test/src/client.c

   1 /* A little hacked up program that makes a TCP/IP call and reads a script to
   2 drive it, for testing Exim server code running as a daemon. It's got a bit
   3 messy with the addition of support for either OpenSSL or GnuTLS. The code for
   4 those was hacked out of Exim itself, then code for OpenSSL OCSP stapling was
   5 ripped from the openssl ocsp and s_client utilities. */
   6
   7 /* ANSI C standard includes */
   8
   9 #include <ctype.h>
  10 #include <signal.h>
  11 #include <stdarg.h>
  12 #include <stddef.h>
  13 #include <stdio.h>
  14 #include <stdlib.h>
  15 #include <string.h>
  16 #include <time.h>
  17
  18 /* Unix includes */
  19
  20 #include <errno.h>
  21 #include <dirent.h>
  22 #include <sys/types.h>
  23
  24 #include <netinet/in_systm.h>
  25 #include <netinet/in.h>
  26 #include <netinet/ip.h>
  27
  28 #include <netdb.h>
  29 #include <arpa/inet.h>
  30 #include <sys/time.h>
  31 #include <sys/resource.h>
  32 #include <sys/socket.h>
  33 #include <sys/stat.h>
  34 #include <fcntl.h>
  35 #include <unistd.h>
  36 #include <utime.h>
  37
  38 #ifdef AF_INET6
  39 #define HAVE_IPV6 1
  40 #endif
  41
  42 #ifndef S_ADDR_TYPE
  43 #define S_ADDR_TYPE u_long
  44 #endif
  45
  46 typedef unsigned char uschar;
  47
  48 #define CS   (char *)
  49 #define US   (unsigned char *)
  50
  51 #define FALSE         0
  52 #define TRUE          1
  53
  54
  55
  56 static int sigalrm_seen = 0;
  57
  58
  59 /* TLS support can be optionally included, either for OpenSSL or GnuTLS. The
  60 latter needs a whole pile of tables. */
  61
  62 #ifdef HAVE_OPENSSL
  63 # define HAVE_TLS
  64 # include <openssl/crypto.h>
  65 # include <openssl/x509.h>
  66 # include <openssl/pem.h>
  67 # include <openssl/ssl.h>
  68 # include <openssl/err.h>
  69 # include <openssl/rand.h>
  70 # include <openssl/ocsp.h>
  71 #endif
  72
  73
  74 #ifdef HAVE_GNUTLS
  75 # define HAVE_TLS
  76 # include <gnutls/gnutls.h>
  77 # include <gnutls/x509.h>
  78 # if GNUTLS_VERSION_NUMBER >= 0x030103
  79 #  define HAVE_OCSP
  80 #  include <gnutls/ocsp.h>
  81 # endif
  82
  83 # define DH_BITS      768
  84
  85 /* Local static variables for GNUTLS */
  86
  87 static gnutls_dh_params dh_params = NULL;
  88
  89 static gnutls_certificate_credentials_t x509_cred = NULL;
  90 static gnutls_session tls_session = NULL;
  91
  92 static int  ssl_session_timeout = 200;
  93
  94 /* Priorities for TLS algorithms to use. */
  95
  96 static const int protocol_priority[16] = { GNUTLS_TLS1, GNUTLS_SSL3, 0 };
  97
  98 static const int kx_priority[16] = {
  99   GNUTLS_KX_RSA,
 100   GNUTLS_KX_DHE_DSS,
 101   GNUTLS_KX_DHE_RSA,
 102   0 };
 103
 104 static int default_cipher_priority[16] = {
 105   GNUTLS_CIPHER_AES_256_CBC,
 106   GNUTLS_CIPHER_AES_128_CBC,
 107   GNUTLS_CIPHER_3DES_CBC,
 108   GNUTLS_CIPHER_ARCFOUR_128,
 109   0 };
 110
 111 static const int mac_priority[16] = {
 112   GNUTLS_MAC_SHA,
 113   GNUTLS_MAC_MD5,
 114   0 };
 115
 116 static const int comp_priority[16] = { GNUTLS_COMP_NULL, 0 };
 117 static const int cert_type_priority[16] = { GNUTLS_CRT_X509, 0 };
 118
 119 #endif  /*HAVE_GNUTLS*/
 120
 121
 122
 123 #ifdef HAVE_TLS
 124 char * ocsp_stapling = NULL;
 125 #endif
 126
 127
 128 /*************************************************
 129 *            SIGALRM handler - crash out         *
 130 *************************************************/
 131
 132 static void
 133 sigalrm_handler_crash(int sig)
 134 {
 135 sig = sig;    /* Keep picky compilers happy */
 136 printf("\nClient timed out\n");
 137 exit(99);
 138 }
 139
 140
 141 /*************************************************
 142 *            SIGALRM handler - set flag          *
 143 *************************************************/
 144
 145 static void
 146 sigalrm_handler_flag(int sig)
 147 {
 148 sig = sig;    /* Keep picky compilers happy */
 149 sigalrm_seen = 1;
 150 }
 151
 152
 153
 154 /****************************************************************************/
 155 /****************************************************************************/
 156
 157 #ifdef HAVE_OPENSSL
 158
 159 X509_STORE *
 160 setup_verify(BIO *bp, char *CAfile, char *CApath)
 161 {
 162         X509_STORE *store;
 163         X509_LOOKUP *lookup;
 164         if(!(store = X509_STORE_new())) goto end;
 165         lookup=X509_STORE_add_lookup(store,X509_LOOKUP_file());
 166         if (lookup == NULL) goto end;
 167         if (CAfile) {
 168                 if(!X509_LOOKUP_load_file(lookup,CAfile,X509_FILETYPE_PEM)) {
 169                         BIO_printf(bp, "Error loading file %s\n", CAfile);
 170                         goto end;
 171                 }
 172         } else X509_LOOKUP_load_file(lookup,NULL,X509_FILETYPE_DEFAULT);
 173
 174         lookup=X509_STORE_add_lookup(store,X509_LOOKUP_hash_dir());
 175         if (lookup == NULL) goto end;
 176         if (CApath) {
 177                 if(!X509_LOOKUP_add_dir(lookup,CApath,X509_FILETYPE_PEM)) {
 178                         BIO_printf(bp, "Error loading directory %s\n", CApath);
 179                         goto end;
 180                 }
 181         } else X509_LOOKUP_add_dir(lookup,NULL,X509_FILETYPE_DEFAULT);
 182
 183         ERR_clear_error();
 184         return store;
 185         end:
 186         X509_STORE_free(store);
 187         return NULL;
 188 }
 189
 190
 191 static int
 192 tls_client_stapling_cb(SSL *s, void *arg)
 193 {
 194 const unsigned char *p;
 195 int len;
 196 OCSP_RESPONSE *rsp;
 197 OCSP_BASICRESP *bs;
 198 char *CAfile = NULL;
 199 X509_STORE *store = NULL;
 200 int ret = 1;
 201
 202 len = SSL_get_tlsext_status_ocsp_resp(s, &p);
 203 /*BIO_printf(arg, "OCSP response: ");*/
 204 if (!p)
 205         {
 206         BIO_printf(arg, "no response received\n");
 207         return 1;
 208         }
 209 if(!(rsp = d2i_OCSP_RESPONSE(NULL, &p, len)))
 210         {
 211         BIO_printf(arg, "response parse error\n");
 212         BIO_dump_indent(arg, (char *)p, len, 4);
 213         return 0;
 214         }
 215 if(!(bs = OCSP_response_get1_basic(rsp)))
 216   {
 217   BIO_printf(arg, "error parsing response\n");
 218   return 0;
 219   }
 220
 221 CAfile = ocsp_stapling;
 222 if(!(store = setup_verify(arg, CAfile, NULL)))
 223   {
 224   BIO_printf(arg, "error in cert setup\n");
 225   return 0;
 226   }
 227
 228 /* No file of alternate certs, no options */
 229 if(OCSP_basic_verify(bs, NULL, store, 0) <= 0)
 230   {
 231   BIO_printf(arg, "Response Verify Failure\n");
 232   ERR_print_errors(arg);
 233   ret = 0;
 234   }
 235 else
 236   BIO_printf(arg, "Response verify OK\n");
 237
 238 X509_STORE_free(store);
 239 return ret;
 240 }
 241
 242
 243 /*************************************************
 244 *         Start an OpenSSL TLS session           *
 245 *************************************************/
 246
 247 int
 248 tls_start(int sock, SSL **ssl, SSL_CTX *ctx)
 249 {
 250 int rc;
 251 static const char *sid_ctx = "exim";
 252
 253 RAND_load_file("client.c", -1);   /* Not *very* random! */
 254
 255 *ssl = SSL_new (ctx);
 256 SSL_set_session_id_context(*ssl, sid_ctx, strlen(sid_ctx));
 257 SSL_set_fd (*ssl, sock);
 258 SSL_set_connect_state(*ssl);
 259
 260 if (ocsp_stapling)
 261   {
 262   SSL_CTX_set_tlsext_status_cb(ctx, tls_client_stapling_cb);
 263   SSL_CTX_set_tlsext_status_arg(ctx, BIO_new_fp(stdout, BIO_NOCLOSE));
 264   SSL_set_tlsext_status_type(*ssl, TLSEXT_STATUSTYPE_ocsp);
 265   }
 266
 267 signal(SIGALRM, sigalrm_handler_flag);
 268 sigalrm_seen = 0;
 269 alarm(5);
 270 rc = SSL_connect (*ssl);
 271 alarm(0);
 272
 273 if (sigalrm_seen)
 274   {
 275   printf("SSL_connect timed out\n");
 276   return 0;
 277   }
 278
 279 if (rc <= 0)
 280   {
 281   ERR_print_errors_fp(stdout);
 282   return 0;
 283   }
 284
 285 printf("SSL connection using %s\n", SSL_get_cipher (*ssl));
 286 return 1;
 287 }
 288
 289
 290 /*************************************************
 291 *           SSL Information callback             *
 292 *************************************************/
 293
 294 static void
 295 info_callback(SSL *s, int where, int ret)
 296 {
 297 where = where;
 298 ret = ret;
 299 printf("SSL info: %s\n", SSL_state_string_long(s));
 300 }
 301 #endif
 302
 303
 304 /****************************************************************************/
 305 /****************************************************************************/
 306
 307
 308 #ifdef HAVE_GNUTLS
 309 /*************************************************
 310 *            Handle GnuTLS error                 *
 311 *************************************************/
 312
 313 /* Called from lots of places when errors occur before actually starting to do
 314 the TLS handshake, that is, while the session is still in clear.
 315
 316 Argument:
 317   prefix    prefix text
 318   err       a GnuTLS error number, or 0 if local error
 319
 320 Returns:    doesn't - it dies
 321 */
 322
 323 static void
 324 gnutls_error(uschar *prefix, int err)
 325 {
 326 fprintf(stderr, "GnuTLS connection error: %s:", prefix);
 327 if (err != 0) fprintf(stderr, " %s", gnutls_strerror(err));
 328 fprintf(stderr, "\n");
 329 exit(98);
 330 }
 331
 332
 333
 334 /*************************************************
 335 *             Setup up DH parameters             *
 336 *************************************************/
 337
 338 /* For the test suite, the parameters should always be available in the spool
 339 directory. */
 340
 341 static void
 342 init_dh(void)
 343 {
 344 int fd;
 345 int ret;
 346 gnutls_datum m;
 347 uschar filename[200];
 348 struct stat statbuf;
 349
 350 /* Initialize the data structures for holding the parameters */
 351
 352 ret = gnutls_dh_params_init(&dh_params);
 353 if (ret < 0) gnutls_error(US"init dh_params", ret);
 354
 355 /* Open the cache file for reading and if successful, read it and set up the
 356 parameters. */
 357
 358 fd = open("aux-fixed/gnutls-params", O_RDONLY, 0);
 359 if (fd < 0)
 360   {
 361   fprintf(stderr, "Failed to open spool/gnutls-params: %s\n", strerror(errno));
 362   exit(97);
 363   }
 364
 365 if (fstat(fd, &statbuf) < 0)
 366   {
 367   (void)close(fd);
 368   return gnutls_error(US"TLS cache stat failed", 0);
 369   }
 370
 371 m.size = statbuf.st_size;
 372 m.data = malloc(m.size);
 373 if (m.data == NULL)
 374   return gnutls_error(US"memory allocation failed", 0);
 375 if (read(fd, m.data, m.size) != m.size)
 376   return gnutls_error(US"TLS cache read failed", 0);
 377 (void)close(fd);
 378
 379 ret = gnutls_dh_params_import_pkcs3(dh_params, &m, GNUTLS_X509_FMT_PEM);
 380 if (ret < 0) return gnutls_error(US"DH params import", ret);
 381 free(m.data);
 382 }
 383
 384
 385
 386
 387 /*************************************************
 388 *            Initialize for GnuTLS               *
 389 *************************************************/
 390
 391 /*
 392 Arguments:
 393   certificate     certificate file
 394   privatekey      private key file
 395 */
 396
 397 static void
 398 tls_init(uschar *certificate, uschar *privatekey)
 399 {
 400 int rc;
 401
 402 rc = gnutls_global_init();
 403 if (rc < 0) gnutls_error(US"gnutls_global_init", rc);
 404
 405 /* Read D-H parameters from the cache file. */
 406
 407 init_dh();
 408
 409 /* Create the credentials structure */
 410
 411 rc = gnutls_certificate_allocate_credentials(&x509_cred);
 412 if (rc < 0) gnutls_error(US"certificate_allocate_credentials", rc);
 413
 414 /* Set the certificate and private keys */
 415
 416 if (certificate != NULL)
 417   {
 418   rc = gnutls_certificate_set_x509_key_file(x509_cred, CS certificate,
 419     CS privatekey, GNUTLS_X509_FMT_PEM);
 420   if (rc < 0) gnutls_error("gnutls_certificate", rc);
 421   }
 422
 423 /* Associate the parameters with the x509 credentials structure. */
 424
 425 gnutls_certificate_set_dh_params(x509_cred, dh_params);
 426
 427 /* set the CA info for server-cert verify */
 428 if (ocsp_stapling)
 429   gnutls_certificate_set_x509_trust_file(x509_cred, ocsp_stapling,
 430         GNUTLS_X509_FMT_PEM);
 431 }
 432
 433
 434
 435 /*************************************************
 436 *        Initialize a single GNUTLS session      *
 437 *************************************************/
 438
 439 static gnutls_session
 440 tls_session_init(void)
 441 {
 442 gnutls_session session;
 443
 444 gnutls_init(&session, GNUTLS_CLIENT);
 445
 446 gnutls_cipher_set_priority(session, default_cipher_priority);
 447 gnutls_compression_set_priority(session, comp_priority);
 448 gnutls_kx_set_priority(session, kx_priority);
 449 gnutls_protocol_set_priority(session, protocol_priority);
 450 gnutls_mac_set_priority(session, mac_priority);
 451
 452 gnutls_cred_set(session, GNUTLS_CRD_CERTIFICATE, x509_cred);
 453
 454 gnutls_dh_set_prime_bits(session, DH_BITS);
 455 gnutls_db_set_cache_expiration(session, ssl_session_timeout);
 456
 457 return session;
 458 }
 459 #endif
 460
 461
 462 /****************************************************************************/
 463 /****************************************************************************/
 464
 465
 466
 467
 468 /*************************************************
 469 *                 Main Program                   *
 470 *************************************************/
 471
 472 const char * const HELP_MESSAGE = "\n\
 473 Usage: client\n\
 474           <IP address>\n\
 475           <port>\n\
 476           [<outgoing interface>]\n\
 477           [<cert file>]\n\
 478           [<key file>]\n\
 479 \n";
 480
 481 int main(int argc, char **argv)
 482 {
 483 struct sockaddr *s_ptr;
 484 struct sockaddr_in s_in4;
 485 char *interface = NULL;
 486 char *address = NULL;
 487 char *certfile = NULL;
 488 char *keyfile = NULL;
 489 char *end = NULL;
 490 int argi = 1;
 491 int host_af, port, s_len, rc, sock, save_errno;
 492 int timeout = 5;
 493 int tls_active = 0;
 494 int sent_starttls = 0;
 495 int tls_on_connect = 0;
 496 long tmplong;
 497
 498 #if HAVE_IPV6
 499 struct sockaddr_in6 s_in6;
 500 #endif
 501
 502 #ifdef HAVE_OPENSSL
 503 SSL_CTX* ctx;
 504 SSL*     ssl;
 505 #endif
 506
 507 unsigned char outbuffer[10240];
 508 unsigned char inbuffer[10240];
 509 unsigned char *inptr = inbuffer;
 510
 511 *inptr = 0;   /* Buffer empty */
 512
 513 /* Options */
 514
 515 while (argc >= argi + 1 && argv[argi][0] == '-')
 516   {
 517   if (strcmp(argv[argi], "-help") == 0 ||
 518       strcmp(argv[argi], "--help") == 0 ||
 519       strcmp(argv[argi], "-h") == 0)
 520     {
 521     puts(HELP_MESSAGE);
 522     exit(0);
 523     }
 524   if (strcmp(argv[argi], "-tls-on-connect") == 0)
 525     {
 526     tls_on_connect = 1;
 527     argi++;
 528     }
 529 #ifdef HAVE_TLS
 530   else if (strcmp(argv[argi], "-ocsp") == 0)
 531     {
 532     if (argc < ++argi + 1)
 533       {
 534       fprintf(stderr, "Missing required certificate file for ocsp option\n");
 535       exit(96);
 536       }
 537     ocsp_stapling = argv[argi++];
 538     }
 539
 540 #endif
 541   else if (argv[argi][1] == 't' && isdigit(argv[argi][2]))
 542     {
 543     tmplong = strtol(argv[argi]+2, &end, 10);
 544     if (end == argv[argi]+2 || *end)
 545       {
 546       fprintf(stderr, "Failed to parse seconds from option <%s>\n",
 547         argv[argi]);
 548       exit(95);
 549       }
 550     if (tmplong > 10000L)
 551       {
 552       fprintf(stderr, "Unreasonably long wait of %ld seconds requested\n",
 553         tmplong);
 554       exit(94);
 555       }
 556     if (tmplong < 0L)
 557       {
 558       fprintf(stderr, "Timeout must not be negative (%ld)\n", tmplong);
 559       exit(93);
 560       }
 561     timeout = (int) tmplong;
 562     argi++;
 563     }
 564   else
 565     {
 566     fprintf(stderr, "Unrecognized option %s\n", argv[argi]);
 567     exit(92);
 568     }
 569   }
 570
 571 /* Mandatory 1st arg is IP address */
 572
 573 if (argc < argi+1)
 574   {
 575   fprintf(stderr, "No IP address given\n");
 576   exit(91);
 577   }
 578
 579 address = argv[argi++];
 580 host_af = (strchr(address, ':') != NULL)? AF_INET6 : AF_INET;
 581
 582 /* Mandatory 2nd arg is port */
 583
 584 if (argc < argi+1)
 585   {
 586   fprintf(stderr, "No port number given\n");
 587   exit(90);
 588   }
 589
 590 port = atoi(argv[argi++]);
 591
 592 /* Optional next arg is interface */
 593
 594 if (argc > argi &&
 595   (isdigit((unsigned char)argv[argi][0]) || argv[argi][0] == ':'))
 596     interface = argv[argi++];
 597
 598 /* Any more arguments are the name of a certificate file and key file */
 599
 600 if (argc > argi) certfile = argv[argi++];
 601 if (argc > argi) keyfile = argv[argi++];
 602
 603
 604 #if HAVE_IPV6
 605 /* For an IPv6 address, use an IPv6 sockaddr structure. */
 606
 607 if (host_af == AF_INET6)
 608   {
 609   s_ptr = (struct sockaddr *)&s_in6;
 610   s_len = sizeof(s_in6);
 611   }
 612 else
 613 #endif
 614
 615 /* For an IPv4 address, use an IPv4 sockaddr structure,
 616 even on an IPv6 system. */
 617
 618   {
 619   s_ptr = (struct sockaddr *)&s_in4;
 620   s_len = sizeof(s_in4);
 621   }
 622
 623 printf("Connecting to %s port %d ... ", address, port);
 624
 625 sock = socket(host_af, SOCK_STREAM, 0);
 626 if (sock < 0)
 627   {
 628   printf("socket creation failed: %s\n", strerror(errno));
 629   exit(89);
 630   }
 631
 632 /* Bind to a specific interface if requested. On an IPv6 system, this has
 633 to be of the same family as the address we are calling. On an IPv4 system the
 634 test is redundant, but it keeps the code tidier. */
 635
 636 if (interface != NULL)
 637   {
 638   int interface_af = (strchr(interface, ':') != NULL)? AF_INET6 : AF_INET;
 639
 640   if (interface_af == host_af)
 641     {
 642     #if HAVE_IPV6
 643
 644     /* Set up for IPv6 binding */
 645
 646     if (host_af == AF_INET6)
 647       {
 648       memset(&s_in6, 0, sizeof(s_in6));
 649       s_in6.sin6_family = AF_INET6;
 650       s_in6.sin6_port = 0;
 651       if (inet_pton(AF_INET6, interface, &s_in6.sin6_addr) != 1)
 652         {
 653         printf("Unable to parse \"%s\"", interface);
 654         exit(88);
 655         }
 656       }
 657     else
 658     #endif
 659
 660     /* Set up for IPv4 binding */
 661
 662       {
 663       memset(&s_in4, 0, sizeof(s_in4));
 664       s_in4.sin_family = AF_INET;
 665       s_in4.sin_port = 0;
 666       s_in4.sin_addr.s_addr = (S_ADDR_TYPE)inet_addr(interface);
 667       }
 668
 669     /* Bind */
 670
 671     if (bind(sock, s_ptr, s_len) < 0)
 672       {
 673       printf("Unable to bind outgoing SMTP call to %s: %s",
 674         interface, strerror(errno));
 675       exit(87);
 676       }
 677     }
 678   }
 679
 680 /* Set up a remote IPv6 address */
 681
 682 #if HAVE_IPV6
 683 if (host_af == AF_INET6)
 684   {
 685   memset(&s_in6, 0, sizeof(s_in6));
 686   s_in6.sin6_family = AF_INET6;
 687   s_in6.sin6_port = htons(port);
 688   if (inet_pton(host_af, address, &s_in6.sin6_addr) != 1)
 689     {
 690     printf("Unable to parse \"%s\"", address);
 691     exit(86);
 692     }
 693   }
 694 else
 695 #endif
 696
 697 /* Set up a remote IPv4 address */
 698
 699   {
 700   memset(&s_in4, 0, sizeof(s_in4));
 701   s_in4.sin_family = AF_INET;
 702   s_in4.sin_port = htons(port);
 703   s_in4.sin_addr.s_addr = (S_ADDR_TYPE)inet_addr(address);
 704   }
 705
 706 /* SIGALRM handler crashes out */
 707
 708 signal(SIGALRM, sigalrm_handler_crash);
 709 alarm(timeout);
 710 rc = connect(sock, s_ptr, s_len);
 711 save_errno = errno;
 712 alarm(0);
 713
 714 /* A failure whose error code is "Interrupted system call" is in fact
 715 an externally applied timeout if the signal handler has been run. */
 716
 717 if (rc < 0)
 718   {
 719   close(sock);
 720   printf("failed: %s\n", strerror(save_errno));
 721   exit(85);
 722   }
 723
 724 printf("connected\n");
 725
 726
 727 /* --------------- Set up for OpenSSL --------------- */
 728
 729 #ifdef HAVE_OPENSSL
 730 SSL_library_init();
 731 SSL_load_error_strings();
 732
 733 ctx = SSL_CTX_new(SSLv23_method());
 734 if (ctx == NULL)
 735   {
 736   printf ("SSL_CTX_new failed\n");
 737   exit(84);
 738   }
 739
 740 if (certfile != NULL)
 741   {
 742   if (!SSL_CTX_use_certificate_file(ctx, certfile, SSL_FILETYPE_PEM))
 743     {
 744     printf("SSL_CTX_use_certificate_file failed\n");
 745     exit(83);
 746     }
 747   printf("Certificate file = %s\n", certfile);
 748   }
 749
 750 if (keyfile != NULL)
 751   {
 752   if (!SSL_CTX_use_PrivateKey_file(ctx, keyfile, SSL_FILETYPE_PEM))
 753     {
 754     printf("SSL_CTX_use_PrivateKey_file failed\n");
 755     exit(82);
 756     }
 757   printf("Key file = %s\n", keyfile);
 758   }
 759
 760 SSL_CTX_set_session_cache_mode(ctx, SSL_SESS_CACHE_BOTH);
 761 SSL_CTX_set_timeout(ctx, 200);
 762 SSL_CTX_set_info_callback(ctx, (void (*)())info_callback);
 763 #endif
 764
 765
 766 /* --------------- Set up for GnuTLS --------------- */
 767
 768 #ifdef HAVE_GNUTLS
 769 if (certfile != NULL) printf("Certificate file = %s\n", certfile);
 770 if (keyfile != NULL) printf("Key file = %s\n", keyfile);
 771 tls_init(certfile, keyfile);
 772 tls_session = tls_session_init();
 773 #ifdef HAVE_OCSP
 774 if (ocsp_stapling)
 775   gnutls_ocsp_status_request_enable_client(tls_session, NULL, 0, NULL);
 776 #endif
 777 gnutls_transport_set_ptr(tls_session, (gnutls_transport_ptr)sock);
 778
 779 /* When the server asks for a certificate and the client does not have one,
 780 there is a SIGPIPE error in the gnutls_handshake() function for some reason
 781 that is not understood. As luck would have it, this has never hit Exim itself
 782 because it ignores SIGPIPE errors. Doing the same here allows it all to work as
 783 one wants. */
 784
 785 signal(SIGPIPE, SIG_IGN);
 786 #endif
 787
 788 /* ---------------------------------------------- */
 789
 790
 791 /* Start TLS session if configured to do so without STARTTLS */
 792
 793 #ifdef HAVE_TLS
 794 if (tls_on_connect)
 795   {
 796   printf("Attempting to start TLS\n");
 797
 798   #ifdef HAVE_OPENSSL
 799   tls_active = tls_start(sock, &ssl, ctx);
 800   #endif
 801
 802   #ifdef HAVE_GNUTLS
 803   sigalrm_seen = FALSE;
 804   alarm(timeout);
 805   tls_active = gnutls_handshake(tls_session) >= 0;
 806   alarm(0);
 807   #endif
 808
 809   if (!tls_active)
 810     printf("Failed to start TLS\n");
 811   #if defined(HAVE_GNUTLS) && defined(HAVE_OCSP)
 812   else if (  ocsp_stapling
 813           && gnutls_ocsp_status_request_is_checked(tls_session, 0) == 0)
 814     printf("Failed to verify certificate status\n");
 815   #endif
 816   else
 817     printf("Succeeded in starting TLS\n");
 818   }
 819 #endif
 820
 821 while (fgets(outbuffer, sizeof(outbuffer), stdin) != NULL)
 822   {
 823   int n = (int)strlen(outbuffer);
 824   while (n > 0 && isspace(outbuffer[n-1])) n--;
 825   outbuffer[n] = 0;
 826
 827   /* Expect incoming */
 828
 829   if (strncmp(outbuffer, "??? ", 4) == 0)
 830     {
 831     unsigned char *lineptr;
 832     printf("%s\n", outbuffer);
 833
 834     if (*inptr == 0)   /* Refill input buffer */
 835       {
 836       if (tls_active)
 837         {
 838         #ifdef HAVE_OPENSSL
 839         rc = SSL_read (ssl, inbuffer, sizeof(inbuffer) - 1);
 840         #endif
 841         #ifdef HAVE_GNUTLS
 842         rc = gnutls_record_recv(tls_session, CS inbuffer, sizeof(inbuffer) - 1);
 843         #endif
 844         }
 845       else
 846         {
 847         alarm(timeout);
 848         rc = read(sock, inbuffer, sizeof(inbuffer));
 849         alarm(0);
 850         }
 851
 852       if (rc < 0)
 853         {
 854         printf("Read error %s\n", strerror(errno));
 855         exit(81)  ;
 856         }
 857       else if (rc == 0)
 858         {
 859         printf("Unexpected EOF read\n");
 860         close(sock);
 861         exit(80);
 862         }
 863       else
 864         {
 865         inbuffer[rc] = 0;
 866         inptr = inbuffer;
 867         }
 868       }
 869
 870     lineptr = inptr;
 871     while (*inptr != 0 && *inptr != '\r' && *inptr != '\n') inptr++;
 872     if (*inptr != 0)
 873       {
 874       *inptr++ = 0;
 875       if (*inptr == '\n') inptr++;
 876       }
 877
 878     printf("<<< %s\n", lineptr);
 879     if (strncmp(lineptr, outbuffer + 4, (int)strlen(outbuffer) - 4) != 0)
 880       {
 881       printf("\n******** Input mismatch ********\n");
 882       exit(79);
 883       }
 884
 885     #ifdef HAVE_TLS
 886     if (sent_starttls)
 887       {
 888       if (lineptr[0] == '2')
 889         {
 890 int rc;
 891         unsigned int verify;
 892
 893         printf("Attempting to start TLS\n");
 894         fflush(stdout);
 895
 896         #ifdef HAVE_OPENSSL
 897         tls_active = tls_start(sock, &ssl, ctx);
 898         #endif
 899
 900         #ifdef HAVE_GNUTLS
 901         sigalrm_seen = FALSE;
 902         alarm(timeout);
 903         tls_active = gnutls_handshake(tls_session) >= 0;
 904         alarm(0);
 905         #endif
 906
 907         if (!tls_active)
 908           {
 909           printf("Failed to start TLS\n");
 910           fflush(stdout);
 911           }
 912         #ifdef HAVE_GNUTLS
 913         else if (ocsp_stapling)
 914           {
 915           if ((rc= gnutls_certificate_verify_peers2(tls_session, &verify)) < 0)
 916             {
 917             printf("Failed to verify certificate: %s\n", gnutls_strerror(rc));
 918             fflush(stdout);
 919             }
 920           else if (verify & (GNUTLS_CERT_INVALID|GNUTLS_CERT_REVOKED))
 921             {
 922             printf("Bad certificate\n");
 923             fflush(stdout);
 924             }
 925           #ifdef HAVE_OCSP
 926           else if (gnutls_ocsp_status_request_is_checked(tls_session, 0) == 0)
 927             {
 928             printf("Failed to verify certificate status\n");
 929               {
 930               gnutls_datum_t stapling;
 931               gnutls_ocsp_resp_t resp;
 932               gnutls_datum_t printed;
 933               if (  (rc= gnutls_ocsp_status_request_get(tls_session, &stapling)) == 0
 934                  && (rc= gnutls_ocsp_resp_init(&resp)) == 0
 935                  && (rc= gnutls_ocsp_resp_import(resp, &stapling)) == 0
 936                  && (rc= gnutls_ocsp_resp_print(resp, GNUTLS_OCSP_PRINT_FULL, &printed)) == 0
 937                  )
 938                 {
 939                 fprintf(stderr, "%.4096s", printed.data);
 940                 gnutls_free(printed.data);
 941                 }
 942               else
 943                 (void) fprintf(stderr,"ocsp decode: %s", gnutls_strerror(rc));
 944               }
 945             fflush(stdout);
 946             }
 947           #endif
 948           }
 949         #endif
 950         else
 951           printf("Succeeded in starting TLS\n");
 952         }
 953       else printf("Abandoning TLS start attempt\n");
 954       }
 955     sent_starttls = 0;
 956     #endif
 957     }
 958
 959   /* Wait for a bit before proceeding */
 960
 961   else if (strncmp(outbuffer, "+++ ", 4) == 0)
 962     {
 963     printf("%s\n", outbuffer);
 964     sleep(atoi(outbuffer + 4));
 965     }
 966
 967   /* Send outgoing, but barf if unconsumed incoming */
 968
 969   else
 970     {
 971     unsigned char *escape;
 972
 973     if (*inptr != 0)
 974       {
 975       printf("Unconsumed input: %s", inptr);
 976       printf("   About to send: %s\n", outbuffer);
 977       exit(78);
 978       }
 979
 980     #ifdef HAVE_TLS
 981
 982     /* Shutdown TLS */
 983
 984     if (strcmp(outbuffer, "stoptls") == 0 ||
 985         strcmp(outbuffer, "STOPTLS") == 0)
 986       {
 987       if (!tls_active)
 988         {
 989         printf("STOPTLS read when TLS not active\n");
 990         exit(77);
 991         }
 992       printf("Shutting down TLS encryption\n");
 993
 994       #ifdef HAVE_OPENSSL
 995       SSL_shutdown(ssl);
 996       SSL_free(ssl);
 997       #endif
 998
 999       #ifdef HAVE_GNUTLS
1000       gnutls_bye(tls_session, GNUTLS_SHUT_WR);
1001       gnutls_deinit(tls_session);
1002       tls_session = NULL;
1003       gnutls_global_deinit();
1004       #endif
1005
1006       tls_active = 0;
1007       continue;
1008       }
1009
1010     /* Remember that we sent STARTTLS */
1011
1012     sent_starttls = (strcmp(outbuffer, "starttls") == 0 ||
1013                      strcmp(outbuffer, "STARTTLS") == 0);
1014
1015     /* Fudge: if the command is "starttls_wait", we send the starttls bit,
1016     but we haven't set the flag, so that there is no negotiation. This is for
1017     testing the server's timeout. */
1018
1019     if (strcmp(outbuffer, "starttls_wait") == 0)
1020       {
1021       outbuffer[8] = 0;
1022       n = 8;
1023       }
1024     #endif
1025
1026     printf(">>> %s\n", outbuffer);
1027     strcpy(outbuffer + n, "\r\n");
1028
1029     /* Turn "\n" and "\r" into the relevant characters. This is a hack. */
1030
1031     while ((escape = strstr(outbuffer, "\\r")) != NULL)
1032       {
1033       *escape = '\r';
1034       memmove(escape + 1, escape + 2,  (n + 2) - (escape - outbuffer) - 2);
1035       n--;
1036       }
1037
1038     while ((escape = strstr(outbuffer, "\\n")) != NULL)
1039       {
1040       *escape = '\n';
1041       memmove(escape + 1, escape + 2,  (n + 2) - (escape - outbuffer) - 2);
1042       n--;
1043       }
1044
1045     /* OK, do it */
1046
1047     alarm(timeout);
1048     if (tls_active)
1049       {
1050       #ifdef HAVE_OPENSSL
1051         rc = SSL_write (ssl, outbuffer, n + 2);
1052       #endif
1053       #ifdef HAVE_GNUTLS
1054         rc = gnutls_record_send(tls_session, CS outbuffer, n + 2);
1055         if (rc < 0)
1056           {
1057           printf("GnuTLS write error: %s\n", gnutls_strerror(rc));
1058           exit(76);
1059           }
1060       #endif
1061       }
1062     else
1063       {
1064       rc = write(sock, outbuffer, n + 2);
1065       }
1066     alarm(0);
1067
1068     if (rc < 0)
1069       {
1070       printf("Write error: %s\n", strerror(errno));
1071       exit(75);
1072       }
1073     }
1074   }
1075
1076 printf("End of script\n");
1077 close(sock);
1078
1079 exit(0);
1080 }
1081
1082 /* End of client.c */