abb3ba7c01a3c5adf11aa4179c8a2ecb10543944
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9
10 /* The main function: entry point, initialization, and high-level control.
11 Also a few functions that don't naturally fit elsewhere. */
12
13
14 #include "exim.h"
15
16 #if defined(__GLIBC__) && !defined(__UCLIBC__)
17 # include <gnu/libc-version.h>
18 #endif
19
20 #ifdef USE_GNUTLS
21 # include <gnutls/gnutls.h>
22 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
23 #  define DISABLE_OCSP
24 # endif
25 #endif
26
27 #ifndef _TIME_H
28 # include <time.h>
29 #endif
30
31 extern void init_lookup_list(void);
32
33
34
35 /*************************************************
36 *      Function interface to store functions     *
37 *************************************************/
38
39 /* We need some real functions to pass to the PCRE regular expression library
40 for store allocation via Exim's store manager. The normal calls are actually
41 macros that pass over location information to make tracing easier. These
42 functions just interface to the standard macro calls. A good compiler will
43 optimize out the tail recursion and so not make them too expensive. There
44 are two sets of functions; one for use when we want to retain the compiled
45 regular expression for a long time; the other for short-term use. */
46
47 static void *
48 function_store_get(size_t size)
49 {
50 /* For now, regard all RE results as potentially tainted.  We might need
51 more intelligence on this point. */
52 return store_get((int)size, TRUE);
53 }
54
55 static void
56 function_dummy_free(void * block) {}
57
58 static void *
59 function_store_malloc(size_t size)
60 {
61 return store_malloc((int)size);
62 }
63
64 static void
65 function_store_free(void * block)
66 {
67 store_free(block);
68 }
69
70
71
72
73 /*************************************************
74 *         Enums for cmdline interface            *
75 *************************************************/
76
77 enum commandline_info { CMDINFO_NONE=0,
78   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
79
80
81
82
83 /*************************************************
84 *  Compile regular expression and panic on fail  *
85 *************************************************/
86
87 /* This function is called when failure to compile a regular expression leads
88 to a panic exit. In other cases, pcre_compile() is called directly. In many
89 cases where this function is used, the results of the compilation are to be
90 placed in long-lived store, so we temporarily reset the store management
91 functions that PCRE uses if the use_malloc flag is set.
92
93 Argument:
94   pattern     the pattern to compile
95   caseless    TRUE if caseless matching is required
96   use_malloc  TRUE if compile into malloc store
97
98 Returns:      pointer to the compiled pattern
99 */
100
101 const pcre *
102 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
103 {
104 int offset;
105 int options = PCRE_COPT;
106 const pcre *yield;
107 const uschar *error;
108 if (use_malloc)
109   {
110   pcre_malloc = function_store_malloc;
111   pcre_free = function_store_free;
112   }
113 if (caseless) options |= PCRE_CASELESS;
114 yield = pcre_compile(CCS pattern, options, CCSS &error, &offset, NULL);
115 pcre_malloc = function_store_get;
116 pcre_free = function_dummy_free;
117 if (yield == NULL)
118   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
119     "%s at offset %d while compiling %s", error, offset, pattern);
120 return yield;
121 }
122
123
124
125
126 /*************************************************
127 *   Execute regular expression and set strings   *
128 *************************************************/
129
130 /* This function runs a regular expression match, and sets up the pointers to
131 the matched substrings.
132
133 Arguments:
134   re          the compiled expression
135   subject     the subject string
136   options     additional PCRE options
137   setup       if < 0 do full setup
138               if >= 0 setup from setup+1 onwards,
139                 excluding the full matched string
140
141 Returns:      TRUE or FALSE
142 */
143
144 BOOL
145 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
146 {
147 int ovector[3*(EXPAND_MAXN+1)];
148 uschar * s = string_copy(subject);      /* de-constifying */
149 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
150   PCRE_EOPT | options, ovector, nelem(ovector));
151 BOOL yield = n >= 0;
152 if (n == 0) n = EXPAND_MAXN + 1;
153 if (yield)
154   {
155   expand_nmax = setup < 0 ? 0 : setup + 1;
156   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
157     {
158     expand_nstring[expand_nmax] = s + ovector[nn];
159     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
160     }
161   expand_nmax--;
162   }
163 return yield;
164 }
165
166
167
168
169 /*************************************************
170 *            Set up processing details           *
171 *************************************************/
172
173 /* Save a text string for dumping when SIGUSR1 is received.
174 Do checks for overruns.
175
176 Arguments: format and arguments, as for printf()
177 Returns:   nothing
178 */
179
180 void
181 set_process_info(const char *format, ...)
182 {
183 gstring gs = { .size = PROCESS_INFO_SIZE - 2, .ptr = 0, .s = process_info };
184 gstring * g;
185 int len;
186 va_list ap;
187
188 g = string_fmt_append(&gs, "%5d ", (int)getpid());
189 len = g->ptr;
190 va_start(ap, format);
191 if (!string_vformat(g, 0, format, ap))
192   {
193   gs.ptr = len;
194   g = string_cat(&gs, US"**** string overflowed buffer ****");
195   }
196 g = string_catn(g, US"\n", 1);
197 string_from_gstring(g);
198 process_info_len = g->ptr;
199 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
200 va_end(ap);
201 }
202
203 /***********************************************
204 *            Handler for SIGTERM               *
205 ***********************************************/
206
207 static void
208 term_handler(int sig)
209 {
210 exit(1);
211 }
212
213
214 /*************************************************
215 *             Handler for SIGUSR1                *
216 *************************************************/
217
218 /* SIGUSR1 causes any exim process to write to the process log details of
219 what it is currently doing. It will only be used if the OS is capable of
220 setting up a handler that causes automatic restarting of any system call
221 that is in progress at the time.
222
223 This function takes care to be signal-safe.
224
225 Argument: the signal number (SIGUSR1)
226 Returns:  nothing
227 */
228
229 static void
230 usr1_handler(int sig)
231 {
232 int fd;
233
234 os_restarting_signal(sig, usr1_handler);
235
236 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
237   {
238   /* If we are already running as the Exim user, try to create it in the
239   current process (assuming spool_directory exists). Otherwise, if we are
240   root, do the creation in an exim:exim subprocess. */
241
242   int euid = geteuid();
243   if (euid == exim_uid)
244     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
245   else if (euid == root_uid)
246     fd = log_create_as_exim(process_log_path);
247   }
248
249 /* If we are neither exim nor root, or if we failed to create the log file,
250 give up. There is not much useful we can do with errors, since we don't want
251 to disrupt whatever is going on outside the signal handler. */
252
253 if (fd < 0) return;
254
255 (void)write(fd, process_info, process_info_len);
256 (void)close(fd);
257 }
258
259
260
261 /*************************************************
262 *             Timeout handler                    *
263 *************************************************/
264
265 /* This handler is enabled most of the time that Exim is running. The handler
266 doesn't actually get used unless alarm() has been called to set a timer, to
267 place a time limit on a system call of some kind. When the handler is run, it
268 re-enables itself.
269
270 There are some other SIGALRM handlers that are used in special cases when more
271 than just a flag setting is required; for example, when reading a message's
272 input. These are normally set up in the code module that uses them, and the
273 SIGALRM handler is reset to this one afterwards.
274
275 Argument: the signal value (SIGALRM)
276 Returns:  nothing
277 */
278
279 void
280 sigalrm_handler(int sig)
281 {
282 sigalrm_seen = TRUE;
283 os_non_restarting_signal(SIGALRM, sigalrm_handler);
284 }
285
286
287
288 /*************************************************
289 *      Sleep for a fractional time interval      *
290 *************************************************/
291
292 /* This function is called by millisleep() and exim_wait_tick() to wait for a
293 period of time that may include a fraction of a second. The coding is somewhat
294 tedious. We do not expect setitimer() ever to fail, but if it does, the process
295 will wait for ever, so we panic in this instance. (There was a case of this
296 when a bug in a function that calls milliwait() caused it to pass invalid data.
297 That's when I added the check. :-)
298
299 We assume it to be not worth sleeping for under 50us; this value will
300 require revisiting as hardware advances.  This avoids the issue of
301 a zero-valued timer setting meaning "never fire".
302
303 Argument:  an itimerval structure containing the interval
304 Returns:   nothing
305 */
306
307 static void
308 milliwait(struct itimerval *itval)
309 {
310 sigset_t sigmask;
311 sigset_t old_sigmask;
312 int save_errno = errno;
313
314 if (itval->it_value.tv_usec < 50 && itval->it_value.tv_sec == 0)
315   return;
316 (void)sigemptyset(&sigmask);                           /* Empty mask */
317 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
318 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
319 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
320   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
321     "setitimer() failed: %s", strerror(errno));
322 (void)sigfillset(&sigmask);                            /* All signals */
323 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
324 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
325 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
326 errno = save_errno;
327 sigalrm_seen = FALSE;
328 }
329
330
331
332
333 /*************************************************
334 *         Millisecond sleep function             *
335 *************************************************/
336
337 /* The basic sleep() function has a granularity of 1 second, which is too rough
338 in some cases - for example, when using an increasing delay to slow down
339 spammers.
340
341 Argument:    number of millseconds
342 Returns:     nothing
343 */
344
345 void
346 millisleep(int msec)
347 {
348 struct itimerval itval = {.it_interval = {.tv_sec = 0, .tv_usec = 0},
349                           .it_value = {.tv_sec = msec/1000,
350                                        .tv_usec = (msec % 1000) * 1000}};
351 milliwait(&itval);
352 }
353
354
355
356 /*************************************************
357 *         Compare microsecond times              *
358 *************************************************/
359
360 /*
361 Arguments:
362   tv1         the first time
363   tv2         the second time
364
365 Returns:      -1, 0, or +1
366 */
367
368 static int
369 exim_tvcmp(struct timeval *t1, struct timeval *t2)
370 {
371 if (t1->tv_sec > t2->tv_sec) return +1;
372 if (t1->tv_sec < t2->tv_sec) return -1;
373 if (t1->tv_usec > t2->tv_usec) return +1;
374 if (t1->tv_usec < t2->tv_usec) return -1;
375 return 0;
376 }
377
378
379
380
381 /*************************************************
382 *          Clock tick wait function              *
383 *************************************************/
384
385 #ifdef _POSIX_MONOTONIC_CLOCK
386 # ifdef CLOCK_BOOTTIME
387 #  define EXIM_CLOCKTYPE CLOCK_BOOTTIME
388 # else
389 #  define EXIM_CLOCKTYPE CLOCK_MONOTONIC
390 # endif
391
392 /* Amount EXIM_CLOCK is behind realtime, at startup. */
393 static struct timespec offset_ts;
394
395 static void
396 exim_clock_init(void)
397 {
398 struct timeval tv;
399 if (clock_gettime(EXIM_CLOCKTYPE, &offset_ts) != 0) return;
400 (void)gettimeofday(&tv, NULL);
401 offset_ts.tv_sec = tv.tv_sec - offset_ts.tv_sec;
402 offset_ts.tv_nsec = tv.tv_usec * 1000 - offset_ts.tv_nsec;
403 if (offset_ts.tv_nsec >= 0) return;
404 offset_ts.tv_sec--;
405 offset_ts.tv_nsec += 1000*1000*1000;
406 }
407 #endif
408
409
410 void
411 exim_gettime(struct timeval * tv)
412 {
413 #ifdef _POSIX_MONOTONIC_CLOCK
414 struct timespec now_ts;
415
416 if (clock_gettime(EXIM_CLOCKTYPE, &now_ts) == 0)
417   {
418   now_ts.tv_sec += offset_ts.tv_sec;
419   if ((now_ts.tv_nsec += offset_ts.tv_nsec) >= 1000*1000*1000)
420     {
421     now_ts.tv_sec++;
422     now_ts.tv_nsec -= 1000*1000*1000;
423     }
424   tv->tv_sec = now_ts.tv_sec;
425   tv->tv_usec = now_ts.tv_nsec / 1000;
426   }
427 else
428 #endif
429   (void)gettimeofday(tv, NULL);
430 }
431
432
433 /* Exim uses a time + a pid to generate a unique identifier in two places: its
434 message IDs, and in file names for maildir deliveries. Because some OS now
435 re-use pids within the same second, sub-second times are now being used.
436 However, for absolute certainty, we must ensure the clock has ticked before
437 allowing the relevant process to complete. At the time of implementation of
438 this code (February 2003), the speed of processors is such that the clock will
439 invariably have ticked already by the time a process has done its job. This
440 function prepares for the time when things are faster - and it also copes with
441 clocks that go backwards.
442
443 Arguments:
444   tgt_tv       A timeval which was used to create uniqueness; its usec field
445                  has been rounded down to the value of the resolution.
446                  We want to be sure the current time is greater than this.
447   resolution   The resolution that was used to divide the microseconds
448                  (1 for maildir, larger for message ids)
449
450 Returns:       nothing
451 */
452
453 void
454 exim_wait_tick(struct timeval * tgt_tv, int resolution)
455 {
456 struct timeval now_tv;
457 long int now_true_usec;
458
459 exim_gettime(&now_tv);
460 now_true_usec = now_tv.tv_usec;
461 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
462
463 while (exim_tvcmp(&now_tv, tgt_tv) <= 0)
464   {
465   struct itimerval itval;
466   itval.it_interval.tv_sec = 0;
467   itval.it_interval.tv_usec = 0;
468   itval.it_value.tv_sec = tgt_tv->tv_sec - now_tv.tv_sec;
469   itval.it_value.tv_usec = tgt_tv->tv_usec + resolution - now_true_usec;
470
471   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
472   negative value for the microseconds is possible only in the case when "now"
473   is more than a second less than "tgt". That means that itval.it_value.tv_sec
474   is greater than zero. The following correction is therefore safe. */
475
476   if (itval.it_value.tv_usec < 0)
477     {
478     itval.it_value.tv_usec += 1000000;
479     itval.it_value.tv_sec -= 1;
480     }
481
482   DEBUG(D_transport|D_receive)
483     {
484     if (!f.running_in_test_harness)
485       {
486       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
487         tgt_tv->tv_sec, (long) tgt_tv->tv_usec,
488         now_tv.tv_sec, (long) now_tv.tv_usec);
489       debug_printf("waiting " TIME_T_FMT ".%06lu sec\n",
490         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
491       }
492     }
493
494   milliwait(&itval);
495
496   /* Be prapared to go around if the kernel does not implement subtick
497   granularity (GNU Hurd) */
498
499   exim_gettime(&now_tv);
500   now_true_usec = now_tv.tv_usec;
501   now_tv.tv_usec = (now_true_usec/resolution) * resolution;
502   }
503 }
504
505
506
507
508 /*************************************************
509 *   Call fopen() with umask 777 and adjust mode  *
510 *************************************************/
511
512 /* Exim runs with umask(0) so that files created with open() have the mode that
513 is specified in the open() call. However, there are some files, typically in
514 the spool directory, that are created with fopen(). They end up world-writeable
515 if no precautions are taken. Although the spool directory is not accessible to
516 the world, this is an untidiness. So this is a wrapper function for fopen()
517 that sorts out the mode of the created file.
518
519 Arguments:
520    filename       the file name
521    options        the fopen() options
522    mode           the required mode
523
524 Returns:          the fopened FILE or NULL
525 */
526
527 FILE *
528 modefopen(const uschar *filename, const char *options, mode_t mode)
529 {
530 mode_t saved_umask = umask(0777);
531 FILE *f = Ufopen(filename, options);
532 (void)umask(saved_umask);
533 if (f != NULL) (void)fchmod(fileno(f), mode);
534 return f;
535 }
536
537
538 /*************************************************
539 *   Ensure stdin, stdout, and stderr exist       *
540 *************************************************/
541
542 /* Some operating systems grumble if an exec() happens without a standard
543 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
544 file will be opened and will use these fd values, and then some other bit of
545 code will assume, for example, that it can write error messages to stderr.
546 This function ensures that fds 0, 1, and 2 are open if they do not already
547 exist, by connecting them to /dev/null.
548
549 This function is also used to ensure that std{in,out,err} exist at all times,
550 so that if any library that Exim calls tries to use them, it doesn't crash.
551
552 Arguments:  None
553 Returns:    Nothing
554 */
555
556 void
557 exim_nullstd(void)
558 {
559 int devnull = -1;
560 struct stat statbuf;
561 for (int i = 0; i <= 2; i++)
562   {
563   if (fstat(i, &statbuf) < 0 && errno == EBADF)
564     {
565     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
566     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
567       string_open_failed("/dev/null", NULL));
568     if (devnull != i) (void)dup2(devnull, i);
569     }
570   }
571 if (devnull > 2) (void)close(devnull);
572 }
573
574
575
576
577 /*************************************************
578 *   Close unwanted file descriptors for delivery *
579 *************************************************/
580
581 /* This function is called from a new process that has been forked to deliver
582 an incoming message, either directly, or using exec.
583
584 We want any smtp input streams to be closed in this new process. However, it
585 has been observed that using fclose() here causes trouble. When reading in -bS
586 input, duplicate copies of messages have been seen. The files will be sharing a
587 file pointer with the parent process, and it seems that fclose() (at least on
588 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
589 least sometimes. Hence we go for closing the underlying file descriptors.
590
591 If TLS is active, we want to shut down the TLS library, but without molesting
592 the parent's SSL connection.
593
594 For delivery of a non-SMTP message, we want to close stdin and stdout (and
595 stderr unless debugging) because the calling process might have set them up as
596 pipes and be waiting for them to close before it waits for the submission
597 process to terminate. If they aren't closed, they hold up the calling process
598 until the initial delivery process finishes, which is not what we want.
599
600 Exception: We do want it for synchronous delivery!
601
602 And notwithstanding all the above, if D_resolver is set, implying resolver
603 debugging, leave stdout open, because that's where the resolver writes its
604 debugging output.
605
606 When we close stderr (which implies we've also closed stdout), we also get rid
607 of any controlling terminal.
608
609 Arguments:   None
610 Returns:     Nothing
611 */
612
613 static void
614 close_unwanted(void)
615 {
616 if (smtp_input)
617   {
618 #ifndef DISABLE_TLS
619   tls_close(NULL, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
620 #endif
621   (void)close(fileno(smtp_in));
622   (void)close(fileno(smtp_out));
623   smtp_in = NULL;
624   }
625 else
626   {
627   (void)close(0);                                          /* stdin */
628   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
629   if (debug_selector == 0)                                 /* stderr */
630     {
631     if (!f.synchronous_delivery)
632       {
633       (void)close(2);
634       log_stderr = NULL;
635       }
636     (void)setsid();
637     }
638   }
639 }
640
641
642
643
644 /*************************************************
645 *          Set uid and gid                       *
646 *************************************************/
647
648 /* This function sets a new uid and gid permanently, optionally calling
649 initgroups() to set auxiliary groups. There are some special cases when running
650 Exim in unprivileged modes. In these situations the effective uid will not be
651 root; if we already have the right effective uid/gid, and don't need to
652 initialize any groups, leave things as they are.
653
654 Arguments:
655   uid        the uid
656   gid        the gid
657   igflag     TRUE if initgroups() wanted
658   msg        text to use in debugging output and failure log
659
660 Returns:     nothing; bombs out on failure
661 */
662
663 void
664 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
665 {
666 uid_t euid = geteuid();
667 gid_t egid = getegid();
668
669 if (euid == root_uid || euid != uid || egid != gid || igflag)
670   {
671   /* At least one OS returns +1 for initgroups failure, so just check for
672   non-zero. */
673
674   if (igflag)
675     {
676     struct passwd *pw = getpwuid(uid);
677     if (!pw)
678       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
679         "no passwd entry for uid=%ld", (long int)uid);
680
681     if (initgroups(pw->pw_name, gid) != 0)
682       log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
683         (long int)uid, strerror(errno));
684     }
685
686   if (setgid(gid) < 0 || setuid(uid) < 0)
687     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
688       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
689   }
690
691 /* Debugging output included uid/gid and all groups */
692
693 DEBUG(D_uid)
694   {
695   int group_count, save_errno;
696   gid_t group_list[EXIM_GROUPLIST_SIZE];
697   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
698     (long int)geteuid(), (long int)getegid(), (long int)getpid());
699   group_count = getgroups(nelem(group_list), group_list);
700   save_errno = errno;
701   debug_printf("  auxiliary group list:");
702   if (group_count > 0)
703     for (int i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
704   else if (group_count < 0)
705     debug_printf(" <error: %s>", strerror(save_errno));
706   else debug_printf(" <none>");
707   debug_printf("\n");
708   }
709 }
710
711
712
713
714 /*************************************************
715 *               Exit point                       *
716 *************************************************/
717
718 /* Exim exits via this function so that it always clears up any open
719 databases.
720
721 Arguments:
722   rc         return code
723
724 Returns:     does not return
725 */
726
727 void
728 exim_exit(int rc)
729 {
730 search_tidyup();
731 store_exit();
732 DEBUG(D_any)
733   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
734     ">>>>>>>>>>>>>>>>\n",
735     (int)getpid(), process_purpose, rc);
736 exit(rc);
737 }
738
739
740 void
741 exim_underbar_exit(int rc)
742 {
743 store_exit();
744 DEBUG(D_any)
745   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d (%s) terminating with rc=%d "
746     ">>>>>>>>>>>>>>>>\n",
747     (int)getpid(), process_purpose, rc);
748 _exit(rc);
749 }
750
751
752
753 /* Print error string, then die */
754 static void
755 exim_fail(const char * fmt, ...)
756 {
757 va_list ap;
758 va_start(ap, fmt);
759 vfprintf(stderr, fmt, ap);
760 exit(EXIT_FAILURE);
761 }
762
763 /* fail if a length is too long */
764 static inline void
765 exim_len_fail_toolong(int itemlen, int maxlen, const char *description)
766 {
767 if (itemlen <= maxlen)
768   return;
769 fprintf(stderr, "exim: length limit exceeded (%d > %d) for: %s\n",
770         itemlen, maxlen, description);
771 exit(EXIT_FAILURE);
772 }
773
774 /* only pass through the string item back to the caller if it's short enough */
775 static inline const uschar *
776 exim_str_fail_toolong(const uschar *item, int maxlen, const char *description)
777 {
778 exim_len_fail_toolong(Ustrlen(item), maxlen, description);
779 return item;
780 }
781
782 /* exim_chown_failure() called from exim_chown()/exim_fchown() on failure
783 of chown()/fchown().  See src/functions.h for more explanation */
784 int
785 exim_chown_failure(int fd, const uschar *name, uid_t owner, gid_t group)
786 {
787 int saved_errno = errno;  /* from the preceeding chown call */
788 #if 1
789 log_write(0, LOG_MAIN|LOG_PANIC,
790   __FILE__ ":%d: chown(%s, %d:%d) failed (%s)."
791   " Please contact the authors and refer to https://bugs.exim.org/show_bug.cgi?id=2391",
792   __LINE__, name?name:US"<unknown>", owner, group, strerror(errno));
793 #else
794 /* I leave this here, commented, in case the "bug"(?) comes up again.
795    It is not an Exim bug, but we can provide a workaround.
796    See Bug 2391
797    HS 2019-04-18 */
798
799 struct stat buf;
800
801 if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
802 {
803   if (buf.st_uid == owner && buf.st_gid == group) return 0;
804   log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
805 }
806 else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
807
808 #endif
809 errno = saved_errno;
810 return -1;
811 }
812
813
814 /*************************************************
815 *         Extract port from host address         *
816 *************************************************/
817
818 /* Called to extract the port from the values given to -oMa and -oMi.
819 It also checks the syntax of the address, and terminates it before the
820 port data when a port is extracted.
821
822 Argument:
823   address   the address, with possible port on the end
824
825 Returns:    the port, or zero if there isn't one
826             bombs out on a syntax error
827 */
828
829 static int
830 check_port(uschar *address)
831 {
832 int port = host_address_extract_port(address);
833 if (string_is_ip_address(address, NULL) == 0)
834   exim_fail("exim abandoned: \"%s\" is not an IP address\n", address);
835 return port;
836 }
837
838
839
840 /*************************************************
841 *              Test/verify an address            *
842 *************************************************/
843
844 /* This function is called by the -bv and -bt code. It extracts a working
845 address from a full RFC 822 address. This isn't really necessary per se, but it
846 has the effect of collapsing source routes.
847
848 Arguments:
849   s            the address string
850   flags        flag bits for verify_address()
851   exit_value   to be set for failures
852
853 Returns:       nothing
854 */
855
856 static void
857 test_address(uschar *s, int flags, int *exit_value)
858 {
859 int start, end, domain;
860 uschar *parse_error = NULL;
861 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
862   FALSE);
863 if (!address)
864   {
865   fprintf(stdout, "syntax error: %s\n", parse_error);
866   *exit_value = 2;
867   }
868 else
869   {
870   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
871     -1, -1, NULL, NULL, NULL);
872   if (rc == FAIL) *exit_value = 2;
873     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
874   }
875 }
876
877
878
879 /*************************************************
880 *          Show supported features               *
881 *************************************************/
882
883 static void
884 show_db_version(FILE * f)
885 {
886 #ifdef DB_VERSION_STRING
887 DEBUG(D_any)
888   {
889   fprintf(f, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
890   fprintf(f, "                      Runtime: %s\n",
891     db_version(NULL, NULL, NULL));
892   }
893 else
894   fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
895
896 #elif defined(BTREEVERSION) && defined(HASHVERSION)
897   #ifdef USE_DB
898   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
899   #else
900   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
901   #endif
902
903 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
904 fprintf(f, "Probably ndbm\n");
905 #elif defined(USE_TDB)
906 fprintf(f, "Using tdb\n");
907 #else
908   #ifdef USE_GDBM
909   fprintf(f, "Probably GDBM (native mode)\n");
910   #else
911   fprintf(f, "Probably GDBM (compatibility mode)\n");
912   #endif
913 #endif
914 }
915
916
917 /* This function is called for -bV/--version and for -d to output the optional
918 features of the current Exim binary.
919
920 Arguments:  a FILE for printing
921 Returns:    nothing
922 */
923
924 static void
925 show_whats_supported(FILE * fp)
926 {
927 rmark reset_point = store_mark();
928 gstring * g;
929 DEBUG(D_any) {} else show_db_version(fp);
930
931 g = string_cat(NULL, US"Support for:");
932 #ifdef SUPPORT_CRYPTEQ
933   g = string_cat(g, US" crypteq");
934 #endif
935 #if HAVE_ICONV
936   g = string_cat(g, US" iconv()");
937 #endif
938 #if HAVE_IPV6
939   g = string_cat(g, US" IPv6");
940 #endif
941 #ifdef HAVE_SETCLASSRESOURCES
942   g = string_cat(g, US" use_setclassresources");
943 #endif
944 #ifdef SUPPORT_PAM
945   g = string_cat(g, US" PAM");
946 #endif
947 #ifdef EXIM_PERL
948   g = string_cat(g, US" Perl");
949 #endif
950 #ifdef EXPAND_DLFUNC
951   g = string_cat(g, US" Expand_dlfunc");
952 #endif
953 #ifdef USE_TCP_WRAPPERS
954   g = string_cat(g, US" TCPwrappers");
955 #endif
956 #ifdef USE_GNUTLS
957   g = string_cat(g, US" GnuTLS");
958 #endif
959 #ifdef USE_OPENSSL
960   g = string_cat(g, US" OpenSSL");
961 #endif
962 #ifndef DISABLE_TLS_RESUME
963   g = string_cat(g, US" TLS_resume");
964 #endif
965 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
966   g = string_cat(g, US" translate_ip_address");
967 #endif
968 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
969   g = string_cat(g, US" move_frozen_messages");
970 #endif
971 #ifdef WITH_CONTENT_SCAN
972   g = string_cat(g, US" Content_Scanning");
973 #endif
974 #ifdef SUPPORT_DANE
975   g = string_cat(g, US" DANE");
976 #endif
977 #ifndef DISABLE_DKIM
978   g = string_cat(g, US" DKIM");
979 #endif
980 #ifdef SUPPORT_DMARC
981   g = string_cat(g, US" DMARC");
982 #endif
983 #ifndef DISABLE_DNSSEC
984   g = string_cat(g, US" DNSSEC");
985 #endif
986 #ifndef DISABLE_EVENT
987   g = string_cat(g, US" Event");
988 #endif
989 #ifdef SUPPORT_I18N
990   g = string_cat(g, US" I18N");
991 #endif
992 #ifndef DISABLE_OCSP
993   g = string_cat(g, US" OCSP");
994 #endif
995 #ifndef DISABLE_PIPE_CONNECT
996   g = string_cat(g, US" PIPE_CONNECT");
997 #endif
998 #ifndef DISABLE_PRDR
999   g = string_cat(g, US" PRDR");
1000 #endif
1001 #ifdef SUPPORT_PROXY
1002   g = string_cat(g, US" PROXY");
1003 #endif
1004 #ifndef DISABLE_QUEUE_RAMP
1005   g = string_cat(g, US" Experimental_Queue_Ramp");
1006 #endif
1007 #ifdef SUPPORT_SOCKS
1008   g = string_cat(g, US" SOCKS");
1009 #endif
1010 #ifdef SUPPORT_SPF
1011   g = string_cat(g, US" SPF");
1012 #endif
1013 #if defined(SUPPORT_SRS)
1014   g = string_cat(g, US" SRS");
1015 #endif
1016 #ifdef TCP_FASTOPEN
1017   tcp_init();
1018   if (f.tcp_fastopen_ok) g = string_cat(g, US" TCP_Fast_Open");
1019 #endif
1020 #ifdef EXPERIMENTAL_ARC
1021   g = string_cat(g, US" Experimental_ARC");
1022 #endif
1023 #ifdef EXPERIMENTAL_BRIGHTMAIL
1024   g = string_cat(g, US" Experimental_Brightmail");
1025 #endif
1026 #ifdef EXPERIMENTAL_DCC
1027   g = string_cat(g, US" Experimental_DCC");
1028 #endif
1029 #ifdef EXPERIMENTAL_DSN_INFO
1030   g = string_cat(g, US" Experimental_DSN_info");
1031 #endif
1032 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1033   g = string_cat(g, US" Experimental_ESMTP_Limits");
1034 #endif
1035 #ifdef EXPERIMENTAL_QUEUEFILE
1036   g = string_cat(g, US" Experimental_QUEUEFILE");
1037 #endif
1038 #if defined(EXPERIMENTAL_SRS_ALT)
1039   g = string_cat(g, US" Experimental_SRS");
1040 #endif
1041 g = string_cat(g, US"\n");
1042
1043 g = string_cat(g, US"Lookups (built-in):");
1044 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
1045   g = string_cat(g, US" lsearch wildlsearch nwildlsearch iplsearch");
1046 #endif
1047 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
1048   g = string_cat(g, US" cdb");
1049 #endif
1050 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
1051   g = string_cat(g, US" dbm dbmjz dbmnz");
1052 #endif
1053 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
1054   g = string_cat(g, US" dnsdb");
1055 #endif
1056 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
1057   g = string_cat(g, US" dsearch");
1058 #endif
1059 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
1060   g = string_cat(g, US" ibase");
1061 #endif
1062 #if defined(LOOKUP_JSON) && LOOKUP_JSON!=2
1063   g = string_cat(g, US" json");
1064 #endif
1065 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
1066   g = string_cat(g, US" ldap ldapdn ldapm");
1067 #endif
1068 #ifdef LOOKUP_LMDB
1069   g = string_cat(g, US" lmdb");
1070 #endif
1071 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
1072   g = string_cat(g, US" mysql");
1073 #endif
1074 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
1075   g = string_cat(g, US" nis nis0");
1076 #endif
1077 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
1078   g = string_cat(g, US" nisplus");
1079 #endif
1080 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
1081   g = string_cat(g, US" oracle");
1082 #endif
1083 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
1084   g = string_cat(g, US" passwd");
1085 #endif
1086 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
1087   g = string_cat(g, US" pgsql");
1088 #endif
1089 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
1090   g = string_cat(g, US" redis");
1091 #endif
1092 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
1093   g = string_cat(g, US" sqlite");
1094 #endif
1095 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
1096   g = string_cat(g, US" testdb");
1097 #endif
1098 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
1099   g = string_cat(g, US" whoson");
1100 #endif
1101 g = string_cat(g, US"\n");
1102
1103 g = auth_show_supported(g);
1104 g = route_show_supported(g);
1105 g = transport_show_supported(g);
1106
1107 #ifdef WITH_CONTENT_SCAN
1108 g = malware_show_supported(g);
1109 #endif
1110
1111 if (fixed_never_users[0] > 0)
1112   {
1113   int i;
1114   g = string_cat(g, US"Fixed never_users: ");
1115   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1116     string_fmt_append(g, "%u:", (unsigned)fixed_never_users[i]);
1117   g = string_fmt_append(g, "%u\n", (unsigned)fixed_never_users[i]);
1118   }
1119
1120 g = string_fmt_append(g, "Configure owner: %d:%d\n", config_uid, config_gid);
1121 fputs(CS string_from_gstring(g), fp);
1122
1123 fprintf(fp, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1124
1125 /* Everything else is details which are only worth reporting when debugging.
1126 Perhaps the tls_version_report should move into this too. */
1127 DEBUG(D_any) do {
1128
1129 /* clang defines __GNUC__ (at least, for me) so test for it first */
1130 #if defined(__clang__)
1131   fprintf(fp, "Compiler: CLang [%s]\n", __clang_version__);
1132 #elif defined(__GNUC__)
1133   fprintf(fp, "Compiler: GCC [%s]\n",
1134 # ifdef __VERSION__
1135       __VERSION__
1136 # else
1137       "? unknown version ?"
1138 # endif
1139       );
1140 #else
1141   fprintf(fp, "Compiler: <unknown>\n");
1142 #endif
1143
1144 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1145   fprintf(fp, "Library version: Glibc: Compile: %d.%d\n",
1146                 __GLIBC__, __GLIBC_MINOR__);
1147   if (__GLIBC_PREREQ(2, 1))
1148     fprintf(fp, "                        Runtime: %s\n",
1149                 gnu_get_libc_version());
1150 #endif
1151
1152 show_db_version(fp);
1153
1154 #ifndef DISABLE_TLS
1155   tls_version_report(fp);
1156 #endif
1157 #ifdef SUPPORT_I18N
1158   utf8_version_report(fp);
1159 #endif
1160 #ifdef SUPPORT_DMARC
1161   dmarc_version_report(fp);
1162 #endif
1163 #ifdef SUPPORT_SPF
1164   spf_lib_version_report(fp);
1165 #endif
1166
1167   for (auth_info * authi = auths_available; *authi->driver_name != '\0'; ++authi)
1168     if (authi->version_report)
1169       (*authi->version_report)(fp);
1170
1171   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1172   characters; unless it's an ancient version of PCRE in which case it
1173   is not defined. */
1174 #ifndef PCRE_PRERELEASE
1175 # define PCRE_PRERELEASE
1176 #endif
1177 #define QUOTE(X) #X
1178 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1179   fprintf(fp, "Library version: PCRE: Compile: %d.%d%s\n"
1180              "                       Runtime: %s\n",
1181           PCRE_MAJOR, PCRE_MINOR,
1182           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1183           pcre_version());
1184 #undef QUOTE
1185 #undef EXPAND_AND_QUOTE
1186
1187   init_lookup_list();
1188   for (int i = 0; i < lookup_list_count; i++)
1189     if (lookup_list[i]->version_report)
1190       lookup_list[i]->version_report(fp);
1191
1192 #ifdef WHITELIST_D_MACROS
1193   fprintf(fp, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1194 #else
1195   fprintf(fp, "WHITELIST_D_MACROS unset\n");
1196 #endif
1197 #ifdef TRUSTED_CONFIG_LIST
1198   fprintf(fp, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1199 #else
1200   fprintf(fp, "TRUSTED_CONFIG_LIST unset\n");
1201 #endif
1202
1203 } while (0);
1204 store_reset(reset_point);
1205 }
1206
1207
1208 /*************************************************
1209 *     Show auxiliary information about Exim      *
1210 *************************************************/
1211
1212 static void
1213 show_exim_information(enum commandline_info request, FILE *stream)
1214 {
1215 switch(request)
1216   {
1217   case CMDINFO_NONE:
1218     fprintf(stream, "Oops, something went wrong.\n");
1219     return;
1220   case CMDINFO_HELP:
1221     fprintf(stream,
1222 "The -bI: flag takes a string indicating which information to provide.\n"
1223 "If the string is not recognised, you'll get this help (on stderr).\n"
1224 "\n"
1225 "  exim -bI:help    this information\n"
1226 "  exim -bI:dscp    list of known dscp value keywords\n"
1227 "  exim -bI:sieve   list of supported sieve extensions\n"
1228 );
1229     return;
1230   case CMDINFO_SIEVE:
1231     for (const uschar ** pp = exim_sieve_extension_list; *pp; ++pp)
1232       fprintf(stream, "%s\n", *pp);
1233     return;
1234   case CMDINFO_DSCP:
1235     dscp_list_to_stream(stream);
1236     return;
1237   }
1238 }
1239
1240
1241 /*************************************************
1242 *               Quote a local part               *
1243 *************************************************/
1244
1245 /* This function is used when a sender address or a From: or Sender: header
1246 line is being created from the caller's login, or from an authenticated_id. It
1247 applies appropriate quoting rules for a local part.
1248
1249 Argument:    the local part
1250 Returns:     the local part, quoted if necessary
1251 */
1252
1253 uschar *
1254 local_part_quote(uschar *lpart)
1255 {
1256 BOOL needs_quote = FALSE;
1257 gstring * g;
1258
1259 for (uschar * t = lpart; !needs_quote && *t != 0; t++)
1260   {
1261   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1262     (*t != '.' || t == lpart || t[1] == 0);
1263   }
1264
1265 if (!needs_quote) return lpart;
1266
1267 g = string_catn(NULL, US"\"", 1);
1268
1269 for (;;)
1270   {
1271   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1272   if (nq == NULL)
1273     {
1274     g = string_cat(g, lpart);
1275     break;
1276     }
1277   g = string_catn(g, lpart, nq - lpart);
1278   g = string_catn(g, US"\\", 1);
1279   g = string_catn(g, nq, 1);
1280   lpart = nq + 1;
1281   }
1282
1283 g = string_catn(g, US"\"", 1);
1284 return string_from_gstring(g);
1285 }
1286
1287
1288
1289 #ifdef USE_READLINE
1290 /*************************************************
1291 *         Load readline() functions              *
1292 *************************************************/
1293
1294 /* This function is called from testing executions that read data from stdin,
1295 but only when running as the calling user. Currently, only -be does this. The
1296 function loads the readline() function library and passes back the functions.
1297 On some systems, it needs the curses library, so load that too, but try without
1298 it if loading fails. All this functionality has to be requested at build time.
1299
1300 Arguments:
1301   fn_readline_ptr   pointer to where to put the readline pointer
1302   fn_addhist_ptr    pointer to where to put the addhistory function
1303
1304 Returns:            the dlopen handle or NULL on failure
1305 */
1306
1307 static void *
1308 set_readline(char * (**fn_readline_ptr)(const char *),
1309              void   (**fn_addhist_ptr)(const char *))
1310 {
1311 void *dlhandle;
1312 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1313
1314 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1315 if (dlhandle_curses) dlclose(dlhandle_curses);
1316
1317 if (dlhandle)
1318   {
1319   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1320    *   char * readline (const char *prompt);
1321    *   void add_history (const char *string);
1322    */
1323   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1324   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1325   }
1326 else
1327   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1328
1329 return dlhandle;
1330 }
1331 #endif
1332
1333
1334
1335 /*************************************************
1336 *    Get a line from stdin for testing things    *
1337 *************************************************/
1338
1339 /* This function is called when running tests that can take a number of lines
1340 of input (for example, -be and -bt). It handles continuations and trailing
1341 spaces. And prompting and a blank line output on eof. If readline() is in use,
1342 the arguments are non-NULL and provide the relevant functions.
1343
1344 Arguments:
1345   fn_readline   readline function or NULL
1346   fn_addhist    addhist function or NULL
1347
1348 Returns:        pointer to dynamic memory, or NULL at end of file
1349 */
1350
1351 static uschar *
1352 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1353 {
1354 gstring * g = NULL;
1355
1356 if (!fn_readline) { printf("> "); fflush(stdout); }
1357
1358 for (int i = 0;; i++)
1359   {
1360   uschar buffer[1024];
1361   uschar *p, *ss;
1362
1363   #ifdef USE_READLINE
1364   char *readline_line = NULL;
1365   if (fn_readline)
1366     {
1367     if (!(readline_line = fn_readline((i > 0)? "":"> "))) break;
1368     if (*readline_line != 0 && fn_addhist) fn_addhist(readline_line);
1369     p = US readline_line;
1370     }
1371   else
1372   #endif
1373
1374   /* readline() not in use */
1375
1376     {
1377     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1378     p = buffer;
1379     }
1380
1381   /* Handle the line */
1382
1383   ss = p + (int)Ustrlen(p);
1384   while (ss > p && isspace(ss[-1])) ss--;
1385
1386   if (i > 0)
1387     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1388
1389   g = string_catn(g, p, ss - p);
1390
1391   #ifdef USE_READLINE
1392   if (fn_readline) free(readline_line);
1393   #endif
1394
1395   /* g can only be NULL if ss==p */
1396   if (ss == p || g->s[g->ptr-1] != '\\')
1397     break;
1398
1399   --g->ptr;
1400   (void) string_from_gstring(g);
1401   }
1402
1403 if (!g) printf("\n");
1404 return string_from_gstring(g);
1405 }
1406
1407
1408
1409 /*************************************************
1410 *    Output usage information for the program    *
1411 *************************************************/
1412
1413 /* This function is called when there are no recipients
1414    or a specific --help argument was added.
1415
1416 Arguments:
1417   progname      information on what name we were called by
1418
1419 Returns:        DOES NOT RETURN
1420 */
1421
1422 static void
1423 exim_usage(uschar *progname)
1424 {
1425
1426 /* Handle specific program invocation variants */
1427 if (Ustrcmp(progname, US"-mailq") == 0)
1428   exim_fail(
1429     "mailq - list the contents of the mail queue\n\n"
1430     "For a list of options, see the Exim documentation.\n");
1431
1432 /* Generic usage - we output this whatever happens */
1433 exim_fail(
1434   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1435   "not directly from a shell command line. Options and/or arguments control\n"
1436   "what it does when called. For a list of options, see the Exim documentation.\n");
1437 }
1438
1439
1440
1441 /*************************************************
1442 *    Validate that the macros given are okay     *
1443 *************************************************/
1444
1445 /* Typically, Exim will drop privileges if macros are supplied.  In some
1446 cases, we want to not do so.
1447
1448 Arguments:    opt_D_used - true if the commandline had a "-D" option
1449 Returns:      true if trusted, false otherwise
1450 */
1451
1452 static BOOL
1453 macros_trusted(BOOL opt_D_used)
1454 {
1455 #ifdef WHITELIST_D_MACROS
1456 uschar *whitelisted, *end, *p, **whites;
1457 int white_count, i, n;
1458 size_t len;
1459 BOOL prev_char_item, found;
1460 #endif
1461
1462 if (!opt_D_used)
1463   return TRUE;
1464 #ifndef WHITELIST_D_MACROS
1465 return FALSE;
1466 #else
1467
1468 /* We only trust -D overrides for some invoking users:
1469 root, the exim run-time user, the optional config owner user.
1470 I don't know why config-owner would be needed, but since they can own the
1471 config files anyway, there's no security risk to letting them override -D. */
1472 if ( ! ((real_uid == root_uid)
1473      || (real_uid == exim_uid)
1474 #ifdef CONFIGURE_OWNER
1475      || (real_uid == config_uid)
1476 #endif
1477    ))
1478   {
1479   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1480   return FALSE;
1481   }
1482
1483 /* Get a list of macros which are whitelisted */
1484 whitelisted = string_copy_perm(US WHITELIST_D_MACROS, FALSE);
1485 prev_char_item = FALSE;
1486 white_count = 0;
1487 for (p = whitelisted; *p != '\0'; ++p)
1488   {
1489   if (*p == ':' || isspace(*p))
1490     {
1491     *p = '\0';
1492     if (prev_char_item)
1493       ++white_count;
1494     prev_char_item = FALSE;
1495     continue;
1496     }
1497   if (!prev_char_item)
1498     prev_char_item = TRUE;
1499   }
1500 end = p;
1501 if (prev_char_item)
1502   ++white_count;
1503 if (!white_count)
1504   return FALSE;
1505 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1506 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1507   {
1508   if (*p != '\0')
1509     {
1510     whites[i++] = p;
1511     if (i == white_count)
1512       break;
1513     while (*p != '\0' && p < end)
1514       ++p;
1515     }
1516   }
1517 whites[i] = NULL;
1518
1519 /* The list of commandline macros should be very short.
1520 Accept the N*M complexity. */
1521 for (macro_item * m = macros_user; m; m = m->next) if (m->command_line)
1522   {
1523   found = FALSE;
1524   for (uschar ** w = whites; *w; ++w)
1525     if (Ustrcmp(*w, m->name) == 0)
1526       {
1527       found = TRUE;
1528       break;
1529       }
1530   if (!found)
1531     return FALSE;
1532   if (!m->replacement)
1533     continue;
1534   if ((len = m->replen) == 0)
1535     continue;
1536   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1537    0, PCRE_EOPT, NULL, 0);
1538   if (n < 0)
1539     {
1540     if (n != PCRE_ERROR_NOMATCH)
1541       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1542     return FALSE;
1543     }
1544   }
1545 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1546 return TRUE;
1547 #endif
1548 }
1549
1550
1551 /*************************************************
1552 *          Expansion testing                     *
1553 *************************************************/
1554
1555 /* Expand and print one item, doing macro-processing.
1556
1557 Arguments:
1558   item          line for expansion
1559 */
1560
1561 static void
1562 expansion_test_line(const uschar * line)
1563 {
1564 int len;
1565 BOOL dummy_macexp;
1566 uschar * s;
1567
1568 Ustrncpy(big_buffer, line, big_buffer_size);
1569 big_buffer[big_buffer_size-1] = '\0';
1570 len = Ustrlen(big_buffer);
1571
1572 (void) macros_expand(0, &len, &dummy_macexp);
1573
1574 if (isupper(big_buffer[0]))
1575   {
1576   if (macro_read_assignment(big_buffer))
1577     printf("Defined macro '%s'\n", mlast->name);
1578   }
1579 else
1580   if ((s = expand_string(big_buffer))) printf("%s\n", CS s);
1581   else printf("Failed: %s\n", expand_string_message);
1582 }
1583
1584
1585
1586 /*************************************************
1587 *          Entry point and high-level code       *
1588 *************************************************/
1589
1590 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1591 the appropriate action. All the necessary functions are present in the one
1592 binary. I originally thought one should split it up, but it turns out that so
1593 much of the apparatus is needed in each chunk that one might as well just have
1594 it all available all the time, which then makes the coding easier as well.
1595
1596 Arguments:
1597   argc      count of entries in argv
1598   argv      argument strings, with argv[0] being the program name
1599
1600 Returns:    EXIT_SUCCESS if terminated successfully
1601             EXIT_FAILURE otherwise, except when a message has been sent
1602               to the sender, and -oee was given
1603 */
1604
1605 int
1606 main(int argc, char **cargv)
1607 {
1608 uschar **argv = USS cargv;
1609 int  arg_receive_timeout = -1;
1610 int  arg_smtp_receive_timeout = -1;
1611 int  arg_error_handling = error_handling;
1612 int  filter_sfd = -1;
1613 int  filter_ufd = -1;
1614 int  group_count;
1615 int  i, rv;
1616 int  list_queue_option = 0;
1617 int  msg_action = 0;
1618 int  msg_action_arg = -1;
1619 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1620 int  queue_only_reason = 0;
1621 #ifdef EXIM_PERL
1622 int  perl_start_option = 0;
1623 #endif
1624 int  recipients_arg = argc;
1625 int  sender_address_domain = 0;
1626 int  test_retry_arg = -1;
1627 int  test_rewrite_arg = -1;
1628 gid_t original_egid;
1629 BOOL arg_queue_only = FALSE;
1630 BOOL bi_option = FALSE;
1631 BOOL checking = FALSE;
1632 BOOL count_queue = FALSE;
1633 BOOL expansion_test = FALSE;
1634 BOOL extract_recipients = FALSE;
1635 BOOL flag_G = FALSE;
1636 BOOL flag_n = FALSE;
1637 BOOL forced_delivery = FALSE;
1638 BOOL f_end_dot = FALSE;
1639 BOOL deliver_give_up = FALSE;
1640 BOOL list_queue = FALSE;
1641 BOOL list_options = FALSE;
1642 BOOL list_config = FALSE;
1643 BOOL local_queue_only;
1644 BOOL more = TRUE;
1645 BOOL one_msg_action = FALSE;
1646 BOOL opt_D_used = FALSE;
1647 BOOL queue_only_set = FALSE;
1648 BOOL receiving_message = TRUE;
1649 BOOL sender_ident_set = FALSE;
1650 BOOL session_local_queue_only;
1651 BOOL unprivileged;
1652 BOOL removed_privilege = FALSE;
1653 BOOL usage_wanted = FALSE;
1654 BOOL verify_address_mode = FALSE;
1655 BOOL verify_as_sender = FALSE;
1656 BOOL rcpt_verify_quota = FALSE;
1657 BOOL version_printed = FALSE;
1658 uschar *alias_arg = NULL;
1659 uschar *called_as = US"";
1660 uschar *cmdline_syslog_name = NULL;
1661 uschar *start_queue_run_id = NULL;
1662 uschar *stop_queue_run_id = NULL;
1663 uschar *expansion_test_message = NULL;
1664 const uschar *ftest_domain = NULL;
1665 const uschar *ftest_localpart = NULL;
1666 const uschar *ftest_prefix = NULL;
1667 const uschar *ftest_suffix = NULL;
1668 uschar *log_oneline = NULL;
1669 uschar *malware_test_file = NULL;
1670 uschar *real_sender_address;
1671 uschar *originator_home = US"/";
1672 size_t sz;
1673
1674 struct passwd *pw;
1675 struct stat statbuf;
1676 pid_t passed_qr_pid = (pid_t)0;
1677 int passed_qr_pipe = -1;
1678 gid_t group_list[EXIM_GROUPLIST_SIZE];
1679
1680 /* For the -bI: flag */
1681 enum commandline_info info_flag = CMDINFO_NONE;
1682 BOOL info_stdout = FALSE;
1683
1684 /* Possible options for -R and -S */
1685
1686 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1687
1688 /* Need to define this in case we need to change the environment in order
1689 to get rid of a bogus time zone. We have to make it char rather than uschar
1690 because some OS define it in /usr/include/unistd.h. */
1691
1692 extern char **environ;
1693
1694 #ifdef MEASURE_TIMING
1695 (void)gettimeofday(&timestamp_startup, NULL);
1696 #endif
1697
1698 store_init();   /* Initialise the memory allocation susbsystem */
1699
1700 /* If the Exim user and/or group and/or the configuration file owner/group were
1701 defined by ref:name at build time, we must now find the actual uid/gid values.
1702 This is a feature to make the lives of binary distributors easier. */
1703
1704 #ifdef EXIM_USERNAME
1705 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1706   {
1707   if (exim_uid == 0)
1708     exim_fail("exim: refusing to run with uid 0 for \"%s\"\n", EXIM_USERNAME);
1709
1710   /* If ref:name uses a number as the name, route_finduser() returns
1711   TRUE with exim_uid set and pw coerced to NULL. */
1712   if (pw)
1713     exim_gid = pw->pw_gid;
1714 #ifndef EXIM_GROUPNAME
1715   else
1716     exim_fail(
1717         "exim: ref:name should specify a usercode, not a group.\n"
1718         "exim: can't let you get away with it unless you also specify a group.\n");
1719 #endif
1720   }
1721 else
1722   exim_fail("exim: failed to find uid for user name \"%s\"\n", EXIM_USERNAME);
1723 #endif
1724
1725 #ifdef EXIM_GROUPNAME
1726 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1727   exim_fail("exim: failed to find gid for group name \"%s\"\n", EXIM_GROUPNAME);
1728 #endif
1729
1730 #ifdef CONFIGURE_OWNERNAME
1731 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1732   exim_fail("exim: failed to find uid for user name \"%s\"\n",
1733     CONFIGURE_OWNERNAME);
1734 #endif
1735
1736 /* We default the system_filter_user to be the Exim run-time user, as a
1737 sane non-root value. */
1738 system_filter_uid = exim_uid;
1739
1740 #ifdef CONFIGURE_GROUPNAME
1741 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1742   exim_fail("exim: failed to find gid for group name \"%s\"\n",
1743     CONFIGURE_GROUPNAME);
1744 #endif
1745
1746 /* In the Cygwin environment, some initialization used to need doing.
1747 It was fudged in by means of this macro; now no longer but we'll leave
1748 it in case of others. */
1749
1750 #ifdef OS_INIT
1751 OS_INIT
1752 #endif
1753
1754 /* Check a field which is patched when we are running Exim within its
1755 testing harness; do a fast initial check, and then the whole thing. */
1756
1757 f.running_in_test_harness =
1758   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1759 if (f.running_in_test_harness)
1760   debug_store = TRUE;
1761
1762 /* Protect against abusive argv[0] */
1763 exim_str_fail_toolong(argv[0], PATH_MAX, "argv[0]");
1764
1765 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1766 at the start of a program; however, it seems that some environments do not
1767 follow this. A "strange" locale can affect the formatting of timestamps, so we
1768 make quite sure. */
1769
1770 setlocale(LC_ALL, "C");
1771
1772 /* Get the offset between CLOCK_MONOTONIC/CLOCK_BOOTTIME and wallclock */
1773
1774 #ifdef _POSIX_MONOTONIC_CLOCK
1775 exim_clock_init();
1776 #endif
1777
1778 /* Set up the default handler for timing using alarm(). */
1779
1780 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1781
1782 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1783 because store_malloc writes a log entry on failure. */
1784
1785 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1786   exim_fail("exim: failed to get store for log buffer\n");
1787
1788 /* Initialize the default log options. */
1789
1790 bits_set(log_selector, log_selector_size, log_default);
1791
1792 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1793 NULL when the daemon is run and the file is closed. We have to use this
1794 indirection, because some systems don't allow writing to the variable "stderr".
1795 */
1796
1797 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1798
1799 /* Arrange for the PCRE regex library to use our store functions. Note that
1800 the normal calls are actually macros that add additional arguments for
1801 debugging purposes so we have to assign specially constructed functions here.
1802 The default is to use store in the stacking pool, but this is overridden in the
1803 regex_must_compile() function. */
1804
1805 pcre_malloc = function_store_get;
1806 pcre_free = function_dummy_free;
1807
1808 /* Ensure there is a big buffer for temporary use in several places. It is put
1809 in malloc store so that it can be freed for enlargement if necessary. */
1810
1811 big_buffer = store_malloc(big_buffer_size);
1812
1813 /* Set up the handler for the data request signal, and set the initial
1814 descriptive text. */
1815
1816 process_info = store_get(PROCESS_INFO_SIZE, TRUE);      /* tainted */
1817 set_process_info("initializing");
1818 os_restarting_signal(SIGUSR1, usr1_handler);
1819
1820 /* If running in a dockerized environment, the TERM signal is only
1821 delegated to the PID 1 if we request it by setting an signal handler */
1822 if (getpid() == 1) signal(SIGTERM, term_handler);
1823
1824 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1825 in the daemon code. For the rest of Exim's uses, we ignore it. */
1826
1827 signal(SIGHUP, SIG_IGN);
1828
1829 /* We don't want to die on pipe errors as the code is written to handle
1830 the write error instead. */
1831
1832 signal(SIGPIPE, SIG_IGN);
1833
1834 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1835 set to SIG_IGN. This causes subprocesses that complete before the parent
1836 process waits for them not to hang around, so when Exim calls wait(), nothing
1837 is there. The wait() code has been made robust against this, but let's ensure
1838 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1839 ending status. We use sigaction rather than plain signal() on those OS where
1840 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1841 problem on AIX with this.) */
1842
1843 #ifdef SA_NOCLDWAIT
1844   {
1845   struct sigaction act;
1846   act.sa_handler = SIG_DFL;
1847   sigemptyset(&(act.sa_mask));
1848   act.sa_flags = 0;
1849   sigaction(SIGCHLD, &act, NULL);
1850   }
1851 #else
1852 signal(SIGCHLD, SIG_DFL);
1853 #endif
1854
1855 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1856 SIGHUP. */
1857
1858 sighup_argv = argv;
1859
1860 /* Set up the version number. Set up the leading 'E' for the external form of
1861 message ids, set the pointer to the internal form, and initialize it to
1862 indicate no message being processed. */
1863
1864 version_init();
1865 message_id_option[0] = '-';
1866 message_id_external = message_id_option + 1;
1867 message_id_external[0] = 'E';
1868 message_id = message_id_external + 1;
1869 message_id[0] = 0;
1870
1871 /* Set the umask to zero so that any files Exim creates using open() are
1872 created with the modes that it specifies. NOTE: Files created with fopen() have
1873 a problem, which was not recognized till rather late (February 2006). With this
1874 umask, such files will be world writeable. (They are all content scanning files
1875 in the spool directory, which isn't world-accessible, so this is not a
1876 disaster, but it's untidy.) I don't want to change this overall setting,
1877 however, because it will interact badly with the open() calls. Instead, there's
1878 now a function called modefopen() that fiddles with the umask while calling
1879 fopen(). */
1880
1881 (void)umask(0);
1882
1883 /* Precompile the regular expression for matching a message id. Keep this in
1884 step with the code that generates ids in the accept.c module. We need to do
1885 this here, because the -M options check their arguments for syntactic validity
1886 using mac_ismsgid, which uses this. */
1887
1888 regex_ismsgid =
1889   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1890
1891 /* Precompile the regular expression that is used for matching an SMTP error
1892 code, possibly extended, at the start of an error message. Note that the
1893 terminating whitespace character is included. */
1894
1895 regex_smtp_code =
1896   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1897     FALSE, TRUE);
1898
1899 #ifdef WHITELIST_D_MACROS
1900 /* Precompile the regular expression used to filter the content of macros
1901 given to -D for permissibility. */
1902
1903 regex_whitelisted_macro =
1904   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1905 #endif
1906
1907 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1908
1909 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1910 this seems to be a generally accepted convention, since one finds symbolic
1911 links called "mailq" in standard OS configurations. */
1912
1913 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1914     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1915   {
1916   list_queue = TRUE;
1917   receiving_message = FALSE;
1918   called_as = US"-mailq";
1919   }
1920
1921 /* If the program is called as "rmail" treat it as equivalent to
1922 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1923 i.e. preventing a single dot on a line from terminating the message, and
1924 returning with zero return code, even in cases of error (provided an error
1925 message has been sent). */
1926
1927 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1928     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1929   {
1930   f.dot_ends = FALSE;
1931   called_as = US"-rmail";
1932   errors_sender_rc = EXIT_SUCCESS;
1933   }
1934
1935 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1936 this is a smail convention. */
1937
1938 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1939     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1940   {
1941   smtp_input = smtp_batched_input = TRUE;
1942   called_as = US"-rsmtp";
1943   }
1944
1945 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1946 this is a smail convention. */
1947
1948 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1949     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1950   {
1951   queue_interval = 0;
1952   receiving_message = FALSE;
1953   called_as = US"-runq";
1954   }
1955
1956 /* If the program is called as "newaliases" treat it as equivalent to
1957 "exim -bi"; this is a sendmail convention. */
1958
1959 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1960     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1961   {
1962   bi_option = TRUE;
1963   receiving_message = FALSE;
1964   called_as = US"-newaliases";
1965   }
1966
1967 /* Save the original effective uid for a couple of uses later. It should
1968 normally be root, but in some esoteric environments it may not be. */
1969
1970 original_euid = geteuid();
1971 original_egid = getegid();
1972
1973 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1974 to be the same as the real ones. This makes a difference only if Exim is setuid
1975 (or setgid) to something other than root, which could be the case in some
1976 special configurations. */
1977
1978 real_uid = getuid();
1979 real_gid = getgid();
1980
1981 if (real_uid == root_uid)
1982   {
1983   if ((rv = setgid(real_gid)))
1984     exim_fail("exim: setgid(%ld) failed: %s\n",
1985         (long int)real_gid, strerror(errno));
1986   if ((rv = setuid(real_uid)))
1987     exim_fail("exim: setuid(%ld) failed: %s\n",
1988         (long int)real_uid, strerror(errno));
1989   }
1990
1991 /* If neither the original real uid nor the original euid was root, Exim is
1992 running in an unprivileged state. */
1993
1994 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1995
1996 /* For most of the args-parsing we need to use permanent pool memory */
1997  {
1998  int old_pool = store_pool;
1999  store_pool = POOL_PERM;
2000
2001 /* Scan the program's arguments. Some can be dealt with right away; others are
2002 simply recorded for checking and handling afterwards. Do a high-level switch
2003 on the second character (the one after '-'), to save some effort. */
2004
2005  for (i = 1; i < argc; i++)
2006   {
2007   BOOL badarg = FALSE;
2008   uschar * arg = argv[i];
2009   uschar * argrest;
2010   int switchchar;
2011
2012   /* An argument not starting with '-' is the start of a recipients list;
2013   break out of the options-scanning loop. */
2014
2015   if (arg[0] != '-')
2016     {
2017     recipients_arg = i;
2018     break;
2019     }
2020
2021   /* An option consisting of -- terminates the options */
2022
2023   if (Ustrcmp(arg, "--") == 0)
2024     {
2025     recipients_arg = i + 1;
2026     break;
2027     }
2028
2029   /* Handle flagged options */
2030
2031   switchchar = arg[1];
2032   argrest = arg+2;
2033
2034   /* Make all -ex options synonymous with -oex arguments, since that
2035   is assumed by various callers. Also make -qR options synonymous with -R
2036   options, as that seems to be required as well. Allow for -qqR too, and
2037   the same for -S options. */
2038
2039   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
2040       Ustrncmp(arg+1, "qR", 2) == 0 ||
2041       Ustrncmp(arg+1, "qS", 2) == 0)
2042     {
2043     switchchar = arg[2];
2044     argrest++;
2045     }
2046   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
2047     {
2048     switchchar = arg[3];
2049     argrest += 2;
2050     f.queue_2stage = TRUE;
2051     }
2052
2053   /* Make -r synonymous with -f, since it is a documented alias */
2054
2055   else if (arg[1] == 'r') switchchar = 'f';
2056
2057   /* Make -ov synonymous with -v */
2058
2059   else if (Ustrcmp(arg, "-ov") == 0)
2060     {
2061     switchchar = 'v';
2062     argrest++;
2063     }
2064
2065   /* deal with --option_aliases */
2066   else if (switchchar == '-')
2067     {
2068     if (Ustrcmp(argrest, "help") == 0)
2069       {
2070       usage_wanted = TRUE;
2071       break;
2072       }
2073     else if (Ustrcmp(argrest, "version") == 0)
2074       {
2075       switchchar = 'b';
2076       argrest = US"V";
2077       }
2078     }
2079
2080   /* High-level switch on active initial letter */
2081
2082   switch(switchchar)
2083     {
2084
2085     /* sendmail uses -Ac and -Am to control which .cf file is used;
2086     we ignore them. */
2087     case 'A':
2088     if (!*argrest) { badarg = TRUE; break; }
2089     else
2090       {
2091       BOOL ignore = FALSE;
2092       switch (*argrest)
2093         {
2094         case 'c':
2095         case 'm':
2096           if (*(argrest + 1) == '\0')
2097             ignore = TRUE;
2098           break;
2099         }
2100       if (!ignore) badarg = TRUE;
2101       }
2102     break;
2103
2104     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
2105     so has no need of it. */
2106
2107     case 'B':
2108     if (!*argrest) i++;       /* Skip over the type */
2109     break;
2110
2111
2112     case 'b':
2113       {
2114       receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
2115
2116       switch (*argrest++)
2117         {
2118         /* -bd:  Run in daemon mode, awaiting SMTP connections.
2119            -bdf: Ditto, but in the foreground.
2120         */
2121         case 'd':
2122           f.daemon_listen = TRUE;
2123           if (*argrest == 'f') f.background_daemon = FALSE;
2124           else if (*argrest) badarg = TRUE;
2125           break;
2126
2127         /* -be:  Run in expansion test mode
2128            -bem: Ditto, but read a message from a file first
2129         */
2130         case 'e':
2131           expansion_test = checking = TRUE;
2132           if (*argrest == 'm')
2133             {
2134             if (++i >= argc) { badarg = TRUE; break; }
2135             expansion_test_message = argv[i];
2136             argrest++;
2137             }
2138           if (*argrest) badarg = TRUE;
2139           break;
2140
2141         /* -bF:  Run system filter test */
2142         case 'F':
2143           filter_test |= checking = FTEST_SYSTEM;
2144           if (*argrest) badarg = TRUE;
2145           else if (++i < argc) filter_test_sfile = argv[i];
2146           else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2147           break;
2148
2149         /* -bf:  Run user filter test
2150            -bfd: Set domain for filter testing
2151            -bfl: Set local part for filter testing
2152            -bfp: Set prefix for filter testing
2153            -bfs: Set suffix for filter testing
2154         */
2155         case 'f':
2156           if (!*argrest)
2157             {
2158             filter_test |= checking = FTEST_USER;
2159             if (++i < argc) filter_test_ufile = argv[i];
2160             else exim_fail("exim: file name expected after %s\n", argv[i-1]);
2161             }
2162           else
2163             {
2164             if (++i >= argc)
2165               exim_fail("exim: string expected after %s\n", arg);
2166             if (Ustrcmp(argrest, "d") == 0) ftest_domain = exim_str_fail_toolong(argv[i], EXIM_DOMAINNAME_MAX, "-bfd");
2167             else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfl");
2168             else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfp");
2169             else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = exim_str_fail_toolong(argv[i], EXIM_LOCALPART_MAX, "-bfs");
2170             else badarg = TRUE;
2171             }
2172           break;
2173
2174         /* -bh: Host checking - an IP address must follow. */
2175         case 'h':
2176           if (!*argrest || Ustrcmp(argrest, "c") == 0)
2177             {
2178             if (++i >= argc) { badarg = TRUE; break; }
2179             sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-bh"), TRUE);
2180             host_checking = checking = f.log_testing_mode = TRUE;
2181             f.host_checking_callout = *argrest == 'c';
2182             message_logs = FALSE;
2183             }
2184           else badarg = TRUE;
2185           break;
2186
2187         /* -bi: This option is used by sendmail to initialize *the* alias file,
2188         though it has the -oA option to specify a different file. Exim has no
2189         concept of *the* alias file, but since Sun's YP make script calls
2190         sendmail this way, some support must be provided. */
2191         case 'i':
2192           if (!*argrest) bi_option = TRUE;
2193           else badarg = TRUE;
2194           break;
2195
2196         /* -bI: provide information, of the type to follow after a colon.
2197         This is an Exim flag. */
2198         case 'I':
2199           if (Ustrlen(argrest) >= 1 && *argrest == ':')
2200             {
2201             uschar *p = argrest+1;
2202             info_flag = CMDINFO_HELP;
2203             if (Ustrlen(p))
2204               if (strcmpic(p, CUS"sieve") == 0)
2205                 {
2206                 info_flag = CMDINFO_SIEVE;
2207                 info_stdout = TRUE;
2208                 }
2209               else if (strcmpic(p, CUS"dscp") == 0)
2210                 {
2211                 info_flag = CMDINFO_DSCP;
2212                 info_stdout = TRUE;
2213                 }
2214               else if (strcmpic(p, CUS"help") == 0)
2215                 info_stdout = TRUE;
2216             }
2217           else badarg = TRUE;
2218           break;
2219
2220         /* -bm: Accept and deliver message - the default option. Reinstate
2221         receiving_message, which got turned off for all -b options.
2222            -bmalware: test the filename given for malware */
2223         case 'm':
2224           if (!*argrest) receiving_message = TRUE;
2225           else if (Ustrcmp(argrest, "alware") == 0)
2226             {
2227             if (++i >= argc) { badarg = TRUE; break; }
2228             checking = TRUE;
2229             malware_test_file = argv[i];
2230             }
2231           else badarg = TRUE;
2232           break;
2233
2234         /* -bnq: For locally originating messages, do not qualify unqualified
2235         addresses. In the envelope, this causes errors; in header lines they
2236         just get left. */
2237         case 'n':
2238           if (Ustrcmp(argrest, "q") == 0)
2239             {
2240             f.allow_unqualified_sender = FALSE;
2241             f.allow_unqualified_recipient = FALSE;
2242             }
2243           else badarg = TRUE;
2244           break;
2245
2246         /* -bpxx: List the contents of the mail queue, in various forms. If
2247         the option is -bpc, just a queue count is needed. Otherwise, if the
2248         first letter after p is r, then order is random. */
2249         case 'p':
2250           if (*argrest == 'c')
2251             {
2252             count_queue = TRUE;
2253             if (*++argrest) badarg = TRUE;
2254             break;
2255             }
2256
2257           if (*argrest == 'r')
2258             {
2259             list_queue_option = 8;
2260             argrest++;
2261             }
2262           else list_queue_option = 0;
2263
2264           list_queue = TRUE;
2265
2266           /* -bp: List the contents of the mail queue, top-level only */
2267
2268           if (!*argrest) {}
2269
2270           /* -bpu: List the contents of the mail queue, top-level undelivered */
2271
2272           else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2273
2274           /* -bpa: List the contents of the mail queue, including all delivered */
2275
2276           else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2277
2278           /* Unknown after -bp[r] */
2279
2280           else badarg = TRUE;
2281           break;
2282
2283
2284         /* -bP: List the configuration variables given as the address list.
2285         Force -v, so configuration errors get displayed. */
2286         case 'P':
2287
2288           /* -bP config: we need to setup here, because later,
2289           when list_options is checked, the config is read already */
2290           if (*argrest)
2291             badarg = TRUE;
2292           else if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2293             {
2294             list_config = TRUE;
2295             readconf_save_config(version_string);
2296             }
2297           else
2298             {
2299             list_options = TRUE;
2300             debug_selector |= D_v;
2301             debug_file = stderr;
2302             }
2303           break;
2304
2305         /* -brt: Test retry configuration lookup */
2306         case 'r':
2307           if (Ustrcmp(argrest, "t") == 0)
2308             {
2309             checking = TRUE;
2310             test_retry_arg = i + 1;
2311             goto END_ARG;
2312             }
2313
2314           /* -brw: Test rewrite configuration */
2315
2316           else if (Ustrcmp(argrest, "w") == 0)
2317             {
2318             checking = TRUE;
2319             test_rewrite_arg = i + 1;
2320             goto END_ARG;
2321             }
2322           else badarg = TRUE;
2323           break;
2324
2325         /* -bS: Read SMTP commands on standard input, but produce no replies -
2326         all errors are reported by sending messages. */
2327         case 'S':
2328           if (!*argrest)
2329             smtp_input = smtp_batched_input = receiving_message = TRUE;
2330           else badarg = TRUE;
2331           break;
2332
2333         /* -bs: Read SMTP commands on standard input and produce SMTP replies
2334         on standard output. */
2335         case 's':
2336           if (!*argrest) smtp_input = receiving_message = TRUE;
2337           else badarg = TRUE;
2338           break;
2339
2340         /* -bt: address testing mode */
2341         case 't':
2342           if (!*argrest)
2343             f.address_test_mode = checking = f.log_testing_mode = TRUE;
2344           else badarg = TRUE;
2345           break;
2346
2347         /* -bv: verify addresses */
2348         case 'v':
2349           if (!*argrest)
2350             verify_address_mode = checking = f.log_testing_mode = TRUE;
2351
2352         /* -bvs: verify sender addresses */
2353
2354           else if (Ustrcmp(argrest, "s") == 0)
2355             {
2356             verify_address_mode = checking = f.log_testing_mode = TRUE;
2357             verify_as_sender = TRUE;
2358             }
2359           else badarg = TRUE;
2360           break;
2361
2362         /* -bV: Print version string and support details */
2363         case 'V':
2364           if (!*argrest)
2365             {
2366             printf("Exim version %s #%s built %s\n", version_string,
2367               version_cnumber, version_date);
2368             printf("%s\n", CS version_copyright);
2369             version_printed = TRUE;
2370             show_whats_supported(stdout);
2371             f.log_testing_mode = TRUE;
2372             }
2373           else badarg = TRUE;
2374           break;
2375
2376         /* -bw: inetd wait mode, accept a listening socket as stdin */
2377         case 'w':
2378           f.inetd_wait_mode = TRUE;
2379           f.background_daemon = FALSE;
2380           f.daemon_listen = TRUE;
2381           if (*argrest)
2382             if ((inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE)) <= 0)
2383               exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
2384           break;
2385
2386         default:
2387           badarg = TRUE;
2388           break;
2389         }
2390       break;
2391       }
2392
2393
2394     /* -C: change configuration file list; ignore if it isn't really
2395     a change! Enforce a prefix check if required. */
2396
2397     case 'C':
2398     if (!*argrest)
2399       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2400     if (Ustrcmp(config_main_filelist, argrest) != 0)
2401       {
2402       #ifdef ALT_CONFIG_PREFIX
2403       int sep = 0;
2404       int len = Ustrlen(ALT_CONFIG_PREFIX);
2405       const uschar *list = argrest;
2406       uschar *filename;
2407       /* The argv is untainted, so big_buffer (also untainted) is ok to use */
2408       while((filename = string_nextinlist(&list, &sep, big_buffer,
2409              big_buffer_size)))
2410         if (  (  Ustrlen(filename) < len
2411               || Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0
2412               || Ustrstr(filename, "/../") != NULL
2413               )
2414            && (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid)
2415            )
2416           exim_fail("-C Permission denied\n");
2417       #endif
2418       if (real_uid != root_uid)
2419         {
2420         #ifdef TRUSTED_CONFIG_LIST
2421
2422         if (real_uid != exim_uid
2423             #ifdef CONFIGURE_OWNER
2424             && real_uid != config_uid
2425             #endif
2426             )
2427           f.trusted_config = FALSE;
2428         else
2429           {
2430           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2431           if (trust_list)
2432             {
2433             struct stat statbuf;
2434
2435             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2436                 (statbuf.st_uid != root_uid        /* owner not root */
2437                  #ifdef CONFIGURE_OWNER
2438                  && statbuf.st_uid != config_uid   /* owner not the special one */
2439                  #endif
2440                    ) ||                            /* or */
2441                 (statbuf.st_gid != root_gid        /* group not root */
2442                  #ifdef CONFIGURE_GROUP
2443                  && statbuf.st_gid != config_gid   /* group not the special one */
2444                  #endif
2445                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2446                    ) ||                            /* or */
2447                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2448               {
2449               f.trusted_config = FALSE;
2450               fclose(trust_list);
2451               }
2452             else
2453               {
2454               /* Well, the trust list at least is up to scratch... */
2455               rmark reset_point;
2456               uschar *trusted_configs[32];
2457               int nr_configs = 0;
2458               int i = 0;
2459               int old_pool = store_pool;
2460               store_pool = POOL_MAIN;
2461
2462               reset_point = store_mark();
2463               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2464                 {
2465                 uschar *start = big_buffer, *nl;
2466                 while (*start && isspace(*start))
2467                 start++;
2468                 if (*start != '/')
2469                   continue;
2470                 nl = Ustrchr(start, '\n');
2471                 if (nl)
2472                   *nl = 0;
2473                 trusted_configs[nr_configs++] = string_copy(start);
2474                 if (nr_configs == nelem(trusted_configs))
2475                   break;
2476                 }
2477               fclose(trust_list);
2478
2479               if (nr_configs)
2480                 {
2481                 int sep = 0;
2482                 const uschar *list = argrest;
2483                 uschar *filename;
2484                 while (f.trusted_config && (filename = string_nextinlist(&list,
2485                         &sep, big_buffer, big_buffer_size)))
2486                   {
2487                   for (i=0; i < nr_configs; i++)
2488                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2489                       break;
2490                   if (i == nr_configs)
2491                     {
2492                     f.trusted_config = FALSE;
2493                     break;
2494                     }
2495                   }
2496                 }
2497               else      /* No valid prefixes found in trust_list file. */
2498                 f.trusted_config = FALSE;
2499               store_reset(reset_point);
2500               store_pool = old_pool;
2501               }
2502             }
2503           else          /* Could not open trust_list file. */
2504             f.trusted_config = FALSE;
2505           }
2506       #else
2507         /* Not root; don't trust config */
2508         f.trusted_config = FALSE;
2509       #endif
2510         }
2511
2512       config_main_filelist = argrest;
2513       f.config_changed = TRUE;
2514       }
2515     break;
2516
2517
2518     /* -D: set up a macro definition */
2519
2520     case 'D':
2521 #ifdef DISABLE_D_OPTION
2522       exim_fail("exim: -D is not available in this Exim binary\n");
2523 #else
2524       {
2525       int ptr = 0;
2526       macro_item *m;
2527       uschar name[24];
2528       uschar *s = argrest;
2529
2530       opt_D_used = TRUE;
2531       while (isspace(*s)) s++;
2532
2533       if (*s < 'A' || *s > 'Z')
2534         exim_fail("exim: macro name set by -D must start with "
2535           "an upper case letter\n");
2536
2537       while (isalnum(*s) || *s == '_')
2538         {
2539         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2540         s++;
2541         }
2542       name[ptr] = 0;
2543       if (ptr == 0) { badarg = TRUE; break; }
2544       while (isspace(*s)) s++;
2545       if (*s != 0)
2546         {
2547         if (*s++ != '=') { badarg = TRUE; break; }
2548         while (isspace(*s)) s++;
2549         }
2550
2551       for (m = macros_user; m; m = m->next)
2552         if (Ustrcmp(m->name, name) == 0)
2553           exim_fail("exim: duplicated -D in command line\n");
2554
2555       m = macro_create(name, s, TRUE);
2556
2557       if (clmacro_count >= MAX_CLMACROS)
2558         exim_fail("exim: too many -D options on command line\n");
2559       clmacros[clmacro_count++] =
2560         string_sprintf("-D%s=%s", m->name, m->replacement);
2561       }
2562     #endif
2563     break;
2564
2565     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2566     The latter is now a no-op, retained for compatibility only. If -dd is used,
2567     debugging subprocesses of the daemon is disabled. */
2568
2569     case 'd':
2570     if (Ustrcmp(argrest, "ropcr") == 0)
2571       {
2572       /* drop_cr = TRUE; */
2573       }
2574
2575     /* Use an intermediate variable so that we don't set debugging while
2576     decoding the debugging bits. */
2577
2578     else
2579       {
2580       unsigned int selector = D_default;
2581       debug_selector = 0;
2582       debug_file = NULL;
2583       if (*argrest == 'd')
2584         {
2585         f.debug_daemon = TRUE;
2586         argrest++;
2587         }
2588       if (*argrest)
2589         decode_bits(&selector, 1, debug_notall, argrest,
2590           debug_options, debug_options_count, US"debug", 0);
2591       debug_selector = selector;
2592       }
2593     break;
2594
2595
2596     /* -E: This is a local error message. This option is not intended for
2597     external use at all, but is not restricted to trusted callers because it
2598     does no harm (just suppresses certain error messages) and if Exim is run
2599     not setuid root it won't always be trusted when it generates error
2600     messages using this option. If there is a message id following -E, point
2601     message_reference at it, for logging. */
2602
2603     case 'E':
2604     f.local_error_message = TRUE;
2605     if (mac_ismsgid(argrest)) message_reference = argrest;
2606     break;
2607
2608
2609     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2610     option, so it looks as if historically the -oex options are also callable
2611     without the leading -o. So we have to accept them. Before the switch,
2612     anything starting -oe has been converted to -e. Exim does not support all
2613     of the sendmail error options. */
2614
2615     case 'e':
2616     if (Ustrcmp(argrest, "e") == 0)
2617       {
2618       arg_error_handling = ERRORS_SENDER;
2619       errors_sender_rc = EXIT_SUCCESS;
2620       }
2621     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2622     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2623     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2624     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2625     else badarg = TRUE;
2626     break;
2627
2628
2629     /* -F: Set sender's full name, used instead of the gecos entry from
2630     the password file. Since users can usually alter their gecos entries,
2631     there's no security involved in using this instead. The data can follow
2632     the -F or be in the next argument. */
2633
2634     case 'F':
2635     if (!*argrest)
2636       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2637     originator_name = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_HUMANNAME_MAX, "-F"), TRUE);
2638     f.sender_name_forced = TRUE;
2639     break;
2640
2641
2642     /* -f: Set sender's address - this value is only actually used if Exim is
2643     run by a trusted user, or if untrusted_set_sender is set and matches the
2644     address, except that the null address can always be set by any user. The
2645     test for this happens later, when the value given here is ignored when not
2646     permitted. For an untrusted user, the actual sender is still put in Sender:
2647     if it doesn't match the From: header (unless no_local_from_check is set).
2648     The data can follow the -f or be in the next argument. The -r switch is an
2649     obsolete form of -f but since there appear to be programs out there that
2650     use anything that sendmail has ever supported, better accept it - the
2651     synonymizing is done before the switch above.
2652
2653     At this stage, we must allow domain literal addresses, because we don't
2654     know what the setting of allow_domain_literals is yet. Ditto for trailing
2655     dots and strip_trailing_dot. */
2656
2657     case 'f':
2658       {
2659       int dummy_start, dummy_end;
2660       uschar *errmess;
2661       if (!*argrest)
2662         if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
2663       (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
2664       if (!*argrest)
2665         *(sender_address = store_get(1, FALSE)) = '\0';  /* Ensure writeable memory */
2666       else
2667         {
2668         uschar * temp = argrest + Ustrlen(argrest) - 1;
2669         while (temp >= argrest && isspace(*temp)) temp--;
2670         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2671         allow_domain_literals = TRUE;
2672         strip_trailing_dot = TRUE;
2673 #ifdef SUPPORT_I18N
2674         allow_utf8_domains = TRUE;
2675 #endif
2676         if (!(sender_address = parse_extract_address(argrest, &errmess,
2677                   &dummy_start, &dummy_end, &sender_address_domain, TRUE)))
2678           exim_fail("exim: bad -f address \"%s\": %s\n", argrest, errmess);
2679
2680         sender_address = string_copy_taint(sender_address, TRUE);
2681 #ifdef SUPPORT_I18N
2682         message_smtputf8 =  string_is_utf8(sender_address);
2683         allow_utf8_domains = FALSE;
2684 #endif
2685         allow_domain_literals = FALSE;
2686         strip_trailing_dot = FALSE;
2687         }
2688       f.sender_address_forced = TRUE;
2689       }
2690     break;
2691
2692     /* -G: sendmail invocation to specify that it's a gateway submission and
2693     sendmail may complain about problems instead of fixing them.
2694     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2695     not at this time complain about problems. */
2696
2697     case 'G':
2698     flag_G = TRUE;
2699     break;
2700
2701     /* -h: Set the hop count for an incoming message. Exim does not currently
2702     support this; it always computes it by counting the Received: headers.
2703     To put it in will require a change to the spool header file format. */
2704
2705     case 'h':
2706     if (!*argrest)
2707       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2708     if (!isdigit(*argrest)) badarg = TRUE;
2709     break;
2710
2711
2712     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2713     not to be documented for sendmail but mailx (at least) uses it) */
2714
2715     case 'i':
2716     if (!*argrest) f.dot_ends = FALSE; else badarg = TRUE;
2717     break;
2718
2719
2720     /* -L: set the identifier used for syslog; equivalent to setting
2721     syslog_processname in the config file, but needs to be an admin option. */
2722
2723     case 'L':
2724     if (!*argrest)
2725       if (++i < argc) argrest = argv[i]; else { badarg = TRUE; break; }
2726     if ((sz = Ustrlen(argrest)) > 32)
2727       exim_fail("exim: the -L syslog name is too long: \"%s\"\n", argrest);
2728     if (sz < 1)
2729       exim_fail("exim: the -L syslog name is too short\n");
2730     cmdline_syslog_name = string_copy_taint(argrest, TRUE);
2731     break;
2732
2733     case 'M':
2734     receiving_message = FALSE;
2735
2736     /* -MC:  continue delivery of another message via an existing open
2737     file descriptor. This option is used for an internal call by the
2738     smtp transport when there is a pending message waiting to go to an
2739     address to which it has got a connection. Five subsequent arguments are
2740     required: transport name, host name, IP address, sequence number, and
2741     message_id. Transports may decline to create new processes if the sequence
2742     number gets too big. The channel is stdin. This (-MC) must be the last
2743     argument. There's a subsequent check that the real-uid is privileged.
2744
2745     If we are running in the test harness. delay for a bit, to let the process
2746     that set this one up complete. This makes for repeatability of the logging,
2747     etc. output. */
2748
2749     if (Ustrcmp(argrest, "C") == 0)
2750       {
2751       union sockaddr_46 interface_sock;
2752       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2753
2754       if (argc != i + 6)
2755         exim_fail("exim: too many or too few arguments after -MC\n");
2756
2757       if (msg_action_arg >= 0)
2758         exim_fail("exim: incompatible arguments\n");
2759
2760       continue_transport = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-C internal transport"), TRUE);
2761       continue_hostname = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-C internal hostname"), TRUE);
2762       continue_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-C internal hostaddr"), TRUE);
2763       continue_sequence = Uatoi(argv[++i]);
2764       msg_action = MSG_DELIVER;
2765       msg_action_arg = ++i;
2766       forced_delivery = TRUE;
2767       queue_run_pid = passed_qr_pid;
2768       queue_run_pipe = passed_qr_pipe;
2769
2770       if (!mac_ismsgid(argv[i]))
2771         exim_fail("exim: malformed message id %s after -MC option\n",
2772           argv[i]);
2773
2774       /* Set up $sending_ip_address and $sending_port, unless proxied */
2775
2776       if (!continue_proxy_cipher)
2777         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2778             &size) == 0)
2779           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2780             &sending_port);
2781         else
2782           exim_fail("exim: getsockname() failed after -MC option: %s\n",
2783             strerror(errno));
2784
2785       testharness_pause_ms(500);
2786       break;
2787       }
2788
2789     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2790       {
2791       switch(argrest[1])
2792         {
2793     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2794     precedes -MC (see above). The flag indicates that the host to which
2795     Exim is connected has accepted an AUTH sequence. */
2796
2797         case 'A': f.smtp_authenticated = TRUE; break;
2798
2799     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2800        that exim is connected to supports the esmtp extension DSN */
2801
2802         case 'D': smtp_peer_options |= OPTION_DSN; break;
2803
2804     /* -MCd: for debug, set a process-purpose string */
2805
2806         case 'd': if (++i < argc)
2807                     process_purpose = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCd"), TRUE);
2808                   else badarg = TRUE;
2809                   break;
2810
2811     /* -MCG: set the queue name, to a non-default value. Arguably, anything
2812        from the commandline should be tainted - but we will need an untainted
2813        value for the spoolfile when doing a -odi delivery process. */
2814
2815         case 'G': if (++i < argc) queue_name = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-MCG"), FALSE);
2816                   else badarg = TRUE;
2817                   break;
2818
2819     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2820
2821         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2822
2823 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2824     /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
2825         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
2826                   else badarg = TRUE;
2827                   if (++i < argc) continue_limit_rcpt = Uatoi(argv[i]);
2828                   else badarg = TRUE;
2829                   if (++i < argc) continue_limit_rcptdom = Uatoi(argv[i]);
2830                   else badarg = TRUE;
2831                   break;
2832 #endif
2833
2834     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2835     it preceded -MC (see above) */
2836
2837         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2838
2839 #ifdef SUPPORT_SOCKS
2840     /* -MCp: Socks proxy in use; nearside IP, port, external IP, port */
2841         case 'p': proxy_session = TRUE;
2842                   if (++i < argc)
2843                     {
2844                     proxy_local_address = string_copy_taint(argv[i], TRUE);
2845                     if (++i < argc)
2846                       {
2847                       proxy_local_port = Uatoi(argv[i]);
2848                       if (++i < argc)
2849                         {
2850                         proxy_external_address = string_copy_taint(argv[i], TRUE);
2851                         if (++i < argc)
2852                           {
2853                           proxy_external_port = Uatoi(argv[i]);
2854                           break;
2855                     } } } }
2856                   badarg = TRUE;
2857                   break;
2858 #endif
2859     /* -MCQ: pass on the pid of the queue-running process that started
2860     this chain of deliveries and the fd of its synchronizing pipe; this
2861     is useful only when it precedes -MC (see above) */
2862
2863         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2864                   else badarg = TRUE;
2865                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2866                   else badarg = TRUE;
2867                   break;
2868
2869     /* -MCq: do a quota check on the given recipient for the given size
2870     of message.  Separate from -MC. */
2871         case 'q': rcpt_verify_quota = TRUE;
2872                   if (++i < argc) message_size = Uatoi(argv[i]);
2873                   else badarg = TRUE;
2874                   break;
2875
2876     /* -MCS: set the smtp_use_size flag; this is useful only when it
2877     precedes -MC (see above) */
2878
2879         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2880
2881 #ifndef DISABLE_TLS
2882     /* -MCs: used with -MCt; SNI was sent */
2883     /* -MCr: ditto, DANE */
2884
2885         case 'r':
2886         case 's': if (++i < argc)
2887                     {
2888                     continue_proxy_sni = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_HOSTNAME_MAX, "-MCr/-MCs"), TRUE);
2889                     if (argrest[1] == 'r') continue_proxy_dane = TRUE;
2890                     }
2891                   else badarg = TRUE;
2892                   break;
2893
2894     /* -MCt: similar to -MCT below but the connection is still open
2895     via a proxy process which handles the TLS context and coding.
2896     Require three arguments for the proxied local address and port,
2897     and the TLS cipher. */
2898
2899         case 't': if (++i < argc)
2900                     sending_ip_address = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_IPADDR_MAX, "-MCt IP"), TRUE);
2901                   else badarg = TRUE;
2902                   if (++i < argc)
2903                     sending_port = (int)(Uatol(argv[i]));
2904                   else badarg = TRUE;
2905                   if (++i < argc)
2906                     continue_proxy_cipher = string_copy_taint(exim_str_fail_toolong(argv[i], EXIM_CIPHERNAME_MAX, "-MCt cipher"), TRUE);
2907                   else badarg = TRUE;
2908                   /*FALLTHROUGH*/
2909
2910     /* -MCT: set the tls_offered flag; this is useful only when it
2911     precedes -MC (see above). The flag indicates that the host to which
2912     Exim is connected has offered TLS support. */
2913
2914         case 'T': smtp_peer_options |= OPTION_TLS; break;
2915 #endif
2916
2917         default:  badarg = TRUE; break;
2918         }
2919       break;
2920       }
2921
2922     /* -M[x]: various operations on the following list of message ids:
2923        -M    deliver the messages, ignoring next retry times and thawing
2924        -Mc   deliver the messages, checking next retry times, no thawing
2925        -Mf   freeze the messages
2926        -Mg   give up on the messages
2927        -Mt   thaw the messages
2928        -Mrm  remove the messages
2929     In the above cases, this must be the last option. There are also the
2930     following options which are followed by a single message id, and which
2931     act on that message. Some of them use the "recipient" addresses as well.
2932        -Mar  add recipient(s)
2933        -MG   move to a different queue
2934        -Mmad mark all recipients delivered
2935        -Mmd  mark recipients(s) delivered
2936        -Mes  edit sender
2937        -Mset load a message for use with -be
2938        -Mvb  show body
2939        -Mvc  show copy (of whole message, in RFC 2822 format)
2940        -Mvh  show header
2941        -Mvl  show log
2942     */
2943
2944     else if (!*argrest)
2945       {
2946       msg_action = MSG_DELIVER;
2947       forced_delivery = f.deliver_force_thaw = TRUE;
2948       }
2949     else if (Ustrcmp(argrest, "ar") == 0)
2950       {
2951       msg_action = MSG_ADD_RECIPIENT;
2952       one_msg_action = TRUE;
2953       }
2954     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2955     else if (Ustrcmp(argrest, "es") == 0)
2956       {
2957       msg_action = MSG_EDIT_SENDER;
2958       one_msg_action = TRUE;
2959       }
2960     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2961     else if (Ustrcmp(argrest, "g") == 0)
2962       {
2963       msg_action = MSG_DELIVER;
2964       deliver_give_up = TRUE;
2965       }
2966    else if (Ustrcmp(argrest, "G") == 0)
2967       {
2968       msg_action = MSG_SETQUEUE;
2969       queue_name_dest = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-MG"), TRUE);
2970       }
2971     else if (Ustrcmp(argrest, "mad") == 0)
2972       {
2973       msg_action = MSG_MARK_ALL_DELIVERED;
2974       }
2975     else if (Ustrcmp(argrest, "md") == 0)
2976       {
2977       msg_action = MSG_MARK_DELIVERED;
2978       one_msg_action = TRUE;
2979       }
2980     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2981     else if (Ustrcmp(argrest, "set") == 0)
2982       {
2983       msg_action = MSG_LOAD;
2984       one_msg_action = TRUE;
2985       }
2986     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2987     else if (Ustrcmp(argrest, "vb") == 0)
2988       {
2989       msg_action = MSG_SHOW_BODY;
2990       one_msg_action = TRUE;
2991       }
2992     else if (Ustrcmp(argrest, "vc") == 0)
2993       {
2994       msg_action = MSG_SHOW_COPY;
2995       one_msg_action = TRUE;
2996       }
2997     else if (Ustrcmp(argrest, "vh") == 0)
2998       {
2999       msg_action = MSG_SHOW_HEADER;
3000       one_msg_action = TRUE;
3001       }
3002     else if (Ustrcmp(argrest, "vl") == 0)
3003       {
3004       msg_action = MSG_SHOW_LOG;
3005       one_msg_action = TRUE;
3006       }
3007     else { badarg = TRUE; break; }
3008
3009     /* All the -Mxx options require at least one message id. */
3010
3011     msg_action_arg = i + 1;
3012     if (msg_action_arg >= argc)
3013       exim_fail("exim: no message ids given after %s option\n", arg);
3014
3015     /* Some require only message ids to follow */
3016
3017     if (!one_msg_action)
3018       {
3019       for (int j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
3020         exim_fail("exim: malformed message id %s after %s option\n",
3021           argv[j], arg);
3022       goto END_ARG;   /* Remaining args are ids */
3023       }
3024
3025     /* Others require only one message id, possibly followed by addresses,
3026     which will be handled as normal arguments. */
3027
3028     else
3029       {
3030       if (!mac_ismsgid(argv[msg_action_arg]))
3031         exim_fail("exim: malformed message id %s after %s option\n",
3032           argv[msg_action_arg], arg);
3033       i++;
3034       }
3035     break;
3036
3037
3038     /* Some programs seem to call the -om option without the leading o;
3039     for sendmail it askes for "me too". Exim always does this. */
3040
3041     case 'm':
3042     if (*argrest) badarg = TRUE;
3043     break;
3044
3045
3046     /* -N: don't do delivery - a debugging option that stops transports doing
3047     their thing. It implies debugging at the D_v level. */
3048
3049     case 'N':
3050     if (!*argrest)
3051       {
3052       f.dont_deliver = TRUE;
3053       debug_selector |= D_v;
3054       debug_file = stderr;
3055       }
3056     else badarg = TRUE;
3057     break;
3058
3059
3060     /* -n: This means "don't alias" in sendmail, apparently.
3061     For normal invocations, it has no effect.
3062     It may affect some other options. */
3063
3064     case 'n':
3065     flag_n = TRUE;
3066     break;
3067
3068     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
3069     option to the specified value. This form uses long names. We need to handle
3070     -O option=value and -Ooption=value. */
3071
3072     case 'O':
3073     if (!*argrest)
3074       if (++i >= argc)
3075         exim_fail("exim: string expected after -O\n");
3076     break;
3077
3078     case 'o':
3079     switch (*argrest++)
3080       {
3081       /* -oA: Set an argument for the bi command (sendmail's "alternate alias
3082       file" option). */
3083       case 'A':
3084         if (!*(alias_arg = argrest))
3085           if (i+1 < argc) alias_arg = argv[++i];
3086           else exim_fail("exim: string expected after -oA\n");
3087         break;
3088
3089       /* -oB: Set a connection message max value for remote deliveries */
3090       case 'B':
3091         {
3092         uschar * p = argrest;
3093         if (!*p)
3094           if (i+1 < argc && isdigit((argv[i+1][0])))
3095             p = argv[++i];
3096           else
3097             {
3098             connection_max_messages = 1;
3099             p = NULL;
3100             }
3101
3102         if (p)
3103           {
3104           if (!isdigit(*p))
3105             exim_fail("exim: number expected after -oB\n");
3106           connection_max_messages = Uatoi(p);
3107           }
3108         }
3109         break;
3110
3111       /* -odb: background delivery */
3112
3113       case 'd':
3114         if (Ustrcmp(argrest, "b") == 0)
3115           {
3116           f.synchronous_delivery = FALSE;
3117           arg_queue_only = FALSE;
3118           queue_only_set = TRUE;
3119           }
3120
3121       /* -odd: testsuite-only: add no inter-process delays */
3122
3123         else if (Ustrcmp(argrest, "d") == 0)
3124           f.testsuite_delays = FALSE;
3125
3126       /* -odf: foreground delivery (smail-compatible option); same effect as
3127          -odi: interactive (synchronous) delivery (sendmail-compatible option)
3128       */
3129
3130         else if (Ustrcmp(argrest, "f") == 0 || Ustrcmp(argrest, "i") == 0)
3131           {
3132           f.synchronous_delivery = TRUE;
3133           arg_queue_only = FALSE;
3134           queue_only_set = TRUE;
3135           }
3136
3137       /* -odq: queue only */
3138
3139         else if (Ustrcmp(argrest, "q") == 0)
3140           {
3141           f.synchronous_delivery = FALSE;
3142           arg_queue_only = TRUE;
3143           queue_only_set = TRUE;
3144           }
3145
3146       /* -odqs: queue SMTP only - do local deliveries and remote routing,
3147       but no remote delivery */
3148
3149         else if (Ustrcmp(argrest, "qs") == 0)
3150           {
3151           f.queue_smtp = TRUE;
3152           arg_queue_only = FALSE;
3153           queue_only_set = TRUE;
3154           }
3155         else badarg = TRUE;
3156         break;
3157
3158       /* -oex: Sendmail error flags. As these are also accepted without the
3159       leading -o prefix, for compatibility with vacation and other callers,
3160       they are handled with -e above. */
3161
3162       /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3163          -oitrue: Another sendmail syntax for the same */
3164
3165       case 'i':
3166         if (!*argrest || Ustrcmp(argrest, "true") == 0)
3167           f.dot_ends = FALSE;
3168         else badarg = TRUE;
3169         break;
3170
3171     /* -oM*: Set various characteristics for an incoming message; actually
3172     acted on for trusted callers only. */
3173
3174       case 'M':
3175         {
3176         if (i+1 >= argc)
3177           exim_fail("exim: data expected after -oM%s\n", argrest);
3178
3179         /* -oMa: Set sender host address */
3180
3181         if (Ustrcmp(argrest, "a") == 0)
3182           sender_host_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMa"), TRUE);
3183
3184         /* -oMaa: Set authenticator name */
3185
3186         else if (Ustrcmp(argrest, "aa") == 0)
3187           sender_host_authenticated = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMaa"), TRUE);
3188
3189         /* -oMas: setting authenticated sender */
3190
3191         else if (Ustrcmp(argrest, "as") == 0)
3192           authenticated_sender = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3193
3194         /* -oMai: setting authenticated id */
3195
3196         else if (Ustrcmp(argrest, "ai") == 0)
3197           authenticated_id = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"), TRUE);
3198
3199         /* -oMi: Set incoming interface address */
3200
3201         else if (Ustrcmp(argrest, "i") == 0)
3202           interface_address = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMi"), TRUE);
3203
3204         /* -oMm: Message reference */
3205
3206         else if (Ustrcmp(argrest, "m") == 0)
3207           {
3208           if (!mac_ismsgid(argv[i+1]))
3209               exim_fail("-oMm must be a valid message ID\n");
3210           if (!f.trusted_config)
3211               exim_fail("-oMm must be called by a trusted user/config\n");
3212             message_reference = argv[++i];
3213           }
3214
3215         /* -oMr: Received protocol */
3216
3217         else if (Ustrcmp(argrest, "r") == 0)
3218
3219           if (received_protocol)
3220             exim_fail("received_protocol is set already\n");
3221           else
3222             received_protocol = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMr"), TRUE);
3223
3224         /* -oMs: Set sender host name */
3225
3226         else if (Ustrcmp(argrest, "s") == 0)
3227           sender_host_name = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-oMs"), TRUE);
3228
3229         /* -oMt: Set sender ident */
3230
3231         else if (Ustrcmp(argrest, "t") == 0)
3232           {
3233           sender_ident_set = TRUE;
3234           sender_ident = string_copy_taint(exim_str_fail_toolong(argv[++i], EXIM_IDENTUSER_MAX, "-oMt"), TRUE);
3235           }
3236
3237         /* Else a bad argument */
3238
3239         else
3240           badarg = TRUE;
3241         }
3242         break;
3243
3244       /* -om: Me-too flag for aliases. Exim always does this. Some programs
3245       seem to call this as -m (undocumented), so that is also accepted (see
3246       above). */
3247       /* -oo: An ancient flag for old-style addresses which still seems to
3248       crop up in some calls (see in SCO). */
3249
3250       case 'm':
3251       case 'o':
3252         if (*argrest) badarg = TRUE;
3253         break;
3254
3255       /* -oP <name>: set pid file path for daemon
3256          -oPX:       delete pid file of daemon */
3257
3258       case 'P':
3259         if (!*argrest) override_pid_file_path = argv[++i];
3260         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
3261         else badarg = TRUE;
3262         break;
3263
3264
3265       /* -or <n>: set timeout for non-SMTP acceptance
3266          -os <n>: set timeout for SMTP acceptance */
3267
3268       case 'r':
3269       case 's':
3270         {
3271         int * tp = argrest[-1] == 'r'
3272           ? &arg_receive_timeout : &arg_smtp_receive_timeout;
3273         if (*argrest)
3274           *tp = readconf_readtime(argrest, 0, FALSE);
3275         else if (i+1 < argc)
3276           *tp = readconf_readtime(argv[++i], 0, FALSE);
3277
3278         if (*tp < 0)
3279           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3280         }
3281         break;
3282
3283       /* -oX <list>: Override local_interfaces and/or default daemon ports */
3284       /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
3285
3286       case 'X':
3287         if (*argrest) badarg = TRUE;
3288         else override_local_interfaces = string_copy_taint(exim_str_fail_toolong(argv[++i], 1024, "-oX"), TRUE);
3289         break;
3290
3291       /* -oY: Override creation of daemon notifier socket */
3292
3293       case 'Y':
3294         if (*argrest) badarg = TRUE;
3295         else notifier_socket = NULL;
3296         break;
3297
3298       /* Unknown -o argument */
3299
3300       default:
3301         badarg = TRUE;
3302       }
3303     break;
3304
3305
3306     /* -ps: force Perl startup; -pd force delayed Perl startup */
3307
3308     case 'p':
3309     #ifdef EXIM_PERL
3310     if (*argrest == 's' && argrest[1] == 0)
3311       {
3312       perl_start_option = 1;
3313       break;
3314       }
3315     if (*argrest == 'd' && argrest[1] == 0)
3316       {
3317       perl_start_option = -1;
3318       break;
3319       }
3320     #endif
3321
3322     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3323     which sets the host protocol and host name */
3324
3325     if (!*argrest)
3326       if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
3327
3328     if (*argrest)
3329       {
3330       uschar * hn = Ustrchr(argrest, ':');
3331
3332       if (received_protocol)
3333         exim_fail("received_protocol is set already\n");
3334
3335       if (!hn)
3336         received_protocol = string_copy_taint(exim_str_fail_toolong(argrest, EXIM_DRIVERNAME_MAX, "-p<protocol>"), TRUE);
3337       else
3338         {
3339         (void) exim_str_fail_toolong(argrest, (EXIM_DRIVERNAME_MAX+1+EXIM_HOSTNAME_MAX), "-p<protocol>:<host>");
3340         received_protocol = string_copyn_taint(argrest, hn - argrest, TRUE);
3341         sender_host_name = string_copy_taint(hn + 1, TRUE);
3342         }
3343       }
3344     break;
3345
3346
3347     case 'q':
3348     receiving_message = FALSE;
3349     if (queue_interval >= 0)
3350       exim_fail("exim: -q specified more than once\n");
3351
3352     /* -qq...: Do queue runs in a 2-stage manner */
3353
3354     if (*argrest == 'q')
3355       {
3356       f.queue_2stage = TRUE;
3357       argrest++;
3358       }
3359
3360     /* -qi...: Do only first (initial) deliveries */
3361
3362     if (*argrest == 'i')
3363       {
3364       f.queue_run_first_delivery = TRUE;
3365       argrest++;
3366       }
3367
3368     /* -qf...: Run the queue, forcing deliveries
3369        -qff..: Ditto, forcing thawing as well */
3370
3371     if (*argrest == 'f')
3372       {
3373       f.queue_run_force = TRUE;
3374       if (*++argrest == 'f')
3375         {
3376         f.deliver_force_thaw = TRUE;
3377         argrest++;
3378         }
3379       }
3380
3381     /* -q[f][f]l...: Run the queue only on local deliveries */
3382
3383     if (*argrest == 'l')
3384       {
3385       f.queue_run_local = TRUE;
3386       argrest++;
3387       }
3388
3389     /* -q[f][f][l][G<name>]... Work on the named queue */
3390
3391     if (*argrest == 'G')
3392       {
3393       int i;
3394       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3395       exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
3396       queue_name = string_copyn(argrest, i);
3397       argrest += i;
3398       if (*argrest == '/') argrest++;
3399       }
3400
3401     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3402     only, optionally named, optionally starting from a given message id. */
3403
3404     if (!(list_queue || count_queue))
3405       if (  !*argrest
3406          && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3407         {
3408         queue_interval = 0;
3409         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3410           start_queue_run_id = string_copy_taint(argv[++i], TRUE);
3411         if (i+1 < argc && mac_ismsgid(argv[i+1]))
3412           stop_queue_run_id = string_copy_taint(argv[++i], TRUE);
3413         }
3414
3415     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3416     forced, optionally local only, optionally named. */
3417
3418       else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3419                                                   0, FALSE)) <= 0)
3420         exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3421     break;
3422
3423
3424     case 'R':   /* Synonymous with -qR... */
3425       {
3426       const uschar *tainted_selectstr;
3427
3428       receiving_message = FALSE;
3429
3430     /* -Rf:   As -R (below) but force all deliveries,
3431        -Rff:  Ditto, but also thaw all frozen messages,
3432        -Rr:   String is regex
3433        -Rrf:  Regex and force
3434        -Rrff: Regex and force and thaw
3435
3436     in all cases provided there are no further characters in this
3437     argument. */
3438
3439       if (*argrest)
3440         for (int i = 0; i < nelem(rsopts); i++)
3441           if (Ustrcmp(argrest, rsopts[i]) == 0)
3442             {
3443             if (i != 2) f.queue_run_force = TRUE;
3444             if (i >= 2) f.deliver_selectstring_regex = TRUE;
3445             if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3446             argrest += Ustrlen(rsopts[i]);
3447             }
3448
3449     /* -R: Set string to match in addresses for forced queue run to
3450     pick out particular messages. */
3451
3452       /* Avoid attacks from people providing very long strings, and do so before
3453       we make copies. */
3454       if (*argrest)
3455         tainted_selectstr = argrest;
3456       else if (i+1 < argc)
3457         tainted_selectstr = argv[++i];
3458       else
3459         exim_fail("exim: string expected after -R\n");
3460       deliver_selectstring = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"), TRUE);
3461       }
3462     break;
3463
3464     /* -r: an obsolete synonym for -f (see above) */
3465
3466
3467     /* -S: Like -R but works on sender. */
3468
3469     case 'S':   /* Synonymous with -qS... */
3470       {
3471       const uschar *tainted_selectstr;
3472
3473       receiving_message = FALSE;
3474
3475     /* -Sf:   As -S (below) but force all deliveries,
3476        -Sff:  Ditto, but also thaw all frozen messages,
3477        -Sr:   String is regex
3478        -Srf:  Regex and force
3479        -Srff: Regex and force and thaw
3480
3481     in all cases provided there are no further characters in this
3482     argument. */
3483
3484       if (*argrest)
3485         for (int i = 0; i < nelem(rsopts); i++)
3486           if (Ustrcmp(argrest, rsopts[i]) == 0)
3487             {
3488             if (i != 2) f.queue_run_force = TRUE;
3489             if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
3490             if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3491             argrest += Ustrlen(rsopts[i]);
3492             }
3493
3494     /* -S: Set string to match in addresses for forced queue run to
3495     pick out particular messages. */
3496
3497       if (*argrest)
3498         tainted_selectstr = argrest;
3499       else if (i+1 < argc)
3500         tainted_selectstr = argv[++i];
3501       else
3502         exim_fail("exim: string expected after -S\n");
3503       deliver_selectstring_sender = string_copy_taint(exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-S"), TRUE);
3504       }
3505     break;
3506
3507     /* -Tqt is an option that is exclusively for use by the testing suite.
3508     It is not recognized in other circumstances. It allows for the setting up
3509     of explicit "queue times" so that various warning/retry things can be
3510     tested. Otherwise variability of clock ticks etc. cause problems. */
3511
3512     case 'T':
3513     if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3514       fudged_queue_times = string_copy_taint(argv[++i], TRUE);
3515     else badarg = TRUE;
3516     break;
3517
3518
3519     /* -t: Set flag to extract recipients from body of message. */
3520
3521     case 't':
3522     if (!*argrest) extract_recipients = TRUE;
3523
3524     /* -ti: Set flag to extract recipients from body of message, and also
3525     specify that dot does not end the message. */
3526
3527     else if (Ustrcmp(argrest, "i") == 0)
3528       {
3529       extract_recipients = TRUE;
3530       f.dot_ends = FALSE;
3531       }
3532
3533     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3534
3535     #ifndef DISABLE_TLS
3536     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3537     #endif
3538
3539     else badarg = TRUE;
3540     break;
3541
3542
3543     /* -U: This means "initial user submission" in sendmail, apparently. The
3544     doc claims that in future sendmail may refuse syntactically invalid
3545     messages instead of fixing them. For the moment, we just ignore it. */
3546
3547     case 'U':
3548     break;
3549
3550
3551     /* -v: verify things - this is a very low-level debugging */
3552
3553     case 'v':
3554     if (!*argrest)
3555       {
3556       debug_selector |= D_v;
3557       debug_file = stderr;
3558       }
3559     else badarg = TRUE;
3560     break;
3561
3562
3563     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3564
3565       The -x flag tells the sendmail command that mail from a local
3566       mail program has National Language Support (NLS) extended characters
3567       in the body of the mail item. The sendmail command can send mail with
3568       extended NLS characters across networks that normally corrupts these
3569       8-bit characters.
3570
3571     As Exim is 8-bit clean, it just ignores this flag. */
3572
3573     case 'x':
3574     if (*argrest) badarg = TRUE;
3575     break;
3576
3577     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3578     logs to that file.  We swallow the parameter and otherwise ignore it. */
3579
3580     case 'X':
3581     if (!*argrest)
3582       if (++i >= argc)
3583         exim_fail("exim: string expected after -X\n");
3584     break;
3585
3586     /* -z: a line of text to log */
3587
3588     case 'z':
3589     if (!*argrest)
3590       if (++i < argc)
3591         log_oneline = string_copy_taint(exim_str_fail_toolong(argv[i], 2048, "-z logtext"), TRUE);
3592       else
3593         exim_fail("exim: file name expected after %s\n", argv[i-1]);
3594     break;
3595
3596     /* All other initial characters are errors */
3597
3598     default:
3599     badarg = TRUE;
3600     break;
3601     }         /* End of high-level switch statement */
3602
3603   /* Failed to recognize the option, or syntax error */
3604
3605   if (badarg)
3606     exim_fail("exim abandoned: unknown, malformed, or incomplete "
3607       "option %s\n", arg);
3608   }
3609
3610
3611 /* If -R or -S have been specified without -q, assume a single queue run. */
3612
3613  if (  (deliver_selectstring || deliver_selectstring_sender)
3614     && queue_interval < 0)
3615   queue_interval = 0;
3616
3617
3618 END_ARG:
3619  store_pool = old_pool;
3620  }
3621
3622 /* If usage_wanted is set we call the usage function - which never returns */
3623 if (usage_wanted) exim_usage(called_as);
3624
3625 /* Arguments have been processed. Check for incompatibilities. */
3626 if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
3627       && (  f.daemon_listen || queue_interval >= 0 || bi_option
3628          || test_retry_arg >= 0 || test_rewrite_arg >= 0
3629          || filter_test != FTEST_NONE
3630          || msg_action_arg > 0 && !one_msg_action
3631       )  )
3632    || (  msg_action_arg > 0
3633       && (  f.daemon_listen || queue_interval > 0 || list_options
3634          || checking && msg_action != MSG_LOAD
3635          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
3636       )  )
3637    || (  (f.daemon_listen || queue_interval > 0)
3638       && (  sender_address || list_options || list_queue || checking
3639          || bi_option
3640       )  )
3641    || f.daemon_listen && queue_interval == 0
3642    || f.inetd_wait_mode && queue_interval >= 0
3643    || (  list_options
3644       && (  checking || smtp_input || extract_recipients
3645          || filter_test != FTEST_NONE || bi_option
3646       )  )
3647    || (  verify_address_mode
3648       && (  f.address_test_mode || smtp_input || extract_recipients
3649          || filter_test != FTEST_NONE || bi_option
3650       )  )
3651    || (  f.address_test_mode
3652       && (  smtp_input || extract_recipients || filter_test != FTEST_NONE
3653          || bi_option
3654       )  )
3655    || (  smtp_input
3656       && (sender_address || filter_test != FTEST_NONE || extract_recipients)
3657       )
3658    || deliver_selectstring && queue_interval < 0
3659    || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
3660    )
3661   exim_fail("exim: incompatible command-line options or arguments\n");
3662
3663 /* If debugging is set up, set the file and the file descriptor to pass on to
3664 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3665 to run in the foreground. */
3666
3667 if (debug_selector != 0)
3668   {
3669   debug_file = stderr;
3670   debug_fd = fileno(debug_file);
3671   f.background_daemon = FALSE;
3672   testharness_pause_ms(100);   /* lets caller finish */
3673   if (debug_selector != D_v)    /* -v only doesn't show this */
3674     {
3675     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3676       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3677       debug_selector);
3678     if (!version_printed)
3679       show_whats_supported(stderr);
3680     }
3681   }
3682
3683 /* When started with root privilege, ensure that the limits on the number of
3684 open files and the number of processes (where that is accessible) are
3685 sufficiently large, or are unset, in case Exim has been called from an
3686 environment where the limits are screwed down. Not all OS have the ability to
3687 change some of these limits. */
3688
3689 if (unprivileged)
3690   {
3691   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3692   }
3693 else
3694   {
3695   struct rlimit rlp;
3696
3697   #ifdef RLIMIT_NOFILE
3698   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3699     {
3700     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3701       strerror(errno));
3702     rlp.rlim_cur = rlp.rlim_max = 0;
3703     }
3704
3705   /* I originally chose 1000 as a nice big number that was unlikely to
3706   be exceeded. It turns out that some older OS have a fixed upper limit of
3707   256. */
3708
3709   if (rlp.rlim_cur < 1000)
3710     {
3711     rlp.rlim_cur = rlp.rlim_max = 1000;
3712     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3713       {
3714       rlp.rlim_cur = rlp.rlim_max = 256;
3715       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3716         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3717           strerror(errno));
3718       }
3719     }
3720   #endif
3721
3722   #ifdef RLIMIT_NPROC
3723   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3724     {
3725     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3726       strerror(errno));
3727     rlp.rlim_cur = rlp.rlim_max = 0;
3728     }
3729
3730   #ifdef RLIM_INFINITY
3731   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3732     {
3733     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3734   #else
3735   if (rlp.rlim_cur < 1000)
3736     {
3737     rlp.rlim_cur = rlp.rlim_max = 1000;
3738   #endif
3739     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3740       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3741         strerror(errno));
3742     }
3743   #endif
3744   }
3745
3746 /* Exim is normally entered as root (but some special configurations are
3747 possible that don't do this). However, it always spins off sub-processes that
3748 set their uid and gid as required for local delivery. We don't want to pass on
3749 any extra groups that root may belong to, so we want to get rid of them all at
3750 this point.
3751
3752 We need to obey setgroups() at this stage, before possibly giving up root
3753 privilege for a changed configuration file, but later on we might need to
3754 check on the additional groups for the admin user privilege - can't do that
3755 till after reading the config, which might specify the exim gid. Therefore,
3756 save the group list here first. */
3757
3758 if ((group_count = getgroups(nelem(group_list), group_list)) < 0)
3759   exim_fail("exim: getgroups() failed: %s\n", strerror(errno));
3760
3761 /* There is a fundamental difference in some BSD systems in the matter of
3762 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3763 known not to be different. On the "different" systems there is a single group
3764 list, and the first entry in it is the current group. On all other versions of
3765 Unix there is a supplementary group list, which is in *addition* to the current
3766 group. Consequently, to get rid of all extraneous groups on a "standard" system
3767 you pass over 0 groups to setgroups(), while on a "different" system you pass
3768 over a single group - the current group, which is always the first group in the
3769 list. Calling setgroups() with zero groups on a "different" system results in
3770 an error return. The following code should cope with both types of system.
3771
3772  Unfortunately, recent MacOS, which should be a FreeBSD, "helpfully" succeeds
3773  the "setgroups() with zero groups" - and changes the egid.
3774  Thanks to that we had to stash the original_egid above, for use below
3775  in the call to exim_setugid().
3776
3777 However, if this process isn't running as root, setgroups() can't be used
3778 since you have to be root to run it, even if throwing away groups.
3779 Except, sigh, for Hurd - where you can.
3780 Not being root here happens only in some unusual configurations. */
3781
3782 if (  !unprivileged
3783 #ifndef OS_SETGROUPS_ZERO_DROPS_ALL
3784    && setgroups(0, NULL) != 0
3785 #endif
3786    && setgroups(1, group_list) != 0)
3787   exim_fail("exim: setgroups() failed: %s\n", strerror(errno));
3788
3789 /* If the configuration file name has been altered by an argument on the
3790 command line (either a new file name or a macro definition) and the caller is
3791 not root, or if this is a filter testing run, remove any setuid privilege the
3792 program has and run as the underlying user.
3793
3794 The exim user is locked out of this, which severely restricts the use of -C
3795 for some purposes.
3796
3797 Otherwise, set the real ids to the effective values (should be root unless run
3798 from inetd, which it can either be root or the exim uid, if one is configured).
3799
3800 There is a private mechanism for bypassing some of this, in order to make it
3801 possible to test lots of configurations automatically, without having either to
3802 recompile each time, or to patch in an actual configuration file name and other
3803 values (such as the path name). If running in the test harness, pretend that
3804 configuration file changes and macro definitions haven't happened. */
3805
3806 if ((                                            /* EITHER */
3807     (!f.trusted_config ||                          /* Config changed, or */
3808      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3809     real_uid != root_uid &&                      /* Not root, and */
3810     !f.running_in_test_harness                     /* Not fudged */
3811     ) ||                                         /*   OR   */
3812     expansion_test                               /* expansion testing */
3813     ||                                           /*   OR   */
3814     filter_test != FTEST_NONE)                   /* Filter testing */
3815   {
3816   setgroups(group_count, group_list);
3817   exim_setugid(real_uid, real_gid, FALSE,
3818     US"-C, -D, -be or -bf forces real uid");
3819   removed_privilege = TRUE;
3820
3821   /* In the normal case when Exim is called like this, stderr is available
3822   and should be used for any logging information because attempts to write
3823   to the log will usually fail. To arrange this, we unset really_exim. However,
3824   if no stderr is available there is no point - we might as well have a go
3825   at the log (if it fails, syslog will be written).
3826
3827   Note that if the invoker is Exim, the logs remain available. Messing with
3828   this causes unlogged successful deliveries.  */
3829
3830   if (log_stderr && real_uid != exim_uid)
3831     f.really_exim = FALSE;
3832   }
3833
3834 /* Privilege is to be retained for the moment. It may be dropped later,
3835 depending on the job that this Exim process has been asked to do. For now, set
3836 the real uid to the effective so that subsequent re-execs of Exim are done by a
3837 privileged user. */
3838
3839 else
3840   exim_setugid(geteuid(), original_egid, FALSE, US"forcing real = effective");
3841
3842 /* If testing a filter, open the file(s) now, before wasting time doing other
3843 setups and reading the message. */
3844
3845 if (filter_test & FTEST_SYSTEM)
3846   if ((filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0)) < 0)
3847     exim_fail("exim: failed to open %s: %s\n", filter_test_sfile,
3848       strerror(errno));
3849
3850 if (filter_test & FTEST_USER)
3851   if ((filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0)) < 0)
3852     exim_fail("exim: failed to open %s: %s\n", filter_test_ufile,
3853       strerror(errno));
3854
3855 /* Initialise lookup_list
3856 If debugging, already called above via version reporting.
3857 In either case, we initialise the list of available lookups while running
3858 as root.  All dynamically modules are loaded from a directory which is
3859 hard-coded into the binary and is code which, if not a module, would be
3860 part of Exim already.  Ability to modify the content of the directory
3861 is equivalent to the ability to modify a setuid binary!
3862
3863 This needs to happen before we read the main configuration. */
3864 init_lookup_list();
3865
3866 #ifdef SUPPORT_I18N
3867 if (f.running_in_test_harness) smtputf8_advertise_hosts = NULL;
3868 #endif
3869
3870 /* Read the main runtime configuration data; this gives up if there
3871 is a failure. It leaves the configuration file open so that the subsequent
3872 configuration data for delivery can be read if needed.
3873
3874 NOTE: immediately after opening the configuration file we change the working
3875 directory to "/"! Later we change to $spool_directory. We do it there, because
3876 during readconf_main() some expansion takes place already. */
3877
3878 /* Store the initial cwd before we change directories.  Can be NULL if the
3879 dir has already been unlinked. */
3880 errno = 0;
3881 initial_cwd = os_getcwd(NULL, 0);
3882 if (!initial_cwd && errno)
3883   exim_fail("exim: getting initial cwd failed: %s\n", strerror(errno));
3884
3885 if (initial_cwd && (strlen(CCS initial_cwd) >= BIG_BUFFER_SIZE))
3886   exim_fail("exim: initial cwd is far too long (%d)\n", Ustrlen(CCS initial_cwd));
3887
3888 /* checking:
3889     -be[m] expansion test        -
3890     -b[fF] filter test           new
3891     -bh[c] host test             -
3892     -bmalware malware_test_file  new
3893     -brt   retry test            new
3894     -brw   rewrite test          new
3895     -bt    address test          -
3896     -bv[s] address verify        -
3897    list_options:
3898     -bP <option> (except -bP config, which sets list_config)
3899
3900 If any of these options is set, we suppress warnings about configuration
3901 issues (currently about tls_advertise_hosts and keep_environment not being
3902 defined) */
3903
3904   {
3905 #ifdef MEASURE_TIMING
3906   struct timeval t0, diff;
3907   (void)gettimeofday(&t0, NULL);
3908 #endif
3909
3910   readconf_main(checking || list_options);
3911
3912 #ifdef MEASURE_TIMING
3913   report_time_since(&t0, US"readconf_main (delta)");
3914 #endif
3915   }
3916
3917
3918 /* Now in directory "/" */
3919
3920 if (cleanup_environment() == FALSE)
3921   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3922
3923
3924 /* If an action on specific messages is requested, or if a daemon or queue
3925 runner is being started, we need to know if Exim was called by an admin user.
3926 This is the case if the real user is root or exim, or if the real group is
3927 exim, or if one of the supplementary groups is exim or a group listed in
3928 admin_groups. We don't fail all message actions immediately if not admin_user,
3929 since some actions can be performed by non-admin users. Instead, set admin_user
3930 for later interrogation. */
3931
3932 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3933   f.admin_user = TRUE;
3934 else
3935   for (int i = 0; i < group_count && !f.admin_user; i++)
3936     if (group_list[i] == exim_gid)
3937       f.admin_user = TRUE;
3938     else if (admin_groups)
3939       for (int j = 1; j <= (int)admin_groups[0] && !f.admin_user; j++)
3940         if (admin_groups[j] == group_list[i])
3941           f.admin_user = TRUE;
3942
3943 /* Another group of privileged users are the trusted users. These are root,
3944 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3945 are permitted to specify sender_addresses with -f on the command line, and
3946 other message parameters as well. */
3947
3948 if (real_uid == root_uid || real_uid == exim_uid)
3949   f.trusted_caller = TRUE;
3950 else
3951   {
3952   if (trusted_users)
3953     for (int i = 1; i <= (int)trusted_users[0] && !f.trusted_caller; i++)
3954       if (trusted_users[i] == real_uid)
3955         f.trusted_caller = TRUE;
3956
3957   if (trusted_groups)
3958     for (int i = 1; i <= (int)trusted_groups[0] && !f.trusted_caller; i++)
3959       if (trusted_groups[i] == real_gid)
3960         f.trusted_caller = TRUE;
3961       else for (int j = 0; j < group_count && !f.trusted_caller; j++)
3962         if (trusted_groups[i] == group_list[j])
3963           f.trusted_caller = TRUE;
3964   }
3965
3966 /* At this point, we know if the user is privileged and some command-line
3967 options become possibly impermissible, depending upon the configuration file. */
3968
3969 if (checking && commandline_checks_require_admin && !f.admin_user)
3970   exim_fail("exim: those command-line flags are set to require admin\n");
3971
3972 /* Handle the decoding of logging options. */
3973
3974 decode_bits(log_selector, log_selector_size, log_notall,
3975   log_selector_string, log_options, log_options_count, US"log", 0);
3976
3977 DEBUG(D_any)
3978   {
3979   debug_printf("configuration file is %s\n", config_main_filename);
3980   debug_printf("log selectors =");
3981   for (int i = 0; i < log_selector_size; i++)
3982     debug_printf(" %08x", log_selector[i]);
3983   debug_printf("\n");
3984   }
3985
3986 /* If domain literals are not allowed, check the sender address that was
3987 supplied with -f. Ditto for a stripped trailing dot. */
3988
3989 if (sender_address)
3990   {
3991   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3992     exim_fail("exim: bad -f address \"%s\": domain literals not "
3993       "allowed\n", sender_address);
3994   if (f_end_dot && !strip_trailing_dot)
3995     exim_fail("exim: bad -f address \"%s.\": domain is malformed "
3996       "(trailing dot not allowed)\n", sender_address);
3997   }
3998
3999 /* See if an admin user overrode our logging. */
4000
4001 if (cmdline_syslog_name)
4002   if (f.admin_user)
4003     {
4004     syslog_processname = cmdline_syslog_name;
4005     log_file_path = string_copy(CUS"syslog");
4006     }
4007   else
4008     /* not a panic, non-privileged users should not be able to spam paniclog */
4009     exim_fail(
4010         "exim: you lack sufficient privilege to specify syslog process name\n");
4011
4012 /* Paranoia check of maximum lengths of certain strings. There is a check
4013 on the length of the log file path in log.c, which will come into effect
4014 if there are any calls to write the log earlier than this. However, if we
4015 get this far but the string is very long, it is better to stop now than to
4016 carry on and (e.g.) receive a message and then have to collapse. The call to
4017 log_write() from here will cause the ultimate panic collapse if the complete
4018 file name exceeds the buffer length. */
4019
4020 if (Ustrlen(log_file_path) > 200)
4021   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4022     "log_file_path is longer than 200 chars: aborting");
4023
4024 if (Ustrlen(pid_file_path) > 200)
4025   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4026     "pid_file_path is longer than 200 chars: aborting");
4027
4028 if (Ustrlen(spool_directory) > 200)
4029   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4030     "spool_directory is longer than 200 chars: aborting");
4031
4032 /* Length check on the process name given to syslog for its TAG field,
4033 which is only permitted to be 32 characters or less. See RFC 3164. */
4034
4035 if (Ustrlen(syslog_processname) > 32)
4036   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
4037     "syslog_processname is longer than 32 chars: aborting");
4038
4039 if (log_oneline)
4040   if (f.admin_user)
4041     {
4042     log_write(0, LOG_MAIN, "%s", log_oneline);
4043     return EXIT_SUCCESS;
4044     }
4045   else
4046     return EXIT_FAILURE;
4047
4048 /* In some operating systems, the environment variable TMPDIR controls where
4049 temporary files are created; Exim doesn't use these (apart from when delivering
4050 to MBX mailboxes), but called libraries such as DBM libraries may require them.
4051 If TMPDIR is found in the environment, reset it to the value defined in the
4052 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
4053 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
4054 EXIM_TMPDIR by the build scripts.
4055 */
4056
4057 #ifdef EXIM_TMPDIR
4058   if (environ) for (uschar ** p = USS environ; *p; p++)
4059     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
4060       {
4061       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
4062       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
4063       *p = newp;
4064       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
4065       }
4066 #endif
4067
4068 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
4069 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
4070 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4071 called by a user who has set the TZ variable. This then affects the timestamps
4072 in log files and in Received: headers, and any created Date: header lines. The
4073 required timezone is settable in the configuration file, so nothing can be done
4074 about this earlier - but hopefully nothing will normally be logged earlier than
4075 this. We have to make a new environment if TZ is wrong, but don't bother if
4076 timestamps_utc is set, because then all times are in UTC anyway. */
4077
4078 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4079   f.timestamps_utc = TRUE;
4080 else
4081   {
4082   uschar *envtz = US getenv("TZ");
4083   if (envtz
4084       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4085       : timezone_string != NULL
4086      )
4087     {
4088     uschar **p = USS environ;
4089     uschar **new;
4090     uschar **newp;
4091     int count = 0;
4092     if (environ) while (*p++) count++;
4093     if (!envtz) count++;
4094     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4095     if (environ) for (p = USS environ; *p; p++)
4096       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4097     if (timezone_string)
4098       {
4099       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4100       sprintf(CS *newp++, "TZ=%s", timezone_string);
4101       }
4102     *newp = NULL;
4103     environ = CSS new;
4104     tzset();
4105     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4106       tod_stamp(tod_log));
4107     }
4108   }
4109
4110 /* Handle the case when we have removed the setuid privilege because of -C or
4111 -D. This means that the caller of Exim was not root.
4112
4113 There is a problem if we were running as the Exim user. The sysadmin may
4114 expect this case to retain privilege because "the binary was called by the
4115 Exim user", but it hasn't, because either the -D option set macros, or the
4116 -C option set a non-trusted configuration file. There are two possibilities:
4117
4118   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4119       to do message deliveries. Thus, the fact that it is running as a
4120       non-privileged user is plausible, and might be wanted in some special
4121       configurations. However, really_exim will have been set false when
4122       privilege was dropped, to stop Exim trying to write to its normal log
4123       files. Therefore, re-enable normal log processing, assuming the sysadmin
4124       has set up the log directory correctly.
4125
4126   (2) If deliver_drop_privilege is not set, the configuration won't work as
4127       apparently intended, and so we log a panic message. In order to retain
4128       root for -C or -D, the caller must either be root or be invoking a
4129       trusted configuration file (when deliver_drop_privilege is false). */
4130
4131 if (  removed_privilege
4132    && (!f.trusted_config || opt_D_used)
4133    && real_uid == exim_uid)
4134   if (deliver_drop_privilege)
4135     f.really_exim = TRUE; /* let logging work normally */
4136   else
4137     log_write(0, LOG_MAIN|LOG_PANIC,
4138       "exim user lost privilege for using %s option",
4139       f.trusted_config? "-D" : "-C");
4140
4141 /* Start up Perl interpreter if Perl support is configured and there is a
4142 perl_startup option, and the configuration or the command line specifies
4143 initializing starting. Note that the global variables are actually called
4144 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4145
4146 #ifdef EXIM_PERL
4147 if (perl_start_option != 0)
4148   opt_perl_at_start = (perl_start_option > 0);
4149 if (opt_perl_at_start && opt_perl_startup != NULL)
4150   {
4151   uschar *errstr;
4152   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4153   if ((errstr = init_perl(opt_perl_startup)))
4154     exim_fail("exim: error in perl_startup code: %s\n", errstr);
4155   opt_perl_started = TRUE;
4156   }
4157 #endif /* EXIM_PERL */
4158
4159 /* Log the arguments of the call if the configuration file said so. This is
4160 a debugging feature for finding out what arguments certain MUAs actually use.
4161 Don't attempt it if logging is disabled, or if listing variables or if
4162 verifying/testing addresses or expansions. */
4163
4164 if (  (debug_selector & D_any  ||  LOGGING(arguments))
4165    && f.really_exim && !list_options && !checking)
4166   {
4167   uschar *p = big_buffer;
4168   Ustrcpy(p, US"cwd= (failed)");
4169
4170   if (!initial_cwd)
4171     p += 13;
4172   else
4173     {
4174     Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4175     p += 4 + Ustrlen(initial_cwd);
4176     /* in case p is near the end and we don't provide enough space for
4177      * string_format to be willing to write. */
4178     *p = '\0';
4179     }
4180
4181   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4182   while (*p) p++;
4183   for (int i = 0; i < argc; i++)
4184     {
4185     int len = Ustrlen(argv[i]);
4186     const uschar *printing;
4187     uschar *quote;
4188     if (p + len + 8 >= big_buffer + big_buffer_size)
4189       {
4190       Ustrcpy(p, US" ...");
4191       log_write(0, LOG_MAIN, "%s", big_buffer);
4192       Ustrcpy(big_buffer, US"...");
4193       p = big_buffer + 3;
4194       }
4195     printing = string_printing(argv[i]);
4196     if (!*printing) quote = US"\"";
4197     else
4198       {
4199       const uschar *pp = printing;
4200       quote = US"";
4201       while (*pp) if (isspace(*pp++)) { quote = US"\""; break; }
4202       }
4203     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4204       (p - big_buffer) - 4), printing, quote);
4205     }
4206
4207   if (LOGGING(arguments))
4208     log_write(0, LOG_MAIN, "%s", big_buffer);
4209   else
4210     debug_printf("%s\n", big_buffer);
4211   }
4212
4213 /* Set the working directory to be the top-level spool directory. We don't rely
4214 on this in the code, which always uses fully qualified names, but it's useful
4215 for core dumps etc. Don't complain if it fails - the spool directory might not
4216 be generally accessible and calls with the -C option (and others) have lost
4217 privilege by now. Before the chdir, we try to ensure that the directory exists.
4218 */
4219
4220 if (Uchdir(spool_directory) != 0)
4221   {
4222   (void) directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4223   (void) Uchdir(spool_directory);
4224   }
4225
4226 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4227 alias file. Exim doesn't have such a concept, but this call is screwed into
4228 Sun's YP makefiles. Handle this by calling a configured script, as the real
4229 user who called Exim. The -oA option can be used to pass an argument to the
4230 script. */
4231
4232 if (bi_option)
4233   {
4234   (void) fclose(config_file);
4235   if (bi_command && *bi_command)
4236     {
4237     int i = 0;
4238     uschar *argv[3];
4239     argv[i++] = bi_command;
4240     if (alias_arg) argv[i++] = alias_arg;
4241     argv[i++] = NULL;
4242
4243     setgroups(group_count, group_list);
4244     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4245
4246     DEBUG(D_exec) debug_printf("exec '%.256s' %s%.256s%s\n", argv[0],
4247       argv[1] ? "'" : "", argv[1] ? argv[1] : US"", argv[1] ? "'" : "");
4248
4249     execv(CS argv[0], (char *const *)argv);
4250     exim_fail("exim: exec '%s' failed: %s\n", argv[0], strerror(errno));
4251     }
4252   else
4253     {
4254     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4255     exit(EXIT_SUCCESS);
4256     }
4257   }
4258
4259 /* We moved the admin/trusted check to be immediately after reading the
4260 configuration file.  We leave these prints here to ensure that syslog setup,
4261 logfile setup, and so on has already happened. */
4262
4263 if (f.trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4264 if (f.admin_user) DEBUG(D_any) debug_printf("admin user\n");
4265
4266 /* Only an admin user may start the daemon or force a queue run in the default
4267 configuration, but the queue run restriction can be relaxed. Only an admin
4268 user may request that a message be returned to its sender forthwith. Only an
4269 admin user may specify a debug level greater than D_v (because it might show
4270 passwords, etc. in lookup queries). Only an admin user may request a queue
4271 count. Only an admin user can use the test interface to scan for email
4272 (because Exim will be in the spool dir and able to look at mails). */
4273
4274 if (!f.admin_user)
4275   {
4276   BOOL debugset = (debug_selector & ~D_v) != 0;
4277   if (  deliver_give_up || f.daemon_listen || malware_test_file
4278      || count_queue && queue_list_requires_admin
4279      || list_queue && queue_list_requires_admin
4280      || queue_interval >= 0 && prod_requires_admin
4281      || queue_name_dest && prod_requires_admin
4282      || debugset && !f.running_in_test_harness
4283      )
4284     exim_fail("exim:%s permission denied\n", debugset ? " debugging" : "");
4285   }
4286
4287 /* If the real user is not root or the exim uid, the argument for passing
4288 in an open TCP/IP connection for another message is not permitted, nor is
4289 running with the -N option for any delivery action, unless this call to exim is
4290 one that supplied an input message, or we are using a patched exim for
4291 regression testing. */
4292
4293 if (  real_uid != root_uid && real_uid != exim_uid
4294    && (  continue_hostname
4295       || (  f.dont_deliver
4296          && (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
4297       )  )
4298    && !f.running_in_test_harness
4299    )
4300   exim_fail("exim: Permission denied\n");
4301
4302 /* If the caller is not trusted, certain arguments are ignored when running for
4303 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4304 Note that authority for performing certain actions on messages is tested in the
4305 queue_action() function. */
4306
4307 if (!f.trusted_caller && !checking)
4308   {
4309   sender_host_name = sender_host_address = interface_address =
4310     sender_ident = received_protocol = NULL;
4311   sender_host_port = interface_port = 0;
4312   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4313   }
4314
4315 /* If a sender host address is set, extract the optional port number off the
4316 end of it and check its syntax. Do the same thing for the interface address.
4317 Exim exits if the syntax is bad. */
4318
4319 else
4320   {
4321   if (sender_host_address)
4322     sender_host_port = check_port(sender_host_address);
4323   if (interface_address)
4324     interface_port = check_port(interface_address);
4325   }
4326
4327 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4328 if (flag_G)
4329   {
4330   if (f.trusted_caller)
4331     {
4332     f.suppress_local_fixups = f.suppress_local_fixups_default = TRUE;
4333     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4334     }
4335   else
4336     exim_fail("exim: permission denied (-G requires a trusted user)\n");
4337   }
4338
4339 /* If an SMTP message is being received check to see if the standard input is a
4340 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4341 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4342 barf. */
4343
4344 if (smtp_input)
4345   {
4346   union sockaddr_46 inetd_sock;
4347   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4348   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4349     {
4350     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4351     if (family == AF_INET || family == AF_INET6)
4352       {
4353       union sockaddr_46 interface_sock;
4354       size = sizeof(interface_sock);
4355
4356       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4357         interface_address = host_ntoa(-1, &interface_sock, NULL,
4358           &interface_port);
4359
4360       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4361
4362       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4363         {
4364         f.is_inetd = TRUE;
4365         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4366           NULL, &sender_host_port);
4367         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4368           "inetd is not supported when mua_wrapper is set");
4369         }
4370       else
4371         exim_fail(
4372           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4373       }
4374     }
4375   }
4376
4377 /* If the load average is going to be needed while receiving a message, get it
4378 now for those OS that require the first call to os_getloadavg() to be done as
4379 root. There will be further calls later for each message received. */
4380
4381 #ifdef LOAD_AVG_NEEDS_ROOT
4382 if (  receiving_message
4383    && (queue_only_load >= 0 || (f.is_inetd && smtp_load_reserve >= 0)))
4384   load_average = OS_GETLOADAVG();
4385 #endif
4386
4387 /* The queue_only configuration option can be overridden by -odx on the command
4388 line, except that if queue_only_override is false, queue_only cannot be unset
4389 from the command line. */
4390
4391 if (queue_only_set && (queue_only_override || arg_queue_only))
4392   queue_only = arg_queue_only;
4393
4394 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4395 -or and -os. */
4396
4397 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4398 if (arg_smtp_receive_timeout >= 0)
4399   smtp_receive_timeout = arg_smtp_receive_timeout;
4400
4401 /* If Exim was started with root privilege, unless we have already removed the
4402 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4403 except when starting the daemon or doing some kind of delivery or address
4404 testing (-bt). These are the only cases when root need to be retained. We run
4405 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4406 retained only for starting the daemon. We always do the initgroups() in this
4407 situation (controlled by the TRUE below), in order to be as close as possible
4408 to the state Exim usually runs in. */
4409
4410 if (  !unprivileged                             /* originally had root AND */
4411    && !removed_privilege                        /* still got root AND      */
4412    && !f.daemon_listen                          /* not starting the daemon */
4413    && queue_interval <= 0                       /* (either kind of daemon) */
4414    && (                                         /*    AND EITHER           */
4415          deliver_drop_privilege                 /* requested unprivileged  */
4416       || (                                      /*       OR                */
4417             queue_interval < 0                  /* not running the queue   */
4418          && (  msg_action_arg < 0               /*       and               */
4419             || msg_action != MSG_DELIVER        /* not delivering          */
4420             )                                   /*       and               */
4421          && (!checking || !f.address_test_mode) /* not address checking    */
4422          && !rcpt_verify_quota                  /* and not quota checking  */
4423    )  )  )
4424   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4425
4426 /* When we are retaining a privileged uid, we still change to the exim gid. */
4427
4428 else
4429   {
4430   int rv;
4431   DEBUG(D_any) debug_printf("dropping to exim gid; retaining priv uid\n");
4432   rv = setgid(exim_gid);
4433   /* Impact of failure is that some stuff might end up with an incorrect group.
4434   We track this for failures from root, since any attempt to change privilege
4435   by root should succeed and failures should be examined.  For non-root,
4436   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4437   no need to complain then. */
4438   if (rv == -1)
4439     if (!(unprivileged || removed_privilege))
4440       exim_fail("exim: changing group failed: %s\n", strerror(errno));
4441     else
4442       {
4443       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4444           (long int)exim_gid, strerror(errno));
4445       }
4446   }
4447
4448 /* Handle a request to scan a file for malware */
4449 if (malware_test_file)
4450   {
4451 #ifdef WITH_CONTENT_SCAN
4452   int result;
4453   set_process_info("scanning file for malware");
4454   if ((result = malware_in_file(malware_test_file)) == FAIL)
4455     {
4456     printf("No malware found.\n");
4457     exit(EXIT_SUCCESS);
4458     }
4459   if (result != OK)
4460     {
4461     printf("Malware lookup returned non-okay/fail: %d\n", result);
4462     exit(EXIT_FAILURE);
4463     }
4464   if (malware_name)
4465     printf("Malware found: %s\n", malware_name);
4466   else
4467     printf("Malware scan detected malware of unknown name.\n");
4468 #else
4469   printf("Malware scanning not enabled at compile time.\n");
4470 #endif
4471   exit(EXIT_FAILURE);
4472   }
4473
4474 /* Handle a request to list the delivery queue */
4475
4476 if (list_queue)
4477   {
4478   set_process_info("listing the queue");
4479   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4480   exit(EXIT_SUCCESS);
4481   }
4482
4483 /* Handle a request to count the delivery queue */
4484
4485 if (count_queue)
4486   {
4487   set_process_info("counting the queue");
4488   fprintf(stdout, "%u\n", queue_count());
4489   exit(EXIT_SUCCESS);
4490   }
4491
4492 /* Handle actions on specific messages, except for the force delivery and
4493 message load actions, which are done below. Some actions take a whole list of
4494 message ids, which are known to continue up to the end of the arguments. Others
4495 take a single message id and then operate on the recipients list. */
4496
4497 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4498   {
4499   int yield = EXIT_SUCCESS;
4500   set_process_info("acting on specified messages");
4501
4502   /* ACL definitions may be needed when removing a message (-Mrm) because
4503   event_action gets expanded */
4504
4505   if (msg_action == MSG_REMOVE)
4506     readconf_rest();
4507
4508   if (!one_msg_action)
4509     {
4510     for (i = msg_action_arg; i < argc; i++)
4511       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4512         yield = EXIT_FAILURE;
4513     switch (msg_action)
4514       {
4515       case MSG_REMOVE: case MSG_FREEZE: case MSG_THAW: break;
4516       default: printf("\n"); break;
4517       }
4518     }
4519
4520   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4521     recipients_arg)) yield = EXIT_FAILURE;
4522   exit(yield);
4523   }
4524
4525 /* We used to set up here to skip reading the ACL section, on
4526  (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
4527 Now, since the intro of the ${acl } expansion, ACL definitions may be
4528 needed in transports so we lost the optimisation. */
4529
4530   {
4531 #ifdef MEASURE_TIMING
4532   struct timeval t0, diff;
4533   (void)gettimeofday(&t0, NULL);
4534 #endif
4535
4536   readconf_rest();
4537
4538 #ifdef MEASURE_TIMING
4539   report_time_since(&t0, US"readconf_rest (delta)");
4540 #endif
4541   }
4542
4543 /* Handle a request to check quota */
4544 if (rcpt_verify_quota)
4545   if (real_uid != root_uid && real_uid != exim_uid)
4546     exim_fail("exim: Permission denied\n");
4547   else if (recipients_arg >= argc)
4548     exim_fail("exim: missing recipient for quota check\n");
4549   else
4550     {
4551     verify_quota(argv[recipients_arg]);
4552     exim_exit(EXIT_SUCCESS);
4553     }
4554
4555 /* Handle the -brt option. This is for checking out retry configurations.
4556 The next three arguments are a domain name or a complete address, and
4557 optionally two error numbers. All it does is to call the function that
4558 scans the retry configuration data. */
4559
4560 if (test_retry_arg >= 0)
4561   {
4562   retry_config *yield;
4563   int basic_errno = 0;
4564   int more_errno = 0;
4565   const uschar *s1, *s2;
4566
4567   if (test_retry_arg >= argc)
4568     {
4569     printf("-brt needs a domain or address argument\n");
4570     exim_exit(EXIT_FAILURE);
4571     }
4572   s1 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_EMAILADDR_MAX, "-brt");
4573   s2 = NULL;
4574
4575   /* If the first argument contains no @ and no . it might be a local user
4576   or it might be a single-component name. Treat as a domain. */
4577
4578   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4579     {
4580     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4581       "being \ntreated as a one-component domain, not as a local part.\n\n",
4582       s1);
4583     }
4584
4585   /* There may be an optional second domain arg. */
4586
4587   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4588     s2 = exim_str_fail_toolong(argv[test_retry_arg++], EXIM_DOMAINNAME_MAX, "-brt 2nd");
4589
4590   /* The final arg is an error name */
4591
4592   if (test_retry_arg < argc)
4593     {
4594     const uschar *ss = exim_str_fail_toolong(argv[test_retry_arg], EXIM_DRIVERNAME_MAX, "-brt 3rd");
4595     uschar *error =
4596       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4597     if (error != NULL)
4598       {
4599       printf("%s\n", CS error);
4600       return EXIT_FAILURE;
4601       }
4602
4603     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4604     code > 100 as an error is for matching codes to the decade. Turn them into
4605     a real error code, off the decade. */
4606
4607     if (basic_errno == ERRNO_MAIL4XX ||
4608         basic_errno == ERRNO_RCPT4XX ||
4609         basic_errno == ERRNO_DATA4XX)
4610       {
4611       int code = (more_errno >> 8) & 255;
4612       if (code == 255)
4613         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4614       else if (code > 100)
4615         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4616       }
4617     }
4618
4619   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4620     printf("No retry information found\n");
4621   else
4622     {
4623     more_errno = yield->more_errno;
4624     printf("Retry rule: %s  ", yield->pattern);
4625
4626     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4627       {
4628       printf("quota%s%s  ",
4629         (more_errno > 0)? "_" : "",
4630         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4631       }
4632     else if (yield->basic_errno == ECONNREFUSED)
4633       {
4634       printf("refused%s%s  ",
4635         (more_errno > 0)? "_" : "",
4636         (more_errno == 'M')? "MX" :
4637         (more_errno == 'A')? "A" : "");
4638       }
4639     else if (yield->basic_errno == ETIMEDOUT)
4640       {
4641       printf("timeout");
4642       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4643       more_errno &= 255;
4644       if (more_errno != 0) printf("_%s",
4645         (more_errno == 'M')? "MX" : "A");
4646       printf("  ");
4647       }
4648     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4649       printf("auth_failed  ");
4650     else printf("*  ");
4651
4652     for (retry_rule * r = yield->rules; r; r = r->next)
4653       {
4654       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4655       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4656       if (r->rule == 'G')
4657         {
4658         int x = r->p2;
4659         int f = x % 1000;
4660         int d = 100;
4661         printf(",%d.", x/1000);
4662         do
4663           {
4664           printf("%d", f/d);
4665           f %= d;
4666           d /= 10;
4667           }
4668         while (f != 0);
4669         }
4670       printf("; ");
4671       }
4672
4673     printf("\n");
4674     }
4675   exim_exit(EXIT_SUCCESS);
4676   }
4677
4678 /* Handle a request to list one or more configuration options */
4679 /* If -n was set, we suppress some information */
4680
4681 if (list_options)
4682   {
4683   BOOL fail = FALSE;
4684   set_process_info("listing variables");
4685   if (recipients_arg >= argc)
4686     fail = !readconf_print(US"all", NULL, flag_n);
4687   else for (i = recipients_arg; i < argc; i++)
4688     {
4689     if (i < argc - 1 &&
4690         (Ustrcmp(argv[i], "router") == 0 ||
4691          Ustrcmp(argv[i], "transport") == 0 ||
4692          Ustrcmp(argv[i], "authenticator") == 0 ||
4693          Ustrcmp(argv[i], "macro") == 0 ||
4694          Ustrcmp(argv[i], "environment") == 0))
4695       {
4696       fail |= !readconf_print(exim_str_fail_toolong(argv[i+1], EXIM_DRIVERNAME_MAX, "-bP name"), argv[i], flag_n);
4697       i++;
4698       }
4699     else
4700       fail = !readconf_print(exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-bP item"), NULL, flag_n);
4701     }
4702   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS);
4703   }
4704
4705 if (list_config)
4706   {
4707   set_process_info("listing config");
4708   exim_exit(readconf_print(US"config", NULL, flag_n)
4709                 ? EXIT_SUCCESS : EXIT_FAILURE);
4710   }
4711
4712
4713 /* Initialise subsystems as required. */
4714
4715 tcp_init();
4716
4717 /* Handle a request to deliver one or more messages that are already on the
4718 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4719 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4720
4721 Delivery of specific messages is typically used for a small number when
4722 prodding by hand (when the option forced_delivery will be set) or when
4723 re-execing to regain root privilege. Each message delivery must happen in a
4724 separate process, so we fork a process for each one, and run them sequentially
4725 so that debugging output doesn't get intertwined, and to avoid spawning too
4726 many processes if a long list is given. However, don't fork for the last one;
4727 this saves a process in the common case when Exim is called to deliver just one
4728 message. */
4729
4730 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4731   {
4732   if (prod_requires_admin && !f.admin_user)
4733     {
4734     fprintf(stderr, "exim: Permission denied\n");
4735     exim_exit(EXIT_FAILURE);
4736     }
4737   set_process_info("delivering specified messages");
4738   if (deliver_give_up) forced_delivery = f.deliver_force_thaw = TRUE;
4739   for (i = msg_action_arg; i < argc; i++)
4740     {
4741     int status;
4742     pid_t pid;
4743     /*XXX This use of argv[i] for msg_id should really be tainted, but doing
4744     that runs into a later copy into the untainted global message_id[] */
4745     /*XXX Do we need a length limit check here? */
4746     if (i == argc - 1)
4747       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4748     else if ((pid = exim_fork(US"cmdline-delivery")) == 0)
4749       {
4750       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4751       exim_underbar_exit(EXIT_SUCCESS);
4752       }
4753     else if (pid < 0)
4754       {
4755       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4756         strerror(errno));
4757       exim_exit(EXIT_FAILURE);
4758       }
4759     else wait(&status);
4760     }
4761   exim_exit(EXIT_SUCCESS);
4762   }
4763
4764
4765 /* If only a single queue run is requested, without SMTP listening, we can just
4766 turn into a queue runner, with an optional starting message id. */
4767
4768 if (queue_interval == 0 && !f.daemon_listen)
4769   {
4770   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4771     start_queue_run_id ? US" starting at " : US"",
4772     start_queue_run_id ? start_queue_run_id: US"",
4773     stop_queue_run_id ?  US" stopping at " : US"",
4774     stop_queue_run_id ?  stop_queue_run_id : US"");
4775   if (*queue_name)
4776     set_process_info("running the '%s' queue (single queue run)", queue_name);
4777   else
4778     set_process_info("running the queue (single queue run)");
4779   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4780   exim_exit(EXIT_SUCCESS);
4781   }
4782
4783
4784 /* Find the login name of the real user running this process. This is always
4785 needed when receiving a message, because it is written into the spool file. It
4786 may also be used to construct a from: or a sender: header, and in this case we
4787 need the user's full name as well, so save a copy of it, checked for RFC822
4788 syntax and munged if necessary, if it hasn't previously been set by the -F
4789 argument. We may try to get the passwd entry more than once, in case NIS or
4790 other delays are in evidence. Save the home directory for use in filter testing
4791 (only). */
4792
4793 for (i = 0;;)
4794   {
4795   if ((pw = getpwuid(real_uid)) != NULL)
4796     {
4797     originator_login = string_copy(US pw->pw_name);
4798     originator_home = string_copy(US pw->pw_dir);
4799
4800     /* If user name has not been set by -F, set it from the passwd entry
4801     unless -f has been used to set the sender address by a trusted user. */
4802
4803     if (!originator_name)
4804       {
4805       if (!sender_address || (!f.trusted_caller && filter_test == FTEST_NONE))
4806         {
4807         uschar *name = US pw->pw_gecos;
4808         uschar *amp = Ustrchr(name, '&');
4809         uschar buffer[256];
4810
4811         /* Most Unix specify that a '&' character in the gecos field is
4812         replaced by a copy of the login name, and some even specify that
4813         the first character should be upper cased, so that's what we do. */
4814
4815         if (amp)
4816           {
4817           int loffset;
4818           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4819             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4820           buffer[loffset] = toupper(buffer[loffset]);
4821           name = buffer;
4822           }
4823
4824         /* If a pattern for matching the gecos field was supplied, apply
4825         it and then expand the name string. */
4826
4827         if (gecos_pattern && gecos_name)
4828           {
4829           const pcre *re;
4830           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4831
4832           if (regex_match_and_setup(re, name, 0, -1))
4833             {
4834             uschar *new_name = expand_string(gecos_name);
4835             expand_nmax = -1;
4836             if (new_name)
4837               {
4838               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4839                 "gecos field \"%s\"\n", new_name, name);
4840               name = new_name;
4841               }
4842             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4843               "\"%s\": %s\n", gecos_name, expand_string_message);
4844             }
4845           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4846             "gecos field \"%s\"\n", gecos_pattern, name);
4847           store_free((void *)re);
4848           }
4849         originator_name = string_copy(name);
4850         }
4851
4852       /* A trusted caller has used -f but not -F */
4853
4854       else originator_name = US"";
4855       }
4856
4857     /* Break the retry loop */
4858
4859     break;
4860     }
4861
4862   if (++i > finduser_retries) break;
4863   sleep(1);
4864   }
4865
4866 /* If we cannot get a user login, log the incident and give up, unless the
4867 configuration specifies something to use. When running in the test harness,
4868 any setting of unknown_login overrides the actual name. */
4869
4870 if (!originator_login || f.running_in_test_harness)
4871   {
4872   if (unknown_login)
4873     {
4874     originator_login = expand_string(unknown_login);
4875     if (!originator_name && unknown_username)
4876       originator_name = expand_string(unknown_username);
4877     if (!originator_name) originator_name = US"";
4878     }
4879   if (!originator_login)
4880     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4881       (int)real_uid);
4882   }
4883
4884 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4885 RFC822 address.*/
4886
4887 originator_name = US parse_fix_phrase(originator_name, Ustrlen(originator_name));
4888
4889 /* If a message is created by this call of Exim, the uid/gid of its originator
4890 are those of the caller. These values are overridden if an existing message is
4891 read in from the spool. */
4892
4893 originator_uid = real_uid;
4894 originator_gid = real_gid;
4895
4896 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4897   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4898
4899 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4900 returns. We leave this till here so that the originator_ fields are available
4901 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4902 mode. */
4903
4904 if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
4905   {
4906   if (mua_wrapper)
4907     {
4908     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4909     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4910       "mua_wrapper is set");
4911     }
4912
4913 # ifndef DISABLE_TLS
4914   /* This also checks that the library linkage is working and we can call
4915   routines in it, so call even if tls_require_ciphers is unset */
4916     {
4917 # ifdef MEASURE_TIMING
4918     struct timeval t0, diff;
4919     (void)gettimeofday(&t0, NULL);
4920 # endif
4921     if (!tls_dropprivs_validate_require_cipher(FALSE))
4922       exit(1);
4923 # ifdef MEASURE_TIMING
4924     report_time_since(&t0, US"validate_ciphers (delta)");
4925 # endif
4926     }
4927 #endif
4928
4929   daemon_go();
4930   }
4931
4932 /* If the sender ident has not been set (by a trusted caller) set it to
4933 the caller. This will get overwritten below for an inetd call. If a trusted
4934 caller has set it empty, unset it. */
4935
4936 if (!sender_ident) sender_ident = originator_login;
4937 else if (!*sender_ident) sender_ident = NULL;
4938
4939 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4940 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4941 originator_* variables set. */
4942
4943 if (test_rewrite_arg >= 0)
4944   {
4945   f.really_exim = FALSE;
4946   if (test_rewrite_arg >= argc)
4947     {
4948     printf("-brw needs an address argument\n");
4949     exim_exit(EXIT_FAILURE);
4950     }
4951   rewrite_test(exim_str_fail_toolong(argv[test_rewrite_arg], EXIM_EMAILADDR_MAX, "-brw"));
4952   exim_exit(EXIT_SUCCESS);
4953   }
4954
4955 /* A locally-supplied message is considered to be coming from a local user
4956 unless a trusted caller supplies a sender address with -f, or is passing in the
4957 message via SMTP (inetd invocation or otherwise). */
4958
4959 if (  !sender_address && !smtp_input
4960    || !f.trusted_caller && filter_test == FTEST_NONE)
4961   {
4962   f.sender_local = TRUE;
4963
4964   /* A trusted caller can supply authenticated_sender and authenticated_id
4965   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4966   defaults except when host checking. */
4967
4968   if (!authenticated_sender && !host_checking)
4969     authenticated_sender = string_sprintf("%s@%s", originator_login,
4970       qualify_domain_sender);
4971   if (!authenticated_id && !host_checking)
4972     authenticated_id = originator_login;
4973   }
4974
4975 /* Trusted callers are always permitted to specify the sender address.
4976 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4977 is specified is the empty address. However, if a trusted caller does not
4978 specify a sender address for SMTP input, we leave sender_address unset. This
4979 causes the MAIL commands to be honoured. */
4980
4981 if (  !smtp_input && !sender_address
4982    || !receive_check_set_sender(sender_address))
4983   {
4984   /* Either the caller is not permitted to set a general sender, or this is
4985   non-SMTP input and the trusted caller has not set a sender. If there is no
4986   sender, or if a sender other than <> is set, override with the originator's
4987   login (which will get qualified below), except when checking things. */
4988
4989   if (  !sender_address                  /* No sender_address set */
4990      ||                                  /*         OR            */
4991        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4992        !checking))                       /* Not running tests, including filter tests */
4993     {
4994     sender_address = originator_login;
4995     f.sender_address_forced = FALSE;
4996     sender_address_domain = 0;
4997     }
4998   }
4999
5000 /* Remember whether an untrusted caller set the sender address */
5001
5002 f.sender_set_untrusted = sender_address != originator_login && !f.trusted_caller;
5003
5004 /* Ensure that the sender address is fully qualified unless it is the empty
5005 address, which indicates an error message, or doesn't exist (root caller, smtp
5006 interface, no -f argument). */
5007
5008 if (sender_address && *sender_address && sender_address_domain == 0)
5009   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
5010     qualify_domain_sender);
5011
5012 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
5013
5014 /* Handle a request to verify a list of addresses, or test them for delivery.
5015 This must follow the setting of the sender address, since routers can be
5016 predicated upon the sender. If no arguments are given, read addresses from
5017 stdin. Set debug_level to at least D_v to get full output for address testing.
5018 */
5019
5020 if (verify_address_mode || f.address_test_mode)
5021   {
5022   int exit_value = 0;
5023   int flags = vopt_qualify;
5024
5025   if (verify_address_mode)
5026     {
5027     if (!verify_as_sender) flags |= vopt_is_recipient;
5028     DEBUG(D_verify) debug_print_ids(US"Verifying:");
5029     }
5030
5031   else
5032     {
5033     flags |= vopt_is_recipient;
5034     debug_selector |= D_v;
5035     debug_file = stderr;
5036     debug_fd = fileno(debug_file);
5037     DEBUG(D_verify) debug_print_ids(US"Address testing:");
5038     }
5039
5040   if (recipients_arg < argc)
5041     while (recipients_arg < argc)
5042       {
5043       /* Supplied addresses are tainted since they come from a user */
5044       uschar * s = string_copy_taint(exim_str_fail_toolong(argv[recipients_arg++], EXIM_DISPLAYMAIL_MAX, "address verification"), TRUE);
5045       while (*s)
5046         {
5047         BOOL finished = FALSE;
5048         uschar *ss = parse_find_address_end(s, FALSE);
5049         if (*ss == ',') *ss = 0; else finished = TRUE;
5050         test_address(s, flags, &exit_value);
5051         s = ss;
5052         if (!finished)
5053           while (*++s == ',' || isspace(*s)) ;
5054         }
5055       }
5056
5057   else for (;;)
5058     {
5059     uschar * s = get_stdinput(NULL, NULL);
5060     if (!s) break;
5061     test_address(string_copy_taint(exim_str_fail_toolong(s, EXIM_DISPLAYMAIL_MAX, "address verification (stdin)"), TRUE), flags, &exit_value);
5062     }
5063
5064   route_tidyup();
5065   exim_exit(exit_value);
5066   }
5067
5068 /* Handle expansion checking. Either expand items on the command line, or read
5069 from stdin if there aren't any. If -Mset was specified, load the message so
5070 that its variables can be used, but restrict this facility to admin users.
5071 Otherwise, if -bem was used, read a message from stdin. */
5072
5073 if (expansion_test)
5074   {
5075   dns_init(FALSE, FALSE, FALSE);
5076   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
5077     {
5078     uschar * spoolname;
5079     if (!f.admin_user)
5080       exim_fail("exim: permission denied\n");
5081     message_id = US exim_str_fail_toolong(argv[msg_action_arg], MESSAGE_ID_LENGTH, "message-id");
5082     /* Checking the length of the ID is sufficient to validate it.
5083     Get an untainted version so file opens can be done. */
5084     message_id = string_copy_taint(message_id, FALSE);
5085
5086     spoolname = string_sprintf("%s-H", message_id);
5087     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
5088       printf ("Failed to load message datafile %s\n", message_id);
5089     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
5090       printf ("Failed to load message %s\n", message_id);
5091     }
5092
5093   /* Read a test message from a file. We fudge it up to be on stdin, saving
5094   stdin itself for later reading of expansion strings. */
5095
5096   else if (expansion_test_message)
5097     {
5098     int save_stdin = dup(0);
5099     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
5100     if (fd < 0)
5101       exim_fail("exim: failed to open %s: %s\n", expansion_test_message,
5102         strerror(errno));
5103     (void) dup2(fd, 0);
5104     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5105     message_ended = END_NOTENDED;
5106     read_message_body(receive_msg(extract_recipients));
5107     message_linecount += body_linecount;
5108     (void)dup2(save_stdin, 0);
5109     (void)close(save_stdin);
5110     clearerr(stdin);               /* Required by Darwin */
5111     }
5112
5113   /* Only admin users may see config-file macros this way */
5114
5115   if (!f.admin_user) macros_user = macros = mlast = NULL;
5116
5117   /* Allow $recipients for this testing */
5118
5119   f.enable_dollar_recipients = TRUE;
5120
5121   /* Expand command line items */
5122
5123   if (recipients_arg < argc)
5124     while (recipients_arg < argc)
5125       expansion_test_line(exim_str_fail_toolong(argv[recipients_arg++], EXIM_EMAILADDR_MAX, "recipient"));
5126
5127   /* Read stdin */
5128
5129   else
5130     {
5131     char *(*fn_readline)(const char *) = NULL;
5132     void (*fn_addhist)(const char *) = NULL;
5133     uschar * s;
5134
5135 #ifdef USE_READLINE
5136     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5137 #endif
5138
5139     while (s = get_stdinput(fn_readline, fn_addhist))
5140       expansion_test_line(s);
5141
5142 #ifdef USE_READLINE
5143     if (dlhandle) dlclose(dlhandle);
5144 #endif
5145     }
5146
5147   /* The data file will be open after -Mset */
5148
5149   if (deliver_datafile >= 0)
5150     {
5151     (void)close(deliver_datafile);
5152     deliver_datafile = -1;
5153     }
5154
5155   exim_exit(EXIT_SUCCESS);
5156   }
5157
5158
5159 /* The active host name is normally the primary host name, but it can be varied
5160 for hosts that want to play several parts at once. We need to ensure that it is
5161 set for host checking, and for receiving messages. */
5162
5163 smtp_active_hostname = primary_hostname;
5164 if (raw_active_hostname != NULL)
5165   {
5166   uschar *nah = expand_string(raw_active_hostname);
5167   if (nah == NULL)
5168     {
5169     if (!f.expand_string_forcedfail)
5170       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5171         "(smtp_active_hostname): %s", raw_active_hostname,
5172         expand_string_message);
5173     }
5174   else if (nah[0] != 0) smtp_active_hostname = nah;
5175   }
5176
5177 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5178 given IP address so that the blocking and relay configuration can be tested.
5179 Unless a sender_ident was set by -oMt, we discard it (the default is the
5180 caller's login name). An RFC 1413 call is made only if we are running in the
5181 test harness and an incoming interface and both ports are specified, because
5182 there is no TCP/IP call to find the ident for. */
5183
5184 if (host_checking)
5185   {
5186   int x[4];
5187   int size;
5188
5189   if (!sender_ident_set)
5190     {
5191     sender_ident = NULL;
5192     if (f.running_in_test_harness && sender_host_port
5193        && interface_address && interface_port)
5194       verify_get_ident(1223);           /* note hardwired port number */
5195     }
5196
5197   /* In case the given address is a non-canonical IPv6 address, canonicalize
5198   it. The code works for both IPv4 and IPv6, as it happens. */
5199
5200   size = host_aton(sender_host_address, x);
5201   sender_host_address = store_get(48, FALSE);  /* large enough for full IPv6 */
5202   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5203
5204   /* Now set up for testing */
5205
5206   host_build_sender_fullhost();
5207   smtp_input = TRUE;
5208   smtp_in = stdin;
5209   smtp_out = stdout;
5210   f.sender_local = FALSE;
5211   f.sender_host_notsocket = TRUE;
5212   debug_file = stderr;
5213   debug_fd = fileno(debug_file);
5214   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5215     "**** but without any ident (RFC 1413) callback.\n"
5216     "**** This is not for real!\n\n",
5217       sender_host_address);
5218
5219   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5220   if (verify_check_host(&hosts_connection_nolog) == OK)
5221     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5222   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5223
5224   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5225   because a log line has already been written for all its failure exists
5226   (usually "connection refused: <reason>") and writing another one is
5227   unnecessary clutter. */
5228
5229   if (smtp_start_session())
5230     {
5231     rmark reset_point;
5232     for (; (reset_point = store_mark()); store_reset(reset_point))
5233       {
5234       if (smtp_setup_msg() <= 0) break;
5235       if (!receive_msg(FALSE)) break;
5236
5237       return_path = sender_address = NULL;
5238       dnslist_domain = dnslist_matched = NULL;
5239 #ifndef DISABLE_DKIM
5240       dkim_cur_signer = NULL;
5241 #endif
5242       acl_var_m = NULL;
5243       deliver_localpart_orig = NULL;
5244       deliver_domain_orig = NULL;
5245       callout_address = sending_ip_address = NULL;
5246       deliver_localpart_data = deliver_domain_data =
5247       recipient_data = sender_data = NULL;
5248       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5249       }
5250     smtp_log_no_mail();
5251     }
5252   exim_exit(EXIT_SUCCESS);
5253   }
5254
5255
5256 /* Arrange for message reception if recipients or SMTP were specified;
5257 otherwise complain unless a version print (-bV) happened or this is a filter
5258 verification test or info dump.
5259 In the former case, show the configuration file name. */
5260
5261 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5262   {
5263   if (version_printed)
5264     {
5265     if (Ustrchr(config_main_filelist, ':'))
5266       printf("Configuration file search path is %s\n", config_main_filelist);
5267     printf("Configuration file is %s\n", config_main_filename);
5268     return EXIT_SUCCESS;
5269     }
5270
5271   if (info_flag != CMDINFO_NONE)
5272     {
5273     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5274     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5275     }
5276
5277   if (filter_test == FTEST_NONE)
5278     exim_usage(called_as);
5279   }
5280
5281
5282 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5283 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5284 that we are not called from inetd, because that is rejected above. The
5285 following configuration settings are forced here:
5286
5287   (1) Synchronous delivery (-odi)
5288   (2) Errors to stderr (-oep == -oeq)
5289   (3) No parallel remote delivery
5290   (4) Unprivileged delivery
5291
5292 We don't force overall queueing options because there are several of them;
5293 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5294 to override any SMTP queueing. */
5295
5296 if (mua_wrapper)
5297   {
5298   f.synchronous_delivery = TRUE;
5299   arg_error_handling = ERRORS_STDERR;
5300   remote_max_parallel = 1;
5301   deliver_drop_privilege = TRUE;
5302   f.queue_smtp = FALSE;
5303   queue_smtp_domains = NULL;
5304 #ifdef SUPPORT_I18N
5305   message_utf8_downconvert = -1;        /* convert-if-needed */
5306 #endif
5307   }
5308
5309
5310 /* Prepare to accept one or more new messages on the standard input. When a
5311 message has been read, its id is returned in message_id[]. If doing immediate
5312 delivery, we fork a delivery process for each received message, except for the
5313 last one, where we can save a process switch.
5314
5315 It is only in non-smtp mode that error_handling is allowed to be changed from
5316 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5317 sendmail error modes other than -oem ever actually used? Later: yes.) */
5318
5319 if (!smtp_input) error_handling = arg_error_handling;
5320
5321 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5322 logging being sent down the socket and make an identd call to get the
5323 sender_ident. */
5324
5325 else if (f.is_inetd)
5326   {
5327   (void)fclose(stderr);
5328   exim_nullstd();                       /* Re-open to /dev/null */
5329   verify_get_ident(IDENT_PORT);
5330   host_build_sender_fullhost();
5331   set_process_info("handling incoming connection from %s via inetd",
5332     sender_fullhost);
5333   }
5334
5335 /* If the sender host address has been set, build sender_fullhost if it hasn't
5336 already been done (which it will have been for inetd). This caters for the
5337 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5338 so that the test for IP options is skipped for -bs input. */
5339
5340 if (sender_host_address && !sender_fullhost)
5341   {
5342   host_build_sender_fullhost();
5343   set_process_info("handling incoming connection from %s via -oMa",
5344     sender_fullhost);
5345   f.sender_host_notsocket = TRUE;
5346   }
5347
5348 /* Otherwise, set the sender host as unknown except for inetd calls. This
5349 prevents host checking in the case of -bs not from inetd and also for -bS. */
5350
5351 else if (!f.is_inetd) f.sender_host_unknown = TRUE;
5352
5353 /* If stdout does not exist, then dup stdin to stdout. This can happen
5354 if exim is started from inetd. In this case fd 0 will be set to the socket,
5355 but fd 1 will not be set. This also happens for passed SMTP channels. */
5356
5357 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5358
5359 /* Set up the incoming protocol name and the state of the program. Root is
5360 allowed to force received protocol via the -oMr option above. If we have come
5361 via inetd, the process info has already been set up. We don't set
5362 received_protocol here for smtp input, as it varies according to
5363 batch/HELO/EHLO/AUTH/TLS. */
5364
5365 if (smtp_input)
5366   {
5367   if (!f.is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5368     smtp_batched_input? "batched " : "",
5369     (sender_address!= NULL)? sender_address : originator_login);
5370   }
5371 else
5372   {
5373   int old_pool = store_pool;
5374   store_pool = POOL_PERM;
5375   if (!received_protocol)
5376     received_protocol = string_sprintf("local%s", called_as);
5377   store_pool = old_pool;
5378   set_process_info("accepting a local non-SMTP message from <%s>",
5379     sender_address);
5380   }
5381
5382 /* Initialize the session_local_queue-only flag (this will be ignored if
5383 mua_wrapper is set) */
5384
5385 queue_check_only();
5386 session_local_queue_only = queue_only;
5387
5388 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5389 the spool if so configured. On failure, we must not attempt to send an error
5390 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5391 error code is given.) */
5392
5393 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5394   exim_fail("exim: insufficient disk space\n");
5395
5396 /* If this is smtp input of any kind, real or batched, handle the start of the
5397 SMTP session.
5398
5399 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5400 because a log line has already been written for all its failure exists
5401 (usually "connection refused: <reason>") and writing another one is
5402 unnecessary clutter. */
5403
5404 if (smtp_input)
5405   {
5406   smtp_in = stdin;
5407   smtp_out = stdout;
5408   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5409   if (verify_check_host(&hosts_connection_nolog) == OK)
5410     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5411   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5412   if (!smtp_start_session())
5413     {
5414     mac_smtp_fflush();
5415     exim_exit(EXIT_SUCCESS);
5416     }
5417   }
5418
5419 /* Otherwise, set up the input size limit here. */
5420
5421 else
5422   {
5423   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5424   if (expand_string_message)
5425     if (thismessage_size_limit == -1)
5426       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5427         "message_size_limit: %s", expand_string_message);
5428     else
5429       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5430         "message_size_limit: %s", expand_string_message);
5431   }
5432
5433 /* Loop for several messages when reading SMTP input. If we fork any child
5434 processes, we don't want to wait for them unless synchronous delivery is
5435 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5436 same as SIG_DFL, despite the fact that documentation often lists the default as
5437 "ignore". This is a confusing area. This is what I know:
5438
5439 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5440 processes that complete simply to go away without ever becoming defunct. You
5441 can't then wait for them - but we don't want to wait for them in the
5442 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5443 happen for all OS (e.g. *BSD is different).
5444
5445 But that's not the end of the story. Some (many? all?) systems have the
5446 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5447 has by default, so it seems that the difference is merely one of default
5448 (compare restarting vs non-restarting signals).
5449
5450 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5451 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5452 of the loop below. Paranoia rules.
5453
5454 February 2003: That's *still* not the end of the story. There are now versions
5455 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5456 process then calls waitpid(), a grumble is written to the system log, because
5457 this is logically inconsistent. In other words, it doesn't like the paranoia.
5458 As a consequence of this, the waitpid() below is now excluded if we are sure
5459 that SIG_IGN works. */
5460
5461 if (!f.synchronous_delivery)
5462   {
5463   #ifdef SA_NOCLDWAIT
5464   struct sigaction act;
5465   act.sa_handler = SIG_IGN;
5466   sigemptyset(&(act.sa_mask));
5467   act.sa_flags = SA_NOCLDWAIT;
5468   sigaction(SIGCHLD, &act, NULL);
5469   #else
5470   signal(SIGCHLD, SIG_IGN);
5471   #endif
5472   }
5473
5474 /* Save the current store pool point, for resetting at the start of
5475 each message, and save the real sender address, if any. */
5476
5477 real_sender_address = sender_address;
5478
5479 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5480 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5481 collapsed). */
5482
5483 while (more)
5484   {
5485   rmark reset_point = store_mark();
5486   message_id[0] = 0;
5487
5488   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5489   input and build the recipients list, before calling receive_msg() to read the
5490   message proper. Whatever sender address is given in the SMTP transaction is
5491   often ignored for local senders - we use the actual sender, which is normally
5492   either the underlying user running this process or a -f argument provided by
5493   a trusted caller. It is saved in real_sender_address. The test for whether to
5494   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5495
5496   if (smtp_input)
5497     {
5498     int rc;
5499     if ((rc = smtp_setup_msg()) > 0)
5500       {
5501       if (real_sender_address != NULL &&
5502           !receive_check_set_sender(sender_address))
5503         {
5504         sender_address = raw_sender = real_sender_address;
5505         sender_address_unrewritten = NULL;
5506         }
5507
5508       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5509       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5510       the very end. The result of the ACL is ignored (as for other non-SMTP
5511       messages). It is run for its potential side effects. */
5512
5513       if (smtp_batched_input && acl_not_smtp_start != NULL)
5514         {
5515         uschar *user_msg, *log_msg;
5516         f.enable_dollar_recipients = TRUE;
5517         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5518           &user_msg, &log_msg);
5519         f.enable_dollar_recipients = FALSE;
5520         }
5521
5522       /* Now get the data for the message */
5523
5524       more = receive_msg(extract_recipients);
5525       if (message_id[0] == 0)
5526         {
5527         cancel_cutthrough_connection(TRUE, US"receive dropped");
5528         if (more) goto moreloop;
5529         smtp_log_no_mail();               /* Log no mail if configured */
5530         exim_exit(EXIT_FAILURE);
5531         }
5532       }
5533     else
5534       {
5535       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5536       smtp_log_no_mail();               /* Log no mail if configured */
5537       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS);
5538       }
5539     }
5540
5541   /* In the non-SMTP case, we have all the information from the command
5542   line, but must process it in case it is in the more general RFC822
5543   format, and in any case, to detect syntax errors. Also, it appears that
5544   the use of comma-separated lists as single arguments is common, so we
5545   had better support them. */
5546
5547   else
5548     {
5549     int rcount = 0;
5550     int count = argc - recipients_arg;
5551     uschar **list = argv + recipients_arg;
5552
5553     /* These options cannot be changed dynamically for non-SMTP messages */
5554
5555     f.active_local_sender_retain = local_sender_retain;
5556     f.active_local_from_check = local_from_check;
5557
5558     /* Save before any rewriting */
5559
5560     raw_sender = string_copy(sender_address);
5561
5562     /* Loop for each argument (supplied by user hence tainted) */
5563
5564     for (int i = 0; i < count; i++)
5565       {
5566       int start, end, domain;
5567       uschar * errmess;
5568       /* There can be multiple addresses, so EXIM_DISPLAYMAIL_MAX (tuned for 1) is too short.
5569        * We'll still want to cap it to something, just in case. */
5570       uschar * s = string_copy_taint(exim_str_fail_toolong(list[i], BIG_BUFFER_SIZE, "address argument"), TRUE);
5571
5572       /* Loop for each comma-separated address */
5573
5574       while (*s != 0)
5575         {
5576         BOOL finished = FALSE;
5577         uschar *recipient;
5578         uschar *ss = parse_find_address_end(s, FALSE);
5579
5580         if (*ss == ',') *ss = 0; else finished = TRUE;
5581
5582         /* Check max recipients - if -t was used, these aren't recipients */
5583
5584         if (recipients_max > 0 && ++rcount > recipients_max &&
5585             !extract_recipients)
5586           if (error_handling == ERRORS_STDERR)
5587             {
5588             fprintf(stderr, "exim: too many recipients\n");
5589             exim_exit(EXIT_FAILURE);
5590             }
5591           else
5592             return
5593               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5594                 errors_sender_rc : EXIT_FAILURE;
5595
5596 #ifdef SUPPORT_I18N
5597         {
5598         BOOL b = allow_utf8_domains;
5599         allow_utf8_domains = TRUE;
5600 #endif
5601         recipient =
5602           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5603
5604 #ifdef SUPPORT_I18N
5605         if (string_is_utf8(recipient))
5606           message_smtputf8 = TRUE;
5607         else
5608           allow_utf8_domains = b;
5609         }
5610 #endif
5611         if (domain == 0 && !f.allow_unqualified_recipient)
5612           {
5613           recipient = NULL;
5614           errmess = US"unqualified recipient address not allowed";
5615           }
5616
5617         if (!recipient)
5618           if (error_handling == ERRORS_STDERR)
5619             {
5620             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5621               string_printing(list[i]), errmess);
5622             exim_exit(EXIT_FAILURE);
5623             }
5624           else
5625             {
5626             error_block eblock;
5627             eblock.next = NULL;
5628             eblock.text1 = string_printing(list[i]);
5629             eblock.text2 = errmess;
5630             return
5631               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5632                 errors_sender_rc : EXIT_FAILURE;
5633             }
5634
5635         receive_add_recipient(string_copy_taint(recipient, TRUE), -1);
5636         s = ss;
5637         if (!finished)
5638           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5639         }
5640       }
5641
5642     /* Show the recipients when debugging */
5643
5644     DEBUG(D_receive)
5645       {
5646       if (sender_address) debug_printf("Sender: %s\n", sender_address);
5647       if (recipients_list)
5648         {
5649         debug_printf("Recipients:\n");
5650         for (int i = 0; i < recipients_count; i++)
5651           debug_printf("  %s\n", recipients_list[i].address);
5652         }
5653       }
5654
5655     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5656     ignored; rejecting here would just add complication, and it can just as
5657     well be done later. Allow $recipients to be visible in the ACL. */
5658
5659     if (acl_not_smtp_start)
5660       {
5661       uschar *user_msg, *log_msg;
5662       f.enable_dollar_recipients = TRUE;
5663       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5664         &user_msg, &log_msg);
5665       f.enable_dollar_recipients = FALSE;
5666       }
5667
5668     /* Pause for a while waiting for input.  If none received in that time,
5669     close the logfile, if we had one open; then if we wait for a long-running
5670     datasource (months, in one use-case) log rotation will not leave us holding
5671     the file copy. */
5672
5673     if (!receive_timeout)
5674       {
5675       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5676       fd_set r;
5677
5678       FD_ZERO(&r); FD_SET(0, &r);
5679       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5680       }
5681
5682     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5683     will just read the headers for the message, and not write anything onto the
5684     spool. */
5685
5686     message_ended = END_NOTENDED;
5687     more = receive_msg(extract_recipients);
5688
5689     /* more is always FALSE here (not SMTP message) when reading a message
5690     for real; when reading the headers of a message for filter testing,
5691     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5692
5693     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5694     }  /* Non-SMTP message reception */
5695
5696   /* If this is a filter testing run, there are headers in store, but
5697   no message on the spool. Run the filtering code in testing mode, setting
5698   the domain to the qualify domain and the local part to the current user,
5699   unless they have been set by options. The prefix and suffix are left unset
5700   unless specified. The the return path is set to to the sender unless it has
5701   already been set from a return-path header in the message. */
5702
5703   if (filter_test != FTEST_NONE)
5704     {
5705     deliver_domain = ftest_domain ? ftest_domain : qualify_domain_recipient;
5706     deliver_domain_orig = deliver_domain;
5707     deliver_localpart = ftest_localpart ? US ftest_localpart : originator_login;
5708     deliver_localpart_orig = deliver_localpart;
5709     deliver_localpart_prefix = US ftest_prefix;
5710     deliver_localpart_suffix = US ftest_suffix;
5711     deliver_home = originator_home;
5712
5713     if (!return_path)
5714       {
5715       printf("Return-path copied from sender\n");
5716       return_path = string_copy(sender_address);
5717       }
5718     else
5719       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5720     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5721
5722     receive_add_recipient(
5723       string_sprintf("%s%s%s@%s",
5724         ftest_prefix ? ftest_prefix : US"",
5725         deliver_localpart,
5726         ftest_suffix ? ftest_suffix : US"",
5727         deliver_domain), -1);
5728
5729     printf("Recipient   = %s\n", recipients_list[0].address);
5730     if (ftest_prefix) printf("Prefix    = %s\n", ftest_prefix);
5731     if (ftest_suffix) printf("Suffix    = %s\n", ftest_suffix);
5732
5733     if (chdir("/"))   /* Get away from wherever the user is running this from */
5734       {
5735       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5736       exim_exit(EXIT_FAILURE);
5737       }
5738
5739     /* Now we run either a system filter test, or a user filter test, or both.
5740     In the latter case, headers added by the system filter will persist and be
5741     available to the user filter. We need to copy the filter variables
5742     explicitly. */
5743
5744     if (filter_test & FTEST_SYSTEM)
5745       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5746         exim_exit(EXIT_FAILURE);
5747
5748     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5749
5750     if (filter_test & FTEST_USER)
5751       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5752         exim_exit(EXIT_FAILURE);
5753
5754     exim_exit(EXIT_SUCCESS);
5755     }
5756
5757   /* Else act on the result of message reception. We should not get here unless
5758   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5759   will be TRUE. If it is not, check on the number of messages received in this
5760   connection. */
5761
5762   if (  !session_local_queue_only
5763      && smtp_accept_queue_per_connection > 0
5764      && receive_messagecount > smtp_accept_queue_per_connection)
5765     {
5766     session_local_queue_only = TRUE;
5767     queue_only_reason = 2;
5768     }
5769
5770   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5771   and queue_only_load is set, check that the load average is below it. If it is
5772   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5773   default), we put the whole session into queue_only mode. It then remains this
5774   way for any subsequent messages on the same SMTP connection. This is a
5775   deliberate choice; even though the load average may fall, it doesn't seem
5776   right to deliver later messages on the same call when not delivering earlier
5777   ones. However, there are odd cases where this is not wanted, so this can be
5778   changed by setting queue_only_load_latch false. */
5779
5780   if (!(local_queue_only = session_local_queue_only) && queue_only_load >= 0)
5781     if ((local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load))
5782       {
5783       queue_only_reason = 3;
5784       if (queue_only_load_latch) session_local_queue_only = TRUE;
5785       }
5786
5787   /* If running as an MUA wrapper, all queueing options and freezing options
5788   are ignored. */
5789
5790   if (mua_wrapper)
5791     local_queue_only = f.queue_only_policy = f.deliver_freeze = FALSE;
5792
5793   /* Log the queueing here, when it will get a message id attached, but
5794   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5795   connections). */
5796
5797   if (local_queue_only)
5798     {
5799     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5800     switch(queue_only_reason)
5801       {
5802       case 2:
5803         log_write(L_delay_delivery,
5804                 LOG_MAIN, "no immediate delivery: more than %d messages "
5805           "received in one connection", smtp_accept_queue_per_connection);
5806         break;
5807
5808       case 3:
5809         log_write(L_delay_delivery,
5810                 LOG_MAIN, "no immediate delivery: load average %.2f",
5811                 (double)load_average/1000.0);
5812       break;
5813       }
5814     }
5815
5816   else if (f.queue_only_policy || f.deliver_freeze)
5817     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5818
5819   /* Else do the delivery unless the ACL or local_scan() called for queue only
5820   or froze the message. Always deliver in a separate process. A fork failure is
5821   not a disaster, as the delivery will eventually happen on a subsequent queue
5822   run. The search cache must be tidied before the fork, as the parent will
5823   do it before exiting. The child will trigger a lookup failure and
5824   thereby defer the delivery if it tries to use (for example) a cached ldap
5825   connection that the parent has called unbind on. */
5826
5827   else
5828     {
5829     pid_t pid;
5830     search_tidyup();
5831
5832     if ((pid = exim_fork(US"local-accept-delivery")) == 0)
5833       {
5834       int rc;
5835       close_unwanted();      /* Close unwanted file descriptors and TLS */
5836       exim_nullstd();        /* Ensure std{in,out,err} exist */
5837
5838       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5839       mode, deliver_drop_privilege is forced TRUE). */
5840
5841       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5842         {
5843         delivery_re_exec(CEE_EXEC_EXIT);
5844         /* Control does not return here. */
5845         }
5846
5847       /* No need to re-exec */
5848
5849       rc = deliver_message(message_id, FALSE, FALSE);
5850       search_tidyup();
5851       exim_underbar_exit(!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED
5852         ? EXIT_SUCCESS : EXIT_FAILURE);
5853       }
5854
5855     if (pid < 0)
5856       {
5857       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5858       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5859         "process: %s", strerror(errno));
5860       }
5861     else
5862       {
5863       release_cutthrough_connection(US"msg passed for delivery");
5864
5865       /* In the parent, wait if synchronous delivery is required. This will
5866       always be the case in MUA wrapper mode. */
5867
5868       if (f.synchronous_delivery)
5869         {
5870         int status;
5871         while (wait(&status) != pid);
5872         if ((status & 0x00ff) != 0)
5873           log_write(0, LOG_MAIN|LOG_PANIC,
5874             "process %d crashed with signal %d while delivering %s",
5875             (int)pid, status & 0x00ff, message_id);
5876         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5877         }
5878       }
5879     }
5880
5881   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5882   automatically reaps children (see comments above the loop), clear away any
5883   finished subprocesses here, in case there are lots of messages coming in
5884   from the same source. */
5885
5886   #ifndef SIG_IGN_WORKS
5887   while (waitpid(-1, NULL, WNOHANG) > 0);
5888   #endif
5889
5890 moreloop:
5891   return_path = sender_address = NULL;
5892   authenticated_sender = NULL;
5893   deliver_localpart_orig = NULL;
5894   deliver_domain_orig = NULL;
5895   deliver_host = deliver_host_address = NULL;
5896   dnslist_domain = dnslist_matched = NULL;
5897 #ifdef WITH_CONTENT_SCAN
5898   malware_name = NULL;
5899 #endif
5900   callout_address = NULL;
5901   sending_ip_address = NULL;
5902   deliver_localpart_data = deliver_domain_data =
5903   recipient_data = sender_data = NULL;
5904   acl_var_m = NULL;
5905   for(int i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
5906
5907   store_reset(reset_point);
5908   }
5909
5910 exim_exit(EXIT_SUCCESS);   /* Never returns */
5911 return 0;                  /* To stop compiler warning */
5912 }
5913
5914
5915 /* End of exim.c */