c5951832bd851d3404a68c22144e2d1795090087
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) The Exim Maintainers 2020 - 2022 */
6 /* Copyright (c) University of Cambridge 1995 - 2018 */
7 /* See the file NOTICE for conditions of use and distribution. */
8 /* SPDX-License-Identifier: GPL-2.0-or-later */
9
10 #include "../exim.h"
11 #include "smtp.h"
12
13 #if defined(SUPPORT_DANE) && defined(DISABLE_TLS)
14 # error TLS is required for DANE
15 #endif
16
17
18 /* Options specific to the smtp transport. This transport also supports LMTP
19 over TCP/IP. The options must be in alphabetic order (note that "_" comes
20 before the lower case letters). Some live in the transport_instance block so as
21 to be publicly visible; these are flagged with opt_public. */
22
23 #define LOFF(field) OPT_OFF(smtp_transport_options_block, field)
24
25 optionlist smtp_transport_options[] = {
26   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
27       OPT_OFF(transport_instance, expand_multi_domain) },
28   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
29       LOFF(expand_retry_include_ip_address) },
30
31   { "address_retry_include_sender", opt_bool,
32       LOFF(address_retry_include_sender) },
33   { "allow_localhost",      opt_bool,      LOFF(allow_localhost) },
34 #ifdef EXPERIMENTAL_ARC
35   { "arc_sign", opt_stringptr,             LOFF(arc_sign) },
36 #endif
37   { "authenticated_sender", opt_stringptr, LOFF(authenticated_sender) },
38   { "authenticated_sender_force", opt_bool, LOFF(authenticated_sender_force) },
39   { "command_timeout",      opt_time,      LOFF(command_timeout) },
40   { "connect_timeout",      opt_time,      LOFF(connect_timeout) },
41   { "connection_max_messages", opt_int | opt_public,
42       OPT_OFF(transport_instance, connection_max_messages) },
43 # ifdef SUPPORT_DANE
44   { "dane_require_tls_ciphers", opt_stringptr, LOFF(dane_require_tls_ciphers) },
45 # endif
46   { "data_timeout",         opt_time,      LOFF(data_timeout) },
47   { "delay_after_cutoff",   opt_bool,      LOFF(delay_after_cutoff) },
48 #ifndef DISABLE_DKIM
49   { "dkim_canon", opt_stringptr,           LOFF(dkim.dkim_canon) },
50   { "dkim_domain", opt_stringptr,          LOFF(dkim.dkim_domain) },
51   { "dkim_hash", opt_stringptr,            LOFF(dkim.dkim_hash) },
52   { "dkim_identity", opt_stringptr,        LOFF(dkim.dkim_identity) },
53   { "dkim_private_key", opt_stringptr,     LOFF(dkim.dkim_private_key) },
54   { "dkim_selector", opt_stringptr,        LOFF(dkim.dkim_selector) },
55   { "dkim_sign_headers", opt_stringptr,    LOFF(dkim.dkim_sign_headers) },
56   { "dkim_strict", opt_stringptr,          LOFF(dkim.dkim_strict) },
57   { "dkim_timestamps", opt_stringptr,      LOFF(dkim.dkim_timestamps) },
58 #endif
59   { "dns_qualify_single",   opt_bool,      LOFF(dns_qualify_single) },
60   { "dns_search_parents",   opt_bool,      LOFF(dns_search_parents) },
61   { "dnssec_request_domains", opt_stringptr, LOFF(dnssec.request) },
62   { "dnssec_require_domains", opt_stringptr, LOFF(dnssec.require) },
63   { "dscp",                 opt_stringptr, LOFF(dscp) },
64   { "fallback_hosts",       opt_stringptr, LOFF(fallback_hosts) },
65   { "final_timeout",        opt_time,      LOFF(final_timeout) },
66   { "gethostbyname",        opt_bool,      LOFF(gethostbyname) },
67   { "helo_data",            opt_stringptr, LOFF(helo_data) },
68 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
69   { "host_name_extract",    opt_stringptr, LOFF(host_name_extract) },
70 # endif
71   { "hosts",                opt_stringptr, LOFF(hosts) },
72   { "hosts_avoid_esmtp",    opt_stringptr, LOFF(hosts_avoid_esmtp) },
73   { "hosts_avoid_pipelining", opt_stringptr, LOFF(hosts_avoid_pipelining) },
74 #ifndef DISABLE_TLS
75   { "hosts_avoid_tls",      opt_stringptr, LOFF(hosts_avoid_tls) },
76 #endif
77   { "hosts_max_try",        opt_int,       LOFF(hosts_max_try) },
78   { "hosts_max_try_hardlimit", opt_int,    LOFF(hosts_max_try_hardlimit) },
79 #ifndef DISABLE_TLS
80   { "hosts_nopass_tls",     opt_stringptr, LOFF(hosts_nopass_tls) },
81   { "hosts_noproxy_tls",    opt_stringptr, LOFF(hosts_noproxy_tls) },
82 #endif
83   { "hosts_override",       opt_bool,      LOFF(hosts_override) },
84 #ifndef DISABLE_PIPE_CONNECT
85   { "hosts_pipe_connect",   opt_stringptr, LOFF(hosts_pipe_connect) },
86 #endif
87   { "hosts_randomize",      opt_bool,      LOFF(hosts_randomize) },
88 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
89   { "hosts_request_ocsp",   opt_stringptr, LOFF(hosts_request_ocsp) },
90 #endif
91   { "hosts_require_alpn",   opt_stringptr, LOFF(hosts_require_alpn) },
92   { "hosts_require_auth",   opt_stringptr, LOFF(hosts_require_auth) },
93 #ifndef DISABLE_TLS
94 # ifdef SUPPORT_DANE
95   { "hosts_require_dane",   opt_stringptr, LOFF(hosts_require_dane) },
96 # endif
97 # ifndef DISABLE_OCSP
98   { "hosts_require_ocsp",   opt_stringptr, LOFF(hosts_require_ocsp) },
99 # endif
100   { "hosts_require_tls",    opt_stringptr, LOFF(hosts_require_tls) },
101 #endif
102   { "hosts_try_auth",       opt_stringptr, LOFF(hosts_try_auth) },
103   { "hosts_try_chunking",   opt_stringptr, LOFF(hosts_try_chunking) },
104 #ifdef SUPPORT_DANE
105   { "hosts_try_dane",       opt_stringptr, LOFF(hosts_try_dane) },
106 #endif
107   { "hosts_try_fastopen",   opt_stringptr, LOFF(hosts_try_fastopen) },
108 #ifndef DISABLE_PRDR
109   { "hosts_try_prdr",       opt_stringptr, LOFF(hosts_try_prdr) },
110 #endif
111 #ifndef DISABLE_TLS
112   { "hosts_verify_avoid_tls", opt_stringptr, LOFF(hosts_verify_avoid_tls) },
113 #endif
114   { "interface",            opt_stringptr, LOFF(interface) },
115   { "keepalive",            opt_bool,      LOFF(keepalive) },
116   { "lmtp_ignore_quota",    opt_bool,      LOFF(lmtp_ignore_quota) },
117   { "max_rcpt",             opt_stringptr | opt_public,
118       OPT_OFF(transport_instance, max_addresses) },
119   { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
120   { "multi_domain",         opt_expand_bool | opt_public,
121       OPT_OFF(transport_instance, multi_domain) },
122   { "port",                 opt_stringptr, LOFF(port) },
123   { "protocol",             opt_stringptr, LOFF(protocol) },
124   { "retry_include_ip_address", opt_expand_bool, LOFF(retry_include_ip_address) },
125   { "serialize_hosts",      opt_stringptr, LOFF(serialize_hosts) },
126   { "size_addition",        opt_int,       LOFF(size_addition) },
127 #ifdef SUPPORT_SOCKS
128   { "socks_proxy",          opt_stringptr, LOFF(socks_proxy) },
129 #endif
130 #ifndef DISABLE_TLS
131   { "tls_alpn",             opt_stringptr, LOFF(tls_alpn) },
132   { "tls_certificate",      opt_stringptr, LOFF(tls_certificate) },
133   { "tls_crl",              opt_stringptr, LOFF(tls_crl) },
134   { "tls_dh_min_bits",      opt_int,       LOFF(tls_dh_min_bits) },
135   { "tls_privatekey",       opt_stringptr, LOFF(tls_privatekey) },
136   { "tls_require_ciphers",  opt_stringptr, LOFF(tls_require_ciphers) },
137 # ifndef DISABLE_TLS_RESUME
138   { "tls_resumption_hosts", opt_stringptr, LOFF(tls_resumption_hosts) },
139 # endif
140   { "tls_sni",              opt_stringptr, LOFF(tls_sni) },
141   { "tls_tempfail_tryclear", opt_bool, LOFF(tls_tempfail_tryclear) },
142   { "tls_try_verify_hosts", opt_stringptr, LOFF(tls_try_verify_hosts) },
143   { "tls_verify_cert_hostnames", opt_stringptr, LOFF(tls_verify_cert_hostnames)},
144   { "tls_verify_certificates", opt_stringptr, LOFF(tls_verify_certificates) },
145   { "tls_verify_hosts",     opt_stringptr, LOFF(tls_verify_hosts) },
146 #endif
147 #ifdef SUPPORT_I18N
148   { "utf8_downconvert",     opt_stringptr, LOFF(utf8_downconvert) },
149 #endif
150 };
151
152 /* Size of the options list. An extern variable has to be used so that its
153 address can appear in the tables drtables.c. */
154
155 int smtp_transport_options_count = nelem(smtp_transport_options);
156
157
158 #ifdef MACRO_PREDEF
159
160 /* Dummy values */
161 smtp_transport_options_block smtp_transport_option_defaults = {0};
162 void smtp_transport_init(transport_instance *tblock) {}
163 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
164 void smtp_transport_closedown(transport_instance *tblock) {}
165
166 #else   /*!MACRO_PREDEF*/
167
168
169 /* Default private options block for the smtp transport. */
170
171 smtp_transport_options_block smtp_transport_option_defaults = {
172   /* All non-mentioned elements 0/NULL/FALSE */
173   .helo_data =                  US"$primary_hostname",
174   .protocol =                   US"smtp",
175   .hosts_try_chunking =         US"*",
176 #ifdef SUPPORT_DANE
177   .hosts_try_dane =             US"*",
178 #endif
179   .hosts_try_fastopen =         US"*",
180 #ifndef DISABLE_PRDR
181   .hosts_try_prdr =             US"*",
182 #endif
183 #ifndef DISABLE_OCSP
184   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
185 #endif
186   .command_timeout =            5*60,
187   .connect_timeout =            5*60,
188   .data_timeout =               5*60,
189   .final_timeout =              10*60,
190   .size_addition =              1024,
191   .hosts_max_try =              5,
192   .hosts_max_try_hardlimit =    50,
193   .message_linelength_limit =   998,
194   .address_retry_include_sender = TRUE,
195   .dns_qualify_single =         TRUE,
196   .dnssec = { .request= US"*", .require=NULL },
197   .delay_after_cutoff =         TRUE,
198   .keepalive =                  TRUE,
199   .retry_include_ip_address =   TRUE,
200 #ifndef DISABLE_TLS
201   .tls_verify_certificates =    US"system",
202   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
203   .tls_tempfail_tryclear =      TRUE,
204   .tls_try_verify_hosts =       US"*",
205   .tls_verify_cert_hostnames =  US"*",
206 # ifndef DISABLE_TLS_RESUME
207   .host_name_extract =          US"${if and {{match{$host}{.outlook.com\\$}} {match{$item}{\\N^250-([\\w.]+)\\s\\N}}} {$1}}",
208 # endif
209 #endif
210 #ifdef SUPPORT_I18N
211   .utf8_downconvert =           US"-1",
212 #endif
213 #ifndef DISABLE_DKIM
214  .dkim =
215    { .dkim_hash =               US"sha256", },
216 #endif
217 };
218
219 /* some DSN flags for use later */
220
221 static int     rf_list[] = {rf_notify_never, rf_notify_success,
222                             rf_notify_failure, rf_notify_delay };
223
224 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
225
226
227
228 /* Local statics */
229
230 static uschar *smtp_command;            /* Points to last cmd for error messages */
231 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
232 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
233 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
234
235 /*XXX move to smtp_context */
236 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
237
238
239 static unsigned ehlo_response(uschar * buf, unsigned checks);
240
241
242 /******************************************************************************/
243
244 void
245 smtp_deliver_init(void)
246 {
247 struct list
248   {
249   const pcre2_code **   re;
250   const uschar *        string;
251   } list[] =
252   {
253     { &regex_AUTH,              AUTHS_REGEX },
254     { &regex_CHUNKING,          US"\\n250[\\s\\-]CHUNKING(\\s|\\n|$)" },
255     { &regex_DSN,               US"\\n250[\\s\\-]DSN(\\s|\\n|$)" },
256     { &regex_IGNOREQUOTA,       US"\\n250[\\s\\-]IGNOREQUOTA(\\s|\\n|$)" },
257     { &regex_PIPELINING,        US"\\n250[\\s\\-]PIPELINING(\\s|\\n|$)" },
258     { &regex_SIZE,              US"\\n250[\\s\\-]SIZE(\\s|\\n|$)" },
259
260 #ifndef DISABLE_TLS
261     { &regex_STARTTLS,          US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)" },
262 #endif
263 #ifndef DISABLE_PRDR
264     { &regex_PRDR,              US"\\n250[\\s\\-]PRDR(\\s|\\n|$)" },
265 #endif
266 #ifdef SUPPORT_I18N
267     { &regex_UTF8,              US"\\n250[\\s\\-]SMTPUTF8(\\s|\\n|$)" },
268 #endif
269 #ifndef DISABLE_PIPE_CONNECT
270     { &regex_EARLY_PIPE,        US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
271 #endif
272 #ifdef EXPERIMENTAL_ESMTP_LIMITS
273     { &regex_LIMITS,            US"\\n250[\\s\\-]LIMITS\\s" },
274 #endif
275   };
276
277 for (struct list * l = list; l < list + nelem(list); l++)
278   if (!*l->re)
279     *l->re = regex_must_compile(l->string, MCS_NOFLAGS, TRUE);
280 }
281
282
283 /*************************************************
284 *             Setup entry point                  *
285 *************************************************/
286
287 /* This function is called when the transport is about to be used,
288 but before running it in a sub-process. It is used for two things:
289
290   (1) To set the fallback host list in addresses, when delivering.
291   (2) To pass back the interface, port, protocol, and other options, for use
292       during callout verification.
293
294 Arguments:
295   tblock    pointer to the transport instance block
296   addrlist  list of addresses about to be transported
297   tf        if not NULL, pointer to block in which to return options
298   uid       the uid that will be set (not used)
299   gid       the gid that will be set (not used)
300   errmsg    place for error message (not used)
301
302 Returns:  OK always (FAIL, DEFER not used)
303 */
304
305 static int
306 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
307   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
308 {
309 smtp_transport_options_block *ob = SOB tblock->options_block;
310
311 /* Pass back options if required. This interface is getting very messy. */
312
313 if (tf)
314   {
315   tf->interface = ob->interface;
316   tf->port = ob->port;
317   tf->protocol = ob->protocol;
318   tf->hosts = ob->hosts;
319   tf->hosts_override = ob->hosts_override;
320   tf->hosts_randomize = ob->hosts_randomize;
321   tf->gethostbyname = ob->gethostbyname;
322   tf->qualify_single = ob->dns_qualify_single;
323   tf->search_parents = ob->dns_search_parents;
324   tf->helo_data = ob->helo_data;
325   }
326
327 /* Set the fallback host list for all the addresses that don't have fallback
328 host lists, provided that the local host wasn't present in the original host
329 list. */
330
331 if (!testflag(addrlist, af_local_host_removed))
332   for (; addrlist; addrlist = addrlist->next)
333     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
334
335 return OK;
336 }
337
338
339
340 /*************************************************
341 *          Initialization entry point            *
342 *************************************************/
343
344 /* Called for each instance, after its options have been read, to
345 enable consistency checks to be done, or anything else that needs
346 to be set up.
347
348 Argument:   pointer to the transport instance block
349 Returns:    nothing
350 */
351
352 void
353 smtp_transport_init(transport_instance *tblock)
354 {
355 smtp_transport_options_block *ob = SOB tblock->options_block;
356 int old_pool = store_pool;
357
358 /* Retry_use_local_part defaults FALSE if unset */
359
360 if (tblock->retry_use_local_part == TRUE_UNSET)
361   tblock->retry_use_local_part = FALSE;
362
363 /* Set the default port according to the protocol */
364
365 if (!ob->port)
366   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
367   ? US"lmtp"
368   : strcmpic(ob->protocol, US"smtps") == 0
369   ? US"smtps" : US"smtp";
370
371 /* Set up the setup entry point, to be called before subprocesses for this
372 transport. */
373
374 tblock->setup = smtp_transport_setup;
375
376 /* Complain if any of the timeouts are zero. */
377
378 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
379     ob->final_timeout <= 0)
380   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
381     "command, data, or final timeout value is zero for %s transport",
382       tblock->name);
383
384 /* If hosts_override is set and there are local hosts, set the global
385 flag that stops verify from showing router hosts. */
386
387 if (ob->hosts_override && ob->hosts) tblock->overrides_hosts = TRUE;
388
389 /* If there are any fallback hosts listed, build a chain of host items
390 for them, but do not do any lookups at this time. */
391
392 store_pool = POOL_PERM;
393 host_build_hostlist(&ob->fallback_hostlist, ob->fallback_hosts, FALSE);
394 store_pool = old_pool;
395 }
396
397
398
399
400
401 /*************************************************
402 *   Set delivery info into all active addresses  *
403 *************************************************/
404
405 /* Only addresses whose status is >= PENDING are relevant. A lesser
406 status means that an address is not currently being processed.
407
408 Arguments:
409   addrlist       points to a chain of addresses
410   errno_value    to put in each address's errno field
411   msg            to put in each address's message field
412   rc             to put in each address's transport_return field
413   pass_message   if TRUE, set the "pass message" flag in the address
414   host           if set, mark addrs as having used this host
415   smtp_greeting  from peer
416   helo_response  from peer
417   start          points to timestamp of delivery start
418
419 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
420 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
421 this particular type of timeout.
422
423 Returns:       nothing
424 */
425
426 static void
427 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
428   BOOL pass_message, host_item * host,
429 #ifdef EXPERIMENTAL_DSN_INFO
430   const uschar * smtp_greeting, const uschar * helo_response,
431 #endif
432   struct timeval * start
433   )
434 {
435 int orvalue = 0;
436 struct timeval deliver_time;
437
438 if (errno_value == ERRNO_CONNECTTIMEOUT)
439   {
440   errno_value = ETIMEDOUT;
441   orvalue = RTEF_CTOUT;
442   }
443 timesince(&deliver_time, start);
444
445 for (address_item * addr = addrlist; addr; addr = addr->next)
446   if (addr->transport_return >= PENDING)
447     {
448     addr->basic_errno = errno_value;
449     addr->more_errno |= orvalue;
450     addr->delivery_time = deliver_time;
451     if (msg)
452       {
453       addr->message = msg;
454       if (pass_message) setflag(addr, af_pass_message);
455       }
456     addr->transport_return = rc;
457     if (host)
458       {
459       addr->host_used = host;
460 #ifdef EXPERIMENTAL_DSN_INFO
461       if (smtp_greeting)
462         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
463       addr->smtp_greeting = smtp_greeting;
464
465       if (helo_response)
466         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
467       addr->helo_response = helo_response;
468 #endif
469       }
470     }
471 }
472
473 static void
474 set_errno_nohost(address_item * addrlist, int errno_value, uschar * msg, int rc,
475   BOOL pass_message, struct timeval * start)
476 {
477 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL,
478 #ifdef EXPERIMENTAL_DSN_INFO
479           NULL, NULL,
480 #endif
481           start);
482 }
483
484
485 /*************************************************
486 *          Check an SMTP response                *
487 *************************************************/
488
489 /* This function is given an errno code and the SMTP response buffer
490 to analyse, together with the host identification for generating messages. It
491 sets an appropriate message and puts the first digit of the response code into
492 the yield variable. If no response was actually read, a suitable digit is
493 chosen.
494
495 Arguments:
496   host           the current host, to get its name for messages
497   errno_value    pointer to the errno value
498   more_errno     from the top address for use with ERRNO_FILTER_FAIL
499   buffer         the SMTP response buffer
500   yield          where to put a one-digit SMTP response code
501   message        where to put an error message
502   pass_message   set TRUE if message is an SMTP response
503
504 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
505 */
506
507 static BOOL
508 check_response(host_item *host, int *errno_value, int more_errno,
509   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
510 {
511 uschar * pl = pipelining_active ? US"pipelined " : US"";
512 const uschar * s;
513
514 *yield = '4';    /* Default setting is to give a temporary error */
515
516 switch(*errno_value)
517   {
518   case ETIMEDOUT:               /* Handle response timeout */
519     *message = US string_sprintf("SMTP timeout after %s%s",
520         pl, smtp_command);
521     if (transport_count > 0)
522       *message = US string_sprintf("%s (%d bytes written)", *message,
523         transport_count);
524     return FALSE;
525
526   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
527     s = string_printing(buffer);
528     while (isspace(*s)) s++;
529     *message = *s == 0
530       ? string_sprintf("Malformed SMTP reply (an empty line) "
531           "in response to %s%s", pl, smtp_command)
532       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
533           pl, smtp_command, s);
534     return FALSE;
535
536   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
537                                 GnuTLS and TLS1.3 */
538     *message = US"bad first read from TLS conn";
539     return TRUE;
540
541   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
542                           can't send QUIT as we mustn't end the DATA. */
543     *message = string_sprintf("transport filter process failed (%d)%s",
544       more_errno,
545       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
546     return FALSE;
547
548   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
549                             can't send QUIT as we mustn't end the DATA. */
550     *message =
551       string_sprintf("failed to expand headers_add or headers_remove: %s",
552         expand_string_message);
553     return FALSE;
554
555   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
556     *message = US"failed to write a data block";
557     return FALSE;
558
559 #ifdef SUPPORT_I18N
560   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
561     *message = US"utf8 support required but not offered for forwarding";
562     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
563     return TRUE;
564 #endif
565   }
566
567 /* Handle error responses from the remote mailer. */
568
569 if (buffer[0] != 0)
570   {
571   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
572     "%s", pl, smtp_command, s = string_printing(buffer));
573   *pass_message = TRUE;
574   *yield = buffer[0];
575   return TRUE;
576   }
577
578 /* No data was read. If there is no errno, this must be the EOF (i.e.
579 connection closed) case, which causes deferral. An explicit connection reset
580 error has the same effect. Otherwise, put the host's identity in the message,
581 leaving the errno value to be interpreted as well. In all cases, we have to
582 assume the connection is now dead. */
583
584 if (*errno_value == 0 || *errno_value == ECONNRESET)
585   {
586   *errno_value = ERRNO_SMTPCLOSED;
587   *message = US string_sprintf("Remote host closed connection "
588     "in response to %s%s", pl, smtp_command);
589   }
590 else
591   *message = US string_sprintf("%s [%s]", host->name, host->address);
592
593 return FALSE;
594 }
595
596
597
598 /*************************************************
599 *          Write error message to logs           *
600 *************************************************/
601
602 /* This writes to the main log and to the message log.
603
604 Arguments:
605   host     the current host
606   detail  the current message (addr_item->message)
607   basic_errno the errno (addr_item->basic_errno)
608
609 Returns:   nothing
610 */
611
612 static void
613 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
614 {
615 gstring * message = LOGGING(outgoing_port)
616   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
617                     host->port == PORT_NONE ? 25 : host->port)
618   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
619
620 if (suffix)
621   {
622   message = string_fmt_append(message, ": %s", suffix);
623   if (basic_errno > 0)
624     message = string_fmt_append(message, ": %s", strerror(basic_errno));
625   }
626 else
627   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
628
629 log_write(0, LOG_MAIN, "%s", string_from_gstring(message));
630 deliver_msglog("%s %s\n", tod_stamp(tod_log), message->s);
631 }
632
633 static void
634 msglog_line(host_item * host, uschar * message)
635 {
636 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
637   host->name, host->address, message);
638 }
639
640
641
642 #ifndef DISABLE_EVENT
643 /*************************************************
644 *   Post-defer action                            *
645 *************************************************/
646
647 /* This expands an arbitrary per-transport string.
648    It might, for example, be used to write to the database log.
649
650 Arguments:
651   addr                  the address item containing error information
652   host                  the current host
653   evstr                 the event
654
655 Returns:   nothing
656 */
657
658 static void
659 deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
660 {
661 uschar * action = addr->transport->event_action;
662 const uschar * save_domain;
663 uschar * save_local;
664
665 if (!action)
666   return;
667
668 save_domain = deliver_domain;
669 save_local = deliver_localpart;
670
671 /*XXX would ip & port already be set up? */
672 deliver_host_address = string_copy(host->address);
673 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
674 event_defer_errno =    addr->basic_errno;
675
676 router_name =    addr->router->name;
677 transport_name = addr->transport->name;
678 deliver_domain = addr->domain;
679 deliver_localpart = addr->local_part;
680
681 (void) event_raise(action, evstr,
682     addr->message
683       ? addr->basic_errno > 0
684         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
685         : string_copy(addr->message)
686       : addr->basic_errno > 0
687         ? string_copy(US strerror(addr->basic_errno))
688         : NULL,
689       NULL);
690
691 deliver_localpart = save_local;
692 deliver_domain =    save_domain;
693 router_name = transport_name = NULL;
694 }
695 #endif
696
697 /*************************************************
698 *           Reap SMTP specific responses         *
699 *************************************************/
700 static int
701 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
702   int count)
703 {
704 uschar flushbuffer[4096];
705
706 while (count-- > 0)
707   {
708   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
709              '2', ob->command_timeout)
710       && (errno != 0 || flushbuffer[0] == 0))
711     break;
712   }
713 return count;
714 }
715
716
717 /* Return boolean success */
718
719 static BOOL
720 smtp_reap_banner(smtp_context * sx)
721 {
722 BOOL good_response;
723 #if defined(__linux__) && defined(TCP_QUICKACK)
724   {     /* Hack to get QUICKACK disabled; has to be right after 3whs, and has to on->off */
725   int sock = sx->cctx.sock;
726   struct pollfd p = {.fd = sock, .events = POLLOUT};
727   if (poll(&p, 1, 1000) >= 0)   /* retval test solely for compiler quitening */
728     {
729     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &on, sizeof(on));
730     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &off, sizeof(off));
731     }
732   }
733 #endif
734 good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
735   '2', (SOB sx->conn_args.ob)->command_timeout);
736 #ifdef EXPERIMENTAL_DSN_INFO
737 sx->smtp_greeting = string_copy(sx->buffer);
738 #endif
739 return good_response;
740 }
741
742 static BOOL
743 smtp_reap_ehlo(smtp_context * sx)
744 {
745 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
746        (SOB sx->conn_args.ob)->command_timeout))
747   {
748   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
749     {
750 #ifdef EXPERIMENTAL_DSN_INFO
751     sx->helo_response = string_copy(sx->buffer);
752 #endif
753     return FALSE;
754     }
755   sx->esmtp = FALSE;
756   }
757 #ifdef EXPERIMENTAL_DSN_INFO
758 sx->helo_response = string_copy(sx->buffer);
759 #endif
760 #ifndef DISABLE_EVENT
761 (void) event_raise(sx->conn_args.tblock->event_action,
762   US"smtp:ehlo", sx->buffer, NULL);
763 #endif
764 return TRUE;
765 }
766
767
768 /* Grab a string differentiating server behind a loadbalancer, for TLS
769 resumption when such servers do not share a session-cache */
770
771 static void
772 ehlo_response_lbserver(smtp_context * sx, smtp_transport_options_block * ob)
773 {
774 #if !defined(DISABLE_TLS) && !defined(DISABLE_TLS_RESUME)
775 const uschar * s;
776 uschar * save_item = iterate_item;
777
778 if (sx->conn_args.have_lbserver)
779   return;
780 iterate_item = sx->buffer;
781 s = expand_cstring(ob->host_name_extract);
782 iterate_item = save_item;
783 sx->conn_args.host_lbserver = s && !*s ? NULL : s;
784 sx->conn_args.have_lbserver = TRUE;
785 #endif
786 }
787
788
789
790 /******************************************************************************/
791
792 #ifdef EXPERIMENTAL_ESMTP_LIMITS
793 /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
794 Check it for a LIMITS keyword and parse values into the smtp context structure.
795
796 We don't bother with peers that we won't talk TLS to, even though they can,
797 just ignore their LIMITS advice (if any) and treat them as if they do not.
798 This saves us dealing with a duplicate set of values. */
799
800 static void
801 ehlo_response_limits_read(smtp_context * sx)
802 {
803 uschar * match;
804
805 /* matches up to just after the first space after the keyword */
806
807 if (regex_match(regex_LIMITS, sx->buffer, -1, &match))
808   for (const uschar * s = sx->buffer + Ustrlen(match); *s; )
809     {
810     while (isspace(*s)) s++;
811     if (*s == '\n') break;
812
813     if (strncmpic(s, US"MAILMAX=", 8) == 0)
814       {
815       sx->peer_limit_mail = atoi(CS (s += 8));
816       while (isdigit(*s)) s++;
817       }
818     else if (strncmpic(s, US"RCPTMAX=", 8) == 0)
819       {
820       sx->peer_limit_rcpt = atoi(CS (s += 8));
821       while (isdigit(*s)) s++;
822       }
823     else if (strncmpic(s, US"RCPTDOMAINMAX=", 14) == 0)
824       {
825       sx->peer_limit_rcptdom = atoi(CS (s += 14));
826       while (isdigit(*s)) s++;
827       }
828     else
829       while (*s && !isspace(*s)) s++;
830     }
831 }
832
833 /* Apply given values to the current connection */
834 static void
835 ehlo_limits_apply(smtp_context * sx,
836   unsigned limit_mail, unsigned limit_rcpt, unsigned limit_rcptdom)
837 {
838 if (limit_mail && limit_mail < sx->max_mail) sx->max_mail = limit_mail;
839 if (limit_rcpt && limit_rcpt < sx->max_rcpt) sx->max_rcpt = limit_rcpt;
840 if (limit_rcptdom)
841   {
842   DEBUG(D_transport) debug_printf("will treat as !multi_domain\n");
843   sx->single_rcpt_domain = TRUE;
844   }
845 }
846
847 /* Apply values from EHLO-resp to the current connection */
848 static void
849 ehlo_response_limits_apply(smtp_context * sx)
850 {
851 ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
852   sx->peer_limit_rcptdom);
853 }
854
855 /* Apply values read from cache to the current connection */
856 static void
857 ehlo_cache_limits_apply(smtp_context * sx)
858 {
859 # ifndef DISABLE_PIPE_CONNECT
860 ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
861   sx->ehlo_resp.limit_rcptdom);
862 # endif
863 }
864 #endif  /*EXPERIMENTAL_ESMTP_LIMITS*/
865
866 /******************************************************************************/
867
868 #ifndef DISABLE_PIPE_CONNECT
869 static uschar *
870 ehlo_cache_key(const smtp_context * sx)
871 {
872 host_item * host = sx->conn_args.host;
873 return Ustrchr(host->address, ':')
874   ? string_sprintf("[%s]:%d.EHLO", host->address,
875     host->port == PORT_NONE ? sx->port : host->port)
876   : string_sprintf("%s:%d.EHLO", host->address,
877     host->port == PORT_NONE ? sx->port : host->port);
878 }
879
880 /* Cache EHLO-response info for use by early-pipe.
881 Called
882 - During a normal flow on EHLO response (either cleartext or under TLS),
883   when we are willing to do PIPECONNECT and it is offered
884 - During an early-pipe flow on receiving the actual EHLO response and noting
885   disparity versus the cached info used, when PIPECONNECT is still being offered
886
887 We assume that suitable values have been set in the sx.ehlo_resp structure for
888 features and auths; we handle the copy of limits. */
889
890 static void
891 write_ehlo_cache_entry(smtp_context * sx)
892 {
893 open_db dbblock, * dbm_file;
894
895 # ifdef EXPERIMENTAL_ESMTP_LIMITS
896 sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
897 sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
898 sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
899 # endif
900
901 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
902   {
903   uschar * ehlo_resp_key = ehlo_cache_key(sx);
904   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
905
906   HDEBUG(D_transport)
907 # ifdef EXPERIMENTAL_ESMTP_LIMITS
908     if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
909       debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
910         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
911         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths,
912         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
913         sx->ehlo_resp.limit_rcptdom);
914     else
915 # endif
916       debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
917         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
918         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
919
920   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
921   dbfn_close(dbm_file);
922   }
923 }
924
925 static void
926 invalidate_ehlo_cache_entry(smtp_context * sx)
927 {
928 open_db dbblock, * dbm_file;
929
930 if (  sx->early_pipe_active
931    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
932   {
933   uschar * ehlo_resp_key = ehlo_cache_key(sx);
934   dbfn_delete(dbm_file, ehlo_resp_key);
935   dbfn_close(dbm_file);
936   }
937 }
938
939 static BOOL
940 read_ehlo_cache_entry(smtp_context * sx)
941 {
942 open_db dbblock;
943 open_db * dbm_file;
944
945 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
946   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
947 else
948   {
949   uschar * ehlo_resp_key = ehlo_cache_key(sx);
950   dbdata_ehlo_resp * er;
951
952   if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
953     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
954   else if (time(NULL) - er->time_stamp > retry_data_expire)
955     {
956     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
957     dbfn_close(dbm_file);
958     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
959       dbfn_delete(dbm_file, ehlo_resp_key);
960     }
961   else
962     {
963     DEBUG(D_transport)
964 # ifdef EXPERIMENTAL_ESMTP_LIMITS
965       if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
966         debug_printf("EHLO response bits from cache:"
967           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
968           er->data.cleartext_features, er->data.cleartext_auths,
969           er->data.crypted_features, er->data.crypted_auths,
970           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
971       else
972 # endif
973         debug_printf("EHLO response bits from cache:"
974           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
975           er->data.cleartext_features, er->data.cleartext_auths,
976           er->data.crypted_features, er->data.crypted_auths);
977
978     sx->ehlo_resp = er->data;
979 # ifdef EXPERIMENTAL_ESMTP_LIMITS
980     ehlo_cache_limits_apply(sx);
981 # endif
982     dbfn_close(dbm_file);
983     return TRUE;
984     }
985   dbfn_close(dbm_file);
986   }
987 return FALSE;
988 }
989
990
991
992 /* Return an auths bitmap for the set of AUTH methods offered by the server
993 which match our client-side authenticators. */
994
995 static unsigned short
996 study_ehlo_auths(smtp_context * sx)
997 {
998 uschar * names;
999 auth_instance * au;
1000 uschar authnum;
1001 unsigned short authbits = 0;
1002
1003 if (!sx->esmtp) return 0;
1004 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1005 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
1006 expand_nmax = -1;                                               /* reset */
1007 names = string_copyn(expand_nstring[1], expand_nlength[1]);
1008
1009 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
1010   {
1011   const uschar * list = names;
1012   uschar * s;
1013   for (int sep = ' '; s = string_nextinlist(&list, &sep, NULL, 0); )
1014     if (strcmpic(au->public_name, s) == 0)
1015       { authbits |= BIT(authnum); break; }
1016   }
1017
1018 DEBUG(D_transport)
1019   debug_printf("server offers %s AUTH, methods '%s', usable-bitmap 0x%04x\n",
1020     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
1021
1022 if (tls_out.active.sock >= 0)
1023   sx->ehlo_resp.crypted_auths = authbits;
1024 else
1025   sx->ehlo_resp.cleartext_auths = authbits;
1026 return authbits;
1027 }
1028
1029
1030
1031
1032 /* Wait for and check responses for early-pipelining.
1033
1034 Called from the lower-level smtp_read_response() function
1035 used for general code that assume synchronisation, if context
1036 flags indicate outstanding early-pipelining commands.  Also
1037 called fom sync_responses() which handles pipelined commands.
1038
1039 Arguments:
1040  sx     smtp connection context
1041  countp number of outstanding responses, adjusted on return
1042
1043 Return:
1044  OK     all well
1045  DEFER  error on first read of TLS'd conn
1046  FAIL   SMTP error in response
1047 */
1048 int
1049 smtp_reap_early_pipe(smtp_context * sx, int * countp)
1050 {
1051 BOOL pending_BANNER = sx->pending_BANNER;
1052 BOOL pending_EHLO = sx->pending_EHLO;
1053 int rc = FAIL;
1054
1055 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
1056 sx->pending_EHLO = FALSE;
1057
1058 if (pending_BANNER)
1059   {
1060   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
1061   (*countp)--;
1062   if (!smtp_reap_banner(sx))
1063     {
1064     DEBUG(D_transport) debug_printf("bad banner\n");
1065     if (tls_out.active.sock >= 0) rc = DEFER;
1066     goto fail;
1067     }
1068   /*XXX EXPERIMENTAL_ESMTP_LIMITS ? */
1069   ehlo_response_lbserver(sx, sx->conn_args.ob);
1070   }
1071
1072 if (pending_EHLO)
1073   {
1074   unsigned peer_offered;
1075   unsigned short authbits = 0, * ap;
1076
1077   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
1078   (*countp)--;
1079   if (!smtp_reap_ehlo(sx))
1080     {
1081     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
1082     if (tls_out.active.sock >= 0) rc = DEFER;
1083     goto fail;
1084     }
1085
1086   /* Compare the actual EHLO response extensions and AUTH methods to the cached
1087   value we assumed; on difference, dump or rewrite the cache and arrange for a
1088   retry. */
1089
1090   ap = tls_out.active.sock < 0
1091       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1092
1093   peer_offered = ehlo_response(sx->buffer,
1094           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1095         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1096         | OPTION_UTF8 | OPTION_EARLY_PIPE
1097         );
1098 # ifdef EXPERIMENTAL_ESMTP_LIMITS
1099   if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1100     ehlo_response_limits_read(sx);
1101 # endif
1102   if (  peer_offered != sx->peer_offered
1103      || (authbits = study_ehlo_auths(sx)) != *ap)
1104     {
1105     HDEBUG(D_transport)
1106       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1107                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1108                     sx->peer_offered, *ap, peer_offered, authbits);
1109     if (peer_offered & OPTION_EARLY_PIPE)
1110       {
1111       *(tls_out.active.sock < 0
1112         ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) =
1113           peer_offered;
1114       *ap = authbits;
1115       write_ehlo_cache_entry(sx);
1116       }
1117     else
1118       invalidate_ehlo_cache_entry(sx);
1119
1120     return OK;          /* just carry on */
1121     }
1122 # ifdef EXPERIMENTAL_ESMTP_LIMITS
1123     /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
1124     cached values and invalidate cache if different.  OK to carry on with
1125     connect since values are advisory. */
1126     {
1127     if (  (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1128        && (  sx->peer_limit_mail != sx->ehlo_resp.limit_mail
1129           || sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt
1130           || sx->peer_limit_rcptdom != sx->ehlo_resp.limit_rcptdom
1131        )  )
1132       {
1133       HDEBUG(D_transport)
1134         {
1135         debug_printf("EHLO LIMITS changed:");
1136         if (sx->peer_limit_mail != sx->ehlo_resp.limit_mail)
1137           debug_printf(" MAILMAX %u -> %u\n", sx->ehlo_resp.limit_mail, sx->peer_limit_mail);
1138         else if (sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt)
1139           debug_printf(" RCPTMAX %u -> %u\n", sx->ehlo_resp.limit_rcpt, sx->peer_limit_rcpt);
1140         else
1141           debug_printf(" RCPTDOMAINMAX %u -> %u\n", sx->ehlo_resp.limit_rcptdom, sx->peer_limit_rcptdom);
1142         }
1143       invalidate_ehlo_cache_entry(sx);
1144       }
1145     }
1146 # endif
1147   }
1148 return OK;
1149
1150 fail:
1151   invalidate_ehlo_cache_entry(sx);
1152   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1153   return rc;
1154 }
1155 #endif  /*!DISABLE_PIPE_CONNECT*/
1156
1157
1158 /*************************************************
1159 *           Synchronize SMTP responses           *
1160 *************************************************/
1161
1162 /* This function is called from smtp_deliver() to receive SMTP responses from
1163 the server, and match them up with the commands to which they relate. When
1164 PIPELINING is not in use, this function is called after every command, and is
1165 therefore somewhat over-engineered, but it is simpler to use a single scheme
1166 that works both with and without PIPELINING instead of having two separate sets
1167 of code.
1168
1169 The set of commands that are buffered up with pipelining may start with MAIL
1170 and may end with DATA; in between are RCPT commands that correspond to the
1171 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1172 etc.) are never buffered.
1173
1174 Errors after MAIL or DATA abort the whole process leaving the response in the
1175 buffer. After MAIL, pending responses are flushed, and the original command is
1176 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1177 permitted to reject some recipient addresses while accepting others. However
1178 certain errors clearly abort the whole process. Set the value in
1179 transport_return to PENDING_OK if the address is accepted. If there is a
1180 subsequent general error, it will get reset accordingly. If not, it will get
1181 converted to OK at the end.
1182
1183 Arguments:
1184   sx                smtp connection context
1185   count             the number of responses to read
1186   pending_DATA      0 if last command sent was not DATA
1187                    +1 if previously had a good recipient
1188                    -1 if not previously had a good recipient
1189
1190 Returns:      3 if at least one address had 2xx and one had 5xx
1191               2 if at least one address had 5xx but none had 2xx
1192               1 if at least one host had a 2xx response, but none had 5xx
1193               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1194              -1 timeout while reading RCPT response
1195              -2 I/O or other non-response error for RCPT
1196              -3 DATA or MAIL failed - errno and buffer set
1197              -4 banner or EHLO failed (early-pipelining)
1198              -5 banner or EHLO failed (early-pipelining, TLS)
1199 */
1200
1201 static int
1202 sync_responses(smtp_context * sx, int count, int pending_DATA)
1203 {
1204 address_item * addr = sx->sync_addr;
1205 smtp_transport_options_block * ob = sx->conn_args.ob;
1206 int yield = 0;
1207
1208 #ifndef DISABLE_PIPE_CONNECT
1209 int rc;
1210 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1211   return rc == FAIL ? -4 : -5;
1212 #endif
1213
1214 /* Handle the response for a MAIL command. On error, reinstate the original
1215 command in big_buffer for error message use, and flush any further pending
1216 responses before returning, except after I/O errors and timeouts. */
1217
1218 if (sx->pending_MAIL)
1219   {
1220   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1221   count--;
1222   sx->pending_MAIL = sx->RCPT_452 = FALSE;
1223   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1224                           '2', ob->command_timeout))
1225     {
1226     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1227     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1228     if (errno == ERRNO_TLSFAILURE)
1229       return -5;
1230     if (errno == 0 && sx->buffer[0] != 0)
1231       {
1232       int save_errno = 0;
1233       if (sx->buffer[0] == '4')
1234         {
1235         save_errno = ERRNO_MAIL4XX;
1236         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1237         }
1238       count = smtp_discard_responses(sx, ob, count);
1239       errno = save_errno;
1240       }
1241
1242     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1243     while (count-- > 0)         /* Mark any pending addrs with the host used */
1244       {
1245       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1246       addr->host_used = sx->conn_args.host;
1247       addr = addr->next;
1248       }
1249     return -3;
1250     }
1251   }
1252
1253 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1254
1255 /* Read and handle the required number of RCPT responses, matching each one up
1256 with an address by scanning for the next address whose status is PENDING_DEFER.
1257 */
1258
1259 while (count-- > 0)
1260   {
1261   while (addr->transport_return != PENDING_DEFER)
1262     if (!(addr = addr->next))
1263       return -2;
1264
1265   /* The address was accepted */
1266   addr->host_used = sx->conn_args.host;
1267
1268   DEBUG(D_transport) debug_printf("%s expect rcpt for %s\n", __FUNCTION__, addr->address);
1269   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1270                           '2', ob->command_timeout))
1271     {
1272     yield |= 1;
1273     addr->transport_return = PENDING_OK;
1274
1275     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1276     ensure that any address-specific retry record is expunged. We do this both
1277     for the basic key and for the version that also includes the sender. */
1278
1279     if (testflag(addr, af_dr_retry_exists))
1280       {
1281       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1282         sender_address);
1283       retry_add_item(addr, altkey, rf_delete);
1284       retry_add_item(addr, addr->address_retry_key, rf_delete);
1285       }
1286     }
1287
1288   /* Error on first TLS read */
1289
1290   else if (errno == ERRNO_TLSFAILURE)
1291     return -5;
1292
1293   /* Timeout while reading the response */
1294
1295   else if (errno == ETIMEDOUT)
1296     {
1297     uschar *message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1298                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1299     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
1300     retry_add_item(addr, addr->address_retry_key, 0);
1301     update_waiting = FALSE;
1302     return -1;
1303     }
1304
1305   /* Handle other errors in obtaining an SMTP response by returning -1. This
1306   will cause all the addresses to be deferred. Restore the SMTP command in
1307   big_buffer for which we are checking the response, so the error message
1308   makes sense. */
1309
1310   else if (errno != 0 || sx->buffer[0] == 0)
1311     {
1312     gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer }, * g = &gs;
1313
1314     /* Use taint-unchecked routines for writing into big_buffer, trusting
1315     that we'll never expand it. */
1316
1317     g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
1318       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1319     string_from_gstring(g);
1320     return -2;
1321     }
1322
1323   /* Handle SMTP permanent and temporary response codes. */
1324
1325   else
1326     {
1327     addr->message =
1328       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1329         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1330         string_printing(sx->buffer));
1331     setflag(addr, af_pass_message);
1332     if (!sx->verify)
1333       msglog_line(sx->conn_args.host, addr->message);
1334
1335     /* The response was 5xx */
1336
1337     if (sx->buffer[0] == '5')
1338       {
1339       addr->transport_return = FAIL;
1340       yield |= 2;
1341       }
1342
1343     /* The response was 4xx */
1344
1345     else
1346       {
1347       addr->transport_return = DEFER;
1348       addr->basic_errno = ERRNO_RCPT4XX;
1349       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1350
1351       if (!sx->verify)
1352         {
1353 #ifndef DISABLE_EVENT
1354         event_defer_errno = addr->more_errno;
1355         msg_event_raise(US"msg:rcpt:host:defer", addr);
1356 #endif
1357         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
1358         start point for another MAIL command. */
1359
1360         if (addr->more_errno >> 8 == 52  &&  yield & 3)
1361           {
1362           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
1363             {
1364             DEBUG(D_transport)
1365               debug_printf("%s: seen first 452 too-many-rcpts\n", __FUNCTION__);
1366             sx->RCPT_452 = TRUE;
1367             sx->next_addr = addr;
1368             }
1369           addr->transport_return = PENDING_DEFER;
1370           addr->basic_errno = 0;
1371           }
1372         else
1373           {
1374           /* Log temporary errors if there are more hosts to be tried.
1375           If not, log this last one in the == line. */
1376
1377           if (sx->conn_args.host->next)
1378             if (LOGGING(outgoing_port))
1379               log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1380                 sx->conn_args.host->address,
1381                 sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1382             else
1383               log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1384                 sx->conn_args.host->address, addr->message);
1385
1386 #ifndef DISABLE_EVENT
1387           else
1388             msg_event_raise(US"msg:rcpt:defer", addr);
1389 #endif
1390
1391           /* Do not put this message on the list of those waiting for specific
1392           hosts, as otherwise it is likely to be tried too often. */
1393
1394           update_waiting = FALSE;
1395
1396           /* Add a retry item for the address so that it doesn't get tried again
1397           too soon. If address_retry_include_sender is true, add the sender address
1398           to the retry key. */
1399
1400           retry_add_item(addr,
1401             ob->address_retry_include_sender
1402               ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1403               : addr->address_retry_key,
1404             0);
1405           }
1406         }
1407       }
1408     }
1409   if (count && !(addr = addr->next))
1410     return -2;
1411   }       /* Loop for next RCPT response */
1412
1413 /* Update where to start at for the next block of responses, unless we
1414 have already handled all the addresses. */
1415
1416 if (addr) sx->sync_addr = addr->next;
1417
1418 /* Handle a response to DATA. If we have not had any good recipients, either
1419 previously or in this block, the response is ignored. */
1420
1421 if (pending_DATA != 0)
1422   {
1423   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1424   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1425                         '3', ob->command_timeout))
1426     {
1427     int code;
1428     uschar *msg;
1429     BOOL pass_message;
1430
1431     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1432       return -5;
1433
1434     if (pending_DATA > 0 || (yield & 1) != 0)
1435       {
1436       if (errno == 0 && sx->buffer[0] == '4')
1437         {
1438         errno = ERRNO_DATA4XX;
1439         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1440         }
1441       return -3;
1442       }
1443     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1444     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1445       "is in use and there were no good recipients\n", msg);
1446     }
1447   }
1448
1449 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1450 present) received 3xx. If any RCPTs were handled and yielded anything other
1451 than 4xx, yield will be set non-zero. */
1452
1453 return yield;
1454 }
1455
1456
1457
1458
1459
1460 /* Try an authenticator's client entry */
1461
1462 static int
1463 try_authenticator(smtp_context * sx, auth_instance * au)
1464 {
1465 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1466 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1467 int rc;
1468
1469 /* Set up globals for error messages */
1470
1471 authenticator_name = au->name;
1472 driver_srcfile = au->srcfile;
1473 driver_srcline = au->srcline;
1474
1475 sx->outblock.authenticating = TRUE;
1476 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1477                             sx->buffer, sizeof(sx->buffer));
1478 sx->outblock.authenticating = FALSE;
1479 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
1480 DEBUG(D_transport) debug_printf("%s authenticator yielded %s\n", au->name, rc_names[rc]);
1481
1482 /* A temporary authentication failure must hold up delivery to
1483 this host. After a permanent authentication failure, we carry on
1484 to try other authentication methods. If all fail hard, try to
1485 deliver the message unauthenticated unless require_auth was set. */
1486
1487 switch(rc)
1488   {
1489   case OK:
1490     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1491     client_authenticator = au->name;
1492     if (au->set_client_id)
1493       client_authenticated_id = expand_string(au->set_client_id);
1494     break;
1495
1496   /* Failure after writing a command */
1497
1498   case FAIL_SEND:
1499     return FAIL_SEND;
1500
1501   /* Failure after reading a response */
1502
1503   case FAIL:
1504     {
1505     uschar * logmsg = NULL;
1506
1507     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1508 #ifndef DISABLE_EVENT
1509      {
1510       uschar * save_name = sender_host_authenticated;
1511       sender_host_authenticated = au->name;
1512       if ((logmsg = event_raise(sx->conn_args.tblock->event_action, US"auth:fail",
1513                                 sx->buffer, NULL)))
1514         log_write(0, LOG_MAIN, "%s", logmsg);
1515       sender_host_authenticated = save_name;
1516      }
1517 #endif
1518     if (!logmsg)
1519       log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1520         au->name, host->name, host->address, sx->buffer);
1521     break;
1522     }
1523
1524   /* Failure by some other means. In effect, the authenticator
1525   decided it wasn't prepared to handle this case. Typically this
1526   is the result of "fail" in an expansion string. Do we need to
1527   log anything here? Feb 2006: a message is now put in the buffer
1528   if logging is required. */
1529
1530   case CANCELLED:
1531     if (*sx->buffer != 0)
1532       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1533         "authentication H=%s [%s] %s", au->name, host->name,
1534         host->address, sx->buffer);
1535     break;
1536
1537   /* Internal problem, message in buffer. */
1538
1539   case ERROR:
1540     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1541               DEFER, FALSE, &sx->delivery_start);
1542     return ERROR;
1543   }
1544 return OK;
1545 }
1546
1547
1548
1549
1550 /* Do the client side of smtp-level authentication.
1551
1552 Arguments:
1553   sx            smtp connection context
1554
1555 sx->buffer should have the EHLO response from server (gets overwritten)
1556
1557 Returns:
1558   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1559   DEFER                 Failed authentication (and was required)
1560   ERROR                 Internal problem
1561
1562   FAIL_SEND             Failed communications - transmit
1563   FAIL                  - response
1564 */
1565
1566 static int
1567 smtp_auth(smtp_context * sx)
1568 {
1569 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1570 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1571 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1572 #ifndef DISABLE_PIPE_CONNECT
1573 unsigned short authbits = tls_out.active.sock >= 0
1574       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1575 #endif
1576 uschar * fail_reason = US"server did not advertise AUTH support";
1577
1578 f.smtp_authenticated = FALSE;
1579 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1580
1581 if (!regex_AUTH)
1582   regex_AUTH = regex_must_compile(AUTHS_REGEX, MCS_NOFLAGS, TRUE);
1583
1584 /* Is the server offering AUTH? */
1585
1586 if (  sx->esmtp
1587    &&
1588 #ifndef DISABLE_PIPE_CONNECT
1589       sx->early_pipe_active ? authbits
1590       :
1591 #endif
1592         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1593    )
1594   {
1595   uschar * names = NULL;
1596   expand_nmax = -1;                          /* reset */
1597
1598 #ifndef DISABLE_PIPE_CONNECT
1599   if (!sx->early_pipe_active)
1600 #endif
1601     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1602
1603   /* Must not do this check until after we have saved the result of the
1604   regex match above as the check could be another RE. */
1605
1606   if (  require_auth == OK
1607      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1608     {
1609     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1610     fail_reason = US"no common mechanisms were found";
1611
1612 #ifndef DISABLE_PIPE_CONNECT
1613     if (sx->early_pipe_active)
1614       {
1615       /* Scan our authenticators (which support use by a client and were offered
1616       by the server (checked at cache-write time)), not suppressed by
1617       client_condition.  If one is found, attempt to authenticate by calling its
1618       client function.  We are limited to supporting up to 16 authenticator
1619       public-names by the number of bits in a short. */
1620
1621       auth_instance * au;
1622       uschar bitnum;
1623       int rc;
1624
1625       for (bitnum = 0, au = auths;
1626            !f.smtp_authenticated && au && bitnum < 16;
1627            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1628         {
1629         if (  au->client_condition
1630            && !expand_check_condition(au->client_condition, au->name,
1631                    US"client authenticator"))
1632           {
1633           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1634             au->name, "client_condition is false");
1635           continue;
1636           }
1637
1638         /* Found data for a listed mechanism. Call its client entry. Set
1639         a flag in the outblock so that data is overwritten after sending so
1640         that reflections don't show it. */
1641
1642         fail_reason = US"authentication attempt(s) failed";
1643
1644         if ((rc = try_authenticator(sx, au)) != OK)
1645           return rc;
1646         }
1647       }
1648     else
1649 #endif
1650
1651     /* Scan the configured authenticators looking for one which is configured
1652     for use as a client, which is not suppressed by client_condition, and
1653     whose name matches an authentication mechanism supported by the server.
1654     If one is found, attempt to authenticate by calling its client function.
1655     */
1656
1657     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1658       {
1659       uschar *p = names;
1660
1661       if (  !au->client
1662          || (   au->client_condition
1663             &&  !expand_check_condition(au->client_condition, au->name,
1664                    US"client authenticator")))
1665         {
1666         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1667           au->name,
1668           (au->client)? "client_condition is false" :
1669                         "not configured as a client");
1670         continue;
1671         }
1672
1673       /* Loop to scan supported server mechanisms */
1674
1675       while (*p)
1676         {
1677         int len = Ustrlen(au->public_name);
1678         int rc;
1679
1680         while (isspace(*p)) p++;
1681
1682         if (strncmpic(au->public_name, p, len) != 0 ||
1683             (p[len] != 0 && !isspace(p[len])))
1684           {
1685           while (*p != 0 && !isspace(*p)) p++;
1686           continue;
1687           }
1688
1689         /* Found data for a listed mechanism. Call its client entry. Set
1690         a flag in the outblock so that data is overwritten after sending so
1691         that reflections don't show it. */
1692
1693         fail_reason = US"authentication attempt(s) failed";
1694
1695         if ((rc = try_authenticator(sx, au)) != OK)
1696           return rc;
1697
1698         break;  /* If not authenticated, try next authenticator */
1699         }       /* Loop for scanning supported server mechanisms */
1700       }         /* Loop for further authenticators */
1701     }
1702   }
1703
1704 /* If we haven't authenticated, but are required to, give up. */
1705
1706 if (require_auth == OK && !f.smtp_authenticated)
1707   {
1708 #ifndef DISABLE_PIPE_CONNECT
1709   invalidate_ehlo_cache_entry(sx);
1710 #endif
1711   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1712     string_sprintf("authentication required but %s", fail_reason), DEFER,
1713     FALSE, &sx->delivery_start);
1714   return DEFER;
1715   }
1716
1717 return OK;
1718 }
1719
1720
1721 /* Construct AUTH appendix string for MAIL TO */
1722 /*
1723 Arguments
1724   sx            context for smtp connection
1725   p             point in sx->buffer to build string
1726   addrlist      chain of potential addresses to deliver
1727
1728 Globals         f.smtp_authenticated
1729                 client_authenticated_sender
1730 Return  True on error, otherwise buffer has (possibly empty) terminated string
1731 */
1732
1733 static BOOL
1734 smtp_mail_auth_str(smtp_context * sx, uschar * p, address_item * addrlist)
1735 {
1736 smtp_transport_options_block * ob = sx->conn_args.ob;
1737 uschar * local_authenticated_sender = authenticated_sender;
1738
1739 #ifdef notdef
1740   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n",
1741     authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1742 #endif
1743
1744 if (ob->authenticated_sender)
1745   {
1746   uschar * new = expand_string(ob->authenticated_sender);
1747   if (!new)
1748     {
1749     if (!f.expand_string_forcedfail)
1750       {
1751       uschar *message = string_sprintf("failed to expand "
1752         "authenticated_sender: %s", expand_string_message);
1753       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
1754       return TRUE;
1755       }
1756     }
1757   else if (*new)
1758     local_authenticated_sender = new;
1759   }
1760
1761 /* Add the authenticated sender address if present */
1762
1763 if (  (f.smtp_authenticated || ob->authenticated_sender_force)
1764    && local_authenticated_sender)
1765   {
1766   string_format_nt(p, sizeof(sx->buffer) - (p-sx->buffer), " AUTH=%s",
1767     auth_xtextencode(local_authenticated_sender,
1768       Ustrlen(local_authenticated_sender)));
1769   client_authenticated_sender = string_copy(local_authenticated_sender);
1770   }
1771 else
1772   *p = 0;
1773
1774 return FALSE;
1775 }
1776
1777
1778
1779 typedef struct smtp_compare_s
1780 {
1781     uschar *                    current_sender_address;
1782     struct transport_instance * tblock;
1783 } smtp_compare_t;
1784
1785
1786 /* Create a unique string that identifies this message, it is based on
1787 sender_address, helo_data and tls_certificate if enabled.
1788 */
1789
1790 static uschar *
1791 smtp_local_identity(uschar * sender, struct transport_instance * tblock)
1792 {
1793 address_item * addr1;
1794 uschar * if1 = US"";
1795 uschar * helo1 = US"";
1796 #ifndef DISABLE_TLS
1797 uschar * tlsc1 = US"";
1798 #endif
1799 uschar * save_sender_address = sender_address;
1800 uschar * local_identity = NULL;
1801 smtp_transport_options_block * ob = SOB tblock->options_block;
1802
1803 sender_address = sender;
1804
1805 addr1 = deliver_make_addr (sender, TRUE);
1806 deliver_set_expansions(addr1);
1807
1808 if (ob->interface)
1809   if1 = expand_string(ob->interface);
1810
1811 if (ob->helo_data)
1812   helo1 = expand_string(ob->helo_data);
1813
1814 #ifndef DISABLE_TLS
1815 if (ob->tls_certificate)
1816   tlsc1 = expand_string(ob->tls_certificate);
1817 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1818 #else
1819 local_identity = string_sprintf ("%s^%s", if1, helo1);
1820 #endif
1821
1822 deliver_set_expansions(NULL);
1823 sender_address = save_sender_address;
1824
1825 return local_identity;
1826 }
1827
1828
1829
1830 /* This routine is a callback that is called from transport_check_waiting.
1831 This function will evaluate the incoming message versus the previous
1832 message.  If the incoming message is using a different local identity then
1833 we will veto this new message.  */
1834
1835 static BOOL
1836 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1837 {
1838 uschar * message_local_identity,
1839        * current_local_identity,
1840        * new_sender_address;
1841
1842 current_local_identity =
1843   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1844
1845 if (!(new_sender_address = spool_sender_from_msgid(message_id)))
1846   return FALSE;
1847
1848
1849 message_local_identity =
1850   smtp_local_identity(new_sender_address, s_compare->tblock);
1851
1852 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1853 }
1854
1855
1856
1857 static unsigned
1858 ehlo_response(uschar * buf, unsigned checks)
1859 {
1860 PCRE2_SIZE bsize = Ustrlen(buf);
1861 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
1862
1863 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1864
1865 #ifndef DISABLE_TLS
1866 if (  checks & OPTION_TLS
1867    && pcre2_match(regex_STARTTLS,
1868                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1869 #endif
1870   checks &= ~OPTION_TLS;
1871
1872 if (  checks & OPTION_IGNQ
1873    && pcre2_match(regex_IGNOREQUOTA,
1874                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1875   checks &= ~OPTION_IGNQ;
1876
1877 if (  checks & OPTION_CHUNKING
1878    && pcre2_match(regex_CHUNKING,
1879                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1880   checks &= ~OPTION_CHUNKING;
1881
1882 #ifndef DISABLE_PRDR
1883 if (  checks & OPTION_PRDR
1884    && pcre2_match(regex_PRDR,
1885                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1886 #endif
1887   checks &= ~OPTION_PRDR;
1888
1889 #ifdef SUPPORT_I18N
1890 if (  checks & OPTION_UTF8
1891    && pcre2_match(regex_UTF8,
1892                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1893 #endif
1894   checks &= ~OPTION_UTF8;
1895
1896 if (  checks & OPTION_DSN
1897    && pcre2_match(regex_DSN,
1898                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1899   checks &= ~OPTION_DSN;
1900
1901 if (  checks & OPTION_PIPE
1902    && pcre2_match(regex_PIPELINING,
1903                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1904   checks &= ~OPTION_PIPE;
1905
1906 if (  checks & OPTION_SIZE
1907    && pcre2_match(regex_SIZE,
1908                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1909   checks &= ~OPTION_SIZE;
1910
1911 #ifndef DISABLE_PIPE_CONNECT
1912 if (  checks & OPTION_EARLY_PIPE
1913    && pcre2_match(regex_EARLY_PIPE,
1914                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_gen_mtc_ctx) < 0)
1915 #endif
1916   checks &= ~OPTION_EARLY_PIPE;
1917
1918 /* pcre2_match_data_free(md);   gen ctx needs no free */
1919 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1920 return checks;
1921 }
1922
1923
1924
1925 /* Callback for emitting a BDAT data chunk header.
1926
1927 If given a nonzero size, first flush any buffered SMTP commands
1928 then emit the command.
1929
1930 Reap previous SMTP command responses if requested, and always reap
1931 the response from a previous BDAT command.
1932
1933 Args:
1934  tctx           transport context
1935  chunk_size     value for SMTP BDAT command
1936  flags
1937    tc_chunk_last        add LAST option to SMTP BDAT command
1938    tc_reap_prev         reap response to previous SMTP commands
1939
1940 Returns:
1941   OK or ERROR
1942   DEFER                 TLS error on first read (EHLO-resp); errno set
1943 */
1944
1945 static int
1946 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1947   unsigned flags)
1948 {
1949 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1950 smtp_context * sx = tctx->smtp_context;
1951 int cmd_count = 0;
1952 int prev_cmd_count;
1953
1954 /* Write SMTP chunk header command.  If not reaping responses, note that
1955 there may be more writes (like, the chunk data) done soon. */
1956
1957 if (chunk_size > 0)
1958   {
1959 #ifndef DISABLE_PIPE_CONNECT
1960   BOOL new_conn = !!(sx->outblock.conn_args);
1961 #endif
1962   if((cmd_count = smtp_write_command(sx,
1963               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1964               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1965      ) < 0) return ERROR;
1966   if (flags & tc_chunk_last)
1967     data_command = string_copy(big_buffer);  /* Save for later error message */
1968 #ifndef DISABLE_PIPE_CONNECT
1969   /* That command write could have been the one that made the connection.
1970   Copy the fd from the client conn ctx (smtp transport specific) to the
1971   generic transport ctx. */
1972
1973   if (new_conn)
1974     tctx->u.fd = sx->outblock.cctx->sock;
1975 #endif
1976   }
1977
1978 prev_cmd_count = cmd_count += sx->cmd_count;
1979
1980 /* Reap responses for any previous, but not one we just emitted */
1981
1982 if (chunk_size > 0)
1983   prev_cmd_count--;
1984 if (sx->pending_BDAT)
1985   prev_cmd_count--;
1986
1987 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
1988   {
1989   DEBUG(D_transport) debug_printf("look for %d responses"
1990     " for previous pipelined cmds\n", prev_cmd_count);
1991
1992   switch(sync_responses(sx, prev_cmd_count, 0))
1993     {
1994     case 1:                             /* 2xx (only) => OK */
1995     case 3: sx->good_RCPT = TRUE;       /* 2xx & 5xx => OK & progress made */
1996     case 2: sx->completed_addr = TRUE;  /* 5xx (only) => progress made */
1997     case 0: break;                      /* No 2xx or 5xx, but no probs */
1998
1999     case -5: errno = ERRNO_TLSFAILURE;
2000              return DEFER;
2001 #ifndef DISABLE_PIPE_CONNECT
2002     case -4:                            /* non-2xx for pipelined banner or EHLO */
2003 #endif
2004     case -1:                            /* Timeout on RCPT */
2005     default: return ERROR;              /* I/O error, or any MAIL/DATA error */
2006     }
2007   cmd_count = 1;
2008   if (!sx->pending_BDAT)
2009     pipelining_active = FALSE;
2010   }
2011
2012 /* Reap response for an outstanding BDAT */
2013
2014 if (sx->pending_BDAT)
2015   {
2016   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
2017
2018   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
2019        ob->command_timeout))
2020     {
2021     if (errno == 0 && sx->buffer[0] == '4')
2022       {
2023       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
2024       sx->addrlist->more_errno |=
2025         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
2026       }
2027     return ERROR;
2028     }
2029   cmd_count--;
2030   sx->pending_BDAT = FALSE;
2031   pipelining_active = FALSE;
2032   }
2033 else if (chunk_size > 0)
2034   sx->pending_BDAT = TRUE;
2035
2036
2037 sx->cmd_count = cmd_count;
2038 return OK;
2039 }
2040
2041
2042
2043 #ifdef SUPPORT_DANE
2044 static int
2045 check_force_dane_conn(smtp_context * sx, smtp_transport_options_block * ob)
2046 {
2047 int rc;
2048 if(  sx->dane_required
2049   || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2050   )
2051   switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2052     {
2053     case OK:            sx->conn_args.dane = TRUE;
2054                         ob->tls_tempfail_tryclear = FALSE;      /* force TLS */
2055                         ob->tls_sni = sx->conn_args.host->name; /* force SNI */
2056                         break;
2057     case FAIL_FORCED:   break;
2058     default:            set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2059                             string_sprintf("DANE error: tlsa lookup %s",
2060                               rc_to_string(rc)),
2061                             rc, FALSE, &sx->delivery_start);
2062 # ifndef DISABLE_EVENT
2063                         (void) event_raise(sx->conn_args.tblock->event_action,
2064                           US"dane:fail", sx->dane_required
2065                             ?  US"dane-required" : US"dnssec-invalid",
2066                           NULL);
2067 # endif
2068                         return rc;
2069     }
2070 return OK;
2071 }
2072 #endif
2073
2074
2075 /*************************************************
2076 *       Make connection for given message        *
2077 *************************************************/
2078
2079 /*
2080 Arguments:
2081   sx              connection context
2082   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
2083                     a second attempt after TLS initialization fails
2084
2085 Returns:          OK    - the connection was made and the delivery attempted;
2086                           fd is set in the conn context, tls_out set up.
2087                   DEFER - the connection could not be made, or something failed
2088                           while setting up the SMTP session, or there was a
2089                           non-message-specific error, such as a timeout.
2090                   ERROR - helo_data or add_headers or authenticated_sender is
2091                           specified for this transport, and the string failed
2092                           to expand
2093 */
2094 int
2095 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
2096 {
2097 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
2098 BOOL pass_message = FALSE;
2099 uschar * message = NULL;
2100 int yield = OK;
2101 #ifndef DISABLE_TLS
2102 uschar * tls_errstr;
2103 #endif
2104
2105 /* Many lines of clearing individual elements of *sx that used to
2106 be here have been replaced by a full memset to zero (de41aff051).
2107 There are two callers, this file and verify.c .  Now we only set
2108 up nonzero elements. */
2109
2110 sx->conn_args.ob = ob;
2111
2112 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
2113 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
2114 sx->send_rset = TRUE;
2115 sx->send_quit = TRUE;
2116 sx->setting_up = TRUE;
2117 sx->esmtp = TRUE;
2118 sx->dsn_all_lasthop = TRUE;
2119 #ifdef SUPPORT_DANE
2120 sx->dane_required =
2121   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
2122 #endif
2123
2124 if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0)
2125   sx->max_mail = UNLIMITED_ADDRS;
2126 sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2127 sx->igquotstr = US"";
2128 if (!sx->helo_data) sx->helo_data = ob->helo_data;
2129
2130 smtp_command = US"initial connection";
2131
2132 /* Set up the buffer for reading SMTP response packets. */
2133
2134 sx->inblock.buffer = sx->inbuffer;
2135 sx->inblock.buffersize = sizeof(sx->inbuffer);
2136 sx->inblock.ptr = sx->inbuffer;
2137 sx->inblock.ptrend = sx->inbuffer;
2138
2139 /* Set up the buffer for holding SMTP commands while pipelining */
2140
2141 sx->outblock.buffer = sx->outbuffer;
2142 sx->outblock.buffersize = sizeof(sx->outbuffer);
2143 sx->outblock.ptr = sx->outbuffer;
2144
2145 /* Reset the parameters of a TLS session. */
2146
2147 tls_out.bits = 0;
2148 tls_out.cipher = NULL;  /* the one we may use for this transport */
2149 tls_out.ourcert = NULL;
2150 tls_out.peercert = NULL;
2151 tls_out.peerdn = NULL;
2152 #ifdef USE_OPENSSL
2153 tls_out.sni = NULL;
2154 #endif
2155 tls_out.ocsp = OCSP_NOT_REQ;
2156 #ifndef DISABLE_TLS_RESUME
2157 tls_out.resumption = 0;
2158 #endif
2159 tls_out.ver = NULL;
2160
2161 /* Flip the legacy TLS-related variables over to the outbound set in case
2162 they're used in the context of the transport.  Don't bother resetting
2163 afterward (when being used by a transport) as we're in a subprocess.
2164 For verify, unflipped once the callout is dealt with */
2165
2166 tls_modify_variables(&tls_out);
2167
2168 #ifdef DISABLE_TLS
2169 if (sx->smtps)
2170   {
2171   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2172             DEFER, FALSE, &sx->delivery_start);
2173   return ERROR;
2174   }
2175 #else
2176
2177 /* If we have a proxied TLS connection, check usability for this message */
2178
2179 if (continue_hostname && continue_proxy_cipher)
2180   {
2181   int rc;
2182   const uschar * sni = US"";
2183
2184 # ifdef SUPPORT_DANE
2185   /* Check if the message will be DANE-verified; if so force TLS and its SNI */
2186
2187   tls_out.dane_verified = FALSE;
2188   smtp_port_for_connect(sx->conn_args.host, sx->port);
2189   if (  sx->conn_args.host->dnssec == DS_YES
2190      && (rc = check_force_dane_conn(sx, ob)) != OK
2191      )
2192     return rc;
2193 # endif
2194
2195   /* If the SNI or the DANE status required for the new message differs from the
2196   existing conn drop the connection to force a new one. */
2197
2198   if (ob->tls_sni && !(sni = expand_cstring(ob->tls_sni)))
2199     log_write(0, LOG_MAIN|LOG_PANIC,
2200       "<%s>: failed to expand transport's tls_sni value: %s",
2201       sx->addrlist->address, expand_string_message);
2202
2203 # ifdef SUPPORT_DANE
2204   if (  (continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni)
2205      && continue_proxy_dane == sx->conn_args.dane)
2206     {
2207     tls_out.sni = US sni;
2208     if ((tls_out.dane_verified = continue_proxy_dane))
2209       sx->conn_args.host->dnssec = DS_YES;
2210     }
2211 # else
2212   if ((continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni))
2213     tls_out.sni = US sni;
2214 # endif
2215   else
2216     {
2217     DEBUG(D_transport)
2218       debug_printf("Closing proxied-TLS connection due to SNI mismatch\n");
2219
2220     smtp_debug_cmd(US"QUIT", 0);
2221     write(0, "QUIT\r\n", 6);
2222     close(0);
2223     continue_hostname = continue_proxy_cipher = NULL;
2224     f.continue_more = FALSE;
2225     continue_sequence = 1;      /* Unfortunately, this process cannot affect success log
2226                                 which is done by delivery proc.  Would have to pass this
2227                                 back through reporting pipe. */
2228     }
2229   }
2230 #endif  /*!DISABLE_TLS*/
2231
2232 /* Make a connection to the host if this isn't a continued delivery, and handle
2233 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2234 specially so they can be identified for retries. */
2235
2236 if (!continue_hostname)
2237   {
2238   if (sx->verify)
2239     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2240
2241   /* Arrange to report to calling process this is a new connection */
2242
2243   clearflag(sx->first_addr, af_cont_conn);
2244   setflag(sx->first_addr, af_new_conn);
2245
2246   /* Get the actual port the connection will use, into sx->conn_args.host */
2247
2248   smtp_port_for_connect(sx->conn_args.host, sx->port);
2249
2250 #ifdef SUPPORT_DANE
2251     /* Do TLSA lookup for DANE */
2252     {
2253     tls_out.dane_verified = FALSE;
2254     tls_out.tlsa_usage = 0;
2255
2256     if (sx->conn_args.host->dnssec == DS_YES)
2257       {
2258       int rc;
2259       if ((rc = check_force_dane_conn(sx, ob)) != OK)
2260         return rc;
2261       }
2262     else if (sx->dane_required)
2263       {
2264       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2265         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2266         FAIL, FALSE, &sx->delivery_start);
2267 # ifndef DISABLE_EVENT
2268       (void) event_raise(sx->conn_args.tblock->event_action,
2269         US"dane:fail", US"dane-required", NULL);
2270 # endif
2271       return FAIL;
2272       }
2273     }
2274 #endif  /*DANE*/
2275
2276   /* Make the TCP connection */
2277
2278   sx->cctx.tls_ctx = NULL;
2279   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2280 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2281   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
2282 #endif
2283   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2284 #ifndef DISABLE_CLIENT_CMD_LOG
2285   client_cmd_log = NULL;
2286 #endif
2287
2288 #ifndef DISABLE_PIPE_CONNECT
2289   if (  verify_check_given_host(CUSS &ob->hosts_pipe_connect,
2290                                             sx->conn_args.host) == OK)
2291
2292     /* We don't find out the local ip address until the connect, so if
2293     the helo string might use it avoid doing early-pipelining. */
2294
2295     if (  !sx->helo_data
2296        || sx->conn_args.interface
2297        || !Ustrstr(sx->helo_data, "$sending_ip_address")
2298        || Ustrstr(sx->helo_data, "def:sending_ip_address")
2299        )
2300       {
2301       sx->early_pipe_ok = TRUE;
2302       if (  read_ehlo_cache_entry(sx)
2303          && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2304         {
2305         DEBUG(D_transport)
2306           debug_printf("Using cached cleartext PIPECONNECT\n");
2307         sx->early_pipe_active = TRUE;
2308         sx->peer_offered = sx->ehlo_resp.cleartext_features;
2309         }
2310       }
2311     else DEBUG(D_transport)
2312       debug_printf("helo needs $sending_ip_address; avoid early-pipelining\n");
2313
2314 PIPE_CONNECT_RETRY:
2315   if (sx->early_pipe_active)
2316     {
2317     sx->outblock.conn_args = &sx->conn_args;
2318     (void) smtp_boundsock(&sx->conn_args);
2319     }
2320   else
2321 #endif
2322     {
2323     blob lazy_conn = {.data = NULL};
2324     /* For TLS-connect, a TFO lazy-connect is useful since the Client Hello
2325     can go on the TCP SYN. */
2326
2327     if ((sx->cctx.sock = smtp_connect(&sx->conn_args,
2328                             sx->smtps ? &lazy_conn : NULL)) < 0)
2329       {
2330       set_errno_nohost(sx->addrlist,
2331         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2332         sx->verify ? US strerror(errno) : NULL,
2333         DEFER, FALSE, &sx->delivery_start);
2334       sx->send_quit = FALSE;
2335       return DEFER;
2336       }
2337 #ifdef TCP_QUICKACK
2338     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2339                         sizeof(off));
2340 #endif
2341     }
2342   /* Expand the greeting message while waiting for the initial response. (Makes
2343   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2344   delayed till here so that $sending_ip_address and $sending_port are set.
2345   Those will be known even for a TFO lazy-connect, having been set by the bind().
2346   For early-pipe, we are ok if binding to a local interface; otherwise (if
2347   $sending_ip_address is seen in helo_data) we disabled early-pipe above. */
2348
2349   if (sx->helo_data)
2350     if (!(sx->helo_data = expand_string(sx->helo_data)))
2351       if (sx->verify)
2352         log_write(0, LOG_MAIN|LOG_PANIC,
2353           "<%s>: failed to expand transport's helo_data value for callout: %s",
2354           sx->addrlist->address, expand_string_message);
2355
2356 #ifdef SUPPORT_I18N
2357   if (sx->helo_data)
2358     {
2359     expand_string_message = NULL;
2360     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2361                                               &expand_string_message)),
2362         expand_string_message)
2363       if (sx->verify)
2364         log_write(0, LOG_MAIN|LOG_PANIC,
2365           "<%s>: failed to expand transport's helo_data value for callout: %s",
2366           sx->addrlist->address, expand_string_message);
2367       else
2368         sx->helo_data = NULL;
2369     }
2370 #endif
2371
2372   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2373   is nevertheless a reasonably clean way of programming this kind of logic,
2374   where you want to escape on any error. */
2375
2376   if (!sx->smtps)
2377     {
2378 #ifndef DISABLE_PIPE_CONNECT
2379     if (sx->early_pipe_active)
2380       {
2381       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2382       sx->outblock.cmd_count = 1;
2383       }
2384     else
2385 #endif
2386       {
2387       if (!smtp_reap_banner(sx))
2388         goto RESPONSE_FAILED;
2389       }
2390
2391 #ifndef DISABLE_EVENT
2392       {
2393       uschar * s;
2394       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2395         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2396       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer, NULL);
2397       if (s)
2398         {
2399         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2400           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2401           DEFER, FALSE, &sx->delivery_start);
2402         yield = DEFER;
2403         goto SEND_QUIT;
2404         }
2405       }
2406 #endif
2407
2408     /* Now check if the helo_data expansion went well, and sign off cleanly if
2409     it didn't. */
2410
2411     if (!sx->helo_data)
2412       {
2413       message = string_sprintf("failed to expand helo_data: %s",
2414         expand_string_message);
2415       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2416       yield = DEFER;
2417       goto SEND_QUIT;
2418       }
2419     }
2420
2421 /** Debugging without sending a message
2422 sx->addrlist->transport_return = DEFER;
2423 goto SEND_QUIT;
2424 **/
2425
2426   /* Errors that occur after this point follow an SMTP command, which is
2427   left in big_buffer by smtp_write_command() for use in error messages. */
2428
2429   smtp_command = big_buffer;
2430
2431   /* Tell the remote who we are...
2432
2433   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2434   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2435   greeting is of this form. The assumption was that the far end supports it
2436   properly... but experience shows that there are some that give 5xx responses,
2437   even though the banner includes "ESMTP" (there's a bloody-minded one that
2438   says "ESMTP not spoken here"). Cope with that case.
2439
2440   September 2000: Time has passed, and it seems reasonable now to always send
2441   EHLO at the start. It is also convenient to make the change while installing
2442   the TLS stuff.
2443
2444   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2445   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2446   would be no way to send out the mails, so there is now a host list
2447   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2448   PIPELINING problem as well. Maybe it can also be useful to cure other
2449   problems with broken servers.
2450
2451   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2452   Then somebody tried it with a Microsoft mailer... It seems that all other
2453   mailers use upper case for some reason (the RFC is quite clear about case
2454   independence) so, for peace of mind, I gave in. */
2455
2456   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2457
2458   /* Alas; be careful, since this goto is not an error-out, so conceivably
2459   we might set data between here and the target which we assume to exist
2460   and be usable.  I can see this coming back to bite us. */
2461 #ifndef DISABLE_TLS
2462   if (sx->smtps)
2463     {
2464     smtp_peer_options |= OPTION_TLS;
2465     suppress_tls = FALSE;
2466     ob->tls_tempfail_tryclear = FALSE;
2467     smtp_command = US"SSL-on-connect";
2468     goto TLS_NEGOTIATE;
2469     }
2470 #endif
2471
2472   if (sx->esmtp)
2473     {
2474     if (smtp_write_command(sx,
2475 #ifndef DISABLE_PIPE_CONNECT
2476           sx->early_pipe_active ? SCMD_BUFFER :
2477 #endif
2478             SCMD_FLUSH,
2479           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2480       goto SEND_FAILED;
2481     sx->esmtp_sent = TRUE;
2482
2483 #ifndef DISABLE_PIPE_CONNECT
2484     if (sx->early_pipe_active)
2485       {
2486       sx->pending_EHLO = TRUE;
2487
2488       /* If we have too many authenticators to handle and might need to AUTH
2489       for this transport, pipeline no further as we will need the
2490       list of auth methods offered.  Reap the banner and EHLO. */
2491
2492       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2493          && f.smtp_in_early_pipe_no_auth)
2494         {
2495         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2496         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2497           goto SEND_FAILED;
2498         if (sync_responses(sx, 2, 0) != 0)
2499           {
2500           HDEBUG(D_transport)
2501             debug_printf("failed reaping pipelined cmd responses\n");
2502           goto RESPONSE_FAILED;
2503           }
2504         sx->early_pipe_active = FALSE;
2505         }
2506       }
2507     else
2508 #endif
2509       if (!smtp_reap_ehlo(sx))
2510         goto RESPONSE_FAILED;
2511     }
2512   else
2513     DEBUG(D_transport)
2514       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2515
2516 #ifndef DISABLE_PIPE_CONNECT
2517   if (!sx->early_pipe_active)
2518 #endif
2519     if (!sx->esmtp)
2520       {
2521       BOOL good_response;
2522       int n = sizeof(sx->buffer);
2523       uschar * rsp = sx->buffer;
2524
2525       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer) + 1) < sizeof(sx->buffer)/2)
2526         { rsp = sx->buffer + n; n = sizeof(sx->buffer) - n; }
2527
2528       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2529         goto SEND_FAILED;
2530       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2531 #ifdef EXPERIMENTAL_DSN_INFO
2532       sx->helo_response = string_copy(rsp);
2533 #endif
2534       if (!good_response)
2535         {
2536         /* Handle special logging for a closed connection after HELO
2537         when had previously sent EHLO */
2538
2539         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2540           {
2541           errno = ERRNO_SMTPCLOSED;
2542           goto EHLOHELO_FAILED;
2543           }
2544         memmove(sx->buffer, rsp, Ustrlen(rsp));
2545         goto RESPONSE_FAILED;
2546         }
2547       }
2548
2549   if (sx->esmtp || sx->lmtp)
2550     {
2551 #ifndef DISABLE_PIPE_CONNECT
2552     if (!sx->early_pipe_active)
2553 #endif
2554       {
2555       sx->peer_offered = ehlo_response(sx->buffer,
2556         OPTION_TLS      /* others checked later */
2557 #ifndef DISABLE_PIPE_CONNECT
2558         | (sx->early_pipe_ok
2559           ?   OPTION_IGNQ
2560             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2561 #ifdef SUPPORT_I18N
2562             | OPTION_UTF8
2563 #endif
2564             | OPTION_EARLY_PIPE
2565           : 0
2566           )
2567 #endif
2568         );
2569 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2570       if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2571         {
2572         ehlo_response_limits_read(sx);
2573         ehlo_response_limits_apply(sx);
2574         }
2575 #endif
2576 #ifndef DISABLE_PIPE_CONNECT
2577       if (sx->early_pipe_ok)
2578         {
2579         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2580
2581         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2582            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2583           {
2584           DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
2585           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2586           write_ehlo_cache_entry(sx);
2587           }
2588         }
2589 #endif
2590       ehlo_response_lbserver(sx, ob);
2591       }
2592
2593   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2594
2595 #ifndef DISABLE_TLS
2596     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2597 #endif
2598     }
2599   }
2600
2601 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2602 is the standard input; for a socket held open from verify it is recorded
2603 in the cutthrough context block.  Either way we don't need to redo EHLO here
2604 (but may need to do so for TLS - see below).
2605 Set up the pointer to where subsequent commands will be left, for
2606 error messages. Note that smtp_peer_options will have been
2607 set from the command line if they were set in the process that passed the
2608 connection on. */
2609
2610 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2611 as the continue goes via transport_pass_socket() and doublefork and exec.
2612 It does not wait.  Unclear how we keep separate host's responses
2613 separate - we could match up by host ip+port as a bodge. */
2614
2615 else
2616   {
2617   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2618     {
2619     sx->cctx = cutthrough.cctx;
2620     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2621     }
2622   else
2623     {
2624     sx->cctx.sock = 0;                          /* stdin */
2625     sx->cctx.tls_ctx = NULL;
2626     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2627     }
2628   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2629   smtp_command = big_buffer;
2630   sx->peer_offered = smtp_peer_options;
2631 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2632   /* Limits passed by cmdline over exec. */
2633   ehlo_limits_apply(sx,
2634                     sx->peer_limit_mail = continue_limit_mail,
2635                     sx->peer_limit_rcpt = continue_limit_rcpt,
2636                     sx->peer_limit_rcptdom = continue_limit_rcptdom);
2637 #endif
2638   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2639
2640   /* For a continued connection with TLS being proxied for us, or a
2641   held-open verify connection with TLS, nothing more to do. */
2642
2643   if (  continue_proxy_cipher
2644      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2645          && cutthrough.is_tls)
2646      )
2647     {
2648     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2649     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2650       continue_proxy_cipher ? "proxied" : "verify conn with");
2651     return OK;
2652     }
2653   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2654   }
2655
2656 /* If TLS is available on this connection, whether continued or not, attempt to
2657 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2658 send another EHLO - the server may give a different answer in secure mode. We
2659 use a separate buffer for reading the response to STARTTLS so that if it is
2660 negative, the original EHLO data is available for subsequent analysis, should
2661 the client not be required to use TLS. If the response is bad, copy the buffer
2662 for error analysis. */
2663
2664 #ifndef DISABLE_TLS
2665 if (  smtp_peer_options & OPTION_TLS
2666    && !suppress_tls
2667    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2668    && (  !sx->verify
2669       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2670    )  )
2671   {
2672   uschar buffer2[4096];
2673
2674   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2675     goto SEND_FAILED;
2676
2677 #ifndef DISABLE_PIPE_CONNECT
2678   /* If doing early-pipelining reap the banner and EHLO-response but leave
2679   the response for the STARTTLS we just sent alone.  On fail, assume wrong
2680   cached capability and retry with the pipelining disabled. */
2681
2682   if (sx->early_pipe_active)
2683     {
2684     if (sync_responses(sx, 2, 0) != 0)
2685       {
2686       HDEBUG(D_transport)
2687         debug_printf("failed reaping pipelined cmd responses\n");
2688       close(sx->cctx.sock);
2689       sx->cctx.sock = -1;
2690       sx->early_pipe_active = FALSE;
2691       goto PIPE_CONNECT_RETRY;
2692       }
2693     }
2694 #endif
2695
2696   /* If there is an I/O error, transmission of this message is deferred. If
2697   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2698   false, we also defer. However, if there is a temporary rejection of STARTTLS
2699   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2700   STARTTLS, we carry on. This means we will try to send the message in clear,
2701   unless the host is in hosts_require_tls (tested below). */
2702
2703   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2704     {
2705     if (  errno != 0
2706        || buffer2[0] == 0
2707        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2708        )
2709       {
2710       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2711       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2712       goto RESPONSE_FAILED;
2713       }
2714     }
2715
2716   /* STARTTLS accepted: try to negotiate a TLS session. */
2717
2718   else
2719   TLS_NEGOTIATE:
2720     {
2721     sx->conn_args.sending_ip_address = sending_ip_address;
2722     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2723       {
2724       /* TLS negotiation failed; give an error. From outside, this function may
2725       be called again to try in clear on a new connection, if the options permit
2726       it for this host. */
2727   TLS_CONN_FAILED:
2728       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2729
2730 # ifdef SUPPORT_DANE
2731       if (sx->conn_args.dane)
2732         {
2733         log_write(0, LOG_MAIN,
2734           "DANE attempt failed; TLS connection to %s [%s]: %s",
2735           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2736 #  ifndef DISABLE_EVENT
2737         (void) event_raise(sx->conn_args.tblock->event_action,
2738           US"dane:fail", US"validation-failure", NULL); /* could do with better detail */
2739 #  endif
2740         }
2741 # endif
2742
2743       errno = ERRNO_TLSFAILURE;
2744       message = string_sprintf("TLS session: %s", tls_errstr);
2745       sx->send_quit = FALSE;
2746       goto TLS_FAILED;
2747       }
2748     sx->send_tlsclose = TRUE;
2749
2750     /* TLS session is set up.  Check the inblock fill level.  If there is
2751     content then as we have not yet done a tls read it must have arrived before
2752     the TLS handshake, in-clear.  That violates the sync requirement of the
2753     STARTTLS RFC, so fail. */
2754
2755     if (sx->inblock.ptr != sx->inblock.ptrend)
2756       {
2757       DEBUG(D_tls)
2758         {
2759         int i = sx->inblock.ptrend - sx->inblock.ptr;
2760         debug_printf("unused data in input buffer after ack for STARTTLS:\n"
2761           "'%.*s'%s\n",
2762           i > 100 ? 100 : i, sx->inblock.ptr, i > 100 ? "..." : "");
2763         }
2764       tls_errstr = US"synch error before connect";
2765       goto TLS_CONN_FAILED;
2766       }
2767
2768     smtp_peer_options_wrap = smtp_peer_options;
2769     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2770       if (addr->transport_return == PENDING_DEFER)
2771         {
2772         addr->cipher = tls_out.cipher;
2773         addr->ourcert = tls_out.ourcert;
2774         addr->peercert = tls_out.peercert;
2775         addr->peerdn = tls_out.peerdn;
2776         addr->ocsp = tls_out.ocsp;
2777         addr->tlsver = tls_out.ver;
2778         }
2779     }
2780   }
2781
2782 /* if smtps, we'll have smtp_command set to something else; always safe to
2783 reset it here. */
2784 smtp_command = big_buffer;
2785
2786 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2787 helo_data is null, we are dealing with a connection that was passed from
2788 another process, and so we won't have expanded helo_data above. We have to
2789 expand it here. $sending_ip_address and $sending_port are set up right at the
2790 start of the Exim process (in exim.c). */
2791
2792 if (tls_out.active.sock >= 0)
2793   {
2794   uschar * greeting_cmd;
2795
2796   if (!sx->helo_data && !(sx->helo_data = expand_string(ob->helo_data)))
2797     {
2798     uschar *message = string_sprintf("failed to expand helo_data: %s",
2799       expand_string_message);
2800     set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2801     yield = DEFER;
2802     goto SEND_QUIT;
2803     }
2804
2805 #ifndef DISABLE_PIPE_CONNECT
2806   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2807   We're unlikely to get the group sent and delivered before the server sends its
2808   banner, but it's still worth sending as a group.
2809   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2810   the reverse.  */
2811
2812   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2813     {
2814     sx->peer_offered = sx->ehlo_resp.crypted_features;
2815     if ((sx->early_pipe_active =
2816          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2817       DEBUG(D_transport) debug_printf("Using cached crypted PIPECONNECT\n");
2818     }
2819 #endif
2820 #ifdef EXPERIMMENTAL_ESMTP_LIMITS
2821   /* As we are about to send another EHLO, forget any LIMITS received so far. */
2822   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
2823   if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0)
2824     sx->max_mail = UNLIMITED_ADDRS;
2825   sx->max_rcpt = expand_max_rcpt(sx->conn_args.tblock->max_addresses);
2826   sx->single_rcpt_domain = FALSE;
2827 #endif
2828
2829   /* For SMTPS we need to wait for the initial OK response. */
2830   if (sx->smtps)
2831 #ifndef DISABLE_PIPE_CONNECT
2832     if (sx->early_pipe_active)
2833       {
2834       sx->pending_BANNER = TRUE;
2835       sx->outblock.cmd_count = 1;
2836       }
2837     else
2838 #endif
2839       if (!smtp_reap_banner(sx))
2840         goto RESPONSE_FAILED;
2841
2842   if (sx->lmtp)
2843     greeting_cmd = US"LHLO";
2844   else if (sx->esmtp)
2845     greeting_cmd = US"EHLO";
2846   else
2847     {
2848     greeting_cmd = US"HELO";
2849     DEBUG(D_transport)
2850       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2851     }
2852
2853   if (smtp_write_command(sx,
2854 #ifndef DISABLE_PIPE_CONNECT
2855         sx->early_pipe_active ? SCMD_BUFFER :
2856 #endif
2857           SCMD_FLUSH,
2858         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2859     goto SEND_FAILED;
2860
2861 #ifndef DISABLE_PIPE_CONNECT
2862   if (sx->early_pipe_active)
2863     sx->pending_EHLO = TRUE;
2864   else
2865 #endif
2866     {
2867     if (!smtp_reap_ehlo(sx))
2868 #ifdef USE_GNUTLS
2869       {
2870       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2871       cert late, under TLS1.3 - which means here; the first time we try to
2872       receive crypted data.  Treat it as if it was a connect-time failure.
2873       See also the early-pipe equivalent... which will be hard; every call
2874       to sync_responses will need to check the result.
2875       It would be nicer to have GnuTLS check the cert during the handshake.
2876       Can it do that, with all the flexibility we need? */
2877
2878       tls_errstr = US"error on first read";
2879       goto TLS_CONN_FAILED;
2880       }
2881 #else
2882       goto RESPONSE_FAILED;
2883 #endif
2884     smtp_peer_options = 0;
2885     }
2886   }
2887
2888 /* If the host is required to use a secure channel, ensure that we
2889 have one. */
2890
2891 else if (  sx->smtps
2892 # ifdef SUPPORT_DANE
2893         || sx->conn_args.dane
2894 # endif
2895         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2896         )
2897   {
2898   errno = ERRNO_TLSREQUIRED;
2899   message = string_sprintf("a TLS session is required, but %s",
2900     smtp_peer_options & OPTION_TLS
2901     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2902 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2903   if (sx->conn_args.dane)
2904     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2905       smtp_peer_options & OPTION_TLS
2906       ? US"validation-failure"          /* could do with better detail */
2907       : US"starttls-not-supported",
2908       NULL);
2909 # endif
2910   goto TLS_FAILED;
2911   }
2912 #endif  /*DISABLE_TLS*/
2913
2914 /* If TLS is active, we have just started it up and re-done the EHLO command,
2915 so its response needs to be analyzed. If TLS is not active and this is a
2916 continued session down a previously-used socket, we haven't just done EHLO, so
2917 we skip this. */
2918
2919 if (   !continue_hostname
2920 #ifndef DISABLE_TLS
2921     || tls_out.active.sock >= 0
2922 #endif
2923     )
2924   {
2925   if (sx->esmtp || sx->lmtp)
2926     {
2927 #ifndef DISABLE_PIPE_CONNECT
2928   if (!sx->early_pipe_active)
2929 #endif
2930     {
2931     sx->peer_offered = ehlo_response(sx->buffer,
2932         0 /* no TLS */
2933 #ifndef DISABLE_PIPE_CONNECT
2934         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2935         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2936         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2937         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2938
2939 #else
2940
2941         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2942         | OPTION_CHUNKING
2943         | OPTION_PRDR
2944 # ifdef SUPPORT_I18N
2945         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
2946           /*XXX if we hand peercaps on to continued-conn processes,
2947                 must not depend on this addr */
2948 # endif
2949         | OPTION_DSN
2950         | OPTION_PIPE
2951         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
2952 #endif
2953       );
2954 #ifndef DISABLE_PIPE_CONNECT
2955     if (tls_out.active.sock >= 0)
2956       sx->ehlo_resp.crypted_features = sx->peer_offered;
2957 #endif
2958
2959 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2960     if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2961       {
2962       ehlo_response_limits_read(sx);
2963       ehlo_response_limits_apply(sx);
2964       }
2965 #endif
2966     }
2967
2968     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
2969     lmtp_ignore_quota option was set. */
2970
2971     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
2972
2973     /* If the response to EHLO specified support for the SIZE parameter, note
2974     this, provided size_addition is non-negative. */
2975
2976     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
2977
2978     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
2979     the current host, esmtp will be false, so PIPELINING can never be used. If
2980     the current host matches hosts_avoid_pipelining, don't do it. */
2981
2982     if (  sx->peer_offered & OPTION_PIPE
2983        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
2984       smtp_peer_options |= OPTION_PIPE;
2985
2986     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
2987       smtp_peer_options & OPTION_PIPE ? "" : "not ");
2988
2989     if (  sx->peer_offered & OPTION_CHUNKING
2990        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) == OK)
2991       smtp_peer_options |= OPTION_CHUNKING;
2992
2993     if (smtp_peer_options & OPTION_CHUNKING)
2994       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
2995
2996 #ifndef DISABLE_PRDR
2997     if (  sx->peer_offered & OPTION_PRDR
2998        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) == OK)
2999       smtp_peer_options |= OPTION_PRDR;
3000
3001     if (smtp_peer_options & OPTION_PRDR)
3002       DEBUG(D_transport) debug_printf("PRDR usable\n");
3003 #endif
3004
3005     /* Note if the server supports DSN */
3006     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
3007     DEBUG(D_transport) debug_printf("%susing DSN\n",
3008                         sx->peer_offered & OPTION_DSN ? "" : "not ");
3009
3010 #ifndef DISABLE_PIPE_CONNECT
3011     if (  sx->early_pipe_ok
3012        && !sx->early_pipe_active
3013        && tls_out.active.sock >= 0
3014        && smtp_peer_options & OPTION_PIPE
3015        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
3016           & OPTION_EARLY_PIPE)
3017       {
3018       DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
3019       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
3020       write_ehlo_cache_entry(sx);
3021       }
3022 #endif
3023
3024     /* Note if the response to EHLO specifies support for the AUTH extension.
3025     If it has, check that this host is one we want to authenticate to, and do
3026     the business. The host name and address must be available when the
3027     authenticator's client driver is running. */
3028
3029     switch (yield = smtp_auth(sx))
3030       {
3031       default:          goto SEND_QUIT;
3032       case OK:          break;
3033       case FAIL_SEND:   goto SEND_FAILED;
3034       case FAIL:        goto RESPONSE_FAILED;
3035       }
3036     }
3037   }
3038 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
3039
3040 /* The setting up of the SMTP call is now complete. Any subsequent errors are
3041 message-specific. */
3042
3043 sx->setting_up = FALSE;
3044
3045 #ifdef SUPPORT_I18N
3046 if (sx->addrlist->prop.utf8_msg)
3047   {
3048   uschar * s;
3049
3050   /* If the transport sets a downconversion mode it overrides any set by ACL
3051   for the message. */
3052
3053   if ((s = ob->utf8_downconvert))
3054     {
3055     if (!(s = expand_string(s)))
3056       {
3057       message = string_sprintf("failed to expand utf8_downconvert: %s",
3058         expand_string_message);
3059       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
3060       yield = DEFER;
3061       goto SEND_QUIT;
3062       }
3063     switch (*s)
3064       {
3065       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
3066                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3067                 break;
3068       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
3069                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3070                 break;
3071       case '-': if (s[1] == '1')
3072                   {
3073                   sx->addrlist->prop.utf8_downcvt = FALSE;
3074                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
3075                   }
3076                 break;
3077       }
3078     }
3079
3080   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
3081                     && !sx->addrlist->prop.utf8_downcvt_maybe;
3082   DEBUG(D_transport) if (!sx->utf8_needed)
3083     debug_printf("utf8: %s downconvert\n",
3084       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
3085   }
3086
3087 /* If this is an international message we need the host to speak SMTPUTF8 */
3088 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
3089   {
3090   errno = ERRNO_UTF8_FWD;
3091   goto RESPONSE_FAILED;
3092   }
3093 #endif  /*SUPPORT_I18N*/
3094
3095 return OK;
3096
3097
3098   {
3099   int code;
3100
3101   RESPONSE_FAILED:
3102     if (errno == ECONNREFUSED)  /* first-read error on a TFO conn */
3103       {
3104       /* There is a testing facility for simulating a connection timeout, as I
3105       can't think of any other way of doing this. It converts a connection
3106       refused into a timeout if the timeout is set to 999999.  This is done for
3107       a 3whs connection in ip_connect(), but a TFO connection does not error
3108       there - instead it gets ECONNREFUSED on the first data read.  Tracking
3109       that a TFO really was done is too hard, or we would set a
3110       sx->pending_conn_done bit and test that in smtp_reap_banner() and
3111       smtp_reap_ehlo().  That would let us also add the conn-timeout to the
3112       cmd-timeout. */
3113
3114       if (f.running_in_test_harness && ob->connect_timeout == 999999)
3115         errno = ETIMEDOUT;
3116       set_errno_nohost(sx->addrlist,
3117         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
3118         sx->verify ? US strerror(errno) : NULL,
3119         DEFER, FALSE, &sx->delivery_start);
3120       sx->send_quit = FALSE;
3121       return DEFER;
3122       }
3123
3124     /* really an error on an SMTP read */
3125     message = NULL;
3126     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
3127       sx->buffer, &code, &message, &pass_message);
3128     yield = DEFER;
3129     goto FAILED;
3130
3131   SEND_FAILED:
3132     code = '4';
3133     message = US string_sprintf("smtp send to %s [%s] failed: %s",
3134       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
3135     sx->send_quit = FALSE;
3136     yield = DEFER;
3137     goto FAILED;
3138
3139   EHLOHELO_FAILED:
3140     code = '4';
3141     message = string_sprintf("Remote host closed connection in response to %s"
3142       " (EHLO response was: %s)", smtp_command, sx->buffer);
3143     sx->send_quit = FALSE;
3144     yield = DEFER;
3145     goto FAILED;
3146
3147   /* This label is jumped to directly when a TLS negotiation has failed,
3148   or was not done for a host for which it is required. Values will be set
3149   in message and errno, and setting_up will always be true. Treat as
3150   a temporary error. */
3151
3152 #ifndef DISABLE_TLS
3153   TLS_FAILED:
3154     code = '4', yield = DEFER;
3155     goto FAILED;
3156 #endif
3157
3158   /* The failure happened while setting up the call; see if the failure was
3159   a 5xx response (this will either be on connection, or following HELO - a 5xx
3160   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
3161   fail all addresses, as this host is never going to accept them. For other
3162   errors during setting up (timeouts or whatever), defer all addresses, and
3163   yield DEFER, so that the host is not tried again for a while.
3164
3165   XXX This peeking for another host feels like a layering violation. We want
3166   to note the host as unusable, but down here we shouldn't know if this was
3167   the last host to try for the addr(list).  Perhaps the upper layer should be
3168   the one to do set_errno() ?  The problem is that currently the addr is where
3169   errno etc. are stashed, but until we run out of hosts to try the errors are
3170   host-specific.  Maybe we should enhance the host_item definition? */
3171
3172 FAILED:
3173   sx->ok = FALSE;                /* For when reached by GOTO */
3174   set_errno(sx->addrlist, errno, message,
3175             sx->conn_args.host->next
3176             ? DEFER
3177             : code == '5'
3178 #ifdef SUPPORT_I18N
3179                         || errno == ERRNO_UTF8_FWD
3180 #endif
3181             ? FAIL : DEFER,
3182             pass_message,
3183             errno == ECONNREFUSED ? NULL : sx->conn_args.host,
3184 #ifdef EXPERIMENTAL_DSN_INFO
3185             sx->smtp_greeting, sx->helo_response,
3186 #endif
3187             &sx->delivery_start);
3188   }
3189
3190
3191 SEND_QUIT:
3192
3193 if (sx->send_quit)
3194   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
3195
3196 #ifndef DISABLE_TLS
3197 if (sx->cctx.tls_ctx)
3198   {
3199   if (sx->send_tlsclose)
3200     {
3201     tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
3202     sx->send_tlsclose = FALSE;
3203     }
3204   sx->cctx.tls_ctx = NULL;
3205   }
3206 #endif
3207
3208 /* Close the socket, and return the appropriate value, first setting
3209 works because the NULL setting is passed back to the calling process, and
3210 remote_max_parallel is forced to 1 when delivering over an existing connection,
3211 */
3212
3213 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
3214 if (sx->send_quit)
3215   {
3216   shutdown(sx->cctx.sock, SHUT_WR);
3217   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
3218     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
3219       i--;                              /* drain socket */
3220   sx->send_quit = FALSE;
3221   }
3222 (void)close(sx->cctx.sock);
3223 sx->cctx.sock = -1;
3224
3225 #ifndef DISABLE_EVENT
3226 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL, NULL);
3227 #endif
3228
3229 smtp_debug_cmd_report();
3230 continue_transport = NULL;
3231 continue_hostname = NULL;
3232 return yield;
3233 }
3234
3235
3236
3237
3238 /* Create the string of options that will be appended to the MAIL FROM:
3239 in the connection context buffer */
3240
3241 static int
3242 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
3243 {
3244 uschar * p = sx->buffer;
3245 address_item * addr;
3246 int address_count;
3247
3248 *p = 0;
3249
3250 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
3251 send it, adding something to the message size to allow for imprecision
3252 and things that get added en route. Exim keeps the number of lines
3253 in a message, so we can give an accurate value for the original message, but we
3254 need some additional to handle added headers. (Double "." characters don't get
3255 included in the count.) */
3256
3257 if (  message_size > 0
3258    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
3259   {
3260 /*XXX problem here under spool_files_wireformat?
3261 Or just forget about lines?  Or inflate by a fixed proportion? */
3262
3263   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
3264   while (*p) p++;
3265   }
3266
3267 #ifndef DISABLE_PRDR
3268 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
3269 request that */
3270
3271 sx->prdr_active = FALSE;
3272 if (smtp_peer_options & OPTION_PRDR)
3273   for (address_item * addr = addrlist; addr; addr = addr->next)
3274     if (addr->transport_return == PENDING_DEFER)
3275       {
3276       for (addr = addr->next; addr; addr = addr->next)
3277         if (addr->transport_return == PENDING_DEFER)
3278           {                     /* at least two recipients to send */
3279           sx->prdr_active = TRUE;
3280           sprintf(CS p, " PRDR"); p += 5;
3281           break;
3282           }
3283       break;
3284       }
3285 #endif
3286
3287 #ifdef SUPPORT_I18N
3288 /* If it supports internationalised messages, and this meesage need that,
3289 request it */
3290
3291 if (  sx->peer_offered & OPTION_UTF8
3292    && addrlist->prop.utf8_msg
3293    && !addrlist->prop.utf8_downcvt
3294    )
3295   Ustrcpy(p, US" SMTPUTF8"), p += 9;
3296 #endif
3297
3298 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3299 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3300      addr && address_count < sx->max_rcpt;      /*XXX maybe also || sx->single_rcpt_domain ? */
3301      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3302   {
3303   address_count++;
3304   if (!(addr->dsn_flags & rf_dsnlasthop))
3305     {
3306     sx->dsn_all_lasthop = FALSE;
3307     break;
3308     }
3309   }
3310
3311 /* Add any DSN flags to the mail command */
3312
3313 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3314   {
3315   if (dsn_ret == dsn_ret_hdrs)
3316     { Ustrcpy(p, US" RET=HDRS"); p += 9; }
3317   else if (dsn_ret == dsn_ret_full)
3318     { Ustrcpy(p, US" RET=FULL"); p += 9; }
3319
3320   if (dsn_envid)
3321     {
3322     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3323     while (*p) p++;
3324     }
3325   }
3326
3327 /* If an authenticated_sender override has been specified for this transport
3328 instance, expand it. If the expansion is forced to fail, and there was already
3329 an authenticated_sender for this message, the original value will be used.
3330 Other expansion failures are serious. An empty result is ignored, but there is
3331 otherwise no check - this feature is expected to be used with LMTP and other
3332 cases where non-standard addresses (e.g. without domains) might be required. */
3333
3334 return smtp_mail_auth_str(sx, p, addrlist) ? ERROR : OK;
3335 }
3336
3337
3338 static void
3339 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3340 {
3341 uschar * p = sx->buffer;
3342 *p = 0;
3343
3344 /* Add any DSN flags to the rcpt command */
3345
3346 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3347   {
3348   if (addr->dsn_flags & rf_dsnflags)
3349     {
3350     BOOL first = TRUE;
3351
3352     Ustrcpy(p, US" NOTIFY=");
3353     while (*p) p++;
3354     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3355       {
3356       if (!first) *p++ = ',';
3357       first = FALSE;
3358       Ustrcpy(p, rf_names[i]);
3359       while (*p) p++;
3360       }
3361     }
3362
3363   if (addr->dsn_orcpt)
3364     {
3365     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3366       addr->dsn_orcpt);
3367     while (*p) p++;
3368     }
3369   }
3370 }
3371
3372
3373
3374 /*
3375 Return:
3376  0      good, rcpt results in addr->transport_return (PENDING_OK, DEFER, FAIL)
3377  -1     MAIL response error
3378  -2     any non-MAIL read i/o error
3379  -3     non-MAIL response timeout
3380  -4     internal error; channel still usable
3381  -5     transmit failed
3382  */
3383
3384 int
3385 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3386 {
3387 address_item * addr;
3388 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3389 address_item * restart_addr = NULL;
3390 #endif
3391 int address_count, pipe_limit;
3392 int rc;
3393
3394 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3395   {
3396   *yield = ERROR;
3397   return -4;
3398   }
3399
3400 /* From here until we send the DATA command, we can make use of PIPELINING
3401 if the server host supports it. The code has to be able to check the responses
3402 at any point, for when the buffer fills up, so we write it totally generally.
3403 When PIPELINING is off, each command written reports that it has flushed the
3404 buffer. */
3405
3406 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3407
3408   {
3409   uschar * s = sx->from_addr;
3410 #ifdef SUPPORT_I18N
3411   uschar * errstr = NULL;
3412
3413   /* If we must downconvert, do the from-address here.  Remember we had to
3414   for the to-addresses (done below), and also (ugly) for re-doing when building
3415   the delivery log line. */
3416
3417   if (  sx->addrlist->prop.utf8_msg
3418      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3419      )
3420     {
3421     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3422       {
3423       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
3424       *yield = ERROR;
3425       return -4;
3426       }
3427     setflag(sx->addrlist, af_utf8_downcvt);
3428     }
3429 #endif
3430
3431   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3432           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3433   }
3434
3435 mail_command = string_copy(big_buffer);  /* Save for later error message */
3436
3437 switch(rc)
3438   {
3439   case -1:                /* Transmission error */
3440     return -5;
3441
3442   case +1:                /* Cmd was sent */
3443     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3444        (SOB sx->conn_args.ob)->command_timeout))
3445       {
3446       if (errno == 0 && sx->buffer[0] == '4')
3447         {
3448         errno = ERRNO_MAIL4XX;
3449         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3450         }
3451       return -1;
3452       }
3453     sx->pending_MAIL = FALSE;
3454     break;
3455
3456   /* otherwise zero: command queued for pipeline */
3457   }
3458
3459 /* Pass over all the relevant recipient addresses for this host, which are the
3460 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3461 several before we have to read the responses for those seen so far. This
3462 checking is done by a subroutine because it also needs to be done at the end.
3463 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3464 the next one if not all are sent.
3465
3466 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3467 last address because we want to abort if any recipients have any kind of
3468 problem, temporary or permanent. We know that all recipient addresses will have
3469 the PENDING_DEFER status, because only one attempt is ever made, and we know
3470 that max_rcpt will be large, so all addresses will be done at once.
3471
3472 For verify we flush the pipeline after any (the only) rcpt address. */
3473
3474 for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
3475      addr &&  address_count < sx->max_rcpt;
3476      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3477   {
3478   int cmds_sent;
3479   BOOL no_flush;
3480   uschar * rcpt_addr;
3481
3482 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3483   if (  sx->single_rcpt_domain                                  /* restriction on domains */
3484      && address_count > 0                                       /* not first being sent */
3485      && Ustrcmp(addr->domain, sx->first_addr->domain) != 0      /* dom diff from first */
3486      )
3487     {
3488     DEBUG(D_transport) debug_printf("skipping different domain %s\n", addr->domain);
3489
3490     /* Ensure the smtp-response reaper does not think the address had a RCPT
3491     command sent for it.  Reset to PENDING_DEFER in smtp_deliver(), where we
3492     goto SEND_MESSAGE.  */
3493
3494     addr->transport_return = SKIP;
3495     if (!restart_addr) restart_addr = addr;     /* note restart point */
3496     continue;                                   /* skip this one */
3497     }
3498 #endif
3499
3500   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3501     ? dsn_support_yes : dsn_support_no;
3502
3503   address_count++;
3504   if (pipe_limit-- <= 0)
3505     { no_flush = FALSE; pipe_limit = 100; }
3506   else
3507     no_flush = pipelining_active && !sx->verify
3508           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3509
3510   build_rcptcmd_options(sx, addr);
3511
3512   /* Now send the RCPT command, and process outstanding responses when
3513   necessary. After a timeout on RCPT, we just end the function, leaving the
3514   yield as OK, because this error can often mean that there is a problem with
3515   just one address, so we don't want to delay the host. */
3516
3517   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3518
3519 #ifdef SUPPORT_I18N
3520   if (  testflag(sx->addrlist, af_utf8_downcvt)
3521      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3522      )
3523     {
3524     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3525     errno = ERRNO_EXPANDFAIL;
3526     return -5;          /*XXX too harsh? */
3527     }
3528 #endif
3529
3530   cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3531     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3532
3533   if (cmds_sent < 0) return -5;
3534   if (cmds_sent > 0)
3535     {
3536     switch(sync_responses(sx, cmds_sent, 0))
3537       {
3538       case 3: sx->ok = TRUE;                    /* 2xx & 5xx => OK & progress made */
3539       case 2: sx->completed_addr = TRUE;        /* 5xx (only) => progress made */
3540               break;
3541
3542       case 1: sx->ok = TRUE;                    /* 2xx (only) => OK, but if LMTP, */
3543               if (!sx->lmtp)                    /*  can't tell about progress yet */
3544                 sx->completed_addr = TRUE;
3545       case 0:                                   /* No 2xx or 5xx, but no probs */
3546               /* If any RCPT got a 452 response then next_addr has been updated
3547               for restarting with a new MAIL on the same connection.  Send no more
3548               RCPTs for this MAIL. */
3549
3550               if (sx->RCPT_452)
3551                 {
3552                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
3553                 sx->RCPT_452 = FALSE;
3554                 /* sx->next_addr has been reset for fast_retry */
3555                 return 0;
3556                 }
3557               break;
3558
3559       case -1: return -3;                       /* Timeout on RCPT */
3560       case -2: return -2;                       /* non-MAIL read i/o error */
3561       default: return -1;                       /* any MAIL error */
3562
3563 #ifndef DISABLE_PIPE_CONNECT
3564       case -4: return -1;                       /* non-2xx for pipelined banner or EHLO */
3565       case -5: return -1;                       /* TLS first-read error */
3566 #endif
3567       }
3568     }
3569   }      /* Loop for next address */
3570
3571 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3572 sx->next_addr = restart_addr ? restart_addr : addr;
3573 #else
3574 sx->next_addr = addr;
3575 #endif
3576 return 0;
3577 }
3578
3579
3580 #ifndef DISABLE_TLS
3581 /*****************************************************
3582 * Proxy TLS connection for another transport process *
3583 ******************************************************/
3584 /*
3585 Close the unused end of the pipe, fork once more, then use the given buffer
3586 as a staging area, and select on both the given fd and the TLS'd client-fd for
3587 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3588 Do blocking full-size writes, and reads under a timeout.  Once both input
3589 channels are closed, exit the process.
3590
3591 Arguments:
3592   ct_ctx        tls context
3593   buf           space to use for buffering
3594   bufsiz        size of buffer
3595   pfd           pipe filedescriptor array; [0] is comms to proxied process
3596   timeout       per-read timeout, seconds
3597   host          hostname of remote
3598
3599 Does not return.
3600 */
3601
3602 void
3603 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3604   int timeout, const uschar * host)
3605 {
3606 struct pollfd p[2] = {{.fd = tls_out.active.sock, .events = POLLIN},
3607                       {.fd = pfd[0], .events = POLLIN}};
3608 int rc, i;
3609 BOOL send_tls_shutdown = TRUE;
3610
3611 close(pfd[1]);
3612 if ((rc = exim_fork(US"tls-proxy")))
3613   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3614
3615 set_process_info("proxying TLS connection for continued transport to %s\n", host);
3616
3617 do
3618   {
3619   time_t time_left = timeout;
3620   time_t time_start = time(NULL);
3621
3622   /* wait for data */
3623   do
3624     {
3625     rc = poll(p, 2, time_left * 1000);
3626
3627     if (rc < 0 && errno == EINTR)
3628       if ((time_left -= time(NULL) - time_start) > 0) continue;
3629
3630     if (rc <= 0)
3631       {
3632       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3633       goto done;
3634       }
3635
3636     /* For errors where not readable, bomb out */
3637
3638     if (p[0].revents & POLLERR || p[1].revents & POLLERR)
3639       {
3640       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3641         p[0].revents & POLLERR ? "tls" : "proxy");
3642       if (!(p[0].revents & POLLIN || p[1].events & POLLIN))
3643         goto done;
3644       DEBUG(D_transport) debug_printf("- but also readable; no exit yet\n");
3645       }
3646     }
3647   while (rc < 0 || !(p[0].revents & POLLIN || p[1].revents & POLLIN));
3648
3649   /* handle inbound data */
3650   if (p[0].revents & POLLIN)
3651     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)       /* Expect -1 for EOF; */
3652     {                               /* that reaps the TLS Close Notify record */
3653       p[0].fd = -1;
3654       shutdown(pfd[0], SHUT_WR);
3655       timeout = 5;
3656       }
3657     else
3658       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3659         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3660
3661   /* Handle outbound data.  We cannot combine payload and the TLS-close
3662   due to the limitations of the (pipe) channel feeding us.  Maybe use a unix-domain
3663   socket? */
3664   if (p[1].revents & POLLIN)
3665     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3666       {
3667       p[1].fd = -1;
3668
3669 # ifdef EXIM_TCP_CORK  /* Use _CORK to get TLS Close Notify in FIN segment */
3670       (void) setsockopt(tls_out.active.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3671 # endif
3672       tls_shutdown_wr(ct_ctx);
3673       send_tls_shutdown = FALSE;
3674       shutdown(tls_out.active.sock, SHUT_WR);
3675       }
3676     else
3677       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3678         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3679           goto done;
3680   }
3681 while (p[0].fd >= 0 || p[1].fd >= 0);
3682
3683 done:
3684   if (send_tls_shutdown) tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3685   ct_ctx = NULL;
3686   testharness_pause_ms(100);    /* let logging complete */
3687   exim_exit(EXIT_SUCCESS);
3688 }
3689 #endif
3690
3691
3692 /*************************************************
3693 *       Deliver address list to given host       *
3694 *************************************************/
3695
3696 /* If continue_hostname is not null, we get here only when continuing to
3697 deliver down an existing channel. The channel was passed as the standard
3698 input. TLS is never active on a passed channel; the previous process either
3699 closes it down before passing the connection on, or inserts a TLS-proxy
3700 process and passes on a cleartext conection.
3701
3702 Otherwise, we have to make a connection to the remote host, and do the
3703 initial protocol exchange.
3704
3705 When running as an MUA wrapper, if the sender or any recipient is rejected,
3706 temporarily or permanently, we force failure for all recipients.
3707
3708 Arguments:
3709   addrlist        chain of potential addresses to deliver; only those whose
3710                   transport_return field is set to PENDING_DEFER are currently
3711                   being processed; others should be skipped - they have either
3712                   been delivered to an earlier host or IP address, or been
3713                   failed by one of them.
3714   host            host to deliver to
3715   host_af         AF_INET or AF_INET6
3716   defport         default TCP/IP port to use if host does not specify, in host
3717                   byte order
3718   interface       interface to bind to, or NULL
3719   tblock          transport instance block
3720   message_defer   set TRUE if yield is OK, but all addresses were deferred
3721                     because of a non-recipient, non-host failure, that is, a
3722                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3723                     that is specific to the message.
3724   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3725                     a second attempt after TLS initialization fails
3726
3727 Returns:          OK    - the connection was made and the delivery attempted;
3728                           the result for each address is in its data block.
3729                   DEFER - the connection could not be made, or something failed
3730                           while setting up the SMTP session, or there was a
3731                           non-message-specific error, such as a timeout.
3732                   ERROR - a filter command is specified for this transport,
3733                           and there was a problem setting it up; OR helo_data
3734                           or add_headers or authenticated_sender is specified
3735                           for this transport, and the string failed to expand
3736
3737                 For all non-OK returns the first addr of the list carries the
3738                 time taken for the attempt.
3739 */
3740
3741 static int
3742 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3743   uschar *interface, transport_instance *tblock,
3744   BOOL *message_defer, BOOL suppress_tls)
3745 {
3746 smtp_transport_options_block * ob = SOB tblock->options_block;
3747 int yield = OK;
3748 int save_errno;
3749 int rc;
3750
3751 uschar *message = NULL;
3752 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3753 smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);        /* tainted, for the data buffers */
3754 BOOL pass_message = FALSE;
3755 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3756 BOOL mail_limit = FALSE;
3757 #endif
3758 #ifdef SUPPORT_DANE
3759 BOOL dane_held;
3760 #endif
3761 BOOL tcw_done = FALSE, tcw = FALSE;
3762
3763 *message_defer = FALSE;
3764
3765 memset(sx, 0, sizeof(*sx));
3766 sx->addrlist = addrlist;
3767 sx->conn_args.host = host;
3768 sx->conn_args.host_af = host_af;
3769 sx->port = defport;
3770 sx->conn_args.interface = interface;
3771 sx->helo_data = NULL;
3772 sx->conn_args.tblock = tblock;
3773 sx->conn_args.sock = -1;
3774 gettimeofday(&sx->delivery_start, NULL);
3775 sx->sync_addr = sx->first_addr = addrlist;
3776
3777 REPEAT_CONN:
3778 #ifdef SUPPORT_DANE
3779 dane_held = FALSE;
3780 #endif
3781
3782 /* Get the channel set up ready for a message, MAIL FROM being the next
3783 SMTP command to send. */
3784
3785 if ((rc = smtp_setup_conn(sx, suppress_tls)) != OK)
3786   {
3787   timesince(&addrlist->delivery_time, &sx->delivery_start);
3788   yield = rc;
3789   goto TIDYUP;
3790   }
3791
3792 #ifdef SUPPORT_DANE
3793 /* If the connection used DANE, ignore for now any addresses with incompatible
3794 domains.  The SNI has to be the domain.  Arrange a whole new TCP conn later,
3795 just in case only TLS isn't enough. */
3796
3797 if (sx->conn_args.dane)
3798   {
3799   const uschar * dane_domain = sx->first_addr->domain;
3800
3801   for (address_item * a = sx->first_addr->next; a; a = a->next)
3802     if (  a->transport_return == PENDING_DEFER
3803        && Ustrcmp(dane_domain, a->domain) != 0)
3804       {
3805       DEBUG(D_transport) debug_printf("DANE: holding %s for later\n", a->domain);
3806       dane_held = TRUE;
3807       a->transport_return = DANE;
3808       }
3809   }
3810 #endif
3811
3812 /* If there is a filter command specified for this transport, we can now
3813 set it up. This cannot be done until the identity of the host is known. */
3814
3815 if (tblock->filter_command)
3816   {
3817   transport_filter_timeout = tblock->filter_timeout;
3818
3819   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3820   yield ERROR. */
3821
3822   if (!transport_set_up_command(&transport_filter_argv,
3823         tblock->filter_command, TRUE, DEFER, addrlist, FALSE,
3824         string_sprintf("%.50s transport filter", tblock->name), NULL))
3825     {
3826     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3827       FALSE, &sx->delivery_start);
3828     yield = ERROR;
3829     goto SEND_QUIT;
3830     }
3831
3832   if (  transport_filter_argv
3833      && *transport_filter_argv
3834      && **transport_filter_argv
3835      && smtp_peer_options & OPTION_CHUNKING
3836 #ifndef DISABLE_DKIM
3837     /* When dkim signing, chunking is handled even with a transport-filter */
3838      && !(ob->dkim.dkim_private_key && ob->dkim.dkim_domain && ob->dkim.dkim_selector)
3839      && !ob->dkim.force_bodyhash
3840 #endif
3841      )
3842     {
3843     smtp_peer_options &= ~OPTION_CHUNKING;
3844     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3845     }
3846   }
3847
3848 /* For messages that have more than the maximum number of envelope recipients,
3849 we want to send several transactions down the same SMTP connection. (See
3850 comments in deliver.c as to how this reconciles, heuristically, with
3851 remote_max_parallel.) This optimization was added to Exim after the following
3852 code was already working. The simplest way to put it in without disturbing the
3853 code was to use a goto to jump back to this point when there is another
3854 transaction to handle. */
3855
3856 SEND_MESSAGE:
3857 sx->from_addr = return_path;
3858 sx->sync_addr = sx->first_addr;
3859 sx->ok = FALSE;
3860 sx->send_rset = TRUE;
3861 sx->completed_addr = FALSE;
3862
3863
3864 /* If we are a continued-connection-after-verify the MAIL and RCPT
3865 commands were already sent; do not re-send but do mark the addrs as
3866 having been accepted up to RCPT stage.  A traditional cont-conn
3867 always has a sequence number greater than one. */
3868
3869 if (continue_hostname && continue_sequence == 1)
3870   {
3871   /* sx->pending_MAIL = FALSE; */
3872   sx->ok = TRUE;
3873   /* sx->next_addr = NULL; */
3874
3875   for (address_item * addr = addrlist; addr; addr = addr->next)
3876     addr->transport_return = PENDING_OK;
3877   }
3878 else
3879   {
3880   /* Initiate a message transfer. */
3881
3882   switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
3883     {
3884     case 0:             break;
3885     case -1: case -2:   goto RESPONSE_FAILED;
3886     case -3:            goto END_OFF;
3887     case -4:            goto SEND_QUIT;
3888     default:            goto SEND_FAILED;
3889     }
3890
3891   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3892   permanently or temporarily. We should have flushed and synced after the last
3893   RCPT. */
3894
3895   if (mua_wrapper)
3896     {
3897     address_item * a;
3898     unsigned cnt;
3899
3900     for (a = sx->first_addr, cnt = 0; a && cnt < sx->max_rcpt; a = a->next, cnt++)
3901       if (a->transport_return != PENDING_OK)
3902         {
3903         /*XXX could we find a better errno than 0 here? */
3904         set_errno_nohost(addrlist, 0, a->message, FAIL,
3905           testflag(a, af_pass_message), &sx->delivery_start);
3906         sx->ok = FALSE;
3907         break;
3908         }
3909     }
3910   }
3911
3912 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3913 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3914 have a good recipient buffered up if we are pipelining. We don't want to waste
3915 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3916 are pipelining. The responses are all handled by sync_responses().
3917 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3918 to send is. */
3919
3920 if (  !(smtp_peer_options & OPTION_CHUNKING)
3921    && (sx->ok || (pipelining_active && !mua_wrapper)))
3922   {
3923   int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
3924
3925   if (count < 0) goto SEND_FAILED;
3926   switch(sync_responses(sx, count, sx->ok ? +1 : -1))
3927     {
3928     case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
3929     case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
3930     break;
3931
3932     case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
3933     if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
3934     case 0: break;                      /* No 2xx or 5xx, but no probs */
3935
3936     case -1: goto END_OFF;              /* Timeout on RCPT */
3937
3938 #ifndef DISABLE_PIPE_CONNECT
3939     case -5:                            /* TLS first-read error */
3940     case -4:  HDEBUG(D_transport)
3941                 debug_printf("failed reaping pipelined cmd responses\n");
3942 #endif
3943     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3944     }
3945   pipelining_active = FALSE;
3946   data_command = string_copy(big_buffer);  /* Save for later error message */
3947   }
3948
3949 /* If there were no good recipients (but otherwise there have been no
3950 problems), just set ok TRUE, since we have handled address-specific errors
3951 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
3952 for handling the SMTP dot-handling protocol, flagging to apply to headers as
3953 well as body. Set the appropriate timeout value to be used for each chunk.
3954 (Haven't been able to make it work using select() for writing yet.) */
3955
3956 if (  !sx->ok
3957    && (!(smtp_peer_options & OPTION_CHUNKING) || !pipelining_active))
3958   {
3959   /* Save the first address of the next batch. */
3960   sx->first_addr = sx->next_addr;
3961
3962   sx->ok = TRUE;
3963   }
3964 else
3965   {
3966   transport_ctx tctx = {
3967     .u = {.fd = sx->cctx.sock}, /*XXX will this need TLS info? */
3968     .tblock =   tblock,
3969     .addr =     addrlist,
3970     .check_string = US".",
3971     .escape_string = US"..",    /* Escaping strings */
3972     .options =
3973       topt_use_crlf | topt_escape_headers
3974     | (tblock->body_only        ? topt_no_headers : 0)
3975     | (tblock->headers_only     ? topt_no_body : 0)
3976     | (tblock->return_path_add  ? topt_add_return_path : 0)
3977     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
3978     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
3979   };
3980
3981   /* If using CHUNKING we need a callback from the generic transport
3982   support to us, for the sending of BDAT smtp commands and the reaping
3983   of responses.  The callback needs a whole bunch of state so set up
3984   a transport-context structure to be passed around. */
3985
3986   if (smtp_peer_options & OPTION_CHUNKING)
3987     {
3988     tctx.check_string = tctx.escape_string = NULL;
3989     tctx.options |= topt_use_bdat;
3990     tctx.chunk_cb = smtp_chunk_cmd_callback;
3991     sx->pending_BDAT = FALSE;
3992     sx->good_RCPT = sx->ok;
3993     sx->cmd_count = 0;
3994     tctx.smtp_context = sx;
3995     }
3996   else
3997     tctx.options |= topt_end_dot;
3998
3999   /* Save the first address of the next batch. */
4000   sx->first_addr = sx->next_addr;
4001
4002   /* Responses from CHUNKING commands go in buffer.  Otherwise,
4003   there has not been a response. */
4004
4005   sx->buffer[0] = 0;
4006
4007   sigalrm_seen = FALSE;
4008   transport_write_timeout = ob->data_timeout;
4009   smtp_command = US"sending data block";   /* For error messages */
4010   DEBUG(D_transport|D_v)
4011     if (smtp_peer_options & OPTION_CHUNKING)
4012       debug_printf("         will write message using CHUNKING\n");
4013     else
4014       debug_printf("  SMTP>> (writing message)\n");
4015   transport_count = 0;
4016
4017 #ifndef DISABLE_DKIM
4018   {
4019 # ifdef MEASURE_TIMING
4020   struct timeval t0;
4021   gettimeofday(&t0, NULL);
4022 # endif
4023   dkim_exim_sign_init();
4024 # ifdef EXPERIMENTAL_ARC
4025     {
4026     uschar * s = ob->arc_sign;
4027     if (s)
4028       {
4029       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
4030         {
4031         if (!f.expand_string_forcedfail)
4032           {
4033           message = US"failed to expand arc_sign";
4034           sx->ok = FALSE;
4035           goto SEND_FAILED;
4036           }
4037         }
4038       else if (*s)
4039         {
4040         /* Ask dkim code to hash the body for ARC */
4041         (void) arc_ams_setup_sign_bodyhash();
4042         ob->dkim.force_bodyhash = TRUE;
4043         }
4044       }
4045     }
4046 # endif
4047 # ifdef MEASURE_TIMING
4048   report_time_since(&t0, US"dkim_exim_sign_init (delta)");
4049 # endif
4050   }
4051 #endif
4052
4053   /* See if we can pipeline QUIT.  Reasons not to are
4054   - pipelining not active
4055   - not ok to send quit
4056   - errors in amtp transation responses
4057   - more addrs to send for this message or this host
4058   - this message was being retried
4059   - more messages for this host
4060   If we can, we want the message-write to not flush (the tail end of) its data out.  */
4061
4062   if (  sx->pipelining_used
4063      && (sx->ok && sx->completed_addr || smtp_peer_options & OPTION_CHUNKING)
4064      && sx->send_quit
4065      && !(sx->first_addr || f.continue_more)
4066      && f.deliver_firsttime
4067      )
4068     {
4069     smtp_compare_t t_compare =
4070       {.tblock = tblock, .current_sender_address = sender_address};
4071
4072     tcw_done = TRUE;
4073     tcw =
4074 #ifndef DISABLE_TLS
4075            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4076            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4077            )
4078         &&
4079 #endif
4080            transport_check_waiting(tblock->name, host->name,
4081              tblock->connection_max_messages, new_message_id,
4082              (oicf)smtp_are_same_identities, (void*)&t_compare);
4083     if (!tcw)
4084       {
4085       HDEBUG(D_transport) debug_printf("will pipeline QUIT\n");
4086       tctx.options |= topt_no_flush;
4087       }
4088     }
4089
4090 #ifndef DISABLE_DKIM
4091   sx->ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
4092 #else
4093   sx->ok = transport_write_message(&tctx, 0);
4094 #endif
4095
4096   /* transport_write_message() uses write() because it is called from other
4097   places to write to non-sockets. This means that under some OS (e.g. Solaris)
4098   it can exit with "Broken pipe" as its error. This really means that the
4099   socket got closed at the far end. */
4100
4101   transport_write_timeout = 0;   /* for subsequent transports */
4102
4103   /* Failure can either be some kind of I/O disaster (including timeout),
4104   or the failure of a transport filter or the expansion of added headers.
4105   Or, when CHUNKING, it can be a protocol-detected failure. */
4106
4107   if (!sx->ok)
4108     if (message) goto SEND_FAILED;
4109     else         goto RESPONSE_FAILED;
4110
4111   /* We used to send the terminating "." explicitly here, but because of
4112   buffering effects at both ends of TCP/IP connections, you don't gain
4113   anything by keeping it separate, so it might as well go in the final
4114   data buffer for efficiency. This is now done by setting the topt_end_dot
4115   flag above. */
4116
4117   smtp_command = US"end of data";
4118
4119   /* If we can pipeline a QUIT with the data them send it now.  If a new message
4120   for this host appeared in the queue while data was being sent, we will not see
4121   it and it will have to wait for a queue run.  If there was one but another
4122   thread took it, we might attempt to send it - but locking of spoolfiles will
4123   detect that. Use _MORE to get QUIT in FIN segment. */
4124
4125   if (tcw_done && !tcw)
4126     {
4127     /*XXX jgh 2021/03/10 google et. al screwup.  G, at least, sends TCP FIN in response to TLS
4128     close-notify.  Under TLS 1.3, violating RFC.
4129     However, TLS 1.2 does not have half-close semantics. */
4130
4131     if (     sx->cctx.tls_ctx
4132 #if 0 && !defined(DISABLE_TLS)
4133           && Ustrcmp(tls_out.ver, "TLS1.3") != 0
4134 #endif
4135        || !f.deliver_firsttime
4136        )
4137       {                         /* Send QUIT now and not later */
4138       (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
4139       sx->send_quit = FALSE;
4140       }
4141     else
4142       {                         /* add QUIT to the output buffer */
4143       (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4144       sx->send_quit = FALSE;    /* avoid sending it later */
4145
4146 #ifndef DISABLE_TLS
4147       if (sx->cctx.tls_ctx && sx->send_tlsclose)        /* need to send TLS Close Notify */
4148         {
4149 # ifdef EXIM_TCP_CORK           /* Use _CORK to get Close Notify in FIN segment */
4150         (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4151 # endif
4152         tls_shutdown_wr(sx->cctx.tls_ctx);
4153         sx->send_tlsclose = FALSE;      /* avoid later repeat */
4154         }
4155 #endif
4156       HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4157       shutdown(sx->cctx.sock, SHUT_WR); /* flush output buffer, with TCP FIN */
4158       }
4159     }
4160
4161   if (smtp_peer_options & OPTION_CHUNKING && sx->cmd_count > 1)
4162     {
4163     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
4164     switch(sync_responses(sx, sx->cmd_count-1, 0))
4165       {
4166       case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
4167       case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
4168               break;
4169
4170       case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
4171       if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
4172       case 0: break;                    /* No 2xx or 5xx, but no probs */
4173
4174       case -1: goto END_OFF;            /* Timeout on RCPT */
4175
4176 #ifndef DISABLE_PIPE_CONNECT
4177       case -5:                          /* TLS first-read error */
4178       case -4:  HDEBUG(D_transport)
4179                   debug_printf("failed reaping pipelined cmd responses\n");
4180 #endif
4181       default: goto RESPONSE_FAILED;    /* I/O error, or any MAIL/DATA error */
4182       }
4183     }
4184
4185 #ifndef DISABLE_PRDR
4186   /* For PRDR we optionally get a partial-responses warning followed by the
4187   individual responses, before going on with the overall response.  If we don't
4188   get the warning then deal with per non-PRDR. */
4189
4190   if(sx->prdr_active)
4191     {
4192     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '3', ob->final_timeout);
4193     if (!sx->ok && errno == 0) switch(sx->buffer[0])
4194       {
4195       case '2': sx->prdr_active = FALSE;
4196                 sx->ok = TRUE;
4197                 break;
4198       case '4': errno = ERRNO_DATA4XX;
4199                 addrlist->more_errno |=
4200                   ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4201                 break;
4202       }
4203     }
4204   else
4205 #endif
4206
4207   /* For non-PRDR SMTP, we now read a single response that applies to the
4208   whole message.  If it is OK, then all the addresses have been delivered. */
4209
4210   if (!sx->lmtp)
4211     {
4212     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4213       ob->final_timeout);
4214     if (!sx->ok && errno == 0 && sx->buffer[0] == '4')
4215       {
4216       errno = ERRNO_DATA4XX;
4217       addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4218       }
4219     }
4220
4221   /* For LMTP, we get back a response for every RCPT command that we sent;
4222   some may be accepted and some rejected. For those that get a response, their
4223   status is fixed; any that are accepted have been handed over, even if later
4224   responses crash - at least, that's how I read RFC 2033.
4225
4226   If all went well, mark the recipient addresses as completed, record which
4227   host/IPaddress they were delivered to, and cut out RSET when sending another
4228   message down the same channel. Write the completed addresses to the journal
4229   now so that they are recorded in case there is a crash of hardware or
4230   software before the spool gets updated. Also record the final SMTP
4231   confirmation if needed (for SMTP only). */
4232
4233   if (sx->ok)
4234     {
4235     int flag = '=';
4236     struct timeval delivery_time;
4237     int len;
4238     uschar * conf = NULL;
4239
4240     timesince(&delivery_time, &sx->delivery_start);
4241     sx->send_rset = FALSE;
4242     pipelining_active = FALSE;
4243
4244     /* Set up confirmation if needed - applies only to SMTP */
4245
4246     if (
4247 #ifdef DISABLE_EVENT
4248           LOGGING(smtp_confirmation) &&
4249 #endif
4250           !sx->lmtp
4251        )
4252       {
4253       const uschar * s = string_printing(sx->buffer);
4254       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4255       conf = s == sx->buffer ? US string_copy(s) : US s;
4256       }
4257
4258     /* Process all transported addresses - for LMTP or PRDR, read a status for
4259     each one. We used to drop out at first_addr, until someone returned a 452
4260     followed by a 250... and we screwed up the accepted addresses. */
4261
4262     for (address_item * addr = addrlist; addr; addr = addr->next)
4263       {
4264       if (addr->transport_return != PENDING_OK) continue;
4265
4266       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
4267       remaining addresses. Otherwise, it's a return code for just the one
4268       address. For temporary errors, add a retry item for the address so that
4269       it doesn't get tried again too soon. */
4270
4271 #ifndef DISABLE_PRDR
4272       if (sx->lmtp || sx->prdr_active)
4273 #else
4274       if (sx->lmtp)
4275 #endif
4276         {
4277         if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4278             ob->final_timeout))
4279           {
4280           if (errno != 0 || sx->buffer[0] == 0) goto RESPONSE_FAILED;
4281           addr->message = string_sprintf(
4282 #ifndef DISABLE_PRDR
4283             "%s error after %s: %s", sx->prdr_active ? "PRDR":"LMTP",
4284 #else
4285             "LMTP error after %s: %s",
4286 #endif
4287             data_command, string_printing(sx->buffer));
4288           setflag(addr, af_pass_message);   /* Allow message to go to user */
4289           if (sx->buffer[0] == '5')
4290             addr->transport_return = FAIL;
4291           else
4292             {
4293             errno = ERRNO_DATA4XX;
4294             addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4295             addr->transport_return = DEFER;
4296 #ifndef DISABLE_PRDR
4297             if (!sx->prdr_active)
4298 #endif
4299               retry_add_item(addr, addr->address_retry_key, 0);
4300             }
4301           continue;
4302           }
4303         sx->completed_addr = TRUE;   /* NOW we can set this flag */
4304         if (LOGGING(smtp_confirmation))
4305           {
4306           const uschar *s = string_printing(sx->buffer);
4307           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4308           conf = (s == sx->buffer) ? US string_copy(s) : US s;
4309           }
4310         }
4311
4312       /* SMTP, or success return from LMTP for this address. Pass back the
4313       actual host that was used. */
4314
4315       addr->transport_return = OK;
4316       addr->host_used = host;
4317       addr->delivery_time = delivery_time;
4318       addr->special_action = flag;
4319       addr->message = conf;
4320
4321       if (tcp_out_fastopen)
4322         {
4323         setflag(addr, af_tcp_fastopen_conn);
4324         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
4325         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
4326         }
4327       if (sx->pipelining_used) setflag(addr, af_pipelining);
4328 #ifndef DISABLE_PIPE_CONNECT
4329       if (sx->early_pipe_active) setflag(addr, af_early_pipe);
4330 #endif
4331 #ifndef DISABLE_PRDR
4332       if (sx->prdr_active) setflag(addr, af_prdr_used);
4333 #endif
4334       if (smtp_peer_options & OPTION_CHUNKING) setflag(addr, af_chunking_used);
4335       flag = '-';
4336
4337 #ifndef DISABLE_PRDR
4338       if (!sx->prdr_active)
4339 #endif
4340         {
4341         /* Update the journal. For homonymic addresses, use the base address plus
4342         the transport name. See lots of comments in deliver.c about the reasons
4343         for the complications when homonyms are involved. Just carry on after
4344         write error, as it may prove possible to update the spool file later. */
4345
4346         if (testflag(addr, af_homonym))
4347           sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4348         else
4349           sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4350
4351         DEBUG(D_deliver) debug_printf("S:journalling %s", sx->buffer);
4352         len = Ustrlen(CS sx->buffer);
4353         if (write(journal_fd, sx->buffer, len) != len)
4354           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4355             "%s: %s", sx->buffer, strerror(errno));
4356         }
4357       }
4358
4359 #ifndef DISABLE_PRDR
4360     if (sx->prdr_active)
4361       {
4362       const uschar * overall_message;
4363
4364       /* PRDR - get the final, overall response.  For any non-success
4365       upgrade all the address statuses. */
4366
4367       sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4368         ob->final_timeout);
4369       if (!sx->ok)
4370         {
4371         if(errno == 0 && sx->buffer[0] == '4')
4372           {
4373           errno = ERRNO_DATA4XX;
4374           addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4375           }
4376         for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4377           if (sx->buffer[0] == '5' || addr->transport_return == OK)
4378             addr->transport_return = PENDING_OK; /* allow set_errno action */
4379         goto RESPONSE_FAILED;
4380         }
4381
4382       /* Append the overall response to the individual PRDR response for logging
4383       and update the journal, or setup retry. */
4384
4385       overall_message = string_printing(sx->buffer);
4386       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4387         if (addr->transport_return == OK)
4388           addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
4389
4390       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4391         if (addr->transport_return == OK)
4392           {
4393           if (testflag(addr, af_homonym))
4394             sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4395           else
4396             sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4397
4398           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx->buffer);
4399           len = Ustrlen(CS sx->buffer);
4400           if (write(journal_fd, sx->buffer, len) != len)
4401             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4402               "%s: %s", sx->buffer, strerror(errno));
4403           }
4404         else if (addr->transport_return == DEFER)
4405           /*XXX magic value -2 ? maybe host+message ? */
4406           retry_add_item(addr, addr->address_retry_key, -2);
4407       }
4408 #endif
4409
4410     /* Ensure the journal file is pushed out to disk. */
4411
4412     if (EXIMfsync(journal_fd) < 0)
4413       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
4414         strerror(errno));
4415     }
4416   }
4417
4418
4419 /* Handle general (not specific to one address) failures here. The value of ok
4420 is used to skip over this code on the falling through case. A timeout causes a
4421 deferral. Other errors may defer or fail according to the response code, and
4422 may set up a special errno value, e.g. after connection chopped, which is
4423 assumed if errno == 0 and there is no text in the buffer. If control reaches
4424 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
4425 the problem is not related to this specific message. */
4426
4427 if (!sx->ok)
4428   {
4429   int code, set_rc;
4430   uschar * set_message;
4431
4432   RESPONSE_FAILED:
4433     {
4434     save_errno = errno;
4435     message = NULL;
4436     /* Clear send_quit flag if needed.  Do not set. */
4437     sx->send_quit &= check_response(host, &save_errno, addrlist->more_errno,
4438       sx->buffer, &code, &message, &pass_message);
4439     goto FAILED;
4440     }
4441
4442   SEND_FAILED:
4443     {
4444     save_errno = errno;
4445     code = '4';
4446     message = string_sprintf("smtp send to %s [%s] failed: %s",
4447       host->name, host->address, message ? message : US strerror(save_errno));
4448     sx->send_quit = FALSE;
4449     goto FAILED;
4450     }
4451
4452   FAILED:
4453     {
4454     BOOL message_error;
4455
4456     sx->ok = FALSE;                /* For when reached by GOTO */
4457     set_message = message;
4458
4459   /* We want to handle timeouts after MAIL or "." and loss of connection after
4460   "." specially. They can indicate a problem with the sender address or with
4461   the contents of the message rather than a real error on the connection. These
4462   cases are treated in the same way as a 4xx response. This next bit of code
4463   does the classification. */
4464
4465     switch(save_errno)
4466       {
4467       case 0:
4468       case ERRNO_MAIL4XX:
4469       case ERRNO_DATA4XX:
4470         message_error = TRUE;
4471         break;
4472
4473       case ETIMEDOUT:
4474         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4475                         Ustrncmp(smtp_command,"end ",4) == 0;
4476         break;
4477
4478       case ERRNO_SMTPCLOSED:
4479         message_error = Ustrncmp(smtp_command,"end ",4) == 0;
4480         break;
4481
4482 #ifndef DISABLE_DKIM
4483       case EACCES:
4484         /* DKIM signing failure: avoid thinking we pipelined quit,
4485         just abandon the message and close the socket. */
4486
4487         message_error = FALSE;
4488 # ifndef DISABLE_TLS
4489         if (sx->cctx.tls_ctx)
4490           {
4491           tls_close(sx->cctx.tls_ctx,
4492                     sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4493           sx->cctx.tls_ctx = NULL;
4494           }
4495 # endif
4496         break;
4497 #endif
4498       default:
4499         message_error = FALSE;
4500         break;
4501       }
4502
4503     /* Handle the cases that are treated as message errors. These are:
4504
4505       (a) negative response or timeout after MAIL
4506       (b) negative response after DATA
4507       (c) negative response or timeout or dropped connection after "."
4508       (d) utf8 support required and not offered
4509
4510     It won't be a negative response or timeout after RCPT, as that is dealt
4511     with separately above. The action in all cases is to set an appropriate
4512     error code for all the addresses, but to leave yield set to OK because the
4513     host itself has not failed. Of course, it might in practice have failed
4514     when we've had a timeout, but if so, we'll discover that at the next
4515     delivery attempt. For a temporary error, set the message_defer flag, and
4516     write to the logs for information if this is not the last host. The error
4517     for the last host will be logged as part of the address's log line. */
4518
4519     if (message_error)
4520       {
4521       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4522
4523       /* If there's an errno, the message contains just the identity of
4524       the host. */
4525
4526       if (code == '5')
4527         set_rc = FAIL;
4528       else              /* Anything other than 5 is treated as temporary */
4529         {
4530         set_rc = DEFER;
4531         if (save_errno > 0)
4532           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4533
4534         write_logs(host, message, sx->first_addr ? sx->first_addr->basic_errno : 0);
4535
4536         *message_defer = TRUE;
4537         }
4538 #ifdef TIOCOUTQ
4539       DEBUG(D_transport) if (sx->cctx.sock >= 0)
4540         {
4541         int n;
4542         if (ioctl(sx->cctx.sock, TIOCOUTQ, &n) == 0)
4543           debug_printf("%d bytes remain in socket output buffer\n", n);
4544         }
4545 #endif
4546       }
4547     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4548     ".", or some other transportation error. We defer all addresses and yield
4549     DEFER, except for the case of failed add_headers expansion, or a transport
4550     filter failure, when the yield should be ERROR, to stop it trying other
4551     hosts. */
4552
4553     else
4554       {
4555 #ifndef DISABLE_PIPE_CONNECT
4556       /* If we were early-pipelinng and the actual EHLO response did not match
4557       the cached value we assumed, we could have detected it and passed a
4558       custom errno through to here.  It would be nice to RSET and retry right
4559       away, but to reliably do that we eould need an extra synch point before
4560       we committed to data and that would discard half the gained roundrips.
4561       Or we could summarily drop the TCP connection. but that is also ugly.
4562       Instead, we ignore the possibility (having freshened the cache) and rely
4563       on the server telling us with a nonmessage error if we have tried to
4564       do something it no longer supports. */
4565 #endif
4566       set_rc = DEFER;
4567       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4568                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4569       }
4570     }
4571
4572   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host,
4573 #ifdef EXPERIMENTAL_DSN_INFO
4574             sx->smtp_greeting, sx->helo_response,
4575 #endif
4576             &sx->delivery_start);
4577   }
4578
4579 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4580 SMTP session tidily. However, if there were too many addresses to send in one
4581 message (indicated by first_addr being non-NULL) we want to carry on with the
4582 rest of them. Also, it is desirable to send more than one message down the SMTP
4583 connection if there are several waiting, provided we haven't already sent so
4584 many as to hit the configured limit. The function transport_check_waiting looks
4585 for a waiting message and returns its id. Then transport_pass_socket tries to
4586 set up a continued delivery by passing the socket on to another process. The
4587 variable send_rset is FALSE if a message has just been successfully transferred.
4588
4589 If we are already sending down a continued channel, there may be further
4590 addresses not yet delivered that are aimed at the same host, but which have not
4591 been passed in this run of the transport. In this case, continue_more will be
4592 true, and all we should do is send RSET if necessary, and return, leaving the
4593 channel open.
4594
4595 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4596 do not want to continue with other messages down the same channel, because that
4597 can lead to looping between two or more messages, all with the same,
4598 temporarily failing address(es). [The retry information isn't updated yet, so
4599 new processes keep on trying.] We probably also don't want to try more of this
4600 message's addresses either.
4601
4602 If we have started a TLS session, we have to end it before passing the
4603 connection to a new process. However, not all servers can handle this (Exim
4604 can), so we do not pass such a connection on if the host matches
4605 hosts_nopass_tls. */
4606
4607 DEBUG(D_transport)
4608   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4609     "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
4610     sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
4611
4612 if (sx->completed_addr && sx->ok && sx->send_quit)
4613 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4614   if (mail_limit = continue_sequence >= sx->max_mail)
4615     {
4616     DEBUG(D_transport)
4617       debug_printf("reached limit %u for MAILs per conn\n", sx->max_mail);
4618     }
4619   else
4620 #endif
4621     {
4622     smtp_compare_t t_compare =
4623       {.tblock = tblock, .current_sender_address = sender_address};
4624
4625     if (  sx->first_addr                        /* more addrs for this message */
4626        || f.continue_more                       /* more addrs for continued-host */
4627        || tcw_done && tcw                       /* more messages for host */
4628        || (
4629 #ifndef DISABLE_TLS
4630              (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4631              || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4632              )
4633           &&
4634 #endif
4635              transport_check_waiting(tblock->name, host->name,
4636                sx->max_mail, new_message_id,
4637                (oicf)smtp_are_same_identities, (void*)&t_compare)
4638        )  )
4639       {
4640       uschar *msg;
4641       BOOL pass_message;
4642
4643       if (sx->send_rset)
4644         if (! (sx->ok = smtp_write_command(sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4645           {
4646           msg = US string_sprintf("smtp send to %s [%s] failed: %s", host->name,
4647             host->address, strerror(errno));
4648           sx->send_quit = FALSE;
4649           }
4650         else if (! (sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4651                     '2', ob->command_timeout)))
4652           {
4653           int code;
4654           sx->send_quit = check_response(host, &errno, 0, sx->buffer, &code, &msg,
4655             &pass_message);
4656           if (!sx->send_quit)
4657             {
4658             DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4659               host->name, host->address, msg);
4660             }
4661           }
4662
4663       /* Either RSET was not needed, or it succeeded */
4664
4665       if (sx->ok)
4666         {
4667 #ifndef DISABLE_TLS
4668         int pfd[2];
4669 #endif
4670         int socket_fd = sx->cctx.sock;
4671
4672         if (sx->first_addr)             /* More addresses still to be sent */
4673           {                             /*   for this message              */
4674 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4675           /* Any that we marked as skipped, reset to do now */
4676           for (address_item * a = sx->first_addr; a; a = a->next)
4677             if (a->transport_return == SKIP)
4678               a->transport_return = PENDING_DEFER;
4679 #endif
4680           continue_sequence++;                          /* for consistency */
4681           clearflag(sx->first_addr, af_new_conn);
4682           setflag(sx->first_addr, af_cont_conn);        /* Causes * in logging */
4683           pipelining_active = sx->pipelining_used;      /* was cleared at DATA */
4684           goto SEND_MESSAGE;
4685           }
4686
4687         /* Unless caller said it already has more messages listed for this host,
4688         pass the connection on to a new Exim process (below, the call to
4689         transport_pass_socket).  If the caller has more ready, just return with
4690         the connection still open. */
4691
4692 #ifndef DISABLE_TLS
4693         if (tls_out.active.sock >= 0)
4694           if (  f.continue_more
4695              || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4696             {
4697             /* Before passing the socket on, or returning to caller with it still
4698             open, we must shut down TLS.  Not all MTAs allow for the continuation
4699             of the SMTP session when TLS is shut down. We test for this by sending
4700             a new EHLO. If we don't get a good response, we don't attempt to pass
4701             the socket on.
4702             NB: TLS close is *required* per RFC 9266 when tls-exporter info has
4703             been used, which we do under TLSv1.3 for the gsasl SCRAM*PLUS methods.
4704             But we were always doing it anyway. */
4705
4706           tls_close(sx->cctx.tls_ctx,
4707             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4708           sx->send_tlsclose = FALSE;
4709           sx->cctx.tls_ctx = NULL;
4710           tls_out.active.sock = -1;
4711           smtp_peer_options = smtp_peer_options_wrap;
4712           sx->ok = !sx->smtps
4713             && smtp_write_command(sx, SCMD_FLUSH, "EHLO %s\r\n", sx->helo_data)
4714                 >= 0
4715             && smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4716                                       '2', ob->command_timeout);
4717
4718             if (sx->ok && f.continue_more)
4719               goto TIDYUP;              /* More addresses for another run */
4720             }
4721           else
4722             {
4723             /* Set up a pipe for proxying TLS for the new transport process */
4724
4725             smtp_peer_options |= OPTION_TLS;
4726             if ((sx->ok = socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4727               socket_fd = pfd[1];
4728             else
4729               set_errno(sx->first_addr, errno, US"internal allocation problem",
4730                       DEFER, FALSE, host,
4731 # ifdef EXPERIMENTAL_DSN_INFO
4732                       sx->smtp_greeting, sx->helo_response,
4733 # endif
4734                       &sx->delivery_start);
4735             }
4736         else
4737 #endif
4738           if (f.continue_more)
4739             goto TIDYUP;                        /* More addresses for another run */
4740
4741         /* If the socket is successfully passed, we mustn't send QUIT (or
4742         indeed anything!) from here. */
4743
4744   /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4745   propagate it from the initial
4746   */
4747         if (sx->ok && transport_pass_socket(tblock->name, host->name,
4748               host->address, new_message_id, socket_fd
4749 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4750               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
4751 #endif
4752               ))
4753           {
4754           sx->send_quit = FALSE;
4755
4756           /* We have passed the client socket to a fresh transport process.
4757           If TLS is still active, we need to proxy it for the transport we
4758           just passed the baton to.  Fork a child to to do it, and return to
4759           get logging done asap.  Which way to place the work makes assumptions
4760           about post-fork prioritisation which may not hold on all platforms. */
4761 #ifndef DISABLE_TLS
4762           if (tls_out.active.sock >= 0)
4763             {
4764             int pid = exim_fork(US"tls-proxy-interproc");
4765             if (pid == 0)               /* child; fork again to disconnect totally */
4766               {
4767               /* does not return */
4768               smtp_proxy_tls(sx->cctx.tls_ctx, sx->buffer, sizeof(sx->buffer), pfd,
4769                               ob->command_timeout, host->name);
4770               }
4771
4772             if (pid > 0)                /* parent */
4773               {
4774               close(pfd[0]);
4775               /* tidy the inter-proc to disconn the proxy proc */
4776               waitpid(pid, NULL, 0);
4777               tls_close(sx->cctx.tls_ctx, TLS_NO_SHUTDOWN);
4778               sx->cctx.tls_ctx = NULL;
4779               (void)close(sx->cctx.sock);
4780               sx->cctx.sock = -1;
4781               continue_transport = NULL;
4782               continue_hostname = NULL;
4783               goto TIDYUP;
4784               }
4785             log_write(0, LOG_PANIC_DIE, "fork failed");
4786             }
4787 #endif
4788           }
4789         }
4790
4791       /* If RSET failed and there are addresses left, they get deferred. */
4792       else
4793         set_errno(sx->first_addr, errno, msg, DEFER, FALSE, host,
4794 #ifdef EXPERIMENTAL_DSN_INFO
4795                     sx->smtp_greeting, sx->helo_response,
4796 #endif
4797                     &sx->delivery_start);
4798       }
4799     }
4800
4801 /* End off tidily with QUIT unless the connection has died or the socket has
4802 been passed to another process. */
4803
4804 SEND_QUIT:
4805 if (sx->send_quit)
4806   {                     /* Use _MORE to get QUIT in FIN segment */
4807   (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4808 #ifndef DISABLE_TLS
4809   if (sx->cctx.tls_ctx && sx->send_tlsclose)
4810     {
4811 # ifdef EXIM_TCP_CORK   /* Use _CORK to get TLS Close Notify in FIN segment */
4812     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4813 # endif
4814     tls_shutdown_wr(sx->cctx.tls_ctx);
4815     sx->send_tlsclose = FALSE;
4816     }
4817 #endif
4818   }
4819
4820 END_OFF:
4821
4822 /* Close the socket, and return the appropriate value, first setting
4823 works because the NULL setting is passed back to the calling process, and
4824 remote_max_parallel is forced to 1 when delivering over an existing connection,
4825
4826 If all went well and continue_more is set, we shouldn't actually get here if
4827 there are further addresses, as the return above will be taken. However,
4828 writing RSET might have failed, or there may be other addresses whose hosts are
4829 specified in the transports, and therefore not visible at top level, in which
4830 case continue_more won't get set. */
4831
4832 if (sx->send_quit)
4833   {
4834   /* This flushes data queued in the socket, being the QUIT and any TLS Close,
4835   sending them along with the client FIN flag.  Us (we hope) sending FIN first
4836   means we (client) take the TIME_WAIT state, so the server (which likely has a
4837   higher connection rate) does not have to. */
4838
4839   HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4840   shutdown(sx->cctx.sock, SHUT_WR);
4841   }
4842
4843 if (sx->send_quit || tcw_done && !tcw)
4844   {
4845   /* Wait for (we hope) ack of our QUIT, and a server FIN.  Discard any data
4846   received, then discard the socket.  Any packet received after then, or receive
4847   data still in the socket, will get a RST - hence the pause/drain. */
4848
4849   /* Reap the response to QUIT, timing out after one second */
4850   (void) smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2', 1);
4851 #ifndef DISABLE_TLS
4852   if (sx->cctx.tls_ctx)
4853     {
4854     int n;
4855
4856     /* Reap the TLS Close Notify from the server, timing out after one second */
4857     sigalrm_seen = FALSE;
4858     ALARM(1);
4859     do
4860       n = tls_read(sx->cctx.tls_ctx, sx->inbuffer, sizeof(sx->inbuffer));
4861     while (!sigalrm_seen && n > 0);
4862     ALARM_CLR(0);
4863
4864     if (sx->send_tlsclose)
4865       {
4866 # ifdef EXIM_TCP_CORK
4867       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4868 # endif
4869       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4870       }
4871     else
4872       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WONLY);
4873     sx->cctx.tls_ctx = NULL;
4874     }
4875 #endif
4876
4877   /* Drain any trailing data from the socket before close, to avoid sending a RST */
4878
4879   if (  poll_one_fd(sx->cctx.sock, POLLIN, 20) != 0             /* 20ms */
4880      && fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4881     for (int i = 16, n;                                         /* drain socket */
4882          (n = read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer))) > 0 && i > 0;
4883          i--) HDEBUG(D_transport|D_acl|D_v)
4884       {
4885       int m = MIN(n, 64);
4886       debug_printf_indent("  SMTP(drain %d bytes)<< %.*s\n", n, m, sx->inbuffer);
4887       for (m = 0; m < n; m++)
4888         debug_printf("0x%02x\n", sx->inbuffer[m]);
4889       }
4890   }
4891 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4892 (void)close(sx->cctx.sock);
4893 sx->cctx.sock = -1;
4894 continue_transport = NULL;
4895 continue_hostname = NULL;
4896 smtp_debug_cmd_report();
4897
4898 #ifndef DISABLE_EVENT
4899 (void) event_raise(tblock->event_action, US"tcp:close", NULL, NULL);
4900 #endif
4901
4902 #ifdef SUPPORT_DANE
4903 if (dane_held)
4904   {
4905   sx->first_addr = NULL;
4906   for (address_item * a = sx->addrlist->next; a; a = a->next)
4907     if (a->transport_return == DANE)
4908       {
4909       a->transport_return = PENDING_DEFER;
4910       if (!sx->first_addr)
4911         {
4912         /* Remember the new start-point in the addrlist, for smtp_setup_conn()
4913         to get the domain string for SNI */
4914
4915         sx->first_addr = a;
4916         clearflag(a, af_cont_conn);
4917         setflag(a, af_new_conn);                /* clear * from logging */
4918         DEBUG(D_transport) debug_printf("DANE: go-around for %s\n", a->domain);
4919         }
4920       }
4921   continue_sequence = 1;                        /* for consistency */
4922   goto REPEAT_CONN;
4923   }
4924 #endif
4925
4926 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4927 if (mail_limit && sx->first_addr)
4928   {
4929   /* Reset the sequence count since we closed the connection.  This is flagged
4930   on the pipe back to the delivery process so that a non-continued-conn delivery
4931   is logged. */
4932
4933   continue_sequence = 1;                        /* for consistency */
4934   clearflag(sx->first_addr, af_cont_conn);
4935   setflag(sx->first_addr, af_new_conn);         /* clear  * from logging */
4936   goto REPEAT_CONN;
4937   }
4938 #endif
4939
4940 return yield;
4941
4942 TIDYUP:
4943 #ifdef SUPPORT_DANE
4944 if (dane_held) for (address_item * a = sx->addrlist->next; a; a = a->next)
4945   if (a->transport_return == DANE)
4946     a->transport_return = PENDING_DEFER;
4947 #endif
4948 return yield;
4949 }
4950
4951
4952
4953
4954 /*************************************************
4955 *              Closedown entry point             *
4956 *************************************************/
4957
4958 /* This function is called when exim is passed an open smtp channel
4959 from another incarnation, but the message which it has been asked
4960 to deliver no longer exists. The channel is on stdin.
4961
4962 We might do fancy things like looking for another message to send down
4963 the channel, but if the one we sought has gone, it has probably been
4964 delivered by some other process that itself will seek further messages,
4965 so just close down our connection.
4966
4967 Argument:   pointer to the transport instance block
4968 Returns:    nothing
4969 */
4970
4971 void
4972 smtp_transport_closedown(transport_instance *tblock)
4973 {
4974 smtp_transport_options_block * ob = SOB tblock->options_block;
4975 client_conn_ctx cctx;
4976 smtp_context sx;
4977 uschar buffer[256];
4978 uschar inbuffer[4096];
4979 uschar outbuffer[16];
4980
4981 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
4982 cctx.sock = fileno(stdin);
4983 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
4984
4985 sx.inblock.cctx = &cctx;
4986 sx.inblock.buffer = inbuffer;
4987 sx.inblock.buffersize = sizeof(inbuffer);
4988 sx.inblock.ptr = inbuffer;
4989 sx.inblock.ptrend = inbuffer;
4990
4991 sx.outblock.cctx = &cctx;
4992 sx.outblock.buffersize = sizeof(outbuffer);
4993 sx.outblock.buffer = outbuffer;
4994 sx.outblock.ptr = outbuffer;
4995 sx.outblock.cmd_count = 0;
4996 sx.outblock.authenticating = FALSE;
4997
4998 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
4999 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
5000 (void)close(cctx.sock);
5001 }
5002
5003
5004
5005 /*************************************************
5006 *            Prepare addresses for delivery      *
5007 *************************************************/
5008
5009 /* This function is called to flush out error settings from previous delivery
5010 attempts to other hosts. It also records whether we got here via an MX record
5011 or not in the more_errno field of the address. We are interested only in
5012 addresses that are still marked DEFER - others may have got delivered to a
5013 previously considered IP address. Set their status to PENDING_DEFER to indicate
5014 which ones are relevant this time.
5015
5016 Arguments:
5017   addrlist     the list of addresses
5018   host         the host we are delivering to
5019
5020 Returns:       the first address for this delivery
5021 */
5022
5023 static address_item *
5024 prepare_addresses(address_item *addrlist, host_item *host)
5025 {
5026 address_item *first_addr = NULL;
5027 for (address_item * addr = addrlist; addr; addr = addr->next)
5028   if (addr->transport_return == DEFER)
5029     {
5030     if (!first_addr) first_addr = addr;
5031     addr->transport_return = PENDING_DEFER;
5032     addr->basic_errno = 0;
5033     addr->more_errno = (host->mx >= 0)? 'M' : 'A';
5034     addr->message = NULL;
5035 #ifndef DISABLE_TLS
5036     addr->cipher = NULL;
5037     addr->ourcert = NULL;
5038     addr->peercert = NULL;
5039     addr->peerdn = NULL;
5040     addr->ocsp = OCSP_NOT_REQ;
5041     addr->tlsver = NULL;
5042 #endif
5043 #ifdef EXPERIMENTAL_DSN_INFO
5044     addr->smtp_greeting = NULL;
5045     addr->helo_response = NULL;
5046 #endif
5047     }
5048 return first_addr;
5049 }
5050
5051
5052
5053 /*************************************************
5054 *              Main entry point                  *
5055 *************************************************/
5056
5057 /* See local README for interface details. As this is a remote transport, it is
5058 given a chain of addresses to be delivered in one connection, if possible. It
5059 always returns TRUE, indicating that each address has its own independent
5060 status set, except if there is a setting up problem, in which case it returns
5061 FALSE. */
5062
5063 BOOL
5064 smtp_transport_entry(
5065   transport_instance *tblock,      /* data for this instantiation */
5066   address_item *addrlist)          /* addresses we are working on */
5067 {
5068 int defport;
5069 int hosts_defer = 0;
5070 int hosts_fail  = 0;
5071 int hosts_looked_up = 0;
5072 int hosts_retry = 0;
5073 int hosts_serial = 0;
5074 int hosts_total = 0;
5075 int total_hosts_tried = 0;
5076 BOOL expired = TRUE;
5077 uschar *expanded_hosts = NULL;
5078 uschar *pistring;
5079 uschar *tid = string_sprintf("%s transport", tblock->name);
5080 smtp_transport_options_block *ob = SOB tblock->options_block;
5081 host_item *hostlist = addrlist->host_list;
5082 host_item *host = NULL;
5083
5084 DEBUG(D_transport)
5085   {
5086   debug_printf("%s transport entered\n", tblock->name);
5087   for (address_item * addr = addrlist; addr; addr = addr->next)
5088     debug_printf("  %s\n", addr->address);
5089   if (hostlist)
5090     {
5091     debug_printf("hostlist:\n");
5092     for (host_item * host = hostlist; host; host = host->next)
5093       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
5094     }
5095   if (continue_hostname)
5096     debug_printf("already connected to %s [%s] (on fd %d)\n",
5097       continue_hostname, continue_host_address,
5098       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
5099   }
5100
5101 /* Check the restrictions on line length */
5102
5103 if (max_received_linelength > ob->message_linelength_limit)
5104   {
5105   struct timeval now;
5106   gettimeofday(&now, NULL);
5107
5108   for (address_item * addr = addrlist; addr; addr = addr->next)
5109     if (addr->transport_return == DEFER)
5110       addr->transport_return = PENDING_DEFER;
5111
5112   set_errno_nohost(addrlist, ERRNO_SMTPFORMAT,
5113     US"message has lines too long for transport", FAIL, TRUE, &now);
5114   goto END_TRANSPORT;
5115   }
5116
5117 /* Set the flag requesting that these hosts be added to the waiting
5118 database if the delivery fails temporarily or if we are running with
5119 queue_smtp or a 2-stage queue run. This gets unset for certain
5120 kinds of error, typically those that are specific to the message. */
5121
5122 update_waiting =  TRUE;
5123
5124 /* If a host list is not defined for the addresses - they must all have the
5125 same one in order to be passed to a single transport - or if the transport has
5126 a host list with hosts_override set, use the host list supplied with the
5127 transport. It is an error for this not to exist. */
5128
5129 if (!hostlist || (ob->hosts_override && ob->hosts))
5130   {
5131   if (!ob->hosts)
5132     {
5133     addrlist->message = string_sprintf("%s transport called with no hosts set",
5134       tblock->name);
5135     addrlist->transport_return = PANIC;
5136     return FALSE;   /* Only top address has status */
5137     }
5138
5139   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
5140     ob->hosts);
5141
5142   /* If the transport's host list contains no '$' characters, and we are not
5143   randomizing, it is fixed and therefore a chain of hosts can be built once
5144   and for all, and remembered for subsequent use by other calls to this
5145   transport. If, on the other hand, the host list does contain '$', or we are
5146   randomizing its order, we have to rebuild it each time. In the fixed case,
5147   as the hosts string will never be used again, it doesn't matter that we
5148   replace all the : characters with zeros. */
5149
5150   if (!ob->hostlist)
5151     {
5152     uschar *s = ob->hosts;
5153
5154     if (Ustrchr(s, '$'))
5155       {
5156       if (!(expanded_hosts = expand_string(s)))
5157         {
5158         addrlist->message = string_sprintf("failed to expand list of hosts "
5159           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
5160         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
5161         return FALSE;     /* Only top address has status */
5162         }
5163       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
5164         "\"%s\"\n", s, expanded_hosts);
5165       s = expanded_hosts;
5166       }
5167     else
5168       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
5169
5170     if (is_tainted(s))
5171       {
5172       log_write(0, LOG_MAIN|LOG_PANIC,
5173         "attempt to use tainted host list '%s' from '%s' in transport %s",
5174         s, ob->hosts, tblock->name);
5175       /* Avoid leaking info to an attacker */
5176       addrlist->message = US"internal configuration error";
5177       addrlist->transport_return = PANIC;
5178       return FALSE;
5179       }
5180
5181     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
5182
5183     /* Check that the expansion yielded something useful. */
5184     if (!hostlist)
5185       {
5186       addrlist->message =
5187         string_sprintf("%s transport has empty hosts setting", tblock->name);
5188       addrlist->transport_return = PANIC;
5189       return FALSE;   /* Only top address has status */
5190       }
5191
5192     /* If there was no expansion of hosts, save the host list for
5193     next time. */
5194
5195     if (!expanded_hosts) ob->hostlist = hostlist;
5196     }
5197
5198   /* This is not the first time this transport has been run in this delivery;
5199   the host list was built previously. */
5200
5201   else
5202     hostlist = ob->hostlist;
5203   }
5204
5205 /* The host list was supplied with the address. If hosts_randomize is set, we
5206 must sort it into a random order if it did not come from MX records and has not
5207 already been randomized (but don't bother if continuing down an existing
5208 connection). */
5209
5210 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
5211   {
5212   host_item *newlist = NULL;
5213   while (hostlist)
5214     {
5215     host_item *h = hostlist;
5216     hostlist = hostlist->next;
5217
5218     h->sort_key = random_number(100);
5219
5220     if (!newlist)
5221       {
5222       h->next = NULL;
5223       newlist = h;
5224       }
5225     else if (h->sort_key < newlist->sort_key)
5226       {
5227       h->next = newlist;
5228       newlist = h;
5229       }
5230     else
5231       {
5232       host_item *hh = newlist;
5233       while (hh->next)
5234         {
5235         if (h->sort_key < hh->next->sort_key) break;
5236         hh = hh->next;
5237         }
5238       h->next = hh->next;
5239       hh->next = h;
5240       }
5241     }
5242
5243   hostlist = addrlist->host_list = newlist;
5244   }
5245
5246 /* Sort out the default port.  */
5247
5248 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
5249
5250 /* For each host-plus-IP-address on the list:
5251
5252 .  If this is a continued delivery and the host isn't the one with the
5253    current connection, skip.
5254
5255 .  If the status is unusable (i.e. previously failed or retry checked), skip.
5256
5257 .  If no IP address set, get the address, either by turning the name into
5258    an address, calling gethostbyname if gethostbyname is on, or by calling
5259    the DNS. The DNS may yield multiple addresses, in which case insert the
5260    extra ones into the list.
5261
5262 .  Get the retry data if not previously obtained for this address and set the
5263    field which remembers the state of this address. Skip if the retry time is
5264    not reached. If not, remember whether retry data was found. The retry string
5265    contains both the name and the IP address.
5266
5267 .  Scan the list of addresses and mark those whose status is DEFER as
5268    PENDING_DEFER. These are the only ones that will be processed in this cycle
5269    of the hosts loop.
5270
5271 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
5272    Some addresses may be successfully delivered, others may fail, and yet
5273    others may get temporary errors and so get marked DEFER.
5274
5275 .  The return from the delivery attempt is OK if a connection was made and a
5276    valid SMTP dialogue was completed. Otherwise it is DEFER.
5277
5278 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
5279
5280 .  If fail to connect, or other defer state, add a retry item.
5281
5282 .  If there are any addresses whose status is still DEFER, carry on to the
5283    next host/IPaddress, unless we have tried the number of hosts given
5284    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
5285    there is some fancy logic for hosts_max_try that means its limit can be
5286    overstepped in some circumstances.
5287
5288 If we get to the end of the list, all hosts have deferred at least one address,
5289 or not reached their retry times. If delay_after_cutoff is unset, it requests a
5290 delivery attempt to those hosts whose last try was before the arrival time of
5291 the current message. To cope with this, we have to go round the loop a second
5292 time. After that, set the status and error data for any addresses that haven't
5293 had it set already. */
5294
5295 for (int cutoff_retry = 0;
5296      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
5297      cutoff_retry++)
5298   {
5299   host_item *nexthost = NULL;
5300   int unexpired_hosts_tried = 0;
5301   BOOL continue_host_tried = FALSE;
5302
5303 retry_non_continued:
5304   for (host = hostlist;
5305           host
5306        && unexpired_hosts_tried < ob->hosts_max_try
5307        && total_hosts_tried < ob->hosts_max_try_hardlimit;
5308        host = nexthost)
5309     {
5310     int rc;
5311     int host_af;
5312     BOOL host_is_expired = FALSE;
5313     BOOL message_defer = FALSE;
5314     BOOL some_deferred = FALSE;
5315     address_item *first_addr = NULL;
5316     uschar *interface = NULL;
5317     uschar *retry_host_key = NULL;
5318     uschar *retry_message_key = NULL;
5319     uschar *serialize_key = NULL;
5320
5321     /* Deal slightly better with a possible Linux kernel bug that results
5322     in intermittent TFO-conn fails deep into the TCP flow.  Bug 2907 tracks.
5323     Hack: Clear TFO option for any further hosts on this tpt run. */
5324
5325     if (total_hosts_tried > 0)
5326       {
5327       DEBUG(D_transport|D_acl|D_v)
5328         debug_printf("Clearing TFO as not first host for message\n");
5329       ob->hosts_try_fastopen = US"";
5330       }
5331
5332     /* Default next host is next host. :-) But this can vary if the
5333     hosts_max_try limit is hit (see below). It may also be reset if a host
5334     address is looked up here (in case the host was multihomed). */
5335
5336     nexthost = host->next;
5337
5338     /* If the address hasn't yet been obtained from the host name, look it up
5339     now, unless the host is already marked as unusable. If it is marked as
5340     unusable, it means that the router was unable to find its IP address (in
5341     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
5342     the lookup failed last time. We don't get this far if *all* MX records
5343     point to non-existent hosts; that is treated as a hard error.
5344
5345     We can just skip this host entirely. When the hosts came from the router,
5346     the address will timeout based on the other host(s); when the address is
5347     looked up below, there is an explicit retry record added.
5348
5349     Note that we mustn't skip unusable hosts if the address is not unset; they
5350     may be needed as expired hosts on the 2nd time round the cutoff loop. */
5351
5352     if (!host->address)
5353       {
5354       int new_port, flags;
5355
5356       if (host->status >= hstatus_unusable)
5357         {
5358         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
5359           host->name);
5360         continue;
5361         }
5362
5363       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
5364
5365       /* The host name is permitted to have an attached port. Find it, and
5366       strip it from the name. Just remember it for now. */
5367
5368       new_port = host_item_get_port(host);
5369
5370       /* Count hosts looked up */
5371
5372       hosts_looked_up++;
5373
5374       /* Find by name if so configured, or if it's an IP address. We don't
5375       just copy the IP address, because we need the test-for-local to happen. */
5376
5377       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
5378       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
5379       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
5380
5381       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
5382         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
5383       else
5384         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
5385           &ob->dnssec,          /* domains for request/require */
5386           NULL, NULL);
5387
5388       /* Update the host (and any additional blocks, resulting from
5389       multihoming) with a host-specific port, if any. */
5390
5391       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
5392
5393       /* Failure to find the host at this time (usually DNS temporary failure)
5394       is really a kind of routing failure rather than a transport failure.
5395       Therefore we add a retry item of the routing kind, not to stop us trying
5396       to look this name up here again, but to ensure the address gets timed
5397       out if the failures go on long enough. A complete failure at this point
5398       commonly points to a configuration error, but the best action is still
5399       to carry on for the next host. */
5400
5401       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
5402         {
5403         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
5404         expired = FALSE;
5405         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
5406         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
5407           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
5408         host->status = hstatus_unusable;
5409
5410         for (address_item * addr = addrlist; addr; addr = addr->next)
5411           {
5412           if (addr->transport_return != DEFER) continue;
5413           addr->basic_errno = ERRNO_UNKNOWNHOST;
5414           addr->message = string_sprintf(
5415             rc == HOST_FIND_SECURITY
5416               ? "lookup of IP address for %s was insecure"
5417               : "failed to lookup IP address for %s",
5418             host->name);
5419           }
5420         continue;
5421         }
5422
5423       /* If the host is actually the local host, we may have a problem, or
5424       there may be some cunning configuration going on. In the problem case,
5425       log things and give up. The default transport status is already DEFER. */
5426
5427       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
5428         {
5429         for (address_item * addr = addrlist; addr; addr = addr->next)
5430           {
5431           addr->basic_errno = ERRNO_HOST_IS_LOCAL;
5432           addr->message = string_sprintf("%s transport found host %s to be "
5433             "local", tblock->name, host->name);
5434           }
5435         goto END_TRANSPORT;
5436         }
5437       }   /* End of block for IP address lookup */
5438
5439     /* If this is a continued delivery, we are interested only in the host
5440     which matches the name of the existing open channel. The check is put
5441     here after the local host lookup, in case the name gets expanded as a
5442     result of the lookup. Set expired FALSE, to save the outer loop executing
5443     twice. */
5444
5445     if (continue_hostname)
5446       if (  Ustrcmp(continue_hostname, host->name) != 0
5447          || Ustrcmp(continue_host_address, host->address) != 0
5448          )
5449         {
5450         expired = FALSE;
5451         continue;      /* With next host */
5452         }
5453       else
5454         continue_host_tried = TRUE;
5455
5456     /* Reset the default next host in case a multihomed host whose addresses
5457     are not looked up till just above added to the host list. */
5458
5459     nexthost = host->next;
5460
5461     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
5462     domain is in queue_smtp_domains, we don't actually want to attempt any
5463     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
5464     there is a lookup defer in queue_smtp_domains, proceed as if the domain
5465     were not in it. We don't want to hold up all SMTP deliveries! Except when
5466     doing a two-stage queue run, don't do this if forcing. */
5467
5468     if (  (!f.deliver_force || f.queue_2stage)
5469        && (  f.queue_smtp
5470           || match_isinlist(addrlist->domain,
5471               CUSS &queue_smtp_domains, 0,
5472               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
5473        )
5474       {
5475       DEBUG(D_transport) debug_printf("first-pass routing only\n");
5476       expired = FALSE;
5477       for (address_item * addr = addrlist; addr; addr = addr->next)
5478         if (addr->transport_return == DEFER)
5479           addr->message = US"first-pass only routing due to -odqs, "
5480                             "queue_smtp_domains or control=queue";
5481       continue;      /* With next host */
5482       }
5483
5484     /* Count hosts being considered - purely for an intelligent comment
5485     if none are usable. */
5486
5487     hosts_total++;
5488
5489     /* Set $host and $host address now in case they are needed for the
5490     interface expansion or the serialize_hosts check; they remain set if an
5491     actual delivery happens. */
5492
5493     deliver_host = host->name;
5494     deliver_host_address = host->address;
5495     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
5496                                 : host->dnssec == DS_NO ? US"no"
5497                                 : US"";
5498
5499     /* Set up a string for adding to the retry key if the port number is not
5500     the standard SMTP port. A host may have its own port setting that overrides
5501     the default. */
5502
5503     pistring = string_sprintf(":%d", host->port == PORT_NONE
5504       ? defport : host->port);
5505     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
5506
5507     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
5508     string is set, even if constant (as different transports can have different
5509     constant settings), we must add it to the key that is used for retries,
5510     because connections to the same host from a different interface should be
5511     treated separately. */
5512
5513     host_af = Ustrchr(host->address, ':') ? AF_INET6 : AF_INET;
5514       {
5515       uschar * s = ob->interface;
5516       if (s && *s)
5517         {
5518         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
5519           return FALSE;
5520         pistring = string_sprintf("%s/%s", pistring, interface);
5521         }
5522       }
5523
5524     /* The first time round the outer loop, check the status of the host by
5525     inspecting the retry data. The second time round, we are interested only
5526     in expired hosts that haven't been tried since this message arrived. */
5527
5528     if (cutoff_retry == 0)
5529       {
5530       BOOL incl_ip;
5531       /* Ensure the status of the address is set by checking retry data if
5532       necessary. There may be host-specific retry data (applicable to all
5533       messages) and also data for retries of a specific message at this host.
5534       If either of these retry records are actually read, the keys used are
5535       returned to save recomputing them later. */
5536
5537       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5538                 US"retry_include_ip_address", ob->retry_include_ip_address,
5539                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
5540         continue;       /* with next host */
5541
5542       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
5543         incl_ip, &retry_host_key, &retry_message_key);
5544
5545       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
5546         host->address ? host->address : US"", pistring,
5547         host->status == hstatus_usable ? "usable"
5548         : host->status == hstatus_unusable ? "unusable"
5549         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
5550
5551       /* Skip this address if not usable at this time, noting if it wasn't
5552       actually expired, both locally and in the address. */
5553
5554       switch (host->status)
5555         {
5556         case hstatus_unusable:
5557           expired = FALSE;
5558           setflag(addrlist, af_retry_skipped);
5559           /* Fall through */
5560
5561         case hstatus_unusable_expired:
5562           switch (host->why)
5563             {
5564             case hwhy_retry: hosts_retry++; break;
5565             case hwhy_failed:  hosts_fail++; break;
5566             case hwhy_insecure:
5567             case hwhy_deferred: hosts_defer++; break;
5568             }
5569
5570           /* If there was a retry message key, implying that previously there
5571           was a message-specific defer, we don't want to update the list of
5572           messages waiting for these hosts. */
5573
5574           if (retry_message_key) update_waiting = FALSE;
5575           continue;   /* With the next host or IP address */
5576         }
5577       }
5578
5579     /* Second time round the loop: if the address is set but expired, and
5580     the message is newer than the last try, let it through. */
5581
5582     else
5583       {
5584       if (  !host->address
5585          || host->status != hstatus_unusable_expired
5586          || host->last_try > received_time.tv_sec)
5587         continue;
5588       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
5589           host->name, host->address, pistring);
5590       host_is_expired = TRUE;
5591       }
5592
5593     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
5594     it remains TRUE only if all hosts are expired and none are actually tried.
5595     */
5596
5597     expired = FALSE;
5598
5599     /* If this host is listed as one to which access must be serialized,
5600     see if another Exim process has a connection to it, and if so, skip
5601     this host. If not, update the database to record our connection to it
5602     and remember this for later deletion. Do not do any of this if we are
5603     sending the message down a pre-existing connection. */
5604
5605     if (  !continue_hostname
5606        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
5607       {
5608       serialize_key = string_sprintf("host-serialize-%s", host->name);
5609       if (!enq_start(serialize_key, 1))
5610         {
5611         DEBUG(D_transport)
5612           debug_printf("skipping host %s because another Exim process "
5613             "is connected to it\n", host->name);
5614         hosts_serial++;
5615         continue;
5616         }
5617       }
5618
5619     /* OK, we have an IP address that is not waiting for its retry time to
5620     arrive (it might be expired) OR (second time round the loop) we have an
5621     expired host that hasn't been tried since the message arrived. Have a go
5622     at delivering the message to it. First prepare the addresses by flushing
5623     out the result of previous attempts, and finding the first address that
5624     is still to be delivered. */
5625
5626     first_addr = prepare_addresses(addrlist, host);
5627
5628     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
5629       message_id, host->name, host->address, addrlist->address,
5630       addrlist->next ? ", ..." : "");
5631
5632     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5633       message_id, host->name, host->address, pistring, addrlist->address,
5634       addrlist->next ? ", ..." : "");
5635
5636     /* This is not for real; don't do the delivery. If there are
5637     any remaining hosts, list them. */
5638
5639     if (f.dont_deliver)
5640       {
5641       struct timeval now;
5642       gettimeofday(&now, NULL);
5643       set_errno_nohost(addrlist, 0, NULL, OK, FALSE, &now);
5644       for (address_item * addr = addrlist; addr; addr = addr->next)
5645         {
5646         addr->host_used = host;
5647         addr->special_action = '*';
5648         addr->message = US"delivery bypassed by -N option";
5649         }
5650       DEBUG(D_transport)
5651         {
5652         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5653                      "*** host and remaining hosts:\n", tblock->name);
5654         for (host_item * host2 = host; host2; host2 = host2->next)
5655           debug_printf("    %s [%s]\n", host2->name,
5656             host2->address ? host2->address : US"unset");
5657         }
5658       rc = OK;
5659       }
5660
5661     /* This is for real. If the host is expired, we don't count it for
5662     hosts_max_retry. This ensures that all hosts must expire before an address
5663     is timed out, unless hosts_max_try_hardlimit (which protects against
5664     lunatic DNS configurations) is reached.
5665
5666     If the host is not expired and we are about to hit the hosts_max_retry
5667     limit, check to see if there is a subsequent hosts with a different MX
5668     value. If so, make that the next host, and don't count this one. This is a
5669     heuristic to make sure that different MXs do get tried. With a normal kind
5670     of retry rule, they would get tried anyway when the earlier hosts were
5671     delayed, but if the domain has a "retry every time" type of rule - as is
5672     often used for the the very large ISPs, that won't happen. */
5673
5674     else
5675       {
5676       host_item * thost;
5677       /* Make a copy of the host if it is local to this invocation
5678        of the transport. */
5679
5680       if (expanded_hosts)
5681         {
5682         thost = store_get(sizeof(host_item), GET_UNTAINTED);
5683         *thost = *host;
5684         thost->name = string_copy(host->name);
5685         thost->address = string_copy(host->address);
5686         }
5687       else
5688         thost = host;
5689
5690       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5691         {
5692         DEBUG(D_transport)
5693           debug_printf("hosts_max_try limit reached with this host\n");
5694         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5695           {
5696           nexthost = h;
5697           unexpired_hosts_tried--;
5698           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5699             "and will be tried\n");
5700           break;
5701           }
5702         }
5703
5704       /* Attempt the delivery. */
5705
5706       total_hosts_tried++;
5707       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5708         &message_defer, FALSE);
5709
5710       /* Yield is one of:
5711          OK     => connection made, each address contains its result;
5712                      message_defer is set for message-specific defers (when all
5713                      recipients are marked defer)
5714          DEFER  => there was a non-message-specific delivery problem;
5715          ERROR  => there was a problem setting up the arguments for a filter,
5716                    or there was a problem with expanding added headers
5717       */
5718
5719       /* If the result is not OK, there was a non-message-specific problem.
5720       If the result is DEFER, we need to write to the logs saying what happened
5721       for this particular host, except in the case of authentication and TLS
5722       failures, where the log has already been written. If all hosts defer a
5723       general message is written at the end. */
5724
5725       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5726                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5727         write_logs(host, first_addr->message, first_addr->basic_errno);
5728
5729 #ifndef DISABLE_EVENT
5730       if (rc == DEFER)
5731         deferred_event_raise(first_addr, host, US"msg:host:defer");
5732 #endif
5733
5734       /* If STARTTLS was accepted, but there was a failure in setting up the
5735       TLS session (usually a certificate screwup), and the host is not in
5736       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5737       TLS forcibly turned off. We have to start from scratch with a new SMTP
5738       connection. That's why the retry is done from here, not from within
5739       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5740       session, so the in-clear transmission after those errors, if permitted,
5741       happens inside smtp_deliver().] */
5742
5743 #ifndef DISABLE_TLS
5744       if (  rc == DEFER
5745          && first_addr->basic_errno == ERRNO_TLSFAILURE
5746          && ob->tls_tempfail_tryclear
5747          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5748          )
5749         {
5750         log_write(0, LOG_MAIN,
5751           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5752           first_addr->message, host->name, host->address);
5753         first_addr = prepare_addresses(addrlist, host);
5754         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5755           &message_defer, TRUE);
5756         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5757           write_logs(host, first_addr->message, first_addr->basic_errno);
5758 # ifndef DISABLE_EVENT
5759         if (rc == DEFER)
5760           deferred_event_raise(first_addr, host, US"msg:host:defer");
5761 # endif
5762         }
5763 #endif  /*DISABLE_TLS*/
5764
5765 #ifndef DISABLE_EVENT
5766       /* If the last host gave a defer raise a per-message event */
5767
5768       if (  !(  nexthost
5769              && unexpired_hosts_tried < ob->hosts_max_try
5770              && total_hosts_tried < ob->hosts_max_try_hardlimit
5771              )
5772          && (message_defer || rc == DEFER)
5773          )
5774         deferred_event_raise(first_addr, host, US"msg:defer");
5775 #endif
5776       }
5777
5778     /* Delivery attempt finished */
5779
5780     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5781       message_id, host->name, host->address, pistring, addrlist->address,
5782       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5783
5784     /* Release serialization if set up */
5785
5786     if (serialize_key) enq_end(serialize_key);
5787
5788     /* If the result is DEFER, or if a host retry record is known to exist, we
5789     need to add an item to the retry chain for updating the retry database
5790     at the end of delivery. We only need to add the item to the top address,
5791     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5792     for any other delivery attempts using the same address. (It is copied into
5793     the unusable tree at the outer level, so even if different address blocks
5794     contain the same address, it still won't get tried again.) */
5795
5796     if (rc == DEFER || retry_host_key)
5797       {
5798       int delete_flag = rc != DEFER ? rf_delete : 0;
5799       if (!retry_host_key)
5800         {
5801         BOOL incl_ip;
5802         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5803                   US"retry_include_ip_address", ob->retry_include_ip_address,
5804                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5805           incl_ip = TRUE;       /* error; use most-specific retry record */
5806
5807         retry_host_key = incl_ip
5808           ? string_sprintf("T:%S:%s%s", host->name, host->address, pistring)
5809           : string_sprintf("T:%S%s", host->name, pistring);
5810         }
5811
5812       /* If a delivery of another message over an existing SMTP connection
5813       yields DEFER, we do NOT set up retry data for the host. This covers the
5814       case when there are delays in routing the addresses in the second message
5815       that are so long that the server times out. This is alleviated by not
5816       routing addresses that previously had routing defers when handling an
5817       existing connection, but even so, this case may occur (e.g. if a
5818       previously happily routed address starts giving routing defers). If the
5819       host is genuinely down, another non-continued message delivery will
5820       notice it soon enough. */
5821
5822       if (delete_flag != 0 || !continue_hostname)
5823         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5824
5825       /* We may have tried an expired host, if its retry time has come; ensure
5826       the status reflects the expiry for the benefit of any other addresses. */
5827
5828       if (rc == DEFER)
5829         {
5830         host->status = host_is_expired
5831           ? hstatus_unusable_expired : hstatus_unusable;
5832         host->why = hwhy_deferred;
5833         }
5834       }
5835
5836     /* If message_defer is set (host was OK, but every recipient got deferred
5837     because of some message-specific problem), or if that had happened
5838     previously so that a message retry key exists, add an appropriate item
5839     to the retry chain. Note that if there was a message defer but now there is
5840     a host defer, the message defer record gets deleted. That seems perfectly
5841     reasonable. Also, stop the message from being remembered as waiting
5842     for specific hosts. */
5843
5844     if (message_defer || retry_message_key)
5845       {
5846       int delete_flag = message_defer ? 0 : rf_delete;
5847       if (!retry_message_key)
5848         {
5849         BOOL incl_ip;
5850         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5851                   US"retry_include_ip_address", ob->retry_include_ip_address,
5852                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5853           incl_ip = TRUE;       /* error; use most-specific retry record */
5854
5855         retry_message_key = incl_ip
5856           ? string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
5857               message_id)
5858           : string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
5859         }
5860       retry_add_item(addrlist, retry_message_key,
5861         rf_message | rf_host | delete_flag);
5862       update_waiting = FALSE;
5863       }
5864
5865     /* Any return other than DEFER (that is, OK or ERROR) means that the
5866     addresses have got their final statuses filled in for this host. In the OK
5867     case, see if any of them are deferred. */
5868
5869     if (rc == OK)
5870       for (address_item * addr = addrlist; addr; addr = addr->next)
5871         if (addr->transport_return == DEFER)
5872           {
5873           some_deferred = TRUE;
5874           break;
5875           }
5876
5877     /* If no addresses deferred or the result was ERROR, return. We do this for
5878     ERROR because a failing filter set-up or add_headers expansion is likely to
5879     fail for any host we try. */
5880
5881     if (rc == ERROR || (rc == OK && !some_deferred))
5882       {
5883       DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
5884       return TRUE;    /* Each address has its status */
5885       }
5886
5887     /* If the result was DEFER or some individual addresses deferred, let
5888     the loop run to try other hosts with the deferred addresses, except for the
5889     case when we were trying to deliver down an existing channel and failed.
5890     Don't try any other hosts in this case. */
5891
5892     if (continue_hostname) break;
5893
5894     /* If the whole delivery, or some individual addresses, were deferred and
5895     there are more hosts that could be tried, do not count this host towards
5896     the hosts_max_try limit if the age of the message is greater than the
5897     maximum retry time for this host. This means we may try try all hosts,
5898     ignoring the limit, when messages have been around for some time. This is
5899     important because if we don't try all hosts, the address will never time
5900     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5901
5902     if ((rc == DEFER || some_deferred) && nexthost)
5903       {
5904       BOOL timedout;
5905       retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
5906
5907       if (retry && retry->rules)
5908         {
5909         retry_rule *last_rule;
5910         for (last_rule = retry->rules;
5911              last_rule->next;
5912              last_rule = last_rule->next);
5913         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5914         }
5915       else timedout = TRUE;    /* No rule => timed out */
5916
5917       if (timedout)
5918         {
5919         unexpired_hosts_tried--;
5920         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5921           "hosts_max_try (message older than host's retry time)\n");
5922         }
5923       }
5924
5925     DEBUG(D_transport)
5926       {
5927       if (unexpired_hosts_tried >= ob->hosts_max_try)
5928         debug_printf("reached transport hosts_max_try limit %d\n",
5929           ob->hosts_max_try);
5930       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5931         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5932           ob->hosts_max_try_hardlimit);
5933       }
5934
5935     testharness_pause_ms(500); /* let server debug out */
5936     }   /* End of loop for trying multiple hosts. */
5937
5938   /* If we failed to find a matching host in the list, for an already-open
5939   connection, just close it and start over with the list.  This can happen
5940   for routing that changes from run to run, or big multi-IP sites with
5941   round-robin DNS. */
5942
5943   if (continue_hostname && !continue_host_tried)
5944     {
5945     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
5946
5947     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
5948 #ifndef DISABLE_TLS
5949     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
5950     transport */
5951 /*XXX doublecheck that! */
5952
5953     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
5954       {
5955       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
5956       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
5957       cutthrough.cctx.tls_ctx = NULL;
5958       cutthrough.is_tls = FALSE;
5959       }
5960     else
5961 #else
5962       (void) write(fd, US"QUIT\r\n", 6);
5963 #endif
5964     (void) close(fd);
5965     cutthrough.cctx.sock = -1;
5966     continue_hostname = NULL;
5967     goto retry_non_continued;
5968     }
5969
5970   /* This is the end of the loop that repeats iff expired is TRUE and
5971   ob->delay_after_cutoff is FALSE. The second time round we will
5972   try those hosts that haven't been tried since the message arrived. */
5973
5974   DEBUG(D_transport)
5975     {
5976     debug_printf("all IP addresses skipped or deferred at least one address\n");
5977     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
5978       debug_printf("retrying IP addresses not tried since message arrived\n");
5979     }
5980   }
5981
5982
5983 /* Get here if all IP addresses are skipped or defer at least one address. In
5984 MUA wrapper mode, this will happen only for connection or other non-message-
5985 specific failures. Force the delivery status for all addresses to FAIL. */
5986
5987 if (mua_wrapper)
5988   {
5989   for (address_item * addr = addrlist; addr; addr = addr->next)
5990     addr->transport_return = FAIL;
5991   goto END_TRANSPORT;
5992   }
5993
5994 /* In the normal, non-wrapper case, add a standard message to each deferred
5995 address if there hasn't been an error, that is, if it hasn't actually been
5996 tried this time. The variable "expired" will be FALSE if any deliveries were
5997 actually tried, or if there was at least one host that was not expired. That
5998 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
5999 a delivery has been tried, an error code will be set, and the failing of the
6000 message is handled by the retry code later.
6001
6002 If queue_smtp is set, or this transport was called to send a subsequent message
6003 down an existing TCP/IP connection, and something caused the host not to be
6004 found, we end up here, but can detect these cases and handle them specially. */
6005
6006 for (address_item * addr = addrlist; addr; addr = addr->next)
6007   {
6008   /* If host is not NULL, it means that we stopped processing the host list
6009   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
6010   means we need to behave as if some hosts were skipped because their retry
6011   time had not come. Specifically, this prevents the address from timing out.
6012   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
6013   hosts were tried. */
6014
6015   if (host)
6016     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
6017       {
6018       DEBUG(D_transport)
6019         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
6020           "hosts were tried\n");
6021       }
6022     else
6023       {
6024       DEBUG(D_transport)
6025         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
6026       setflag(addr, af_retry_skipped);
6027       }
6028
6029   if (f.queue_smtp)    /* no deliveries attempted */
6030     {
6031     addr->transport_return = DEFER;
6032     addr->basic_errno = 0;
6033     addr->message = US"SMTP delivery explicitly queued";
6034     }
6035
6036   else if (  addr->transport_return == DEFER
6037           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
6038           && !addr->message
6039           )
6040     {
6041     addr->basic_errno = ERRNO_HRETRY;
6042     if (continue_hostname)
6043       addr->message = US"no host found for existing SMTP connection";
6044     else if (expired)
6045       {
6046       setflag(addr, af_pass_message);   /* This is not a security risk */
6047       addr->message = string_sprintf(
6048         "all hosts%s have been failing for a long time %s",
6049         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
6050         ob->delay_after_cutoff
6051         ? US"(and retry time not reached)"
6052         : US"and were last tried after this message arrived");
6053
6054       /* If we are already using fallback hosts, or there are no fallback hosts
6055       defined, convert the result to FAIL to cause a bounce. */
6056
6057       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
6058         addr->transport_return = FAIL;
6059       }
6060     else
6061       {
6062       const char * s;
6063       if (hosts_retry == hosts_total)
6064         s = "retry time not reached for any host%s";
6065       else if (hosts_fail == hosts_total)
6066         s = "all host address lookups%s failed permanently";
6067       else if (hosts_defer == hosts_total)
6068         s = "all host address lookups%s failed temporarily";
6069       else if (hosts_serial == hosts_total)
6070         s = "connection limit reached for all hosts%s";
6071       else if (hosts_fail+hosts_defer == hosts_total)
6072         s = "all host address lookups%s failed";
6073       else
6074         s = "some host address lookups failed and retry time "
6075         "not reached for other hosts or connection limit reached%s";
6076
6077       addr->message = string_sprintf(s,
6078         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
6079       }
6080     }
6081   }
6082
6083 /* Update the database which keeps information about which messages are waiting
6084 for which hosts to become available. For some message-specific errors, the
6085 update_waiting flag is turned off because we don't want follow-on deliveries in
6086 those cases.  If this transport instance is explicitly limited to one message
6087 per connection then follow-on deliveries are not possible and there's no need
6088 to create/update the per-transport wait-<transport_name> database. */
6089
6090 if (update_waiting && tblock->connection_max_messages != 1)
6091   transport_update_waiting(hostlist, tblock->name);
6092
6093 END_TRANSPORT:
6094
6095 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
6096
6097 return TRUE;   /* Each address has its status */
6098 }
6099
6100 #endif  /*!MACRO_PREDEF*/
6101 /* vi: aw ai sw=2
6102 */
6103 /* End of transport/smtp.c */