src/src/lookups/dnsdb.c

   1 /*************************************************
   2 *     Exim - an Internet mail transport agent    *
   3 *************************************************/
   4
   5 /* Copyright (c) University of Cambridge 1995 - 2015 */
   6 /* See the file NOTICE for conditions of use and distribution. */
   7
   8 #include "../exim.h"
   9 #include "lf_functions.h"
  10
  11
  12
  13 /* Ancient systems (e.g. SunOS4) don't appear to have T_TXT defined in their
  14 header files. */
  15
  16 #ifndef T_TXT
  17 #define T_TXT 16
  18 #endif
  19
  20 /* Many systems do not have T_SPF. */
  21 #ifndef T_SPF
  22 #define T_SPF 99
  23 #endif
  24
  25 /* New TLSA record for DANE */
  26 #ifndef T_TLSA
  27 #define T_TLSA 52
  28 #endif
  29
  30 /* Table of recognized DNS record types and their integer values. */
  31
  32 static const char *type_names[] = {
  33   "a",
  34 #if HAVE_IPV6
  35   "a+",
  36   "aaaa",
  37 #endif
  38   "cname",
  39   "csa",
  40   "mx",
  41   "mxh",
  42   "ns",
  43   "ptr",
  44   "soa",
  45   "spf",
  46   "srv",
  47   "tlsa",
  48   "txt",
  49   "zns"
  50 };
  51
  52 static int type_values[] = {
  53   T_A,
  54 #if HAVE_IPV6
  55   T_ADDRESSES,     /* Private type for AAAA + A */
  56   T_AAAA,
  57 #endif
  58   T_CNAME,
  59   T_CSA,     /* Private type for "Client SMTP Authorization". */
  60   T_MX,
  61   T_MXH,     /* Private type for "MX hostnames" */
  62   T_NS,
  63   T_PTR,
  64   T_SOA,
  65   T_SPF,
  66   T_SRV,
  67   T_TLSA,
  68   T_TXT,
  69   T_ZNS      /* Private type for "zone nameservers" */
  70 };
  71
  72
  73 /*************************************************
  74 *              Open entry point                  *
  75 *************************************************/
  76
  77 /* See local README for interface description. */
  78
  79 static void *
  80 dnsdb_open(uschar *filename, uschar **errmsg)
  81 {
  82 filename = filename;   /* Keep picky compilers happy */
  83 errmsg = errmsg;       /* Ditto */
  84 return (void *)(-1);   /* Any non-0 value */
  85 }
  86
  87
  88
  89 /*************************************************
  90 *           Find entry point for dnsdb           *
  91 *************************************************/
  92
  93 /* See local README for interface description. The query in the "keystring" may
  94 consist of a number of parts.
  95
  96 (a) If the first significant character is '>' then the next character is the
  97 separator character that is used when multiple records are found. The default
  98 separator is newline.
  99
 100 (b) If the next character is ',' then the next character is the separator
 101 character used for multiple items of text in "TXT" records. Alternatively,
 102 if the next character is ';' then these multiple items are concatenated with
 103 no separator. With neither of these options specified, only the first item
 104 is output.  Similarly for "SPF" records, but the default for joining multiple
 105 items in one SPF record is the empty string, for direct concatenation.
 106
 107 (c) Options, all comma-terminated, in any order.  Any unrecognised option
 108 terminates option processing.  Recognised options are:
 109
 110 - 'defer_FOO':  set the defer behaviour to FOO.  The possible behaviours are:
 111 'strict', where any defer causes the whole lookup to defer; 'lax', where a defer
 112 causes the whole lookup to defer only if none of the DNS queries succeeds; and
 113 'never', where all defers are as if the lookup failed. The default is 'lax'.
 114
 115 - 'dnssec_FOO', with 'strict', 'lax' and 'never' (default).  The meanings are
 116 require, try and don't-try dnssec respectively.
 117
 118 - 'retrans_VAL', set the timeout value.  VAL is an Exim time specification
 119 (eg "5s").  The default is set by the main configuration option 'dns_retrans'.
 120
 121 - 'retry_VAL', set the retry count on timeouts.  VAL is an integer.  The
 122 default is set by the main configuration option "dns_retry".
 123
 124 (d) If the next sequence of characters is a sequence of letters and digits
 125 followed by '=', it is interpreted as the name of the DNS record type. The
 126 default is "TXT".
 127
 128 (e) Then there follows list of domain names. This is a generalized Exim list,
 129 which may start with '<' in order to set a specific separator. The default
 130 separator, as always, is colon. */
 131
 132 static int
 133 dnsdb_find(void *handle, uschar *filename, const uschar *keystring, int length,
 134   uschar **result, uschar **errmsg, uint *do_cache)
 135 {
 136 int rc;
 137 int size = 256;
 138 int ptr = 0;
 139 int sep = 0;
 140 int defer_mode = PASS;
 141 int dnssec_mode = OK;
 142 int save_retrans = dns_retrans;
 143 int save_retry =   dns_retry;
 144 int type;
 145 int failrc = FAIL;
 146 const uschar *outsep = CUS"\n";
 147 const uschar *outsep2 = NULL;
 148 uschar *equals, *domain, *found;
 149
 150 /* Because we're the working in the search pool, we try to reclaim as much
 151 store as possible later, so we preallocate the result here */
 152
 153 uschar *yield = store_get(size);
 154
 155 dns_record *rr;
 156 dns_answer dnsa;
 157 dns_scan dnss;
 158
 159 handle = handle;           /* Keep picky compilers happy */
 160 filename = filename;
 161 length = length;
 162 do_cache = do_cache;
 163
 164 /* If the string starts with '>' we change the output separator.
 165 If it's followed by ';' or ',' we set the TXT output separator. */
 166
 167 while (isspace(*keystring)) keystring++;
 168 if (*keystring == '>')
 169   {
 170   outsep = keystring + 1;
 171   keystring += 2;
 172   if (*keystring == ',')
 173     {
 174     outsep2 = keystring + 1;
 175     keystring += 2;
 176     }
 177   else if (*keystring == ';')
 178     {
 179     outsep2 = US"";
 180     keystring++;
 181     }
 182   while (isspace(*keystring)) keystring++;
 183   }
 184
 185 /* Check for a modifier keyword. */
 186
 187 for (;;)
 188   {
 189   if (strncmpic(keystring, US"defer_", 6) == 0)
 190     {
 191     keystring += 6;
 192     if (strncmpic(keystring, US"strict", 6) == 0)
 193       { defer_mode = DEFER; keystring += 6; }
 194     else if (strncmpic(keystring, US"lax", 3) == 0)
 195       { defer_mode = PASS; keystring += 3; }
 196     else if (strncmpic(keystring, US"never", 5) == 0)
 197       { defer_mode = OK; keystring += 5; }
 198     else
 199       {
 200       *errmsg = US"unsupported dnsdb defer behaviour";
 201       return DEFER;
 202       }
 203     }
 204   else if (strncmpic(keystring, US"dnssec_", 7) == 0)
 205     {
 206     keystring += 7;
 207     if (strncmpic(keystring, US"strict", 6) == 0)
 208       { dnssec_mode = DEFER; keystring += 6; }
 209     else if (strncmpic(keystring, US"lax", 3) == 0)
 210       { dnssec_mode = PASS; keystring += 3; }
 211     else if (strncmpic(keystring, US"never", 5) == 0)
 212       { dnssec_mode = OK; keystring += 5; }
 213     else
 214       {
 215       *errmsg = US"unsupported dnsdb dnssec behaviour";
 216       return DEFER;
 217       }
 218     }
 219   else if (strncmpic(keystring, US"retrans_", 8) == 0)
 220     {
 221     int timeout_sec;
 222     if ((timeout_sec = readconf_readtime(keystring += 8, ',', FALSE)) <= 0)
 223       {
 224       *errmsg = US"unsupported dnsdb timeout value";
 225       return DEFER;
 226       }
 227     dns_retrans = timeout_sec;
 228     while (*keystring != ',') keystring++;
 229     }
 230   else if (strncmpic(keystring, US"retry_", 6) == 0)
 231     {
 232     int retries;
 233     if ((retries = (int)strtol(CCS keystring + 6, CSS &keystring, 0)) < 0)
 234       {
 235       *errmsg = US"unsupported dnsdb retry count";
 236       return DEFER;
 237       }
 238     dns_retry = retries;
 239     }
 240   else
 241     break;
 242
 243   while (isspace(*keystring)) keystring++;
 244   if (*keystring++ != ',')
 245     {
 246     *errmsg = US"dnsdb modifier syntax error";
 247     return DEFER;
 248     }
 249   while (isspace(*keystring)) keystring++;
 250   }
 251
 252 /* Figure out the "type" value if it is not T_TXT.
 253 If the keystring contains an = this must be preceded by a valid type name. */
 254
 255 type = T_TXT;
 256 if ((equals = Ustrchr(keystring, '=')) != NULL)
 257   {
 258   int i, len;
 259   uschar *tend = equals;
 260
 261   while (tend > keystring && isspace(tend[-1])) tend--;
 262   len = tend - keystring;
 263
 264   for (i = 0; i < nelem(type_names); i++)
 265     if (len == Ustrlen(type_names[i]) &&
 266         strncmpic(keystring, US type_names[i], len) == 0)
 267       {
 268       type = type_values[i];
 269       break;
 270       }
 271
 272   if (i >= nelem(type_names))
 273     {
 274     *errmsg = US"unsupported DNS record type";
 275     return DEFER;
 276     }
 277
 278   keystring = equals + 1;
 279   while (isspace(*keystring)) keystring++;
 280   }
 281
 282 /* Initialize the resolver in case this is the first time it has been used. */
 283
 284 dns_init(FALSE, FALSE, dnssec_mode != OK);
 285
 286 /* The remainder of the string must be a list of domains. As long as the lookup
 287 for at least one of them succeeds, we return success. Failure means that none
 288 of them were found.
 289
 290 The original implementation did not support a list of domains. Adding the list
 291 feature is compatible, except in one case: when PTR records are being looked up
 292 for a single IPv6 address. Fortunately, we can hack in a compatibility feature
 293 here: If the type is PTR and no list separator is specified, and the entire
 294 remaining string is valid as an IP address, set an impossible separator so that
 295 it is treated as one item. */
 296
 297 if (type == T_PTR && keystring[0] != '<' &&
 298     string_is_ip_address(keystring, NULL) != 0)
 299   sep = -1;
 300
 301 /* SPF strings should be concatenated without a separator, thus make
 302 it the default if not defined (see RFC 4408 section 3.1.3).
 303 Multiple SPF records are forbidden (section 3.1.2) but are currently
 304 not handled specially, thus they are concatenated with \n by default.
 305 MX priority and value are space-separated by default.
 306 SRV and TLSA record parts are space-separated by default. */
 307
 308 if (!outsep2) switch(type)
 309   {
 310   case T_SPF:                         outsep2 = US"";  break;
 311   case T_SRV: case T_MX: case T_TLSA: outsep2 = US" "; break;
 312   }
 313
 314 /* Now scan the list and do a lookup for each item */
 315
 316 while ((domain = string_nextinlist(&keystring, &sep, NULL, 0)))
 317   {
 318   uschar rbuffer[256];
 319   int searchtype = (type == T_CSA)? T_SRV :         /* record type we want */
 320                    (type == T_MXH)? T_MX :
 321                    (type == T_ZNS)? T_NS : type;
 322
 323   /* If the type is PTR or CSA, we have to construct the relevant magic lookup
 324   key if the original is an IP address (some experimental protocols are using
 325   PTR records for different purposes where the key string is a host name, and
 326   Exim's extended CSA can be keyed by domains or IP addresses). This code for
 327   doing the reversal is now in a separate function. */
 328
 329   if ((type == T_PTR || type == T_CSA) &&
 330       string_is_ip_address(domain, NULL) != 0)
 331     {
 332     dns_build_reverse(domain, rbuffer);
 333     domain = rbuffer;
 334     }
 335
 336   do
 337     {
 338     DEBUG(D_lookup) debug_printf("dnsdb key: %s\n", domain);
 339
 340     /* Do the lookup and sort out the result. There are four special types that
 341     are handled specially: T_CSA, T_ZNS, T_ADDRESSES and T_MXH.
 342     The first two are handled in a special lookup function so that the facility
 343     could be used from other parts of the Exim code. T_ADDRESSES is handled by looping
 344     over the types of A lookup.  T_MXH affects only what happens later on in
 345     this function, but for tidiness it is handled by the "special". If the
 346     lookup fails, continue with the next domain. In the case of DEFER, adjust
 347     the final "nothing found" result, but carry on to the next domain. */
 348
 349     found = domain;
 350 #if HAVE_IPV6
 351     if (type == T_ADDRESSES)            /* NB cannot happen unless HAVE_IPV6 */
 352       {
 353       if (searchtype == T_ADDRESSES) searchtype = T_AAAA;
 354       else if (searchtype == T_AAAA) searchtype = T_A;
 355       rc = dns_special_lookup(&dnsa, domain, searchtype, CUSS &found);
 356       }
 357     else
 358 #endif
 359       rc = dns_special_lookup(&dnsa, domain, type, CUSS &found);
 360
 361     lookup_dnssec_authenticated = dnssec_mode==OK ? NULL
 362       : dns_is_secure(&dnsa) ? US"yes" : US"no";
 363
 364     if (rc == DNS_NOMATCH || rc == DNS_NODATA) continue;
 365     if (  rc != DNS_SUCCEED
 366        || (dnssec_mode == DEFER && !dns_is_secure(&dnsa))
 367        )
 368       {
 369       if (defer_mode == DEFER)
 370         {
 371         dns_retrans = save_retrans;
 372         dns_retry = save_retry;
 373         dns_init(FALSE, FALSE, FALSE);                  /* clr dnssec bit */
 374         return DEFER;                                   /* always defer */
 375         }
 376       if (defer_mode == PASS) failrc = DEFER;         /* defer only if all do */
 377       continue;                                       /* treat defer as fail */
 378       }
 379
 380
 381     /* Search the returned records */
 382
 383     for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
 384          rr != NULL;
 385          rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
 386       {
 387       if (rr->type != searchtype) continue;
 388
 389       if (*do_cache > rr->ttl)
 390         *do_cache = rr->ttl;
 391
 392       if (type == T_A || type == T_AAAA || type == T_ADDRESSES)
 393         {
 394         dns_address *da;
 395         for (da = dns_address_from_rr(&dnsa, rr); da; da = da->next)
 396           {
 397           if (ptr != 0) yield = string_catn(yield, &size, &ptr, outsep, 1);
 398           yield = string_cat(yield, &size, &ptr, da->address);
 399           }
 400         continue;
 401         }
 402
 403       /* Other kinds of record just have one piece of data each, but there may be
 404       several of them, of course. */
 405
 406       if (ptr != 0) yield = string_catn(yield, &size, &ptr, outsep, 1);
 407
 408       if (type == T_TXT || type == T_SPF)
 409         {
 410         if (outsep2 == NULL)
 411           {
 412           /* output only the first item of data */
 413           yield = string_catn(yield, &size, &ptr, US (rr->data+1),
 414             (rr->data)[0]);
 415           }
 416         else
 417           {
 418           /* output all items */
 419           int data_offset = 0;
 420           while (data_offset < rr->size)
 421             {
 422             uschar chunk_len = (rr->data)[data_offset++];
 423             if (outsep2[0] != '\0' && data_offset != 1)
 424               yield = string_catn(yield, &size, &ptr, outsep2, 1);
 425             yield = string_catn(yield, &size, &ptr,
 426                              US ((rr->data)+data_offset), chunk_len);
 427             data_offset += chunk_len;
 428             }
 429           }
 430         }
 431       else if (type == T_TLSA)
 432         {
 433         uint8_t usage, selector, matching_type;
 434         uint16_t i, payload_length;
 435         uschar s[MAX_TLSA_EXPANDED_SIZE];
 436         uschar * sp = s;
 437         uschar * p = US rr->data;
 438
 439         usage = *p++;
 440         selector = *p++;
 441         matching_type = *p++;
 442         /* What's left after removing the first 3 bytes above */
 443         payload_length = rr->size - 3;
 444         sp += sprintf(CS s, "%d%c%d%c%d%c", usage, *outsep2,
 445                 selector, *outsep2, matching_type, *outsep2);
 446         /* Now append the cert/identifier, one hex char at a time */
 447         for (i=0;
 448              i < payload_length && sp-s < (MAX_TLSA_EXPANDED_SIZE - 4);
 449              i++)
 450           sp += sprintf(CS sp, "%02x", (unsigned char)p[i]);
 451
 452         yield = string_cat(yield, &size, &ptr, s);
 453         }
 454       else   /* T_CNAME, T_CSA, T_MX, T_MXH, T_NS, T_PTR, T_SOA, T_SRV */
 455         {
 456         int priority, weight, port;
 457         uschar s[264];
 458         uschar * p = US rr->data;
 459
 460         switch (type)
 461           {
 462           case T_MXH:
 463             /* mxh ignores the priority number and includes only the hostnames */
 464             GETSHORT(priority, p);
 465             break;
 466
 467           case T_MX:
 468             GETSHORT(priority, p);
 469             sprintf(CS s, "%d%c", priority, *outsep2);
 470             yield = string_cat(yield, &size, &ptr, s);
 471             break;
 472
 473           case T_SRV:
 474             GETSHORT(priority, p);
 475             GETSHORT(weight, p);
 476             GETSHORT(port, p);
 477             sprintf(CS s, "%d%c%d%c%d%c", priority, *outsep2,
 478                               weight, *outsep2, port, *outsep2);
 479             yield = string_cat(yield, &size, &ptr, s);
 480             break;
 481
 482           case T_CSA:
 483             /* See acl_verify_csa() for more comments about CSA. */
 484             GETSHORT(priority, p);
 485             GETSHORT(weight, p);
 486             GETSHORT(port, p);
 487
 488             if (priority != 1) continue;      /* CSA version must be 1 */
 489
 490             /* If the CSA record we found is not the one we asked for, analyse
 491             the subdomain assertions in the port field, else analyse the direct
 492             authorization status in the weight field. */
 493
 494             if (Ustrcmp(found, domain) != 0)
 495               {
 496               if (port & 1) *s = 'X';         /* explicit authorization required */
 497               else *s = '?';                  /* no subdomain assertions here */
 498               }
 499             else
 500               {
 501               if (weight < 2) *s = 'N';       /* not authorized */
 502               else if (weight == 2) *s = 'Y'; /* authorized */
 503               else if (weight == 3) *s = '?'; /* unauthorizable */
 504               else continue;                  /* invalid */
 505               }
 506
 507             s[1] = ' ';
 508             yield = string_catn(yield, &size, &ptr, s, 2);
 509             break;
 510
 511           default:
 512             break;
 513           }
 514
 515         /* GETSHORT() has advanced the pointer to the target domain. */
 516
 517         rc = dn_expand(dnsa.answer, dnsa.answer + dnsa.answerlen, p,
 518           (DN_EXPAND_ARG4_TYPE)s, sizeof(s));
 519
 520         /* If an overlong response was received, the data will have been
 521         truncated and dn_expand may fail. */
 522
 523         if (rc < 0)
 524           {
 525           log_write(0, LOG_MAIN, "host name alias list truncated: type=%s "
 526             "domain=%s", dns_text_type(type), domain);
 527           break;
 528           }
 529         else yield = string_cat(yield, &size, &ptr, s);
 530
 531         if (type == T_SOA && outsep2 != NULL)
 532           {
 533           unsigned long serial, refresh, retry, expire, minimum;
 534
 535           p += rc;
 536           yield = string_catn(yield, &size, &ptr, outsep2, 1);
 537
 538           rc = dn_expand(dnsa.answer, dnsa.answer + dnsa.answerlen, p,
 539             (DN_EXPAND_ARG4_TYPE)s, sizeof(s));
 540           if (rc < 0)
 541             {
 542             log_write(0, LOG_MAIN, "responsible-mailbox truncated: type=%s "
 543               "domain=%s", dns_text_type(type), domain);
 544             break;
 545             }
 546           else yield = string_cat(yield, &size, &ptr, s);
 547
 548           p += rc;
 549           GETLONG(serial, p); GETLONG(refresh, p);
 550           GETLONG(retry,  p); GETLONG(expire,  p); GETLONG(minimum, p);
 551           sprintf(CS s, "%c%lu%c%lu%c%lu%c%lu%c%lu",
 552             *outsep2, serial, *outsep2, refresh,
 553             *outsep2, retry,  *outsep2, expire,  *outsep2, minimum);
 554           yield = string_cat(yield, &size, &ptr, s);
 555           }
 556         }
 557       }    /* Loop for list of returned records */
 558
 559            /* Loop for set of A-lookup types */
 560     } while (type == T_ADDRESSES && searchtype != T_A);
 561
 562   }        /* Loop for list of domains */
 563
 564 /* Reclaim unused memory */
 565
 566 store_reset(yield + ptr + 1);
 567
 568 /* If ptr == 0 we have not found anything. Otherwise, insert the terminating
 569 zero and return the result. */
 570
 571 dns_retrans = save_retrans;
 572 dns_retry = save_retry;
 573 dns_init(FALSE, FALSE, FALSE);  /* clear the dnssec bit for getaddrbyname */
 574
 575 if (ptr == 0) return failrc;
 576 yield[ptr] = 0;
 577 *result = yield;
 578 return OK;
 579 }
 580
 581
 582
 583 /*************************************************
 584 *         Version reporting entry point          *
 585 *************************************************/
 586
 587 /* See local README for interface description. */
 588
 589 #include "../version.h"
 590
 591 void
 592 dnsdb_version_report(FILE *f)
 593 {
 594 #ifdef DYNLOOKUP
 595 fprintf(f, "Library version: DNSDB: Exim version %s\n", EXIM_VERSION_STR);
 596 #endif
 597 }
 598
 599
 600 static lookup_info _lookup_info = {
 601   US"dnsdb",                     /* lookup name */
 602   lookup_querystyle,             /* query style */
 603   dnsdb_open,                    /* open function */
 604   NULL,                          /* check function */
 605   dnsdb_find,                    /* find function */
 606   NULL,                          /* no close function */
 607   NULL,                          /* no tidy function */
 608   NULL,                          /* no quoting function */
 609   dnsdb_version_report           /* version reporting */
 610 };
 611
 612 #ifdef DYNLOOKUP
 613 #define dnsdb_lookup_module_info _lookup_module_info
 614 #endif
 615
 616 static lookup_info *_lookup_list[] = { &_lookup_info };
 617 lookup_module_info dnsdb_lookup_module_info = { LOOKUP_MODULE_INFO_MAGIC, _lookup_list, 1 };
 618
 619 /* vi: aw ai sw=2
 620 */
 621 /* End of lookups/dnsdb.c */