abdb5facc5c5dd8d5d5eade11b1ca58b06db6fb3
[exim.git] / src / src / verify.c
1 /* $Cambridge: exim/src/src/verify.c,v 1.17 2005/05/24 08:15:02 tom Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2005 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10 /* Functions concerned with verifying things. The original code for callout
11 caching was contributed by Kevin Fleming (but I hacked it around a bit). */
12
13
14 #include "exim.h"
15
16
17 /* Structure for caching DNSBL lookups */
18
19 typedef struct dnsbl_cache_block {
20   dns_address *rhs;
21   uschar *text;
22   int rc;
23   BOOL text_set;
24 } dnsbl_cache_block;
25
26
27 /* Anchor for DNSBL cache */
28
29 static tree_node *dnsbl_cache = NULL;
30
31
32
33 /*************************************************
34 *          Retrieve a callout cache record       *
35 *************************************************/
36
37 /* If a record exists, check whether it has expired.
38
39 Arguments:
40   dbm_file          an open hints file
41   key               the record key
42   type              "address" or "domain"
43   positive_expire   expire time for positive records
44   negative_expire   expire time for negative records
45
46 Returns:            the cache record if a non-expired one exists, else NULL
47 */
48
49 static dbdata_callout_cache *
50 get_callout_cache_record(open_db *dbm_file, uschar *key, uschar *type,
51   int positive_expire, int negative_expire)
52 {
53 BOOL negative;
54 int length, expire;
55 time_t now;
56 dbdata_callout_cache *cache_record;
57
58 cache_record = dbfn_read_with_length(dbm_file, key, &length);
59
60 if (cache_record == NULL)
61   {
62   HDEBUG(D_verify) debug_printf("callout cache: no %s record found\n", type);
63   return NULL;
64   }
65
66 /* We treat a record as "negative" if its result field is not positive, or if
67 it is a domain record and the postmaster field is negative. */
68
69 negative = cache_record->result != ccache_accept ||
70   (type[0] == 'd' && cache_record->postmaster_result == ccache_reject);
71 expire = negative? negative_expire : positive_expire;
72 now = time(NULL);
73
74 if (now - cache_record->time_stamp > expire)
75   {
76   HDEBUG(D_verify) debug_printf("callout cache: %s record expired\n", type);
77   return NULL;
78   }
79
80 /* If this is a non-reject domain record, check for the obsolete format version
81 that doesn't have the postmaster and random timestamps, by looking at the
82 length. If so, copy it to a new-style block, replicating the record's
83 timestamp. Then check the additional timestamps. (There's no point wasting
84 effort if connections are rejected.) */
85
86 if (type[0] == 'd' && cache_record->result != ccache_reject)
87   {
88   if (length == sizeof(dbdata_callout_cache_obs))
89     {
90     dbdata_callout_cache *new = store_get(sizeof(dbdata_callout_cache));
91     memcpy(new, cache_record, length);
92     new->postmaster_stamp = new->random_stamp = new->time_stamp;
93     cache_record = new;
94     }
95
96   if (now - cache_record->postmaster_stamp > expire)
97     cache_record->postmaster_result = ccache_unknown;
98
99   if (now - cache_record->random_stamp > expire)
100     cache_record->random_result = ccache_unknown;
101   }
102
103 HDEBUG(D_verify) debug_printf("callout cache: found %s record\n", type);
104 return cache_record;
105 }
106
107
108
109 /*************************************************
110 *      Do callout verification for an address    *
111 *************************************************/
112
113 /* This function is called from verify_address() when the address has routed to
114 a host list, and a callout has been requested. Callouts are expensive; that is
115 why a cache is used to improve the efficiency.
116
117 Arguments:
118   addr              the address that's been routed
119   host_list         the list of hosts to try
120   tf                the transport feedback block
121
122   ifstring          "interface" option from transport, or NULL
123   portstring        "port" option from transport, or NULL
124   protocolstring    "protocol" option from transport, or NULL
125   callout           the per-command callout timeout
126   callout_overall   the overall callout timeout (if < 0 use 4*callout)
127   callout_connect   the callout connection timeout (if < 0 use callout)
128   options           the verification options - these bits are used:
129                       vopt_is_recipient => this is a recipient address
130                       vopt_callout_no_cache => don't use callout cache
131                       vopt_callout_random => do the "random" thing
132                       vopt_callout_recipsender => use real sender for recipient
133                       vopt_callout_recippmaster => use postmaster for recipient
134   se_mailfrom         MAIL FROM address for sender verify; NULL => ""
135   pm_mailfrom         if non-NULL, do the postmaster check with this sender
136
137 Returns:            OK/FAIL/DEFER
138 */
139
140 static int
141 do_callout(address_item *addr, host_item *host_list, transport_feedback *tf,
142   int callout, int callout_overall, int callout_connect, int options,
143   uschar *se_mailfrom, uschar *pm_mailfrom)
144 {
145 BOOL is_recipient = (options & vopt_is_recipient) != 0;
146 BOOL callout_no_cache = (options & vopt_callout_no_cache) != 0;
147 BOOL callout_random = (options & vopt_callout_random) != 0;
148
149 int yield = OK;
150 BOOL done = FALSE;
151 uschar *address_key;
152 uschar *from_address;
153 uschar *random_local_part = NULL;
154 uschar **failure_ptr = is_recipient?
155   &recipient_verify_failure : &sender_verify_failure;
156 open_db dbblock;
157 open_db *dbm_file = NULL;
158 dbdata_callout_cache new_domain_record;
159 dbdata_callout_cache_address new_address_record;
160 host_item *host;
161 time_t callout_start_time;
162
163 new_domain_record.result = ccache_unknown;
164 new_domain_record.postmaster_result = ccache_unknown;
165 new_domain_record.random_result = ccache_unknown;
166
167 memset(&new_address_record, 0, sizeof(new_address_record));
168
169 /* For a recipient callout, the key used for the address cache record must
170 include the sender address if we are using the real sender in the callout,
171 because that may influence the result of the callout. */
172
173 address_key = addr->address;
174 from_address = US"";
175
176 if (is_recipient)
177   {
178   if ((options & vopt_callout_recipsender) != 0)
179     {
180     address_key = string_sprintf("%s/<%s>", addr->address, sender_address);
181     from_address = sender_address;
182     }
183   else if ((options & vopt_callout_recippmaster) != 0)
184     {
185     address_key = string_sprintf("%s/<postmaster@%s>", addr->address,
186       qualify_domain_sender);
187     from_address = string_sprintf("postmaster@%s", qualify_domain_sender);
188     }
189   }
190
191 /* For a sender callout, we must adjust the key if the mailfrom address is not
192 empty. */
193
194 else
195   {
196   from_address = (se_mailfrom == NULL)? US"" : se_mailfrom;
197   if (from_address[0] != 0)
198     address_key = string_sprintf("%s/<%s>", addr->address, from_address);
199   }
200
201 /* Open the callout cache database, it it exists, for reading only at this
202 stage, unless caching has been disabled. */
203
204 if (callout_no_cache)
205   {
206   HDEBUG(D_verify) debug_printf("callout cache: disabled by no_cache\n");
207   }
208 else if ((dbm_file = dbfn_open(US"callout", O_RDWR, &dbblock, FALSE)) == NULL)
209   {
210   HDEBUG(D_verify) debug_printf("callout cache: not available\n");
211   }
212
213 /* If a cache database is available see if we can avoid the need to do an
214 actual callout by making use of previously-obtained data. */
215
216 if (dbm_file != NULL)
217   {
218   dbdata_callout_cache_address *cache_address_record;
219   dbdata_callout_cache *cache_record = get_callout_cache_record(dbm_file,
220     addr->domain, US"domain",
221     callout_cache_domain_positive_expire,
222     callout_cache_domain_negative_expire);
223
224   /* If an unexpired cache record was found for this domain, see if the callout
225   process can be short-circuited. */
226
227   if (cache_record != NULL)
228     {
229     /* If an early command (up to and including MAIL FROM:<>) was rejected,
230     there is no point carrying on. The callout fails. */
231
232     if (cache_record->result == ccache_reject)
233       {
234       setflag(addr, af_verify_nsfail);
235       HDEBUG(D_verify)
236         debug_printf("callout cache: domain gave initial rejection, or "
237           "does not accept HELO or MAIL FROM:<>\n");
238       setflag(addr, af_verify_nsfail);
239       addr->user_message = US"(result of an earlier callout reused).";
240       yield = FAIL;
241       *failure_ptr = US"mail";
242       goto END_CALLOUT;
243       }
244
245     /* If a previous check on a "random" local part was accepted, we assume
246     that the server does not do any checking on local parts. There is therefore
247     no point in doing the callout, because it will always be successful. If a
248     random check previously failed, arrange not to do it again, but preserve
249     the data in the new record. If a random check is required but hasn't been
250     done, skip the remaining cache processing. */
251
252     if (callout_random) switch(cache_record->random_result)
253       {
254       case ccache_accept:
255       HDEBUG(D_verify)
256         debug_printf("callout cache: domain accepts random addresses\n");
257       goto END_CALLOUT;     /* Default yield is OK */
258
259       case ccache_reject:
260       HDEBUG(D_verify)
261         debug_printf("callout cache: domain rejects random addresses\n");
262       callout_random = FALSE;
263       new_domain_record.random_result = ccache_reject;
264       new_domain_record.random_stamp = cache_record->random_stamp;
265       break;
266
267       default:
268       HDEBUG(D_verify)
269         debug_printf("callout cache: need to check random address handling "
270           "(not cached or cache expired)\n");
271       goto END_CACHE;
272       }
273
274     /* If a postmaster check is requested, but there was a previous failure,
275     there is again no point in carrying on. If a postmaster check is required,
276     but has not been done before, we are going to have to do a callout, so skip
277     remaining cache processing. */
278
279     if (pm_mailfrom != NULL)
280       {
281       if (cache_record->postmaster_result == ccache_reject)
282         {
283         setflag(addr, af_verify_pmfail);
284         HDEBUG(D_verify)
285           debug_printf("callout cache: domain does not accept "
286             "RCPT TO:<postmaster@domain>\n");
287         yield = FAIL;
288         *failure_ptr = US"postmaster";
289         setflag(addr, af_verify_pmfail);
290         addr->user_message = US"(result of earlier verification reused).";
291         goto END_CALLOUT;
292         }
293       if (cache_record->postmaster_result == ccache_unknown)
294         {
295         HDEBUG(D_verify)
296           debug_printf("callout cache: need to check RCPT "
297             "TO:<postmaster@domain> (not cached or cache expired)\n");
298         goto END_CACHE;
299         }
300
301       /* If cache says OK, set pm_mailfrom NULL to prevent a redundant
302       postmaster check if the address itself has to be checked. Also ensure
303       that the value in the cache record is preserved (with its old timestamp).
304       */
305
306       HDEBUG(D_verify) debug_printf("callout cache: domain accepts RCPT "
307         "TO:<postmaster@domain>\n");
308       pm_mailfrom = NULL;
309       new_domain_record.postmaster_result = ccache_accept;
310       new_domain_record.postmaster_stamp = cache_record->postmaster_stamp;
311       }
312     }
313
314   /* We can't give a result based on information about the domain. See if there
315   is an unexpired cache record for this specific address (combined with the
316   sender address if we are doing a recipient callout with a non-empty sender).
317   */
318
319   cache_address_record = (dbdata_callout_cache_address *)
320     get_callout_cache_record(dbm_file,
321       address_key, US"address",
322       callout_cache_positive_expire,
323       callout_cache_negative_expire);
324
325   if (cache_address_record != NULL)
326     {
327     if (cache_address_record->result == ccache_accept)
328       {
329       HDEBUG(D_verify)
330         debug_printf("callout cache: address record is positive\n");
331       }
332     else
333       {
334       HDEBUG(D_verify)
335         debug_printf("callout cache: address record is negative\n");
336       addr->user_message = US"Previous (cached) callout verification failure";
337       *failure_ptr = US"recipient";
338       yield = FAIL;
339       }
340     goto END_CALLOUT;
341     }
342
343   /* Close the cache database while we actually do the callout for real. */
344
345   END_CACHE:
346   dbfn_close(dbm_file);
347   dbm_file = NULL;
348   }
349
350 /* The information wasn't available in the cache, so we have to do a real
351 callout and save the result in the cache for next time, unless no_cache is set,
352 or unless we have a previously cached negative random result. If we are to test
353 with a random local part, ensure that such a local part is available. If not,
354 log the fact, but carry on without randomming. */
355
356 if (callout_random && callout_random_local_part != NULL)
357   {
358   random_local_part = expand_string(callout_random_local_part);
359   if (random_local_part == NULL)
360     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand "
361       "callout_random_local_part: %s", expand_string_message);
362   }
363
364 /* Default the connect and overall callout timeouts if not set, and record the
365 time we are starting so that we can enforce it. */
366
367 if (callout_overall < 0) callout_overall = 4 * callout;
368 if (callout_connect < 0) callout_connect = callout;
369 callout_start_time = time(NULL);
370
371 /* Now make connections to the hosts and do real callouts. The list of hosts
372 is passed in as an argument. */
373
374 for (host = host_list; host != NULL && !done; host = host->next)
375   {
376   smtp_inblock inblock;
377   smtp_outblock outblock;
378   int host_af;
379   int port = 25;
380   BOOL send_quit = TRUE;
381   uschar *helo = US"HELO";
382   uschar *interface = NULL;  /* Outgoing interface to use; NULL => any */
383   uschar inbuffer[4096];
384   uschar outbuffer[1024];
385   uschar responsebuffer[4096];
386
387   clearflag(addr, af_verify_pmfail);  /* postmaster callout flag */
388   clearflag(addr, af_verify_nsfail);  /* null sender callout flag */
389
390   /* Skip this host if we don't have an IP address for it. */
391
392   if (host->address == NULL)
393     {
394     DEBUG(D_verify) debug_printf("no IP address for host name %s: skipping\n",
395       host->name);
396     continue;
397     }
398
399   /* Check the overall callout timeout */
400
401   if (time(NULL) - callout_start_time >= callout_overall)
402     {
403     HDEBUG(D_verify) debug_printf("overall timeout for callout exceeded\n");
404     break;
405     }
406
407   /* Set IPv4 or IPv6 */
408
409   host_af = (Ustrchr(host->address, ':') == NULL)? AF_INET:AF_INET6;
410
411   /* Expand and interpret the interface and port strings. This has to
412   be delayed till now, because they may expand differently for different
413   hosts. If there's a failure, log it, but carry on with the defaults. */
414
415   deliver_host = host->name;
416   deliver_host_address = host->address;
417   if (!smtp_get_interface(tf->interface, host_af, addr, NULL, &interface,
418           US"callout") ||
419       !smtp_get_port(tf->port, addr, &port, US"callout"))
420     log_write(0, LOG_MAIN|LOG_PANIC, "<%s>: %s", addr->address,
421       addr->message);
422   deliver_host = deliver_host_address = NULL;
423
424   /* Set HELO string according to the protocol */
425
426   if (Ustrcmp(tf->protocol, "lmtp") == 0) helo = US"LHLO";
427
428   HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", interface, port);
429
430   /* Set up the buffer for reading SMTP response packets. */
431
432   inblock.buffer = inbuffer;
433   inblock.buffersize = sizeof(inbuffer);
434   inblock.ptr = inbuffer;
435   inblock.ptrend = inbuffer;
436
437   /* Set up the buffer for holding SMTP commands while pipelining */
438
439   outblock.buffer = outbuffer;
440   outblock.buffersize = sizeof(outbuffer);
441   outblock.ptr = outbuffer;
442   outblock.cmd_count = 0;
443   outblock.authenticating = FALSE;
444
445   /* Connect to the host; on failure, just loop for the next one, but we
446   set the error for the last one. Use the callout_connect timeout. */
447
448   inblock.sock = outblock.sock =
449     smtp_connect(host, host_af, port, interface, callout_connect, TRUE);
450   if (inblock.sock < 0)
451     {
452     addr->message = string_sprintf("could not connect to %s [%s]: %s",
453         host->name, host->address, strerror(errno));
454     continue;
455     }
456
457   /* Wait for initial response, and then run the initial SMTP commands. The
458   smtp_write_command() function leaves its command in big_buffer. This is
459   used in error responses. Initialize it in case the connection is
460   rejected. */
461
462   Ustrcpy(big_buffer, "initial connection");
463
464   done =
465     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
466       '2', callout) &&
467
468     smtp_write_command(&outblock, FALSE, "%s %s\r\n", helo,
469       smtp_active_hostname) >= 0 &&
470     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
471       '2', callout) &&
472
473     smtp_write_command(&outblock, FALSE, "MAIL FROM:<%s>\r\n",
474       from_address) >= 0 &&
475     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
476       '2', callout);
477
478   /* If the host gave an initial error, or does not accept HELO or MAIL
479   FROM:<>, arrange to cache this information, but don't record anything for an
480   I/O error or a defer. Do not cache rejections when a non-empty sender has
481   been used, because that blocks the whole domain for all senders. */
482
483   if (!done)
484     {
485     *failure_ptr = US"mail";
486     if (errno == 0 && responsebuffer[0] == '5')
487       {
488       setflag(addr, af_verify_nsfail);
489       if (from_address[0] == 0) new_domain_record.result = ccache_reject;
490       }
491     }
492
493   /* Otherwise, proceed to check a "random" address (if required), then the
494   given address, and the postmaster address (if required). Between each check,
495   issue RSET, because some servers accept only one recipient after MAIL
496   FROM:<>. */
497
498   else
499     {
500     new_domain_record.result = ccache_accept;
501
502     /* Do the random local part check first */
503
504     if (random_local_part != NULL)
505       {
506       uschar randombuffer[1024];
507       BOOL random_ok =
508         smtp_write_command(&outblock, FALSE,
509           "RCPT TO:<%.1000s@%.1000s>\r\n", random_local_part,
510           addr->domain) >= 0 &&
511         smtp_read_response(&inblock, randombuffer,
512           sizeof(randombuffer), '2', callout);
513
514       /* Remember when we last did a random test */
515
516       new_domain_record.random_stamp = time(NULL);
517
518       /* If accepted, we aren't going to do any further tests below. */
519
520       if (random_ok)
521         {
522         new_domain_record.random_result = ccache_accept;
523         }
524
525       /* Otherwise, cache a real negative response, and get back to the right
526       state to send RCPT. Unless there's some problem such as a dropped
527       connection, we expect to succeed, because the commands succeeded above. */
528
529       else if (errno == 0)
530         {
531         if (randombuffer[0] == '5')
532           new_domain_record.random_result = ccache_reject;
533
534         done =
535           smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
536           smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
537             '2', callout) &&
538
539           smtp_write_command(&outblock, FALSE, "MAIL FROM:<>\r\n") >= 0 &&
540           smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
541             '2', callout);
542         }
543       else done = FALSE;    /* Some timeout/connection problem */
544       }                     /* Random check */
545
546     /* If the host is accepting all local parts, as determined by the "random"
547     check, we don't need to waste time doing any further checking. */
548
549     if (new_domain_record.random_result != ccache_accept && done)
550       {
551       done =
552         smtp_write_command(&outblock, FALSE, "RCPT TO:<%.1000s>\r\n",
553           transport_rcpt_address(addr,
554             addr->transport->rcpt_include_affixes)) >= 0 &&
555         smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
556           '2', callout);
557
558       if (done)
559         new_address_record.result = ccache_accept;
560       else if (errno == 0 && responsebuffer[0] == '5')
561         {
562         *failure_ptr = US"recipient";
563         new_address_record.result = ccache_reject;
564         }
565
566       /* Do postmaster check if requested */
567
568       if (done && pm_mailfrom != NULL)
569         {
570         done =
571           smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
572           smtp_read_response(&inblock, responsebuffer,
573             sizeof(responsebuffer), '2', callout) &&
574
575           smtp_write_command(&outblock, FALSE,
576             "MAIL FROM:<%s>\r\n", pm_mailfrom) >= 0 &&
577           smtp_read_response(&inblock, responsebuffer,
578             sizeof(responsebuffer), '2', callout) &&
579
580           smtp_write_command(&outblock, FALSE,
581             "RCPT TO:<postmaster@%.1000s>\r\n", addr->domain) >= 0 &&
582           smtp_read_response(&inblock, responsebuffer,
583             sizeof(responsebuffer), '2', callout);
584
585         new_domain_record.postmaster_stamp = time(NULL);
586
587         if (done)
588           new_domain_record.postmaster_result = ccache_accept;
589         else if (errno == 0 && responsebuffer[0] == '5')
590           {
591           *failure_ptr = US"postmaster";
592           setflag(addr, af_verify_pmfail);
593           new_domain_record.postmaster_result = ccache_reject;
594           }
595         }
596       }           /* Random not accepted */
597     }             /* MAIL FROM:<> accepted */
598
599   /* For any failure of the main check, other than a negative response, we just
600   close the connection and carry on. We can identify a negative response by the
601   fact that errno is zero. For I/O errors it will be non-zero
602
603   Set up different error texts for logging and for sending back to the caller
604   as an SMTP response. Log in all cases, using a one-line format. For sender
605   callouts, give a full response to the caller, but for recipient callouts,
606   don't give the IP address because this may be an internal host whose identity
607   is not to be widely broadcast. */
608
609   if (!done)
610     {
611     if (errno == ETIMEDOUT)
612       {
613       HDEBUG(D_verify) debug_printf("SMTP timeout\n");
614       send_quit = FALSE;
615       }
616     else if (errno == 0)
617       {
618       if (*responsebuffer == 0) Ustrcpy(responsebuffer, US"connection dropped");
619
620       addr->message =
621         string_sprintf("response to \"%s\" from %s [%s] was: %s",
622           big_buffer, host->name, host->address,
623           string_printing(responsebuffer));
624
625       addr->user_message = is_recipient?
626         string_sprintf("Callout verification failed:\n%s", responsebuffer)
627         :
628         string_sprintf("Called:   %s\nSent:     %s\nResponse: %s",
629           host->address, big_buffer, responsebuffer);
630
631       /* Hard rejection ends the process */
632
633       if (responsebuffer[0] == '5')   /* Address rejected */
634         {
635         yield = FAIL;
636         done = TRUE;
637         }
638       }
639     }
640
641   /* End the SMTP conversation and close the connection. */
642
643   if (send_quit) (void)smtp_write_command(&outblock, FALSE, "QUIT\r\n");
644   close(inblock.sock);
645   }    /* Loop through all hosts, while !done */
646
647 /* If we get here with done == TRUE, a successful callout happened, and yield
648 will be set OK or FAIL according to the response to the RCPT command.
649 Otherwise, we looped through the hosts but couldn't complete the business.
650 However, there may be domain-specific information to cache in both cases.
651
652 The value of the result field in the new_domain record is ccache_unknown if
653 there was an error before or with MAIL FROM:<>, and errno was not zero,
654 implying some kind of I/O error. We don't want to write the cache in that case.
655 Otherwise the value is ccache_accept or ccache_reject. */
656
657 if (!callout_no_cache && new_domain_record.result != ccache_unknown)
658   {
659   if ((dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE))
660        == NULL)
661     {
662     HDEBUG(D_verify) debug_printf("callout cache: not available\n");
663     }
664   else
665     {
666     (void)dbfn_write(dbm_file, addr->domain, &new_domain_record,
667       (int)sizeof(dbdata_callout_cache));
668     HDEBUG(D_verify) debug_printf("wrote callout cache domain record:\n"
669       "  result=%d postmaster=%d random=%d\n",
670       new_domain_record.result,
671       new_domain_record.postmaster_result,
672       new_domain_record.random_result);
673     }
674   }
675
676 /* If a definite result was obtained for the callout, cache it unless caching
677 is disabled. */
678
679 if (done)
680   {
681   if (!callout_no_cache && new_address_record.result != ccache_unknown)
682     {
683     if (dbm_file == NULL)
684       dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE);
685     if (dbm_file == NULL)
686       {
687       HDEBUG(D_verify) debug_printf("no callout cache available\n");
688       }
689     else
690       {
691       (void)dbfn_write(dbm_file, address_key, &new_address_record,
692         (int)sizeof(dbdata_callout_cache_address));
693       HDEBUG(D_verify) debug_printf("wrote %s callout cache address record\n",
694         (new_address_record.result == ccache_accept)? "positive" : "negative");
695       }
696     }
697   }    /* done */
698
699 /* Failure to connect to any host, or any response other than 2xx or 5xx is a
700 temporary error. If there was only one host, and a response was received, leave
701 it alone if supplying details. Otherwise, give a generic response. */
702
703 else   /* !done */
704   {
705   uschar *dullmsg = string_sprintf("Could not complete %s verify callout",
706     is_recipient? "recipient" : "sender");
707   yield = DEFER;
708
709   if (host_list->next != NULL || addr->message == NULL) addr->message = dullmsg;
710
711   addr->user_message = (!smtp_return_error_details)? dullmsg :
712     string_sprintf("%s for <%s>.\n"
713       "The mail server(s) for the domain may be temporarily unreachable, or\n"
714       "they may be permanently unreachable from this server. In the latter case,\n%s",
715       dullmsg, addr->address,
716       is_recipient?
717         "the address will never be accepted."
718         :
719         "you need to change the address or create an MX record for its domain\n"
720         "if it is supposed to be generally accessible from the Internet.\n"
721         "Talk to your mail administrator for details.");
722
723   /* Force a specific error code */
724
725   addr->basic_errno = ERRNO_CALLOUTDEFER;
726   }
727
728 /* Come here from within the cache-reading code on fast-track exit. */
729
730 END_CALLOUT:
731 if (dbm_file != NULL) dbfn_close(dbm_file);
732 return yield;
733 }
734
735
736
737 /*************************************************
738 *           Copy error to toplevel address       *
739 *************************************************/
740
741 /* This function is used when a verify fails or defers, to ensure that the
742 failure or defer information is in the original toplevel address. This applies
743 when an address is redirected to a single new address, and the failure or
744 deferral happens to the child address.
745
746 Arguments:
747   vaddr       the verify address item
748   addr        the final address item
749   yield       FAIL or DEFER
750
751 Returns:      the value of YIELD
752 */
753
754 static int
755 copy_error(address_item *vaddr, address_item *addr, int yield)
756 {
757 if (addr != vaddr)
758   {
759   vaddr->message = addr->message;
760   vaddr->user_message = addr->user_message;
761   vaddr->basic_errno = addr->basic_errno;
762   vaddr->more_errno = addr->more_errno;
763   }
764 return yield;
765 }
766
767
768
769
770 /*************************************************
771 *            Verify an email address             *
772 *************************************************/
773
774 /* This function is used both for verification (-bv and at other times) and
775 address testing (-bt), which is indicated by address_test_mode being set.
776
777 Arguments:
778   vaddr            contains the address to verify; the next field in this block
779                      must be NULL
780   f                if not NULL, write the result to this file
781   options          various option bits:
782                      vopt_fake_sender => this sender verify is not for the real
783                        sender (it was verify=sender=xxxx or an address from a
784                        header line) - rewriting must not change sender_address
785                      vopt_is_recipient => this is a recipient address, otherwise
786                        it's a sender address - this affects qualification and
787                        rewriting and messages from callouts
788                      vopt_qualify => qualify an unqualified address; else error
789                      vopt_expn => called from SMTP EXPN command
790
791                      These ones are used by do_callout() -- the options variable
792                        is passed to it.
793
794                      vopt_callout_no_cache => don't use callout cache
795                      vopt_callout_random => do the "random" thing
796                      vopt_callout_recipsender => use real sender for recipient
797                      vopt_callout_recippmaster => use postmaster for recipient
798
799   callout          if > 0, specifies that callout is required, and gives timeout
800                      for individual commands
801   callout_overall  if > 0, gives overall timeout for the callout function;
802                    if < 0, a default is used (see do_callout())
803   callout_connect  the connection timeout for callouts
804   se_mailfrom      when callout is requested to verify a sender, use this
805                      in MAIL FROM; NULL => ""
806   pm_mailfrom      when callout is requested, if non-NULL, do the postmaster
807                      thing and use this as the sender address (may be "")
808
809   routed           if not NULL, set TRUE if routing succeeded, so we can
810                      distinguish between routing failed and callout failed
811
812 Returns:           OK      address verified
813                    FAIL    address failed to verify
814                    DEFER   can't tell at present
815 */
816
817 int
818 verify_address(address_item *vaddr, FILE *f, int options, int callout,
819   int callout_overall, int callout_connect, uschar *se_mailfrom,
820   uschar *pm_mailfrom, BOOL *routed)
821 {
822 BOOL allok = TRUE;
823 BOOL full_info = (f == NULL)? FALSE : (debug_selector != 0);
824 BOOL is_recipient = (options & vopt_is_recipient) != 0;
825 BOOL expn         = (options & vopt_expn) != 0;
826 int i;
827 int yield = OK;
828 int verify_type = expn? v_expn :
829      address_test_mode? v_none :
830           is_recipient? v_recipient : v_sender;
831 address_item *addr_list;
832 address_item *addr_new = NULL;
833 address_item *addr_remote = NULL;
834 address_item *addr_local = NULL;
835 address_item *addr_succeed = NULL;
836 uschar **failure_ptr = is_recipient?
837   &recipient_verify_failure : &sender_verify_failure;
838 uschar *ko_prefix, *cr;
839 uschar *address = vaddr->address;
840 uschar *save_sender;
841 uschar null_sender[] = { 0 };             /* Ensure writeable memory */
842
843 /* Clear, just in case */
844
845 *failure_ptr = NULL;
846
847 /* Set up a prefix and suffix for error message which allow us to use the same
848 output statements both in EXPN mode (where an SMTP response is needed) and when
849 debugging with an output file. */
850
851 if (expn)
852   {
853   ko_prefix = US"553 ";
854   cr = US"\r";
855   }
856 else ko_prefix = cr = US"";
857
858 /* Add qualify domain if permitted; otherwise an unqualified address fails. */
859
860 if (parse_find_at(address) == NULL)
861   {
862   if ((options & vopt_qualify) == 0)
863     {
864     if (f != NULL)
865       fprintf(f, "%sA domain is required for \"%s\"%s\n", ko_prefix, address,
866         cr);
867     *failure_ptr = US"qualify";
868     return FAIL;
869     }
870   address = rewrite_address_qualify(address, is_recipient);
871   }
872
873 DEBUG(D_verify)
874   {
875   debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
876   debug_printf("%s %s\n", address_test_mode? "Testing" : "Verifying", address);
877   }
878
879 /* Rewrite and report on it. Clear the domain and local part caches - these
880 may have been set by domains and local part tests during an ACL. */
881
882 if (global_rewrite_rules != NULL)
883   {
884   uschar *old = address;
885   address = rewrite_address(address, is_recipient, FALSE,
886     global_rewrite_rules, rewrite_existflags);
887   if (address != old)
888     {
889     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->localpart_cache[i] = 0;
890     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->domain_cache[i] = 0;
891     if (f != NULL && !expn) fprintf(f, "Address rewritten as: %s\n", address);
892     }
893   }
894
895 /* If this is the real sender address, we must update sender_address at
896 this point, because it may be referred to in the routers. */
897
898 if ((options & (vopt_fake_sender|vopt_is_recipient)) == 0)
899   sender_address = address;
900
901 /* If the address was rewritten to <> no verification can be done, and we have
902 to return OK. This rewriting is permitted only for sender addresses; for other
903 addresses, such rewriting fails. */
904
905 if (address[0] == 0) return OK;
906
907 /* Save a copy of the sender address for re-instating if we change it to <>
908 while verifying a sender address (a nice bit of self-reference there). */
909
910 save_sender = sender_address;
911
912 /* Update the address structure with the possibly qualified and rewritten
913 address. Set it up as the starting address on the chain of new addresses. */
914
915 vaddr->address = address;
916 addr_new = vaddr;
917
918 /* We need a loop, because an address can generate new addresses. We must also
919 cope with generated pipes and files at the top level. (See also the code and
920 comment in deliver.c.) However, it is usually the case that the router for
921 user's .forward files has its verify flag turned off.
922
923 If an address generates more than one child, the loop is used only when
924 full_info is set, and this can only be set locally. Remote enquiries just get
925 information about the top level address, not anything that it generated. */
926
927 while (addr_new != NULL)
928   {
929   int rc;
930   address_item *addr = addr_new;
931
932   addr_new = addr->next;
933   addr->next = NULL;
934
935   DEBUG(D_verify)
936     {
937     debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
938     debug_printf("Considering %s\n", addr->address);
939     }
940
941   /* Handle generated pipe, file or reply addresses. We don't get these
942   when handling EXPN, as it does only one level of expansion. */
943
944   if (testflag(addr, af_pfr))
945     {
946     allok = FALSE;
947     if (f != NULL)
948       {
949       BOOL allow;
950
951       if (addr->address[0] == '>')
952         {
953         allow = testflag(addr, af_allow_reply);
954         fprintf(f, "%s -> mail %s", addr->parent->address, addr->address + 1);
955         }
956       else
957         {
958         allow = (addr->address[0] == '|')?
959           testflag(addr, af_allow_pipe) : testflag(addr, af_allow_file);
960         fprintf(f, "%s -> %s", addr->parent->address, addr->address);
961         }
962
963       if (addr->basic_errno == ERRNO_BADTRANSPORT)
964         fprintf(f, "\n*** Error in setting up pipe, file, or autoreply:\n"
965           "%s\n", addr->message);
966       else if (allow)
967         fprintf(f, "\n  transport = %s\n", addr->transport->name);
968       else
969         fprintf(f, " *** forbidden ***\n");
970       }
971     continue;
972     }
973
974   /* Just in case some router parameter refers to it. */
975
976   return_path = (addr->p.errors_address != NULL)?
977     addr->p.errors_address : sender_address;
978
979   /* Split the address into domain and local part, handling the %-hack if
980   necessary, and then route it. While routing a sender address, set
981   $sender_address to <> because that is what it will be if we were trying to
982   send a bounce to the sender. */
983
984   if (routed != NULL) *routed = FALSE;
985   if ((rc = deliver_split_address(addr)) == OK)
986     {
987     if (!is_recipient) sender_address = null_sender;
988     rc = route_address(addr, &addr_local, &addr_remote, &addr_new,
989       &addr_succeed, verify_type);
990     sender_address = save_sender;     /* Put back the real sender */
991     }
992
993   /* If routing an address succeeded, set the flag that remembers, for use when
994   an ACL cached a sender verify (in case a callout fails). Then if routing set
995   up a list of hosts or the transport has a host list, and the callout option
996   is set, and we aren't in a host checking run, do the callout verification,
997   and set another flag that notes that a callout happened. */
998
999   if (rc == OK)
1000     {
1001     if (routed != NULL) *routed = TRUE;
1002     if (callout > 0)
1003       {
1004       host_item *host_list = addr->host_list;
1005
1006       /* Default, if no remote transport, to NULL for the interface (=> any),
1007       "smtp" for the port, and "smtp" for the protocol. */
1008
1009       transport_feedback tf = { NULL, US"smtp", US"smtp", NULL, FALSE, FALSE };
1010
1011       /* If verification yielded a remote transport, we want to use that
1012       transport's options, so as to mimic what would happen if we were really
1013       sending a message to this address. */
1014
1015       if (addr->transport != NULL && !addr->transport->info->local)
1016         {
1017         (void)(addr->transport->setup)(addr->transport, addr, &tf, NULL);
1018
1019         /* If the transport has hosts and the router does not, or if the
1020         transport is configured to override the router's hosts, we must build a
1021         host list of the transport's hosts, and find the IP addresses */
1022
1023         if (tf.hosts != NULL && (host_list == NULL || tf.hosts_override))
1024           {
1025           uschar *s;
1026
1027           host_list = NULL;    /* Ignore the router's hosts */
1028
1029           deliver_domain = addr->domain;
1030           deliver_localpart = addr->local_part;
1031           s = expand_string(tf.hosts);
1032           deliver_domain = deliver_localpart = NULL;
1033
1034           if (s == NULL)
1035             {
1036             log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand list of hosts "
1037               "\"%s\" in %s transport for callout: %s", tf.hosts,
1038               addr->transport->name, expand_string_message);
1039             }
1040           else
1041             {
1042             uschar *canonical_name;
1043             host_item *host, *nexthost;
1044             host_build_hostlist(&host_list, s, tf.hosts_randomize);
1045
1046             /* Just ignore failures to find a host address. If we don't manage
1047             to find any addresses, the callout will defer. Note that more than
1048             one address may be found for a single host, which will result in
1049             additional host items being inserted into the chain. Hence we must
1050             save the next host first. */
1051
1052             for (host = host_list; host != NULL; host = nexthost)
1053               {
1054               nexthost = host->next;
1055               if (tf.gethostbyname ||
1056                   string_is_ip_address(host->name, NULL) > 0)
1057                 (void)host_find_byname(host, NULL, &canonical_name, TRUE);
1058               else
1059                 {
1060                 int flags = HOST_FIND_BY_A;
1061                 if (tf.qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
1062                 if (tf.search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
1063                 (void)host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
1064                   &canonical_name, NULL);
1065                 }
1066               }
1067             }
1068           }
1069         }
1070
1071       /* Can only do a callout if we have at least one host! If the callout
1072       fails, it will have set ${sender,recipient}_verify_failure. */
1073
1074       if (host_list != NULL)
1075         {
1076         HDEBUG(D_verify) debug_printf("Attempting full verification using callout\n");
1077         if (host_checking && !host_checking_callout)
1078           {
1079           HDEBUG(D_verify)
1080             debug_printf("... callout omitted by default when host testing\n"
1081               "(Use -bhc if you want the callouts to happen.)\n");
1082           }
1083         else
1084           {
1085           rc = do_callout(addr, host_list, &tf, callout, callout_overall,
1086             callout_connect, options, se_mailfrom, pm_mailfrom);
1087           }
1088         }
1089       else
1090         {
1091         HDEBUG(D_verify) debug_printf("Cannot do callout: neither router nor "
1092           "transport provided a host list\n");
1093         }
1094       }
1095     }
1096
1097   /* Otherwise, any failure is a routing failure */
1098
1099   else *failure_ptr = US"route";
1100
1101   /* A router may return REROUTED if it has set up a child address as a result
1102   of a change of domain name (typically from widening). In this case we always
1103   want to continue to verify the new child. */
1104
1105   if (rc == REROUTED) continue;
1106
1107   /* Handle hard failures */
1108
1109   if (rc == FAIL)
1110     {
1111     allok = FALSE;
1112     if (f != NULL)
1113       {
1114       fprintf(f, "%s%s %s", ko_prefix, address,
1115         address_test_mode? "is undeliverable" : "failed to verify");
1116       if (!expn && admin_user)
1117         {
1118         if (addr->basic_errno > 0)
1119           fprintf(f, ": %s", strerror(addr->basic_errno));
1120         if (addr->message != NULL)
1121           fprintf(f, ":\n  %s", addr->message);
1122         }
1123       fprintf(f, "%s\n", cr);
1124       }
1125
1126     if (!full_info) return copy_error(vaddr, addr, FAIL);
1127       else yield = FAIL;
1128     }
1129
1130   /* Soft failure */
1131
1132   else if (rc == DEFER)
1133     {
1134     allok = FALSE;
1135     if (f != NULL)
1136       {
1137       fprintf(f, "%s%s cannot be resolved at this time", ko_prefix, address);
1138       if (!expn && admin_user)
1139         {
1140         if (addr->basic_errno > 0)
1141           fprintf(f, ":\n  %s", strerror(addr->basic_errno));
1142         if (addr->message != NULL)
1143           fprintf(f, ":\n  %s", addr->message);
1144         else if (addr->basic_errno <= 0)
1145           fprintf(f, ":\n  unknown error");
1146         }
1147
1148       fprintf(f, "%s\n", cr);
1149       }
1150     if (!full_info) return copy_error(vaddr, addr, DEFER);
1151       else if (yield == OK) yield = DEFER;
1152     }
1153
1154   /* If we are handling EXPN, we do not want to continue to route beyond
1155   the top level. */
1156
1157   else if (expn)
1158     {
1159     uschar *ok_prefix = US"250-";
1160     if (addr_new == NULL)
1161       {
1162       if (addr_local == NULL && addr_remote == NULL)
1163         fprintf(f, "250 mail to <%s> is discarded\r\n", address);
1164       else
1165         fprintf(f, "250 <%s>\r\n", address);
1166       }
1167     else while (addr_new != NULL)
1168       {
1169       address_item *addr2 = addr_new;
1170       addr_new = addr2->next;
1171       if (addr_new == NULL) ok_prefix = US"250 ";
1172       fprintf(f, "%s<%s>\r\n", ok_prefix, addr2->address);
1173       }
1174     return OK;
1175     }
1176
1177   /* Successful routing other than EXPN. */
1178
1179   else
1180     {
1181     /* Handle successful routing when short info wanted. Otherwise continue for
1182     other (generated) addresses. Short info is the operational case. Full info
1183     can be requested only when debug_selector != 0 and a file is supplied.
1184
1185     There is a conflict between the use of aliasing as an alternate email
1186     address, and as a sort of mailing list. If an alias turns the incoming
1187     address into just one address (e.g. J.Caesar->jc44) you may well want to
1188     carry on verifying the generated address to ensure it is valid when
1189     checking incoming mail. If aliasing generates multiple addresses, you
1190     probably don't want to do this. Exim therefore treats the generation of
1191     just a single new address as a special case, and continues on to verify the
1192     generated address. */
1193
1194     if (!full_info &&                    /* Stop if short info wanted AND */
1195          (addr_new == NULL ||            /* No new address OR */
1196           addr_new->next != NULL ||      /* More than one new address OR */
1197           testflag(addr_new, af_pfr)))   /* New address is pfr */
1198       {
1199       if (f != NULL) fprintf(f, "%s %s\n", address,
1200         address_test_mode? "is deliverable" : "verified");
1201
1202       /* If we have carried on to verify a child address, we want the value
1203       of $address_data to be that of the child */
1204
1205       vaddr->p.address_data = addr->p.address_data;
1206       return OK;
1207       }
1208     }
1209   }     /* Loop for generated addresses */
1210
1211 /* Display the full results of the successful routing, including any generated
1212 addresses. Control gets here only when full_info is set, which requires f not
1213 to be NULL, and this occurs only when a top-level verify is called with the
1214 debugging switch on.
1215
1216 If there are no local and no remote addresses, and there were no pipes, files,
1217 or autoreplies, and there were no errors or deferments, the message is to be
1218 discarded, usually because of the use of :blackhole: in an alias file. */
1219
1220 if (allok && addr_local == NULL && addr_remote == NULL)
1221   fprintf(f, "mail to %s is discarded\n", address);
1222
1223 else for (addr_list = addr_local, i = 0; i < 2; addr_list = addr_remote, i++)
1224   {
1225   while (addr_list != NULL)
1226     {
1227     address_item *addr = addr_list;
1228     address_item *p = addr->parent;
1229     addr_list = addr->next;
1230
1231     fprintf(f, "%s", CS addr->address);
1232 #ifdef EXPERIMENTAL_SRS
1233     if(addr->p.srs_sender)
1234       fprintf(f, "    [srs = %s]", addr->p.srs_sender);
1235 #endif
1236     while (p != NULL)
1237       {
1238       fprintf(f, "\n    <-- %s", p->address);
1239       p = p->parent;
1240       }
1241     fprintf(f, "\n  ");
1242
1243     /* Show router, and transport */
1244
1245     fprintf(f, "router = %s, ", addr->router->name);
1246     fprintf(f, "transport = %s\n", (addr->transport == NULL)? US"unset" :
1247       addr->transport->name);
1248
1249     /* Show any hosts that are set up by a router unless the transport
1250     is going to override them; fiddle a bit to get a nice format. */
1251
1252     if (addr->host_list != NULL && addr->transport != NULL &&
1253         !addr->transport->overrides_hosts)
1254       {
1255       host_item *h;
1256       int maxlen = 0;
1257       int maxaddlen = 0;
1258       for (h = addr->host_list; h != NULL; h = h->next)
1259         {
1260         int len = Ustrlen(h->name);
1261         if (len > maxlen) maxlen = len;
1262         len = (h->address != NULL)? Ustrlen(h->address) : 7;
1263         if (len > maxaddlen) maxaddlen = len;
1264         }
1265       for (h = addr->host_list; h != NULL; h = h->next)
1266         {
1267         int len = Ustrlen(h->name);
1268         fprintf(f, "  host %s ", h->name);
1269         while (len++ < maxlen) fprintf(f, " ");
1270         if (h->address != NULL)
1271           {
1272           fprintf(f, "[%s] ", h->address);
1273           len = Ustrlen(h->address);
1274           }
1275         else if (!addr->transport->info->local)  /* Omit [unknown] for local */
1276           {
1277           fprintf(f, "[unknown] ");
1278           len = 7;
1279           }
1280         else len = -3;
1281         while (len++ < maxaddlen) fprintf(f," ");
1282         if (h->mx >= 0) fprintf(f, "MX=%d", h->mx);
1283         if (h->port != PORT_NONE) fprintf(f, " port=%d", h->port);
1284         if (h->status == hstatus_unusable) fprintf(f, " ** unusable **");
1285         fprintf(f, "\n");
1286         }
1287       }
1288     }
1289   }
1290
1291 /* Will be DEFER or FAIL if any one address has, only for full_info (which is
1292 the -bv or -bt case). */
1293
1294 return yield;
1295 }
1296
1297
1298
1299
1300 /*************************************************
1301 *      Check headers for syntax errors           *
1302 *************************************************/
1303
1304 /* This function checks those header lines that contain addresses, and verifies
1305 that all the addresses therein are syntactially correct.
1306
1307 Arguments:
1308   msgptr     where to put an error message
1309
1310 Returns:     OK
1311              FAIL
1312 */
1313
1314 int
1315 verify_check_headers(uschar **msgptr)
1316 {
1317 header_line *h;
1318 uschar *colon, *s;
1319
1320 for (h = header_list; h != NULL; h = h->next)
1321   {
1322   if (h->type != htype_from &&
1323       h->type != htype_reply_to &&
1324       h->type != htype_sender &&
1325       h->type != htype_to &&
1326       h->type != htype_cc &&
1327       h->type != htype_bcc)
1328     continue;
1329
1330   colon = Ustrchr(h->text, ':');
1331   s = colon + 1;
1332   while (isspace(*s)) s++;
1333
1334   parse_allow_group = TRUE;     /* Allow group syntax */
1335
1336   /* Loop for multiple addresses in the header */
1337
1338   while (*s != 0)
1339     {
1340     uschar *ss = parse_find_address_end(s, FALSE);
1341     uschar *recipient, *errmess;
1342     int terminator = *ss;
1343     int start, end, domain;
1344
1345     /* Temporarily terminate the string at this point, and extract the
1346     operative address within. */
1347
1348     *ss = 0;
1349     recipient = parse_extract_address(s,&errmess,&start,&end,&domain,FALSE);
1350     *ss = terminator;
1351
1352     /* Permit an unqualified address only if the message is local, or if the
1353     sending host is configured to be permitted to send them. */
1354
1355     if (recipient != NULL && domain == 0)
1356       {
1357       if (h->type == htype_from || h->type == htype_sender)
1358         {
1359         if (!allow_unqualified_sender) recipient = NULL;
1360         }
1361       else
1362         {
1363         if (!allow_unqualified_recipient) recipient = NULL;
1364         }
1365       if (recipient == NULL) errmess = US"unqualified address not permitted";
1366       }
1367
1368     /* It's an error if no address could be extracted, except for the special
1369     case of an empty address. */
1370
1371     if (recipient == NULL && Ustrcmp(errmess, "empty address") != 0)
1372       {
1373       uschar *verb = US"is";
1374       uschar *t = ss;
1375       int len;
1376
1377       /* Arrange not to include any white space at the end in the
1378       error message. */
1379
1380       while (t > s && isspace(t[-1])) t--;
1381
1382       /* Add the address which failed to the error message, since in a
1383       header with very many addresses it is sometimes hard to spot
1384       which one is at fault. However, limit the amount of address to
1385       quote - cases have been seen where, for example, a missing double
1386       quote in a humungous To: header creates an "address" that is longer
1387       than string_sprintf can handle. */
1388
1389       len = t - s;
1390       if (len > 1024)
1391         {
1392         len = 1024;
1393         verb = US"begins";
1394         }
1395
1396       *msgptr = string_printing(
1397         string_sprintf("%s: failing address in \"%.*s\" header %s: %.*s",
1398           errmess, colon - h->text, h->text, verb, len, s));
1399
1400       return FAIL;
1401       }
1402
1403     /* Advance to the next address */
1404
1405     s = ss + (terminator? 1:0);
1406     while (isspace(*s)) s++;
1407     }   /* Next address */
1408   }     /* Next header */
1409
1410 return OK;
1411 }
1412
1413
1414
1415
1416 /*************************************************
1417 *          Find if verified sender               *
1418 *************************************************/
1419
1420 /* Usually, just a single address is verified as the sender of the message.
1421 However, Exim can be made to verify other addresses as well (often related in
1422 some way), and this is useful in some environments. There may therefore be a
1423 chain of such addresses that have previously been tested. This function finds
1424 whether a given address is on the chain.
1425
1426 Arguments:   the address to be verified
1427 Returns:     pointer to an address item, or NULL
1428 */
1429
1430 address_item *
1431 verify_checked_sender(uschar *sender)
1432 {
1433 address_item *addr;
1434 for (addr = sender_verified_list; addr != NULL; addr = addr->next)
1435   if (Ustrcmp(sender, addr->address) == 0) break;
1436 return addr;
1437 }
1438
1439
1440
1441
1442
1443 /*************************************************
1444 *             Get valid header address           *
1445 *************************************************/
1446
1447 /* Scan the originator headers of the message, looking for an address that
1448 verifies successfully. RFC 822 says:
1449
1450     o   The "Sender" field mailbox should be sent  notices  of
1451         any  problems in transport or delivery of the original
1452         messages.  If there is no  "Sender"  field,  then  the
1453         "From" field mailbox should be used.
1454
1455     o   If the "Reply-To" field exists, then the reply  should
1456         go to the addresses indicated in that field and not to
1457         the address(es) indicated in the "From" field.
1458
1459 So we check a Sender field if there is one, else a Reply_to field, else a From
1460 field. As some strange messages may have more than one of these fields,
1461 especially if they are resent- fields, check all of them if there is more than
1462 one.
1463
1464 Arguments:
1465   user_msgptr      points to where to put a user error message
1466   log_msgptr       points to where to put a log error message
1467   callout          timeout for callout check (passed to verify_address())
1468   callout_overall  overall callout timeout (ditto)
1469   callout_connect  connect callout timeout (ditto)
1470   se_mailfrom      mailfrom for verify; NULL => ""
1471   pm_mailfrom      sender for pm callout check (passed to verify_address())
1472   options          callout options (passed to verify_address())
1473   verrno           where to put the address basic_errno
1474
1475 If log_msgptr is set to something without setting user_msgptr, the caller
1476 normally uses log_msgptr for both things.
1477
1478 Returns:           result of the verification attempt: OK, FAIL, or DEFER;
1479                    FAIL is given if no appropriate headers are found
1480 */
1481
1482 int
1483 verify_check_header_address(uschar **user_msgptr, uschar **log_msgptr,
1484   int callout, int callout_overall, int callout_connect, uschar *se_mailfrom,
1485   uschar *pm_mailfrom, int options, int *verrno)
1486 {
1487 static int header_types[] = { htype_sender, htype_reply_to, htype_from };
1488 int yield = FAIL;
1489 int i;
1490
1491 for (i = 0; i < 3; i++)
1492   {
1493   header_line *h;
1494   for (h = header_list; h != NULL; h = h->next)
1495     {
1496     int terminator, new_ok;
1497     uschar *s, *ss, *endname;
1498
1499     if (h->type != header_types[i]) continue;
1500     s = endname = Ustrchr(h->text, ':') + 1;
1501
1502     while (*s != 0)
1503       {
1504       address_item *vaddr;
1505
1506       while (isspace(*s) || *s == ',') s++;
1507       if (*s == 0) break;        /* End of header */
1508
1509       ss = parse_find_address_end(s, FALSE);
1510
1511       /* The terminator is a comma or end of header, but there may be white
1512       space preceding it (including newline for the last address). Move back
1513       past any white space so we can check against any cached envelope sender
1514       address verifications. */
1515
1516       while (isspace(ss[-1])) ss--;
1517       terminator = *ss;
1518       *ss = 0;
1519
1520       HDEBUG(D_verify) debug_printf("verifying %.*s header address %s\n",
1521         (int)(endname - h->text), h->text, s);
1522
1523       /* See if we have already verified this address as an envelope sender,
1524       and if so, use the previous answer. */
1525
1526       vaddr = verify_checked_sender(s);
1527
1528       if (vaddr != NULL &&                   /* Previously checked */
1529            (callout <= 0 ||                  /* No callout needed; OR */
1530             vaddr->special_action > 256))    /* Callout was done */
1531         {
1532         new_ok = vaddr->special_action & 255;
1533         HDEBUG(D_verify) debug_printf("previously checked as envelope sender\n");
1534         *ss = terminator;  /* Restore shortened string */
1535         }
1536
1537       /* Otherwise we run the verification now. We must restore the shortened
1538       string before running the verification, so the headers are correct, in
1539       case there is any rewriting. */
1540
1541       else
1542         {
1543         int start, end, domain;
1544         uschar *address = parse_extract_address(s, log_msgptr, &start,
1545           &end, &domain, FALSE);
1546
1547         *ss = terminator;
1548
1549         /* If verification failed because of a syntax error, fail this
1550         function, and ensure that the failing address gets added to the error
1551         message. */
1552
1553         if (address == NULL)
1554           {
1555           new_ok = FAIL;
1556           if (*log_msgptr != NULL)
1557             {
1558             while (ss > s && isspace(ss[-1])) ss--;
1559             *log_msgptr = string_sprintf("syntax error in '%.*s' header when "
1560               "scanning for sender: %s in \"%.*s\"",
1561               endname - h->text, h->text, *log_msgptr, ss - s, s);
1562             return FAIL;
1563             }
1564           }
1565
1566         /* Else go ahead with the sender verification. But it isn't *the*
1567         sender of the message, so set vopt_fake_sender to stop sender_address
1568         being replaced after rewriting or qualification. */
1569
1570         else
1571           {
1572           vaddr = deliver_make_addr(address, FALSE);
1573           new_ok = verify_address(vaddr, NULL, options | vopt_fake_sender,
1574             callout, callout_overall, callout_connect, se_mailfrom,
1575             pm_mailfrom, NULL);
1576           }
1577         }
1578
1579       /* We now have the result, either newly found, or cached. If we are
1580       giving out error details, set a specific user error. This means that the
1581       last of these will be returned to the user if all three fail. We do not
1582       set a log message - the generic one below will be used. */
1583
1584       if (new_ok != OK)
1585         {
1586         *verrno = vaddr->basic_errno;
1587         if (smtp_return_error_details)
1588           {
1589           *user_msgptr = string_sprintf("Rejected after DATA: "
1590             "could not verify \"%.*s\" header address\n%s: %s",
1591             endname - h->text, h->text, vaddr->address, vaddr->message);
1592           }
1593         }
1594
1595       /* Success or defer */
1596
1597       if (new_ok == OK) return OK;
1598       if (new_ok == DEFER) yield = DEFER;
1599
1600       /* Move on to any more addresses in the header */
1601
1602       s = ss;
1603       }
1604     }
1605   }
1606
1607 if (yield == FAIL && *log_msgptr == NULL)
1608   *log_msgptr = US"there is no valid sender in any header line";
1609
1610 if (yield == DEFER && *log_msgptr == NULL)
1611   *log_msgptr = US"all attempts to verify a sender in a header line deferred";
1612
1613 return yield;
1614 }
1615
1616
1617
1618
1619 /*************************************************
1620 *            Get RFC 1413 identification         *
1621 *************************************************/
1622
1623 /* Attempt to get an id from the sending machine via the RFC 1413 protocol. If
1624 the timeout is set to zero, then the query is not done. There may also be lists
1625 of hosts and nets which are exempt. To guard against malefactors sending
1626 non-printing characters which could, for example, disrupt a message's headers,
1627 make sure the string consists of printing characters only.
1628
1629 Argument:
1630   port    the port to connect to; usually this is IDENT_PORT (113), but when
1631           running in the test harness with -bh a different value is used.
1632
1633 Returns:  nothing
1634
1635 Side effect: any received ident value is put in sender_ident (NULL otherwise)
1636 */
1637
1638 void
1639 verify_get_ident(int port)
1640 {
1641 int sock, host_af, qlen;
1642 int received_sender_port, received_interface_port, n;
1643 uschar *p;
1644 uschar buffer[2048];
1645
1646 /* Default is no ident. Check whether we want to do an ident check for this
1647 host. */
1648
1649 sender_ident = NULL;
1650 if (rfc1413_query_timeout <= 0 || verify_check_host(&rfc1413_hosts) != OK)
1651   return;
1652
1653 DEBUG(D_ident) debug_printf("doing ident callback\n");
1654
1655 /* Set up a connection to the ident port of the remote host. Bind the local end
1656 to the incoming interface address. If the sender host address is an IPv6
1657 address, the incoming interface address will also be IPv6. */
1658
1659 host_af = (Ustrchr(sender_host_address, ':') == NULL)? AF_INET : AF_INET6;
1660 sock = ip_socket(SOCK_STREAM, host_af);
1661 if (sock < 0) return;
1662
1663 if (ip_bind(sock, host_af, interface_address, 0) < 0)
1664   {
1665   DEBUG(D_ident) debug_printf("bind socket for ident failed: %s\n",
1666     strerror(errno));
1667   goto END_OFF;
1668   }
1669
1670 if (ip_connect(sock, host_af, sender_host_address, port, rfc1413_query_timeout)
1671      < 0)
1672   {
1673   if (errno == ETIMEDOUT && (log_extra_selector & LX_ident_timeout) != 0)
1674     {
1675     log_write(0, LOG_MAIN, "ident connection to %s timed out",
1676       sender_host_address);
1677     }
1678   else
1679     {
1680     DEBUG(D_ident) debug_printf("ident connection to %s failed: %s\n",
1681       sender_host_address, strerror(errno));
1682     }
1683   goto END_OFF;
1684   }
1685
1686 /* Construct and send the query. */
1687
1688 sprintf(CS buffer, "%d , %d\r\n", sender_host_port, interface_port);
1689 qlen = Ustrlen(buffer);
1690 if (send(sock, buffer, qlen, 0) < 0)
1691   {
1692   DEBUG(D_ident) debug_printf("ident send failed: %s\n", strerror(errno));
1693   goto END_OFF;
1694   }
1695
1696 /* Read a response line. We put it into the rest of the buffer, using several
1697 recv() calls if necessary. */
1698
1699 p = buffer + qlen;
1700
1701 for (;;)
1702   {
1703   uschar *pp;
1704   int count;
1705   int size = sizeof(buffer) - (p - buffer);
1706
1707   if (size <= 0) goto END_OFF;   /* Buffer filled without seeing \n. */
1708   count = ip_recv(sock, p, size, rfc1413_query_timeout);
1709   if (count <= 0) goto END_OFF;  /* Read error or EOF */
1710
1711   /* Scan what we just read, to see if we have reached the terminating \r\n. Be
1712   generous, and accept a plain \n terminator as well. The only illegal
1713   character is 0. */
1714
1715   for (pp = p; pp < p + count; pp++)
1716     {
1717     if (*pp == 0) goto END_OFF;   /* Zero octet not allowed */
1718     if (*pp == '\n')
1719       {
1720       if (pp[-1] == '\r') pp--;
1721       *pp = 0;
1722       goto GOT_DATA;             /* Break out of both loops */
1723       }
1724     }
1725
1726   /* Reached the end of the data without finding \n. Let the loop continue to
1727   read some more, if there is room. */
1728
1729   p = pp;
1730   }
1731
1732 GOT_DATA:
1733
1734 /* We have received a line of data. Check it carefully. It must start with the
1735 same two port numbers that we sent, followed by data as defined by the RFC. For
1736 example,
1737
1738   12345 , 25 : USERID : UNIX :root
1739
1740 However, the amount of white space may be different to what we sent. In the
1741 "osname" field there may be several sub-fields, comma separated. The data we
1742 actually want to save follows the third colon. Some systems put leading spaces
1743 in it - we discard those. */
1744
1745 if (sscanf(CS buffer + qlen, "%d , %d%n", &received_sender_port,
1746       &received_interface_port, &n) != 2 ||
1747     received_sender_port != sender_host_port ||
1748     received_interface_port != interface_port)
1749   goto END_OFF;
1750
1751 p = buffer + qlen + n;
1752 while(isspace(*p)) p++;
1753 if (*p++ != ':') goto END_OFF;
1754 while(isspace(*p)) p++;
1755 if (Ustrncmp(p, "USERID", 6) != 0) goto END_OFF;
1756 p += 6;
1757 while(isspace(*p)) p++;
1758 if (*p++ != ':') goto END_OFF;
1759 while (*p != 0 && *p != ':') p++;
1760 if (*p++ == 0) goto END_OFF;
1761 while(isspace(*p)) p++;
1762 if (*p == 0) goto END_OFF;
1763
1764 /* The rest of the line is the data we want. We turn it into printing
1765 characters when we save it, so that it cannot mess up the format of any logging
1766 or Received: lines into which it gets inserted. We keep a maximum of 127
1767 characters. */
1768
1769 sender_ident = string_printing(string_copyn(p, 127));
1770 DEBUG(D_ident) debug_printf("sender_ident = %s\n", sender_ident);
1771
1772 END_OFF:
1773 close(sock);
1774 return;
1775 }
1776
1777
1778
1779
1780 /*************************************************
1781 *      Match host to a single host-list item     *
1782 *************************************************/
1783
1784 /* This function compares a host (name or address) against a single item
1785 from a host list. The host name gets looked up if it is needed and is not
1786 already known. The function is called from verify_check_this_host() via
1787 match_check_list(), which is why most of its arguments are in a single block.
1788
1789 Arguments:
1790   arg            the argument block (see below)
1791   ss             the host-list item
1792   valueptr       where to pass back looked up data, or NULL
1793   error          for error message when returning ERROR
1794
1795 The block contains:
1796   host_name      the host name or NULL, implying use sender_host_name and
1797                    sender_host_aliases, looking them up if required
1798   host_address   the host address
1799   host_ipv4      the IPv4 address taken from an IPv6 one
1800
1801 Returns:         OK      matched
1802                  FAIL    did not match
1803                  DEFER   lookup deferred
1804                  ERROR   failed to find the host name or IP address
1805                          unknown lookup type specified
1806 */
1807
1808 static int
1809 check_host(void *arg, uschar *ss, uschar **valueptr, uschar **error)
1810 {
1811 check_host_block *cb = (check_host_block *)arg;
1812 int maskoffset;
1813 BOOL isquery = FALSE;
1814 uschar *semicolon, *t;
1815 uschar **aliases;
1816
1817 /* Optimize for the special case when the pattern is "*". */
1818
1819 if (*ss == '*' && ss[1] == 0) return OK;
1820
1821 /* If the pattern is empty, it matches only in the case when there is no host -
1822 this can occur in ACL checking for SMTP input using the -bs option. In this
1823 situation, the host address is the empty string. */
1824
1825 if (cb->host_address[0] == 0) return (*ss == 0)? OK : FAIL;
1826 if (*ss == 0) return FAIL;
1827
1828 /* If the pattern is precisely "@" then match against the primary host name;
1829 if it's "@[]" match against the local host's IP addresses. */
1830
1831 if (*ss == '@')
1832   {
1833   if (ss[1] == 0) ss = primary_hostname;
1834   else if (Ustrcmp(ss, "@[]") == 0)
1835     {
1836     ip_address_item *ip;
1837     for (ip = host_find_interfaces(); ip != NULL; ip = ip->next)
1838       if (Ustrcmp(ip->address, cb->host_address) == 0) return OK;
1839     return FAIL;
1840     }
1841   }
1842
1843 /* If the pattern is an IP address, optionally followed by a bitmask count, do
1844 a (possibly masked) comparision with the current IP address. */
1845
1846 if (string_is_ip_address(ss, &maskoffset) > 0)
1847   return (host_is_in_net(cb->host_address, ss, maskoffset)? OK : FAIL);
1848
1849 /* If the item is of the form net[n]-lookup;<file|query> then it is a lookup on
1850 a masked IP network, in textual form. The net- stuff really only applies to
1851 single-key lookups where the key is implicit. For query-style lookups the key
1852 is specified in the query. From release 4.30, the use of net- for query style
1853 is no longer needed, but we retain it for backward compatibility. */
1854
1855 if (Ustrncmp(ss, "net", 3) == 0 && (semicolon = Ustrchr(ss, ';')) != NULL)
1856   {
1857   int mlen = 0;
1858   for (t = ss + 3; isdigit(*t); t++) mlen = mlen * 10 + *t - '0';
1859   if (*t++ == '-')
1860     {
1861     int insize;
1862     int search_type;
1863     int incoming[4];
1864     void *handle;
1865     uschar *filename, *key, *result;
1866     uschar buffer[64];
1867
1868     /* If no mask was supplied, set a negative value */
1869
1870     if (mlen == 0 && t == ss+4) mlen = -1;
1871
1872     /* Find the search type */
1873
1874     search_type = search_findtype(t, semicolon - t);
1875
1876     if (search_type < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
1877       search_error_message);
1878
1879     /* Adjust parameters for the type of lookup. For a query-style
1880     lookup, there is no file name, and the "key" is just the query. For
1881     a single-key lookup, the key is the current IP address, masked
1882     appropriately, and reconverted to text form, with the mask appended.
1883     For IPv6 addresses, specify dot separators instead of colons. */
1884
1885     if (mac_islookup(search_type, lookup_querystyle))
1886       {
1887       filename = NULL;
1888       key = semicolon + 1;
1889       }
1890     else
1891       {
1892       insize = host_aton(cb->host_address, incoming);
1893       host_mask(insize, incoming, mlen);
1894       (void)host_nmtoa(insize, incoming, mlen, buffer, '.');
1895       key = buffer;
1896       filename = semicolon + 1;
1897       }
1898
1899     /* Now do the actual lookup; note that there is no search_close() because
1900     of the caching arrangements. */
1901
1902     handle = search_open(filename, search_type, 0, NULL, NULL);
1903     if (handle == NULL) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
1904       search_error_message);
1905     result = search_find(handle, filename, key, -1, NULL, 0, 0, NULL);
1906     if (valueptr != NULL) *valueptr = result;
1907     return (result != NULL)? OK : search_find_defer? DEFER: FAIL;
1908     }
1909   }
1910
1911 /* The pattern is not an IP address or network reference of any kind. That is,
1912 it is a host name pattern. Check the characters of the pattern to see if they
1913 comprise only letters, digits, full stops, and hyphens (the constituents of
1914 domain names). Allow underscores, as they are all too commonly found. Sigh.
1915 Also, if allow_utf8_domains is set, allow top-bit characters. */
1916
1917 for (t = ss; *t != 0; t++)
1918   if (!isalnum(*t) && *t != '.' && *t != '-' && *t != '_' &&
1919       (!allow_utf8_domains || *t < 128)) break;
1920
1921 /* If the pattern is a complete domain name, with no fancy characters, look up
1922 its IP address and match against that. Note that a multi-homed host will add
1923 items to the chain. */
1924
1925 if (*t == 0)
1926   {
1927   int rc;
1928   host_item h;
1929   h.next = NULL;
1930   h.name = ss;
1931   h.address = NULL;
1932   h.mx = MX_NONE;
1933   rc = host_find_byname(&h, NULL, NULL, FALSE);
1934   if (rc == HOST_FOUND || rc == HOST_FOUND_LOCAL)
1935     {
1936     host_item *hh;
1937     for (hh = &h; hh != NULL; hh = hh->next)
1938       {
1939       if (Ustrcmp(hh->address, (Ustrchr(hh->address, ':') == NULL)?
1940         cb->host_ipv4 : cb->host_address) == 0)
1941           return OK;
1942       }
1943     return FAIL;
1944     }
1945   if (rc == HOST_FIND_AGAIN) return DEFER;
1946   *error = string_sprintf("failed to find IP address for %s", ss);
1947   return ERROR;
1948   }
1949
1950 /* Almost all subsequent comparisons require the host name, and can be done
1951 using the general string matching function. When this function is called for
1952 outgoing hosts, the name is always given explicitly. If it is NULL, it means we
1953 must use sender_host_name and its aliases, looking them up if necessary. */
1954
1955 if (cb->host_name != NULL)   /* Explicit host name given */
1956   return match_check_string(cb->host_name, ss, -1, TRUE, TRUE, TRUE,
1957     valueptr);
1958
1959 /* Host name not given; in principle we need the sender host name and its
1960 aliases. However, for query-style lookups, we do not need the name if the
1961 query does not contain $sender_host_name. From release 4.23, a reference to
1962 $sender_host_name causes it to be looked up, so we don't need to do the lookup
1963 on spec. */
1964
1965 if ((semicolon = Ustrchr(ss, ';')) != NULL)
1966   {
1967   uschar *affix;
1968   int partial, affixlen, starflags, id;
1969
1970   *semicolon = 0;
1971   id = search_findtype_partial(ss, &partial, &affix, &affixlen, &starflags);
1972   *semicolon=';';
1973
1974   if (id < 0)                           /* Unknown lookup type */
1975     {
1976     log_write(0, LOG_MAIN|LOG_PANIC, "%s in host list item \"%s\"",
1977       search_error_message, ss);
1978     return DEFER;
1979     }
1980   isquery = mac_islookup(id, lookup_querystyle);
1981   }
1982
1983 if (isquery)
1984   {
1985   switch(match_check_string(US"", ss, -1, TRUE, TRUE, TRUE, valueptr))
1986     {
1987     case OK:    return OK;
1988     case DEFER: return DEFER;
1989     default:    return FAIL;
1990     }
1991   }
1992
1993 /* Not a query-style lookup; must ensure the host name is present, and then we
1994 do a check on the name and all its aliases. */
1995
1996 if (sender_host_name == NULL)
1997   {
1998   HDEBUG(D_host_lookup)
1999     debug_printf("sender host name required, to match against %s\n", ss);
2000   if (host_lookup_failed || host_name_lookup() != OK)
2001     {
2002     *error = string_sprintf("failed to find host name for %s",
2003       sender_host_address);;
2004     return ERROR;
2005     }
2006   host_build_sender_fullhost();
2007   }
2008
2009 /* Match on the sender host name, using the general matching function */
2010
2011 switch(match_check_string(sender_host_name, ss, -1, TRUE, TRUE, TRUE,
2012        valueptr))
2013   {
2014   case OK:    return OK;
2015   case DEFER: return DEFER;
2016   }
2017
2018 /* If there are aliases, try matching on them. */
2019
2020 aliases = sender_host_aliases;
2021 while (*aliases != NULL)
2022   {
2023   switch(match_check_string(*aliases++, ss, -1, TRUE, TRUE, TRUE, valueptr))
2024     {
2025     case OK:    return OK;
2026     case DEFER: return DEFER;
2027     }
2028   }
2029 return FAIL;
2030 }
2031
2032
2033
2034
2035 /*************************************************
2036 *    Check a specific host matches a host list   *
2037 *************************************************/
2038
2039 /* This function is passed a host list containing items in a number of
2040 different formats and the identity of a host. Its job is to determine whether
2041 the given host is in the set of hosts defined by the list. The host name is
2042 passed as a pointer so that it can be looked up if needed and not already
2043 known. This is commonly the case when called from verify_check_host() to check
2044 an incoming connection. When called from elsewhere the host name should usually
2045 be set.
2046
2047 This function is now just a front end to match_check_list(), which runs common
2048 code for scanning a list. We pass it the check_host() function to perform a
2049 single test.
2050
2051 Arguments:
2052   listptr              pointer to the host list
2053   cache_bits           pointer to cache for named lists, or NULL
2054   host_name            the host name or NULL, implying use sender_host_name and
2055                          sender_host_aliases, looking them up if required
2056   host_address         the IP address
2057   valueptr             if not NULL, data from a lookup is passed back here
2058
2059 Returns:    OK    if the host is in the defined set
2060             FAIL  if the host is not in the defined set,
2061             DEFER if a data lookup deferred (not a host lookup)
2062
2063 If the host name was needed in order to make a comparison, and could not be
2064 determined from the IP address, the result is FAIL unless the item
2065 "+allow_unknown" was met earlier in the list, in which case OK is returned. */
2066
2067 int
2068 verify_check_this_host(uschar **listptr, unsigned int *cache_bits,
2069   uschar *host_name, uschar *host_address, uschar **valueptr)
2070 {
2071 int rc;
2072 unsigned int *local_cache_bits = cache_bits;
2073 uschar *save_host_address = deliver_host_address;
2074 check_host_block cb;
2075 cb.host_name = host_name;
2076 cb.host_address = host_address;
2077
2078 if (valueptr != NULL) *valueptr = NULL;
2079
2080 /* If the host address starts off ::ffff: it is an IPv6 address in
2081 IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2082 addresses. */
2083
2084 cb.host_ipv4 = (Ustrncmp(host_address, "::ffff:", 7) == 0)?
2085   host_address + 7 : host_address;
2086
2087 /* During the running of the check, put the IP address into $host_address. In
2088 the case of calls from the smtp transport, it will already be there. However,
2089 in other calls (e.g. when testing ignore_target_hosts), it won't. Just to be on
2090 the safe side, any existing setting is preserved, though as I write this
2091 (November 2004) I can't see any cases where it is actually needed. */
2092
2093 deliver_host_address = host_address;
2094 rc = match_check_list(
2095        listptr,                                /* the list */
2096        0,                                      /* separator character */
2097        &hostlist_anchor,                       /* anchor pointer */
2098        &local_cache_bits,                      /* cache pointer */
2099        check_host,                             /* function for testing */
2100        &cb,                                    /* argument for function */
2101        MCL_HOST,                               /* type of check */
2102        (host_address == sender_host_address)?
2103          US"host" : host_address,              /* text for debugging */
2104        valueptr);                              /* where to pass back data */
2105 deliver_host_address = save_host_address;
2106 return rc;
2107 }
2108
2109
2110
2111
2112 /*************************************************
2113 *      Check the remote host matches a list      *
2114 *************************************************/
2115
2116 /* This is a front end to verify_check_this_host(), created because checking
2117 the remote host is a common occurrence. With luck, a good compiler will spot
2118 the tail recursion and optimize it. If there's no host address, this is
2119 command-line SMTP input - check against an empty string for the address.
2120
2121 Arguments:
2122   listptr              pointer to the host list
2123
2124 Returns:               the yield of verify_check_this_host(),
2125                        i.e. OK, FAIL, or DEFER
2126 */
2127
2128 int
2129 verify_check_host(uschar **listptr)
2130 {
2131 return verify_check_this_host(listptr, sender_host_cache, NULL,
2132   (sender_host_address == NULL)? US"" : sender_host_address, NULL);
2133 }
2134
2135
2136
2137
2138
2139 /*************************************************
2140 *    Invert an IP address for a DNS black list   *
2141 *************************************************/
2142
2143 /*
2144 Arguments:
2145   buffer         where to put the answer
2146   address        the address to invert
2147 */
2148
2149 static void
2150 invert_address(uschar *buffer, uschar *address)
2151 {
2152 int bin[4];
2153 uschar *bptr = buffer;
2154
2155 /* If this is an IPv4 address mapped into IPv6 format, adjust the pointer
2156 to the IPv4 part only. */
2157
2158 if (Ustrncmp(address, "::ffff:", 7) == 0) address += 7;
2159
2160 /* Handle IPv4 address: when HAVE_IPV6 is false, the result of host_aton() is
2161 always 1. */
2162
2163 if (host_aton(address, bin) == 1)
2164   {
2165   int i;
2166   int x = bin[0];
2167   for (i = 0; i < 4; i++)
2168     {
2169     sprintf(CS bptr, "%d.", x & 255);
2170     while (*bptr) bptr++;
2171     x >>= 8;
2172     }
2173   }
2174
2175 /* Handle IPv6 address. Actually, as far as I know, there are no IPv6 addresses
2176 in any DNS black lists, and the format in which they will be looked up is
2177 unknown. This is just a guess. */
2178
2179 #if HAVE_IPV6
2180 else
2181   {
2182   int i, j;
2183   for (j = 3; j >= 0; j--)
2184     {
2185     int x = bin[j];
2186     for (i = 0; i < 8; i++)
2187       {
2188       sprintf(CS bptr, "%x.", x & 15);
2189       while (*bptr) bptr++;
2190       x >>= 4;
2191       }
2192     }
2193   }
2194 #endif
2195 }
2196
2197
2198
2199 /*************************************************
2200 *          Perform a single dnsbl lookup         *
2201 *************************************************/
2202
2203 /* This function is called from verify_check_dnsbl() below.
2204
2205 Arguments:
2206   domain         the outer dnsbl domain (for debug message)
2207   keydomain      the current keydomain (for debug message)
2208   query          the domain to be looked up
2209   iplist         the list of matching IP addresses
2210   bitmask        true if bitmask matching is wanted
2211   invert_result  true if result to be inverted
2212   defer_return   what to return for a defer
2213
2214 Returns:         OK if lookup succeeded
2215                  FAIL if not
2216 */
2217
2218 static int
2219 one_check_dnsbl(uschar *domain, uschar *keydomain, uschar *query,
2220   uschar *iplist, BOOL bitmask, BOOL invert_result, int defer_return)
2221 {
2222 dns_answer dnsa;
2223 dns_scan dnss;
2224 tree_node *t;
2225 dnsbl_cache_block *cb;
2226 int old_pool = store_pool;
2227
2228 /* Look for this query in the cache. */
2229
2230 t = tree_search(dnsbl_cache, query);
2231
2232 /* If not cached from a previous lookup, we must do a DNS lookup, and
2233 cache the result in permanent memory. */
2234
2235 if (t == NULL)
2236   {
2237   store_pool = POOL_PERM;
2238
2239   /* Set up a tree entry to cache the lookup */
2240
2241   t = store_get(sizeof(tree_node) + Ustrlen(query));
2242   Ustrcpy(t->name, query);
2243   t->data.ptr = cb = store_get(sizeof(dnsbl_cache_block));
2244   (void)tree_insertnode(&dnsbl_cache, t);
2245
2246   /* Do the DNS loopup . */
2247
2248   HDEBUG(D_dnsbl) debug_printf("new DNS lookup for %s\n", query);
2249   cb->rc = dns_basic_lookup(&dnsa, query, T_A);
2250   cb->text_set = FALSE;
2251   cb->text = NULL;
2252   cb->rhs = NULL;
2253
2254   /* If the lookup succeeded, cache the RHS address. The code allows for
2255   more than one address - this was for complete generality and the possible
2256   use of A6 records. However, A6 records have been reduced to experimental
2257   status (August 2001) and may die out. So they may never get used at all,
2258   let alone in dnsbl records. However, leave the code here, just in case.
2259
2260   Quite apart from one A6 RR generating multiple addresses, there are DNS
2261   lists that return more than one A record, so we must handle multiple
2262   addresses generated in that way as well. */
2263
2264   if (cb->rc == DNS_SUCCEED)
2265     {
2266     dns_record *rr;
2267     dns_address **addrp = &(cb->rhs);
2268     for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
2269          rr != NULL;
2270          rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
2271       {
2272       if (rr->type == T_A)
2273         {
2274         dns_address *da = dns_address_from_rr(&dnsa, rr);
2275         if (da != NULL)
2276           {
2277           *addrp = da;
2278           while (da->next != NULL) da = da->next;
2279           addrp = &(da->next);
2280           }
2281         }
2282       }
2283
2284     /* If we didn't find any A records, change the return code. This can
2285     happen when there is a CNAME record but there are no A records for what
2286     it points to. */
2287
2288     if (cb->rhs == NULL) cb->rc = DNS_NODATA;
2289     }
2290
2291   store_pool = old_pool;
2292   }
2293
2294 /* Previous lookup was cached */
2295
2296 else
2297   {
2298   HDEBUG(D_dnsbl) debug_printf("using result of previous DNS lookup\n");
2299   cb = t->data.ptr;
2300   }
2301
2302 /* We now have the result of the DNS lookup, either newly done, or cached
2303 from a previous call. If the lookup succeeded, check against the address
2304 list if there is one. This may be a positive equality list (introduced by
2305 "="), a negative equality list (introduced by "!="), a positive bitmask
2306 list (introduced by "&"), or a negative bitmask list (introduced by "!&").*/
2307
2308 if (cb->rc == DNS_SUCCEED)
2309   {
2310   dns_address *da = NULL;
2311   uschar *addlist = cb->rhs->address;
2312
2313   /* For A and AAAA records, there may be multiple addresses from multiple
2314   records. For A6 records (currently not expected to be used) there may be
2315   multiple addresses from a single record. */
2316
2317   for (da = cb->rhs->next; da != NULL; da = da->next)
2318     addlist = string_sprintf("%s, %s", addlist, da->address);
2319
2320   HDEBUG(D_dnsbl) debug_printf("DNS lookup for %s succeeded (yielding %s)\n",
2321     query, addlist);
2322
2323   /* Address list check; this can be either for equality, or via a bitmask.
2324   In the latter case, all the bits must match. */
2325
2326   if (iplist != NULL)
2327     {
2328     int ipsep = ',';
2329     uschar ip[46];
2330     uschar *ptr = iplist;
2331
2332     while (string_nextinlist(&ptr, &ipsep, ip, sizeof(ip)) != NULL)
2333       {
2334       /* Handle exact matching */
2335       if (!bitmask)
2336         {
2337         for (da = cb->rhs; da != NULL; da = da->next)
2338           {
2339           if (Ustrcmp(CS da->address, ip) == 0) break;
2340           }
2341         }
2342       /* Handle bitmask matching */
2343       else
2344         {
2345         int address[4];
2346         int mask = 0;
2347
2348         /* At present, all known DNS blocking lists use A records, with
2349         IPv4 addresses on the RHS encoding the information they return. I
2350         wonder if this will linger on as the last vestige of IPv4 when IPv6
2351         is ubiquitous? Anyway, for now we use paranoia code to completely
2352         ignore IPv6 addresses. The default mask is 0, which always matches.
2353         We change this only for IPv4 addresses in the list. */
2354
2355         if (host_aton(ip, address) == 1) mask = address[0];
2356
2357         /* Scan the returned addresses, skipping any that are IPv6 */
2358
2359         for (da = cb->rhs; da != NULL; da = da->next)
2360           {
2361           if (host_aton(da->address, address) != 1) continue;
2362           if ((address[0] & mask) == mask) break;
2363           }
2364         }
2365
2366       /* Break out if a match has been found */
2367
2368       if (da != NULL) break;
2369       }
2370
2371     /* If either
2372
2373        (a) No IP address in a positive list matched, or
2374        (b) An IP address in a negative list did match
2375
2376     then behave as if the DNSBL lookup had not succeeded, i.e. the host is
2377     not on the list. */
2378
2379     if (invert_result != (da == NULL))
2380       {
2381       HDEBUG(D_dnsbl)
2382         {
2383         debug_printf("=> but we are not accepting this block class because\n");
2384         debug_printf("=> there was %s match for %c%s\n",
2385           invert_result? "an exclude":"no", bitmask? '&' : '=', iplist);
2386         }
2387       return FAIL;
2388       }
2389     }
2390
2391   /* Either there was no IP list, or the record matched. Look up a TXT record
2392   if it hasn't previously been done. */
2393
2394   if (!cb->text_set)
2395     {
2396     cb->text_set = TRUE;
2397     if (dns_basic_lookup(&dnsa, query, T_TXT) == DNS_SUCCEED)
2398       {
2399       dns_record *rr;
2400       for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
2401            rr != NULL;
2402            rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
2403         if (rr->type == T_TXT) break;
2404       if (rr != NULL)
2405         {
2406         int len = (rr->data)[0];
2407         if (len > 511) len = 127;
2408         store_pool = POOL_PERM;
2409         cb->text = string_sprintf("%.*s", len, (const uschar *)(rr->data+1));
2410         store_pool = old_pool;
2411         }
2412       }
2413     }
2414
2415   dnslist_value = addlist;
2416   dnslist_text = cb->text;
2417   return OK;
2418   }
2419
2420 /* There was a problem with the DNS lookup */
2421
2422 if (cb->rc != DNS_NOMATCH && cb->rc != DNS_NODATA)
2423   {
2424   log_write(L_dnslist_defer, LOG_MAIN,
2425     "DNS list lookup defer (probably timeout) for %s: %s", query,
2426     (defer_return == OK)?   US"assumed in list" :
2427     (defer_return == FAIL)? US"assumed not in list" :
2428                             US"returned DEFER");
2429   return defer_return;
2430   }
2431
2432 /* No entry was found in the DNS; continue for next domain */
2433
2434 HDEBUG(D_dnsbl)
2435   {
2436   debug_printf("DNS lookup for %s failed\n", query);
2437   debug_printf("=> that means %s is not listed at %s\n",
2438      keydomain, domain);
2439   }
2440
2441 return FAIL;
2442 }
2443
2444
2445
2446
2447 /*************************************************
2448 *        Check host against DNS black lists      *
2449 *************************************************/
2450
2451 /* This function runs checks against a list of DNS black lists, until one
2452 matches. Each item on the list can be of the form
2453
2454   domain=ip-address/key
2455
2456 The domain is the right-most domain that is used for the query, for example,
2457 blackholes.mail-abuse.org. If the IP address is present, there is a match only
2458 if the DNS lookup returns a matching IP address. Several addresses may be
2459 given, comma-separated, for example: x.y.z=127.0.0.1,127.0.0.2.
2460
2461 If no key is given, what is looked up in the domain is the inverted IP address
2462 of the current client host. If a key is given, it is used to construct the
2463 domain for the lookup. For example,
2464
2465   dsn.rfc-ignorant.org/$sender_address_domain
2466
2467 After finding a match in the DNS, the domain is placed in $dnslist_domain, and
2468 then we check for a TXT record for an error message, and if found, save its
2469 value in $dnslist_text. We also cache everything in a tree, to optimize
2470 multiple lookups.
2471
2472 Note: an address for testing RBL is 192.203.178.39
2473 Note: an address for testing DUL is 192.203.178.4
2474 Note: a domain for testing RFCI is example.tld.dsn.rfc-ignorant.org
2475
2476 Arguments:
2477   listptr      the domain/address/data list
2478
2479 Returns:    OK      successful lookup (i.e. the address is on the list), or
2480                       lookup deferred after +include_unknown
2481             FAIL    name not found, or no data found for the given type, or
2482                       lookup deferred after +exclude_unknown (default)
2483             DEFER   lookup failure, if +defer_unknown was set
2484 */
2485
2486 int
2487 verify_check_dnsbl(uschar **listptr)
2488 {
2489 int sep = 0;
2490 int defer_return = FAIL;
2491 BOOL invert_result = FALSE;
2492 uschar *list = *listptr;
2493 uschar *domain;
2494 uschar *s;
2495 uschar buffer[1024];
2496 uschar query[256];         /* DNS domain max length */
2497 uschar revadd[128];        /* Long enough for IPv6 address */
2498
2499 /* Indicate that the inverted IP address is not yet set up */
2500
2501 revadd[0] = 0;
2502
2503 /* In case this is the first time the DNS resolver is being used. */
2504
2505 dns_init(FALSE, FALSE);
2506
2507 /* Loop through all the domains supplied, until something matches */
2508
2509 while ((domain = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
2510   {
2511   int rc;
2512   BOOL frc;
2513   BOOL bitmask = FALSE;
2514   uschar *iplist;
2515   uschar *key;
2516
2517   HDEBUG(D_dnsbl) debug_printf("DNS list check: %s\n", domain);
2518
2519   /* Deal with special values that change the behaviour on defer */
2520
2521   if (domain[0] == '+')
2522     {
2523     if      (strcmpic(domain, US"+include_unknown") == 0) defer_return = OK;
2524     else if (strcmpic(domain, US"+exclude_unknown") == 0) defer_return = FAIL;
2525     else if (strcmpic(domain, US"+defer_unknown") == 0)   defer_return = DEFER;
2526     else
2527       log_write(0, LOG_MAIN|LOG_PANIC, "unknown item in dnslist (ignored): %s",
2528         domain);
2529     continue;
2530     }
2531
2532   /* See if there's explicit data to be looked up */
2533
2534   key = Ustrchr(domain, '/');
2535   if (key != NULL) *key++ = 0;
2536
2537   /* See if there's a list of addresses supplied after the domain name. This is
2538   introduced by an = or a & character; if preceded by ! we invert the result.
2539   */
2540
2541   iplist = Ustrchr(domain, '=');
2542   if (iplist == NULL)
2543     {
2544     bitmask = TRUE;
2545     iplist = Ustrchr(domain, '&');
2546     }
2547
2548   if (iplist != NULL)
2549     {
2550     if (iplist > domain && iplist[-1] == '!')
2551       {
2552       invert_result = TRUE;
2553       iplist[-1] = 0;
2554       }
2555     *iplist++ = 0;
2556     }
2557
2558   /* Check that what we have left is a sensible domain name. There is no reason
2559   why these domains should in fact use the same syntax as hosts and email
2560   domains, but in practice they seem to. However, there is little point in
2561   actually causing an error here, because that would no doubt hold up incoming
2562   mail. Instead, I'll just log it. */
2563
2564   for (s = domain; *s != 0; s++)
2565     {
2566     if (!isalnum(*s) && *s != '-' && *s != '.')
2567       {
2568       log_write(0, LOG_MAIN, "dnslists domain \"%s\" contains "
2569         "strange characters - is this right?", domain);
2570       break;
2571       }
2572     }
2573
2574   /* If there is no key string, construct the query by adding the domain name
2575   onto the inverted host address, and perform a single DNS lookup. */
2576
2577   if (key == NULL)
2578     {
2579     if (sender_host_address == NULL) return FAIL;    /* can never match */
2580     if (revadd[0] == 0) invert_address(revadd, sender_host_address);
2581     frc = string_format(query, sizeof(query), "%s%s", revadd, domain);
2582
2583     if (!frc)
2584       {
2585       log_write(0, LOG_MAIN|LOG_PANIC, "dnslist query is too long "
2586         "(ignored): %s...", query);
2587       continue;
2588       }
2589
2590     rc = one_check_dnsbl(domain, sender_host_address, query, iplist, bitmask,
2591       invert_result, defer_return);
2592
2593     if (rc == OK)
2594       {
2595       dnslist_domain = string_copy(domain);
2596       HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
2597         sender_host_address, domain);
2598       }
2599
2600     if (rc != FAIL) return rc;     /* OK or DEFER */
2601     }
2602
2603   /* If there is a key string, it can be a list of domains or IP addresses to
2604   be concatenated with the main domain. */
2605
2606   else
2607     {
2608     int keysep = 0;
2609     BOOL defer = FALSE;
2610     uschar *keydomain;
2611     uschar keybuffer[256];
2612
2613     while ((keydomain = string_nextinlist(&key, &keysep, keybuffer,
2614             sizeof(keybuffer))) != NULL)
2615       {
2616       if (string_is_ip_address(keydomain, NULL) > 0)
2617         {
2618         uschar keyrevadd[128];
2619         invert_address(keyrevadd, keydomain);
2620         frc = string_format(query, sizeof(query), "%s%s", keyrevadd, domain);
2621         }
2622       else
2623         {
2624         frc = string_format(query, sizeof(query), "%s.%s", keydomain, domain);
2625         }
2626
2627       if (!frc)
2628         {
2629         log_write(0, LOG_MAIN|LOG_PANIC, "dnslist query is too long "
2630           "(ignored): %s...", query);
2631         continue;
2632         }
2633
2634       rc = one_check_dnsbl(domain, keydomain, query, iplist, bitmask,
2635         invert_result, defer_return);
2636
2637       if (rc == OK)
2638         {
2639         dnslist_domain = string_copy(domain);
2640         HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
2641           keydomain, domain);
2642         return OK;
2643         }
2644
2645       /* If the lookup deferred, remember this fact. We keep trying the rest
2646       of the list to see if we get a useful result, and if we don't, we return
2647       DEFER at the end. */
2648
2649       if (rc == DEFER) defer = TRUE;
2650       }    /* continue with next keystring domain/address */
2651
2652     if (defer) return DEFER;
2653     }
2654   }        /* continue with next dnsdb outer domain */
2655
2656 return FAIL;
2657 }
2658
2659 /* End of verify.c */