after_cutoff is unset, it requests a
5360 delivery attempt to those hosts whose last try was before the arrival time of
5361 the current message. To cope with this, we have to go round the loop a second
5362 time. After that, set the status and error data for any addresses that haven't
5363 had it set already. */
5364
5365 for (int cutoff_retry = 0;
5366      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
5367      cutoff_retry++)
5368   {
5369   host_item *nexthost = NULL;
5370   int unexpired_hosts_tried = 0;
5371   BOOL continue_host_tried = FALSE;
5372
5373 retry_non_continued:
5374   for (host = hostlist;
5375           host
5376        && unexpired_hosts_tried < ob->hosts_max_try
5377        && total_hosts_tried < ob->hosts_max_try_hardlimit;
5378        host = nexthost)
5379     {
5380     int rc, host_af;
5381     BOOL host_is_expired = FALSE, message_defer = FALSE, some_deferred = FALSE;
5382     address_item * first_addr = NULL;
5383     uschar * interface = NULL;
5384     const uschar * retry_host_key = NULL, * retry_message_key = NULL;
5385     uschar * serialize_key = NULL;
5386
5387     /* Deal slightly better with a possible Linux kernel bug that results
5388     in intermittent TFO-conn fails deep into the TCP flow.  Bug 2907 tracks.
5389     Hack: Clear TFO option for any further hosts on this tpt run. */
5390
5391     if (total_hosts_tried > 0)
5392       {
5393       DEBUG(D_transport|D_acl|D_v)
5394         debug_printf("Clearing TFO as not first host for message\n");
5395       ob->hosts_try_fastopen = US"";
5396       }
5397
5398     /* Default next host is next host. :-) But this can vary if the
5399     hosts_max_try limit is hit (see below). It may also be reset if a host
5400     address is looked up here (in case the host was multihomed). */
5401
5402     nexthost = host->next;
5403
5404     /* If the address hasn't yet been obtained from the host name, look it up
5405     now, unless the host is already marked as unusable. If it is marked as
5406     unusable, it means that the router was unable to find its IP address (in
5407     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
5408     the lookup failed last time. We don't get this far if *all* MX records
5409     point to non-existent hosts; that is treated as a hard error.
5410
5411     We can just skip this host entirely. When the hosts came from the router,
5412     the address will timeout based on the other host(s); when the address is
5413     looked up below, there is an explicit retry record added.
5414
5415     Note that we mustn't skip unusable hosts if the address is not unset; they
5416     may be needed as expired hosts on the 2nd time round the cutoff loop. */
5417
5418     if (!host->address)
5419       {
5420       int new_port, flags;
5421
5422       if (host->status >= hstatus_unusable)
5423         {
5424         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
5425           host->name);
5426         continue;
5427         }
5428
5429       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
5430
5431       /* The host name is permitted to have an attached port. Find it, and
5432       strip it from the name. Just remember it for now. */
5433
5434       new_port = host_item_get_port(host);
5435
5436       /* Count hosts looked up */
5437
5438       hosts_looked_up++;
5439
5440       /* Find by name if so configured, or if it's an IP address. We don't
5441       just copy the IP address, because we need the test-for-local to happen. */
5442
5443       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
5444       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
5445       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
5446
5447       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
5448         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
5449       else
5450         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
5451           &ob->dnssec,          /* domains for request/require */
5452           NULL, NULL);
5453
5454       /* Update the host (and any additional blocks, resulting from
5455       multihoming) with a host-specific port, if any. */
5456
5457       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
5458
5459       /* Failure to find the host at this time (usually DNS temporary failure)
5460       is really a kind of routing failure rather than a transport failure.
5461       Therefore we add a retry item of the routing kind, not to stop us trying
5462       to look this name up here again, but to ensure the address gets timed
5463       out if the failures go on long enough. A complete failure at this point
5464       commonly points to a configuration error, but the best action is still
5465       to carry on for the next host. */
5466
5467       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
5468         {
5469         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
5470         expired = FALSE;
5471         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
5472         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
5473           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
5474         host->status = hstatus_unusable;
5475
5476         for (address_item * addr = addrlist; addr; addr = addr->next)
5477           {
5478           if (addr->transport_return != DEFER) continue;
5479           addr->basic_errno = ERRNO_UNKNOWNHOST;
5480           addr->message = string_sprintf(
5481             rc == HOST_FIND_SECURITY
5482               ? "lookup of IP address for %s was insecure"
5483               : "failed to lookup IP address for %s",
5484             host->name);
5485           }
5486         continue;
5487         }
5488
5489       /* If the host is actually the local host, we may have a problem, or
5490       there may be some cunning configuration going on. In the problem case,
5491       log things and give up. The default transport status is already DEFER. */
5492
5493       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
5494         {
5495         for (address_item * addr = addrlist; addr; addr = addr->next)
5496           {
5497           addr->basic_errno = ERRNO_HOST_IS_LOCAL;
5498           addr->message = string_sprintf("%s transport found host %s to be "
5499             "local", tblock->name, host->name);
5500           }
5501         goto END_TRANSPORT;
5502         }
5503       }   /* End of block for IP address lookup */
5504
5505     /* If this is a continued delivery, we are interested only in the host
5506     which matches the name of the existing open channel. The check is put
5507     here after the local host lookup, in case the name gets expanded as a
5508     result of the lookup. Set expired FALSE, to save the outer loop executing
5509     twice. */
5510
5511     if (continue_hostname)
5512       if (  Ustrcmp(continue_hostname, host->name) != 0
5513          || Ustrcmp(continue_host_address, host->address) != 0
5514          )
5515         {
5516         expired = FALSE;
5517         continue;      /* With next host */
5518         }
5519       else
5520         continue_host_tried = TRUE;
5521
5522     /* Reset the default next host in case a multihomed host whose addresses
5523     are not looked up till just above added to the host list. */
5524
5525     nexthost = host->next;
5526
5527     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
5528     domain is in queue_smtp_domains, we don't actually want to attempt any
5529     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
5530     there is a lookup defer in queue_smtp_domains, proceed as if the domain
5531     were not in it. We don't want to hold up all SMTP deliveries! Except when
5532     doing a two-stage queue run, don't do this if forcing. */
5533
5534     if (  (!f.deliver_force || f.queue_2stage)
5535        && (  f.queue_smtp
5536           || match_isinlist(addrlist->domain,
5537               CUSS &queue_smtp_domains, 0,
5538               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
5539        )
5540       {
5541       DEBUG(D_transport) debug_printf("first-pass routing only\n");
5542       expired = FALSE;
5543       for (address_item * addr = addrlist; addr; addr = addr->next)
5544         if (addr->transport_return == DEFER)
5545           addr->message = US"first-pass only routing due to -odqs, "
5546                             "queue_smtp_domains or control=queue";
5547       continue;      /* With next host */
5548       }
5549
5550     /* Count hosts being considered - purely for an intelligent comment
5551     if none are usable. */
5552
5553     hosts_total++;
5554
5555     /* Set $host and $host address now in case they are needed for the
5556     interface expansion or the serialize_hosts check; they remain set if an
5557     actual delivery happens. */
5558
5559     deliver_host = host->name;
5560     deliver_host_address = host->address;
5561     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
5562                                 : host->dnssec == DS_NO ? US"no"
5563                                 : US"";
5564
5565     /* Set up a string for adding to the retry key if the port number is not
5566     the standard SMTP port. A host may have its own port setting that overrides
5567     the default. */
5568
5569     pistring = string_sprintf(":%d", host->port == PORT_NONE
5570       ? defport : host->port);
5571     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
5572
5573     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
5574     string is set, even if constant (as different transports can have different
5575     constant settings), we must add it to the key that is used for retries,
5576     because connections to the same host from a different interface should be
5577     treated separately. */
5578
5579     host_af = Ustrchr(host->address, ':') ? AF_INET6 : AF_INET;
5580       {
5581       uschar * s;
5582       GET_OPTION("interface");
5583       if ((s = ob->interface) && *s)
5584         {
5585         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
5586           return FALSE;
5587         pistring = string_sprintf("%s/%s", pistring, interface);
5588         }
5589       }
5590
5591     /* The first time round the outer loop, check the status of the host by
5592     inspecting the retry data. The second time round, we are interested only
5593     in expired hosts that haven't been tried since this message arrived. */
5594
5595     if (cutoff_retry == 0)
5596       {
5597       BOOL incl_ip;
5598       /* Ensure the status of the address is set by checking retry data if
5599       necessary. There may be host-specific retry data (applicable to all
5600       messages) and also data for retries of a specific message at this host.
5601       If either of these retry records are actually read, the keys used are
5602       returned to save recomputing them later. */
5603
5604       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5605                 US"retry_include_ip_address", ob->retry_include_ip_address,
5606                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
5607         continue;       /* with next host */
5608
5609       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
5610         incl_ip, &retry_host_key, &retry_message_key);
5611
5612       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
5613         host->address ? host->address : US"", pistring,
5614         host->status == hstatus_usable ? "usable"
5615         : host->status == hstatus_unusable ? "unusable"
5616         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
5617
5618       /* Skip this address if not usable at this time, noting if it wasn't
5619       actually expired, both locally and in the address. */
5620
5621       switch (host->status)
5622         {
5623         case hstatus_unusable:
5624           expired = FALSE;
5625           setflag(addrlist, af_retry_skipped);
5626           /* Fall through */
5627
5628         case hstatus_unusable_expired:
5629           switch (host->why)
5630             {
5631             case hwhy_retry: hosts_retry++; break;
5632             case hwhy_failed:  hosts_fail++; break;
5633             case hwhy_insecure:
5634             case hwhy_deferred: hosts_defer++; break;
5635             }
5636
5637           /* If there was a retry message key, implying that previously there
5638           was a message-specific defer, we don't want to update the list of
5639           messages waiting for these hosts. */
5640
5641           if (retry_message_key) update_waiting = FALSE;
5642           continue;   /* With the next host or IP address */
5643         }
5644       }
5645
5646     /* Second time round the loop: if the address is set but expired, and
5647     the message is newer than the last try, let it through. */
5648
5649     else
5650       {
5651       if (  !host->address
5652          || host->status != hstatus_unusable_expired
5653          || host->last_try > received_time.tv_sec)
5654         continue;
5655       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
5656           host->name, host->address, pistring);
5657       host_is_expired = TRUE;
5658       }
5659
5660     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
5661     it remains TRUE only if all hosts are expired and none are actually tried.
5662     */
5663
5664     expired = FALSE;
5665
5666     /* If this host is listed as one to which access must be serialized,
5667     see if another Exim process has a connection to it, and if so, skip
5668     this host. If not, update the database to record our connection to it
5669     and remember this for later deletion. Do not do any of this if we are
5670     sending the message down a pre-existing connection. */
5671
5672     if (  !continue_hostname
5673        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
5674       {
5675       serialize_key = string_sprintf("host-serialize-%s", host->name);
5676       if (!enq_start(serialize_key, 1))
5677         {
5678         DEBUG(D_transport)
5679           debug_printf("skipping host %s because another Exim process "
5680             "is connected to it\n", host->name);
5681         hosts_serial++;
5682         continue;
5683         }
5684       }
5685
5686     /* OK, we have an IP address that is not waiting for its retry time to
5687     arrive (it might be expired) OR (second time round the loop) we have an
5688     expired host that hasn't been tried since the message arrived. Have a go
5689     at delivering the message to it. First prepare the addresses by flushing
5690     out the result of previous attempts, and finding the first address that
5691     is still to be delivered. */
5692
5693     if (!(first_addr = prepare_addresses(addrlist, host)))
5694       {
5695       /* Obscure situation; at least one case (bug 3059, fixed) where
5696       a previous host try returned DEFER, but having moved all
5697       recipients away from DEFER (the waiting-to-be-done state). */
5698       DEBUG(D_transport) debug_printf("no pending recipients\n");
5699       goto END_TRANSPORT;
5700       }
5701
5702     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
5703       message_id, host->name, host->address, addrlist->address,
5704       addrlist->next ? ", ..." : "");
5705
5706     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5707       message_id, host->name, host->address, pistring, addrlist->address,
5708       addrlist->next ? ", ..." : "");
5709
5710     /* This is not for real; don't do the delivery. If there are
5711     any remaining hosts, list them. */
5712
5713     if (f.dont_deliver)
5714       {
5715       struct timeval now;
5716       gettimeofday(&now, NULL);
5717       set_errno_nohost(addrlist, 0, NULL, OK, FALSE, &now);
5718       for (address_item * addr = addrlist; addr; addr = addr->next)
5719         {
5720         addr->host_used = host;
5721         addr->special_action = '*';
5722         addr->message = US"delivery bypassed by -N option";
5723         }
5724       DEBUG(D_transport)
5725         {
5726         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5727                      "*** host and remaining hosts:\n", tblock->name);
5728         for (host_item * host2 = host; host2; host2 = host2->next)
5729           debug_printf("    %s [%s]\n", host2->name,
5730             host2->address ? host2->address : US"unset");
5731         }
5732       rc = OK;
5733       }
5734
5735     /* This is for real. If the host is expired, we don't count it for
5736     hosts_max_retry. This ensures that all hosts must expire before an address
5737     is timed out, unless hosts_max_try_hardlimit (which protects against
5738     lunatic DNS configurations) is reached.
5739
5740     If the host is not expired and we are about to hit the hosts_max_retry
5741     limit, check to see if there is a subsequent hosts with a different MX
5742     value. If so, make that the next host, and don't count this one. This is a
5743     heuristic to make sure that different MXs do get tried. With a normal kind
5744     of retry rule, they would get tried anyway when the earlier hosts were
5745     delayed, but if the domain has a "retry every time" type of rule - as is
5746     often used for the the very large ISPs, that won't happen. */
5747
5748     else
5749       {
5750       host_item * thost;
5751       /* Make a copy of the host if it is local to this invocation
5752       of the transport. */
5753
5754       if (expanded_hosts)
5755         {
5756         thost = store_get(sizeof(host_item), GET_UNTAINTED);
5757         *thost = *host;
5758         thost->name = string_copy(host->name);
5759         thost->address = string_copy(host->address);
5760         }
5761       else
5762         thost = host;
5763
5764       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5765         {
5766         DEBUG(D_transport)
5767           debug_printf("hosts_max_try limit reached with this host\n");
5768         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5769           {
5770           nexthost = h;
5771           unexpired_hosts_tried--;
5772           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5773             "and will be tried\n");
5774           break;
5775           }
5776         }
5777
5778       /* Attempt the delivery. */
5779
5780       total_hosts_tried++;
5781       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5782         &message_defer, FALSE);
5783
5784       /* Yield is one of:
5785          OK     => connection made, each address contains its result;
5786                      message_defer is set for message-specific defers (when all
5787                      recipients are marked defer)
5788          DEFER  => there was a non-message-specific delivery problem;
5789          ERROR  => there was a problem setting up the arguments for a filter,
5790                    or there was a problem with expanding added headers
5791       */
5792
5793       /* If the result is not OK, there was a non-message-specific problem.
5794       If the result is DEFER, we need to write to the logs saying what happened
5795       for this particular host, except in the case of authentication and TLS
5796       failures, where the log has already been written. If all hosts defer a
5797       general message is written at the end. */
5798
5799       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5800                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5801         write_logs(host, first_addr->message, first_addr->basic_errno);
5802
5803 #ifndef DISABLE_EVENT
5804       if (rc == DEFER)
5805         deferred_event_raise(first_addr, host, US"msg:host:defer");
5806 #endif
5807
5808       /* If STARTTLS was accepted, but there was a failure in setting up the
5809       TLS session (usually a certificate screwup), and the host is not in
5810       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5811       TLS forcibly turned off. We have to start from scratch with a new SMTP
5812       connection. That's why the retry is done from here, not from within
5813       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5814       session, so the in-clear transmission after those errors, if permitted,
5815       happens inside smtp_deliver().] */
5816
5817 #ifndef DISABLE_TLS
5818       if (  rc == DEFER
5819          && first_addr->basic_errno == ERRNO_TLSFAILURE
5820          && ob->tls_tempfail_tryclear
5821          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5822          )
5823         {
5824         log_write(0, LOG_MAIN,
5825           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5826           first_addr->message, host->name, host->address);
5827         first_addr = prepare_addresses(addrlist, host);
5828         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5829           &message_defer, TRUE);
5830         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5831           write_logs(host, first_addr->message, first_addr->basic_errno);
5832 # ifndef DISABLE_EVENT
5833         if (rc == DEFER)
5834           deferred_event_raise(first_addr, host, US"msg:host:defer");
5835 # endif
5836         }
5837 #endif  /*DISABLE_TLS*/
5838
5839 #ifndef DISABLE_EVENT
5840       /* If the last host gave a defer raise a per-message event */
5841
5842       if (  !(  nexthost
5843              && unexpired_hosts_tried < ob->hosts_max_try
5844              && total_hosts_tried < ob->hosts_max_try_hardlimit
5845              )
5846          && (message_defer || rc == DEFER)
5847          )
5848         deferred_event_raise(first_addr, host, US"msg:defer");
5849 #endif
5850       }
5851
5852     /* Delivery attempt finished */
5853
5854     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5855       message_id, host->name, host->address, pistring, addrlist->address,
5856       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5857
5858     /* Release serialization if set up */
5859
5860     if (serialize_key) enq_end(serialize_key);
5861
5862     /* If the result is DEFER, or if a host retry record is known to exist, we
5863     need to add an item to the retry chain for updating the retry database
5864     at the end of delivery. We only need to add the item to the top address,
5865     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5866     for any other delivery attempts using the same address. (It is copied into
5867     the unusable tree at the outer level, so even if different address blocks
5868     contain the same address, it still won't get tried again.) */
5869
5870     if (rc == DEFER || retry_host_key)
5871       {
5872       int delete_flag = rc != DEFER ? rf_delete : 0;
5873       if (!retry_host_key)
5874         {
5875         BOOL incl_ip;
5876         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5877                   US"retry_include_ip_address", ob->retry_include_ip_address,
5878                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5879           incl_ip = TRUE;       /* error; use most-specific retry record */
5880
5881         retry_host_key = retry_host_key_build(host, incl_ip, pistring);
5882         }
5883
5884       /* If a delivery of another message over an existing SMTP connection
5885       yields DEFER, we do NOT set up retry data for the host. This covers the
5886       case when there are delays in routing the addresses in the second message
5887       that are so long that the server times out. This is alleviated by not
5888       routing addresses that previously had routing defers when handling an
5889       existing connection, but even so, this case may occur (e.g. if a
5890       previously happily routed address starts giving routing defers). If the
5891       host is genuinely down, another non-continued message delivery will
5892       notice it soon enough. */
5893
5894       if (delete_flag != 0 || !continue_hostname)
5895         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5896
5897       /* We may have tried an expired host, if its retry time has come; ensure
5898       the status reflects the expiry for the benefit of any other addresses. */
5899
5900       if (rc == DEFER)
5901         {
5902         host->status = host_is_expired
5903           ? hstatus_unusable_expired : hstatus_unusable;
5904         host->why = hwhy_deferred;
5905         }
5906       }
5907
5908     /* If message_defer is set (host was OK, but every recipient got deferred
5909     because of some message-specific problem), or if that had happened
5910     previously so that a message retry key exists, add an appropriate item
5911     to the retry chain. Note that if there was a message defer but now there is
5912     a host defer, the message defer record gets deleted. That seems perfectly
5913     reasonable. Also, stop the message from being remembered as waiting
5914     for specific hosts. */
5915
5916     if (message_defer || retry_message_key)
5917       {
5918       int delete_flag = message_defer ? 0 : rf_delete;
5919       if (!retry_message_key)
5920         {
5921         BOOL incl_ip;
5922         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5923                   US"retry_include_ip_address", ob->retry_include_ip_address,
5924                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5925           incl_ip = TRUE;       /* error; use most-specific retry record */
5926
5927         retry_message_key = string_sprintf("%s:%s",
5928           retry_host_key_build(host, incl_ip, pistring), message_id);
5929         }
5930       retry_add_item(addrlist, retry_message_key,
5931         rf_message | rf_host | delete_flag);
5932       update_waiting = FALSE;
5933       }
5934
5935     /* Any return other than DEFER (that is, OK or ERROR) means that the
5936     addresses have got their final statuses filled in for this host. In the OK
5937     case, see if any of them are deferred. */
5938
5939     if (rc == OK)
5940       for (address_item * addr = addrlist; addr; addr = addr->next)
5941         if (addr->transport_return == DEFER)
5942           { some_deferred = TRUE; break; }
5943
5944     /* If no addresses deferred or the result was ERROR, return. We do this for
5945     ERROR because a failing filter set-up or add_headers expansion is likely to
5946     fail for any host we try. */
5947
5948     if (rc == ERROR || (rc == OK && !some_deferred))
5949       goto END_TRANSPORT;
5950
5951     /* If the result was DEFER or some individual addresses deferred, let
5952     the loop run to try other hosts with the deferred addresses, except for the
5953     case when we were trying to deliver down an existing channel and failed.
5954     Don't try any other hosts in this case. */
5955
5956     if (continue_hostname) break;
5957
5958     /* If the whole delivery, or some individual addresses, were deferred and
5959     there are more hosts that could be tried, do not count this host towards
5960     the hosts_max_try limit if the age of the message is greater than the
5961     maximum retry time for this host. This means we may try try all hosts,
5962     ignoring the limit, when messages have been around for some time. This is
5963     important because if we don't try all hosts, the address will never time
5964     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5965
5966     if ((rc == DEFER || some_deferred) && nexthost)
5967       {
5968       BOOL timedout;
5969       retry_config * retry = retry_find_config(host->name, NULL, 0, 0);
5970
5971       if (retry && retry->rules)
5972         {
5973         retry_rule *last_rule;
5974         for (last_rule = retry->rules;
5975              last_rule->next;
5976              last_rule = last_rule->next);
5977         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5978         }
5979       else timedout = TRUE;    /* No rule => timed out */
5980
5981       if (timedout)
5982         {
5983         unexpired_hosts_tried--;
5984         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5985           "hosts_max_try (message older than host's retry time)\n");
5986         }
5987       }
5988
5989     DEBUG(D_transport)
5990       {
5991       if (unexpired_hosts_tried >= ob->hosts_max_try)
5992         debug_printf("reached transport hosts_max_try limit %d\n",
5993           ob->hosts_max_try);
5994       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5995         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5996           ob->hosts_max_try_hardlimit);
5997       }
5998
5999     testharness_pause_ms(500); /* let server debug out */
6000     }   /* End of loop for trying multiple hosts. */
6001
6002   /* If we failed to find a matching host in the list, for an already-open
6003   connection, just close it and start over with the list.  This can happen
6004   for routing that changes from run to run, or big multi-IP sites with
6005   round-robin DNS. */
6006
6007   if (continue_hostname && !continue_host_tried)
6008     {
6009     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
6010
6011     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
6012 #ifndef DISABLE_TLS
6013     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
6014     transport */
6015 /*XXX doublecheck that! */
6016
6017     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
6018       {
6019       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
6020       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
6021       cutthrough.cctx.tls_ctx = NULL;
6022       cutthrough.is_tls = FALSE;
6023       }
6024     else
6025 #else
6026       (void) write(fd, US"QUIT\r\n", 6);
6027 #endif
6028     (void) close(fd);
6029     cutthrough.cctx.sock = -1;
6030     continue_hostname = NULL;
6031     goto retry_non_continued;
6032     }
6033
6034   /* This is the end of the loop that repeats iff expired is TRUE and
6035   ob->delay_after_cutoff is FALSE. The second time round we will
6036   try those hosts that haven't been tried since the message arrived. */
6037
6038   DEBUG(D_transport)
6039     {
6040     debug_printf("all IP addresses skipped or deferred at least one address\n");
6041     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
6042       debug_printf("retrying IP addresses not tried since message arrived\n");
6043     }
6044   }
6045
6046
6047 /* Get here if all IP addresses are skipped or defer at least one address. In
6048 MUA wrapper mode, this will happen only for connection or other non-message-
6049 specific failures. Force the delivery status for all addresses to FAIL. */
6050
6051 if (mua_wrapper)
6052   {
6053   for (address_item * addr = addrlist; addr; addr = addr->next)
6054     addr->transport_return = FAIL;
6055   goto END_TRANSPORT;
6056   }
6057
6058 /* In the normal, non-wrapper case, add a standard message to each deferred
6059 address if there hasn't been an error, that is, if it hasn't actually been
6060 tried this time. The variable "expired" will be FALSE if any deliveries were
6061 actually tried, or if there was at least one host that was not expired. That
6062 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
6063 a delivery has been tried, an error code will be set, and the failing of the
6064 message is handled by the retry code later.
6065
6066 If queue_smtp is set, or this transport was called to send a subsequent message
6067 down an existing TCP/IP connection, and something caused the host not to be
6068 found, we end up here, but can detect these cases and handle them specially. */
6069
6070 for (address_item * addr = addrlist; addr; addr = addr->next)
6071   {
6072   /* If host is not NULL, it means that we stopped processing the host list
6073   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
6074   means we need to behave as if some hosts were skipped because their retry
6075   time had not come. Specifically, this prevents the address from timing out.
6076   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
6077   hosts were tried. */
6078
6079   if (host)
6080     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
6081       {
6082       DEBUG(D_transport)
6083         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
6084           "hosts were tried\n");
6085       }
6086     else
6087       {
6088       DEBUG(D_transport)
6089         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
6090       setflag(addr, af_retry_skipped);
6091       }
6092
6093   if (f.queue_smtp)    /* no deliveries attempted */
6094     {
6095     addr->transport_return = DEFER;
6096     addr->basic_errno = 0;
6097     addr->message = US"SMTP delivery explicitly queued";
6098     }
6099
6100   else if (  addr->transport_return == DEFER
6101           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
6102           && !addr->message
6103           )
6104     {
6105     addr->basic_errno = ERRNO_HRETRY;
6106     if (continue_hostname)
6107       addr->message = US"no host found for existing SMTP connection";
6108     else if (expired)
6109       {
6110       setflag(addr, af_pass_message);   /* This is not a security risk */
6111       addr->message = string_sprintf(
6112         "all hosts%s have been failing for a long time %s",
6113         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
6114         ob->delay_after_cutoff
6115         ? US"(and retry time not reached)"
6116         : US"and were last tried after this message arrived");
6117
6118       /* If we are already using fallback hosts, or there are no fallback hosts
6119       defined, convert the result to FAIL to cause a bounce. */
6120
6121       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
6122         addr->transport_return = FAIL;
6123       }
6124     else
6125       {
6126       const char * s;
6127       if (hosts_retry == hosts_total)
6128         s = "retry time not reached for any host%s";
6129       else if (hosts_fail == hosts_total)
6130         s = "all host address lookups%s failed permanently";
6131       else if (hosts_defer == hosts_total)
6132         s = "all host address lookups%s failed temporarily";
6133       else if (hosts_serial == hosts_total)
6134         s = "connection limit reached for all hosts%s";
6135       else if (hosts_fail+hosts_defer == hosts_total)
6136         s = "all host address lookups%s failed";
6137       else
6138         s = "some host address lookups failed and retry time "
6139         "not reached for other hosts or connection limit reached%s";
6140
6141       addr->message = string_sprintf(s,
6142         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
6143       }
6144     }
6145   }
6146
6147 /* Update the database which keeps information about which messages are waiting
6148 for which hosts to become available. For some message-specific errors, the
6149 update_waiting flag is turned off because we don't want follow-on deliveries in
6150 those cases.  If this transport instance is explicitly limited to one message
6151 per connection then follow-on deliveries are not possible and there's no need
6152 to create/update the per-transport wait-<transport_name> database. */
6153
6154 if (update_waiting && tblock->connection_max_messages != 1)
6155   transport_update_waiting(hostlist, tblock->name);
6156
6157 END_TRANSPORT:
6158
6159 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
6160
6161 return TRUE;   /* Each address has its status */
6162 }
6163
6164 #endif  /*!MACRO_PREDEF*/
6165 /* vi: aw ai sw=2
6166 */
6167 /* End of transport/smtp.c */