DANE: fix build under GnuTLS to properly fail. Bug 1812
[exim.git] / src / src / spool_in.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2016 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Functions for reading spool files. When compiling for a utility (eximon),
9 not all are needed, and some functionality can be cut out. */
10
11
12 #include "exim.h"
13
14
15
16 #ifndef COMPILE_UTILITY
17 /*************************************************
18 *           Open and lock data file              *
19 *************************************************/
20
21 /* The data file is the one that is used for locking, because the header file
22 can get replaced during delivery because of header rewriting. The file has
23 to opened with write access so that we can get an exclusive lock, but in
24 fact it won't be written to. Just in case there's a major disaster (e.g.
25 overwriting some other file descriptor with the value of this one), open it
26 with append.
27
28 Argument: the id of the message
29 Returns:  TRUE if file successfully opened and locked
30
31 Side effect: deliver_datafile is set to the fd of the open file.
32 */
33
34 BOOL
35 spool_open_datafile(uschar *id)
36 {
37 int i;
38 struct stat statbuf;
39 flock_t lock_data;
40 uschar spoolname[256];
41
42 /* If split_spool_directory is set, first look for the file in the appropriate
43 sub-directory of the input directory. If it is not found there, try the input
44 directory itself, to pick up leftovers from before the splitting. If split_
45 spool_directory is not set, first look in the main input directory. If it is
46 not found there, try the split sub-directory, in case it is left over from a
47 splitting state. */
48
49 for (i = 0; i < 2; i++)
50   {
51   int save_errno;
52   message_subdir[0] = (split_spool_directory == (i == 0))? id[5] : 0;
53   sprintf(CS spoolname, "%s/input/%s/%s-D", spool_directory, message_subdir, id);
54   deliver_datafile = Uopen(spoolname, O_RDWR | O_APPEND, 0);
55   if (deliver_datafile >= 0) break;
56   save_errno = errno;
57   if (errno == ENOENT)
58     {
59     if (i == 0) continue;
60     if (!queue_running)
61       log_write(0, LOG_MAIN, "Spool file %s-D not found", id);
62     }
63   else log_write(0, LOG_MAIN, "Spool error for %s: %s", spoolname,
64     strerror(errno));
65   errno = save_errno;
66   return FALSE;
67   }
68
69 /* File is open and message_subdir is set. Set the close-on-exec flag, and lock
70 the file. We lock only the first line of the file (containing the message ID)
71 because this apparently is needed for running Exim under Cygwin. If the entire
72 file is locked in one process, a sub-process cannot access it, even when passed
73 an open file descriptor (at least, I think that's the Cygwin story). On real
74 Unix systems it doesn't make any difference as long as Exim is consistent in
75 what it locks. */
76
77 (void)fcntl(deliver_datafile, F_SETFD, fcntl(deliver_datafile, F_GETFD) |
78   FD_CLOEXEC);
79
80 lock_data.l_type = F_WRLCK;
81 lock_data.l_whence = SEEK_SET;
82 lock_data.l_start = 0;
83 lock_data.l_len = SPOOL_DATA_START_OFFSET;
84
85 if (fcntl(deliver_datafile, F_SETLK, &lock_data) < 0)
86   {
87   log_write(L_skip_delivery,
88             LOG_MAIN,
89             "Spool file is locked (another process is handling this message)");
90   (void)close(deliver_datafile);
91   deliver_datafile = -1;
92   errno = 0;
93   return FALSE;
94   }
95
96 /* Get the size of the data; don't include the leading filename line
97 in the count, but add one for the newline before the data. */
98
99 if (fstat(deliver_datafile, &statbuf) == 0)
100   {
101   message_body_size = statbuf.st_size - SPOOL_DATA_START_OFFSET;
102   message_size = message_body_size + 1;
103   }
104
105 return TRUE;
106 }
107 #endif  /* COMPILE_UTILITY */
108
109
110
111 /*************************************************
112 *    Read non-recipients tree from spool file    *
113 *************************************************/
114
115 /* The tree of non-recipients is written to the spool file in a form that
116 makes it easy to read back into a tree. The format is as follows:
117
118    . Each node is preceded by two letter(Y/N) indicating whether it has left
119      or right children. There's one space after the two flags, before the name.
120
121    . The left subtree (if any) then follows, then the right subtree (if any).
122
123 This function is entered with the next input line in the buffer. Note we must
124 save the right flag before recursing with the same buffer.
125
126 Once the tree is read, we re-construct the balance fields by scanning the tree.
127 I forgot to write them out originally, and the compatible fix is to do it this
128 way. This initial local recursing function does the necessary.
129
130 Arguments:
131   node      tree node
132
133 Returns:    maximum depth below the node, including the node itself
134 */
135
136 static int
137 count_below(tree_node *node)
138 {
139 int nleft, nright;
140 if (node == NULL) return 0;
141 nleft = count_below(node->left);
142 nright = count_below(node->right);
143 node->balance = (nleft > nright)? 1 : ((nright > nleft)? 2 : 0);
144 return 1 + ((nleft > nright)? nleft : nright);
145 }
146
147 /* This is the real function...
148
149 Arguments:
150   connect      pointer to the root of the tree
151   f            FILE to read data from
152   buffer       contains next input line; further lines read into it
153   buffer_size  size of the buffer
154
155 Returns:       FALSE on format error
156 */
157
158 static BOOL
159 read_nonrecipients_tree(tree_node **connect, FILE *f, uschar *buffer,
160   int buffer_size)
161 {
162 tree_node *node;
163 int n = Ustrlen(buffer);
164 BOOL right = buffer[1] == 'Y';
165
166 if (n < 5) return FALSE;    /* malformed line */
167 buffer[n-1] = 0;            /* Remove \n */
168 node = store_get(sizeof(tree_node) + n - 3);
169 *connect = node;
170 Ustrcpy(node->name, buffer + 3);
171 node->data.ptr = NULL;
172
173 if (buffer[0] == 'Y')
174   {
175   if (Ufgets(buffer, buffer_size, f) == NULL ||
176     !read_nonrecipients_tree(&node->left, f, buffer, buffer_size))
177       return FALSE;
178   }
179 else node->left = NULL;
180
181 if (right)
182   {
183   if (Ufgets(buffer, buffer_size, f) == NULL ||
184     !read_nonrecipients_tree(&node->right, f, buffer, buffer_size))
185       return FALSE;
186   }
187 else node->right = NULL;
188
189 (void) count_below(*connect);
190 return TRUE;
191 }
192
193
194
195
196 /*************************************************
197 *             Read spool header file             *
198 *************************************************/
199
200 /* This function reads a spool header file and places the data into the
201 appropriate global variables. The header portion is always read, but header
202 structures are built only if read_headers is set true. It isn't, for example,
203 while generating -bp output.
204
205 It may be possible for blocks of nulls (binary zeroes) to get written on the
206 end of a file if there is a system crash during writing. It was observed on an
207 earlier version of Exim that omitted to fsync() the files - this is thought to
208 have been the cause of that incident, but in any case, this code must be robust
209 against such an event, and if such a file is encountered, it must be treated as
210 malformed.
211
212 Arguments:
213   name          name of the header file, including the -H
214   read_headers  TRUE if in-store header structures are to be built
215   subdir_set    TRUE is message_subdir is already set
216
217 Returns:        spool_read_OK        success
218                 spool_read_notopen   open failed
219                 spool_read_enverror  error in the envelope portion
220                 spool_read_hdrdrror  error in the header portion
221 */
222
223 int
224 spool_read_header(uschar *name, BOOL read_headers, BOOL subdir_set)
225 {
226 FILE *f = NULL;
227 int n;
228 int rcount = 0;
229 long int uid, gid;
230 BOOL inheader = FALSE;
231 uschar *p;
232
233 /* Reset all the global variables to their default values. However, there is
234 one exception. DO NOT change the default value of dont_deliver, because it may
235 be forced by an external setting. */
236
237 acl_var_c = acl_var_m = NULL;
238 authenticated_id = NULL;
239 authenticated_sender = NULL;
240 allow_unqualified_recipient = FALSE;
241 allow_unqualified_sender = FALSE;
242 body_linecount = 0;
243 body_zerocount = 0;
244 deliver_firsttime = FALSE;
245 deliver_freeze = FALSE;
246 deliver_frozen_at = 0;
247 deliver_manual_thaw = FALSE;
248 /* dont_deliver must NOT be reset */
249 header_list = header_last = NULL;
250 host_lookup_deferred = FALSE;
251 host_lookup_failed = FALSE;
252 interface_address = NULL;
253 interface_port = 0;
254 local_error_message = FALSE;
255 local_scan_data = NULL;
256 max_received_linelength = 0;
257 message_linecount = 0;
258 received_protocol = NULL;
259 received_count = 0;
260 recipients_list = NULL;
261 sender_address = NULL;
262 sender_fullhost = NULL;
263 sender_helo_name = NULL;
264 sender_host_address = NULL;
265 sender_host_name = NULL;
266 sender_host_port = 0;
267 sender_host_authenticated = NULL;
268 sender_ident = NULL;
269 sender_local = FALSE;
270 sender_set_untrusted = FALSE;
271 smtp_active_hostname = primary_hostname;
272 tree_nonrecipients = NULL;
273
274 #ifdef EXPERIMENTAL_BRIGHTMAIL
275 bmi_run = 0;
276 bmi_verdicts = NULL;
277 #endif
278
279 #ifndef DISABLE_DKIM
280 dkim_signers = NULL;
281 dkim_disable_verify = FALSE;
282 dkim_collect_input = FALSE;
283 #endif
284
285 #ifdef SUPPORT_TLS
286 tls_in.certificate_verified = FALSE;
287 # ifdef EXPERIMENTAL_DANE
288 tls_in.dane_verified = FALSE;
289 # endif
290 tls_in.cipher = NULL;
291 # ifndef COMPILE_UTILITY        /* tls support fns not built in */
292 tls_free_cert(&tls_in.ourcert);
293 tls_free_cert(&tls_in.peercert);
294 # endif
295 tls_in.peerdn = NULL;
296 tls_in.sni = NULL;
297 tls_in.ocsp = OCSP_NOT_REQ;
298 #endif
299
300 #ifdef WITH_CONTENT_SCAN
301 spam_bar = NULL;
302 spam_score = NULL;
303 spam_score_int = NULL;
304 #endif
305
306 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
307 message_smtputf8 = FALSE;
308 message_utf8_downconvert = 0;
309 #endif
310
311 dsn_ret = 0;
312 dsn_envid = NULL;
313
314 /* Generate the full name and open the file. If message_subdir is already
315 set, just look in the given directory. Otherwise, look in both the split
316 and unsplit directories, as for the data file above. */
317
318 for (n = 0; n < 2; n++)
319   {
320   if (!subdir_set)
321     message_subdir[0] = (split_spool_directory == (n == 0))? name[5] : 0;
322   sprintf(CS big_buffer, "%s/input/%s/%s", spool_directory, message_subdir,
323     name);
324   f = Ufopen(big_buffer, "rb");
325   if (f != NULL) break;
326   if (n != 0 || subdir_set || errno != ENOENT) return spool_read_notopen;
327   }
328
329 errno = 0;
330
331 #ifndef COMPILE_UTILITY
332 DEBUG(D_deliver) debug_printf("reading spool file %s\n", name);
333 #endif  /* COMPILE_UTILITY */
334
335 /* The first line of a spool file contains the message id followed by -H (i.e.
336 the file name), in order to make the file self-identifying. */
337
338 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
339 if (Ustrlen(big_buffer) != MESSAGE_ID_LENGTH + 3 ||
340     Ustrncmp(big_buffer, name, MESSAGE_ID_LENGTH + 2) != 0)
341   goto SPOOL_FORMAT_ERROR;
342
343 /* The next three lines in the header file are in a fixed format. The first
344 contains the login, uid, and gid of the user who caused the file to be written.
345 There are known cases where a negative gid is used, so we allow for both
346 negative uids and gids. The second contains the mail address of the message's
347 sender, enclosed in <>. The third contains the time the message was received,
348 and the number of warning messages for delivery delays that have been sent. */
349
350 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
351
352 p = big_buffer + Ustrlen(big_buffer);
353 while (p > big_buffer && isspace(p[-1])) p--;
354 *p = 0;
355 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
356 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
357 gid = Uatoi(p);
358 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
359 *p = 0;
360 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
361 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
362 uid = Uatoi(p);
363 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
364 *p = 0;
365
366 originator_login = string_copy(big_buffer);
367 originator_uid = (uid_t)uid;
368 originator_gid = (gid_t)gid;
369
370 /* envelope from */
371 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
372 n = Ustrlen(big_buffer);
373 if (n < 3 || big_buffer[0] != '<' || big_buffer[n-2] != '>')
374   goto SPOOL_FORMAT_ERROR;
375
376 sender_address = store_get(n-2);
377 Ustrncpy(sender_address, big_buffer+1, n-3);
378 sender_address[n-3] = 0;
379
380 /* time */
381 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
382 if (sscanf(CS big_buffer, "%d %d", &received_time, &warning_count) != 2)
383   goto SPOOL_FORMAT_ERROR;
384
385 message_age = time(NULL) - received_time;
386
387 #ifndef COMPILE_UTILITY
388 DEBUG(D_deliver) debug_printf("user=%s uid=%ld gid=%ld sender=%s\n",
389   originator_login, (long int)originator_uid, (long int)originator_gid,
390   sender_address);
391 #endif  /* COMPILE_UTILITY */
392
393 /* Now there may be a number of optional lines, each starting with "-". If you
394 add a new setting here, make sure you set the default above.
395
396 Because there are now quite a number of different possibilities, we use a
397 switch on the first character to avoid too many failing tests. Thanks to Nico
398 Erfurth for the patch that implemented this. I have made it even more efficient
399 by not re-scanning the first two characters.
400
401 To allow new versions of Exim that add additional flags to interwork with older
402 versions that do not understand them, just ignore any lines starting with "-"
403 that we don't recognize. Otherwise it wouldn't be possible to back off a new
404 version that left new-style flags written on the spool. */
405
406 p = big_buffer + 2;
407 for (;;)
408   {
409   int len;
410   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
411   if (big_buffer[0] != '-') break;
412   while (  (len = Ustrlen(big_buffer)) == big_buffer_size-1
413         && big_buffer[len-1] != '\n'
414         )
415     {   /* buffer not big enough for line; certs make this possible */
416     uschar * buf;
417     if (big_buffer_size >= BIG_BUFFER_SIZE*4) goto SPOOL_READ_ERROR;
418     buf = store_get_perm(big_buffer_size *= 2);
419     memcpy(buf, big_buffer, --len);
420     big_buffer = buf;
421     if (Ufgets(big_buffer+len, big_buffer_size-len, f) == NULL)
422       goto SPOOL_READ_ERROR;
423     }
424   big_buffer[len-1] = 0;
425
426   switch(big_buffer[1])
427     {
428     case 'a':
429
430     /* Nowadays we use "-aclc" and "-aclm" for the different types of ACL
431     variable, because Exim allows any number of them, with arbitrary names.
432     The line in the spool file is "-acl[cm] <name> <length>". The name excludes
433     the c or m. */
434
435     if (Ustrncmp(p, "clc ", 4) == 0 ||
436         Ustrncmp(p, "clm ", 4) == 0)
437       {
438       uschar *name, *endptr;
439       int count;
440       tree_node *node;
441       endptr = Ustrchr(big_buffer + 6, ' ');
442       if (endptr == NULL) goto SPOOL_FORMAT_ERROR;
443       name = string_sprintf("%c%.*s", big_buffer[4], endptr - big_buffer - 6,
444         big_buffer + 6);
445       if (sscanf(CS endptr, " %d", &count) != 1) goto SPOOL_FORMAT_ERROR;
446       node = acl_var_create(name);
447       node->data.ptr = store_get(count + 1);
448       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
449       ((uschar*)node->data.ptr)[count] = 0;
450       }
451
452     else if (Ustrcmp(p, "llow_unqualified_recipient") == 0)
453       allow_unqualified_recipient = TRUE;
454     else if (Ustrcmp(p, "llow_unqualified_sender") == 0)
455       allow_unqualified_sender = TRUE;
456
457     else if (Ustrncmp(p, "uth_id", 6) == 0)
458       authenticated_id = string_copy(big_buffer + 9);
459     else if (Ustrncmp(p, "uth_sender", 10) == 0)
460       authenticated_sender = string_copy(big_buffer + 13);
461     else if (Ustrncmp(p, "ctive_hostname", 14) == 0)
462       smtp_active_hostname = string_copy(big_buffer + 17);
463
464     /* For long-term backward compatibility, we recognize "-acl", which was
465     used before the number of ACL variables changed from 10 to 20. This was
466     before the subsequent change to an arbitrary number of named variables.
467     This code is retained so that upgrades from very old versions can still
468     handle old-format spool files. The value given after "-acl" is a number
469     that is 0-9 for connection variables, and 10-19 for message variables. */
470
471     else if (Ustrncmp(p, "cl ", 3) == 0)
472       {
473       int index, count;
474       uschar name[20];   /* Need plenty of space for %d format */
475       tree_node *node;
476       if (  sscanf(CS big_buffer + 5, "%d %d", &index, &count) != 2
477          || index >= 20
478          )
479         goto SPOOL_FORMAT_ERROR;
480       if (index < 10)
481         (void) string_format(name, sizeof(name), "%c%d", 'c', index);
482       else
483         (void) string_format(name, sizeof(name), "%c%d", 'm', index - 10);
484       node = acl_var_create(name);
485       node->data.ptr = store_get(count + 1);
486       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
487       ((uschar*)node->data.ptr)[count] = 0;
488       }
489     break;
490
491     case 'b':
492     if (Ustrncmp(p, "ody_linecount", 13) == 0)
493       body_linecount = Uatoi(big_buffer + 15);
494     else if (Ustrncmp(p, "ody_zerocount", 13) == 0)
495       body_zerocount = Uatoi(big_buffer + 15);
496 #ifdef EXPERIMENTAL_BRIGHTMAIL
497     else if (Ustrncmp(p, "mi_verdicts ", 12) == 0)
498       bmi_verdicts = string_copy(big_buffer + 14);
499 #endif
500     break;
501
502     case 'd':
503     if (Ustrcmp(p, "eliver_firsttime") == 0)
504       deliver_firsttime = TRUE;
505     /* Check if the dsn flags have been set in the header file */
506     else if (Ustrncmp(p, "sn_ret", 6) == 0)
507       dsn_ret= atoi(CS big_buffer + 8);
508     else if (Ustrncmp(p, "sn_envid", 8) == 0)
509       dsn_envid = string_copy(big_buffer + 11);
510     break;
511
512     case 'f':
513     if (Ustrncmp(p, "rozen", 5) == 0)
514       {
515       deliver_freeze = TRUE;
516       if (sscanf(CS big_buffer+7, TIME_T_FMT, &deliver_frozen_at) != 1)
517         goto SPOOL_READ_ERROR;
518       }
519     break;
520
521     case 'h':
522     if (Ustrcmp(p, "ost_lookup_deferred") == 0)
523       host_lookup_deferred = TRUE;
524     else if (Ustrcmp(p, "ost_lookup_failed") == 0)
525       host_lookup_failed = TRUE;
526     else if (Ustrncmp(p, "ost_auth", 8) == 0)
527       sender_host_authenticated = string_copy(big_buffer + 11);
528     else if (Ustrncmp(p, "ost_name", 8) == 0)
529       sender_host_name = string_copy(big_buffer + 11);
530     else if (Ustrncmp(p, "elo_name", 8) == 0)
531       sender_helo_name = string_copy(big_buffer + 11);
532
533     /* We now record the port number after the address, separated by a
534     dot. For compatibility during upgrading, do nothing if there
535     isn't a value (it gets left at zero). */
536
537     else if (Ustrncmp(p, "ost_address", 11) == 0)
538       {
539       sender_host_port = host_address_extract_port(big_buffer + 14);
540       sender_host_address = string_copy(big_buffer + 14);
541       }
542     break;
543
544     case 'i':
545     if (Ustrncmp(p, "nterface_address", 16) == 0)
546       {
547       interface_port = host_address_extract_port(big_buffer + 19);
548       interface_address = string_copy(big_buffer + 19);
549       }
550     else if (Ustrncmp(p, "dent", 4) == 0)
551       sender_ident = string_copy(big_buffer + 7);
552     break;
553
554     case 'l':
555     if (Ustrcmp(p, "ocal") == 0) sender_local = TRUE;
556     else if (Ustrcmp(big_buffer, "-localerror") == 0)
557       local_error_message = TRUE;
558     else if (Ustrncmp(p, "ocal_scan ", 10) == 0)
559       local_scan_data = string_copy(big_buffer + 12);
560     break;
561
562     case 'm':
563     if (Ustrcmp(p, "anual_thaw") == 0) deliver_manual_thaw = TRUE;
564     else if (Ustrncmp(p, "ax_received_linelength", 22) == 0)
565       max_received_linelength = Uatoi(big_buffer + 24);
566     break;
567
568     case 'N':
569     if (*p == 0) dont_deliver = TRUE;   /* -N */
570     break;
571
572     case 'r':
573     if (Ustrncmp(p, "eceived_protocol", 16) == 0)
574       received_protocol = string_copy(big_buffer + 19);
575     break;
576
577     case 's':
578     if (Ustrncmp(p, "ender_set_untrusted", 19) == 0)
579       sender_set_untrusted = TRUE;
580 #ifdef WITH_CONTENT_SCAN
581     else if (Ustrncmp(p, "pam_bar ", 8) == 0)
582       spam_bar = string_copy(big_buffer + 10);
583     else if (Ustrncmp(p, "pam_score ", 10) == 0)
584       spam_score = string_copy(big_buffer + 12);
585     else if (Ustrncmp(p, "pam_score_int ", 14) == 0)
586       spam_score_int = string_copy(big_buffer + 16);
587 #endif
588 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
589     else if (Ustrncmp(p, "mtputf8", 7) == 0)
590       message_smtputf8 = TRUE;
591 #endif
592     break;
593
594 #ifdef SUPPORT_TLS
595     case 't':
596     if (Ustrncmp(p, "ls_certificate_verified", 23) == 0)
597       tls_in.certificate_verified = TRUE;
598     else if (Ustrncmp(p, "ls_cipher", 9) == 0)
599       tls_in.cipher = string_copy(big_buffer + 12);
600 # ifndef COMPILE_UTILITY        /* tls support fns not built in */
601     else if (Ustrncmp(p, "ls_ourcert", 10) == 0)
602       (void) tls_import_cert(big_buffer + 13, &tls_in.ourcert);
603     else if (Ustrncmp(p, "ls_peercert", 11) == 0)
604       (void) tls_import_cert(big_buffer + 14, &tls_in.peercert);
605 # endif
606     else if (Ustrncmp(p, "ls_peerdn", 9) == 0)
607       tls_in.peerdn = string_unprinting(string_copy(big_buffer + 12));
608     else if (Ustrncmp(p, "ls_sni", 6) == 0)
609       tls_in.sni = string_unprinting(string_copy(big_buffer + 9));
610     else if (Ustrncmp(p, "ls_ocsp", 7) == 0)
611       tls_in.ocsp = big_buffer[10] - '0';
612     break;
613 #endif
614
615 #if defined(SUPPORT_I18N) && !defined(COMPILE_UTILITY)
616     case 'u':
617     if (Ustrncmp(p, "tf8_downcvt", 11) == 0)
618       message_utf8_downconvert = 1;
619     else if (Ustrncmp(p, "tf8_optdowncvt", 15) == 0)
620       message_utf8_downconvert = -1;
621     break;
622 #endif
623
624     default:    /* Present because some compilers complain if all */
625     break;      /* possibilities are not covered. */
626     }
627   }
628
629 /* Build sender_fullhost if required */
630
631 #ifndef COMPILE_UTILITY
632 host_build_sender_fullhost();
633 #endif  /* COMPILE_UTILITY */
634
635 #ifndef COMPILE_UTILITY
636 DEBUG(D_deliver)
637   debug_printf("sender_local=%d ident=%s\n", sender_local,
638     (sender_ident == NULL)? US"unset" : sender_ident);
639 #endif  /* COMPILE_UTILITY */
640
641 /* We now have the tree of addresses NOT to deliver to, or a line
642 containing "XX", indicating no tree. */
643
644 if (Ustrncmp(big_buffer, "XX\n", 3) != 0 &&
645   !read_nonrecipients_tree(&tree_nonrecipients, f, big_buffer, big_buffer_size))
646     goto SPOOL_FORMAT_ERROR;
647
648 #ifndef COMPILE_UTILITY
649 DEBUG(D_deliver)
650   {
651   debug_printf("Non-recipients:\n");
652   debug_print_tree(tree_nonrecipients);
653   }
654 #endif  /* COMPILE_UTILITY */
655
656 /* After reading the tree, the next line has not yet been read into the
657 buffer. It contains the count of recipients which follow on separate lines. */
658
659 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
660 if (sscanf(CS big_buffer, "%d", &rcount) != 1) goto SPOOL_FORMAT_ERROR;
661
662 #ifndef COMPILE_UTILITY
663 DEBUG(D_deliver) debug_printf("recipients_count=%d\n", rcount);
664 #endif  /* COMPILE_UTILITY */
665
666 recipients_list_max = rcount;
667 recipients_list = store_get(rcount * sizeof(recipient_item));
668
669 for (recipients_count = 0; recipients_count < rcount; recipients_count++)
670   {
671   int nn;
672   int pno = -1;
673   int dsn_flags = 0;
674   uschar *orcpt = NULL;
675   uschar *errors_to = NULL;
676   uschar *p;
677
678   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
679   nn = Ustrlen(big_buffer);
680   if (nn < 2) goto SPOOL_FORMAT_ERROR;
681
682   /* Remove the newline; this terminates the address if there is no additional
683   data on the line. */
684
685   p = big_buffer + nn - 1;
686   *p-- = 0;
687
688   /* Look back from the end of the line for digits and special terminators.
689   Since an address must end with a domain, we can tell that extra data is
690   present by the presence of the terminator, which is always some character
691   that cannot exist in a domain. (If I'd thought of the need for additional
692   data early on, I'd have put it at the start, with the address at the end. As
693   it is, we have to operate backwards. Addresses are permitted to contain
694   spaces, you see.)
695
696   This code has to cope with various versions of this data that have evolved
697   over time. In all cases, the line might just contain an address, with no
698   additional data. Otherwise, the possibilities are as follows:
699
700   Exim 3 type:       <address><space><digits>,<digits>,<digits>
701
702     The second set of digits is the parent number for one_time addresses. The
703     other values were remnants of earlier experiments that were abandoned.
704
705   Exim 4 first type: <address><space><digits>
706
707     The digits are the parent number for one_time addresses.
708
709   Exim 4 new type:   <address><space><data>#<type bits>
710
711     The type bits indicate what the contents of the data are.
712
713     Bit 01 indicates that, reading from right to left, the data
714       ends with <errors_to address><space><len>,<pno> where pno is
715       the parent number for one_time addresses, and len is the length
716       of the errors_to address (zero meaning none).
717
718     Bit 02 indicates that, again reading from right to left, the data continues
719      with orcpt len(orcpt),dsn_flags
720    */
721
722   while (isdigit(*p)) p--;
723
724   /* Handle Exim 3 spool files */
725
726   if (*p == ',')
727     {
728     int dummy;
729     while (isdigit(*(--p)) || *p == ',');
730     if (*p == ' ')
731       {
732       *p++ = 0;
733       (void)sscanf(CS p, "%d,%d", &dummy, &pno);
734       }
735     }
736
737   /* Handle early Exim 4 spool files */
738
739   else if (*p == ' ')
740     {
741     *p++ = 0;
742     (void)sscanf(CS p, "%d", &pno);
743     }
744
745   /* Handle current format Exim 4 spool files */
746
747   else if (*p == '#')
748     {
749     int flags;
750
751 #if !defined (COMPILE_UTILITY)
752     DEBUG(D_deliver) debug_printf("**** SPOOL_IN - Exim 4 standard format spoolfile\n");
753 #endif
754
755     (void)sscanf(CS p+1, "%d", &flags);
756
757     if ((flags & 0x01) != 0)      /* one_time data exists */
758       {
759       int len;
760       while (isdigit(*(--p)) || *p == ',' || *p == '-');
761       (void)sscanf(CS p+1, "%d,%d", &len, &pno);
762       *p = 0;
763       if (len > 0)
764         {
765         p -= len;
766         errors_to = string_copy(p);
767         }
768       }
769
770     *(--p) = 0;   /* Terminate address */
771     if ((flags & 0x02) != 0)      /* one_time data exists */
772       {
773       int len;
774       while (isdigit(*(--p)) || *p == ',' || *p == '-');
775       (void)sscanf(CS p+1, "%d,%d", &len, &dsn_flags);
776       *p = 0;
777       if (len > 0)
778         {
779         p -= len;
780         orcpt = string_copy(p);
781         }
782       }
783
784     *(--p) = 0;   /* Terminate address */
785     }
786 #if !defined(COMPILE_UTILITY)
787   else
788     { DEBUG(D_deliver) debug_printf("**** SPOOL_IN - No additional fields\n"); }
789
790   if ((orcpt != NULL) || (dsn_flags != 0))
791     {
792     DEBUG(D_deliver) debug_printf("**** SPOOL_IN - address: |%s| orcpt: |%s| dsn_flags: %d\n",
793       big_buffer, orcpt, dsn_flags);
794     }
795   if (errors_to != NULL)
796     {
797     DEBUG(D_deliver) debug_printf("**** SPOOL_IN - address: |%s| errorsto: |%s|\n",
798       big_buffer, errors_to);
799     }
800 #endif
801
802   recipients_list[recipients_count].address = string_copy(big_buffer);
803   recipients_list[recipients_count].pno = pno;
804   recipients_list[recipients_count].errors_to = errors_to;
805   recipients_list[recipients_count].orcpt = orcpt;
806   recipients_list[recipients_count].dsn_flags = dsn_flags;
807   }
808
809 /* The remainder of the spool header file contains the headers for the message,
810 separated off from the previous data by a blank line. Each header is preceded
811 by a count of its length and either a certain letter (for various identified
812 headers), space (for a miscellaneous live header) or an asterisk (for a header
813 that has been rewritten). Count the Received: headers. We read the headers
814 always, in order to check on the format of the file, but only create a header
815 list if requested to do so. */
816
817 inheader = TRUE;
818 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
819 if (big_buffer[0] != '\n') goto SPOOL_FORMAT_ERROR;
820
821 while ((n = fgetc(f)) != EOF)
822   {
823   header_line *h;
824   uschar flag[4];
825   int i;
826
827   if (!isdigit(n)) goto SPOOL_FORMAT_ERROR;
828   if(ungetc(n, f) == EOF  ||  fscanf(f, "%d%c ", &n, flag) == EOF)
829     goto SPOOL_READ_ERROR;
830   if (flag[0] != '*') message_size += n;  /* Omit non-transmitted headers */
831
832   if (read_headers)
833     {
834     h = store_get(sizeof(header_line));
835     h->next = NULL;
836     h->type = flag[0];
837     h->slen = n;
838     h->text = store_get(n+1);
839
840     if (h->type == htype_received) received_count++;
841
842     if (header_list == NULL) header_list = h;
843       else header_last->next = h;
844     header_last = h;
845
846     for (i = 0; i < n; i++)
847       {
848       int c = fgetc(f);
849       if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
850       if (c == '\n' && h->type != htype_old) message_linecount++;
851       h->text[i] = c;
852       }
853     h->text[i] = 0;
854     }
855
856   /* Not requiring header data, just skip through the bytes */
857
858   else for (i = 0; i < n; i++)
859     {
860     int c = fgetc(f);
861     if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
862     }
863   }
864
865 /* We have successfully read the data in the header file. Update the message
866 line count by adding the body linecount to the header linecount. Close the file
867 and give a positive response. */
868
869 #ifndef COMPILE_UTILITY
870 DEBUG(D_deliver) debug_printf("body_linecount=%d message_linecount=%d\n",
871   body_linecount, message_linecount);
872 #endif  /* COMPILE_UTILITY */
873
874 message_linecount += body_linecount;
875
876 fclose(f);
877 return spool_read_OK;
878
879
880 /* There was an error reading the spool or there was missing data,
881 or there was a format error. A "read error" with no errno means an
882 unexpected EOF, which we treat as a format error. */
883
884 SPOOL_READ_ERROR:
885 if (errno != 0)
886   {
887   n = errno;
888
889 #ifndef COMPILE_UTILITY
890   DEBUG(D_any) debug_printf("Error while reading spool file %s\n", name);
891 #endif  /* COMPILE_UTILITY */
892
893   fclose(f);
894   errno = n;
895   return inheader? spool_read_hdrerror : spool_read_enverror;
896   }
897
898 SPOOL_FORMAT_ERROR:
899
900 #ifndef COMPILE_UTILITY
901 DEBUG(D_any) debug_printf("Format error in spool file %s\n", name);
902 #endif  /* COMPILE_UTILITY */
903
904 fclose(f);
905 errno = ERRNO_SPOOLFORMAT;
906 return inheader? spool_read_hdrerror : spool_read_enverror;
907 }
908
909 /* vi: aw ai sw=2
910 */
911 /* End of spool_in.c */