aed80cae9ca49de05d36dea7f19de8d9681b2eed
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 #include "../exim.h"
9 #include "smtp.h"
10
11
12 /* Options specific to the smtp transport. This transport also supports LMTP
13 over TCP/IP. The options must be in alphabetic order (note that "_" comes
14 before the lower case letters). Some live in the transport_instance block so as
15 to be publicly visible; these are flagged with opt_public. */
16
17 optionlist smtp_transport_options[] = {
18   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
19       (void *)offsetof(transport_instance, expand_multi_domain) },
20   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
21        (void *)(offsetof(smtp_transport_options_block, expand_retry_include_ip_address)) },
22
23   { "address_retry_include_sender", opt_bool,
24       (void *)offsetof(smtp_transport_options_block, address_retry_include_sender) },
25   { "allow_localhost",      opt_bool,
26       (void *)offsetof(smtp_transport_options_block, allow_localhost) },
27 #ifdef EXPERIMENTAL_ARC
28   { "arc_sign", opt_stringptr,
29       (void *)offsetof(smtp_transport_options_block, arc_sign) },
30 #endif
31   { "authenticated_sender", opt_stringptr,
32       (void *)offsetof(smtp_transport_options_block, authenticated_sender) },
33   { "authenticated_sender_force", opt_bool,
34       (void *)offsetof(smtp_transport_options_block, authenticated_sender_force) },
35   { "command_timeout",      opt_time,
36       (void *)offsetof(smtp_transport_options_block, command_timeout) },
37   { "connect_timeout",      opt_time,
38       (void *)offsetof(smtp_transport_options_block, connect_timeout) },
39   { "connection_max_messages", opt_int | opt_public,
40       (void *)offsetof(transport_instance, connection_max_messages) },
41 # ifdef SUPPORT_DANE
42   { "dane_require_tls_ciphers", opt_stringptr,
43       (void *)offsetof(smtp_transport_options_block, dane_require_tls_ciphers) },
44 # endif
45   { "data_timeout",         opt_time,
46       (void *)offsetof(smtp_transport_options_block, data_timeout) },
47   { "delay_after_cutoff", opt_bool,
48       (void *)offsetof(smtp_transport_options_block, delay_after_cutoff) },
49 #ifndef DISABLE_DKIM
50   { "dkim_canon", opt_stringptr,
51       (void *)offsetof(smtp_transport_options_block, dkim.dkim_canon) },
52   { "dkim_domain", opt_stringptr,
53       (void *)offsetof(smtp_transport_options_block, dkim.dkim_domain) },
54   { "dkim_hash", opt_stringptr,
55       (void *)offsetof(smtp_transport_options_block, dkim.dkim_hash) },
56   { "dkim_identity", opt_stringptr,
57       (void *)offsetof(smtp_transport_options_block, dkim.dkim_identity) },
58   { "dkim_private_key", opt_stringptr,
59       (void *)offsetof(smtp_transport_options_block, dkim.dkim_private_key) },
60   { "dkim_selector", opt_stringptr,
61       (void *)offsetof(smtp_transport_options_block, dkim.dkim_selector) },
62   { "dkim_sign_headers", opt_stringptr,
63       (void *)offsetof(smtp_transport_options_block, dkim.dkim_sign_headers) },
64   { "dkim_strict", opt_stringptr,
65       (void *)offsetof(smtp_transport_options_block, dkim.dkim_strict) },
66   { "dkim_timestamps", opt_stringptr,
67       (void *)offsetof(smtp_transport_options_block, dkim.dkim_timestamps) },
68 #endif
69   { "dns_qualify_single",   opt_bool,
70       (void *)offsetof(smtp_transport_options_block, dns_qualify_single) },
71   { "dns_search_parents",   opt_bool,
72       (void *)offsetof(smtp_transport_options_block, dns_search_parents) },
73   { "dnssec_request_domains", opt_stringptr,
74       (void *)offsetof(smtp_transport_options_block, dnssec.request) },
75   { "dnssec_require_domains", opt_stringptr,
76       (void *)offsetof(smtp_transport_options_block, dnssec.require) },
77   { "dscp",                 opt_stringptr,
78       (void *)offsetof(smtp_transport_options_block, dscp) },
79   { "fallback_hosts",       opt_stringptr,
80       (void *)offsetof(smtp_transport_options_block, fallback_hosts) },
81   { "final_timeout",        opt_time,
82       (void *)offsetof(smtp_transport_options_block, final_timeout) },
83   { "gethostbyname",        opt_bool,
84       (void *)offsetof(smtp_transport_options_block, gethostbyname) },
85   { "helo_data",            opt_stringptr,
86       (void *)offsetof(smtp_transport_options_block, helo_data) },
87   { "hosts",                opt_stringptr,
88       (void *)offsetof(smtp_transport_options_block, hosts) },
89   { "hosts_avoid_esmtp",    opt_stringptr,
90       (void *)offsetof(smtp_transport_options_block, hosts_avoid_esmtp) },
91   { "hosts_avoid_pipelining", opt_stringptr,
92       (void *)offsetof(smtp_transport_options_block, hosts_avoid_pipelining) },
93 #ifndef DISABLE_TLS
94   { "hosts_avoid_tls",      opt_stringptr,
95       (void *)offsetof(smtp_transport_options_block, hosts_avoid_tls) },
96 #endif
97   { "hosts_max_try",        opt_int,
98       (void *)offsetof(smtp_transport_options_block, hosts_max_try) },
99   { "hosts_max_try_hardlimit", opt_int,
100       (void *)offsetof(smtp_transport_options_block, hosts_max_try_hardlimit) },
101 #ifndef DISABLE_TLS
102   { "hosts_nopass_tls",     opt_stringptr,
103       (void *)offsetof(smtp_transport_options_block, hosts_nopass_tls) },
104   { "hosts_noproxy_tls",    opt_stringptr,
105       (void *)offsetof(smtp_transport_options_block, hosts_noproxy_tls) },
106 #endif
107   { "hosts_override",       opt_bool,
108       (void *)offsetof(smtp_transport_options_block, hosts_override) },
109 #ifdef EXPERIMENTAL_PIPE_CONNECT
110   { "hosts_pipe_connect",   opt_stringptr,
111       (void *)offsetof(smtp_transport_options_block, hosts_pipe_connect) },
112 #endif
113   { "hosts_randomize",      opt_bool,
114       (void *)offsetof(smtp_transport_options_block, hosts_randomize) },
115 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
116   { "hosts_request_ocsp",   opt_stringptr,
117       (void *)offsetof(smtp_transport_options_block, hosts_request_ocsp) },
118 #endif
119   { "hosts_require_auth",   opt_stringptr,
120       (void *)offsetof(smtp_transport_options_block, hosts_require_auth) },
121 #ifndef DISABLE_TLS
122 # ifdef SUPPORT_DANE
123   { "hosts_require_dane",   opt_stringptr,
124       (void *)offsetof(smtp_transport_options_block, hosts_require_dane) },
125 # endif
126 # ifndef DISABLE_OCSP
127   { "hosts_require_ocsp",   opt_stringptr,
128       (void *)offsetof(smtp_transport_options_block, hosts_require_ocsp) },
129 # endif
130   { "hosts_require_tls",    opt_stringptr,
131       (void *)offsetof(smtp_transport_options_block, hosts_require_tls) },
132 #endif
133   { "hosts_try_auth",       opt_stringptr,
134       (void *)offsetof(smtp_transport_options_block, hosts_try_auth) },
135   { "hosts_try_chunking",   opt_stringptr,
136       (void *)offsetof(smtp_transport_options_block, hosts_try_chunking) },
137 #ifdef SUPPORT_DANE
138   { "hosts_try_dane",       opt_stringptr,
139       (void *)offsetof(smtp_transport_options_block, hosts_try_dane) },
140 #endif
141   { "hosts_try_fastopen",   opt_stringptr,
142       (void *)offsetof(smtp_transport_options_block, hosts_try_fastopen) },
143 #ifndef DISABLE_PRDR
144   { "hosts_try_prdr",       opt_stringptr,
145       (void *)offsetof(smtp_transport_options_block, hosts_try_prdr) },
146 #endif
147 #ifndef DISABLE_TLS
148   { "hosts_verify_avoid_tls", opt_stringptr,
149       (void *)offsetof(smtp_transport_options_block, hosts_verify_avoid_tls) },
150 #endif
151   { "interface",            opt_stringptr,
152       (void *)offsetof(smtp_transport_options_block, interface) },
153   { "keepalive",            opt_bool,
154       (void *)offsetof(smtp_transport_options_block, keepalive) },
155   { "lmtp_ignore_quota",    opt_bool,
156       (void *)offsetof(smtp_transport_options_block, lmtp_ignore_quota) },
157   { "max_rcpt",             opt_int | opt_public,
158       (void *)offsetof(transport_instance, max_addresses) },
159   { "multi_domain",         opt_expand_bool | opt_public,
160       (void *)offsetof(transport_instance, multi_domain) },
161   { "port",                 opt_stringptr,
162       (void *)offsetof(smtp_transport_options_block, port) },
163   { "protocol",             opt_stringptr,
164       (void *)offsetof(smtp_transport_options_block, protocol) },
165   { "retry_include_ip_address", opt_expand_bool,
166       (void *)offsetof(smtp_transport_options_block, retry_include_ip_address) },
167   { "serialize_hosts",      opt_stringptr,
168       (void *)offsetof(smtp_transport_options_block, serialize_hosts) },
169   { "size_addition",        opt_int,
170       (void *)offsetof(smtp_transport_options_block, size_addition) },
171 #ifdef SUPPORT_SOCKS
172   { "socks_proxy",          opt_stringptr,
173       (void *)offsetof(smtp_transport_options_block, socks_proxy) },
174 #endif
175 #ifndef DISABLE_TLS
176   { "tls_certificate",      opt_stringptr,
177       (void *)offsetof(smtp_transport_options_block, tls_certificate) },
178   { "tls_crl",              opt_stringptr,
179       (void *)offsetof(smtp_transport_options_block, tls_crl) },
180   { "tls_dh_min_bits",      opt_int,
181       (void *)offsetof(smtp_transport_options_block, tls_dh_min_bits) },
182   { "tls_privatekey",       opt_stringptr,
183       (void *)offsetof(smtp_transport_options_block, tls_privatekey) },
184   { "tls_require_ciphers",  opt_stringptr,
185       (void *)offsetof(smtp_transport_options_block, tls_require_ciphers) },
186 # ifdef EXPERIMENTAL_TLS_RESUME
187   { "tls_resumption_hosts", opt_stringptr,
188       (void *)offsetof(smtp_transport_options_block, tls_resumption_hosts) },
189 # endif
190   { "tls_sni",              opt_stringptr,
191       (void *)offsetof(smtp_transport_options_block, tls_sni) },
192   { "tls_tempfail_tryclear", opt_bool,
193       (void *)offsetof(smtp_transport_options_block, tls_tempfail_tryclear) },
194   { "tls_try_verify_hosts", opt_stringptr,
195       (void *)offsetof(smtp_transport_options_block, tls_try_verify_hosts) },
196   { "tls_verify_cert_hostnames", opt_stringptr,
197       (void *)offsetof(smtp_transport_options_block,tls_verify_cert_hostnames)},
198   { "tls_verify_certificates", opt_stringptr,
199       (void *)offsetof(smtp_transport_options_block, tls_verify_certificates) },
200   { "tls_verify_hosts",     opt_stringptr,
201       (void *)offsetof(smtp_transport_options_block, tls_verify_hosts) },
202 #endif
203 #ifdef SUPPORT_I18N
204   { "utf8_downconvert",     opt_stringptr,
205       (void *)offsetof(smtp_transport_options_block, utf8_downconvert) },
206 #endif
207 };
208
209 /* Size of the options list. An extern variable has to be used so that its
210 address can appear in the tables drtables.c. */
211
212 int smtp_transport_options_count = nelem(smtp_transport_options);
213
214
215 #ifdef MACRO_PREDEF
216
217 /* Dummy values */
218 smtp_transport_options_block smtp_transport_option_defaults = {0};
219 void smtp_transport_init(transport_instance *tblock) {}
220 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
221 void smtp_transport_closedown(transport_instance *tblock) {}
222
223 #else   /*!MACRO_PREDEF*/
224
225
226 /* Default private options block for the smtp transport. */
227
228 smtp_transport_options_block smtp_transport_option_defaults = {
229   .hosts =                      NULL,
230   .fallback_hosts =             NULL,
231   .hostlist =                   NULL,
232   .fallback_hostlist =          NULL,
233   .helo_data =                  US"$primary_hostname",
234   .interface =                  NULL,
235   .port =                       NULL,
236   .protocol =                   US"smtp",
237   .dscp =                       NULL,
238   .serialize_hosts =            NULL,
239   .hosts_try_auth =             NULL,
240   .hosts_require_auth =         NULL,
241   .hosts_try_chunking =         US"*",
242 #ifdef SUPPORT_DANE
243   .hosts_try_dane =             US"*",
244   .hosts_require_dane =         NULL,
245   .dane_require_tls_ciphers =   NULL,
246 #endif
247   .hosts_try_fastopen =         NULL,
248 #ifndef DISABLE_PRDR
249   .hosts_try_prdr =             US"*",
250 #endif
251 #ifndef DISABLE_OCSP
252   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
253   .hosts_require_ocsp =         NULL,
254 #endif
255   .hosts_require_tls =          NULL,
256   .hosts_avoid_tls =            NULL,
257   .hosts_verify_avoid_tls =     NULL,
258   .hosts_avoid_pipelining =     NULL,
259 #ifdef EXPERIMENTAL_PIPE_CONNECT
260   .hosts_pipe_connect =         NULL,
261 #endif
262   .hosts_avoid_esmtp =          NULL,
263 #ifndef DISABLE_TLS
264   .hosts_nopass_tls =           NULL,
265   .hosts_noproxy_tls =          NULL,
266 #endif
267   .command_timeout =            5*60,
268   .connect_timeout =            5*60,
269   .data_timeout =               5*60,
270   .final_timeout =              10*60,
271   .size_addition =              1024,
272   .hosts_max_try =              5,
273   .hosts_max_try_hardlimit =    50,
274   .address_retry_include_sender = TRUE,
275   .allow_localhost =            FALSE,
276   .authenticated_sender_force = FALSE,
277   .gethostbyname =              FALSE,
278   .dns_qualify_single =         TRUE,
279   .dns_search_parents =         FALSE,
280   .dnssec = { .request=NULL, .require=NULL },
281   .delay_after_cutoff =         TRUE,
282   .hosts_override =             FALSE,
283   .hosts_randomize =            FALSE,
284   .keepalive =                  TRUE,
285   .lmtp_ignore_quota =          FALSE,
286   .expand_retry_include_ip_address =    NULL,
287   .retry_include_ip_address =   TRUE,
288 #ifdef SUPPORT_SOCKS
289   .socks_proxy =                NULL,
290 #endif
291 #ifndef DISABLE_TLS
292   .tls_certificate =            NULL,
293   .tls_crl =                    NULL,
294   .tls_privatekey =             NULL,
295   .tls_require_ciphers =        NULL,
296   .tls_sni =                    NULL,
297   .tls_verify_certificates =    US"system",
298   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
299   .tls_tempfail_tryclear =      TRUE,
300 # ifdef EXPERIMENTAL_TLS_RESUME
301   .tls_resumption_hosts =       NULL,
302 # endif
303   .tls_verify_hosts =           NULL,
304   .tls_try_verify_hosts =       US"*",
305   .tls_verify_cert_hostnames =  US"*",
306 #endif
307 #ifdef SUPPORT_I18N
308   .utf8_downconvert =           NULL,
309 #endif
310 #ifndef DISABLE_DKIM
311  .dkim =
312    {.dkim_domain =              NULL,
313     .dkim_identity =            NULL,
314     .dkim_private_key =         NULL,
315     .dkim_selector =            NULL,
316     .dkim_canon =               NULL,
317     .dkim_sign_headers =        NULL,
318     .dkim_strict =              NULL,
319     .dkim_hash =                US"sha256",
320     .dkim_timestamps =          NULL,
321     .dot_stuffed =              FALSE,
322     .force_bodyhash =           FALSE,
323 # ifdef EXPERIMENTAL_ARC
324     .arc_signspec =             NULL,
325 # endif
326     },
327 # ifdef EXPERIMENTAL_ARC
328   .arc_sign =                   NULL,
329 # endif
330 #endif
331 };
332
333 /* some DSN flags for use later */
334
335 static int     rf_list[] = {rf_notify_never, rf_notify_success,
336                             rf_notify_failure, rf_notify_delay };
337
338 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
339
340
341
342 /* Local statics */
343
344 static uschar *smtp_command;            /* Points to last cmd for error messages */
345 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
346 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
347 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
348
349 /*XXX move to smtp_context */
350 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
351
352
353 static unsigned ehlo_response(uschar * buf, unsigned checks);
354
355
356 /*************************************************
357 *             Setup entry point                  *
358 *************************************************/
359
360 /* This function is called when the transport is about to be used,
361 but before running it in a sub-process. It is used for two things:
362
363   (1) To set the fallback host list in addresses, when delivering.
364   (2) To pass back the interface, port, protocol, and other options, for use
365       during callout verification.
366
367 Arguments:
368   tblock    pointer to the transport instance block
369   addrlist  list of addresses about to be transported
370   tf        if not NULL, pointer to block in which to return options
371   uid       the uid that will be set (not used)
372   gid       the gid that will be set (not used)
373   errmsg    place for error message (not used)
374
375 Returns:  OK always (FAIL, DEFER not used)
376 */
377
378 static int
379 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
380   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
381 {
382 smtp_transport_options_block *ob = SOB tblock->options_block;
383
384 errmsg = errmsg;    /* Keep picky compilers happy */
385 uid = uid;
386 gid = gid;
387
388 /* Pass back options if required. This interface is getting very messy. */
389
390 if (tf)
391   {
392   tf->interface = ob->interface;
393   tf->port = ob->port;
394   tf->protocol = ob->protocol;
395   tf->hosts = ob->hosts;
396   tf->hosts_override = ob->hosts_override;
397   tf->hosts_randomize = ob->hosts_randomize;
398   tf->gethostbyname = ob->gethostbyname;
399   tf->qualify_single = ob->dns_qualify_single;
400   tf->search_parents = ob->dns_search_parents;
401   tf->helo_data = ob->helo_data;
402   }
403
404 /* Set the fallback host list for all the addresses that don't have fallback
405 host lists, provided that the local host wasn't present in the original host
406 list. */
407
408 if (!testflag(addrlist, af_local_host_removed))
409   for (; addrlist; addrlist = addrlist->next)
410     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
411
412 return OK;
413 }
414
415
416
417 /*************************************************
418 *          Initialization entry point            *
419 *************************************************/
420
421 /* Called for each instance, after its options have been read, to
422 enable consistency checks to be done, or anything else that needs
423 to be set up.
424
425 Argument:   pointer to the transport instance block
426 Returns:    nothing
427 */
428
429 void
430 smtp_transport_init(transport_instance *tblock)
431 {
432 smtp_transport_options_block *ob = SOB tblock->options_block;
433
434 /* Retry_use_local_part defaults FALSE if unset */
435
436 if (tblock->retry_use_local_part == TRUE_UNSET)
437   tblock->retry_use_local_part = FALSE;
438
439 /* Set the default port according to the protocol */
440
441 if (!ob->port)
442   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
443   ? US"lmtp"
444   : strcmpic(ob->protocol, US"smtps") == 0
445   ? US"smtps" : US"smtp";
446
447 /* Set up the setup entry point, to be called before subprocesses for this
448 transport. */
449
450 tblock->setup = smtp_transport_setup;
451
452 /* Complain if any of the timeouts are zero. */
453
454 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
455     ob->final_timeout <= 0)
456   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
457     "command, data, or final timeout value is zero for %s transport",
458       tblock->name);
459
460 /* If hosts_override is set and there are local hosts, set the global
461 flag that stops verify from showing router hosts. */
462
463 if (ob->hosts_override && ob->hosts != NULL) tblock->overrides_hosts = TRUE;
464
465 /* If there are any fallback hosts listed, build a chain of host items
466 for them, but do not do any lookups at this time. */
467
468 host_build_hostlist(&(ob->fallback_hostlist), ob->fallback_hosts, FALSE);
469 }
470
471
472
473
474
475 /*************************************************
476 *   Set delivery info into all active addresses  *
477 *************************************************/
478
479 /* Only addresses whose status is >= PENDING are relevant. A lesser
480 status means that an address is not currently being processed.
481
482 Arguments:
483   addrlist       points to a chain of addresses
484   errno_value    to put in each address's errno field
485   msg            to put in each address's message field
486   rc             to put in each address's transport_return field
487   pass_message   if TRUE, set the "pass message" flag in the address
488   host           if set, mark addrs as having used this host
489   smtp_greeting  from peer
490   helo_response  from peer
491
492 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
493 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
494 this particular type of timeout.
495
496 Returns:       nothing
497 */
498
499 static void
500 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
501   BOOL pass_message, host_item * host
502 #ifdef EXPERIMENTAL_DSN_INFO
503   , const uschar * smtp_greeting, const uschar * helo_response
504 #endif
505   )
506 {
507 int orvalue = 0;
508 if (errno_value == ERRNO_CONNECTTIMEOUT)
509   {
510   errno_value = ETIMEDOUT;
511   orvalue = RTEF_CTOUT;
512   }
513 for (address_item * addr = addrlist; addr; addr = addr->next)
514   if (addr->transport_return >= PENDING)
515     {
516     addr->basic_errno = errno_value;
517     addr->more_errno |= orvalue;
518     if (msg)
519       {
520       addr->message = msg;
521       if (pass_message) setflag(addr, af_pass_message);
522       }
523     addr->transport_return = rc;
524     if (host)
525       {
526       addr->host_used = host;
527 #ifdef EXPERIMENTAL_DSN_INFO
528       if (smtp_greeting)
529         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
530       addr->smtp_greeting = smtp_greeting;
531
532       if (helo_response)
533         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
534       addr->helo_response = helo_response;
535 #endif
536       }
537     }
538 }
539
540 static void
541 set_errno_nohost(address_item *addrlist, int errno_value, uschar *msg, int rc,
542   BOOL pass_message)
543 {
544 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL
545 #ifdef EXPERIMENTAL_DSN_INFO
546           , NULL, NULL
547 #endif
548           );
549 }
550
551
552 /*************************************************
553 *          Check an SMTP response                *
554 *************************************************/
555
556 /* This function is given an errno code and the SMTP response buffer
557 to analyse, together with the host identification for generating messages. It
558 sets an appropriate message and puts the first digit of the response code into
559 the yield variable. If no response was actually read, a suitable digit is
560 chosen.
561
562 Arguments:
563   host           the current host, to get its name for messages
564   errno_value    pointer to the errno value
565   more_errno     from the top address for use with ERRNO_FILTER_FAIL
566   buffer         the SMTP response buffer
567   yield          where to put a one-digit SMTP response code
568   message        where to put an error message
569   pass_message   set TRUE if message is an SMTP response
570
571 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
572 */
573
574 static BOOL
575 check_response(host_item *host, int *errno_value, int more_errno,
576   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
577 {
578 uschar * pl = pipelining_active ? US"pipelined " : US"";
579 const uschar * s;
580
581 *yield = '4';    /* Default setting is to give a temporary error */
582
583 switch(*errno_value)
584   {
585   case ETIMEDOUT:               /* Handle response timeout */
586     *message = US string_sprintf("SMTP timeout after %s%s",
587         pl, smtp_command);
588     if (transport_count > 0)
589       *message = US string_sprintf("%s (%d bytes written)", *message,
590         transport_count);
591     return FALSE;
592
593   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
594     s = string_printing(buffer);
595     while (isspace(*s)) s++;
596     *message = *s == 0
597       ? string_sprintf("Malformed SMTP reply (an empty line) "
598           "in response to %s%s", pl, smtp_command)
599       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
600           pl, smtp_command, s);
601     return FALSE;
602
603   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
604                                 GnuTLS and TLS1.3 */
605     *message = US"bad first read from TLS conn";
606     return TRUE;
607
608   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
609                           can't send QUIT as we mustn't end the DATA. */
610     *message = string_sprintf("transport filter process failed (%d)%s",
611       more_errno,
612       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
613     return FALSE;
614
615   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
616                             can't send QUIT as we mustn't end the DATA. */
617     *message =
618       string_sprintf("failed to expand headers_add or headers_remove: %s",
619         expand_string_message);
620     return FALSE;
621
622   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
623     *message = string_sprintf("failed to write a data block");
624     return FALSE;
625
626 #ifdef SUPPORT_I18N
627   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
628     *message = US"utf8 support required but not offered for forwarding";
629     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
630     return TRUE;
631 #endif
632   }
633
634 /* Handle error responses from the remote mailer. */
635
636 if (buffer[0] != 0)
637   {
638   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
639     "%s", pl, smtp_command, s = string_printing(buffer));
640   *pass_message = TRUE;
641   *yield = buffer[0];
642   return TRUE;
643   }
644
645 /* No data was read. If there is no errno, this must be the EOF (i.e.
646 connection closed) case, which causes deferral. An explicit connection reset
647 error has the same effect. Otherwise, put the host's identity in the message,
648 leaving the errno value to be interpreted as well. In all cases, we have to
649 assume the connection is now dead. */
650
651 if (*errno_value == 0 || *errno_value == ECONNRESET)
652   {
653   *errno_value = ERRNO_SMTPCLOSED;
654   *message = US string_sprintf("Remote host closed connection "
655     "in response to %s%s", pl, smtp_command);
656   }
657 else
658   *message = US string_sprintf("%s [%s]", host->name, host->address);
659
660 return FALSE;
661 }
662
663
664
665 /*************************************************
666 *          Write error message to logs           *
667 *************************************************/
668
669 /* This writes to the main log and to the message log.
670
671 Arguments:
672   host     the current host
673   detail  the current message (addr_item->message)
674   basic_errno the errno (addr_item->basic_errno)
675
676 Returns:   nothing
677 */
678
679 static void
680 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
681 {
682 gstring * message = LOGGING(outgoing_port)
683   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
684                     host->port == PORT_NONE ? 25 : host->port)
685   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
686
687 if (suffix)
688   {
689   message = string_fmt_append(message, ": %s", suffix);
690   if (basic_errno > 0)
691     message = string_fmt_append(message, ": %s", strerror(basic_errno));
692   }
693 else
694   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
695
696 log_write(0, LOG_MAIN, "%s", string_from_gstring(message));
697 deliver_msglog("%s %s\n", tod_stamp(tod_log), message->s);
698 }
699
700 static void
701 msglog_line(host_item * host, uschar * message)
702 {
703 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
704   host->name, host->address, message);
705 }
706
707
708
709 #ifndef DISABLE_EVENT
710 /*************************************************
711 *   Post-defer action                            *
712 *************************************************/
713
714 /* This expands an arbitrary per-transport string.
715    It might, for example, be used to write to the database log.
716
717 Arguments:
718   addr                  the address item containing error information
719   host                  the current host
720
721 Returns:   nothing
722 */
723
724 static void
725 deferred_event_raise(address_item *addr, host_item *host)
726 {
727 uschar * action = addr->transport->event_action;
728 const uschar * save_domain;
729 uschar * save_local;
730
731 if (!action)
732   return;
733
734 save_domain = deliver_domain;
735 save_local = deliver_localpart;
736
737 /*XXX would ip & port already be set up? */
738 deliver_host_address = string_copy(host->address);
739 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
740 event_defer_errno =    addr->basic_errno;
741
742 router_name =    addr->router->name;
743 transport_name = addr->transport->name;
744 deliver_domain = addr->domain;
745 deliver_localpart = addr->local_part;
746
747 (void) event_raise(action, US"msg:host:defer",
748     addr->message
749       ? addr->basic_errno > 0
750         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
751         : string_copy(addr->message)
752       : addr->basic_errno > 0
753         ? string_copy(US strerror(addr->basic_errno))
754         : NULL);
755
756 deliver_localpart = save_local;
757 deliver_domain =    save_domain;
758 router_name = transport_name = NULL;
759 }
760 #endif
761
762 /*************************************************
763 *           Reap SMTP specific responses         *
764 *************************************************/
765 static int
766 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
767   int count)
768 {
769 uschar flushbuffer[4096];
770
771 while (count-- > 0)
772   {
773   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
774              '2', ob->command_timeout)
775       && (errno != 0 || flushbuffer[0] == 0))
776     break;
777   }
778 return count;
779 }
780
781
782 /* Return boolean success */
783
784 static BOOL
785 smtp_reap_banner(smtp_context * sx)
786 {
787 BOOL good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
788   '2', (SOB sx->conn_args.ob)->command_timeout);
789 #ifdef EXPERIMENTAL_DSN_INFO
790 sx->smtp_greeting = string_copy(sx->buffer);
791 #endif
792 return good_response;
793 }
794
795 static BOOL
796 smtp_reap_ehlo(smtp_context * sx)
797 {
798 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
799        (SOB sx->conn_args.ob)->command_timeout))
800   {
801   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
802     {
803 #ifdef EXPERIMENTAL_DSN_INFO
804     sx->helo_response = string_copy(sx->buffer);
805 #endif
806     return FALSE;
807     }
808   sx->esmtp = FALSE;
809   }
810 #ifdef EXPERIMENTAL_DSN_INFO
811 sx->helo_response = string_copy(sx->buffer);
812 #endif
813 return TRUE;
814 }
815
816
817
818 #ifdef EXPERIMENTAL_PIPE_CONNECT
819 static uschar *
820 ehlo_cache_key(const smtp_context * sx)
821 {
822 host_item * host = sx->conn_args.host;
823 return Ustrchr(host->address, ':')
824   ? string_sprintf("[%s]:%d.EHLO", host->address,
825     host->port == PORT_NONE ? sx->port : host->port)
826   : string_sprintf("%s:%d.EHLO", host->address,
827     host->port == PORT_NONE ? sx->port : host->port);
828 }
829
830 static void
831 write_ehlo_cache_entry(const smtp_context * sx)
832 {
833 open_db dbblock, * dbm_file;
834
835 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
836   {
837   uschar * ehlo_resp_key = ehlo_cache_key(sx);
838   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
839
840   HDEBUG(D_transport) debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
841     sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
842     sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
843
844   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
845   dbfn_close(dbm_file);
846   }
847 }
848
849 static void
850 invalidate_ehlo_cache_entry(smtp_context * sx)
851 {
852 open_db dbblock, * dbm_file;
853
854 if (  sx->early_pipe_active
855    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
856   {
857   uschar * ehlo_resp_key = ehlo_cache_key(sx);
858   dbfn_delete(dbm_file, ehlo_resp_key);
859   dbfn_close(dbm_file);
860   }
861 }
862
863 static BOOL
864 read_ehlo_cache_entry(smtp_context * sx)
865 {
866 open_db dbblock;
867 open_db * dbm_file;
868
869 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
870   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
871 else
872   {
873   uschar * ehlo_resp_key = ehlo_cache_key(sx);
874   dbdata_ehlo_resp * er;
875
876   if (!(er = dbfn_read(dbm_file, ehlo_resp_key)))
877     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
878   else if (time(NULL) - er->time_stamp > retry_data_expire)
879     {
880     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
881     dbfn_close(dbm_file);
882     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
883       dbfn_delete(dbm_file, ehlo_resp_key);
884     }
885   else
886     {
887     sx->ehlo_resp = er->data;
888     dbfn_close(dbm_file);
889     DEBUG(D_transport) debug_printf(
890         "EHLO response bits from cache: cleartext 0x%04x crypted 0x%04x\n",
891         er->data.cleartext_features, er->data.crypted_features);
892     return TRUE;
893     }
894   dbfn_close(dbm_file);
895   }
896 return FALSE;
897 }
898
899
900
901 /* Return an auths bitmap for the set of AUTH methods offered by the server
902 which match our authenticators. */
903
904 static unsigned short
905 study_ehlo_auths(smtp_context * sx)
906 {
907 uschar * names;
908 auth_instance * au;
909 uschar authnum;
910 unsigned short authbits = 0;
911
912 if (!sx->esmtp) return 0;
913 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
914 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
915 expand_nmax = -1;                                               /* reset */
916 names = string_copyn(expand_nstring[1], expand_nlength[1]);
917
918 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
919   {
920   const uschar * list = names;
921   int sep = ' ';
922   uschar name[32];
923
924   while (string_nextinlist(&list, &sep, name, sizeof(name)))
925     if (strcmpic(au->public_name, name) == 0)
926       { authbits |= BIT(authnum); break; }
927   }
928
929 DEBUG(D_transport)
930   debug_printf("server offers %s AUTH, methods '%s', bitmap 0x%04x\n",
931     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
932
933 if (tls_out.active.sock >= 0)
934   sx->ehlo_resp.crypted_auths = authbits;
935 else
936   sx->ehlo_resp.cleartext_auths = authbits;
937 return authbits;
938 }
939
940
941
942
943 /* Wait for and check responses for early-pipelining.
944
945 Called from the lower-level smtp_read_response() function
946 used for general code that assume synchronisation, if context
947 flags indicate outstanding early-pipelining commands.  Also
948 called fom sync_responses() which handles pipelined commands.
949
950 Arguments:
951  sx     smtp connection context
952  countp number of outstanding responses, adjusted on return
953
954 Return:
955  OK     all well
956  DEFER  error on first read of TLS'd conn
957  FAIL   SMTP error in response
958 */
959 int
960 smtp_reap_early_pipe(smtp_context * sx, int * countp)
961 {
962 BOOL pending_BANNER = sx->pending_BANNER;
963 BOOL pending_EHLO = sx->pending_EHLO;
964 int rc = FAIL;
965
966 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
967 sx->pending_EHLO = FALSE;
968
969 if (pending_BANNER)
970   {
971   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
972   (*countp)--;
973   if (!smtp_reap_banner(sx))
974     {
975     DEBUG(D_transport) debug_printf("bad banner\n");
976     if (tls_out.active.sock >= 0) rc = DEFER;
977     goto fail;
978     }
979   }
980
981 if (pending_EHLO)
982   {
983   unsigned peer_offered;
984   unsigned short authbits = 0, * ap;
985
986   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
987   (*countp)--;
988   if (!smtp_reap_ehlo(sx))
989     {
990     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
991     if (tls_out.active.sock >= 0) rc = DEFER;
992     goto fail;
993     }
994
995   /* Compare the actual EHLO response to the cached value we assumed;
996   on difference, dump or rewrite the cache and arrange for a retry. */
997
998   ap = tls_out.active.sock < 0
999       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1000
1001   peer_offered = ehlo_response(sx->buffer,
1002           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1003         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1004         | OPTION_UTF8 | OPTION_EARLY_PIPE
1005         );
1006   if (  peer_offered != sx->peer_offered
1007      || (authbits = study_ehlo_auths(sx)) != *ap)
1008     {
1009     HDEBUG(D_transport)
1010       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1011                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1012                     sx->peer_offered, *ap, peer_offered, authbits);
1013     *(tls_out.active.sock < 0
1014       ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) = peer_offered;
1015     *ap = authbits;
1016     if (peer_offered & OPTION_EARLY_PIPE)
1017       write_ehlo_cache_entry(sx);
1018     else
1019       invalidate_ehlo_cache_entry(sx);
1020
1021     return OK;          /* just carry on */
1022     }
1023   }
1024 return OK;
1025
1026 fail:
1027   invalidate_ehlo_cache_entry(sx);
1028   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1029   return rc;
1030 }
1031 #endif
1032
1033
1034 /*************************************************
1035 *           Synchronize SMTP responses           *
1036 *************************************************/
1037
1038 /* This function is called from smtp_deliver() to receive SMTP responses from
1039 the server, and match them up with the commands to which they relate. When
1040 PIPELINING is not in use, this function is called after every command, and is
1041 therefore somewhat over-engineered, but it is simpler to use a single scheme
1042 that works both with and without PIPELINING instead of having two separate sets
1043 of code.
1044
1045 The set of commands that are buffered up with pipelining may start with MAIL
1046 and may end with DATA; in between are RCPT commands that correspond to the
1047 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1048 etc.) are never buffered.
1049
1050 Errors after MAIL or DATA abort the whole process leaving the response in the
1051 buffer. After MAIL, pending responses are flushed, and the original command is
1052 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1053 permitted to reject some recipient addresses while accepting others. However
1054 certain errors clearly abort the whole process. Set the value in
1055 transport_return to PENDING_OK if the address is accepted. If there is a
1056 subsequent general error, it will get reset accordingly. If not, it will get
1057 converted to OK at the end.
1058
1059 Arguments:
1060   sx                smtp connection context
1061   count             the number of responses to read
1062   pending_DATA      0 if last command sent was not DATA
1063                    +1 if previously had a good recipient
1064                    -1 if not previously had a good recipient
1065
1066 Returns:      3 if at least one address had 2xx and one had 5xx
1067               2 if at least one address had 5xx but none had 2xx
1068               1 if at least one host had a 2xx response, but none had 5xx
1069               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1070              -1 timeout while reading RCPT response
1071              -2 I/O or other non-response error for RCPT
1072              -3 DATA or MAIL failed - errno and buffer set
1073              -4 banner or EHLO failed (early-pipelining)
1074              -5 banner or EHLO failed (early-pipelining, TLS)
1075 */
1076
1077 static int
1078 sync_responses(smtp_context * sx, int count, int pending_DATA)
1079 {
1080 address_item * addr = sx->sync_addr;
1081 smtp_transport_options_block * ob = sx->conn_args.ob;
1082 int yield = 0;
1083
1084 #ifdef EXPERIMENTAL_PIPE_CONNECT
1085 int rc;
1086 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1087   return rc == FAIL ? -4 : -5;
1088 #endif
1089
1090 /* Handle the response for a MAIL command. On error, reinstate the original
1091 command in big_buffer for error message use, and flush any further pending
1092 responses before returning, except after I/O errors and timeouts. */
1093
1094 if (sx->pending_MAIL)
1095   {
1096   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1097   count--;
1098   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1099                           '2', ob->command_timeout))
1100     {
1101     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1102     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1103     if (errno == ERRNO_TLSFAILURE)
1104       return -5;
1105     if (errno == 0 && sx->buffer[0] != 0)
1106       {
1107       int save_errno = 0;
1108       if (sx->buffer[0] == '4')
1109         {
1110         save_errno = ERRNO_MAIL4XX;
1111         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1112         }
1113       count = smtp_discard_responses(sx, ob, count);
1114       errno = save_errno;
1115       }
1116
1117     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1118     while (count-- > 0)         /* Mark any pending addrs with the host used */
1119       {
1120       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1121       addr->host_used = sx->conn_args.host;
1122       addr = addr->next;
1123       }
1124     return -3;
1125     }
1126   }
1127
1128 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1129
1130 /* Read and handle the required number of RCPT responses, matching each one up
1131 with an address by scanning for the next address whose status is PENDING_DEFER.
1132 */
1133
1134 while (count-- > 0)
1135   {
1136   while (addr->transport_return != PENDING_DEFER)
1137     if (!(addr = addr->next))
1138       return -2;
1139
1140   /* The address was accepted */
1141   addr->host_used = sx->conn_args.host;
1142
1143   DEBUG(D_transport) debug_printf("%s expect rcpt\n", __FUNCTION__);
1144   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1145                           '2', ob->command_timeout))
1146     {
1147     yield |= 1;
1148     addr->transport_return = PENDING_OK;
1149
1150     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1151     ensure that any address-specific retry record is expunged. We do this both
1152     for the basic key and for the version that also includes the sender. */
1153
1154     if (testflag(addr, af_dr_retry_exists))
1155       {
1156       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1157         sender_address);
1158       retry_add_item(addr, altkey, rf_delete);
1159       retry_add_item(addr, addr->address_retry_key, rf_delete);
1160       }
1161     }
1162
1163   /* Error on first TLS read */
1164
1165   else if (errno == ERRNO_TLSFAILURE)
1166     return -5;
1167
1168   /* Timeout while reading the response */
1169
1170   else if (errno == ETIMEDOUT)
1171     {
1172     uschar *message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1173                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1174     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE);
1175     retry_add_item(addr, addr->address_retry_key, 0);
1176     update_waiting = FALSE;
1177     return -1;
1178     }
1179
1180   /* Handle other errors in obtaining an SMTP response by returning -1. This
1181   will cause all the addresses to be deferred. Restore the SMTP command in
1182   big_buffer for which we are checking the response, so the error message
1183   makes sense. */
1184
1185   else if (errno != 0 || sx->buffer[0] == 0)
1186     {
1187     string_format(big_buffer, big_buffer_size, "RCPT TO:<%s>",
1188       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1189     return -2;
1190     }
1191
1192   /* Handle SMTP permanent and temporary response codes. */
1193
1194   else
1195     {
1196     addr->message =
1197       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1198         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1199         string_printing(sx->buffer));
1200     setflag(addr, af_pass_message);
1201     if (!sx->verify)
1202       msglog_line(sx->conn_args.host, addr->message);
1203
1204     /* The response was 5xx */
1205
1206     if (sx->buffer[0] == '5')
1207       {
1208       addr->transport_return = FAIL;
1209       yield |= 2;
1210       }
1211
1212     /* The response was 4xx */
1213
1214     else
1215       {
1216       addr->transport_return = DEFER;
1217       addr->basic_errno = ERRNO_RCPT4XX;
1218       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1219
1220       if (!sx->verify)
1221         {
1222 #ifndef DISABLE_EVENT
1223         event_defer_errno = addr->more_errno;
1224         msg_event_raise(US"msg:rcpt:host:defer", addr);
1225 #endif
1226
1227         /* Log temporary errors if there are more hosts to be tried.
1228         If not, log this last one in the == line. */
1229
1230         if (sx->conn_args.host->next)
1231           if (LOGGING(outgoing_port))
1232             log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1233               sx->conn_args.host->address,
1234               sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1235           else
1236             log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1237               sx->conn_args.host->address, addr->message);
1238
1239 #ifndef DISABLE_EVENT
1240         else
1241           msg_event_raise(US"msg:rcpt:defer", addr);
1242 #endif
1243
1244         /* Do not put this message on the list of those waiting for specific
1245         hosts, as otherwise it is likely to be tried too often. */
1246
1247         update_waiting = FALSE;
1248
1249         /* Add a retry item for the address so that it doesn't get tried again
1250         too soon. If address_retry_include_sender is true, add the sender address
1251         to the retry key. */
1252
1253         retry_add_item(addr,
1254           ob->address_retry_include_sender
1255             ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1256             : addr->address_retry_key,
1257           0);
1258         }
1259       }
1260     }
1261   }       /* Loop for next RCPT response */
1262
1263 /* Update where to start at for the next block of responses, unless we
1264 have already handled all the addresses. */
1265
1266 if (addr) sx->sync_addr = addr->next;
1267
1268 /* Handle a response to DATA. If we have not had any good recipients, either
1269 previously or in this block, the response is ignored. */
1270
1271 if (pending_DATA != 0)
1272   {
1273   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1274   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1275                         '3', ob->command_timeout))
1276     {
1277     int code;
1278     uschar *msg;
1279     BOOL pass_message;
1280
1281     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1282       return -5;
1283
1284     if (pending_DATA > 0 || (yield & 1) != 0)
1285       {
1286       if (errno == 0 && sx->buffer[0] == '4')
1287         {
1288         errno = ERRNO_DATA4XX;
1289         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1290         }
1291       return -3;
1292       }
1293     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1294     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1295       "is in use and there were no good recipients\n", msg);
1296     }
1297   }
1298
1299 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1300 present) received 3xx. If any RCPTs were handled and yielded anything other
1301 than 4xx, yield will be set non-zero. */
1302
1303 return yield;
1304 }
1305
1306
1307
1308
1309
1310 /* Try an authenticator's client entry */
1311
1312 static int
1313 try_authenticator(smtp_context * sx, auth_instance * au)
1314 {
1315 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1316 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1317 int rc;
1318
1319 sx->outblock.authenticating = TRUE;
1320 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1321                             sx->buffer, sizeof(sx->buffer));
1322 sx->outblock.authenticating = FALSE;
1323 DEBUG(D_transport) debug_printf("%s authenticator yielded %d\n", au->name, rc);
1324
1325 /* A temporary authentication failure must hold up delivery to
1326 this host. After a permanent authentication failure, we carry on
1327 to try other authentication methods. If all fail hard, try to
1328 deliver the message unauthenticated unless require_auth was set. */
1329
1330 switch(rc)
1331   {
1332   case OK:
1333     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1334     client_authenticator = au->name;
1335     if (au->set_client_id)
1336       client_authenticated_id = expand_string(au->set_client_id);
1337     break;
1338
1339   /* Failure after writing a command */
1340
1341   case FAIL_SEND:
1342     return FAIL_SEND;
1343
1344   /* Failure after reading a response */
1345
1346   case FAIL:
1347     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1348     log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1349       au->name, host->name, host->address, sx->buffer);
1350     break;
1351
1352   /* Failure by some other means. In effect, the authenticator
1353   decided it wasn't prepared to handle this case. Typically this
1354   is the result of "fail" in an expansion string. Do we need to
1355   log anything here? Feb 2006: a message is now put in the buffer
1356   if logging is required. */
1357
1358   case CANCELLED:
1359     if (*sx->buffer != 0)
1360       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1361         "authentication H=%s [%s] %s", au->name, host->name,
1362         host->address, sx->buffer);
1363     break;
1364
1365   /* Internal problem, message in buffer. */
1366
1367   case ERROR:
1368     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1369               DEFER, FALSE);
1370     return ERROR;
1371   }
1372 return OK;
1373 }
1374
1375
1376
1377
1378 /* Do the client side of smtp-level authentication.
1379
1380 Arguments:
1381   sx            smtp connection context
1382
1383 sx->buffer should have the EHLO response from server (gets overwritten)
1384
1385 Returns:
1386   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1387   DEFER                 Failed authentication (and was required)
1388   ERROR                 Internal problem
1389
1390   FAIL_SEND             Failed communications - transmit
1391   FAIL                  - response
1392 */
1393
1394 static int
1395 smtp_auth(smtp_context * sx)
1396 {
1397 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1398 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1399 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1400 #ifdef EXPERIMENTAL_PIPE_CONNECT
1401 unsigned short authbits = tls_out.active.sock >= 0
1402       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1403 #endif
1404 uschar * fail_reason = US"server did not advertise AUTH support";
1405
1406 f.smtp_authenticated = FALSE;
1407 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1408
1409 if (!regex_AUTH)
1410   regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
1411
1412 /* Is the server offering AUTH? */
1413
1414 if (  sx->esmtp
1415    &&
1416 #ifdef EXPERIMENTAL_PIPE_CONNECT
1417       sx->early_pipe_active ? authbits
1418       :
1419 #endif
1420         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1421    )
1422   {
1423   uschar * names = NULL;
1424   expand_nmax = -1;                          /* reset */
1425
1426 #ifdef EXPERIMENTAL_PIPE_CONNECT
1427   if (!sx->early_pipe_active)
1428 #endif
1429     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1430
1431   /* Must not do this check until after we have saved the result of the
1432   regex match above as the check could be another RE. */
1433
1434   if (  require_auth == OK
1435      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1436     {
1437     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1438     fail_reason = US"no common mechanisms were found";
1439
1440 #ifdef EXPERIMENTAL_PIPE_CONNECT
1441     if (sx->early_pipe_active)
1442       {
1443       /* Scan our authenticators (which support use by a client and were offered
1444       by the server (checked at cache-write time)), not suppressed by
1445       client_condition.  If one is found, attempt to authenticate by calling its
1446       client function.  We are limited to supporting up to 16 authenticator
1447       public-names by the number of bits in a short. */
1448
1449       auth_instance * au;
1450       uschar bitnum;
1451       int rc;
1452
1453       for (bitnum = 0, au = auths;
1454            !f.smtp_authenticated && au && bitnum < 16;
1455            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1456         {
1457         if (  au->client_condition
1458            && !expand_check_condition(au->client_condition, au->name,
1459                    US"client authenticator"))
1460           {
1461           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1462             au->name, "client_condition is false");
1463           continue;
1464           }
1465
1466         /* Found data for a listed mechanism. Call its client entry. Set
1467         a flag in the outblock so that data is overwritten after sending so
1468         that reflections don't show it. */
1469
1470         fail_reason = US"authentication attempt(s) failed";
1471
1472         if ((rc = try_authenticator(sx, au)) != OK)
1473           return rc;
1474         }
1475       }
1476     else
1477 #endif
1478
1479     /* Scan the configured authenticators looking for one which is configured
1480     for use as a client, which is not suppressed by client_condition, and
1481     whose name matches an authentication mechanism supported by the server.
1482     If one is found, attempt to authenticate by calling its client function.
1483     */
1484
1485     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1486       {
1487       uschar *p = names;
1488
1489       if (  !au->client
1490          || (   au->client_condition
1491             &&  !expand_check_condition(au->client_condition, au->name,
1492                    US"client authenticator")))
1493         {
1494         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1495           au->name,
1496           (au->client)? "client_condition is false" :
1497                         "not configured as a client");
1498         continue;
1499         }
1500
1501       /* Loop to scan supported server mechanisms */
1502
1503       while (*p)
1504         {
1505         int len = Ustrlen(au->public_name);
1506         int rc;
1507
1508         while (isspace(*p)) p++;
1509
1510         if (strncmpic(au->public_name, p, len) != 0 ||
1511             (p[len] != 0 && !isspace(p[len])))
1512           {
1513           while (*p != 0 && !isspace(*p)) p++;
1514           continue;
1515           }
1516
1517         /* Found data for a listed mechanism. Call its client entry. Set
1518         a flag in the outblock so that data is overwritten after sending so
1519         that reflections don't show it. */
1520
1521         fail_reason = US"authentication attempt(s) failed";
1522
1523         if ((rc = try_authenticator(sx, au)) != OK)
1524           return rc;
1525
1526         break;  /* If not authenticated, try next authenticator */
1527         }       /* Loop for scanning supported server mechanisms */
1528       }         /* Loop for further authenticators */
1529     }
1530   }
1531
1532 /* If we haven't authenticated, but are required to, give up. */
1533
1534 if (require_auth == OK && !f.smtp_authenticated)
1535   {
1536   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1537     string_sprintf("authentication required but %s", fail_reason), DEFER,
1538     FALSE);
1539   return DEFER;
1540   }
1541
1542 return OK;
1543 }
1544
1545
1546 /* Construct AUTH appendix string for MAIL TO */
1547 /*
1548 Arguments
1549   buffer        to build string
1550   addrlist      chain of potential addresses to deliver
1551   ob            transport options
1552
1553 Globals         f.smtp_authenticated
1554                 client_authenticated_sender
1555 Return  True on error, otherwise buffer has (possibly empty) terminated string
1556 */
1557
1558 BOOL
1559 smtp_mail_auth_str(uschar *buffer, unsigned bufsize, address_item *addrlist,
1560                     smtp_transport_options_block *ob)
1561 {
1562 uschar *local_authenticated_sender = authenticated_sender;
1563
1564 #ifdef notdef
1565   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n", authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1566 #endif
1567
1568 if (ob->authenticated_sender != NULL)
1569   {
1570   uschar *new = expand_string(ob->authenticated_sender);
1571   if (new == NULL)
1572     {
1573     if (!f.expand_string_forcedfail)
1574       {
1575       uschar *message = string_sprintf("failed to expand "
1576         "authenticated_sender: %s", expand_string_message);
1577       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE);
1578       return TRUE;
1579       }
1580     }
1581   else if (new[0] != 0) local_authenticated_sender = new;
1582   }
1583
1584 /* Add the authenticated sender address if present */
1585
1586 if ((f.smtp_authenticated || ob->authenticated_sender_force) &&
1587     local_authenticated_sender != NULL)
1588   {
1589   string_format(buffer, bufsize, " AUTH=%s",
1590     auth_xtextencode(local_authenticated_sender,
1591     Ustrlen(local_authenticated_sender)));
1592   client_authenticated_sender = string_copy(local_authenticated_sender);
1593   }
1594 else
1595   *buffer= 0;
1596
1597 return FALSE;
1598 }
1599
1600
1601
1602 #ifdef SUPPORT_DANE
1603 /* Lookup TLSA record for host/port.
1604 Return:  OK             success with dnssec; DANE mode
1605          DEFER          Do not use this host now, may retry later
1606          FAIL_FORCED    No TLSA record; DANE not usable
1607          FAIL           Do not use this connection
1608 */
1609
1610 int
1611 tlsa_lookup(const host_item * host, dns_answer * dnsa, BOOL dane_required)
1612 {
1613 /* move this out to host.c given the similarity to dns_lookup() ? */
1614 uschar buffer[300];
1615 const uschar * fullname = buffer;
1616 int rc;
1617 BOOL sec;
1618
1619 /* TLSA lookup string */
1620 (void)sprintf(CS buffer, "_%d._tcp.%.256s", host->port, host->name);
1621
1622 rc = dns_lookup(dnsa, buffer, T_TLSA, &fullname);
1623 sec = dns_is_secure(dnsa);
1624 DEBUG(D_transport)
1625   debug_printf("TLSA lookup ret %d %sDNSSEC\n", rc, sec ? "" : "not ");
1626
1627 switch (rc)
1628   {
1629   case DNS_AGAIN:
1630     return DEFER; /* just defer this TLS'd conn */
1631
1632   case DNS_SUCCEED:
1633     if (sec)
1634       {
1635       DEBUG(D_transport)
1636         {
1637         dns_scan dnss;
1638         for (dns_record * rr = dns_next_rr(dnsa, &dnss, RESET_ANSWERS); rr;
1639              rr = dns_next_rr(dnsa, &dnss, RESET_NEXT))
1640           if (rr->type == T_TLSA && rr->size > 3)
1641             {
1642             uint16_t payload_length = rr->size - 3;
1643             uschar s[MAX_TLSA_EXPANDED_SIZE], * sp = s, * p = US rr->data;
1644
1645             sp += sprintf(CS sp, "%d ", *p++); /* usage */
1646             sp += sprintf(CS sp, "%d ", *p++); /* selector */
1647             sp += sprintf(CS sp, "%d ", *p++); /* matchtype */
1648             while (payload_length-- > 0 && sp-s < (MAX_TLSA_EXPANDED_SIZE - 4))
1649               sp += sprintf(CS sp, "%02x", *p++);
1650
1651             debug_printf(" %s\n", s);
1652             }
1653         }
1654       return OK;
1655       }
1656     log_write(0, LOG_MAIN,
1657       "DANE error: TLSA lookup for %s not DNSSEC", host->name);
1658     /*FALLTRHOUGH*/
1659
1660   case DNS_NODATA:      /* no TLSA RR for this lookup */
1661   case DNS_NOMATCH:     /* no records at all for this lookup */
1662     return dane_required ? FAIL : FAIL_FORCED;
1663
1664   default:
1665   case DNS_FAIL:
1666     return dane_required ? FAIL : DEFER;
1667   }
1668 }
1669 #endif
1670
1671
1672
1673 typedef struct smtp_compare_s
1674 {
1675     uschar                          *current_sender_address;
1676     struct transport_instance       *tblock;
1677 } smtp_compare_t;
1678
1679
1680 /* Create a unique string that identifies this message, it is based on
1681 sender_address, helo_data and tls_certificate if enabled.
1682 */
1683
1684 static uschar *
1685 smtp_local_identity(uschar * sender, struct transport_instance * tblock)
1686 {
1687 address_item * addr1;
1688 uschar * if1 = US"";
1689 uschar * helo1 = US"";
1690 #ifndef DISABLE_TLS
1691 uschar * tlsc1 = US"";
1692 #endif
1693 uschar * save_sender_address = sender_address;
1694 uschar * local_identity = NULL;
1695 smtp_transport_options_block * ob = SOB tblock->options_block;
1696
1697 sender_address = sender;
1698
1699 addr1 = deliver_make_addr (sender, TRUE);
1700 deliver_set_expansions(addr1);
1701
1702 if (ob->interface)
1703   if1 = expand_string(ob->interface);
1704
1705 if (ob->helo_data)
1706   helo1 = expand_string(ob->helo_data);
1707
1708 #ifndef DISABLE_TLS
1709 if (ob->tls_certificate)
1710   tlsc1 = expand_string(ob->tls_certificate);
1711 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1712 #else
1713 local_identity = string_sprintf ("%s^%s", if1, helo1);
1714 #endif
1715
1716 deliver_set_expansions(NULL);
1717 sender_address = save_sender_address;
1718
1719 return local_identity;
1720 }
1721
1722
1723
1724 /* This routine is a callback that is called from transport_check_waiting.
1725 This function will evaluate the incoming message versus the previous
1726 message.  If the incoming message is using a different local identity then
1727 we will veto this new message.  */
1728
1729 static BOOL
1730 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1731 {
1732 uschar * message_local_identity,
1733        * current_local_identity,
1734        * new_sender_address;
1735
1736 current_local_identity =
1737   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1738
1739 if (!(new_sender_address = deliver_get_sender_address(message_id)))
1740     return 0;
1741
1742 message_local_identity =
1743   smtp_local_identity(new_sender_address, s_compare->tblock);
1744
1745 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1746 }
1747
1748
1749
1750 static unsigned
1751 ehlo_response(uschar * buf, unsigned checks)
1752 {
1753 size_t bsize = Ustrlen(buf);
1754
1755 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1756
1757 #ifndef DISABLE_TLS
1758 if (  checks & OPTION_TLS
1759    && pcre_exec(regex_STARTTLS, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1760 #endif
1761   checks &= ~OPTION_TLS;
1762
1763 if (  checks & OPTION_IGNQ
1764    && pcre_exec(regex_IGNOREQUOTA, NULL, CS buf, bsize, 0,
1765                 PCRE_EOPT, NULL, 0) < 0)
1766   checks &= ~OPTION_IGNQ;
1767
1768 if (  checks & OPTION_CHUNKING
1769    && pcre_exec(regex_CHUNKING, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1770   checks &= ~OPTION_CHUNKING;
1771
1772 #ifndef DISABLE_PRDR
1773 if (  checks & OPTION_PRDR
1774    && pcre_exec(regex_PRDR, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1775 #endif
1776   checks &= ~OPTION_PRDR;
1777
1778 #ifdef SUPPORT_I18N
1779 if (  checks & OPTION_UTF8
1780    && pcre_exec(regex_UTF8, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1781 #endif
1782   checks &= ~OPTION_UTF8;
1783
1784 if (  checks & OPTION_DSN
1785    && pcre_exec(regex_DSN, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1786   checks &= ~OPTION_DSN;
1787
1788 if (  checks & OPTION_PIPE
1789    && pcre_exec(regex_PIPELINING, NULL, CS buf, bsize, 0,
1790                 PCRE_EOPT, NULL, 0) < 0)
1791   checks &= ~OPTION_PIPE;
1792
1793 if (  checks & OPTION_SIZE
1794    && pcre_exec(regex_SIZE, NULL, CS buf, bsize, 0, PCRE_EOPT, NULL, 0) < 0)
1795   checks &= ~OPTION_SIZE;
1796
1797 #ifdef EXPERIMENTAL_PIPE_CONNECT
1798 if (  checks & OPTION_EARLY_PIPE
1799    && pcre_exec(regex_EARLY_PIPE, NULL, CS buf, bsize, 0,
1800                 PCRE_EOPT, NULL, 0) < 0)
1801 #endif
1802   checks &= ~OPTION_EARLY_PIPE;
1803
1804 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1805 return checks;
1806 }
1807
1808
1809
1810 /* Callback for emitting a BDAT data chunk header.
1811
1812 If given a nonzero size, first flush any buffered SMTP commands
1813 then emit the command.
1814
1815 Reap previous SMTP command responses if requested, and always reap
1816 the response from a previous BDAT command.
1817
1818 Args:
1819  tctx           transport context
1820  chunk_size     value for SMTP BDAT command
1821  flags
1822    tc_chunk_last        add LAST option to SMTP BDAT command
1823    tc_reap_prev         reap response to previous SMTP commands
1824
1825 Returns:
1826   OK or ERROR
1827   DEFER                 TLS error on first read (EHLO-resp); errno set
1828 */
1829
1830 static int
1831 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1832   unsigned flags)
1833 {
1834 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1835 smtp_context * sx = tctx->smtp_context;
1836 int cmd_count = 0;
1837 int prev_cmd_count;
1838
1839 /* Write SMTP chunk header command.  If not reaping responses, note that
1840 there may be more writes (like, the chunk data) done soon. */
1841
1842 if (chunk_size > 0)
1843   {
1844 #ifdef EXPERIMENTAL_PIPE_CONNECT
1845   BOOL new_conn = !!(sx->outblock.conn_args);
1846 #endif
1847   if((cmd_count = smtp_write_command(sx,
1848               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1849               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1850      ) < 0) return ERROR;
1851   if (flags & tc_chunk_last)
1852     data_command = string_copy(big_buffer);  /* Save for later error message */
1853 #ifdef EXPERIMENTAL_PIPE_CONNECT
1854   /* That command write could have been the one that made the connection.
1855   Copy the fd from the client conn ctx (smtp transport specific) to the
1856   generic transport ctx. */
1857
1858   if (new_conn)
1859     tctx->u.fd = sx->outblock.cctx->sock;
1860 #endif
1861   }
1862
1863 prev_cmd_count = cmd_count += sx->cmd_count;
1864
1865 /* Reap responses for any previous, but not one we just emitted */
1866
1867 if (chunk_size > 0)
1868   prev_cmd_count--;
1869 if (sx->pending_BDAT)
1870   prev_cmd_count--;
1871
1872 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
1873   {
1874   DEBUG(D_transport) debug_printf("look for %d responses"
1875     " for previous pipelined cmds\n", prev_cmd_count);
1876
1877   switch(sync_responses(sx, prev_cmd_count, 0))
1878     {
1879     case 1:                             /* 2xx (only) => OK */
1880     case 3: sx->good_RCPT = TRUE;       /* 2xx & 5xx => OK & progress made */
1881     case 2: sx->completed_addr = TRUE;  /* 5xx (only) => progress made */
1882     case 0: break;                      /* No 2xx or 5xx, but no probs */
1883
1884     case -5: errno = ERRNO_TLSFAILURE;
1885              return DEFER;
1886 #ifdef EXPERIMENTAL_PIPE_CONNECT
1887     case -4:                            /* non-2xx for pipelined banner or EHLO */
1888 #endif
1889     case -1:                            /* Timeout on RCPT */
1890     default: return ERROR;              /* I/O error, or any MAIL/DATA error */
1891     }
1892   cmd_count = 1;
1893   if (!sx->pending_BDAT)
1894     pipelining_active = FALSE;
1895   }
1896
1897 /* Reap response for an outstanding BDAT */
1898
1899 if (sx->pending_BDAT)
1900   {
1901   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
1902
1903   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
1904        ob->command_timeout))
1905     {
1906     if (errno == 0 && sx->buffer[0] == '4')
1907       {
1908       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
1909       sx->addrlist->more_errno |=
1910         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1911       }
1912     return ERROR;
1913     }
1914   cmd_count--;
1915   sx->pending_BDAT = FALSE;
1916   pipelining_active = FALSE;
1917   }
1918 else if (chunk_size > 0)
1919   sx->pending_BDAT = TRUE;
1920
1921
1922 sx->cmd_count = cmd_count;
1923 return OK;
1924 }
1925
1926
1927
1928
1929
1930 /*************************************************
1931 *       Make connection for given message        *
1932 *************************************************/
1933
1934 /*
1935 Arguments:
1936   ctx             connection context
1937   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
1938                     a second attempt after TLS initialization fails
1939
1940 Returns:          OK    - the connection was made and the delivery attempted;
1941                           fd is set in the conn context, tls_out set up.
1942                   DEFER - the connection could not be made, or something failed
1943                           while setting up the SMTP session, or there was a
1944                           non-message-specific error, such as a timeout.
1945                   ERROR - helo_data or add_headers or authenticated_sender is
1946                           specified for this transport, and the string failed
1947                           to expand
1948 */
1949 int
1950 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
1951 {
1952 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
1953 BOOL pass_message = FALSE;
1954 uschar * message = NULL;
1955 int yield = OK;
1956 int rc;
1957 #ifndef DISABLE_TLS
1958 uschar * tls_errstr;
1959 #endif
1960
1961 sx->conn_args.ob = ob;
1962
1963 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
1964 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
1965 sx->ok = FALSE;
1966 sx->send_rset = TRUE;
1967 sx->send_quit = TRUE;
1968 sx->setting_up = TRUE;
1969 sx->esmtp = TRUE;
1970 sx->esmtp_sent = FALSE;
1971 #ifdef SUPPORT_I18N
1972 sx->utf8_needed = FALSE;
1973 #endif
1974 sx->dsn_all_lasthop = TRUE;
1975 #ifdef SUPPORT_DANE
1976 sx->conn_args.dane = FALSE;
1977 sx->dane_required =
1978   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
1979 #endif
1980 #ifdef EXPERIMENTAL_PIPE_CONNECT
1981 sx->early_pipe_active = sx->early_pipe_ok = FALSE;
1982 sx->ehlo_resp.cleartext_features = sx->ehlo_resp.crypted_features = 0;
1983 sx->pending_BANNER = sx->pending_EHLO = FALSE;
1984 #endif
1985
1986 if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0) sx->max_rcpt = 999999;
1987 sx->peer_offered = 0;
1988 sx->avoid_option = 0;
1989 sx->igquotstr = US"";
1990 if (!sx->helo_data) sx->helo_data = ob->helo_data;
1991 #ifdef EXPERIMENTAL_DSN_INFO
1992 sx->smtp_greeting = NULL;
1993 sx->helo_response = NULL;
1994 #endif
1995
1996 smtp_command = US"initial connection";
1997 sx->buffer[0] = '\0';
1998
1999 /* Set up the buffer for reading SMTP response packets. */
2000
2001 sx->inblock.buffer = sx->inbuffer;
2002 sx->inblock.buffersize = sizeof(sx->inbuffer);
2003 sx->inblock.ptr = sx->inbuffer;
2004 sx->inblock.ptrend = sx->inbuffer;
2005
2006 /* Set up the buffer for holding SMTP commands while pipelining */
2007
2008 sx->outblock.buffer = sx->outbuffer;
2009 sx->outblock.buffersize = sizeof(sx->outbuffer);
2010 sx->outblock.ptr = sx->outbuffer;
2011 sx->outblock.cmd_count = 0;
2012 sx->outblock.authenticating = FALSE;
2013 sx->outblock.conn_args = NULL;
2014
2015 /* Reset the parameters of a TLS session. */
2016
2017 tls_out.bits = 0;
2018 tls_out.cipher = NULL;  /* the one we may use for this transport */
2019 tls_out.ourcert = NULL;
2020 tls_out.peercert = NULL;
2021 tls_out.peerdn = NULL;
2022 #ifdef USE_OPENSSL
2023 tls_out.sni = NULL;
2024 #endif
2025 tls_out.ocsp = OCSP_NOT_REQ;
2026 #ifdef EXPERIMENTAL_TLS_RESUME
2027 tls_out.resumption = 0;
2028 #endif
2029
2030 /* Flip the legacy TLS-related variables over to the outbound set in case
2031 they're used in the context of the transport.  Don't bother resetting
2032 afterward (when being used by a transport) as we're in a subprocess.
2033 For verify, unflipped once the callout is dealt with */
2034
2035 tls_modify_variables(&tls_out);
2036
2037 #ifdef DISABLE_TLS
2038 if (sx->smtps)
2039   {
2040   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2041             DEFER, FALSE);
2042   return ERROR;
2043   }
2044 #endif
2045
2046 /* Make a connection to the host if this isn't a continued delivery, and handle
2047 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2048 specially so they can be identified for retries. */
2049
2050 if (!continue_hostname)
2051   {
2052   if (sx->verify)
2053     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2054
2055   /* Get the actual port the connection will use, into sx->conn_args.host */
2056
2057   smtp_port_for_connect(sx->conn_args.host, sx->port);
2058
2059 #ifdef SUPPORT_DANE
2060     /* Do TLSA lookup for DANE */
2061     {
2062     tls_out.dane_verified = FALSE;
2063     tls_out.tlsa_usage = 0;
2064
2065     if (sx->conn_args.host->dnssec == DS_YES)
2066       {
2067       if(  sx->dane_required
2068         || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2069         )
2070         switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2071           {
2072           case OK:              sx->conn_args.dane = TRUE;
2073                                 ob->tls_tempfail_tryclear = FALSE;
2074                                 break;
2075           case FAIL_FORCED:     break;
2076           default:              set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2077                                   string_sprintf("DANE error: tlsa lookup %s",
2078                                     rc_to_string(rc)),
2079                                   rc, FALSE);
2080 # ifndef DISABLE_EVENT
2081                                 (void) event_raise(sx->conn_args.tblock->event_action,
2082                                   US"dane:fail", sx->dane_required
2083                                     ?  US"dane-required" : US"dnssec-invalid");
2084 # endif
2085                                 return rc;
2086           }
2087       }
2088     else if (sx->dane_required)
2089       {
2090       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2091         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2092         FAIL, FALSE);
2093 # ifndef DISABLE_EVENT
2094       (void) event_raise(sx->conn_args.tblock->event_action,
2095         US"dane:fail", US"dane-required");
2096 # endif
2097       return FAIL;
2098       }
2099     }
2100 #endif  /*DANE*/
2101
2102   /* Make the TCP connection */
2103
2104   sx->cctx.tls_ctx = NULL;
2105   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2106   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2107
2108 #ifdef EXPERIMENTAL_PIPE_CONNECT
2109   if (verify_check_given_host(CUSS &ob->hosts_pipe_connect, sx->conn_args.host) == OK)
2110     {
2111     sx->early_pipe_ok = TRUE;
2112     if (  read_ehlo_cache_entry(sx)
2113        && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2114       {
2115       DEBUG(D_transport) debug_printf("Using cached cleartext PIPE_CONNECT\n");
2116       sx->early_pipe_active = TRUE;
2117       sx->peer_offered = sx->ehlo_resp.cleartext_features;
2118       }
2119     }
2120
2121   if (sx->early_pipe_active)
2122     sx->outblock.conn_args = &sx->conn_args;
2123   else
2124 #endif
2125     {
2126     if ((sx->cctx.sock = smtp_connect(&sx->conn_args, NULL)) < 0)
2127       {
2128       set_errno_nohost(sx->addrlist,
2129         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2130         sx->verify ? US strerror(errno) : NULL,
2131         DEFER, FALSE);
2132       sx->send_quit = FALSE;
2133       return DEFER;
2134       }
2135     }
2136   /* Expand the greeting message while waiting for the initial response. (Makes
2137   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2138   delayed till here so that $sending_interface and $sending_port are set. */
2139 /*XXX early-pipe: they still will not be. Is there any way to find out what they
2140 will be?  Somehow I doubt it. */
2141
2142   if (sx->helo_data)
2143     if (!(sx->helo_data = expand_string(sx->helo_data)))
2144       if (sx->verify)
2145         log_write(0, LOG_MAIN|LOG_PANIC,
2146           "<%s>: failed to expand transport's helo_data value for callout: %s",
2147           sx->addrlist->address, expand_string_message);
2148
2149 #ifdef SUPPORT_I18N
2150   if (sx->helo_data)
2151     {
2152     expand_string_message = NULL;
2153     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2154                                               &expand_string_message)),
2155         expand_string_message)
2156       if (sx->verify)
2157         log_write(0, LOG_MAIN|LOG_PANIC,
2158           "<%s>: failed to expand transport's helo_data value for callout: %s",
2159           sx->addrlist->address, expand_string_message);
2160       else
2161         sx->helo_data = NULL;
2162     }
2163 #endif
2164
2165   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2166   is nevertheless a reasonably clean way of programming this kind of logic,
2167   where you want to escape on any error. */
2168
2169   if (!sx->smtps)
2170     {
2171 #ifdef EXPERIMENTAL_PIPE_CONNECT
2172     if (sx->early_pipe_active)
2173       {
2174       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2175       sx->outblock.cmd_count = 1;
2176       }
2177     else
2178 #endif
2179       {
2180 #ifdef TCP_QUICKACK
2181       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2182                         sizeof(off));
2183 #endif
2184       if (!smtp_reap_banner(sx))
2185         goto RESPONSE_FAILED;
2186       }
2187
2188 #ifndef DISABLE_EVENT
2189       {
2190       uschar * s;
2191       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2192         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2193       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer);
2194       if (s)
2195         {
2196         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2197           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2198           DEFER, FALSE);
2199         yield = DEFER;
2200         goto SEND_QUIT;
2201         }
2202       }
2203 #endif
2204
2205     /* Now check if the helo_data expansion went well, and sign off cleanly if
2206     it didn't. */
2207
2208     if (!sx->helo_data)
2209       {
2210       message = string_sprintf("failed to expand helo_data: %s",
2211         expand_string_message);
2212       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE);
2213       yield = DEFER;
2214       goto SEND_QUIT;
2215       }
2216     }
2217
2218 /** Debugging without sending a message
2219 sx->addrlist->transport_return = DEFER;
2220 goto SEND_QUIT;
2221 **/
2222
2223   /* Errors that occur after this point follow an SMTP command, which is
2224   left in big_buffer by smtp_write_command() for use in error messages. */
2225
2226   smtp_command = big_buffer;
2227
2228   /* Tell the remote who we are...
2229
2230   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2231   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2232   greeting is of this form. The assumption was that the far end supports it
2233   properly... but experience shows that there are some that give 5xx responses,
2234   even though the banner includes "ESMTP" (there's a bloody-minded one that
2235   says "ESMTP not spoken here"). Cope with that case.
2236
2237   September 2000: Time has passed, and it seems reasonable now to always send
2238   EHLO at the start. It is also convenient to make the change while installing
2239   the TLS stuff.
2240
2241   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2242   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2243   would be no way to send out the mails, so there is now a host list
2244   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2245   PIPELINING problem as well. Maybe it can also be useful to cure other
2246   problems with broken servers.
2247
2248   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2249   Then somebody tried it with a Microsoft mailer... It seems that all other
2250   mailers use upper case for some reason (the RFC is quite clear about case
2251   independence) so, for peace of mind, I gave in. */
2252
2253   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2254
2255   /* Alas; be careful, since this goto is not an error-out, so conceivably
2256   we might set data between here and the target which we assume to exist
2257   and be usable.  I can see this coming back to bite us. */
2258 #ifndef DISABLE_TLS
2259   if (sx->smtps)
2260     {
2261     smtp_peer_options |= OPTION_TLS;
2262     suppress_tls = FALSE;
2263     ob->tls_tempfail_tryclear = FALSE;
2264     smtp_command = US"SSL-on-connect";
2265     goto TLS_NEGOTIATE;
2266     }
2267 #endif
2268
2269   if (sx->esmtp)
2270     {
2271     if (smtp_write_command(sx,
2272 #ifdef EXPERIMENTAL_PIPE_CONNECT
2273           sx->early_pipe_active ? SCMD_BUFFER :
2274 #endif
2275             SCMD_FLUSH,
2276           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2277       goto SEND_FAILED;
2278     sx->esmtp_sent = TRUE;
2279
2280 #ifdef EXPERIMENTAL_PIPE_CONNECT
2281     if (sx->early_pipe_active)
2282       {
2283       sx->pending_EHLO = TRUE;
2284
2285       /* If we have too many authenticators to handle and might need to AUTH
2286       for this transport, pipeline no further as we will need the
2287       list of auth methods offered.  Reap the banner and EHLO. */
2288
2289       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2290          && f.smtp_in_early_pipe_no_auth)
2291         {
2292         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2293         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2294           goto SEND_FAILED;
2295         if (sync_responses(sx, 2, 0) != 0)
2296           {
2297           HDEBUG(D_transport)
2298             debug_printf("failed reaping pipelined cmd responses\n");
2299           goto RESPONSE_FAILED;
2300           }
2301         sx->early_pipe_active = FALSE;
2302         }
2303       }
2304     else
2305 #endif
2306       if (!smtp_reap_ehlo(sx))
2307         goto RESPONSE_FAILED;
2308     }
2309   else
2310     DEBUG(D_transport)
2311       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2312
2313 #ifdef EXPERIMENTAL_PIPE_CONNECT
2314   if (!sx->early_pipe_active)
2315 #endif
2316     if (!sx->esmtp)
2317       {
2318       BOOL good_response;
2319       int n = sizeof(sx->buffer);
2320       uschar * rsp = sx->buffer;
2321
2322       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer)) < sizeof(sx->buffer)/2)
2323         { rsp = sx->buffer + n + 1; n = sizeof(sx->buffer) - n; }
2324
2325       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2326         goto SEND_FAILED;
2327       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2328 #ifdef EXPERIMENTAL_DSN_INFO
2329       sx->helo_response = string_copy(rsp);
2330 #endif
2331       if (!good_response)
2332         {
2333         /* Handle special logging for a closed connection after HELO
2334         when had previously sent EHLO */
2335
2336         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2337           {
2338           errno = ERRNO_SMTPCLOSED;
2339           goto EHLOHELO_FAILED;
2340           }
2341         memmove(sx->buffer, rsp, Ustrlen(rsp));
2342         goto RESPONSE_FAILED;
2343         }
2344       }
2345
2346   if (sx->esmtp || sx->lmtp)
2347     {
2348 #ifdef EXPERIMENTAL_PIPE_CONNECT
2349     if (!sx->early_pipe_active)
2350 #endif
2351       {
2352       sx->peer_offered = ehlo_response(sx->buffer,
2353         OPTION_TLS      /* others checked later */
2354 #ifdef EXPERIMENTAL_PIPE_CONNECT
2355         | (sx->early_pipe_ok
2356           ?   OPTION_IGNQ
2357             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2358 #ifdef SUPPORT_I18N
2359             | OPTION_UTF8
2360 #endif
2361             | OPTION_EARLY_PIPE
2362           : 0
2363           )
2364 #endif
2365         );
2366 #ifdef EXPERIMENTAL_PIPE_CONNECT
2367       if (sx->early_pipe_ok)
2368         {
2369         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2370
2371         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2372            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2373           {
2374           DEBUG(D_transport) debug_printf("PIPE_CONNECT usable in future for this IP\n");
2375           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2376           write_ehlo_cache_entry(sx);
2377           }
2378         }
2379 #endif
2380       }
2381
2382   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2383
2384 #ifndef DISABLE_TLS
2385     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2386 #endif
2387     }
2388   }
2389
2390 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2391 is the standard input; for a socket held open from verify it is recorded
2392 in the cutthrough context block.  Either way we don't need to redo EHLO here
2393 (but may need to do so for TLS - see below).
2394 Set up the pointer to where subsequent commands will be left, for
2395 error messages. Note that smtp_peer_options will have been
2396 set from the command line if they were set in the process that passed the
2397 connection on. */
2398
2399 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2400 as the continue goes via transport_pass_socket() and doublefork and exec.
2401 It does not wait.  Unclear how we keep separate host's responses
2402 separate - we could match up by host ip+port as a bodge. */
2403
2404 else
2405   {
2406   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2407     {
2408     sx->cctx = cutthrough.cctx;
2409     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2410     }
2411   else
2412     {
2413     sx->cctx.sock = 0;                          /* stdin */
2414     sx->cctx.tls_ctx = NULL;
2415     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2416     }
2417   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2418   smtp_command = big_buffer;
2419   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2420
2421   /* For a continued connection with TLS being proxied for us, or a
2422   held-open verify connection with TLS, nothing more to do. */
2423
2424   if (  continue_proxy_cipher
2425      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2426          && cutthrough.is_tls)
2427      )
2428     {
2429     sx->peer_offered = smtp_peer_options;
2430     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2431     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2432       continue_proxy_cipher ? "proxied" : "verify conn with");
2433     return OK;
2434     }
2435   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2436   }
2437
2438 /* If TLS is available on this connection, whether continued or not, attempt to
2439 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2440 send another EHLO - the server may give a different answer in secure mode. We
2441 use a separate buffer for reading the response to STARTTLS so that if it is
2442 negative, the original EHLO data is available for subsequent analysis, should
2443 the client not be required to use TLS. If the response is bad, copy the buffer
2444 for error analysis. */
2445
2446 #ifndef DISABLE_TLS
2447 if (  smtp_peer_options & OPTION_TLS
2448    && !suppress_tls
2449    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2450    && (  !sx->verify
2451       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2452    )  )
2453   {
2454   uschar buffer2[4096];
2455
2456   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2457     goto SEND_FAILED;
2458
2459 #ifdef EXPERIMENTAL_PIPE_CONNECT
2460   /* If doing early-pipelining reap the banner and EHLO-response but leave
2461   the response for the STARTTLS we just sent alone. */
2462
2463   if (sx->early_pipe_active && sync_responses(sx, 2, 0) != 0)
2464     {
2465     HDEBUG(D_transport)
2466       debug_printf("failed reaping pipelined cmd responses\n");
2467     goto RESPONSE_FAILED;
2468     }
2469 #endif
2470
2471   /* If there is an I/O error, transmission of this message is deferred. If
2472   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2473   false, we also defer. However, if there is a temporary rejection of STARTTLS
2474   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2475   STARTTLS, we carry on. This means we will try to send the message in clear,
2476   unless the host is in hosts_require_tls (tested below). */
2477
2478   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2479     {
2480     if (  errno != 0
2481        || buffer2[0] == 0
2482        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2483        )
2484       {
2485       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2486       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2487       goto RESPONSE_FAILED;
2488       }
2489     }
2490
2491   /* STARTTLS accepted: try to negotiate a TLS session. */
2492
2493   else
2494   TLS_NEGOTIATE:
2495     {
2496     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2497       {
2498       /* TLS negotiation failed; give an error. From outside, this function may
2499       be called again to try in clear on a new connection, if the options permit
2500       it for this host. */
2501 #ifdef USE_GNUTLS
2502   GNUTLS_CONN_FAILED:
2503 #endif
2504       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2505
2506 # ifdef SUPPORT_DANE
2507       if (sx->conn_args.dane)
2508         {
2509         log_write(0, LOG_MAIN,
2510           "DANE attempt failed; TLS connection to %s [%s]: %s",
2511           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2512 #  ifndef DISABLE_EVENT
2513         (void) event_raise(sx->conn_args.tblock->event_action,
2514           US"dane:fail", US"validation-failure");       /* could do with better detail */
2515 #  endif
2516         }
2517 # endif
2518
2519       errno = ERRNO_TLSFAILURE;
2520       message = string_sprintf("TLS session: %s", tls_errstr);
2521       sx->send_quit = FALSE;
2522       goto TLS_FAILED;
2523       }
2524
2525     /* TLS session is set up */
2526
2527     smtp_peer_options_wrap = smtp_peer_options;
2528     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2529       if (addr->transport_return == PENDING_DEFER)
2530         {
2531         addr->cipher = tls_out.cipher;
2532         addr->ourcert = tls_out.ourcert;
2533         addr->peercert = tls_out.peercert;
2534         addr->peerdn = tls_out.peerdn;
2535         addr->ocsp = tls_out.ocsp;
2536         }
2537     }
2538   }
2539
2540 /* if smtps, we'll have smtp_command set to something else; always safe to
2541 reset it here. */
2542 smtp_command = big_buffer;
2543
2544 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2545 helo_data is null, we are dealing with a connection that was passed from
2546 another process, and so we won't have expanded helo_data above. We have to
2547 expand it here. $sending_ip_address and $sending_port are set up right at the
2548 start of the Exim process (in exim.c). */
2549
2550 if (tls_out.active.sock >= 0)
2551   {
2552   uschar * greeting_cmd;
2553
2554   if (!sx->helo_data && !(sx->helo_data = expand_string(ob->helo_data)))
2555     {
2556     uschar *message = string_sprintf("failed to expand helo_data: %s",
2557       expand_string_message);
2558     set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE);
2559     yield = DEFER;
2560     goto SEND_QUIT;
2561     }
2562
2563 #ifdef EXPERIMENTAL_PIPE_CONNECT
2564   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2565   We're unlikely to get the group sent and delivered before the server sends its
2566   banner, but it's still worth sending as a group.
2567   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2568   the reverse.  */
2569
2570   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2571     {
2572     sx->peer_offered = sx->ehlo_resp.crypted_features;
2573     if ((sx->early_pipe_active =
2574          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2575       DEBUG(D_transport) debug_printf("Using cached crypted PIPE_CONNECT\n");
2576     }
2577 #endif
2578
2579   /* For SMTPS we need to wait for the initial OK response. */
2580   if (sx->smtps)
2581 #ifdef EXPERIMENTAL_PIPE_CONNECT
2582     if (sx->early_pipe_active)
2583       {
2584       sx->pending_BANNER = TRUE;
2585       sx->outblock.cmd_count = 1;
2586       }
2587     else
2588 #endif
2589       if (!smtp_reap_banner(sx))
2590         goto RESPONSE_FAILED;
2591
2592   if (sx->lmtp)
2593     greeting_cmd = US"LHLO";
2594   else if (sx->esmtp)
2595     greeting_cmd = US"EHLO";
2596   else
2597     {
2598     greeting_cmd = US"HELO";
2599     DEBUG(D_transport)
2600       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2601     }
2602
2603   if (smtp_write_command(sx,
2604 #ifdef EXPERIMENTAL_PIPE_CONNECT
2605         sx->early_pipe_active ? SCMD_BUFFER :
2606 #endif
2607           SCMD_FLUSH,
2608         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2609     goto SEND_FAILED;
2610
2611 #ifdef EXPERIMENTAL_PIPE_CONNECT
2612   if (sx->early_pipe_active)
2613     sx->pending_EHLO = TRUE;
2614   else
2615 #endif
2616     {
2617     if (!smtp_reap_ehlo(sx))
2618 #ifdef USE_GNUTLS
2619       {
2620       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2621       cert late, under TLS1.3 - which means here; the first time we try to
2622       receive crypted data.  Treat it as if it was a connect-time failure.
2623       See also the early-pipe equivalent... which will be hard; every call
2624       to sync_responses will need to check the result.
2625       It would be nicer to have GnuTLS check the cert during the handshake.
2626       Can it do that, with all the flexibility we need? */
2627
2628       tls_errstr = US"error on first read";
2629       goto GNUTLS_CONN_FAILED;
2630       }
2631 #else
2632       goto RESPONSE_FAILED;
2633 #endif
2634     smtp_peer_options = 0;
2635     }
2636   }
2637
2638 /* If the host is required to use a secure channel, ensure that we
2639 have one. */
2640
2641 else if (  sx->smtps
2642 # ifdef SUPPORT_DANE
2643         || sx->conn_args.dane
2644 # endif
2645         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2646         )
2647   {
2648   errno = ERRNO_TLSREQUIRED;
2649   message = string_sprintf("a TLS session is required, but %s",
2650     smtp_peer_options & OPTION_TLS
2651     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2652 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2653   if (sx->conn_args.dane)
2654     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2655       smtp_peer_options & OPTION_TLS
2656       ? US"validation-failure"          /* could do with better detail */
2657       : US"starttls-not-supported");
2658 # endif
2659   goto TLS_FAILED;
2660   }
2661 #endif  /*DISABLE_TLS*/
2662
2663 /* If TLS is active, we have just started it up and re-done the EHLO command,
2664 so its response needs to be analyzed. If TLS is not active and this is a
2665 continued session down a previously-used socket, we haven't just done EHLO, so
2666 we skip this. */
2667
2668 if (continue_hostname == NULL
2669 #ifndef DISABLE_TLS
2670     || tls_out.active.sock >= 0
2671 #endif
2672     )
2673   {
2674   if (sx->esmtp || sx->lmtp)
2675     {
2676 #ifdef EXPERIMENTAL_PIPE_CONNECT
2677   if (!sx->early_pipe_active)
2678 #endif
2679     {
2680     sx->peer_offered = ehlo_response(sx->buffer,
2681         0 /* no TLS */
2682 #ifdef EXPERIMENTAL_PIPE_CONNECT
2683         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2684         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2685         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2686         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2687
2688 #else
2689
2690         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2691         | OPTION_CHUNKING
2692         | OPTION_PRDR
2693 # ifdef SUPPORT_I18N
2694         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
2695           /*XXX if we hand peercaps on to continued-conn processes,
2696                 must not depend on this addr */
2697 # endif
2698         | OPTION_DSN
2699         | OPTION_PIPE
2700         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
2701 #endif
2702       );
2703 #ifdef EXPERIMENTAL_PIPE_CONNECT
2704     if (tls_out.active.sock >= 0)
2705       sx->ehlo_resp.crypted_features = sx->peer_offered;
2706 #endif
2707     }
2708
2709     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
2710     lmtp_ignore_quota option was set. */
2711
2712     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
2713
2714     /* If the response to EHLO specified support for the SIZE parameter, note
2715     this, provided size_addition is non-negative. */
2716
2717     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
2718
2719     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
2720     the current host, esmtp will be false, so PIPELINING can never be used. If
2721     the current host matches hosts_avoid_pipelining, don't do it. */
2722
2723     if (  sx->peer_offered & OPTION_PIPE
2724        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
2725       smtp_peer_options |= OPTION_PIPE;
2726
2727     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
2728       smtp_peer_options & OPTION_PIPE ? "" : "not ");
2729
2730     if (  sx->peer_offered & OPTION_CHUNKING
2731        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) != OK)
2732       sx->peer_offered &= ~OPTION_CHUNKING;
2733
2734     if (sx->peer_offered & OPTION_CHUNKING)
2735       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
2736
2737 #ifndef DISABLE_PRDR
2738     if (  sx->peer_offered & OPTION_PRDR
2739        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) != OK)
2740       sx->peer_offered &= ~OPTION_PRDR;
2741
2742     if (sx->peer_offered & OPTION_PRDR)
2743       DEBUG(D_transport) debug_printf("PRDR usable\n");
2744 #endif
2745
2746     /* Note if the server supports DSN */
2747     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
2748     DEBUG(D_transport) debug_printf("%susing DSN\n",
2749                         sx->peer_offered & OPTION_DSN ? "" : "not ");
2750
2751 #ifdef EXPERIMENTAL_PIPE_CONNECT
2752     if (  sx->early_pipe_ok
2753        && !sx->early_pipe_active
2754        && tls_out.active.sock >= 0
2755        && smtp_peer_options & OPTION_PIPE
2756        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
2757           & OPTION_EARLY_PIPE)
2758       {
2759       DEBUG(D_transport) debug_printf("PIPE_CONNECT usable in future for this IP\n");
2760       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
2761       write_ehlo_cache_entry(sx);
2762       }
2763 #endif
2764
2765     /* Note if the response to EHLO specifies support for the AUTH extension.
2766     If it has, check that this host is one we want to authenticate to, and do
2767     the business. The host name and address must be available when the
2768     authenticator's client driver is running. */
2769
2770     switch (yield = smtp_auth(sx))
2771       {
2772       default:          goto SEND_QUIT;
2773       case OK:          break;
2774       case FAIL_SEND:   goto SEND_FAILED;
2775       case FAIL:        goto RESPONSE_FAILED;
2776       }
2777     }
2778   }
2779 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2780
2781 /* The setting up of the SMTP call is now complete. Any subsequent errors are
2782 message-specific. */
2783
2784 sx->setting_up = FALSE;
2785
2786 #ifdef SUPPORT_I18N
2787 if (sx->addrlist->prop.utf8_msg)
2788   {
2789   uschar * s;
2790
2791   /* If the transport sets a downconversion mode it overrides any set by ACL
2792   for the message. */
2793
2794   if ((s = ob->utf8_downconvert))
2795     {
2796     if (!(s = expand_string(s)))
2797       {
2798       message = string_sprintf("failed to expand utf8_downconvert: %s",
2799         expand_string_message);
2800       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE);
2801       yield = DEFER;
2802       goto SEND_QUIT;
2803       }
2804     switch (*s)
2805       {
2806       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
2807                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
2808                 break;
2809       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
2810                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
2811                 break;
2812       case '-': if (s[1] == '1')
2813                   {
2814                   sx->addrlist->prop.utf8_downcvt = FALSE;
2815                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
2816                   }
2817                 break;
2818       }
2819     }
2820
2821   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
2822                     && !sx->addrlist->prop.utf8_downcvt_maybe;
2823   DEBUG(D_transport) if (!sx->utf8_needed)
2824     debug_printf("utf8: %s downconvert\n",
2825       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
2826   }
2827
2828 /* If this is an international message we need the host to speak SMTPUTF8 */
2829 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
2830   {
2831   errno = ERRNO_UTF8_FWD;
2832   goto RESPONSE_FAILED;
2833   }
2834 #endif  /*SUPPORT_I18N*/
2835
2836 return OK;
2837
2838
2839   {
2840   int code;
2841
2842   RESPONSE_FAILED:
2843     message = NULL;
2844     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
2845       sx->buffer, &code, &message, &pass_message);
2846     yield = DEFER;
2847     goto FAILED;
2848
2849   SEND_FAILED:
2850     code = '4';
2851     message = US string_sprintf("send() to %s [%s] failed: %s",
2852       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
2853     sx->send_quit = FALSE;
2854     yield = DEFER;
2855     goto FAILED;
2856
2857   EHLOHELO_FAILED:
2858     code = '4';
2859     message = string_sprintf("Remote host closed connection in response to %s"
2860       " (EHLO response was: %s)", smtp_command, sx->buffer);
2861     sx->send_quit = FALSE;
2862     yield = DEFER;
2863     goto FAILED;
2864
2865   /* This label is jumped to directly when a TLS negotiation has failed,
2866   or was not done for a host for which it is required. Values will be set
2867   in message and errno, and setting_up will always be true. Treat as
2868   a temporary error. */
2869
2870 #ifndef DISABLE_TLS
2871   TLS_FAILED:
2872     code = '4', yield = DEFER;
2873     goto FAILED;
2874 #endif
2875
2876   /* The failure happened while setting up the call; see if the failure was
2877   a 5xx response (this will either be on connection, or following HELO - a 5xx
2878   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
2879   fail all addresses, as this host is never going to accept them. For other
2880   errors during setting up (timeouts or whatever), defer all addresses, and
2881   yield DEFER, so that the host is not tried again for a while.
2882
2883   XXX This peeking for another host feels like a layering violation. We want
2884   to note the host as unusable, but down here we shouldn't know if this was
2885   the last host to try for the addr(list).  Perhaps the upper layer should be
2886   the one to do set_errno() ?  The problem is that currently the addr is where
2887   errno etc. are stashed, but until we run out of hosts to try the errors are
2888   host-specific.  Maybe we should enhance the host_item definition? */
2889
2890 FAILED:
2891   sx->ok = FALSE;                /* For when reached by GOTO */
2892   set_errno(sx->addrlist, errno, message,
2893             sx->conn_args.host->next
2894             ? DEFER
2895             : code == '5'
2896 #ifdef SUPPORT_I18N
2897                         || errno == ERRNO_UTF8_FWD
2898 #endif
2899             ? FAIL : DEFER,
2900             pass_message, sx->conn_args.host
2901 #ifdef EXPERIMENTAL_DSN_INFO
2902             , sx->smtp_greeting, sx->helo_response
2903 #endif
2904             );
2905   }
2906
2907
2908 SEND_QUIT:
2909
2910 if (sx->send_quit)
2911   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
2912
2913 #ifndef DISABLE_TLS
2914 if (sx->cctx.tls_ctx)
2915   {
2916   tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
2917   sx->cctx.tls_ctx = NULL;
2918   }
2919 #endif
2920
2921 /* Close the socket, and return the appropriate value, first setting
2922 works because the NULL setting is passed back to the calling process, and
2923 remote_max_parallel is forced to 1 when delivering over an existing connection,
2924 */
2925
2926 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
2927 if (sx->send_quit)
2928   {
2929   shutdown(sx->cctx.sock, SHUT_WR);
2930   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
2931     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
2932       i--;                              /* drain socket */
2933   sx->send_quit = FALSE;
2934   }
2935 (void)close(sx->cctx.sock);
2936 sx->cctx.sock = -1;
2937
2938 #ifndef DISABLE_EVENT
2939 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL);
2940 #endif
2941
2942 continue_transport = NULL;
2943 continue_hostname = NULL;
2944 return yield;
2945 }
2946
2947
2948
2949
2950 /* Create the string of options that will be appended to the MAIL FROM:
2951 in the connection context buffer */
2952
2953 static int
2954 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
2955 {
2956 uschar * p = sx->buffer;
2957 address_item * addr;
2958 int address_count;
2959
2960 *p = 0;
2961
2962 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
2963 send it, adding something to the message size to allow for imprecision
2964 and things that get added en route. Exim keeps the number of lines
2965 in a message, so we can give an accurate value for the original message, but we
2966 need some additional to handle added headers. (Double "." characters don't get
2967 included in the count.) */
2968
2969 if (  message_size > 0
2970    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
2971   {
2972 /*XXX problem here under spool_files_wireformat?
2973 Or just forget about lines?  Or inflate by a fixed proportion? */
2974
2975   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
2976   while (*p) p++;
2977   }
2978
2979 #ifndef DISABLE_PRDR
2980 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
2981 request that */
2982
2983 sx->prdr_active = FALSE;
2984 if (sx->peer_offered & OPTION_PRDR)
2985   for (address_item * addr = addrlist; addr; addr = addr->next)
2986     if (addr->transport_return == PENDING_DEFER)
2987       {
2988       for (addr = addr->next; addr; addr = addr->next)
2989         if (addr->transport_return == PENDING_DEFER)
2990           {                     /* at least two recipients to send */
2991           sx->prdr_active = TRUE;
2992           sprintf(CS p, " PRDR"); p += 5;
2993           break;
2994           }
2995       break;
2996       }
2997 #endif
2998
2999 #ifdef SUPPORT_I18N
3000 /* If it supports internationalised messages, and this meesage need that,
3001 request it */
3002
3003 if (  sx->peer_offered & OPTION_UTF8
3004    && addrlist->prop.utf8_msg
3005    && !addrlist->prop.utf8_downcvt
3006    )
3007   Ustrcpy(p, " SMTPUTF8"), p += 9;
3008 #endif
3009
3010 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3011 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3012      addr && address_count < sx->max_rcpt;
3013      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3014   {
3015   address_count++;
3016   if (!(addr->dsn_flags & rf_dsnlasthop))
3017     {
3018     sx->dsn_all_lasthop = FALSE;
3019     break;
3020     }
3021   }
3022
3023 /* Add any DSN flags to the mail command */
3024
3025 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3026   {
3027   if (dsn_ret == dsn_ret_hdrs)
3028     { Ustrcpy(p, " RET=HDRS"); p += 9; }
3029   else if (dsn_ret == dsn_ret_full)
3030     { Ustrcpy(p, " RET=FULL"); p += 9; }
3031
3032   if (dsn_envid)
3033     {
3034     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3035     while (*p) p++;
3036     }
3037   }
3038
3039 /* If an authenticated_sender override has been specified for this transport
3040 instance, expand it. If the expansion is forced to fail, and there was already
3041 an authenticated_sender for this message, the original value will be used.
3042 Other expansion failures are serious. An empty result is ignored, but there is
3043 otherwise no check - this feature is expected to be used with LMTP and other
3044 cases where non-standard addresses (e.g. without domains) might be required. */
3045
3046 if (smtp_mail_auth_str(p, sizeof(sx->buffer) - (p-sx->buffer), addrlist, sx->conn_args.ob))
3047   return ERROR;
3048
3049 return OK;
3050 }
3051
3052
3053 static void
3054 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3055 {
3056 uschar * p = sx->buffer;
3057 *p = 0;
3058
3059 /* Add any DSN flags to the rcpt command */
3060
3061 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3062   {
3063   if (addr->dsn_flags & rf_dsnflags)
3064     {
3065     BOOL first = TRUE;
3066
3067     Ustrcpy(p, " NOTIFY=");
3068     while (*p) p++;
3069     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3070       {
3071       if (!first) *p++ = ',';
3072       first = FALSE;
3073       Ustrcpy(p, rf_names[i]);
3074       while (*p) p++;
3075       }
3076     }
3077
3078   if (addr->dsn_orcpt)
3079     {
3080     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3081       addr->dsn_orcpt);
3082     while (*p) p++;
3083     }
3084   }
3085 }
3086
3087
3088
3089 /*
3090 Return:
3091  0      good, rcpt results in addr->transport_return (PENDING_OK, DEFER, FAIL)
3092  -1     MAIL response error
3093  -2     any non-MAIL read i/o error
3094  -3     non-MAIL response timeout
3095  -4     internal error; channel still usable
3096  -5     transmit failed
3097  */
3098
3099 int
3100 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3101 {
3102 address_item * addr;
3103 int address_count;
3104 int rc;
3105
3106 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3107   {
3108   *yield = ERROR;
3109   return -4;
3110   }
3111
3112 /* From here until we send the DATA command, we can make use of PIPELINING
3113 if the server host supports it. The code has to be able to check the responses
3114 at any point, for when the buffer fills up, so we write it totally generally.
3115 When PIPELINING is off, each command written reports that it has flushed the
3116 buffer. */
3117
3118 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3119
3120   {
3121   uschar * s = sx->from_addr;
3122 #ifdef SUPPORT_I18N
3123   uschar * errstr = NULL;
3124
3125   /* If we must downconvert, do the from-address here.  Remember we had to
3126   for the to-addresses (done below), and also (ugly) for re-doing when building
3127   the delivery log line. */
3128
3129   if (  sx->addrlist->prop.utf8_msg
3130      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3131      )
3132     {
3133     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3134       {
3135       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE);
3136       *yield = ERROR;
3137       return -4;
3138       }
3139     setflag(sx->addrlist, af_utf8_downcvt);
3140     }
3141 #endif
3142
3143   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3144           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3145   }
3146
3147 mail_command = string_copy(big_buffer);  /* Save for later error message */
3148
3149 switch(rc)
3150   {
3151   case -1:                /* Transmission error */
3152     return -5;
3153
3154   case +1:                /* Cmd was sent */
3155     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3156        (SOB sx->conn_args.ob)->command_timeout))
3157       {
3158       if (errno == 0 && sx->buffer[0] == '4')
3159         {
3160         errno = ERRNO_MAIL4XX;
3161         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3162         }
3163       return -1;
3164       }
3165     sx->pending_MAIL = FALSE;
3166     break;
3167
3168   /* otherwise zero: command queued for pipeline */
3169   }
3170
3171 /* Pass over all the relevant recipient addresses for this host, which are the
3172 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3173 several before we have to read the responses for those seen so far. This
3174 checking is done by a subroutine because it also needs to be done at the end.
3175 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3176 the next one if not all are sent.
3177
3178 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3179 last address because we want to abort if any recipients have any kind of
3180 problem, temporary or permanent. We know that all recipient addresses will have
3181 the PENDING_DEFER status, because only one attempt is ever made, and we know
3182 that max_rcpt will be large, so all addresses will be done at once.
3183
3184 For verify we flush the pipeline after any (the only) rcpt address. */
3185
3186 for (addr = sx->first_addr, address_count = 0;
3187      addr  &&  address_count < sx->max_rcpt;
3188      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3189   {
3190   int count;
3191   BOOL no_flush;
3192   uschar * rcpt_addr;
3193
3194   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3195     ? dsn_support_yes : dsn_support_no;
3196
3197   address_count++;
3198   no_flush = pipelining_active && !sx->verify
3199           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3200
3201   build_rcptcmd_options(sx, addr);
3202
3203   /* Now send the RCPT command, and process outstanding responses when
3204   necessary. After a timeout on RCPT, we just end the function, leaving the
3205   yield as OK, because this error can often mean that there is a problem with
3206   just one address, so we don't want to delay the host. */
3207
3208   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3209
3210 #ifdef SUPPORT_I18N
3211   if (  testflag(sx->addrlist, af_utf8_downcvt)
3212      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3213      )
3214     {
3215     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3216     errno = ERRNO_EXPANDFAIL;
3217     return -5;          /*XXX too harsh? */
3218     }
3219 #endif
3220
3221   count = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3222     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3223
3224   if (count < 0) return -5;
3225   if (count > 0)
3226     {
3227     switch(sync_responses(sx, count, 0))
3228       {
3229       case 3: sx->ok = TRUE;                    /* 2xx & 5xx => OK & progress made */
3230       case 2: sx->completed_addr = TRUE;        /* 5xx (only) => progress made */
3231               break;
3232
3233       case 1: sx->ok = TRUE;                    /* 2xx (only) => OK, but if LMTP, */
3234               if (!sx->lmtp)                    /*  can't tell about progress yet */
3235                 sx->completed_addr = TRUE;
3236       case 0:                                   /* No 2xx or 5xx, but no probs */
3237               break;
3238
3239       case -1: return -3;                       /* Timeout on RCPT */
3240       case -2: return -2;                       /* non-MAIL read i/o error */
3241       default: return -1;                       /* any MAIL error */
3242
3243 #ifdef EXPERIMENTAL_PIPE_CONNECT
3244       case -4: return -1;                       /* non-2xx for pipelined banner or EHLO */
3245       case -5: return -1;                       /* TLS first-read error */
3246 #endif
3247       }
3248     sx->pending_MAIL = FALSE;            /* Dealt with MAIL */
3249     }
3250   }      /* Loop for next address */
3251
3252 sx->next_addr = addr;
3253 return 0;
3254 }
3255
3256
3257 #ifndef DISABLE_TLS
3258 /*****************************************************
3259 * Proxy TLS connection for another transport process *
3260 ******************************************************/
3261 /*
3262 Close the unused end of the pipe, fork once more, then use the given buffer
3263 as a staging area, and select on both the given fd and the TLS'd client-fd for
3264 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3265 Do blocking full-size writes, and reads under a timeout.  Once both input
3266 channels are closed, exit the process.
3267
3268 Arguments:
3269   ct_ctx        tls context
3270   buf           space to use for buffering
3271   bufsiz        size of buffer
3272   pfd           pipe filedescriptor array; [0] is comms to proxied process
3273   timeout       per-read timeout, seconds
3274 */
3275
3276 void
3277 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3278   int timeout)
3279 {
3280 fd_set rfds, efds;
3281 int max_fd = MAX(pfd[0], tls_out.active.sock) + 1;
3282 int rc, i;
3283
3284 close(pfd[1]);
3285 if ((rc = fork()))
3286   {
3287   DEBUG(D_transport) debug_printf("proxy-proc final-pid %d\n", rc);
3288   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3289   }
3290
3291 if (f.running_in_test_harness) millisleep(100); /* let parent debug out */
3292 set_process_info("proxying TLS connection for continued transport");
3293 FD_ZERO(&rfds);
3294 FD_SET(tls_out.active.sock, &rfds);
3295 FD_SET(pfd[0], &rfds);
3296
3297 for (int fd_bits = 3; fd_bits; )
3298   {
3299   time_t time_left = timeout;
3300   time_t time_start = time(NULL);
3301
3302   /* wait for data */
3303   efds = rfds;
3304   do
3305     {
3306     struct timeval tv = { time_left, 0 };
3307
3308     rc = select(max_fd,
3309       (SELECT_ARG2_TYPE *)&rfds, NULL, (SELECT_ARG2_TYPE *)&efds, &tv);
3310
3311     if (rc < 0 && errno == EINTR)
3312       if ((time_left -= time(NULL) - time_start) > 0) continue;
3313
3314     if (rc <= 0)
3315       {
3316       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3317       goto done;
3318       }
3319
3320     if (FD_ISSET(tls_out.active.sock, &efds) || FD_ISSET(pfd[0], &efds))
3321       {
3322       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3323         FD_ISSET(pfd[0], &efds) ? "proxy" : "tls");
3324       goto done;
3325       }
3326     }
3327   while (rc < 0 || !(FD_ISSET(tls_out.active.sock, &rfds) || FD_ISSET(pfd[0], &rfds)));
3328
3329   /* handle inbound data */
3330   if (FD_ISSET(tls_out.active.sock, &rfds))
3331     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)
3332       {
3333       fd_bits &= ~1;
3334       FD_CLR(tls_out.active.sock, &rfds);
3335       shutdown(pfd[0], SHUT_WR);
3336       timeout = 5;
3337       }
3338     else
3339       {
3340       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3341         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3342       }
3343   else if (fd_bits & 1)
3344     FD_SET(tls_out.active.sock, &rfds);
3345
3346   /* handle outbound data */
3347   if (FD_ISSET(pfd[0], &rfds))
3348     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3349       {
3350       fd_bits = 0;
3351       tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3352       ct_ctx = NULL;
3353       }
3354     else
3355       {
3356       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3357         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3358           goto done;
3359       }
3360   else if (fd_bits & 2)
3361     FD_SET(pfd[0], &rfds);
3362   }
3363
3364 done:
3365   if (f.running_in_test_harness) millisleep(100);       /* let logging complete */
3366   exim_exit(0, US"TLS proxy");
3367 }
3368 #endif
3369
3370
3371 /*************************************************
3372 *       Deliver address list to given host       *
3373 *************************************************/
3374
3375 /* If continue_hostname is not null, we get here only when continuing to
3376 deliver down an existing channel. The channel was passed as the standard
3377 input. TLS is never active on a passed channel; the previous process always
3378 closes it down before passing the connection on.
3379
3380 Otherwise, we have to make a connection to the remote host, and do the
3381 initial protocol exchange.
3382
3383 When running as an MUA wrapper, if the sender or any recipient is rejected,
3384 temporarily or permanently, we force failure for all recipients.
3385
3386 Arguments:
3387   addrlist        chain of potential addresses to deliver; only those whose
3388                   transport_return field is set to PENDING_DEFER are currently
3389                   being processed; others should be skipped - they have either
3390                   been delivered to an earlier host or IP address, or been
3391                   failed by one of them.
3392   host            host to deliver to
3393   host_af         AF_INET or AF_INET6
3394   defport         default TCP/IP port to use if host does not specify, in host
3395                   byte order
3396   interface       interface to bind to, or NULL
3397   tblock          transport instance block
3398   message_defer   set TRUE if yield is OK, but all addresses were deferred
3399                     because of a non-recipient, non-host failure, that is, a
3400                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3401                     that is specific to the message.
3402   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3403                     a second attempt after TLS initialization fails
3404
3405 Returns:          OK    - the connection was made and the delivery attempted;
3406                           the result for each address is in its data block.
3407                   DEFER - the connection could not be made, or something failed
3408                           while setting up the SMTP session, or there was a
3409                           non-message-specific error, such as a timeout.
3410                   ERROR - a filter command is specified for this transport,
3411                           and there was a problem setting it up; OR helo_data
3412                           or add_headers or authenticated_sender is specified
3413                           for this transport, and the string failed to expand
3414 */
3415
3416 static int
3417 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3418   uschar *interface, transport_instance *tblock,
3419   BOOL *message_defer, BOOL suppress_tls)
3420 {
3421 smtp_transport_options_block * ob = SOB tblock->options_block;
3422 int yield = OK;
3423 int save_errno;
3424 int rc;
3425 struct timeval start_delivery_time;
3426
3427 BOOL pass_message = FALSE;
3428 uschar *message = NULL;
3429 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3430
3431 smtp_context sx;
3432
3433 gettimeofday(&start_delivery_time, NULL);
3434 suppress_tls = suppress_tls;  /* stop compiler warning when no TLS support */
3435 *message_defer = FALSE;
3436
3437 sx.addrlist = addrlist;
3438 sx.conn_args.host = host;
3439 sx.conn_args.host_af = host_af,
3440 sx.port = defport;
3441 sx.conn_args.interface = interface;
3442 sx.helo_data = NULL;
3443 sx.conn_args.tblock = tblock;
3444 sx.verify = FALSE;
3445 sx.sync_addr = sx.first_addr = addrlist;
3446
3447 /* Get the channel set up ready for a message (MAIL FROM being the next
3448 SMTP command to send */
3449
3450 if ((rc = smtp_setup_conn(&sx, suppress_tls)) != OK)
3451   return rc;
3452
3453 /* If there is a filter command specified for this transport, we can now
3454 set it up. This cannot be done until the identify of the host is known. */
3455
3456 if (tblock->filter_command)
3457   {
3458   transport_filter_timeout = tblock->filter_timeout;
3459
3460   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3461   yield ERROR. */
3462
3463   if (!transport_set_up_command(&transport_filter_argv,
3464         tblock->filter_command, TRUE, DEFER, addrlist,
3465         string_sprintf("%.50s transport", tblock->name), NULL))
3466     {
3467     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3468       FALSE);
3469     yield = ERROR;
3470     goto SEND_QUIT;
3471     }
3472
3473   if (  transport_filter_argv
3474      && *transport_filter_argv
3475      && **transport_filter_argv
3476      && sx.peer_offered & OPTION_CHUNKING
3477      )
3478     {
3479     sx.peer_offered &= ~OPTION_CHUNKING;
3480     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3481     }
3482   }
3483
3484 /* For messages that have more than the maximum number of envelope recipients,
3485 we want to send several transactions down the same SMTP connection. (See
3486 comments in deliver.c as to how this reconciles, heuristically, with
3487 remote_max_parallel.) This optimization was added to Exim after the following
3488 code was already working. The simplest way to put it in without disturbing the
3489 code was to use a goto to jump back to this point when there is another
3490 transaction to handle. */
3491
3492 SEND_MESSAGE:
3493 sx.from_addr = return_path;
3494 sx.sync_addr = sx.first_addr;
3495 sx.ok = FALSE;
3496 sx.send_rset = TRUE;
3497 sx.completed_addr = FALSE;
3498
3499
3500 /* If we are a continued-connection-after-verify the MAIL and RCPT
3501 commands were already sent; do not re-send but do mark the addrs as
3502 having been accepted up to RCPT stage.  A traditional cont-conn
3503 always has a sequence number greater than one. */
3504
3505 if (continue_hostname && continue_sequence == 1)
3506   {
3507   sx.peer_offered = smtp_peer_options;
3508   sx.pending_MAIL = FALSE;
3509   sx.ok = TRUE;
3510   sx.next_addr = NULL;
3511
3512   for (address_item * addr = addrlist; addr; addr = addr->next)
3513     addr->transport_return = PENDING_OK;
3514   }
3515 else
3516   {
3517   /* Initiate a message transfer. */
3518
3519   switch(smtp_write_mail_and_rcpt_cmds(&sx, &yield))
3520     {
3521     case 0:             break;
3522     case -1: case -2:   goto RESPONSE_FAILED;
3523     case -3:            goto END_OFF;
3524     case -4:            goto SEND_QUIT;
3525     default:            goto SEND_FAILED;
3526     }
3527
3528   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3529   permanently or temporarily. We should have flushed and synced after the last
3530   RCPT. */
3531
3532   if (mua_wrapper)
3533     {
3534     address_item * a;
3535     unsigned cnt;
3536
3537     for (a = sx.first_addr, cnt = 0; a && cnt < sx.max_rcpt; a = a->next, cnt++)
3538       if (a->transport_return != PENDING_OK)
3539         {
3540         /*XXX could we find a better errno than 0 here? */
3541         set_errno_nohost(addrlist, 0, a->message, FAIL,
3542           testflag(a, af_pass_message));
3543         sx.ok = FALSE;
3544         break;
3545         }
3546     }
3547   }
3548
3549 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3550 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3551 have a good recipient buffered up if we are pipelining. We don't want to waste
3552 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3553 are pipelining. The responses are all handled by sync_responses().
3554 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3555 to send is. */
3556
3557 if (  !(sx.peer_offered & OPTION_CHUNKING)
3558    && (sx.ok || (pipelining_active && !mua_wrapper)))
3559   {
3560   int count = smtp_write_command(&sx, SCMD_FLUSH, "DATA\r\n");
3561
3562   if (count < 0) goto SEND_FAILED;
3563   switch(sync_responses(&sx, count, sx.ok ? +1 : -1))
3564     {
3565     case 3: sx.ok = TRUE;            /* 2xx & 5xx => OK & progress made */
3566     case 2: sx.completed_addr = TRUE;    /* 5xx (only) => progress made */
3567     break;
3568
3569     case 1: sx.ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
3570     if (!sx.lmtp) sx.completed_addr = TRUE; /* can't tell about progress yet */
3571     case 0: break;                      /* No 2xx or 5xx, but no probs */
3572
3573     case -1: goto END_OFF;              /* Timeout on RCPT */
3574
3575 #ifdef EXPERIMENTAL_PIPE_CONNECT
3576     case -5:                            /* TLS first-read error */
3577     case -4:  HDEBUG(D_transport)
3578                 debug_printf("failed reaping pipelined cmd responses\n");
3579 #endif
3580     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3581     }
3582   pipelining_active = FALSE;
3583   data_command = string_copy(big_buffer);  /* Save for later error message */
3584   }
3585
3586 /* If there were no good recipients (but otherwise there have been no
3587 problems), just set ok TRUE, since we have handled address-specific errors
3588 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
3589 for handling the SMTP dot-handling protocol, flagging to apply to headers as
3590 well as body. Set the appropriate timeout value to be used for each chunk.
3591 (Haven't been able to make it work using select() for writing yet.) */
3592
3593 if (!(sx.peer_offered & OPTION_CHUNKING) && !sx.ok)
3594   {
3595   /* Save the first address of the next batch. */
3596   sx.first_addr = sx.next_addr;
3597
3598   sx.ok = TRUE;
3599   }
3600 else
3601   {
3602   transport_ctx tctx = {
3603     .u = {.fd = sx.cctx.sock},  /*XXX will this need TLS info? */
3604     .tblock =   tblock,
3605     .addr =     addrlist,
3606     .check_string = US".",
3607     .escape_string = US"..",    /* Escaping strings */
3608     .options =
3609       topt_use_crlf | topt_escape_headers
3610     | (tblock->body_only        ? topt_no_headers : 0)
3611     | (tblock->headers_only     ? topt_no_body : 0)
3612     | (tblock->return_path_add  ? topt_add_return_path : 0)
3613     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
3614     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
3615   };
3616
3617   /* If using CHUNKING we need a callback from the generic transport
3618   support to us, for the sending of BDAT smtp commands and the reaping
3619   of responses.  The callback needs a whole bunch of state so set up
3620   a transport-context structure to be passed around. */
3621
3622   if (sx.peer_offered & OPTION_CHUNKING)
3623     {
3624     tctx.check_string = tctx.escape_string = NULL;
3625     tctx.options |= topt_use_bdat;
3626     tctx.chunk_cb = smtp_chunk_cmd_callback;
3627     sx.pending_BDAT = FALSE;
3628     sx.good_RCPT = sx.ok;
3629     sx.cmd_count = 0;
3630     tctx.smtp_context = &sx;
3631     }
3632   else
3633     tctx.options |= topt_end_dot;
3634
3635   /* Save the first address of the next batch. */
3636   sx.first_addr = sx.next_addr;
3637
3638   /* Responses from CHUNKING commands go in buffer.  Otherwise,
3639   there has not been a response. */
3640
3641   sx.buffer[0] = 0;
3642
3643   sigalrm_seen = FALSE;
3644   transport_write_timeout = ob->data_timeout;
3645   smtp_command = US"sending data block";   /* For error messages */
3646   DEBUG(D_transport|D_v)
3647     if (sx.peer_offered & OPTION_CHUNKING)
3648       debug_printf("         will write message using CHUNKING\n");
3649     else
3650       debug_printf("  SMTP>> writing message and terminating \".\"\n");
3651   transport_count = 0;
3652
3653 #ifndef DISABLE_DKIM
3654   dkim_exim_sign_init();
3655 # ifdef EXPERIMENTAL_ARC
3656     {
3657     uschar * s = ob->arc_sign;
3658     if (s)
3659       {
3660       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
3661         {
3662         if (!f.expand_string_forcedfail)
3663           {
3664           message = US"failed to expand arc_sign";
3665           sx.ok = FALSE;
3666           goto SEND_FAILED;
3667           }
3668         }
3669       else if (*s)
3670         {
3671         /* Ask dkim code to hash the body for ARC */
3672         (void) arc_ams_setup_sign_bodyhash();
3673         ob->dkim.force_bodyhash = TRUE;
3674         }
3675       }
3676     }
3677 # endif
3678   sx.ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
3679 #else
3680   sx.ok = transport_write_message(&tctx, 0);
3681 #endif
3682
3683   /* transport_write_message() uses write() because it is called from other
3684   places to write to non-sockets. This means that under some OS (e.g. Solaris)
3685   it can exit with "Broken pipe" as its error. This really means that the
3686   socket got closed at the far end. */
3687
3688   transport_write_timeout = 0;   /* for subsequent transports */
3689
3690   /* Failure can either be some kind of I/O disaster (including timeout),
3691   or the failure of a transport filter or the expansion of added headers.
3692   Or, when CHUNKING, it can be a protocol-detected failure. */
3693
3694   if (!sx.ok)
3695     if (message) goto SEND_FAILED;
3696     else         goto RESPONSE_FAILED;
3697
3698   /* We used to send the terminating "." explicitly here, but because of
3699   buffering effects at both ends of TCP/IP connections, you don't gain
3700   anything by keeping it separate, so it might as well go in the final
3701   data buffer for efficiency. This is now done by setting the topt_end_dot
3702   flag above. */
3703
3704   smtp_command = US"end of data";
3705
3706   if (sx.peer_offered & OPTION_CHUNKING && sx.cmd_count > 1)
3707     {
3708     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
3709     switch(sync_responses(&sx, sx.cmd_count-1, 0))
3710       {
3711       case 3: sx.ok = TRUE;            /* 2xx & 5xx => OK & progress made */
3712       case 2: sx.completed_addr = TRUE;    /* 5xx (only) => progress made */
3713               break;
3714
3715       case 1: sx.ok = TRUE;             /* 2xx (only) => OK, but if LMTP, */
3716       if (!sx.lmtp) sx.completed_addr = TRUE; /* can't tell about progress yet */
3717       case 0: break;                    /* No 2xx or 5xx, but no probs */
3718
3719       case -1: goto END_OFF;            /* Timeout on RCPT */
3720
3721 #ifdef EXPERIMENTAL_PIPE_CONNECT
3722       case -5:                          /* TLS first-read error */
3723       case -4:  HDEBUG(D_transport)
3724                   debug_printf("failed reaping pipelined cmd responses\n");
3725 #endif
3726       default: goto RESPONSE_FAILED;    /* I/O error, or any MAIL/DATA error */
3727       }
3728     }
3729
3730 #ifndef DISABLE_PRDR
3731   /* For PRDR we optionally get a partial-responses warning followed by the
3732   individual responses, before going on with the overall response.  If we don't
3733   get the warning then deal with per non-PRDR. */
3734
3735   if(sx.prdr_active)
3736     {
3737     sx.ok = smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer), '3', ob->final_timeout);
3738     if (!sx.ok && errno == 0) switch(sx.buffer[0])
3739       {
3740       case '2': sx.prdr_active = FALSE;
3741                 sx.ok = TRUE;
3742                 break;
3743       case '4': errno = ERRNO_DATA4XX;
3744                 addrlist->more_errno |=
3745                   ((sx.buffer[1] - '0')*10 + sx.buffer[2] - '0') << 8;
3746                 break;
3747       }
3748     }
3749   else
3750 #endif
3751
3752   /* For non-PRDR SMTP, we now read a single response that applies to the
3753   whole message.  If it is OK, then all the addresses have been delivered. */
3754
3755   if (!sx.lmtp)
3756     {
3757     sx.ok = smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer), '2',
3758       ob->final_timeout);
3759     if (!sx.ok && errno == 0 && sx.buffer[0] == '4')
3760       {
3761       errno = ERRNO_DATA4XX;
3762       addrlist->more_errno |= ((sx.buffer[1] - '0')*10 + sx.buffer[2] - '0') << 8;
3763       }
3764     }
3765
3766   /* For LMTP, we get back a response for every RCPT command that we sent;
3767   some may be accepted and some rejected. For those that get a response, their
3768   status is fixed; any that are accepted have been handed over, even if later
3769   responses crash - at least, that's how I read RFC 2033.
3770
3771   If all went well, mark the recipient addresses as completed, record which
3772   host/IPaddress they were delivered to, and cut out RSET when sending another
3773   message down the same channel. Write the completed addresses to the journal
3774   now so that they are recorded in case there is a crash of hardware or
3775   software before the spool gets updated. Also record the final SMTP
3776   confirmation if needed (for SMTP only). */
3777
3778   if (sx.ok)
3779     {
3780     int flag = '=';
3781     struct timeval delivery_time;
3782     int len;
3783     uschar * conf = NULL;
3784
3785     timesince(&delivery_time, &start_delivery_time);
3786     sx.send_rset = FALSE;
3787     pipelining_active = FALSE;
3788
3789     /* Set up confirmation if needed - applies only to SMTP */
3790
3791     if (
3792 #ifdef DISABLE_EVENT
3793           LOGGING(smtp_confirmation) &&
3794 #endif
3795           !sx.lmtp
3796        )
3797       {
3798       const uschar *s = string_printing(sx.buffer);
3799       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
3800       conf = (s == sx.buffer)? US string_copy(s) : US s;
3801       }
3802
3803     /* Process all transported addresses - for LMTP or PRDR, read a status for
3804     each one. */
3805
3806     for (address_item * addr = addrlist; addr != sx.first_addr; addr = addr->next)
3807       {
3808       if (addr->transport_return != PENDING_OK) continue;
3809
3810       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
3811       remaining addresses. Otherwise, it's a return code for just the one
3812       address. For temporary errors, add a retry item for the address so that
3813       it doesn't get tried again too soon. */
3814
3815 #ifndef DISABLE_PRDR
3816       if (sx.lmtp || sx.prdr_active)
3817 #else
3818       if (sx.lmtp)
3819 #endif
3820         {
3821         if (!smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer), '2',
3822             ob->final_timeout))
3823           {
3824           if (errno != 0 || sx.buffer[0] == 0) goto RESPONSE_FAILED;
3825           addr->message = string_sprintf(
3826 #ifndef DISABLE_PRDR
3827             "%s error after %s: %s", sx.prdr_active ? "PRDR":"LMTP",
3828 #else
3829             "LMTP error after %s: %s",
3830 #endif
3831             data_command, string_printing(sx.buffer));
3832           setflag(addr, af_pass_message);   /* Allow message to go to user */
3833           if (sx.buffer[0] == '5')
3834             addr->transport_return = FAIL;
3835           else
3836             {
3837             errno = ERRNO_DATA4XX;
3838             addr->more_errno |= ((sx.buffer[1] - '0')*10 + sx.buffer[2] - '0') << 8;
3839             addr->transport_return = DEFER;
3840 #ifndef DISABLE_PRDR
3841             if (!sx.prdr_active)
3842 #endif
3843               retry_add_item(addr, addr->address_retry_key, 0);
3844             }
3845           continue;
3846           }
3847         sx.completed_addr = TRUE;   /* NOW we can set this flag */
3848         if (LOGGING(smtp_confirmation))
3849           {
3850           const uschar *s = string_printing(sx.buffer);
3851           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
3852           conf = (s == sx.buffer) ? US string_copy(s) : US s;
3853           }
3854         }
3855
3856       /* SMTP, or success return from LMTP for this address. Pass back the
3857       actual host that was used. */
3858
3859       addr->transport_return = OK;
3860       addr->more_errno = delivery_time.tv_sec;
3861       addr->delivery_usec = delivery_time.tv_usec;
3862       addr->host_used = host;
3863       addr->special_action = flag;
3864       addr->message = conf;
3865
3866       if (tcp_out_fastopen)
3867         {
3868         setflag(addr, af_tcp_fastopen_conn);
3869         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
3870         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
3871         }
3872       if (sx.pipelining_used) setflag(addr, af_pipelining);
3873 #ifdef EXPERIMENTAL_PIPE_CONNECT
3874       if (sx.early_pipe_active) setflag(addr, af_early_pipe);
3875 #endif
3876 #ifndef DISABLE_PRDR
3877       if (sx.prdr_active) setflag(addr, af_prdr_used);
3878 #endif
3879       if (sx.peer_offered & OPTION_CHUNKING) setflag(addr, af_chunking_used);
3880       flag = '-';
3881
3882 #ifndef DISABLE_PRDR
3883       if (!sx.prdr_active)
3884 #endif
3885         {
3886         /* Update the journal. For homonymic addresses, use the base address plus
3887         the transport name. See lots of comments in deliver.c about the reasons
3888         for the complications when homonyms are involved. Just carry on after
3889         write error, as it may prove possible to update the spool file later. */
3890
3891         if (testflag(addr, af_homonym))
3892           sprintf(CS sx.buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
3893         else
3894           sprintf(CS sx.buffer, "%.500s\n", addr->unique);
3895
3896         DEBUG(D_deliver) debug_printf("S:journalling %s\n", sx.buffer);
3897         len = Ustrlen(CS sx.buffer);
3898         if (write(journal_fd, sx.buffer, len) != len)
3899           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
3900             "%s: %s", sx.buffer, strerror(errno));
3901         }
3902       }
3903
3904 #ifndef DISABLE_PRDR
3905       if (sx.prdr_active)
3906         {
3907         const uschar * overall_message;
3908
3909         /* PRDR - get the final, overall response.  For any non-success
3910         upgrade all the address statuses. */
3911
3912         sx.ok = smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer), '2',
3913           ob->final_timeout);
3914         if (!sx.ok)
3915           {
3916           if(errno == 0 && sx.buffer[0] == '4')
3917             {
3918             errno = ERRNO_DATA4XX;
3919             addrlist->more_errno |= ((sx.buffer[1] - '0')*10 + sx.buffer[2] - '0') << 8;
3920             }
3921           for (address_item * addr = addrlist; addr != sx.first_addr; addr = addr->next)
3922             if (sx.buffer[0] == '5' || addr->transport_return == OK)
3923               addr->transport_return = PENDING_OK; /* allow set_errno action */
3924           goto RESPONSE_FAILED;
3925           }
3926
3927         /* Append the overall response to the individual PRDR response for logging
3928         and update the journal, or setup retry. */
3929
3930         overall_message = string_printing(sx.buffer);
3931         for (address_item * addr = addrlist; addr != sx.first_addr; addr = addr->next)
3932           if (addr->transport_return == OK)
3933             addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
3934
3935         for (address_item * addr = addrlist; addr != sx.first_addr; addr = addr->next)
3936           if (addr->transport_return == OK)
3937             {
3938             if (testflag(addr, af_homonym))
3939               sprintf(CS sx.buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
3940             else
3941               sprintf(CS sx.buffer, "%.500s\n", addr->unique);
3942
3943             DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx.buffer);
3944             len = Ustrlen(CS sx.buffer);
3945             if (write(journal_fd, sx.buffer, len) != len)
3946               log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
3947                 "%s: %s", sx.buffer, strerror(errno));
3948             }
3949           else if (addr->transport_return == DEFER)
3950             retry_add_item(addr, addr->address_retry_key, -2);
3951         }
3952 #endif
3953
3954     /* Ensure the journal file is pushed out to disk. */
3955
3956     if (EXIMfsync(journal_fd) < 0)
3957       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
3958         strerror(errno));
3959     }
3960   }
3961
3962
3963 /* Handle general (not specific to one address) failures here. The value of ok
3964 is used to skip over this code on the falling through case. A timeout causes a
3965 deferral. Other errors may defer or fail according to the response code, and
3966 may set up a special errno value, e.g. after connection chopped, which is
3967 assumed if errno == 0 and there is no text in the buffer. If control reaches
3968 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
3969 the problem is not related to this specific message. */
3970
3971 if (!sx.ok)
3972   {
3973   int code, set_rc;
3974   uschar * set_message;
3975
3976   RESPONSE_FAILED:
3977     {
3978     save_errno = errno;
3979     message = NULL;
3980     sx.send_quit = check_response(host, &save_errno, addrlist->more_errno,
3981       sx.buffer, &code, &message, &pass_message);
3982     goto FAILED;
3983     }
3984
3985   SEND_FAILED:
3986     {
3987     save_errno = errno;
3988     code = '4';
3989     message = string_sprintf("send() to %s [%s] failed: %s",
3990       host->name, host->address, message ? message : US strerror(save_errno));
3991     sx.send_quit = FALSE;
3992     goto FAILED;
3993     }
3994
3995   FAILED:
3996     {
3997     BOOL message_error;
3998
3999     sx.ok = FALSE;                /* For when reached by GOTO */
4000     set_message = message;
4001
4002   /* We want to handle timeouts after MAIL or "." and loss of connection after
4003   "." specially. They can indicate a problem with the sender address or with
4004   the contents of the message rather than a real error on the connection. These
4005   cases are treated in the same way as a 4xx response. This next bit of code
4006   does the classification. */
4007
4008     switch(save_errno)
4009       {
4010       case 0:
4011       case ERRNO_MAIL4XX:
4012       case ERRNO_DATA4XX:
4013         message_error = TRUE;
4014         break;
4015
4016       case ETIMEDOUT:
4017         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4018                         Ustrncmp(smtp_command,"end ",4) == 0;
4019         break;
4020
4021       case ERRNO_SMTPCLOSED:
4022         message_error = Ustrncmp(smtp_command,"end ",4) == 0;
4023         break;
4024
4025       default:
4026         message_error = FALSE;
4027         break;
4028       }
4029
4030     /* Handle the cases that are treated as message errors. These are:
4031
4032       (a) negative response or timeout after MAIL
4033       (b) negative response after DATA
4034       (c) negative response or timeout or dropped connection after "."
4035       (d) utf8 support required and not offered
4036
4037     It won't be a negative response or timeout after RCPT, as that is dealt
4038     with separately above. The action in all cases is to set an appropriate
4039     error code for all the addresses, but to leave yield set to OK because the
4040     host itself has not failed. Of course, it might in practice have failed
4041     when we've had a timeout, but if so, we'll discover that at the next
4042     delivery attempt. For a temporary error, set the message_defer flag, and
4043     write to the logs for information if this is not the last host. The error
4044     for the last host will be logged as part of the address's log line. */
4045
4046     if (message_error)
4047       {
4048       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4049
4050       /* If there's an errno, the message contains just the identity of
4051       the host. */
4052
4053       if (code == '5')
4054         set_rc = FAIL;
4055       else              /* Anything other than 5 is treated as temporary */
4056         {
4057         set_rc = DEFER;
4058         if (save_errno > 0)
4059           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4060
4061         write_logs(host, message, sx.first_addr ? sx.first_addr->basic_errno : 0);
4062
4063         *message_defer = TRUE;
4064         }
4065       }
4066
4067     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4068     ".", or some other transportation error. We defer all addresses and yield
4069     DEFER, except for the case of failed add_headers expansion, or a transport
4070     filter failure, when the yield should be ERROR, to stop it trying other
4071     hosts. */
4072
4073     else
4074       {
4075 #ifdef EXPERIMENTAL_PIPE_CONNECT
4076       /* If we were early-pipelinng and the actual EHLO response did not match
4077       the cached value we assumed, we could have detected it and passed a
4078       custom errno through to here.  It would be nice to RSET and retry right
4079       away, but to reliably do that we eould need an extra synch point before
4080       we committed to data and that would discard half the gained roundrips.
4081       Or we could summarily drop the TCP connection. but that is also ugly.
4082       Instead, we ignore the possibility (having freshened the cache) and rely
4083       on the server telling us with a nonmessage error if we have tried to
4084       do something it no longer supports. */
4085 #endif
4086       set_rc = DEFER;
4087       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4088                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4089       }
4090     }
4091
4092   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host
4093 #ifdef EXPERIMENTAL_DSN_INFO
4094             , sx.smtp_greeting, sx.helo_response
4095 #endif
4096             );
4097   }
4098
4099
4100 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4101 SMTP session tidily. However, if there were too many addresses to send in one
4102 message (indicated by first_addr being non-NULL) we want to carry on with the
4103 rest of them. Also, it is desirable to send more than one message down the SMTP
4104 connection if there are several waiting, provided we haven't already sent so
4105 many as to hit the configured limit. The function transport_check_waiting looks
4106 for a waiting message and returns its id. Then transport_pass_socket tries to
4107 set up a continued delivery by passing the socket on to another process. The
4108 variable send_rset is FALSE if a message has just been successfully transferred.
4109
4110 If we are already sending down a continued channel, there may be further
4111 addresses not yet delivered that are aimed at the same host, but which have not
4112 been passed in this run of the transport. In this case, continue_more will be
4113 true, and all we should do is send RSET if necessary, and return, leaving the
4114 channel open.
4115
4116 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4117 do not want to continue with other messages down the same channel, because that
4118 can lead to looping between two or more messages, all with the same,
4119 temporarily failing address(es). [The retry information isn't updated yet, so
4120 new processes keep on trying.] We probably also don't want to try more of this
4121 message's addresses either.
4122
4123 If we have started a TLS session, we have to end it before passing the
4124 connection to a new process. However, not all servers can handle this (Exim
4125 can), so we do not pass such a connection on if the host matches
4126 hosts_nopass_tls. */
4127
4128 DEBUG(D_transport)
4129   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4130     "yield=%d first_address is %sNULL\n", sx.ok, sx.send_quit,
4131     sx.send_rset, f.continue_more, yield, sx.first_addr ? "not " : "");
4132
4133 if (sx.completed_addr && sx.ok && sx.send_quit)
4134   {
4135   BOOL more;
4136   smtp_compare_t t_compare;
4137
4138   t_compare.tblock = tblock;
4139   t_compare.current_sender_address = sender_address;
4140
4141   if (  sx.first_addr != NULL
4142      || f.continue_more
4143      || (
4144 #ifndef DISABLE_TLS
4145            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4146            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4147            )
4148         &&
4149 #endif
4150            transport_check_waiting(tblock->name, host->name,
4151              tblock->connection_max_messages, new_message_id, &more,
4152              (oicf)smtp_are_same_identities, (void*)&t_compare)
4153      )  )
4154     {
4155     uschar *msg;
4156     BOOL pass_message;
4157
4158     if (sx.send_rset)
4159       if (! (sx.ok = smtp_write_command(&sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4160         {
4161         msg = US string_sprintf("send() to %s [%s] failed: %s", host->name,
4162           host->address, strerror(errno));
4163         sx.send_quit = FALSE;
4164         }
4165       else if (! (sx.ok = smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer),
4166                   '2', ob->command_timeout)))
4167         {
4168         int code;
4169         sx.send_quit = check_response(host, &errno, 0, sx.buffer, &code, &msg,
4170           &pass_message);
4171         if (!sx.send_quit)
4172           {
4173           DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4174             host->name, host->address, msg);
4175           }
4176         }
4177
4178     /* Either RSET was not needed, or it succeeded */
4179
4180     if (sx.ok)
4181       {
4182 #ifndef DISABLE_TLS
4183       int pfd[2];
4184 #endif
4185       int socket_fd = sx.cctx.sock;
4186
4187
4188       if (sx.first_addr != NULL)         /* More addresses still to be sent */
4189         {                                /*   in this run of the transport */
4190         continue_sequence++;             /* Causes * in logging */
4191         goto SEND_MESSAGE;
4192         }
4193
4194       /* Unless caller said it already has more messages listed for this host,
4195       pass the connection on to a new Exim process (below, the call to
4196       transport_pass_socket).  If the caller has more ready, just return with
4197       the connection still open. */
4198
4199 #ifndef DISABLE_TLS
4200       if (tls_out.active.sock >= 0)
4201         if (  f.continue_more
4202            || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4203           {
4204           /* Before passing the socket on, or returning to caller with it still
4205           open, we must shut down TLS.  Not all MTAs allow for the continuation
4206           of the SMTP session when TLS is shut down. We test for this by sending
4207           a new EHLO. If we don't get a good response, we don't attempt to pass
4208           the socket on. */
4209
4210           tls_close(sx.cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4211           sx.cctx.tls_ctx = NULL;
4212           smtp_peer_options = smtp_peer_options_wrap;
4213           sx.ok = !sx.smtps
4214             && smtp_write_command(&sx, SCMD_FLUSH, "EHLO %s\r\n", sx.helo_data)
4215                 >= 0
4216             && smtp_read_response(&sx, sx.buffer, sizeof(sx.buffer),
4217                                       '2', ob->command_timeout);
4218
4219           if (sx.ok && f.continue_more)
4220             return yield;               /* More addresses for another run */
4221           }
4222         else
4223           {
4224           /* Set up a pipe for proxying TLS for the new transport process */
4225
4226           smtp_peer_options |= OPTION_TLS;
4227           if (sx.ok = (socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4228             socket_fd = pfd[1];
4229           else
4230             set_errno(sx.first_addr, errno, US"internal allocation problem",
4231                     DEFER, FALSE, host
4232 # ifdef EXPERIMENTAL_DSN_INFO
4233                     , sx.smtp_greeting, sx.helo_response
4234 # endif
4235                     );
4236           }
4237       else
4238 #endif
4239         if (f.continue_more)
4240           return yield;                 /* More addresses for another run */
4241
4242       /* If the socket is successfully passed, we mustn't send QUIT (or
4243       indeed anything!) from here. */
4244
4245 /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4246 propagate it from the initial
4247 */
4248       if (sx.ok && transport_pass_socket(tblock->name, host->name,
4249             host->address, new_message_id, socket_fd))
4250         {
4251         sx.send_quit = FALSE;
4252
4253         /* We have passed the client socket to a fresh transport process.
4254         If TLS is still active, we need to proxy it for the transport we
4255         just passed the baton to.  Fork a child to to do it, and return to
4256         get logging done asap.  Which way to place the work makes assumptions
4257         about post-fork prioritisation which may not hold on all platforms. */
4258 #ifndef DISABLE_TLS
4259         if (tls_out.active.sock >= 0)
4260           {
4261           int pid = fork();
4262           if (pid == 0)         /* child; fork again to disconnect totally */
4263             {
4264             if (f.running_in_test_harness) millisleep(100); /* let parent debug out */
4265             /* does not return */
4266             smtp_proxy_tls(sx.cctx.tls_ctx, sx.buffer, sizeof(sx.buffer), pfd,
4267                             ob->command_timeout);
4268             }
4269
4270           if (pid > 0)          /* parent */
4271             {
4272             DEBUG(D_transport) debug_printf("proxy-proc inter-pid %d\n", pid);
4273             close(pfd[0]);
4274             /* tidy the inter-proc to disconn the proxy proc */
4275             waitpid(pid, NULL, 0);
4276             tls_close(sx.cctx.tls_ctx, TLS_NO_SHUTDOWN);
4277             sx.cctx.tls_ctx = NULL;
4278             (void)close(sx.cctx.sock);
4279             sx.cctx.sock = -1;
4280             continue_transport = NULL;
4281             continue_hostname = NULL;
4282             return yield;
4283             }
4284           log_write(0, LOG_PANIC_DIE, "fork failed");
4285           }
4286 #endif
4287         }
4288       }
4289
4290     /* If RSET failed and there are addresses left, they get deferred. */
4291     else
4292       set_errno(sx.first_addr, errno, msg, DEFER, FALSE, host
4293 #ifdef EXPERIMENTAL_DSN_INFO
4294                   , sx.smtp_greeting, sx.helo_response
4295 #endif
4296                   );
4297     }
4298   }
4299
4300 /* End off tidily with QUIT unless the connection has died or the socket has
4301 been passed to another process. There has been discussion on the net about what
4302 to do after sending QUIT. The wording of the RFC suggests that it is necessary
4303 to wait for a response, but on the other hand, there isn't anything one can do
4304 with an error response, other than log it. Exim used to do that. However,
4305 further discussion suggested that it is positively advantageous not to wait for
4306 the response, but to close the session immediately. This is supposed to move
4307 the TCP/IP TIME_WAIT state from the server to the client, thereby removing some
4308 load from the server. (Hosts that are both servers and clients may not see much
4309 difference, of course.) Further discussion indicated that this was safe to do
4310 on Unix systems which have decent implementations of TCP/IP that leave the
4311 connection around for a while (TIME_WAIT) after the application has gone away.
4312 This enables the response sent by the server to be properly ACKed rather than
4313 timed out, as can happen on broken TCP/IP implementations on other OS.
4314
4315 This change is being made on 31-Jul-98. After over a year of trouble-free
4316 operation, the old commented-out code was removed on 17-Sep-99. */
4317
4318 SEND_QUIT:
4319 #ifdef TCP_CORK
4320 (void) setsockopt(sx.cctx.sock, IPPROTO_TCP, TCP_CORK, US &on, sizeof(on));
4321 #endif
4322 if (sx.send_quit) (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
4323
4324 END_OFF:
4325
4326 #ifndef DISABLE_TLS
4327 tls_close(sx.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
4328 sx.cctx.tls_ctx = NULL;
4329 #endif
4330
4331 /* Close the socket, and return the appropriate value, first setting
4332 works because the NULL setting is passed back to the calling process, and
4333 remote_max_parallel is forced to 1 when delivering over an existing connection,
4334
4335 If all went well and continue_more is set, we shouldn't actually get here if
4336 there are further addresses, as the return above will be taken. However,
4337 writing RSET might have failed, or there may be other addresses whose hosts are
4338 specified in the transports, and therefore not visible at top level, in which
4339 case continue_more won't get set. */
4340
4341 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4342 if (sx.send_quit)
4343   {
4344   shutdown(sx.cctx.sock, SHUT_WR);
4345   millisleep(f.running_in_test_harness ? 200 : 20);
4346   if (fcntl(sx.cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4347     for (int i = 16; read(sx.cctx.sock, sx.inbuffer, sizeof(sx.inbuffer)) > 0 && i > 0;)
4348       i--;                              /* drain socket */
4349   }
4350 (void)close(sx.cctx.sock);
4351
4352 #ifndef DISABLE_EVENT
4353 (void) event_raise(tblock->event_action, US"tcp:close", NULL);
4354 #endif
4355
4356 continue_transport = NULL;
4357 continue_hostname = NULL;
4358 return yield;
4359 }
4360
4361
4362
4363
4364 /*************************************************
4365 *              Closedown entry point             *
4366 *************************************************/
4367
4368 /* This function is called when exim is passed an open smtp channel
4369 from another incarnation, but the message which it has been asked
4370 to deliver no longer exists. The channel is on stdin.
4371
4372 We might do fancy things like looking for another message to send down
4373 the channel, but if the one we sought has gone, it has probably been
4374 delivered by some other process that itself will seek further messages,
4375 so just close down our connection.
4376
4377 Argument:   pointer to the transport instance block
4378 Returns:    nothing
4379 */
4380
4381 void
4382 smtp_transport_closedown(transport_instance *tblock)
4383 {
4384 smtp_transport_options_block * ob = SOB tblock->options_block;
4385 client_conn_ctx cctx;
4386 smtp_context sx;
4387 uschar buffer[256];
4388 uschar inbuffer[4096];
4389 uschar outbuffer[16];
4390
4391 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
4392 cctx.sock = fileno(stdin);
4393 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
4394
4395 sx.inblock.cctx = &cctx;
4396 sx.inblock.buffer = inbuffer;
4397 sx.inblock.buffersize = sizeof(inbuffer);
4398 sx.inblock.ptr = inbuffer;
4399 sx.inblock.ptrend = inbuffer;
4400
4401 sx.outblock.cctx = &cctx;
4402 sx.outblock.buffersize = sizeof(outbuffer);
4403 sx.outblock.buffer = outbuffer;
4404 sx.outblock.ptr = outbuffer;
4405 sx.outblock.cmd_count = 0;
4406 sx.outblock.authenticating = FALSE;
4407
4408 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
4409 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
4410 (void)close(cctx.sock);
4411 }
4412
4413
4414
4415 /*************************************************
4416 *            Prepare addresses for delivery      *
4417 *************************************************/
4418
4419 /* This function is called to flush out error settings from previous delivery
4420 attempts to other hosts. It also records whether we got here via an MX record
4421 or not in the more_errno field of the address. We are interested only in
4422 addresses that are still marked DEFER - others may have got delivered to a
4423 previously considered IP address. Set their status to PENDING_DEFER to indicate
4424 which ones are relevant this time.
4425
4426 Arguments:
4427   addrlist     the list of addresses
4428   host         the host we are delivering to
4429
4430 Returns:       the first address for this delivery
4431 */
4432
4433 static address_item *
4434 prepare_addresses(address_item *addrlist, host_item *host)
4435 {
4436 address_item *first_addr = NULL;
4437 for (address_item * addr = addrlist; addr; addr = addr->next)
4438   if (addr->transport_return == DEFER)
4439     {
4440     if (!first_addr) first_addr = addr;
4441     addr->transport_return = PENDING_DEFER;
4442     addr->basic_errno = 0;
4443     addr->more_errno = (host->mx >= 0)? 'M' : 'A';
4444     addr->message = NULL;
4445 #ifndef DISABLE_TLS
4446     addr->cipher = NULL;
4447     addr->ourcert = NULL;
4448     addr->peercert = NULL;
4449     addr->peerdn = NULL;
4450     addr->ocsp = OCSP_NOT_REQ;
4451 #endif
4452 #ifdef EXPERIMENTAL_DSN_INFO
4453     addr->smtp_greeting = NULL;
4454     addr->helo_response = NULL;
4455 #endif
4456     }
4457 return first_addr;
4458 }
4459
4460
4461
4462 /*************************************************
4463 *              Main entry point                  *
4464 *************************************************/
4465
4466 /* See local README for interface details. As this is a remote transport, it is
4467 given a chain of addresses to be delivered in one connection, if possible. It
4468 always returns TRUE, indicating that each address has its own independent
4469 status set, except if there is a setting up problem, in which case it returns
4470 FALSE. */
4471
4472 BOOL
4473 smtp_transport_entry(
4474   transport_instance *tblock,      /* data for this instantiation */
4475   address_item *addrlist)          /* addresses we are working on */
4476 {
4477 int defport;
4478 int hosts_defer = 0;
4479 int hosts_fail  = 0;
4480 int hosts_looked_up = 0;
4481 int hosts_retry = 0;
4482 int hosts_serial = 0;
4483 int hosts_total = 0;
4484 int total_hosts_tried = 0;
4485 BOOL expired = TRUE;
4486 uschar *expanded_hosts = NULL;
4487 uschar *pistring;
4488 uschar *tid = string_sprintf("%s transport", tblock->name);
4489 smtp_transport_options_block *ob = SOB tblock->options_block;
4490 host_item *hostlist = addrlist->host_list;
4491 host_item *host = NULL;
4492
4493 DEBUG(D_transport)
4494   {
4495   debug_printf("%s transport entered\n", tblock->name);
4496   for (address_item * addr = addrlist; addr; addr = addr->next)
4497     debug_printf("  %s\n", addr->address);
4498   if (hostlist)
4499     {
4500     debug_printf("hostlist:\n");
4501     for (host_item * host = hostlist; host; host = host->next)
4502       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
4503     }
4504   if (continue_hostname)
4505     debug_printf("already connected to %s [%s] (on fd %d)\n",
4506       continue_hostname, continue_host_address,
4507       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
4508   }
4509
4510 /* Set the flag requesting that these hosts be added to the waiting
4511 database if the delivery fails temporarily or if we are running with
4512 queue_smtp or a 2-stage queue run. This gets unset for certain
4513 kinds of error, typically those that are specific to the message. */
4514
4515 update_waiting =  TRUE;
4516
4517 /* If a host list is not defined for the addresses - they must all have the
4518 same one in order to be passed to a single transport - or if the transport has
4519 a host list with hosts_override set, use the host list supplied with the
4520 transport. It is an error for this not to exist. */
4521
4522 if (!hostlist || (ob->hosts_override && ob->hosts))
4523   {
4524   if (!ob->hosts)
4525     {
4526     addrlist->message = string_sprintf("%s transport called with no hosts set",
4527       tblock->name);
4528     addrlist->transport_return = PANIC;
4529     return FALSE;   /* Only top address has status */
4530     }
4531
4532   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
4533     ob->hosts);
4534
4535   /* If the transport's host list contains no '$' characters, and we are not
4536   randomizing, it is fixed and therefore a chain of hosts can be built once
4537   and for all, and remembered for subsequent use by other calls to this
4538   transport. If, on the other hand, the host list does contain '$', or we are
4539   randomizing its order, we have to rebuild it each time. In the fixed case,
4540   as the hosts string will never be used again, it doesn't matter that we
4541   replace all the : characters with zeros. */
4542
4543   if (!ob->hostlist)
4544     {
4545     uschar *s = ob->hosts;
4546
4547     if (Ustrchr(s, '$') != NULL)
4548       {
4549       if (!(expanded_hosts = expand_string(s)))
4550         {
4551         addrlist->message = string_sprintf("failed to expand list of hosts "
4552           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
4553         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
4554         return FALSE;     /* Only top address has status */
4555         }
4556       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
4557         "\"%s\"\n", s, expanded_hosts);
4558       s = expanded_hosts;
4559       }
4560     else
4561       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
4562
4563     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
4564
4565     /* Check that the expansion yielded something useful. */
4566     if (!hostlist)
4567       {
4568       addrlist->message =
4569         string_sprintf("%s transport has empty hosts setting", tblock->name);
4570       addrlist->transport_return = PANIC;
4571       return FALSE;   /* Only top address has status */
4572       }
4573
4574     /* If there was no expansion of hosts, save the host list for
4575     next time. */
4576
4577     if (!expanded_hosts) ob->hostlist = hostlist;
4578     }
4579
4580   /* This is not the first time this transport has been run in this delivery;
4581   the host list was built previously. */
4582
4583   else
4584     hostlist = ob->hostlist;
4585   }
4586
4587 /* The host list was supplied with the address. If hosts_randomize is set, we
4588 must sort it into a random order if it did not come from MX records and has not
4589 already been randomized (but don't bother if continuing down an existing
4590 connection). */
4591
4592 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
4593   {
4594   host_item *newlist = NULL;
4595   while (hostlist)
4596     {
4597     host_item *h = hostlist;
4598     hostlist = hostlist->next;
4599
4600     h->sort_key = random_number(100);
4601
4602     if (!newlist)
4603       {
4604       h->next = NULL;
4605       newlist = h;
4606       }
4607     else if (h->sort_key < newlist->sort_key)
4608       {
4609       h->next = newlist;
4610       newlist = h;
4611       }
4612     else
4613       {
4614       host_item *hh = newlist;
4615       while (hh->next)
4616         {
4617         if (h->sort_key < hh->next->sort_key) break;
4618         hh = hh->next;
4619         }
4620       h->next = hh->next;
4621       hh->next = h;
4622       }
4623     }
4624
4625   hostlist = addrlist->host_list = newlist;
4626   }
4627
4628 /* Sort out the default port.  */
4629
4630 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
4631
4632 /* For each host-plus-IP-address on the list:
4633
4634 .  If this is a continued delivery and the host isn't the one with the
4635    current connection, skip.
4636
4637 .  If the status is unusable (i.e. previously failed or retry checked), skip.
4638
4639 .  If no IP address set, get the address, either by turning the name into
4640    an address, calling gethostbyname if gethostbyname is on, or by calling
4641    the DNS. The DNS may yield multiple addresses, in which case insert the
4642    extra ones into the list.
4643
4644 .  Get the retry data if not previously obtained for this address and set the
4645    field which remembers the state of this address. Skip if the retry time is
4646    not reached. If not, remember whether retry data was found. The retry string
4647    contains both the name and the IP address.
4648
4649 .  Scan the list of addresses and mark those whose status is DEFER as
4650    PENDING_DEFER. These are the only ones that will be processed in this cycle
4651    of the hosts loop.
4652
4653 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
4654    Some addresses may be successfully delivered, others may fail, and yet
4655    others may get temporary errors and so get marked DEFER.
4656
4657 .  The return from the delivery attempt is OK if a connection was made and a
4658    valid SMTP dialogue was completed. Otherwise it is DEFER.
4659
4660 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
4661
4662 .  If fail to connect, or other defer state, add a retry item.
4663
4664 .  If there are any addresses whose status is still DEFER, carry on to the
4665    next host/IPaddress, unless we have tried the number of hosts given
4666    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
4667    there is some fancy logic for hosts_max_try that means its limit can be
4668    overstepped in some circumstances.
4669
4670 If we get to the end of the list, all hosts have deferred at least one address,
4671 or not reached their retry times. If delay_after_cutoff is unset, it requests a
4672 delivery attempt to those hosts whose last try was before the arrival time of
4673 the current message. To cope with this, we have to go round the loop a second
4674 time. After that, set the status and error data for any addresses that haven't
4675 had it set already. */
4676
4677 for (int cutoff_retry = 0;
4678      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
4679      cutoff_retry++)
4680   {
4681   host_item *nexthost = NULL;
4682   int unexpired_hosts_tried = 0;
4683   BOOL continue_host_tried = FALSE;
4684
4685 retry_non_continued:
4686   for (host = hostlist;
4687           host
4688        && unexpired_hosts_tried < ob->hosts_max_try
4689        && total_hosts_tried < ob->hosts_max_try_hardlimit;
4690        host = nexthost)
4691     {
4692     int rc;
4693     int host_af;
4694     BOOL host_is_expired = FALSE;
4695     BOOL message_defer = FALSE;
4696     BOOL some_deferred = FALSE;
4697     address_item *first_addr = NULL;
4698     uschar *interface = NULL;
4699     uschar *retry_host_key = NULL;
4700     uschar *retry_message_key = NULL;
4701     uschar *serialize_key = NULL;
4702
4703     /* Default next host is next host. :-) But this can vary if the
4704     hosts_max_try limit is hit (see below). It may also be reset if a host
4705     address is looked up here (in case the host was multihomed). */
4706
4707     nexthost = host->next;
4708
4709     /* If the address hasn't yet been obtained from the host name, look it up
4710     now, unless the host is already marked as unusable. If it is marked as
4711     unusable, it means that the router was unable to find its IP address (in
4712     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
4713     the lookup failed last time. We don't get this far if *all* MX records
4714     point to non-existent hosts; that is treated as a hard error.
4715
4716     We can just skip this host entirely. When the hosts came from the router,
4717     the address will timeout based on the other host(s); when the address is
4718     looked up below, there is an explicit retry record added.
4719
4720     Note that we mustn't skip unusable hosts if the address is not unset; they
4721     may be needed as expired hosts on the 2nd time round the cutoff loop. */
4722
4723     if (!host->address)
4724       {
4725       int new_port, flags;
4726
4727       if (host->status >= hstatus_unusable)
4728         {
4729         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
4730           host->name);
4731         continue;
4732         }
4733
4734       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
4735
4736       /* The host name is permitted to have an attached port. Find it, and
4737       strip it from the name. Just remember it for now. */
4738
4739       new_port = host_item_get_port(host);
4740
4741       /* Count hosts looked up */
4742
4743       hosts_looked_up++;
4744
4745       /* Find by name if so configured, or if it's an IP address. We don't
4746       just copy the IP address, because we need the test-for-local to happen. */
4747
4748       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
4749       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
4750       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
4751
4752       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
4753         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
4754       else
4755         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
4756           &ob->dnssec,          /* domains for request/require */
4757           NULL, NULL);
4758
4759       /* Update the host (and any additional blocks, resulting from
4760       multihoming) with a host-specific port, if any. */
4761
4762       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
4763
4764       /* Failure to find the host at this time (usually DNS temporary failure)
4765       is really a kind of routing failure rather than a transport failure.
4766       Therefore we add a retry item of the routing kind, not to stop us trying
4767       to look this name up here again, but to ensure the address gets timed
4768       out if the failures go on long enough. A complete failure at this point
4769       commonly points to a configuration error, but the best action is still
4770       to carry on for the next host. */
4771
4772       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
4773         {
4774         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
4775         expired = FALSE;
4776         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
4777         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
4778           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
4779         host->status = hstatus_unusable;
4780
4781         for (address_item * addr = addrlist; addr; addr = addr->next)
4782           {
4783           if (addr->transport_return != DEFER) continue;
4784           addr->basic_errno = ERRNO_UNKNOWNHOST;
4785           addr->message = string_sprintf(
4786             rc == HOST_FIND_SECURITY
4787               ? "lookup of IP address for %s was insecure"
4788               : "failed to lookup IP address for %s",
4789             host->name);
4790           }
4791         continue;
4792         }
4793
4794       /* If the host is actually the local host, we may have a problem, or
4795       there may be some cunning configuration going on. In the problem case,
4796       log things and give up. The default transport status is already DEFER. */
4797
4798       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
4799         {
4800         for (address_item * addr = addrlist; addr; addr = addr->next)
4801           {
4802           addr->basic_errno = 0;
4803           addr->message = string_sprintf("%s transport found host %s to be "
4804             "local", tblock->name, host->name);
4805           }
4806         goto END_TRANSPORT;
4807         }
4808       }   /* End of block for IP address lookup */
4809
4810     /* If this is a continued delivery, we are interested only in the host
4811     which matches the name of the existing open channel. The check is put
4812     here after the local host lookup, in case the name gets expanded as a
4813     result of the lookup. Set expired FALSE, to save the outer loop executing
4814     twice. */
4815
4816     if (continue_hostname)
4817       if (  Ustrcmp(continue_hostname, host->name) != 0
4818          || Ustrcmp(continue_host_address, host->address) != 0
4819          )
4820         {
4821         expired = FALSE;
4822         continue;      /* With next host */
4823         }
4824       else
4825         continue_host_tried = TRUE;
4826
4827     /* Reset the default next host in case a multihomed host whose addresses
4828     are not looked up till just above added to the host list. */
4829
4830     nexthost = host->next;
4831
4832     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
4833     domain is in queue_smtp_domains, we don't actually want to attempt any
4834     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
4835     there is a lookup defer in queue_smtp_domains, proceed as if the domain
4836     were not in it. We don't want to hold up all SMTP deliveries! Except when
4837     doing a two-stage queue run, don't do this if forcing. */
4838
4839     if ((!f.deliver_force || f.queue_2stage) && (f.queue_smtp ||
4840         match_isinlist(addrlist->domain,
4841           (const uschar **)&queue_smtp_domains, 0,
4842           &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK))
4843       {
4844       expired = FALSE;
4845       for (address_item * addr = addrlist; addr; addr = addr->next)
4846         if (addr->transport_return == DEFER)
4847           addr->message = US"domain matches queue_smtp_domains, or -odqs set";
4848       continue;      /* With next host */
4849       }
4850
4851     /* Count hosts being considered - purely for an intelligent comment
4852     if none are usable. */
4853
4854     hosts_total++;
4855
4856     /* Set $host and $host address now in case they are needed for the
4857     interface expansion or the serialize_hosts check; they remain set if an
4858     actual delivery happens. */
4859
4860     deliver_host = host->name;
4861     deliver_host_address = host->address;
4862     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
4863                                 : host->dnssec == DS_NO ? US"no"
4864                                 : US"";
4865
4866     /* Set up a string for adding to the retry key if the port number is not
4867     the standard SMTP port. A host may have its own port setting that overrides
4868     the default. */
4869
4870     pistring = string_sprintf(":%d", host->port == PORT_NONE
4871       ? defport : host->port);
4872     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
4873
4874     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
4875     string is set, even if constant (as different transports can have different
4876     constant settings), we must add it to the key that is used for retries,
4877     because connections to the same host from a different interface should be
4878     treated separately. */
4879
4880     host_af = Ustrchr(host->address, ':') == NULL ? AF_INET : AF_INET6;
4881       {
4882       uschar * s = ob->interface;
4883       if (s && *s)
4884         {
4885         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
4886           return FALSE;
4887         pistring = string_sprintf("%s/%s", pistring, interface);
4888         }
4889       }
4890
4891     /* The first time round the outer loop, check the status of the host by
4892     inspecting the retry data. The second time round, we are interested only
4893     in expired hosts that haven't been tried since this message arrived. */
4894
4895     if (cutoff_retry == 0)
4896       {
4897       BOOL incl_ip;
4898       /* Ensure the status of the address is set by checking retry data if
4899       necessary. There may be host-specific retry data (applicable to all
4900       messages) and also data for retries of a specific message at this host.
4901       If either of these retry records are actually read, the keys used are
4902       returned to save recomputing them later. */
4903
4904       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
4905                 US"retry_include_ip_address", ob->retry_include_ip_address,
4906                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
4907         continue;       /* with next host */
4908
4909       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
4910         incl_ip, &retry_host_key, &retry_message_key);
4911
4912       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
4913         host->address ? host->address : US"", pistring,
4914         host->status == hstatus_usable ? "usable"
4915         : host->status == hstatus_unusable ? "unusable"
4916         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
4917
4918       /* Skip this address if not usable at this time, noting if it wasn't
4919       actually expired, both locally and in the address. */
4920
4921       switch (host->status)
4922         {
4923         case hstatus_unusable:
4924           expired = FALSE;
4925           setflag(addrlist, af_retry_skipped);
4926           /* Fall through */
4927
4928         case hstatus_unusable_expired:
4929           switch (host->why)
4930             {
4931             case hwhy_retry: hosts_retry++; break;
4932             case hwhy_failed:  hosts_fail++; break;
4933             case hwhy_insecure:
4934             case hwhy_deferred: hosts_defer++; break;
4935             }
4936
4937           /* If there was a retry message key, implying that previously there
4938           was a message-specific defer, we don't want to update the list of
4939           messages waiting for these hosts. */
4940
4941           if (retry_message_key) update_waiting = FALSE;
4942           continue;   /* With the next host or IP address */
4943         }
4944       }
4945
4946     /* Second time round the loop: if the address is set but expired, and
4947     the message is newer than the last try, let it through. */
4948
4949     else
4950       {
4951       if (  !host->address
4952          || host->status != hstatus_unusable_expired
4953          || host->last_try > received_time.tv_sec)
4954         continue;
4955       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
4956           host->name, host->address, pistring);
4957       host_is_expired = TRUE;
4958       }
4959
4960     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
4961     it remains TRUE only if all hosts are expired and none are actually tried.
4962     */
4963
4964     expired = FALSE;
4965
4966     /* If this host is listed as one to which access must be serialized,
4967     see if another Exim process has a connection to it, and if so, skip
4968     this host. If not, update the database to record our connection to it
4969     and remember this for later deletion. Do not do any of this if we are
4970     sending the message down a pre-existing connection. */
4971
4972     if (  !continue_hostname
4973        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
4974       {
4975       serialize_key = string_sprintf("host-serialize-%s", host->name);
4976       if (!enq_start(serialize_key, 1))
4977         {
4978         DEBUG(D_transport)
4979           debug_printf("skipping host %s because another Exim process "
4980             "is connected to it\n", host->name);
4981         hosts_serial++;
4982         continue;
4983         }
4984       }
4985
4986     /* OK, we have an IP address that is not waiting for its retry time to
4987     arrive (it might be expired) OR (second time round the loop) we have an
4988     expired host that hasn't been tried since the message arrived. Have a go
4989     at delivering the message to it. First prepare the addresses by flushing
4990     out the result of previous attempts, and finding the first address that
4991     is still to be delivered. */
4992
4993     first_addr = prepare_addresses(addrlist, host);
4994
4995     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
4996       message_id, host->name, host->address, addrlist->address,
4997       addrlist->next ? ", ..." : "");
4998
4999     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5000       message_id, host->name, host->address, pistring, addrlist->address,
5001       addrlist->next ? ", ..." : "");
5002
5003     /* This is not for real; don't do the delivery. If there are
5004     any remaining hosts, list them. */
5005
5006     if (f.dont_deliver)
5007       {
5008       set_errno_nohost(addrlist, 0, NULL, OK, FALSE);
5009       for (address_item * addr = addrlist; addr; addr = addr->next)
5010         {
5011         addr->host_used = host;
5012         addr->special_action = '*';
5013         addr->message = US"delivery bypassed by -N option";
5014         }
5015       DEBUG(D_transport)
5016         {
5017         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5018                      "*** host and remaining hosts:\n", tblock->name);
5019         for (host_item * host2 = host; host2; host2 = host2->next)
5020           debug_printf("    %s [%s]\n", host2->name,
5021             host2->address ? host2->address : US"unset");
5022         }
5023       rc = OK;
5024       }
5025
5026     /* This is for real. If the host is expired, we don't count it for
5027     hosts_max_retry. This ensures that all hosts must expire before an address
5028     is timed out, unless hosts_max_try_hardlimit (which protects against
5029     lunatic DNS configurations) is reached.
5030
5031     If the host is not expired and we are about to hit the hosts_max_retry
5032     limit, check to see if there is a subsequent hosts with a different MX
5033     value. If so, make that the next host, and don't count this one. This is a
5034     heuristic to make sure that different MXs do get tried. With a normal kind
5035     of retry rule, they would get tried anyway when the earlier hosts were
5036     delayed, but if the domain has a "retry every time" type of rule - as is
5037     often used for the the very large ISPs, that won't happen. */
5038
5039     else
5040       {
5041       host_item * thost;
5042       /* Make a copy of the host if it is local to this invocation
5043        of the transport. */
5044
5045       if (expanded_hosts)
5046         {
5047         thost = store_get(sizeof(host_item));
5048         *thost = *host;
5049         thost->name = string_copy(host->name);
5050         thost->address = string_copy(host->address);
5051         }
5052       else
5053         thost = host;
5054
5055       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5056         {
5057         DEBUG(D_transport)
5058           debug_printf("hosts_max_try limit reached with this host\n");
5059         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5060           {
5061           nexthost = h;
5062           unexpired_hosts_tried--;
5063           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5064             "and will be tried\n");
5065           break;
5066           }
5067         }
5068
5069       /* Attempt the delivery. */
5070
5071       total_hosts_tried++;
5072       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5073         &message_defer, FALSE);
5074
5075       /* Yield is one of:
5076          OK     => connection made, each address contains its result;
5077                      message_defer is set for message-specific defers (when all
5078                      recipients are marked defer)
5079          DEFER  => there was a non-message-specific delivery problem;
5080          ERROR  => there was a problem setting up the arguments for a filter,
5081                    or there was a problem with expanding added headers
5082       */
5083
5084       /* If the result is not OK, there was a non-message-specific problem.
5085       If the result is DEFER, we need to write to the logs saying what happened
5086       for this particular host, except in the case of authentication and TLS
5087       failures, where the log has already been written. If all hosts defer a
5088       general message is written at the end. */
5089
5090       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5091                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5092         write_logs(host, first_addr->message, first_addr->basic_errno);
5093
5094 #ifndef DISABLE_EVENT
5095       if (rc == DEFER)
5096         deferred_event_raise(first_addr, host);
5097 #endif
5098
5099       /* If STARTTLS was accepted, but there was a failure in setting up the
5100       TLS session (usually a certificate screwup), and the host is not in
5101       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5102       TLS forcibly turned off. We have to start from scratch with a new SMTP
5103       connection. That's why the retry is done from here, not from within
5104       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5105       session, so the in-clear transmission after those errors, if permitted,
5106       happens inside smtp_deliver().] */
5107
5108 #ifndef DISABLE_TLS
5109       if (  rc == DEFER
5110          && first_addr->basic_errno == ERRNO_TLSFAILURE
5111          && ob->tls_tempfail_tryclear
5112          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5113          )
5114         {
5115         log_write(0, LOG_MAIN,
5116           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5117           first_addr->message, host->name, host->address);
5118         first_addr = prepare_addresses(addrlist, host);
5119         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5120           &message_defer, TRUE);
5121         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5122           write_logs(host, first_addr->message, first_addr->basic_errno);
5123 # ifndef DISABLE_EVENT
5124         if (rc == DEFER)
5125           deferred_event_raise(first_addr, host);
5126 # endif
5127         }
5128 #endif  /*DISABLE_TLS*/
5129       }
5130
5131     /* Delivery attempt finished */
5132
5133     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5134       message_id, host->name, host->address, pistring, addrlist->address,
5135       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5136
5137     /* Release serialization if set up */
5138
5139     if (serialize_key) enq_end(serialize_key);
5140
5141     /* If the result is DEFER, or if a host retry record is known to exist, we
5142     need to add an item to the retry chain for updating the retry database
5143     at the end of delivery. We only need to add the item to the top address,
5144     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5145     for any other delivery attempts using the same address. (It is copied into
5146     the unusable tree at the outer level, so even if different address blocks
5147     contain the same address, it still won't get tried again.) */
5148
5149     if (rc == DEFER || retry_host_key)
5150       {
5151       int delete_flag = rc != DEFER ? rf_delete : 0;
5152       if (!retry_host_key)
5153         {
5154         BOOL incl_ip;
5155         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5156                   US"retry_include_ip_address", ob->retry_include_ip_address,
5157                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5158           incl_ip = TRUE;       /* error; use most-specific retry record */
5159
5160         retry_host_key = incl_ip
5161           ? string_sprintf("T:%S:%s%s", host->name, host->address, pistring)
5162           : string_sprintf("T:%S%s", host->name, pistring);
5163         }
5164
5165       /* If a delivery of another message over an existing SMTP connection
5166       yields DEFER, we do NOT set up retry data for the host. This covers the
5167       case when there are delays in routing the addresses in the second message
5168       that are so long that the server times out. This is alleviated by not
5169       routing addresses that previously had routing defers when handling an
5170       existing connection, but even so, this case may occur (e.g. if a
5171       previously happily routed address starts giving routing defers). If the
5172       host is genuinely down, another non-continued message delivery will
5173       notice it soon enough. */
5174
5175       if (delete_flag != 0 || !continue_hostname)
5176         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5177
5178       /* We may have tried an expired host, if its retry time has come; ensure
5179       the status reflects the expiry for the benefit of any other addresses. */
5180
5181       if (rc == DEFER)
5182         {
5183         host->status = host_is_expired
5184           ? hstatus_unusable_expired : hstatus_unusable;
5185         host->why = hwhy_deferred;
5186         }
5187       }
5188
5189     /* If message_defer is set (host was OK, but every recipient got deferred
5190     because of some message-specific problem), or if that had happened
5191     previously so that a message retry key exists, add an appropriate item
5192     to the retry chain. Note that if there was a message defer but now there is
5193     a host defer, the message defer record gets deleted. That seems perfectly
5194     reasonable. Also, stop the message from being remembered as waiting
5195     for specific hosts. */
5196
5197     if (message_defer || retry_message_key)
5198       {
5199       int delete_flag = message_defer ? 0 : rf_delete;
5200       if (!retry_message_key)
5201         {
5202         BOOL incl_ip;
5203         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5204                   US"retry_include_ip_address", ob->retry_include_ip_address,
5205                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5206           incl_ip = TRUE;       /* error; use most-specific retry record */
5207
5208         retry_message_key = incl_ip
5209           ? string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
5210               message_id)
5211           : string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
5212         }
5213       retry_add_item(addrlist, retry_message_key,
5214         rf_message | rf_host | delete_flag);
5215       update_waiting = FALSE;
5216       }
5217
5218     /* Any return other than DEFER (that is, OK or ERROR) means that the
5219     addresses have got their final statuses filled in for this host. In the OK
5220     case, see if any of them are deferred. */
5221
5222     if (rc == OK)
5223       for (address_item * addr = addrlist; addr; addr = addr->next)
5224         if (addr->transport_return == DEFER)
5225           {
5226           some_deferred = TRUE;
5227           break;
5228           }
5229
5230     /* If no addresses deferred or the result was ERROR, return. We do this for
5231     ERROR because a failing filter set-up or add_headers expansion is likely to
5232     fail for any host we try. */
5233
5234     if (rc == ERROR || (rc == OK && !some_deferred))
5235       {
5236       DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
5237       return TRUE;    /* Each address has its status */
5238       }
5239
5240     /* If the result was DEFER or some individual addresses deferred, let
5241     the loop run to try other hosts with the deferred addresses, except for the
5242     case when we were trying to deliver down an existing channel and failed.
5243     Don't try any other hosts in this case. */
5244
5245     if (continue_hostname) break;
5246
5247     /* If the whole delivery, or some individual addresses, were deferred and
5248     there are more hosts that could be tried, do not count this host towards
5249     the hosts_max_try limit if the age of the message is greater than the
5250     maximum retry time for this host. This means we may try try all hosts,
5251     ignoring the limit, when messages have been around for some time. This is
5252     important because if we don't try all hosts, the address will never time
5253     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5254
5255     if ((rc == DEFER || some_deferred) && nexthost)
5256       {
5257       BOOL timedout;
5258       retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
5259
5260       if (retry && retry->rules)
5261         {
5262         retry_rule *last_rule;
5263         for (last_rule = retry->rules;
5264              last_rule->next;
5265              last_rule = last_rule->next);
5266         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5267         }
5268       else timedout = TRUE;    /* No rule => timed out */
5269
5270       if (timedout)
5271         {
5272         unexpired_hosts_tried--;
5273         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5274           "hosts_max_try (message older than host's retry time)\n");
5275         }
5276       }
5277
5278     DEBUG(D_transport)
5279       {
5280       if (unexpired_hosts_tried >= ob->hosts_max_try)
5281         debug_printf("reached transport hosts_max_try limit %d\n",
5282           ob->hosts_max_try);
5283       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5284         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5285           ob->hosts_max_try_hardlimit);
5286       }
5287
5288     if (f.running_in_test_harness) millisleep(500); /* let server debug out */
5289     }   /* End of loop for trying multiple hosts. */
5290
5291   /* If we failed to find a matching host in the list, for an already-open
5292   connection, just close it and start over with the list.  This can happen
5293   for routing that changes from run to run, or big multi-IP sites with
5294   round-robin DNS. */
5295
5296   if (continue_hostname && !continue_host_tried)
5297     {
5298     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
5299
5300     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
5301 #ifndef DISABLE_TLS
5302     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
5303     transport */
5304 /*XXX doublecheck that! */
5305
5306     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
5307       {
5308       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
5309       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
5310       cutthrough.cctx.tls_ctx = NULL;
5311       cutthrough.is_tls = FALSE;
5312       }
5313     else
5314 #else
5315       (void) write(fd, US"QUIT\r\n", 6);
5316 #endif
5317     (void) close(fd);
5318     cutthrough.cctx.sock = -1;
5319     continue_hostname = NULL;
5320     goto retry_non_continued;
5321     }
5322
5323   /* This is the end of the loop that repeats iff expired is TRUE and
5324   ob->delay_after_cutoff is FALSE. The second time round we will
5325   try those hosts that haven't been tried since the message arrived. */
5326
5327   DEBUG(D_transport)
5328     {
5329     debug_printf("all IP addresses skipped or deferred at least one address\n");
5330     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
5331       debug_printf("retrying IP addresses not tried since message arrived\n");
5332     }
5333   }
5334
5335
5336 /* Get here if all IP addresses are skipped or defer at least one address. In
5337 MUA wrapper mode, this will happen only for connection or other non-message-
5338 specific failures. Force the delivery status for all addresses to FAIL. */
5339
5340 if (mua_wrapper)
5341   {
5342   for (address_item * addr = addrlist; addr; addr = addr->next)
5343     addr->transport_return = FAIL;
5344   goto END_TRANSPORT;
5345   }
5346
5347 /* In the normal, non-wrapper case, add a standard message to each deferred
5348 address if there hasn't been an error, that is, if it hasn't actually been
5349 tried this time. The variable "expired" will be FALSE if any deliveries were
5350 actually tried, or if there was at least one host that was not expired. That
5351 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
5352 a delivery has been tried, an error code will be set, and the failing of the
5353 message is handled by the retry code later.
5354
5355 If queue_smtp is set, or this transport was called to send a subsequent message
5356 down an existing TCP/IP connection, and something caused the host not to be
5357 found, we end up here, but can detect these cases and handle them specially. */
5358
5359 for (address_item * addr = addrlist; addr; addr = addr->next)
5360   {
5361   /* If host is not NULL, it means that we stopped processing the host list
5362   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
5363   means we need to behave as if some hosts were skipped because their retry
5364   time had not come. Specifically, this prevents the address from timing out.
5365   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
5366   hosts were tried. */
5367
5368   if (host)
5369     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5370       {
5371       DEBUG(D_transport)
5372         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
5373           "hosts were tried\n");
5374       }
5375     else
5376       {
5377       DEBUG(D_transport)
5378         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
5379       setflag(addr, af_retry_skipped);
5380       }
5381
5382   if (f.queue_smtp)    /* no deliveries attempted */
5383     {
5384     addr->transport_return = DEFER;
5385     addr->basic_errno = 0;
5386     addr->message = US"SMTP delivery explicitly queued";
5387     }
5388
5389   else if (  addr->transport_return == DEFER
5390           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
5391           && !addr->message
5392           )
5393     {
5394     addr->basic_errno = ERRNO_HRETRY;
5395     if (continue_hostname)
5396       addr->message = US"no host found for existing SMTP connection";
5397     else if (expired)
5398       {
5399       setflag(addr, af_pass_message);   /* This is not a security risk */
5400       addr->message = string_sprintf(
5401         "all hosts%s have been failing for a long time %s",
5402         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
5403         ob->delay_after_cutoff
5404         ? US"(and retry time not reached)"
5405         : US"and were last tried after this message arrived");
5406
5407       /* If we are already using fallback hosts, or there are no fallback hosts
5408       defined, convert the result to FAIL to cause a bounce. */
5409
5410       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
5411         addr->transport_return = FAIL;
5412       }
5413     else
5414       {
5415       const char * s;
5416       if (hosts_retry == hosts_total)
5417         s = "retry time not reached for any host%s";
5418       else if (hosts_fail == hosts_total)
5419         s = "all host address lookups%s failed permanently";
5420       else if (hosts_defer == hosts_total)
5421         s = "all host address lookups%s failed temporarily";
5422       else if (hosts_serial == hosts_total)
5423         s = "connection limit reached for all hosts%s";
5424       else if (hosts_fail+hosts_defer == hosts_total)
5425         s = "all host address lookups%s failed";
5426       else
5427         s = "some host address lookups failed and retry time "
5428         "not reached for other hosts or connection limit reached%s";
5429
5430       addr->message = string_sprintf(s,
5431         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
5432       }
5433     }
5434   }
5435
5436 /* Update the database which keeps information about which messages are waiting
5437 for which hosts to become available. For some message-specific errors, the
5438 update_waiting flag is turned off because we don't want follow-on deliveries in
5439 those cases.  If this transport instance is explicitly limited to one message
5440 per connection then follow-on deliveries are not possible and there's no need
5441 to create/update the per-transport wait-<transport_name> database. */
5442
5443 if (update_waiting && tblock->connection_max_messages != 1)
5444   transport_update_waiting(hostlist, tblock->name);
5445
5446 END_TRANSPORT:
5447
5448 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
5449
5450 return TRUE;   /* Each address has its status */
5451 }
5452
5453 #endif  /*!MACRO_PREDEF*/
5454 /* vi: aw ai sw=2
5455 */
5456 /* End of transport/smtp.c */