d693c9f98828c69596b542829aba069c8a38498d
[exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 #if defined(__GLIBC__) && !defined(__UCLIBC__)
16 # include <gnu/libc-version.h>
17 #endif
18
19 #ifdef USE_GNUTLS
20 # include <gnutls/gnutls.h>
21 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
22 #  define DISABLE_OCSP
23 # endif
24 #endif
25
26 extern void init_lookup_list(void);
27
28
29
30 /*************************************************
31 *      Function interface to store functions     *
32 *************************************************/
33
34 /* We need some real functions to pass to the PCRE regular expression library
35 for store allocation via Exim's store manager. The normal calls are actually
36 macros that pass over location information to make tracing easier. These
37 functions just interface to the standard macro calls. A good compiler will
38 optimize out the tail recursion and so not make them too expensive. There
39 are two sets of functions; one for use when we want to retain the compiled
40 regular expression for a long time; the other for short-term use. */
41
42 static void *
43 function_store_get(size_t size)
44 {
45 return store_get((int)size);
46 }
47
48 static void
49 function_dummy_free(void *block) { block = block; }
50
51 static void *
52 function_store_malloc(size_t size)
53 {
54 return store_malloc((int)size);
55 }
56
57 static void
58 function_store_free(void *block)
59 {
60 store_free(block);
61 }
62
63
64
65
66 /*************************************************
67 *         Enums for cmdline interface            *
68 *************************************************/
69
70 enum commandline_info { CMDINFO_NONE=0,
71   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
72
73
74
75
76 /*************************************************
77 *  Compile regular expression and panic on fail  *
78 *************************************************/
79
80 /* This function is called when failure to compile a regular expression leads
81 to a panic exit. In other cases, pcre_compile() is called directly. In many
82 cases where this function is used, the results of the compilation are to be
83 placed in long-lived store, so we temporarily reset the store management
84 functions that PCRE uses if the use_malloc flag is set.
85
86 Argument:
87   pattern     the pattern to compile
88   caseless    TRUE if caseless matching is required
89   use_malloc  TRUE if compile into malloc store
90
91 Returns:      pointer to the compiled pattern
92 */
93
94 const pcre *
95 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
96 {
97 int offset;
98 int options = PCRE_COPT;
99 const pcre *yield;
100 const uschar *error;
101 if (use_malloc)
102   {
103   pcre_malloc = function_store_malloc;
104   pcre_free = function_store_free;
105   }
106 if (caseless) options |= PCRE_CASELESS;
107 yield = pcre_compile(CCS pattern, options, (const char **)&error, &offset, NULL);
108 pcre_malloc = function_store_get;
109 pcre_free = function_dummy_free;
110 if (yield == NULL)
111   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
112     "%s at offset %d while compiling %s", error, offset, pattern);
113 return yield;
114 }
115
116
117
118
119 /*************************************************
120 *   Execute regular expression and set strings   *
121 *************************************************/
122
123 /* This function runs a regular expression match, and sets up the pointers to
124 the matched substrings.
125
126 Arguments:
127   re          the compiled expression
128   subject     the subject string
129   options     additional PCRE options
130   setup       if < 0 do full setup
131               if >= 0 setup from setup+1 onwards,
132                 excluding the full matched string
133
134 Returns:      TRUE or FALSE
135 */
136
137 BOOL
138 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
139 {
140 int ovector[3*(EXPAND_MAXN+1)];
141 uschar * s = string_copy(subject);      /* de-constifying */
142 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
143   PCRE_EOPT | options, ovector, nelem(ovector));
144 BOOL yield = n >= 0;
145 if (n == 0) n = EXPAND_MAXN + 1;
146 if (yield)
147   {
148   expand_nmax = setup < 0 ? 0 : setup + 1;
149   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
150     {
151     expand_nstring[expand_nmax] = s + ovector[nn];
152     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
153     }
154   expand_nmax--;
155   }
156 return yield;
157 }
158
159
160
161
162 /*************************************************
163 *            Set up processing details           *
164 *************************************************/
165
166 /* Save a text string for dumping when SIGUSR1 is received.
167 Do checks for overruns.
168
169 Arguments: format and arguments, as for printf()
170 Returns:   nothing
171 */
172
173 void
174 set_process_info(const char *format, ...)
175 {
176 gstring gs = { .size = PROCESS_INFO_SIZE - 2, .ptr = 0, .s = process_info };
177 gstring * g;
178 int len;
179 va_list ap;
180
181 g = string_fmt_append(&gs, "%5d ", (int)getpid());
182 len = g->ptr;
183 va_start(ap, format);
184 if (!string_vformat(g, FALSE, format, ap))
185   {
186   gs.ptr = len;
187   g = string_cat(&gs, US"**** string overflowed buffer ****");
188   }
189 g = string_catn(g, US"\n", 1);
190 string_from_gstring(g);
191 process_info_len = g->ptr;
192 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
193 va_end(ap);
194 }
195
196 /***********************************************
197 *            Handler for SIGTERM               *
198 ***********************************************/
199
200 static void
201 term_handler(int sig)
202 {
203   exit(1);
204 }
205
206
207 /*************************************************
208 *             Handler for SIGUSR1                *
209 *************************************************/
210
211 /* SIGUSR1 causes any exim process to write to the process log details of
212 what it is currently doing. It will only be used if the OS is capable of
213 setting up a handler that causes automatic restarting of any system call
214 that is in progress at the time.
215
216 This function takes care to be signal-safe.
217
218 Argument: the signal number (SIGUSR1)
219 Returns:  nothing
220 */
221
222 static void
223 usr1_handler(int sig)
224 {
225 int fd;
226
227 os_restarting_signal(sig, usr1_handler);
228
229 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
230   {
231   /* If we are already running as the Exim user, try to create it in the
232   current process (assuming spool_directory exists). Otherwise, if we are
233   root, do the creation in an exim:exim subprocess. */
234
235   int euid = geteuid();
236   if (euid == exim_uid)
237     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
238   else if (euid == root_uid)
239     fd = log_create_as_exim(process_log_path);
240   }
241
242 /* If we are neither exim nor root, or if we failed to create the log file,
243 give up. There is not much useful we can do with errors, since we don't want
244 to disrupt whatever is going on outside the signal handler. */
245
246 if (fd < 0) return;
247
248 (void)write(fd, process_info, process_info_len);
249 (void)close(fd);
250 }
251
252
253
254 /*************************************************
255 *             Timeout handler                    *
256 *************************************************/
257
258 /* This handler is enabled most of the time that Exim is running. The handler
259 doesn't actually get used unless alarm() has been called to set a timer, to
260 place a time limit on a system call of some kind. When the handler is run, it
261 re-enables itself.
262
263 There are some other SIGALRM handlers that are used in special cases when more
264 than just a flag setting is required; for example, when reading a message's
265 input. These are normally set up in the code module that uses them, and the
266 SIGALRM handler is reset to this one afterwards.
267
268 Argument: the signal value (SIGALRM)
269 Returns:  nothing
270 */
271
272 void
273 sigalrm_handler(int sig)
274 {
275 sig = sig;      /* Keep picky compilers happy */
276 sigalrm_seen = TRUE;
277 os_non_restarting_signal(SIGALRM, sigalrm_handler);
278 }
279
280
281
282 /*************************************************
283 *      Sleep for a fractional time interval      *
284 *************************************************/
285
286 /* This function is called by millisleep() and exim_wait_tick() to wait for a
287 period of time that may include a fraction of a second. The coding is somewhat
288 tedious. We do not expect setitimer() ever to fail, but if it does, the process
289 will wait for ever, so we panic in this instance. (There was a case of this
290 when a bug in a function that calls milliwait() caused it to pass invalid data.
291 That's when I added the check. :-)
292
293 We assume it to be not worth sleeping for under 100us; this value will
294 require revisiting as hardware advances.  This avoids the issue of
295 a zero-valued timer setting meaning "never fire".
296
297 Argument:  an itimerval structure containing the interval
298 Returns:   nothing
299 */
300
301 static void
302 milliwait(struct itimerval *itval)
303 {
304 sigset_t sigmask;
305 sigset_t old_sigmask;
306
307 if (itval->it_value.tv_usec < 100 && itval->it_value.tv_sec == 0)
308   return;
309 (void)sigemptyset(&sigmask);                           /* Empty mask */
310 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
311 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
312 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
313   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
314     "setitimer() failed: %s", strerror(errno));
315 (void)sigfillset(&sigmask);                            /* All signals */
316 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
317 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
318 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
319 }
320
321
322
323
324 /*************************************************
325 *         Millisecond sleep function             *
326 *************************************************/
327
328 /* The basic sleep() function has a granularity of 1 second, which is too rough
329 in some cases - for example, when using an increasing delay to slow down
330 spammers.
331
332 Argument:    number of millseconds
333 Returns:     nothing
334 */
335
336 void
337 millisleep(int msec)
338 {
339 struct itimerval itval;
340 itval.it_interval.tv_sec = 0;
341 itval.it_interval.tv_usec = 0;
342 itval.it_value.tv_sec = msec/1000;
343 itval.it_value.tv_usec = (msec % 1000) * 1000;
344 milliwait(&itval);
345 }
346
347
348
349 /*************************************************
350 *         Compare microsecond times              *
351 *************************************************/
352
353 /*
354 Arguments:
355   tv1         the first time
356   tv2         the second time
357
358 Returns:      -1, 0, or +1
359 */
360
361 static int
362 exim_tvcmp(struct timeval *t1, struct timeval *t2)
363 {
364 if (t1->tv_sec > t2->tv_sec) return +1;
365 if (t1->tv_sec < t2->tv_sec) return -1;
366 if (t1->tv_usec > t2->tv_usec) return +1;
367 if (t1->tv_usec < t2->tv_usec) return -1;
368 return 0;
369 }
370
371
372
373
374 /*************************************************
375 *          Clock tick wait function              *
376 *************************************************/
377
378 /* Exim uses a time + a pid to generate a unique identifier in two places: its
379 message IDs, and in file names for maildir deliveries. Because some OS now
380 re-use pids within the same second, sub-second times are now being used.
381 However, for absolute certainty, we must ensure the clock has ticked before
382 allowing the relevant process to complete. At the time of implementation of
383 this code (February 2003), the speed of processors is such that the clock will
384 invariably have ticked already by the time a process has done its job. This
385 function prepares for the time when things are faster - and it also copes with
386 clocks that go backwards.
387
388 Arguments:
389   then_tv      A timeval which was used to create uniqueness; its usec field
390                  has been rounded down to the value of the resolution.
391                  We want to be sure the current time is greater than this.
392   resolution   The resolution that was used to divide the microseconds
393                  (1 for maildir, larger for message ids)
394
395 Returns:       nothing
396 */
397
398 void
399 exim_wait_tick(struct timeval *then_tv, int resolution)
400 {
401 struct timeval now_tv;
402 long int now_true_usec;
403
404 (void)gettimeofday(&now_tv, NULL);
405 now_true_usec = now_tv.tv_usec;
406 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
407
408 if (exim_tvcmp(&now_tv, then_tv) <= 0)
409   {
410   struct itimerval itval;
411   itval.it_interval.tv_sec = 0;
412   itval.it_interval.tv_usec = 0;
413   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
414   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
415
416   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
417   negative value for the microseconds is possible only in the case when "now"
418   is more than a second less than "then". That means that itval.it_value.tv_sec
419   is greater than zero. The following correction is therefore safe. */
420
421   if (itval.it_value.tv_usec < 0)
422     {
423     itval.it_value.tv_usec += 1000000;
424     itval.it_value.tv_sec -= 1;
425     }
426
427   DEBUG(D_transport|D_receive)
428     {
429     if (!f.running_in_test_harness)
430       {
431       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
432         then_tv->tv_sec, (long) then_tv->tv_usec,
433         now_tv.tv_sec, (long) now_tv.tv_usec);
434       debug_printf("waiting " TIME_T_FMT ".%06lu\n",
435         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
436       }
437     }
438
439   milliwait(&itval);
440   }
441 }
442
443
444
445
446 /*************************************************
447 *   Call fopen() with umask 777 and adjust mode  *
448 *************************************************/
449
450 /* Exim runs with umask(0) so that files created with open() have the mode that
451 is specified in the open() call. However, there are some files, typically in
452 the spool directory, that are created with fopen(). They end up world-writeable
453 if no precautions are taken. Although the spool directory is not accessible to
454 the world, this is an untidiness. So this is a wrapper function for fopen()
455 that sorts out the mode of the created file.
456
457 Arguments:
458    filename       the file name
459    options        the fopen() options
460    mode           the required mode
461
462 Returns:          the fopened FILE or NULL
463 */
464
465 FILE *
466 modefopen(const uschar *filename, const char *options, mode_t mode)
467 {
468 mode_t saved_umask = umask(0777);
469 FILE *f = Ufopen(filename, options);
470 (void)umask(saved_umask);
471 if (f != NULL) (void)fchmod(fileno(f), mode);
472 return f;
473 }
474
475
476
477
478 /*************************************************
479 *   Ensure stdin, stdout, and stderr exist       *
480 *************************************************/
481
482 /* Some operating systems grumble if an exec() happens without a standard
483 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
484 file will be opened and will use these fd values, and then some other bit of
485 code will assume, for example, that it can write error messages to stderr.
486 This function ensures that fds 0, 1, and 2 are open if they do not already
487 exist, by connecting them to /dev/null.
488
489 This function is also used to ensure that std{in,out,err} exist at all times,
490 so that if any library that Exim calls tries to use them, it doesn't crash.
491
492 Arguments:  None
493 Returns:    Nothing
494 */
495
496 void
497 exim_nullstd(void)
498 {
499 int devnull = -1;
500 struct stat statbuf;
501 for (int i = 0; i <= 2; i++)
502   {
503   if (fstat(i, &statbuf) < 0 && errno == EBADF)
504     {
505     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
506     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
507       string_open_failed(errno, "/dev/null"));
508     if (devnull != i) (void)dup2(devnull, i);
509     }
510   }
511 if (devnull > 2) (void)close(devnull);
512 }
513
514
515
516
517 /*************************************************
518 *   Close unwanted file descriptors for delivery *
519 *************************************************/
520
521 /* This function is called from a new process that has been forked to deliver
522 an incoming message, either directly, or using exec.
523
524 We want any smtp input streams to be closed in this new process. However, it
525 has been observed that using fclose() here causes trouble. When reading in -bS
526 input, duplicate copies of messages have been seen. The files will be sharing a
527 file pointer with the parent process, and it seems that fclose() (at least on
528 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
529 least sometimes. Hence we go for closing the underlying file descriptors.
530
531 If TLS is active, we want to shut down the TLS library, but without molesting
532 the parent's SSL connection.
533
534 For delivery of a non-SMTP message, we want to close stdin and stdout (and
535 stderr unless debugging) because the calling process might have set them up as
536 pipes and be waiting for them to close before it waits for the submission
537 process to terminate. If they aren't closed, they hold up the calling process
538 until the initial delivery process finishes, which is not what we want.
539
540 Exception: We do want it for synchronous delivery!
541
542 And notwithstanding all the above, if D_resolver is set, implying resolver
543 debugging, leave stdout open, because that's where the resolver writes its
544 debugging output.
545
546 When we close stderr (which implies we've also closed stdout), we also get rid
547 of any controlling terminal.
548
549 Arguments:   None
550 Returns:     Nothing
551 */
552
553 static void
554 close_unwanted(void)
555 {
556 if (smtp_input)
557   {
558 #ifdef SUPPORT_TLS
559   tls_close(NULL, TLS_NO_SHUTDOWN);      /* Shut down the TLS library */
560 #endif
561   (void)close(fileno(smtp_in));
562   (void)close(fileno(smtp_out));
563   smtp_in = NULL;
564   }
565 else
566   {
567   (void)close(0);                                          /* stdin */
568   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
569   if (debug_selector == 0)                                 /* stderr */
570     {
571     if (!f.synchronous_delivery)
572       {
573       (void)close(2);
574       log_stderr = NULL;
575       }
576     (void)setsid();
577     }
578   }
579 }
580
581
582
583
584 /*************************************************
585 *          Set uid and gid                       *
586 *************************************************/
587
588 /* This function sets a new uid and gid permanently, optionally calling
589 initgroups() to set auxiliary groups. There are some special cases when running
590 Exim in unprivileged modes. In these situations the effective uid will not be
591 root; if we already have the right effective uid/gid, and don't need to
592 initialize any groups, leave things as they are.
593
594 Arguments:
595   uid        the uid
596   gid        the gid
597   igflag     TRUE if initgroups() wanted
598   msg        text to use in debugging output and failure log
599
600 Returns:     nothing; bombs out on failure
601 */
602
603 void
604 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
605 {
606 uid_t euid = geteuid();
607 gid_t egid = getegid();
608
609 if (euid == root_uid || euid != uid || egid != gid || igflag)
610   {
611   /* At least one OS returns +1 for initgroups failure, so just check for
612   non-zero. */
613
614   if (igflag)
615     {
616     struct passwd *pw = getpwuid(uid);
617     if (!pw)
618       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
619         "no passwd entry for uid=%ld", (long int)uid);
620
621     if (initgroups(pw->pw_name, gid) != 0)
622       log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
623         (long int)uid, strerror(errno));
624     }
625
626   if (setgid(gid) < 0 || setuid(uid) < 0)
627     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
628       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
629   }
630
631 /* Debugging output included uid/gid and all groups */
632
633 DEBUG(D_uid)
634   {
635   int group_count, save_errno;
636   gid_t group_list[EXIM_GROUPLIST_SIZE];
637   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
638     (long int)geteuid(), (long int)getegid(), (long int)getpid());
639   group_count = getgroups(nelem(group_list), group_list);
640   save_errno = errno;
641   debug_printf("  auxiliary group list:");
642   if (group_count > 0)
643     for (int i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
644   else if (group_count < 0)
645     debug_printf(" <error: %s>", strerror(save_errno));
646   else debug_printf(" <none>");
647   debug_printf("\n");
648   }
649 }
650
651
652
653
654 /*************************************************
655 *               Exit point                       *
656 *************************************************/
657
658 /* Exim exits via this function so that it always clears up any open
659 databases.
660
661 Arguments:
662   rc         return code
663
664 Returns:     does not return
665 */
666
667 void
668 exim_exit(int rc, const uschar * process)
669 {
670 search_tidyup();
671 DEBUG(D_any)
672   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d %s%s%sterminating with rc=%d "
673     ">>>>>>>>>>>>>>>>\n", (int)getpid(),
674     process ? "(" : "", process, process ? ") " : "", rc);
675 exit(rc);
676 }
677
678
679
680 /* Print error string, then die */
681 static void
682 exim_fail(const char * fmt, ...)
683 {
684 va_list ap;
685 va_start(ap, fmt);
686 vfprintf(stderr, fmt, ap);
687 exit(EXIT_FAILURE);
688 }
689
690
691
692 /*************************************************
693 *         Extract port from host address         *
694 *************************************************/
695
696 /* Called to extract the port from the values given to -oMa and -oMi.
697 It also checks the syntax of the address, and terminates it before the
698 port data when a port is extracted.
699
700 Argument:
701   address   the address, with possible port on the end
702
703 Returns:    the port, or zero if there isn't one
704             bombs out on a syntax error
705 */
706
707 static int
708 check_port(uschar *address)
709 {
710 int port = host_address_extract_port(address);
711 if (string_is_ip_address(address, NULL) == 0)
712   exim_fail("exim abandoned: \"%s\" is not an IP address\n", address);
713 return port;
714 }
715
716
717
718 /*************************************************
719 *              Test/verify an address            *
720 *************************************************/
721
722 /* This function is called by the -bv and -bt code. It extracts a working
723 address from a full RFC 822 address. This isn't really necessary per se, but it
724 has the effect of collapsing source routes.
725
726 Arguments:
727   s            the address string
728   flags        flag bits for verify_address()
729   exit_value   to be set for failures
730
731 Returns:       nothing
732 */
733
734 static void
735 test_address(uschar *s, int flags, int *exit_value)
736 {
737 int start, end, domain;
738 uschar *parse_error = NULL;
739 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
740   FALSE);
741 if (address == NULL)
742   {
743   fprintf(stdout, "syntax error: %s\n", parse_error);
744   *exit_value = 2;
745   }
746 else
747   {
748   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
749     -1, -1, NULL, NULL, NULL);
750   if (rc == FAIL) *exit_value = 2;
751     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
752   }
753 }
754
755
756
757 /*************************************************
758 *          Show supported features               *
759 *************************************************/
760
761 static void
762 show_db_version(FILE * f)
763 {
764 #ifdef DB_VERSION_STRING
765 DEBUG(D_any)
766   {
767   fprintf(f, "Library version: BDB: Compile: %s\n", DB_VERSION_STRING);
768   fprintf(f, "                      Runtime: %s\n",
769     db_version(NULL, NULL, NULL));
770   }
771 else
772   fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
773
774 #elif defined(BTREEVERSION) && defined(HASHVERSION)
775   #ifdef USE_DB
776   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
777   #else
778   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
779   #endif
780
781 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
782 fprintf(f, "Probably ndbm\n");
783 #elif defined(USE_TDB)
784 fprintf(f, "Using tdb\n");
785 #else
786   #ifdef USE_GDBM
787   fprintf(f, "Probably GDBM (native mode)\n");
788   #else
789   fprintf(f, "Probably GDBM (compatibility mode)\n");
790   #endif
791 #endif
792 }
793
794
795 /* This function is called for -bV/--version and for -d to output the optional
796 features of the current Exim binary.
797
798 Arguments:  a FILE for printing
799 Returns:    nothing
800 */
801
802 static void
803 show_whats_supported(FILE * fp)
804 {
805 DEBUG(D_any) {} else show_db_version(fp);
806
807 fprintf(fp, "Support for:");
808 #ifdef SUPPORT_CRYPTEQ
809   fprintf(fp, " crypteq");
810 #endif
811 #if HAVE_ICONV
812   fprintf(fp, " iconv()");
813 #endif
814 #if HAVE_IPV6
815   fprintf(fp, " IPv6");
816 #endif
817 #ifdef HAVE_SETCLASSRESOURCES
818   fprintf(fp, " use_setclassresources");
819 #endif
820 #ifdef SUPPORT_PAM
821   fprintf(fp, " PAM");
822 #endif
823 #ifdef EXIM_PERL
824   fprintf(fp, " Perl");
825 #endif
826 #ifdef EXPAND_DLFUNC
827   fprintf(fp, " Expand_dlfunc");
828 #endif
829 #ifdef USE_TCP_WRAPPERS
830   fprintf(fp, " TCPwrappers");
831 #endif
832 #ifdef SUPPORT_TLS
833 # ifdef USE_GNUTLS
834   fprintf(fp, " GnuTLS");
835 # else
836   fprintf(fp, " OpenSSL");
837 # endif
838 #endif
839 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
840   fprintf(fp, " translate_ip_address");
841 #endif
842 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
843   fprintf(fp, " move_frozen_messages");
844 #endif
845 #ifdef WITH_CONTENT_SCAN
846   fprintf(fp, " Content_Scanning");
847 #endif
848 #ifdef SUPPORT_DANE
849   fprintf(fp, " DANE");
850 #endif
851 #ifndef DISABLE_DKIM
852   fprintf(fp, " DKIM");
853 #endif
854 #ifndef DISABLE_DNSSEC
855   fprintf(fp, " DNSSEC");
856 #endif
857 #ifndef DISABLE_EVENT
858   fprintf(fp, " Event");
859 #endif
860 #ifdef SUPPORT_I18N
861   fprintf(fp, " I18N");
862 #endif
863 #ifndef DISABLE_OCSP
864   fprintf(fp, " OCSP");
865 #endif
866 #ifndef DISABLE_PRDR
867   fprintf(fp, " PRDR");
868 #endif
869 #ifdef SUPPORT_PROXY
870   fprintf(fp, " PROXY");
871 #endif
872 #ifdef SUPPORT_SOCKS
873   fprintf(fp, " SOCKS");
874 #endif
875 #ifdef SUPPORT_SPF
876   fprintf(fp, " SPF");
877 #endif
878 #ifdef TCP_FASTOPEN
879   deliver_init();
880   if (f.tcp_fastopen_ok) fprintf(fp, " TCP_Fast_Open");
881 #endif
882 #ifdef EXPERIMENTAL_LMDB
883   fprintf(fp, " Experimental_LMDB");
884 #endif
885 #ifdef EXPERIMENTAL_QUEUEFILE
886   fprintf(fp, " Experimental_QUEUEFILE");
887 #endif
888 #ifdef EXPERIMENTAL_SRS
889   fprintf(fp, " Experimental_SRS");
890 #endif
891 #ifdef EXPERIMENTAL_ARC
892   fprintf(fp, " Experimental_ARC");
893 #endif
894 #ifdef EXPERIMENTAL_BRIGHTMAIL
895   fprintf(fp, " Experimental_Brightmail");
896 #endif
897 #ifdef EXPERIMENTAL_DCC
898   fprintf(fp, " Experimental_DCC");
899 #endif
900 #ifdef EXPERIMENTAL_DMARC
901   fprintf(fp, " Experimental_DMARC");
902 #endif
903 #ifdef EXPERIMENTAL_DSN_INFO
904   fprintf(fp, " Experimental_DSN_info");
905 #endif
906 #ifdef EXPERIMENTAL_REQUIRETLS
907   fprintf(fp, " Experimental_REQUIRETLS");
908 #endif
909 #ifdef EXPERIMENTAL_PIPE_CONNECT
910   fprintf(fp, " Experimental_PIPE_CONNECT");
911 #endif
912 fprintf(fp, "\n");
913
914 fprintf(fp, "Lookups (built-in):");
915 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
916   fprintf(fp, " lsearch wildlsearch nwildlsearch iplsearch");
917 #endif
918 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
919   fprintf(fp, " cdb");
920 #endif
921 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
922   fprintf(fp, " dbm dbmjz dbmnz");
923 #endif
924 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
925   fprintf(fp, " dnsdb");
926 #endif
927 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
928   fprintf(fp, " dsearch");
929 #endif
930 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
931   fprintf(fp, " ibase");
932 #endif
933 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
934   fprintf(fp, " ldap ldapdn ldapm");
935 #endif
936 #ifdef EXPERIMENTAL_LMDB
937   fprintf(fp, " lmdb");
938 #endif
939 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
940   fprintf(fp, " mysql");
941 #endif
942 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
943   fprintf(fp, " nis nis0");
944 #endif
945 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
946   fprintf(fp, " nisplus");
947 #endif
948 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
949   fprintf(fp, " oracle");
950 #endif
951 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
952   fprintf(fp, " passwd");
953 #endif
954 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
955   fprintf(fp, " pgsql");
956 #endif
957 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
958   fprintf(fp, " redis");
959 #endif
960 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
961   fprintf(fp, " sqlite");
962 #endif
963 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
964   fprintf(fp, " testdb");
965 #endif
966 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
967   fprintf(fp, " whoson");
968 #endif
969 fprintf(fp, "\n");
970
971 auth_show_supported(fp);
972 route_show_supported(fp);
973 transport_show_supported(fp);
974
975 #ifdef WITH_CONTENT_SCAN
976 malware_show_supported(fp);
977 #endif
978
979 if (fixed_never_users[0] > 0)
980   {
981   int i;
982   fprintf(fp, "Fixed never_users: ");
983   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
984     fprintf(fp, "%d:", (unsigned int)fixed_never_users[i]);
985   fprintf(fp, "%d\n", (unsigned int)fixed_never_users[i]);
986   }
987
988 fprintf(fp, "Configure owner: %d:%d\n", config_uid, config_gid);
989
990 fprintf(fp, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
991
992 /* Everything else is details which are only worth reporting when debugging.
993 Perhaps the tls_version_report should move into this too. */
994 DEBUG(D_any) do {
995
996 /* clang defines __GNUC__ (at least, for me) so test for it first */
997 #if defined(__clang__)
998   fprintf(fp, "Compiler: CLang [%s]\n", __clang_version__);
999 #elif defined(__GNUC__)
1000   fprintf(fp, "Compiler: GCC [%s]\n",
1001 # ifdef __VERSION__
1002       __VERSION__
1003 # else
1004       "? unknown version ?"
1005 # endif
1006       );
1007 #else
1008   fprintf(fp, "Compiler: <unknown>\n");
1009 #endif
1010
1011 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1012   fprintf(fp, "Library version: Glibc: Compile: %d.%d\n",
1013                 __GLIBC__, __GLIBC_MINOR__);
1014   if (__GLIBC_PREREQ(2, 1))
1015     fprintf(fp, "                        Runtime: %s\n",
1016                 gnu_get_libc_version());
1017 #endif
1018
1019 show_db_version(fp);
1020
1021 #ifdef SUPPORT_TLS
1022   tls_version_report(fp);
1023 #endif
1024 #ifdef SUPPORT_I18N
1025   utf8_version_report(fp);
1026 #endif
1027
1028   for (auth_info * authi = auths_available; *authi->driver_name != '\0'; ++authi)
1029     if (authi->version_report)
1030       (*authi->version_report)(fp);
1031
1032   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1033   characters; unless it's an ancient version of PCRE in which case it
1034   is not defined. */
1035 #ifndef PCRE_PRERELEASE
1036 # define PCRE_PRERELEASE
1037 #endif
1038 #define QUOTE(X) #X
1039 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1040   fprintf(fp, "Library version: PCRE: Compile: %d.%d%s\n"
1041              "                       Runtime: %s\n",
1042           PCRE_MAJOR, PCRE_MINOR,
1043           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1044           pcre_version());
1045 #undef QUOTE
1046 #undef EXPAND_AND_QUOTE
1047
1048   init_lookup_list();
1049   for (int i = 0; i < lookup_list_count; i++)
1050     if (lookup_list[i]->version_report)
1051       lookup_list[i]->version_report(fp);
1052
1053 #ifdef WHITELIST_D_MACROS
1054   fprintf(fp, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1055 #else
1056   fprintf(fp, "WHITELIST_D_MACROS unset\n");
1057 #endif
1058 #ifdef TRUSTED_CONFIG_LIST
1059   fprintf(fp, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1060 #else
1061   fprintf(fp, "TRUSTED_CONFIG_LIST unset\n");
1062 #endif
1063
1064 } while (0);
1065 }
1066
1067
1068 /*************************************************
1069 *     Show auxiliary information about Exim      *
1070 *************************************************/
1071
1072 static void
1073 show_exim_information(enum commandline_info request, FILE *stream)
1074 {
1075 switch(request)
1076   {
1077   case CMDINFO_NONE:
1078     fprintf(stream, "Oops, something went wrong.\n");
1079     return;
1080   case CMDINFO_HELP:
1081     fprintf(stream,
1082 "The -bI: flag takes a string indicating which information to provide.\n"
1083 "If the string is not recognised, you'll get this help (on stderr).\n"
1084 "\n"
1085 "  exim -bI:help    this information\n"
1086 "  exim -bI:dscp    list of known dscp value keywords\n"
1087 "  exim -bI:sieve   list of supported sieve extensions\n"
1088 );
1089     return;
1090   case CMDINFO_SIEVE:
1091     for (const uschar ** pp = exim_sieve_extension_list; *pp; ++pp)
1092       fprintf(stream, "%s\n", *pp);
1093     return;
1094   case CMDINFO_DSCP:
1095     dscp_list_to_stream(stream);
1096     return;
1097   }
1098 }
1099
1100
1101 /*************************************************
1102 *               Quote a local part               *
1103 *************************************************/
1104
1105 /* This function is used when a sender address or a From: or Sender: header
1106 line is being created from the caller's login, or from an authenticated_id. It
1107 applies appropriate quoting rules for a local part.
1108
1109 Argument:    the local part
1110 Returns:     the local part, quoted if necessary
1111 */
1112
1113 uschar *
1114 local_part_quote(uschar *lpart)
1115 {
1116 BOOL needs_quote = FALSE;
1117 gstring * g;
1118
1119 for (uschar * t = lpart; !needs_quote && *t != 0; t++)
1120   {
1121   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1122     (*t != '.' || t == lpart || t[1] == 0);
1123   }
1124
1125 if (!needs_quote) return lpart;
1126
1127 g = string_catn(NULL, US"\"", 1);
1128
1129 for (;;)
1130   {
1131   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1132   if (nq == NULL)
1133     {
1134     g = string_cat(g, lpart);
1135     break;
1136     }
1137   g = string_catn(g, lpart, nq - lpart);
1138   g = string_catn(g, US"\\", 1);
1139   g = string_catn(g, nq, 1);
1140   lpart = nq + 1;
1141   }
1142
1143 g = string_catn(g, US"\"", 1);
1144 return string_from_gstring(g);
1145 }
1146
1147
1148
1149 #ifdef USE_READLINE
1150 /*************************************************
1151 *         Load readline() functions              *
1152 *************************************************/
1153
1154 /* This function is called from testing executions that read data from stdin,
1155 but only when running as the calling user. Currently, only -be does this. The
1156 function loads the readline() function library and passes back the functions.
1157 On some systems, it needs the curses library, so load that too, but try without
1158 it if loading fails. All this functionality has to be requested at build time.
1159
1160 Arguments:
1161   fn_readline_ptr   pointer to where to put the readline pointer
1162   fn_addhist_ptr    pointer to where to put the addhistory function
1163
1164 Returns:            the dlopen handle or NULL on failure
1165 */
1166
1167 static void *
1168 set_readline(char * (**fn_readline_ptr)(const char *),
1169              void   (**fn_addhist_ptr)(const char *))
1170 {
1171 void *dlhandle;
1172 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1173
1174 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1175 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1176
1177 if (dlhandle != NULL)
1178   {
1179   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1180    *   char * readline (const char *prompt);
1181    *   void add_history (const char *string);
1182    */
1183   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1184   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1185   }
1186 else
1187   {
1188   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1189   }
1190
1191 return dlhandle;
1192 }
1193 #endif
1194
1195
1196
1197 /*************************************************
1198 *    Get a line from stdin for testing things    *
1199 *************************************************/
1200
1201 /* This function is called when running tests that can take a number of lines
1202 of input (for example, -be and -bt). It handles continuations and trailing
1203 spaces. And prompting and a blank line output on eof. If readline() is in use,
1204 the arguments are non-NULL and provide the relevant functions.
1205
1206 Arguments:
1207   fn_readline   readline function or NULL
1208   fn_addhist    addhist function or NULL
1209
1210 Returns:        pointer to dynamic memory, or NULL at end of file
1211 */
1212
1213 static uschar *
1214 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1215 {
1216 gstring * g = NULL;
1217
1218 if (!fn_readline) { printf("> "); fflush(stdout); }
1219
1220 for (int i = 0;; i++)
1221   {
1222   uschar buffer[1024];
1223   uschar *p, *ss;
1224
1225   #ifdef USE_READLINE
1226   char *readline_line = NULL;
1227   if (fn_readline != NULL)
1228     {
1229     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1230     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1231     p = US readline_line;
1232     }
1233   else
1234   #endif
1235
1236   /* readline() not in use */
1237
1238     {
1239     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1240     p = buffer;
1241     }
1242
1243   /* Handle the line */
1244
1245   ss = p + (int)Ustrlen(p);
1246   while (ss > p && isspace(ss[-1])) ss--;
1247
1248   if (i > 0)
1249     {
1250     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1251     }
1252
1253   g = string_catn(g, p, ss - p);
1254
1255   #ifdef USE_READLINE
1256   if (fn_readline) free(readline_line);
1257   #endif
1258
1259   /* g can only be NULL if ss==p */
1260   if (ss == p || g->s[g->ptr-1] != '\\')
1261     break;
1262
1263   --g->ptr;
1264   (void) string_from_gstring(g);
1265   }
1266
1267 if (!g) printf("\n");
1268 return string_from_gstring(g);
1269 }
1270
1271
1272
1273 /*************************************************
1274 *    Output usage information for the program    *
1275 *************************************************/
1276
1277 /* This function is called when there are no recipients
1278    or a specific --help argument was added.
1279
1280 Arguments:
1281   progname      information on what name we were called by
1282
1283 Returns:        DOES NOT RETURN
1284 */
1285
1286 static void
1287 exim_usage(uschar *progname)
1288 {
1289
1290 /* Handle specific program invocation variants */
1291 if (Ustrcmp(progname, US"-mailq") == 0)
1292   exim_fail(
1293     "mailq - list the contents of the mail queue\n\n"
1294     "For a list of options, see the Exim documentation.\n");
1295
1296 /* Generic usage - we output this whatever happens */
1297 exim_fail(
1298   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1299   "not directly from a shell command line. Options and/or arguments control\n"
1300   "what it does when called. For a list of options, see the Exim documentation.\n");
1301 }
1302
1303
1304
1305 /*************************************************
1306 *    Validate that the macros given are okay     *
1307 *************************************************/
1308
1309 /* Typically, Exim will drop privileges if macros are supplied.  In some
1310 cases, we want to not do so.
1311
1312 Arguments:    opt_D_used - true if the commandline had a "-D" option
1313 Returns:      true if trusted, false otherwise
1314 */
1315
1316 static BOOL
1317 macros_trusted(BOOL opt_D_used)
1318 {
1319 #ifdef WHITELIST_D_MACROS
1320 uschar *whitelisted, *end, *p, **whites;
1321 int white_count, i, n;
1322 size_t len;
1323 BOOL prev_char_item, found;
1324 #endif
1325
1326 if (!opt_D_used)
1327   return TRUE;
1328 #ifndef WHITELIST_D_MACROS
1329 return FALSE;
1330 #else
1331
1332 /* We only trust -D overrides for some invoking users:
1333 root, the exim run-time user, the optional config owner user.
1334 I don't know why config-owner would be needed, but since they can own the
1335 config files anyway, there's no security risk to letting them override -D. */
1336 if ( ! ((real_uid == root_uid)
1337      || (real_uid == exim_uid)
1338 #ifdef CONFIGURE_OWNER
1339      || (real_uid == config_uid)
1340 #endif
1341    ))
1342   {
1343   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1344   return FALSE;
1345   }
1346
1347 /* Get a list of macros which are whitelisted */
1348 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1349 prev_char_item = FALSE;
1350 white_count = 0;
1351 for (p = whitelisted; *p != '\0'; ++p)
1352   {
1353   if (*p == ':' || isspace(*p))
1354     {
1355     *p = '\0';
1356     if (prev_char_item)
1357       ++white_count;
1358     prev_char_item = FALSE;
1359     continue;
1360     }
1361   if (!prev_char_item)
1362     prev_char_item = TRUE;
1363   }
1364 end = p;
1365 if (prev_char_item)
1366   ++white_count;
1367 if (!white_count)
1368   return FALSE;
1369 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1370 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1371   {
1372   if (*p != '\0')
1373     {
1374     whites[i++] = p;
1375     if (i == white_count)
1376       break;
1377     while (*p != '\0' && p < end)
1378       ++p;
1379     }
1380   }
1381 whites[i] = NULL;
1382
1383 /* The list of commandline macros should be very short.
1384 Accept the N*M complexity. */
1385 for (macro_item * m = macros_user; m; m = m->next) if (m->command_line)
1386   {
1387   found = FALSE;
1388   for (uschar ** w = whites; *w; ++w)
1389     if (Ustrcmp(*w, m->name) == 0)
1390       {
1391       found = TRUE;
1392       break;
1393       }
1394   if (!found)
1395     return FALSE;
1396   if (!m->replacement)
1397     continue;
1398   if ((len = m->replen) == 0)
1399     continue;
1400   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1401    0, PCRE_EOPT, NULL, 0);
1402   if (n < 0)
1403     {
1404     if (n != PCRE_ERROR_NOMATCH)
1405       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1406     return FALSE;
1407     }
1408   }
1409 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1410 return TRUE;
1411 #endif
1412 }
1413
1414
1415 /*************************************************
1416 *          Expansion testing                     *
1417 *************************************************/
1418
1419 /* Expand and print one item, doing macro-processing.
1420
1421 Arguments:
1422   item          line for expansion
1423 */
1424
1425 static void
1426 expansion_test_line(uschar * line)
1427 {
1428 int len;
1429 BOOL dummy_macexp;
1430
1431 Ustrncpy(big_buffer, line, big_buffer_size);
1432 big_buffer[big_buffer_size-1] = '\0';
1433 len = Ustrlen(big_buffer);
1434
1435 (void) macros_expand(0, &len, &dummy_macexp);
1436
1437 if (isupper(big_buffer[0]))
1438   {
1439   if (macro_read_assignment(big_buffer))
1440     printf("Defined macro '%s'\n", mlast->name);
1441   }
1442 else
1443   if ((line = expand_string(big_buffer))) printf("%s\n", CS line);
1444   else printf("Failed: %s\n", expand_string_message);
1445 }
1446
1447
1448
1449 /*************************************************
1450 *          Entry point and high-level code       *
1451 *************************************************/
1452
1453 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1454 the appropriate action. All the necessary functions are present in the one
1455 binary. I originally thought one should split it up, but it turns out that so
1456 much of the apparatus is needed in each chunk that one might as well just have
1457 it all available all the time, which then makes the coding easier as well.
1458
1459 Arguments:
1460   argc      count of entries in argv
1461   argv      argument strings, with argv[0] being the program name
1462
1463 Returns:    EXIT_SUCCESS if terminated successfully
1464             EXIT_FAILURE otherwise, except when a message has been sent
1465               to the sender, and -oee was given
1466 */
1467
1468 int
1469 main(int argc, char **cargv)
1470 {
1471 uschar **argv = USS cargv;
1472 int  arg_receive_timeout = -1;
1473 int  arg_smtp_receive_timeout = -1;
1474 int  arg_error_handling = error_handling;
1475 int  filter_sfd = -1;
1476 int  filter_ufd = -1;
1477 int  group_count;
1478 int  i, rv;
1479 int  list_queue_option = 0;
1480 int  msg_action = 0;
1481 int  msg_action_arg = -1;
1482 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1483 int  queue_only_reason = 0;
1484 #ifdef EXIM_PERL
1485 int  perl_start_option = 0;
1486 #endif
1487 int  recipients_arg = argc;
1488 int  sender_address_domain = 0;
1489 int  test_retry_arg = -1;
1490 int  test_rewrite_arg = -1;
1491 gid_t original_egid;
1492 BOOL arg_queue_only = FALSE;
1493 BOOL bi_option = FALSE;
1494 BOOL checking = FALSE;
1495 BOOL count_queue = FALSE;
1496 BOOL expansion_test = FALSE;
1497 BOOL extract_recipients = FALSE;
1498 BOOL flag_G = FALSE;
1499 BOOL flag_n = FALSE;
1500 BOOL forced_delivery = FALSE;
1501 BOOL f_end_dot = FALSE;
1502 BOOL deliver_give_up = FALSE;
1503 BOOL list_queue = FALSE;
1504 BOOL list_options = FALSE;
1505 BOOL list_config = FALSE;
1506 BOOL local_queue_only;
1507 BOOL more = TRUE;
1508 BOOL one_msg_action = FALSE;
1509 BOOL opt_D_used = FALSE;
1510 BOOL queue_only_set = FALSE;
1511 BOOL receiving_message = TRUE;
1512 BOOL sender_ident_set = FALSE;
1513 BOOL session_local_queue_only;
1514 BOOL unprivileged;
1515 BOOL removed_privilege = FALSE;
1516 BOOL usage_wanted = FALSE;
1517 BOOL verify_address_mode = FALSE;
1518 BOOL verify_as_sender = FALSE;
1519 BOOL version_printed = FALSE;
1520 uschar *alias_arg = NULL;
1521 uschar *called_as = US"";
1522 uschar *cmdline_syslog_name = NULL;
1523 uschar *start_queue_run_id = NULL;
1524 uschar *stop_queue_run_id = NULL;
1525 uschar *expansion_test_message = NULL;
1526 uschar *ftest_domain = NULL;
1527 uschar *ftest_localpart = NULL;
1528 uschar *ftest_prefix = NULL;
1529 uschar *ftest_suffix = NULL;
1530 uschar *log_oneline = NULL;
1531 uschar *malware_test_file = NULL;
1532 uschar *real_sender_address;
1533 uschar *originator_home = US"/";
1534 size_t sz;
1535 void *reset_point;
1536
1537 struct passwd *pw;
1538 struct stat statbuf;
1539 pid_t passed_qr_pid = (pid_t)0;
1540 int passed_qr_pipe = -1;
1541 gid_t group_list[EXIM_GROUPLIST_SIZE];
1542
1543 /* For the -bI: flag */
1544 enum commandline_info info_flag = CMDINFO_NONE;
1545 BOOL info_stdout = FALSE;
1546
1547 /* Possible options for -R and -S */
1548
1549 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1550
1551 /* Need to define this in case we need to change the environment in order
1552 to get rid of a bogus time zone. We have to make it char rather than uschar
1553 because some OS define it in /usr/include/unistd.h. */
1554
1555 extern char **environ;
1556
1557 /* If the Exim user and/or group and/or the configuration file owner/group were
1558 defined by ref:name at build time, we must now find the actual uid/gid values.
1559 This is a feature to make the lives of binary distributors easier. */
1560
1561 #ifdef EXIM_USERNAME
1562 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1563   {
1564   if (exim_uid == 0)
1565     exim_fail("exim: refusing to run with uid 0 for \"%s\"\n", EXIM_USERNAME);
1566
1567   /* If ref:name uses a number as the name, route_finduser() returns
1568   TRUE with exim_uid set and pw coerced to NULL. */
1569   if (pw)
1570     exim_gid = pw->pw_gid;
1571 #ifndef EXIM_GROUPNAME
1572   else
1573     exim_fail(
1574         "exim: ref:name should specify a usercode, not a group.\n"
1575         "exim: can't let you get away with it unless you also specify a group.\n");
1576 #endif
1577   }
1578 else
1579   exim_fail("exim: failed to find uid for user name \"%s\"\n", EXIM_USERNAME);
1580 #endif
1581
1582 #ifdef EXIM_GROUPNAME
1583 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1584   exim_fail("exim: failed to find gid for group name \"%s\"\n", EXIM_GROUPNAME);
1585 #endif
1586
1587 #ifdef CONFIGURE_OWNERNAME
1588 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1589   exim_fail("exim: failed to find uid for user name \"%s\"\n",
1590     CONFIGURE_OWNERNAME);
1591 #endif
1592
1593 /* We default the system_filter_user to be the Exim run-time user, as a
1594 sane non-root value. */
1595 system_filter_uid = exim_uid;
1596
1597 #ifdef CONFIGURE_GROUPNAME
1598 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1599   exim_fail("exim: failed to find gid for group name \"%s\"\n",
1600     CONFIGURE_GROUPNAME);
1601 #endif
1602
1603 /* In the Cygwin environment, some initialization used to need doing.
1604 It was fudged in by means of this macro; now no longer but we'll leave
1605 it in case of others. */
1606
1607 #ifdef OS_INIT
1608 OS_INIT
1609 #endif
1610
1611 /* Check a field which is patched when we are running Exim within its
1612 testing harness; do a fast initial check, and then the whole thing. */
1613
1614 f.running_in_test_harness =
1615   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1616 if (f.running_in_test_harness)
1617   debug_store = TRUE;
1618
1619 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1620 at the start of a program; however, it seems that some environments do not
1621 follow this. A "strange" locale can affect the formatting of timestamps, so we
1622 make quite sure. */
1623
1624 setlocale(LC_ALL, "C");
1625
1626 /* Set up the default handler for timing using alarm(). */
1627
1628 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1629
1630 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1631 because store_malloc writes a log entry on failure. */
1632
1633 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1634   exim_fail("exim: failed to get store for log buffer\n");
1635
1636 /* Initialize the default log options. */
1637
1638 bits_set(log_selector, log_selector_size, log_default);
1639
1640 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1641 NULL when the daemon is run and the file is closed. We have to use this
1642 indirection, because some systems don't allow writing to the variable "stderr".
1643 */
1644
1645 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1646
1647 /* Arrange for the PCRE regex library to use our store functions. Note that
1648 the normal calls are actually macros that add additional arguments for
1649 debugging purposes so we have to assign specially constructed functions here.
1650 The default is to use store in the stacking pool, but this is overridden in the
1651 regex_must_compile() function. */
1652
1653 pcre_malloc = function_store_get;
1654 pcre_free = function_dummy_free;
1655
1656 /* Ensure there is a big buffer for temporary use in several places. It is put
1657 in malloc store so that it can be freed for enlargement if necessary. */
1658
1659 big_buffer = store_malloc(big_buffer_size);
1660
1661 /* Set up the handler for the data request signal, and set the initial
1662 descriptive text. */
1663
1664 set_process_info("initializing");
1665 os_restarting_signal(SIGUSR1, usr1_handler);
1666
1667 /* If running in a dockerized environment, the TERM signal is only
1668 delegated to the PID 1 if we request it by setting an signal handler */
1669 if (getpid() == 1) signal(SIGTERM, term_handler);
1670
1671 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1672 in the daemon code. For the rest of Exim's uses, we ignore it. */
1673
1674 signal(SIGHUP, SIG_IGN);
1675
1676 /* We don't want to die on pipe errors as the code is written to handle
1677 the write error instead. */
1678
1679 signal(SIGPIPE, SIG_IGN);
1680
1681 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1682 set to SIG_IGN. This causes subprocesses that complete before the parent
1683 process waits for them not to hang around, so when Exim calls wait(), nothing
1684 is there. The wait() code has been made robust against this, but let's ensure
1685 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1686 ending status. We use sigaction rather than plain signal() on those OS where
1687 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1688 problem on AIX with this.) */
1689
1690 #ifdef SA_NOCLDWAIT
1691   {
1692   struct sigaction act;
1693   act.sa_handler = SIG_DFL;
1694   sigemptyset(&(act.sa_mask));
1695   act.sa_flags = 0;
1696   sigaction(SIGCHLD, &act, NULL);
1697   }
1698 #else
1699 signal(SIGCHLD, SIG_DFL);
1700 #endif
1701
1702 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1703 SIGHUP. */
1704
1705 sighup_argv = argv;
1706
1707 /* Set up the version number. Set up the leading 'E' for the external form of
1708 message ids, set the pointer to the internal form, and initialize it to
1709 indicate no message being processed. */
1710
1711 version_init();
1712 message_id_option[0] = '-';
1713 message_id_external = message_id_option + 1;
1714 message_id_external[0] = 'E';
1715 message_id = message_id_external + 1;
1716 message_id[0] = 0;
1717
1718 /* Set the umask to zero so that any files Exim creates using open() are
1719 created with the modes that it specifies. NOTE: Files created with fopen() have
1720 a problem, which was not recognized till rather late (February 2006). With this
1721 umask, such files will be world writeable. (They are all content scanning files
1722 in the spool directory, which isn't world-accessible, so this is not a
1723 disaster, but it's untidy.) I don't want to change this overall setting,
1724 however, because it will interact badly with the open() calls. Instead, there's
1725 now a function called modefopen() that fiddles with the umask while calling
1726 fopen(). */
1727
1728 (void)umask(0);
1729
1730 /* Precompile the regular expression for matching a message id. Keep this in
1731 step with the code that generates ids in the accept.c module. We need to do
1732 this here, because the -M options check their arguments for syntactic validity
1733 using mac_ismsgid, which uses this. */
1734
1735 regex_ismsgid =
1736   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1737
1738 /* Precompile the regular expression that is used for matching an SMTP error
1739 code, possibly extended, at the start of an error message. Note that the
1740 terminating whitespace character is included. */
1741
1742 regex_smtp_code =
1743   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1744     FALSE, TRUE);
1745
1746 #ifdef WHITELIST_D_MACROS
1747 /* Precompile the regular expression used to filter the content of macros
1748 given to -D for permissibility. */
1749
1750 regex_whitelisted_macro =
1751   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1752 #endif
1753
1754 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1755
1756 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1757 this seems to be a generally accepted convention, since one finds symbolic
1758 links called "mailq" in standard OS configurations. */
1759
1760 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1761     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1762   {
1763   list_queue = TRUE;
1764   receiving_message = FALSE;
1765   called_as = US"-mailq";
1766   }
1767
1768 /* If the program is called as "rmail" treat it as equivalent to
1769 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1770 i.e. preventing a single dot on a line from terminating the message, and
1771 returning with zero return code, even in cases of error (provided an error
1772 message has been sent). */
1773
1774 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1775     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1776   {
1777   f.dot_ends = FALSE;
1778   called_as = US"-rmail";
1779   errors_sender_rc = EXIT_SUCCESS;
1780   }
1781
1782 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1783 this is a smail convention. */
1784
1785 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1786     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1787   {
1788   smtp_input = smtp_batched_input = TRUE;
1789   called_as = US"-rsmtp";
1790   }
1791
1792 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1793 this is a smail convention. */
1794
1795 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1796     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1797   {
1798   queue_interval = 0;
1799   receiving_message = FALSE;
1800   called_as = US"-runq";
1801   }
1802
1803 /* If the program is called as "newaliases" treat it as equivalent to
1804 "exim -bi"; this is a sendmail convention. */
1805
1806 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1807     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1808   {
1809   bi_option = TRUE;
1810   receiving_message = FALSE;
1811   called_as = US"-newaliases";
1812   }
1813
1814 /* Save the original effective uid for a couple of uses later. It should
1815 normally be root, but in some esoteric environments it may not be. */
1816
1817 original_euid = geteuid();
1818 original_egid = getegid();
1819
1820 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1821 to be the same as the real ones. This makes a difference only if Exim is setuid
1822 (or setgid) to something other than root, which could be the case in some
1823 special configurations. */
1824
1825 real_uid = getuid();
1826 real_gid = getgid();
1827
1828 if (real_uid == root_uid)
1829   {
1830   if ((rv = setgid(real_gid)))
1831     exim_fail("exim: setgid(%ld) failed: %s\n",
1832         (long int)real_gid, strerror(errno));
1833   if ((rv = setuid(real_uid)))
1834     exim_fail("exim: setuid(%ld) failed: %s\n",
1835         (long int)real_uid, strerror(errno));
1836   }
1837
1838 /* If neither the original real uid nor the original euid was root, Exim is
1839 running in an unprivileged state. */
1840
1841 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1842
1843 /* Scan the program's arguments. Some can be dealt with right away; others are
1844 simply recorded for checking and handling afterwards. Do a high-level switch
1845 on the second character (the one after '-'), to save some effort. */
1846
1847 for (i = 1; i < argc; i++)
1848   {
1849   BOOL badarg = FALSE;
1850   uschar *arg = argv[i];
1851   uschar *argrest;
1852   int switchchar;
1853
1854   /* An argument not starting with '-' is the start of a recipients list;
1855   break out of the options-scanning loop. */
1856
1857   if (arg[0] != '-')
1858     {
1859     recipients_arg = i;
1860     break;
1861     }
1862
1863   /* An option consisting of -- terminates the options */
1864
1865   if (Ustrcmp(arg, "--") == 0)
1866     {
1867     recipients_arg = i + 1;
1868     break;
1869     }
1870
1871   /* Handle flagged options */
1872
1873   switchchar = arg[1];
1874   argrest = arg+2;
1875
1876   /* Make all -ex options synonymous with -oex arguments, since that
1877   is assumed by various callers. Also make -qR options synonymous with -R
1878   options, as that seems to be required as well. Allow for -qqR too, and
1879   the same for -S options. */
1880
1881   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1882       Ustrncmp(arg+1, "qR", 2) == 0 ||
1883       Ustrncmp(arg+1, "qS", 2) == 0)
1884     {
1885     switchchar = arg[2];
1886     argrest++;
1887     }
1888   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1889     {
1890     switchchar = arg[3];
1891     argrest += 2;
1892     f.queue_2stage = TRUE;
1893     }
1894
1895   /* Make -r synonymous with -f, since it is a documented alias */
1896
1897   else if (arg[1] == 'r') switchchar = 'f';
1898
1899   /* Make -ov synonymous with -v */
1900
1901   else if (Ustrcmp(arg, "-ov") == 0)
1902     {
1903     switchchar = 'v';
1904     argrest++;
1905     }
1906
1907   /* deal with --option_aliases */
1908   else if (switchchar == '-')
1909     {
1910     if (Ustrcmp(argrest, "help") == 0)
1911       {
1912       usage_wanted = TRUE;
1913       break;
1914       }
1915     else if (Ustrcmp(argrest, "version") == 0)
1916       {
1917       switchchar = 'b';
1918       argrest = US"V";
1919       }
1920     }
1921
1922   /* High-level switch on active initial letter */
1923
1924   switch(switchchar)
1925     {
1926
1927     /* sendmail uses -Ac and -Am to control which .cf file is used;
1928     we ignore them. */
1929     case 'A':
1930     if (*argrest == '\0') { badarg = TRUE; break; }
1931     else
1932       {
1933       BOOL ignore = FALSE;
1934       switch (*argrest)
1935         {
1936         case 'c':
1937         case 'm':
1938           if (*(argrest + 1) == '\0')
1939             ignore = TRUE;
1940           break;
1941         }
1942       if (!ignore) { badarg = TRUE; break; }
1943       }
1944     break;
1945
1946     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1947     so has no need of it. */
1948
1949     case 'B':
1950     if (*argrest == 0) i++;       /* Skip over the type */
1951     break;
1952
1953
1954     case 'b':
1955     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1956
1957     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1958        -bdf: Ditto, but in the foreground.
1959     */
1960
1961     if (*argrest == 'd')
1962       {
1963       f.daemon_listen = TRUE;
1964       if (*(++argrest) == 'f') f.background_daemon = FALSE;
1965         else if (*argrest != 0) { badarg = TRUE; break; }
1966       }
1967
1968     /* -be:  Run in expansion test mode
1969        -bem: Ditto, but read a message from a file first
1970     */
1971
1972     else if (*argrest == 'e')
1973       {
1974       expansion_test = checking = TRUE;
1975       if (argrest[1] == 'm')
1976         {
1977         if (++i >= argc) { badarg = TRUE; break; }
1978         expansion_test_message = argv[i];
1979         argrest++;
1980         }
1981       if (argrest[1] != 0) { badarg = TRUE; break; }
1982       }
1983
1984     /* -bF:  Run system filter test */
1985
1986     else if (*argrest == 'F')
1987       {
1988       filter_test |= checking = FTEST_SYSTEM;
1989       if (*(++argrest) != 0) { badarg = TRUE; break; }
1990       if (++i < argc) filter_test_sfile = argv[i]; else
1991         exim_fail("exim: file name expected after %s\n", argv[i-1]);
1992       }
1993
1994     /* -bf:  Run user filter test
1995        -bfd: Set domain for filter testing
1996        -bfl: Set local part for filter testing
1997        -bfp: Set prefix for filter testing
1998        -bfs: Set suffix for filter testing
1999     */
2000
2001     else if (*argrest == 'f')
2002       {
2003       if (*(++argrest) == 0)
2004         {
2005         filter_test |= checking = FTEST_USER;
2006         if (++i < argc) filter_test_ufile = argv[i]; else
2007           exim_fail("exim: file name expected after %s\n", argv[i-1]);
2008         }
2009       else
2010         {
2011         if (++i >= argc)
2012           exim_fail("exim: string expected after %s\n", arg);
2013         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
2014         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
2015         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
2016         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
2017         else { badarg = TRUE; break; }
2018         }
2019       }
2020
2021     /* -bh: Host checking - an IP address must follow. */
2022
2023     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
2024       {
2025       if (++i >= argc) { badarg = TRUE; break; }
2026       sender_host_address = argv[i];
2027       host_checking = checking = f.log_testing_mode = TRUE;
2028       f.host_checking_callout = argrest[1] == 'c';
2029       message_logs = FALSE;
2030       }
2031
2032     /* -bi: This option is used by sendmail to initialize *the* alias file,
2033     though it has the -oA option to specify a different file. Exim has no
2034     concept of *the* alias file, but since Sun's YP make script calls
2035     sendmail this way, some support must be provided. */
2036
2037     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
2038
2039     /* -bI: provide information, of the type to follow after a colon.
2040     This is an Exim flag. */
2041
2042     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
2043       {
2044       uschar *p = &argrest[2];
2045       info_flag = CMDINFO_HELP;
2046       if (Ustrlen(p))
2047         {
2048         if (strcmpic(p, CUS"sieve") == 0)
2049           {
2050           info_flag = CMDINFO_SIEVE;
2051           info_stdout = TRUE;
2052           }
2053         else if (strcmpic(p, CUS"dscp") == 0)
2054           {
2055           info_flag = CMDINFO_DSCP;
2056           info_stdout = TRUE;
2057           }
2058         else if (strcmpic(p, CUS"help") == 0)
2059           {
2060           info_stdout = TRUE;
2061           }
2062         }
2063       }
2064
2065     /* -bm: Accept and deliver message - the default option. Reinstate
2066     receiving_message, which got turned off for all -b options. */
2067
2068     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2069
2070     /* -bmalware: test the filename given for malware */
2071
2072     else if (Ustrcmp(argrest, "malware") == 0)
2073       {
2074       if (++i >= argc) { badarg = TRUE; break; }
2075       checking = TRUE;
2076       malware_test_file = argv[i];
2077       }
2078
2079     /* -bnq: For locally originating messages, do not qualify unqualified
2080     addresses. In the envelope, this causes errors; in header lines they
2081     just get left. */
2082
2083     else if (Ustrcmp(argrest, "nq") == 0)
2084       {
2085       f.allow_unqualified_sender = FALSE;
2086       f.allow_unqualified_recipient = FALSE;
2087       }
2088
2089     /* -bpxx: List the contents of the mail queue, in various forms. If
2090     the option is -bpc, just a queue count is needed. Otherwise, if the
2091     first letter after p is r, then order is random. */
2092
2093     else if (*argrest == 'p')
2094       {
2095       if (*(++argrest) == 'c')
2096         {
2097         count_queue = TRUE;
2098         if (*(++argrest) != 0) badarg = TRUE;
2099         break;
2100         }
2101
2102       if (*argrest == 'r')
2103         {
2104         list_queue_option = 8;
2105         argrest++;
2106         }
2107       else list_queue_option = 0;
2108
2109       list_queue = TRUE;
2110
2111       /* -bp: List the contents of the mail queue, top-level only */
2112
2113       if (*argrest == 0) {}
2114
2115       /* -bpu: List the contents of the mail queue, top-level undelivered */
2116
2117       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2118
2119       /* -bpa: List the contents of the mail queue, including all delivered */
2120
2121       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2122
2123       /* Unknown after -bp[r] */
2124
2125       else
2126         {
2127         badarg = TRUE;
2128         break;
2129         }
2130       }
2131
2132
2133     /* -bP: List the configuration variables given as the address list.
2134     Force -v, so configuration errors get displayed. */
2135
2136     else if (Ustrcmp(argrest, "P") == 0)
2137       {
2138       /* -bP config: we need to setup here, because later,
2139        * when list_options is checked, the config is read already */
2140       if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2141         {
2142         list_config = TRUE;
2143         readconf_save_config(version_string);
2144         }
2145       else
2146         {
2147         list_options = TRUE;
2148         debug_selector |= D_v;
2149         debug_file = stderr;
2150         }
2151       }
2152
2153     /* -brt: Test retry configuration lookup */
2154
2155     else if (Ustrcmp(argrest, "rt") == 0)
2156       {
2157       checking = TRUE;
2158       test_retry_arg = i + 1;
2159       goto END_ARG;
2160       }
2161
2162     /* -brw: Test rewrite configuration */
2163
2164     else if (Ustrcmp(argrest, "rw") == 0)
2165       {
2166       checking = TRUE;
2167       test_rewrite_arg = i + 1;
2168       goto END_ARG;
2169       }
2170
2171     /* -bS: Read SMTP commands on standard input, but produce no replies -
2172     all errors are reported by sending messages. */
2173
2174     else if (Ustrcmp(argrest, "S") == 0)
2175       smtp_input = smtp_batched_input = receiving_message = TRUE;
2176
2177     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2178     on standard output. */
2179
2180     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2181
2182     /* -bt: address testing mode */
2183
2184     else if (Ustrcmp(argrest, "t") == 0)
2185       f.address_test_mode = checking = f.log_testing_mode = TRUE;
2186
2187     /* -bv: verify addresses */
2188
2189     else if (Ustrcmp(argrest, "v") == 0)
2190       verify_address_mode = checking = f.log_testing_mode = TRUE;
2191
2192     /* -bvs: verify sender addresses */
2193
2194     else if (Ustrcmp(argrest, "vs") == 0)
2195       {
2196       verify_address_mode = checking = f.log_testing_mode = TRUE;
2197       verify_as_sender = TRUE;
2198       }
2199
2200     /* -bV: Print version string and support details */
2201
2202     else if (Ustrcmp(argrest, "V") == 0)
2203       {
2204       printf("Exim version %s #%s built %s\n", version_string,
2205         version_cnumber, version_date);
2206       printf("%s\n", CS version_copyright);
2207       version_printed = TRUE;
2208       show_whats_supported(stdout);
2209       f.log_testing_mode = TRUE;
2210       }
2211
2212     /* -bw: inetd wait mode, accept a listening socket as stdin */
2213
2214     else if (*argrest == 'w')
2215       {
2216       f.inetd_wait_mode = TRUE;
2217       f.background_daemon = FALSE;
2218       f.daemon_listen = TRUE;
2219       if (*(++argrest) != '\0')
2220         if ((inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE)) <= 0)
2221           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
2222       }
2223
2224     else badarg = TRUE;
2225     break;
2226
2227
2228     /* -C: change configuration file list; ignore if it isn't really
2229     a change! Enforce a prefix check if required. */
2230
2231     case 'C':
2232     if (*argrest == 0)
2233       {
2234       if(++i < argc) argrest = argv[i]; else
2235         { badarg = TRUE; break; }
2236       }
2237     if (Ustrcmp(config_main_filelist, argrest) != 0)
2238       {
2239       #ifdef ALT_CONFIG_PREFIX
2240       int sep = 0;
2241       int len = Ustrlen(ALT_CONFIG_PREFIX);
2242       const uschar *list = argrest;
2243       uschar *filename;
2244       while((filename = string_nextinlist(&list, &sep, big_buffer,
2245              big_buffer_size)) != NULL)
2246         {
2247         if ((Ustrlen(filename) < len ||
2248              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2249              Ustrstr(filename, "/../") != NULL) &&
2250              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2251           exim_fail("-C Permission denied\n");
2252         }
2253       #endif
2254       if (real_uid != root_uid)
2255         {
2256         #ifdef TRUSTED_CONFIG_LIST
2257
2258         if (real_uid != exim_uid
2259             #ifdef CONFIGURE_OWNER
2260             && real_uid != config_uid
2261             #endif
2262             )
2263           f.trusted_config = FALSE;
2264         else
2265           {
2266           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2267           if (trust_list)
2268             {
2269             struct stat statbuf;
2270
2271             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2272                 (statbuf.st_uid != root_uid        /* owner not root */
2273                  #ifdef CONFIGURE_OWNER
2274                  && statbuf.st_uid != config_uid   /* owner not the special one */
2275                  #endif
2276                    ) ||                            /* or */
2277                 (statbuf.st_gid != root_gid        /* group not root */
2278                  #ifdef CONFIGURE_GROUP
2279                  && statbuf.st_gid != config_gid   /* group not the special one */
2280                  #endif
2281                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2282                    ) ||                            /* or */
2283                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2284               {
2285               f.trusted_config = FALSE;
2286               fclose(trust_list);
2287               }
2288             else
2289               {
2290               /* Well, the trust list at least is up to scratch... */
2291               void *reset_point = store_get(0);
2292               uschar *trusted_configs[32];
2293               int nr_configs = 0;
2294               int i = 0;
2295
2296               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2297                 {
2298                 uschar *start = big_buffer, *nl;
2299                 while (*start && isspace(*start))
2300                 start++;
2301                 if (*start != '/')
2302                   continue;
2303                 nl = Ustrchr(start, '\n');
2304                 if (nl)
2305                   *nl = 0;
2306                 trusted_configs[nr_configs++] = string_copy(start);
2307                 if (nr_configs == 32)
2308                   break;
2309                 }
2310               fclose(trust_list);
2311
2312               if (nr_configs)
2313                 {
2314                 int sep = 0;
2315                 const uschar *list = argrest;
2316                 uschar *filename;
2317                 while (f.trusted_config && (filename = string_nextinlist(&list,
2318                         &sep, big_buffer, big_buffer_size)) != NULL)
2319                   {
2320                   for (i=0; i < nr_configs; i++)
2321                     {
2322                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2323                       break;
2324                     }
2325                   if (i == nr_configs)
2326                     {
2327                     f.trusted_config = FALSE;
2328                     break;
2329                     }
2330                   }
2331                 store_reset(reset_point);
2332                 }
2333               else
2334                 {
2335                 /* No valid prefixes found in trust_list file. */
2336                 f.trusted_config = FALSE;
2337                 }
2338               }
2339             }
2340           else
2341             {
2342             /* Could not open trust_list file. */
2343             f.trusted_config = FALSE;
2344             }
2345           }
2346       #else
2347         /* Not root; don't trust config */
2348         f.trusted_config = FALSE;
2349       #endif
2350         }
2351
2352       config_main_filelist = argrest;
2353       f.config_changed = TRUE;
2354       }
2355     break;
2356
2357
2358     /* -D: set up a macro definition */
2359
2360     case 'D':
2361 #ifdef DISABLE_D_OPTION
2362       exim_fail("exim: -D is not available in this Exim binary\n");
2363 #else
2364       {
2365       int ptr = 0;
2366       macro_item *m;
2367       uschar name[24];
2368       uschar *s = argrest;
2369
2370       opt_D_used = TRUE;
2371       while (isspace(*s)) s++;
2372
2373       if (*s < 'A' || *s > 'Z')
2374         exim_fail("exim: macro name set by -D must start with "
2375           "an upper case letter\n");
2376
2377       while (isalnum(*s) || *s == '_')
2378         {
2379         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2380         s++;
2381         }
2382       name[ptr] = 0;
2383       if (ptr == 0) { badarg = TRUE; break; }
2384       while (isspace(*s)) s++;
2385       if (*s != 0)
2386         {
2387         if (*s++ != '=') { badarg = TRUE; break; }
2388         while (isspace(*s)) s++;
2389         }
2390
2391       for (m = macros_user; m; m = m->next)
2392         if (Ustrcmp(m->name, name) == 0)
2393           exim_fail("exim: duplicated -D in command line\n");
2394
2395       m = macro_create(name, s, TRUE);
2396
2397       if (clmacro_count >= MAX_CLMACROS)
2398         exim_fail("exim: too many -D options on command line\n");
2399       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2400         m->replacement);
2401       }
2402     #endif
2403     break;
2404
2405     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2406     The latter is now a no-op, retained for compatibility only. If -dd is used,
2407     debugging subprocesses of the daemon is disabled. */
2408
2409     case 'd':
2410     if (Ustrcmp(argrest, "ropcr") == 0)
2411       {
2412       /* drop_cr = TRUE; */
2413       }
2414
2415     /* Use an intermediate variable so that we don't set debugging while
2416     decoding the debugging bits. */
2417
2418     else
2419       {
2420       unsigned int selector = D_default;
2421       debug_selector = 0;
2422       debug_file = NULL;
2423       if (*argrest == 'd')
2424         {
2425         f.debug_daemon = TRUE;
2426         argrest++;
2427         }
2428       if (*argrest != 0)
2429         decode_bits(&selector, 1, debug_notall, argrest,
2430           debug_options, debug_options_count, US"debug", 0);
2431       debug_selector = selector;
2432       }
2433     break;
2434
2435
2436     /* -E: This is a local error message. This option is not intended for
2437     external use at all, but is not restricted to trusted callers because it
2438     does no harm (just suppresses certain error messages) and if Exim is run
2439     not setuid root it won't always be trusted when it generates error
2440     messages using this option. If there is a message id following -E, point
2441     message_reference at it, for logging. */
2442
2443     case 'E':
2444     f.local_error_message = TRUE;
2445     if (mac_ismsgid(argrest)) message_reference = argrest;
2446     break;
2447
2448
2449     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2450     option, so it looks as if historically the -oex options are also callable
2451     without the leading -o. So we have to accept them. Before the switch,
2452     anything starting -oe has been converted to -e. Exim does not support all
2453     of the sendmail error options. */
2454
2455     case 'e':
2456     if (Ustrcmp(argrest, "e") == 0)
2457       {
2458       arg_error_handling = ERRORS_SENDER;
2459       errors_sender_rc = EXIT_SUCCESS;
2460       }
2461     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2462     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2463     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2464     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2465     else badarg = TRUE;
2466     break;
2467
2468
2469     /* -F: Set sender's full name, used instead of the gecos entry from
2470     the password file. Since users can usually alter their gecos entries,
2471     there's no security involved in using this instead. The data can follow
2472     the -F or be in the next argument. */
2473
2474     case 'F':
2475     if (*argrest == 0)
2476       {
2477       if(++i < argc) argrest = argv[i]; else
2478         { badarg = TRUE; break; }
2479       }
2480     originator_name = argrest;
2481     f.sender_name_forced = TRUE;
2482     break;
2483
2484
2485     /* -f: Set sender's address - this value is only actually used if Exim is
2486     run by a trusted user, or if untrusted_set_sender is set and matches the
2487     address, except that the null address can always be set by any user. The
2488     test for this happens later, when the value given here is ignored when not
2489     permitted. For an untrusted user, the actual sender is still put in Sender:
2490     if it doesn't match the From: header (unless no_local_from_check is set).
2491     The data can follow the -f or be in the next argument. The -r switch is an
2492     obsolete form of -f but since there appear to be programs out there that
2493     use anything that sendmail has ever supported, better accept it - the
2494     synonymizing is done before the switch above.
2495
2496     At this stage, we must allow domain literal addresses, because we don't
2497     know what the setting of allow_domain_literals is yet. Ditto for trailing
2498     dots and strip_trailing_dot. */
2499
2500     case 'f':
2501       {
2502       int dummy_start, dummy_end;
2503       uschar *errmess;
2504       if (*argrest == 0)
2505         {
2506         if (i+1 < argc) argrest = argv[++i]; else
2507           { badarg = TRUE; break; }
2508         }
2509       if (*argrest == 0)
2510         sender_address = string_sprintf("");  /* Ensure writeable memory */
2511       else
2512         {
2513         uschar *temp = argrest + Ustrlen(argrest) - 1;
2514         while (temp >= argrest && isspace(*temp)) temp--;
2515         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2516         allow_domain_literals = TRUE;
2517         strip_trailing_dot = TRUE;
2518 #ifdef SUPPORT_I18N
2519         allow_utf8_domains = TRUE;
2520 #endif
2521         sender_address = parse_extract_address(argrest, &errmess,
2522           &dummy_start, &dummy_end, &sender_address_domain, TRUE);
2523 #ifdef SUPPORT_I18N
2524         message_smtputf8 =  string_is_utf8(sender_address);
2525         allow_utf8_domains = FALSE;
2526 #endif
2527         allow_domain_literals = FALSE;
2528         strip_trailing_dot = FALSE;
2529         if (!sender_address)
2530           exim_fail("exim: bad -f address \"%s\": %s\n", argrest, errmess);
2531         }
2532       f.sender_address_forced = TRUE;
2533       }
2534     break;
2535
2536     /* -G: sendmail invocation to specify that it's a gateway submission and
2537     sendmail may complain about problems instead of fixing them.
2538     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2539     not at this time complain about problems. */
2540
2541     case 'G':
2542     flag_G = TRUE;
2543     break;
2544
2545     /* -h: Set the hop count for an incoming message. Exim does not currently
2546     support this; it always computes it by counting the Received: headers.
2547     To put it in will require a change to the spool header file format. */
2548
2549     case 'h':
2550     if (*argrest == 0)
2551       {
2552       if(++i < argc) argrest = argv[i]; else
2553         { badarg = TRUE; break; }
2554       }
2555     if (!isdigit(*argrest)) badarg = TRUE;
2556     break;
2557
2558
2559     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2560     not to be documented for sendmail but mailx (at least) uses it) */
2561
2562     case 'i':
2563     if (*argrest == 0) f.dot_ends = FALSE; else badarg = TRUE;
2564     break;
2565
2566
2567     /* -L: set the identifier used for syslog; equivalent to setting
2568     syslog_processname in the config file, but needs to be an admin option. */
2569
2570     case 'L':
2571     if (*argrest == '\0')
2572       {
2573       if(++i < argc) argrest = argv[i]; else
2574         { badarg = TRUE; break; }
2575       }
2576     if ((sz = Ustrlen(argrest)) > 32)
2577       exim_fail("exim: the -L syslog name is too long: \"%s\"\n", argrest);
2578     if (sz < 1)
2579       exim_fail("exim: the -L syslog name is too short\n");
2580     cmdline_syslog_name = argrest;
2581     break;
2582
2583     case 'M':
2584     receiving_message = FALSE;
2585
2586     /* -MC:  continue delivery of another message via an existing open
2587     file descriptor. This option is used for an internal call by the
2588     smtp transport when there is a pending message waiting to go to an
2589     address to which it has got a connection. Five subsequent arguments are
2590     required: transport name, host name, IP address, sequence number, and
2591     message_id. Transports may decline to create new processes if the sequence
2592     number gets too big. The channel is stdin. This (-MC) must be the last
2593     argument. There's a subsequent check that the real-uid is privileged.
2594
2595     If we are running in the test harness. delay for a bit, to let the process
2596     that set this one up complete. This makes for repeatability of the logging,
2597     etc. output. */
2598
2599     if (Ustrcmp(argrest, "C") == 0)
2600       {
2601       union sockaddr_46 interface_sock;
2602       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2603
2604       if (argc != i + 6)
2605         exim_fail("exim: too many or too few arguments after -MC\n");
2606
2607       if (msg_action_arg >= 0)
2608         exim_fail("exim: incompatible arguments\n");
2609
2610       continue_transport = argv[++i];
2611       continue_hostname = argv[++i];
2612       continue_host_address = argv[++i];
2613       continue_sequence = Uatoi(argv[++i]);
2614       msg_action = MSG_DELIVER;
2615       msg_action_arg = ++i;
2616       forced_delivery = TRUE;
2617       queue_run_pid = passed_qr_pid;
2618       queue_run_pipe = passed_qr_pipe;
2619
2620       if (!mac_ismsgid(argv[i]))
2621         exim_fail("exim: malformed message id %s after -MC option\n",
2622           argv[i]);
2623
2624       /* Set up $sending_ip_address and $sending_port, unless proxied */
2625
2626       if (!continue_proxy_cipher)
2627         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2628             &size) == 0)
2629           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2630             &sending_port);
2631         else
2632           exim_fail("exim: getsockname() failed after -MC option: %s\n",
2633             strerror(errno));
2634
2635       if (f.running_in_test_harness) millisleep(500);
2636       break;
2637       }
2638
2639     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2640       {
2641       switch(argrest[1])
2642         {
2643     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2644     precedes -MC (see above). The flag indicates that the host to which
2645     Exim is connected has accepted an AUTH sequence. */
2646
2647         case 'A': f.smtp_authenticated = TRUE; break;
2648
2649     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2650        that exim is connected to supports the esmtp extension DSN */
2651
2652         case 'D': smtp_peer_options |= OPTION_DSN; break;
2653
2654     /* -MCG: set the queue name, to a non-default value */
2655
2656         case 'G': if (++i < argc) queue_name = string_copy(argv[i]);
2657                   else badarg = TRUE;
2658                   break;
2659
2660     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2661
2662         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2663
2664     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2665     it preceded -MC (see above) */
2666
2667         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2668
2669     /* -MCQ: pass on the pid of the queue-running process that started
2670     this chain of deliveries and the fd of its synchronizing pipe; this
2671     is useful only when it precedes -MC (see above) */
2672
2673         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2674                   else badarg = TRUE;
2675                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2676                   else badarg = TRUE;
2677                   break;
2678
2679     /* -MCS: set the smtp_use_size flag; this is useful only when it
2680     precedes -MC (see above) */
2681
2682         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2683
2684 #ifdef SUPPORT_TLS
2685     /* -MCt: similar to -MCT below but the connection is still open
2686     via a proxy process which handles the TLS context and coding.
2687     Require three arguments for the proxied local address and port,
2688     and the TLS cipher.  */
2689
2690         case 't': if (++i < argc) sending_ip_address = argv[i];
2691                   else badarg = TRUE;
2692                   if (++i < argc) sending_port = (int)(Uatol(argv[i]));
2693                   else badarg = TRUE;
2694                   if (++i < argc) continue_proxy_cipher = argv[i];
2695                   else badarg = TRUE;
2696                   /*FALLTHROUGH*/
2697
2698     /* -MCT: set the tls_offered flag; this is useful only when it
2699     precedes -MC (see above). The flag indicates that the host to which
2700     Exim is connected has offered TLS support. */
2701
2702         case 'T': smtp_peer_options |= OPTION_TLS; break;
2703 #endif
2704
2705         default:  badarg = TRUE; break;
2706         }
2707       break;
2708       }
2709
2710 #if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_REQUIRETLS)
2711     /* -MS   set REQUIRETLS on (new) message */
2712
2713     else if (*argrest == 'S')
2714       {
2715       tls_requiretls |= REQUIRETLS_MSG;
2716       break;
2717       }
2718 #endif
2719
2720     /* -M[x]: various operations on the following list of message ids:
2721        -M    deliver the messages, ignoring next retry times and thawing
2722        -Mc   deliver the messages, checking next retry times, no thawing
2723        -Mf   freeze the messages
2724        -Mg   give up on the messages
2725        -Mt   thaw the messages
2726        -Mrm  remove the messages
2727     In the above cases, this must be the last option. There are also the
2728     following options which are followed by a single message id, and which
2729     act on that message. Some of them use the "recipient" addresses as well.
2730        -Mar  add recipient(s)
2731        -Mmad mark all recipients delivered
2732        -Mmd  mark recipients(s) delivered
2733        -Mes  edit sender
2734        -Mset load a message for use with -be
2735        -Mvb  show body
2736        -Mvc  show copy (of whole message, in RFC 2822 format)
2737        -Mvh  show header
2738        -Mvl  show log
2739     */
2740
2741     else if (*argrest == 0)
2742       {
2743       msg_action = MSG_DELIVER;
2744       forced_delivery = f.deliver_force_thaw = TRUE;
2745       }
2746     else if (Ustrcmp(argrest, "ar") == 0)
2747       {
2748       msg_action = MSG_ADD_RECIPIENT;
2749       one_msg_action = TRUE;
2750       }
2751     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2752     else if (Ustrcmp(argrest, "es") == 0)
2753       {
2754       msg_action = MSG_EDIT_SENDER;
2755       one_msg_action = TRUE;
2756       }
2757     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2758     else if (Ustrcmp(argrest, "g") == 0)
2759       {
2760       msg_action = MSG_DELIVER;
2761       deliver_give_up = TRUE;
2762       }
2763     else if (Ustrcmp(argrest, "mad") == 0)
2764       {
2765       msg_action = MSG_MARK_ALL_DELIVERED;
2766       }
2767     else if (Ustrcmp(argrest, "md") == 0)
2768       {
2769       msg_action = MSG_MARK_DELIVERED;
2770       one_msg_action = TRUE;
2771       }
2772     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2773     else if (Ustrcmp(argrest, "set") == 0)
2774       {
2775       msg_action = MSG_LOAD;
2776       one_msg_action = TRUE;
2777       }
2778     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2779     else if (Ustrcmp(argrest, "vb") == 0)
2780       {
2781       msg_action = MSG_SHOW_BODY;
2782       one_msg_action = TRUE;
2783       }
2784     else if (Ustrcmp(argrest, "vc") == 0)
2785       {
2786       msg_action = MSG_SHOW_COPY;
2787       one_msg_action = TRUE;
2788       }
2789     else if (Ustrcmp(argrest, "vh") == 0)
2790       {
2791       msg_action = MSG_SHOW_HEADER;
2792       one_msg_action = TRUE;
2793       }
2794     else if (Ustrcmp(argrest, "vl") == 0)
2795       {
2796       msg_action = MSG_SHOW_LOG;
2797       one_msg_action = TRUE;
2798       }
2799     else { badarg = TRUE; break; }
2800
2801     /* All the -Mxx options require at least one message id. */
2802
2803     msg_action_arg = i + 1;
2804     if (msg_action_arg >= argc)
2805       exim_fail("exim: no message ids given after %s option\n", arg);
2806
2807     /* Some require only message ids to follow */
2808
2809     if (!one_msg_action)
2810       {
2811       for (int j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2812         exim_fail("exim: malformed message id %s after %s option\n",
2813           argv[j], arg);
2814       goto END_ARG;   /* Remaining args are ids */
2815       }
2816
2817     /* Others require only one message id, possibly followed by addresses,
2818     which will be handled as normal arguments. */
2819
2820     else
2821       {
2822       if (!mac_ismsgid(argv[msg_action_arg]))
2823         exim_fail("exim: malformed message id %s after %s option\n",
2824           argv[msg_action_arg], arg);
2825       i++;
2826       }
2827     break;
2828
2829
2830     /* Some programs seem to call the -om option without the leading o;
2831     for sendmail it askes for "me too". Exim always does this. */
2832
2833     case 'm':
2834     if (*argrest != 0) badarg = TRUE;
2835     break;
2836
2837
2838     /* -N: don't do delivery - a debugging option that stops transports doing
2839     their thing. It implies debugging at the D_v level. */
2840
2841     case 'N':
2842     if (*argrest == 0)
2843       {
2844       f.dont_deliver = TRUE;
2845       debug_selector |= D_v;
2846       debug_file = stderr;
2847       }
2848     else badarg = TRUE;
2849     break;
2850
2851
2852     /* -n: This means "don't alias" in sendmail, apparently.
2853     For normal invocations, it has no effect.
2854     It may affect some other options. */
2855
2856     case 'n':
2857     flag_n = TRUE;
2858     break;
2859
2860     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2861     option to the specified value. This form uses long names. We need to handle
2862     -O option=value and -Ooption=value. */
2863
2864     case 'O':
2865     if (*argrest == 0)
2866       {
2867       if (++i >= argc)
2868         exim_fail("exim: string expected after -O\n");
2869       }
2870     break;
2871
2872     case 'o':
2873
2874     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2875     file" option). */
2876
2877     if (*argrest == 'A')
2878       {
2879       alias_arg = argrest + 1;
2880       if (alias_arg[0] == 0)
2881         {
2882         if (i+1 < argc) alias_arg = argv[++i]; else
2883           exim_fail("exim: string expected after -oA\n");
2884         }
2885       }
2886
2887     /* -oB: Set a connection message max value for remote deliveries */
2888
2889     else if (*argrest == 'B')
2890       {
2891       uschar *p = argrest + 1;
2892       if (p[0] == 0)
2893         {
2894         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2895           {
2896           connection_max_messages = 1;
2897           p = NULL;
2898           }
2899         }
2900
2901       if (p != NULL)
2902         {
2903         if (!isdigit(*p))
2904           exim_fail("exim: number expected after -oB\n");
2905         connection_max_messages = Uatoi(p);
2906         }
2907       }
2908
2909     /* -odb: background delivery */
2910
2911     else if (Ustrcmp(argrest, "db") == 0)
2912       {
2913       f.synchronous_delivery = FALSE;
2914       arg_queue_only = FALSE;
2915       queue_only_set = TRUE;
2916       }
2917
2918     /* -odf: foreground delivery (smail-compatible option); same effect as
2919        -odi: interactive (synchronous) delivery (sendmail-compatible option)
2920     */
2921
2922     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
2923       {
2924       f.synchronous_delivery = TRUE;
2925       arg_queue_only = FALSE;
2926       queue_only_set = TRUE;
2927       }
2928
2929     /* -odq: queue only */
2930
2931     else if (Ustrcmp(argrest, "dq") == 0)
2932       {
2933       f.synchronous_delivery = FALSE;
2934       arg_queue_only = TRUE;
2935       queue_only_set = TRUE;
2936       }
2937
2938     /* -odqs: queue SMTP only - do local deliveries and remote routing,
2939     but no remote delivery */
2940
2941     else if (Ustrcmp(argrest, "dqs") == 0)
2942       {
2943       f.queue_smtp = TRUE;
2944       arg_queue_only = FALSE;
2945       queue_only_set = TRUE;
2946       }
2947
2948     /* -oex: Sendmail error flags. As these are also accepted without the
2949     leading -o prefix, for compatibility with vacation and other callers,
2950     they are handled with -e above. */
2951
2952     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
2953        -oitrue: Another sendmail syntax for the same */
2954
2955     else if (Ustrcmp(argrest, "i") == 0 ||
2956              Ustrcmp(argrest, "itrue") == 0)
2957       f.dot_ends = FALSE;
2958
2959     /* -oM*: Set various characteristics for an incoming message; actually
2960     acted on for trusted callers only. */
2961
2962     else if (*argrest == 'M')
2963       {
2964       if (i+1 >= argc)
2965         exim_fail("exim: data expected after -o%s\n", argrest);
2966
2967       /* -oMa: Set sender host address */
2968
2969       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
2970
2971       /* -oMaa: Set authenticator name */
2972
2973       else if (Ustrcmp(argrest, "Maa") == 0)
2974         sender_host_authenticated = argv[++i];
2975
2976       /* -oMas: setting authenticated sender */
2977
2978       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
2979
2980       /* -oMai: setting authenticated id */
2981
2982       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
2983
2984       /* -oMi: Set incoming interface address */
2985
2986       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
2987
2988       /* -oMm: Message reference */
2989
2990       else if (Ustrcmp(argrest, "Mm") == 0)
2991         {
2992         if (!mac_ismsgid(argv[i+1]))
2993             exim_fail("-oMm must be a valid message ID\n");
2994         if (!f.trusted_config)
2995             exim_fail("-oMm must be called by a trusted user/config\n");
2996           message_reference = argv[++i];
2997         }
2998
2999       /* -oMr: Received protocol */
3000
3001       else if (Ustrcmp(argrest, "Mr") == 0)
3002
3003         if (received_protocol)
3004           exim_fail("received_protocol is set already\n");
3005         else
3006           received_protocol = argv[++i];
3007
3008       /* -oMs: Set sender host name */
3009
3010       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
3011
3012       /* -oMt: Set sender ident */
3013
3014       else if (Ustrcmp(argrest, "Mt") == 0)
3015         {
3016         sender_ident_set = TRUE;
3017         sender_ident = argv[++i];
3018         }
3019
3020       /* Else a bad argument */
3021
3022       else
3023         {
3024         badarg = TRUE;
3025         break;
3026         }
3027       }
3028
3029     /* -om: Me-too flag for aliases. Exim always does this. Some programs
3030     seem to call this as -m (undocumented), so that is also accepted (see
3031     above). */
3032
3033     else if (Ustrcmp(argrest, "m") == 0) {}
3034
3035     /* -oo: An ancient flag for old-style addresses which still seems to
3036     crop up in some calls (see in SCO). */
3037
3038     else if (Ustrcmp(argrest, "o") == 0) {}
3039
3040     /* -oP <name>: set pid file path for daemon */
3041
3042     else if (Ustrcmp(argrest, "P") == 0)
3043       override_pid_file_path = argv[++i];
3044
3045     /* -or <n>: set timeout for non-SMTP acceptance
3046        -os <n>: set timeout for SMTP acceptance */
3047
3048     else if (*argrest == 'r' || *argrest == 's')
3049       {
3050       int *tp = (*argrest == 'r')?
3051         &arg_receive_timeout : &arg_smtp_receive_timeout;
3052       if (argrest[1] == 0)
3053         {
3054         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
3055         }
3056       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
3057       if (*tp < 0)
3058         exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3059       }
3060
3061     /* -oX <list>: Override local_interfaces and/or default daemon ports */
3062
3063     else if (Ustrcmp(argrest, "X") == 0)
3064       override_local_interfaces = argv[++i];
3065
3066     /* Unknown -o argument */
3067
3068     else badarg = TRUE;
3069     break;
3070
3071
3072     /* -ps: force Perl startup; -pd force delayed Perl startup */
3073
3074     case 'p':
3075     #ifdef EXIM_PERL
3076     if (*argrest == 's' && argrest[1] == 0)
3077       {
3078       perl_start_option = 1;
3079       break;
3080       }
3081     if (*argrest == 'd' && argrest[1] == 0)
3082       {
3083       perl_start_option = -1;
3084       break;
3085       }
3086     #endif
3087
3088     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3089     which sets the host protocol and host name */
3090
3091     if (*argrest == 0)
3092       if (i+1 < argc)
3093         argrest = argv[++i];
3094       else
3095         { badarg = TRUE; break; }
3096
3097     if (*argrest != 0)
3098       {
3099       uschar *hn;
3100
3101       if (received_protocol)
3102         exim_fail("received_protocol is set already\n");
3103
3104       hn = Ustrchr(argrest, ':');
3105       if (hn == NULL)
3106         received_protocol = argrest;
3107       else
3108         {
3109         int old_pool = store_pool;
3110         store_pool = POOL_PERM;
3111         received_protocol = string_copyn(argrest, hn - argrest);
3112         store_pool = old_pool;
3113         sender_host_name = hn + 1;
3114         }
3115       }
3116     break;
3117
3118
3119     case 'q':
3120     receiving_message = FALSE;
3121     if (queue_interval >= 0)
3122       exim_fail("exim: -q specified more than once\n");
3123
3124     /* -qq...: Do queue runs in a 2-stage manner */
3125
3126     if (*argrest == 'q')
3127       {
3128       f.queue_2stage = TRUE;
3129       argrest++;
3130       }
3131
3132     /* -qi...: Do only first (initial) deliveries */
3133
3134     if (*argrest == 'i')
3135       {
3136       f.queue_run_first_delivery = TRUE;
3137       argrest++;
3138       }
3139
3140     /* -qf...: Run the queue, forcing deliveries
3141        -qff..: Ditto, forcing thawing as well */
3142
3143     if (*argrest == 'f')
3144       {
3145       f.queue_run_force = TRUE;
3146       if (*++argrest == 'f')
3147         {
3148         f.deliver_force_thaw = TRUE;
3149         argrest++;
3150         }
3151       }
3152
3153     /* -q[f][f]l...: Run the queue only on local deliveries */
3154
3155     if (*argrest == 'l')
3156       {
3157       f.queue_run_local = TRUE;
3158       argrest++;
3159       }
3160
3161     /* -q[f][f][l][G<name>]... Work on the named queue */
3162
3163     if (*argrest == 'G')
3164       {
3165       int i;
3166       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3167       queue_name = string_copyn(argrest, i);
3168       argrest += i;
3169       if (*argrest == '/') argrest++;
3170       }
3171
3172     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3173     only, optionally named, optionally starting from a given message id. */
3174
3175     if (*argrest == 0 &&
3176         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3177       {
3178       queue_interval = 0;
3179       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3180         start_queue_run_id = argv[++i];
3181       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3182         stop_queue_run_id = argv[++i];
3183       }
3184
3185     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3186     forced, optionally local only, optionally named. */
3187
3188     else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3189                                                 0, FALSE)) <= 0)
3190       exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
3191     break;
3192
3193
3194     case 'R':   /* Synonymous with -qR... */
3195     receiving_message = FALSE;
3196
3197     /* -Rf:   As -R (below) but force all deliveries,
3198        -Rff:  Ditto, but also thaw all frozen messages,
3199        -Rr:   String is regex
3200        -Rrf:  Regex and force
3201        -Rrff: Regex and force and thaw
3202
3203     in all cases provided there are no further characters in this
3204     argument. */
3205
3206     if (*argrest != 0)
3207       for (int i = 0; i < nelem(rsopts); i++)
3208         if (Ustrcmp(argrest, rsopts[i]) == 0)
3209           {
3210           if (i != 2) f.queue_run_force = TRUE;
3211           if (i >= 2) f.deliver_selectstring_regex = TRUE;
3212           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3213           argrest += Ustrlen(rsopts[i]);
3214           }
3215
3216     /* -R: Set string to match in addresses for forced queue run to
3217     pick out particular messages. */
3218
3219     if (*argrest)
3220       deliver_selectstring = argrest;
3221     else if (i+1 < argc)
3222       deliver_selectstring = argv[++i];
3223     else
3224       exim_fail("exim: string expected after -R\n");
3225     break;
3226
3227
3228     /* -r: an obsolete synonym for -f (see above) */
3229
3230
3231     /* -S: Like -R but works on sender. */
3232
3233     case 'S':   /* Synonymous with -qS... */
3234     receiving_message = FALSE;
3235
3236     /* -Sf:   As -S (below) but force all deliveries,
3237        -Sff:  Ditto, but also thaw all frozen messages,
3238        -Sr:   String is regex
3239        -Srf:  Regex and force
3240        -Srff: Regex and force and thaw
3241
3242     in all cases provided there are no further characters in this
3243     argument. */
3244
3245     if (*argrest)
3246       for (int i = 0; i < nelem(rsopts); i++)
3247         if (Ustrcmp(argrest, rsopts[i]) == 0)
3248           {
3249           if (i != 2) f.queue_run_force = TRUE;
3250           if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
3251           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
3252           argrest += Ustrlen(rsopts[i]);
3253           }
3254
3255     /* -S: Set string to match in addresses for forced queue run to
3256     pick out particular messages. */
3257
3258     if (*argrest)
3259       deliver_selectstring_sender = argrest;
3260     else if (i+1 < argc)
3261       deliver_selectstring_sender = argv[++i];
3262     else
3263       exim_fail("exim: string expected after -S\n");
3264     break;
3265
3266     /* -Tqt is an option that is exclusively for use by the testing suite.
3267     It is not recognized in other circumstances. It allows for the setting up
3268     of explicit "queue times" so that various warning/retry things can be
3269     tested. Otherwise variability of clock ticks etc. cause problems. */
3270
3271     case 'T':
3272     if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3273       fudged_queue_times = argv[++i];
3274     else badarg = TRUE;
3275     break;
3276
3277
3278     /* -t: Set flag to extract recipients from body of message. */
3279
3280     case 't':
3281     if (*argrest == 0) extract_recipients = TRUE;
3282
3283     /* -ti: Set flag to extract recipients from body of message, and also
3284     specify that dot does not end the message. */
3285
3286     else if (Ustrcmp(argrest, "i") == 0)
3287       {
3288       extract_recipients = TRUE;
3289       f.dot_ends = FALSE;
3290       }
3291
3292     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3293
3294     #ifdef SUPPORT_TLS
3295     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3296     #endif
3297
3298     else badarg = TRUE;
3299     break;
3300
3301
3302     /* -U: This means "initial user submission" in sendmail, apparently. The
3303     doc claims that in future sendmail may refuse syntactically invalid
3304     messages instead of fixing them. For the moment, we just ignore it. */
3305
3306     case 'U':
3307     break;
3308
3309
3310     /* -v: verify things - this is a very low-level debugging */
3311
3312     case 'v':
3313     if (*argrest == 0)
3314       {
3315       debug_selector |= D_v;
3316       debug_file = stderr;
3317       }
3318     else badarg = TRUE;
3319     break;
3320
3321
3322     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3323
3324       The -x flag tells the sendmail command that mail from a local
3325       mail program has National Language Support (NLS) extended characters
3326       in the body of the mail item. The sendmail command can send mail with
3327       extended NLS characters across networks that normally corrupts these
3328       8-bit characters.
3329
3330     As Exim is 8-bit clean, it just ignores this flag. */
3331
3332     case 'x':
3333     if (*argrest != 0) badarg = TRUE;
3334     break;
3335
3336     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3337     logs to that file.  We swallow the parameter and otherwise ignore it. */
3338
3339     case 'X':
3340     if (*argrest == '\0')
3341       if (++i >= argc)
3342         exim_fail("exim: string expected after -X\n");
3343     break;
3344
3345     case 'z':
3346     if (*argrest == '\0')
3347       if (++i < argc)
3348         log_oneline = argv[i];
3349       else
3350         exim_fail("exim: file name expected after %s\n", argv[i-1]);
3351     break;
3352
3353     /* All other initial characters are errors */
3354
3355     default:
3356     badarg = TRUE;
3357     break;
3358     }         /* End of high-level switch statement */
3359
3360   /* Failed to recognize the option, or syntax error */
3361
3362   if (badarg)
3363     exim_fail("exim abandoned: unknown, malformed, or incomplete "
3364       "option %s\n", arg);
3365   }
3366
3367
3368 /* If -R or -S have been specified without -q, assume a single queue run. */
3369
3370 if (  (deliver_selectstring || deliver_selectstring_sender)
3371    && queue_interval < 0)
3372     queue_interval = 0;
3373
3374
3375 END_ARG:
3376 /* If usage_wanted is set we call the usage function - which never returns */
3377 if (usage_wanted) exim_usage(called_as);
3378
3379 /* Arguments have been processed. Check for incompatibilities. */
3380 if ((
3381     (smtp_input || extract_recipients || recipients_arg < argc) &&
3382     (f.daemon_listen || queue_interval >= 0 || bi_option ||
3383       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3384       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3385     ) ||
3386     (
3387     msg_action_arg > 0 &&
3388     (f.daemon_listen || queue_interval > 0 || list_options ||
3389       (checking && msg_action != MSG_LOAD) ||
3390       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3391     ) ||
3392     (
3393     (f.daemon_listen || queue_interval > 0) &&
3394     (sender_address != NULL || list_options || list_queue || checking ||
3395       bi_option)
3396     ) ||
3397     (
3398     f.daemon_listen && queue_interval == 0
3399     ) ||
3400     (
3401     f.inetd_wait_mode && queue_interval >= 0
3402     ) ||
3403     (
3404     list_options &&
3405     (checking || smtp_input || extract_recipients ||
3406       filter_test != FTEST_NONE || bi_option)
3407     ) ||
3408     (
3409     verify_address_mode &&
3410     (f.address_test_mode || smtp_input || extract_recipients ||
3411       filter_test != FTEST_NONE || bi_option)
3412     ) ||
3413     (
3414     f.address_test_mode && (smtp_input || extract_recipients ||
3415       filter_test != FTEST_NONE || bi_option)
3416     ) ||
3417     (
3418     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3419       extract_recipients)
3420     ) ||
3421     (
3422     deliver_selectstring != NULL && queue_interval < 0
3423     ) ||
3424     (
3425     msg_action == MSG_LOAD &&
3426       (!expansion_test || expansion_test_message != NULL)
3427     )
3428    )
3429   exim_fail("exim: incompatible command-line options or arguments\n");
3430
3431 /* If debugging is set up, set the file and the file descriptor to pass on to
3432 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3433 to run in the foreground. */
3434
3435 if (debug_selector != 0)
3436   {
3437   debug_file = stderr;
3438   debug_fd = fileno(debug_file);
3439   f.background_daemon = FALSE;
3440   if (f.running_in_test_harness) millisleep(100);   /* lets caller finish */
3441   if (debug_selector != D_v)    /* -v only doesn't show this */
3442     {
3443     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3444       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3445       debug_selector);
3446     if (!version_printed)
3447       show_whats_supported(stderr);
3448     }
3449   }
3450
3451 /* When started with root privilege, ensure that the limits on the number of
3452 open files and the number of processes (where that is accessible) are
3453 sufficiently large, or are unset, in case Exim has been called from an
3454 environment where the limits are screwed down. Not all OS have the ability to
3455 change some of these limits. */
3456
3457 if (unprivileged)
3458   {
3459   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3460   }
3461 else
3462   {
3463   struct rlimit rlp;
3464
3465   #ifdef RLIMIT_NOFILE
3466   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3467     {
3468     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3469       strerror(errno));
3470     rlp.rlim_cur = rlp.rlim_max = 0;
3471     }
3472
3473   /* I originally chose 1000 as a nice big number that was unlikely to
3474   be exceeded. It turns out that some older OS have a fixed upper limit of
3475   256. */
3476
3477   if (rlp.rlim_cur < 1000)
3478     {
3479     rlp.rlim_cur = rlp.rlim_max = 1000;
3480     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3481       {
3482       rlp.rlim_cur = rlp.rlim_max = 256;
3483       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3484         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3485           strerror(errno));
3486       }
3487     }
3488   #endif
3489
3490   #ifdef RLIMIT_NPROC
3491   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3492     {
3493     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3494       strerror(errno));
3495     rlp.rlim_cur = rlp.rlim_max = 0;
3496     }
3497
3498   #ifdef RLIM_INFINITY
3499   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3500     {
3501     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3502   #else
3503   if (rlp.rlim_cur < 1000)
3504     {
3505     rlp.rlim_cur = rlp.rlim_max = 1000;
3506   #endif
3507     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3508       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3509         strerror(errno));
3510     }
3511   #endif
3512   }
3513
3514 /* Exim is normally entered as root (but some special configurations are
3515 possible that don't do this). However, it always spins off sub-processes that
3516 set their uid and gid as required for local delivery. We don't want to pass on
3517 any extra groups that root may belong to, so we want to get rid of them all at
3518 this point.
3519
3520 We need to obey setgroups() at this stage, before possibly giving up root
3521 privilege for a changed configuration file, but later on we might need to
3522 check on the additional groups for the admin user privilege - can't do that
3523 till after reading the config, which might specify the exim gid. Therefore,
3524 save the group list here first. */
3525
3526 if ((group_count = getgroups(nelem(group_list), group_list)) < 0)
3527   exim_fail("exim: getgroups() failed: %s\n", strerror(errno));
3528
3529 /* There is a fundamental difference in some BSD systems in the matter of
3530 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3531 known not to be different. On the "different" systems there is a single group
3532 list, and the first entry in it is the current group. On all other versions of
3533 Unix there is a supplementary group list, which is in *addition* to the current
3534 group. Consequently, to get rid of all extraneous groups on a "standard" system
3535 you pass over 0 groups to setgroups(), while on a "different" system you pass
3536 over a single group - the current group, which is always the first group in the
3537 list. Calling setgroups() with zero groups on a "different" system results in
3538 an error return. The following code should cope with both types of system.
3539
3540  Unfortunately, recent MacOS, which should be a FreeBSD, "helpfully" succeeds
3541  the "setgroups() with zero groups" - and changes the egid.
3542  Thanks to that we had to stash the original_egid above, for use below
3543  in the call to exim_setugid().
3544
3545 However, if this process isn't running as root, setgroups() can't be used
3546 since you have to be root to run it, even if throwing away groups. Not being
3547 root here happens only in some unusual configurations. We just ignore the
3548 error. */
3549
3550 if (setgroups(0, NULL) != 0 && setgroups(1, group_list) != 0 && !unprivileged)
3551   exim_fail("exim: setgroups() failed: %s\n", strerror(errno));
3552
3553 /* If the configuration file name has been altered by an argument on the
3554 command line (either a new file name or a macro definition) and the caller is
3555 not root, or if this is a filter testing run, remove any setuid privilege the
3556 program has and run as the underlying user.
3557
3558 The exim user is locked out of this, which severely restricts the use of -C
3559 for some purposes.
3560
3561 Otherwise, set the real ids to the effective values (should be root unless run
3562 from inetd, which it can either be root or the exim uid, if one is configured).
3563
3564 There is a private mechanism for bypassing some of this, in order to make it
3565 possible to test lots of configurations automatically, without having either to
3566 recompile each time, or to patch in an actual configuration file name and other
3567 values (such as the path name). If running in the test harness, pretend that
3568 configuration file changes and macro definitions haven't happened. */
3569
3570 if ((                                            /* EITHER */
3571     (!f.trusted_config ||                          /* Config changed, or */
3572      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3573     real_uid != root_uid &&                      /* Not root, and */
3574     !f.running_in_test_harness                     /* Not fudged */
3575     ) ||                                         /*   OR   */
3576     expansion_test                               /* expansion testing */
3577     ||                                           /*   OR   */
3578     filter_test != FTEST_NONE)                   /* Filter testing */
3579   {
3580   setgroups(group_count, group_list);
3581   exim_setugid(real_uid, real_gid, FALSE,
3582     US"-C, -D, -be or -bf forces real uid");
3583   removed_privilege = TRUE;
3584
3585   /* In the normal case when Exim is called like this, stderr is available
3586   and should be used for any logging information because attempts to write
3587   to the log will usually fail. To arrange this, we unset really_exim. However,
3588   if no stderr is available there is no point - we might as well have a go
3589   at the log (if it fails, syslog will be written).
3590
3591   Note that if the invoker is Exim, the logs remain available. Messing with
3592   this causes unlogged successful deliveries.  */
3593
3594   if (log_stderr && real_uid != exim_uid)
3595     f.really_exim = FALSE;
3596   }
3597
3598 /* Privilege is to be retained for the moment. It may be dropped later,
3599 depending on the job that this Exim process has been asked to do. For now, set
3600 the real uid to the effective so that subsequent re-execs of Exim are done by a
3601 privileged user. */
3602
3603 else
3604   exim_setugid(geteuid(), original_egid, FALSE, US"forcing real = effective");
3605
3606 /* If testing a filter, open the file(s) now, before wasting time doing other
3607 setups and reading the message. */
3608
3609 if (filter_test & FTEST_SYSTEM)
3610   if ((filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0)) < 0)
3611     exim_fail("exim: failed to open %s: %s\n", filter_test_sfile,
3612       strerror(errno));
3613
3614 if (filter_test & FTEST_USER)
3615   if ((filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0)) < 0)
3616     exim_fail("exim: failed to open %s: %s\n", filter_test_ufile,
3617       strerror(errno));
3618
3619 /* Initialise lookup_list
3620 If debugging, already called above via version reporting.
3621 In either case, we initialise the list of available lookups while running
3622 as root.  All dynamically modules are loaded from a directory which is
3623 hard-coded into the binary and is code which, if not a module, would be
3624 part of Exim already.  Ability to modify the content of the directory
3625 is equivalent to the ability to modify a setuid binary!
3626
3627 This needs to happen before we read the main configuration. */
3628 init_lookup_list();
3629
3630 #ifdef SUPPORT_I18N
3631 if (f.running_in_test_harness) smtputf8_advertise_hosts = NULL;
3632 #endif
3633
3634 /* Read the main runtime configuration data; this gives up if there
3635 is a failure. It leaves the configuration file open so that the subsequent
3636 configuration data for delivery can be read if needed.
3637
3638 NOTE: immediately after opening the configuration file we change the working
3639 directory to "/"! Later we change to $spool_directory. We do it there, because
3640 during readconf_main() some expansion takes place already. */
3641
3642 /* Store the initial cwd before we change directories.  Can be NULL if the
3643 dir has already been unlinked. */
3644 initial_cwd = os_getcwd(NULL, 0);
3645
3646 /* checking:
3647     -be[m] expansion test        -
3648     -b[fF] filter test           new
3649     -bh[c] host test             -
3650     -bmalware malware_test_file  new
3651     -brt   retry test            new
3652     -brw   rewrite test          new
3653     -bt    address test          -
3654     -bv[s] address verify        -
3655    list_options:
3656     -bP <option> (except -bP config, which sets list_config)
3657
3658 If any of these options is set, we suppress warnings about configuration
3659 issues (currently about tls_advertise_hosts and keep_environment not being
3660 defined) */
3661
3662 readconf_main(checking || list_options);
3663
3664
3665 /* Now in directory "/" */
3666
3667 if (cleanup_environment() == FALSE)
3668   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3669
3670
3671 /* If an action on specific messages is requested, or if a daemon or queue
3672 runner is being started, we need to know if Exim was called by an admin user.
3673 This is the case if the real user is root or exim, or if the real group is
3674 exim, or if one of the supplementary groups is exim or a group listed in
3675 admin_groups. We don't fail all message actions immediately if not admin_user,
3676 since some actions can be performed by non-admin users. Instead, set admin_user
3677 for later interrogation. */
3678
3679 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3680   f.admin_user = TRUE;
3681 else
3682   for (int i = 0; i < group_count && !f.admin_user; i++)
3683     if (group_list[i] == exim_gid)
3684       f.admin_user = TRUE;
3685     else if (admin_groups)
3686       for (int j = 1; j <= (int)admin_groups[0] && !f.admin_user; j++)
3687         if (admin_groups[j] == group_list[i])
3688           f.admin_user = TRUE;
3689
3690 /* Another group of privileged users are the trusted users. These are root,
3691 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3692 are permitted to specify sender_addresses with -f on the command line, and
3693 other message parameters as well. */
3694
3695 if (real_uid == root_uid || real_uid == exim_uid)
3696   f.trusted_caller = TRUE;
3697 else
3698   {
3699   if (trusted_users)
3700     for (int i = 1; i <= (int)trusted_users[0] && !f.trusted_caller; i++)
3701       if (trusted_users[i] == real_uid)
3702         f.trusted_caller = TRUE;
3703
3704   if (trusted_groups)
3705     for (int i = 1; i <= (int)trusted_groups[0] && !f.trusted_caller; i++)
3706       if (trusted_groups[i] == real_gid)
3707         f.trusted_caller = TRUE;
3708       else for (int j = 0; j < group_count && !f.trusted_caller; j++)
3709         if (trusted_groups[i] == group_list[j])
3710           f.trusted_caller = TRUE;
3711   }
3712
3713 /* At this point, we know if the user is privileged and some command-line
3714 options become possibly impermissible, depending upon the configuration file. */
3715
3716 if (checking && commandline_checks_require_admin && !f.admin_user)
3717   exim_fail("exim: those command-line flags are set to require admin\n");
3718
3719 /* Handle the decoding of logging options. */
3720
3721 decode_bits(log_selector, log_selector_size, log_notall,
3722   log_selector_string, log_options, log_options_count, US"log", 0);
3723
3724 DEBUG(D_any)
3725   {
3726   debug_printf("configuration file is %s\n", config_main_filename);
3727   debug_printf("log selectors =");
3728   for (int i = 0; i < log_selector_size; i++)
3729     debug_printf(" %08x", log_selector[i]);
3730   debug_printf("\n");
3731   }
3732
3733 /* If domain literals are not allowed, check the sender address that was
3734 supplied with -f. Ditto for a stripped trailing dot. */
3735
3736 if (sender_address)
3737   {
3738   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3739     exim_fail("exim: bad -f address \"%s\": domain literals not "
3740       "allowed\n", sender_address);
3741   if (f_end_dot && !strip_trailing_dot)
3742     exim_fail("exim: bad -f address \"%s.\": domain is malformed "
3743       "(trailing dot not allowed)\n", sender_address);
3744   }
3745
3746 /* See if an admin user overrode our logging. */
3747
3748 if (cmdline_syslog_name)
3749   if (f.admin_user)
3750     {
3751     syslog_processname = cmdline_syslog_name;
3752     log_file_path = string_copy(CUS"syslog");
3753     }
3754   else
3755     /* not a panic, non-privileged users should not be able to spam paniclog */
3756     exim_fail(
3757         "exim: you lack sufficient privilege to specify syslog process name\n");
3758
3759 /* Paranoia check of maximum lengths of certain strings. There is a check
3760 on the length of the log file path in log.c, which will come into effect
3761 if there are any calls to write the log earlier than this. However, if we
3762 get this far but the string is very long, it is better to stop now than to
3763 carry on and (e.g.) receive a message and then have to collapse. The call to
3764 log_write() from here will cause the ultimate panic collapse if the complete
3765 file name exceeds the buffer length. */
3766
3767 if (Ustrlen(log_file_path) > 200)
3768   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3769     "log_file_path is longer than 200 chars: aborting");
3770
3771 if (Ustrlen(pid_file_path) > 200)
3772   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3773     "pid_file_path is longer than 200 chars: aborting");
3774
3775 if (Ustrlen(spool_directory) > 200)
3776   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3777     "spool_directory is longer than 200 chars: aborting");
3778
3779 /* Length check on the process name given to syslog for its TAG field,
3780 which is only permitted to be 32 characters or less. See RFC 3164. */
3781
3782 if (Ustrlen(syslog_processname) > 32)
3783   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3784     "syslog_processname is longer than 32 chars: aborting");
3785
3786 if (log_oneline)
3787   if (f.admin_user)
3788     {
3789     log_write(0, LOG_MAIN, "%s", log_oneline);
3790     return EXIT_SUCCESS;
3791     }
3792   else
3793     return EXIT_FAILURE;
3794
3795 /* In some operating systems, the environment variable TMPDIR controls where
3796 temporary files are created; Exim doesn't use these (apart from when delivering
3797 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3798 If TMPDIR is found in the environment, reset it to the value defined in the
3799 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
3800 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
3801 EXIM_TMPDIR by the build scripts.
3802 */
3803
3804 #ifdef EXIM_TMPDIR
3805   if (environ) for (uschar ** p = USS environ; *p; p++)
3806     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
3807       {
3808       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
3809       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
3810       *p = newp;
3811       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
3812       }
3813 #endif
3814
3815 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3816 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
3817 we may need to get rid of a bogus timezone setting. This can arise when Exim is
3818 called by a user who has set the TZ variable. This then affects the timestamps
3819 in log files and in Received: headers, and any created Date: header lines. The
3820 required timezone is settable in the configuration file, so nothing can be done
3821 about this earlier - but hopefully nothing will normally be logged earlier than
3822 this. We have to make a new environment if TZ is wrong, but don't bother if
3823 timestamps_utc is set, because then all times are in UTC anyway. */
3824
3825 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
3826   f.timestamps_utc = TRUE;
3827 else
3828   {
3829   uschar *envtz = US getenv("TZ");
3830   if (envtz
3831       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
3832       : timezone_string != NULL
3833      )
3834     {
3835     uschar **p = USS environ;
3836     uschar **new;
3837     uschar **newp;
3838     int count = 0;
3839     if (environ) while (*p++) count++;
3840     if (!envtz) count++;
3841     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
3842     if (environ) for (p = USS environ; *p; p++)
3843       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
3844     if (timezone_string)
3845       {
3846       *newp = store_malloc(Ustrlen(timezone_string) + 4);
3847       sprintf(CS *newp++, "TZ=%s", timezone_string);
3848       }
3849     *newp = NULL;
3850     environ = CSS new;
3851     tzset();
3852     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
3853       tod_stamp(tod_log));
3854     }
3855   }
3856
3857 /* Handle the case when we have removed the setuid privilege because of -C or
3858 -D. This means that the caller of Exim was not root.
3859
3860 There is a problem if we were running as the Exim user. The sysadmin may
3861 expect this case to retain privilege because "the binary was called by the
3862 Exim user", but it hasn't, because either the -D option set macros, or the
3863 -C option set a non-trusted configuration file. There are two possibilities:
3864
3865   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
3866       to do message deliveries. Thus, the fact that it is running as a
3867       non-privileged user is plausible, and might be wanted in some special
3868       configurations. However, really_exim will have been set false when
3869       privilege was dropped, to stop Exim trying to write to its normal log
3870       files. Therefore, re-enable normal log processing, assuming the sysadmin
3871       has set up the log directory correctly.
3872
3873   (2) If deliver_drop_privilege is not set, the configuration won't work as
3874       apparently intended, and so we log a panic message. In order to retain
3875       root for -C or -D, the caller must either be root or be invoking a
3876       trusted configuration file (when deliver_drop_privilege is false). */
3877
3878 if (  removed_privilege
3879    && (!f.trusted_config || opt_D_used)
3880    && real_uid == exim_uid)
3881   if (deliver_drop_privilege)
3882     f.really_exim = TRUE; /* let logging work normally */
3883   else
3884     log_write(0, LOG_MAIN|LOG_PANIC,
3885       "exim user lost privilege for using %s option",
3886       f.trusted_config? "-D" : "-C");
3887
3888 /* Start up Perl interpreter if Perl support is configured and there is a
3889 perl_startup option, and the configuration or the command line specifies
3890 initializing starting. Note that the global variables are actually called
3891 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
3892
3893 #ifdef EXIM_PERL
3894 if (perl_start_option != 0)
3895   opt_perl_at_start = (perl_start_option > 0);
3896 if (opt_perl_at_start && opt_perl_startup != NULL)
3897   {
3898   uschar *errstr;
3899   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3900   if ((errstr = init_perl(opt_perl_startup)))
3901     exim_fail("exim: error in perl_startup code: %s\n", errstr);
3902   opt_perl_started = TRUE;
3903   }
3904 #endif /* EXIM_PERL */
3905
3906 /* Log the arguments of the call if the configuration file said so. This is
3907 a debugging feature for finding out what arguments certain MUAs actually use.
3908 Don't attempt it if logging is disabled, or if listing variables or if
3909 verifying/testing addresses or expansions. */
3910
3911 if (  (debug_selector & D_any  ||  LOGGING(arguments))
3912    && f.really_exim && !list_options && !checking)
3913   {
3914   uschar *p = big_buffer;
3915   Ustrcpy(p, "cwd= (failed)");
3916
3917   if (!initial_cwd)
3918     p += 13;
3919   else
3920     {
3921     Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
3922     p += 4 + Ustrlen(initial_cwd);
3923     /* in case p is near the end and we don't provide enough space for
3924      * string_format to be willing to write. */
3925     *p = '\0';
3926     }
3927
3928   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
3929   while (*p) p++;
3930   for (int i = 0; i < argc; i++)
3931     {
3932     int len = Ustrlen(argv[i]);
3933     const uschar *printing;
3934     uschar *quote;
3935     if (p + len + 8 >= big_buffer + big_buffer_size)
3936       {
3937       Ustrcpy(p, " ...");
3938       log_write(0, LOG_MAIN, "%s", big_buffer);
3939       Ustrcpy(big_buffer, "...");
3940       p = big_buffer + 3;
3941       }
3942     printing = string_printing(argv[i]);
3943     if (printing[0] == 0) quote = US"\""; else
3944       {
3945       const uschar *pp = printing;
3946       quote = US"";
3947       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
3948       }
3949     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
3950       (p - big_buffer) - 4), printing, quote);
3951     }
3952
3953   if (LOGGING(arguments))
3954     log_write(0, LOG_MAIN, "%s", big_buffer);
3955   else
3956     debug_printf("%s\n", big_buffer);
3957   }
3958
3959 /* Set the working directory to be the top-level spool directory. We don't rely
3960 on this in the code, which always uses fully qualified names, but it's useful
3961 for core dumps etc. Don't complain if it fails - the spool directory might not
3962 be generally accessible and calls with the -C option (and others) have lost
3963 privilege by now. Before the chdir, we try to ensure that the directory exists.
3964 */
3965
3966 if (Uchdir(spool_directory) != 0)
3967   {
3968   int dummy;
3969   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
3970   dummy = /* quieten compiler */ Uchdir(spool_directory);
3971   dummy = dummy;        /* yet more compiler quietening, sigh */
3972   }
3973
3974 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
3975 alias file. Exim doesn't have such a concept, but this call is screwed into
3976 Sun's YP makefiles. Handle this by calling a configured script, as the real
3977 user who called Exim. The -oA option can be used to pass an argument to the
3978 script. */
3979
3980 if (bi_option)
3981   {
3982   (void)fclose(config_file);
3983   if (bi_command != NULL)
3984     {
3985     int i = 0;
3986     uschar *argv[3];
3987     argv[i++] = bi_command;
3988     if (alias_arg != NULL) argv[i++] = alias_arg;
3989     argv[i++] = NULL;
3990
3991     setgroups(group_count, group_list);
3992     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
3993
3994     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
3995       (argv[1] == NULL)? US"" : argv[1]);
3996
3997     execv(CS argv[0], (char *const *)argv);
3998     exim_fail("exim: exec failed: %s\n", strerror(errno));
3999     }
4000   else
4001     {
4002     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4003     exit(EXIT_SUCCESS);
4004     }
4005   }
4006
4007 /* We moved the admin/trusted check to be immediately after reading the
4008 configuration file.  We leave these prints here to ensure that syslog setup,
4009 logfile setup, and so on has already happened. */
4010
4011 if (f.trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4012 if (f.admin_user) DEBUG(D_any) debug_printf("admin user\n");
4013
4014 /* Only an admin user may start the daemon or force a queue run in the default
4015 configuration, but the queue run restriction can be relaxed. Only an admin
4016 user may request that a message be returned to its sender forthwith. Only an
4017 admin user may specify a debug level greater than D_v (because it might show
4018 passwords, etc. in lookup queries). Only an admin user may request a queue
4019 count. Only an admin user can use the test interface to scan for email
4020 (because Exim will be in the spool dir and able to look at mails). */
4021
4022 if (!f.admin_user)
4023   {
4024   BOOL debugset = (debug_selector & ~D_v) != 0;
4025   if (deliver_give_up || f.daemon_listen || malware_test_file ||
4026      (count_queue && queue_list_requires_admin) ||
4027      (list_queue && queue_list_requires_admin) ||
4028      (queue_interval >= 0 && prod_requires_admin) ||
4029      (debugset && !f.running_in_test_harness))
4030     exim_fail("exim:%s permission denied\n", debugset? " debugging" : "");
4031   }
4032
4033 /* If the real user is not root or the exim uid, the argument for passing
4034 in an open TCP/IP connection for another message is not permitted, nor is
4035 running with the -N option for any delivery action, unless this call to exim is
4036 one that supplied an input message, or we are using a patched exim for
4037 regression testing. */
4038
4039 if (real_uid != root_uid && real_uid != exim_uid &&
4040      (continue_hostname != NULL ||
4041        (f.dont_deliver &&
4042          (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
4043        )) && !f.running_in_test_harness)
4044   exim_fail("exim: Permission denied\n");
4045
4046 /* If the caller is not trusted, certain arguments are ignored when running for
4047 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4048 Note that authority for performing certain actions on messages is tested in the
4049 queue_action() function. */
4050
4051 if (!f.trusted_caller && !checking)
4052   {
4053   sender_host_name = sender_host_address = interface_address =
4054     sender_ident = received_protocol = NULL;
4055   sender_host_port = interface_port = 0;
4056   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4057   }
4058
4059 /* If a sender host address is set, extract the optional port number off the
4060 end of it and check its syntax. Do the same thing for the interface address.
4061 Exim exits if the syntax is bad. */
4062
4063 else
4064   {
4065   if (sender_host_address != NULL)
4066     sender_host_port = check_port(sender_host_address);
4067   if (interface_address != NULL)
4068     interface_port = check_port(interface_address);
4069   }
4070
4071 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4072 if (flag_G)
4073   {
4074   if (f.trusted_caller)
4075     {
4076     f.suppress_local_fixups = f.suppress_local_fixups_default = TRUE;
4077     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4078     }
4079   else
4080     exim_fail("exim: permission denied (-G requires a trusted user)\n");
4081   }
4082
4083 /* If an SMTP message is being received check to see if the standard input is a
4084 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4085 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4086 barf. */
4087
4088 if (smtp_input)
4089   {
4090   union sockaddr_46 inetd_sock;
4091   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4092   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4093     {
4094     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4095     if (family == AF_INET || family == AF_INET6)
4096       {
4097       union sockaddr_46 interface_sock;
4098       size = sizeof(interface_sock);
4099
4100       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4101         interface_address = host_ntoa(-1, &interface_sock, NULL,
4102           &interface_port);
4103
4104       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4105
4106       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4107         {
4108         f.is_inetd = TRUE;
4109         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4110           NULL, &sender_host_port);
4111         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4112           "inetd is not supported when mua_wrapper is set");
4113         }
4114       else
4115         exim_fail(
4116           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4117       }
4118     }
4119   }
4120
4121 /* If the load average is going to be needed while receiving a message, get it
4122 now for those OS that require the first call to os_getloadavg() to be done as
4123 root. There will be further calls later for each message received. */
4124
4125 #ifdef LOAD_AVG_NEEDS_ROOT
4126 if (receiving_message &&
4127       (queue_only_load >= 0 ||
4128         (f.is_inetd && smtp_load_reserve >= 0)
4129       ))
4130   {
4131   load_average = OS_GETLOADAVG();
4132   }
4133 #endif
4134
4135 /* The queue_only configuration option can be overridden by -odx on the command
4136 line, except that if queue_only_override is false, queue_only cannot be unset
4137 from the command line. */
4138
4139 if (queue_only_set && (queue_only_override || arg_queue_only))
4140   queue_only = arg_queue_only;
4141
4142 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4143 -or and -os. */
4144
4145 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4146 if (arg_smtp_receive_timeout >= 0)
4147   smtp_receive_timeout = arg_smtp_receive_timeout;
4148
4149 /* If Exim was started with root privilege, unless we have already removed the
4150 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4151 except when starting the daemon or doing some kind of delivery or address
4152 testing (-bt). These are the only cases when root need to be retained. We run
4153 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4154 retained only for starting the daemon. We always do the initgroups() in this
4155 situation (controlled by the TRUE below), in order to be as close as possible
4156 to the state Exim usually runs in. */
4157
4158 if (!unprivileged &&                      /* originally had root AND */
4159     !removed_privilege &&                 /* still got root AND      */
4160     !f.daemon_listen &&                     /* not starting the daemon */
4161     queue_interval <= 0 &&                /* (either kind of daemon) */
4162       (                                   /*    AND EITHER           */
4163       deliver_drop_privilege ||           /* requested unprivileged  */
4164         (                                 /*       OR                */
4165         queue_interval < 0 &&             /* not running the queue   */
4166         (msg_action_arg < 0 ||            /*       and               */
4167           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4168         (!checking || !f.address_test_mode) /* not address checking    */
4169    )  ) )
4170   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4171
4172 /* When we are retaining a privileged uid, we still change to the exim gid. */
4173
4174 else
4175   {
4176   int rv;
4177   rv = setgid(exim_gid);
4178   /* Impact of failure is that some stuff might end up with an incorrect group.
4179   We track this for failures from root, since any attempt to change privilege
4180   by root should succeed and failures should be examined.  For non-root,
4181   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4182   no need to complain then. */
4183   if (rv == -1)
4184     if (!(unprivileged || removed_privilege))
4185       exim_fail("exim: changing group failed: %s\n", strerror(errno));
4186     else
4187       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4188           (long int)exim_gid, strerror(errno));
4189   }
4190
4191 /* Handle a request to scan a file for malware */
4192 if (malware_test_file)
4193   {
4194 #ifdef WITH_CONTENT_SCAN
4195   int result;
4196   set_process_info("scanning file for malware");
4197   result = malware_in_file(malware_test_file);
4198   if (result == FAIL)
4199     {
4200     printf("No malware found.\n");
4201     exit(EXIT_SUCCESS);
4202     }
4203   if (result != OK)
4204     {
4205     printf("Malware lookup returned non-okay/fail: %d\n", result);
4206     exit(EXIT_FAILURE);
4207     }
4208   if (malware_name)
4209     printf("Malware found: %s\n", malware_name);
4210   else
4211     printf("Malware scan detected malware of unknown name.\n");
4212 #else
4213   printf("Malware scanning not enabled at compile time.\n");
4214 #endif
4215   exit(EXIT_FAILURE);
4216   }
4217
4218 /* Handle a request to list the delivery queue */
4219
4220 if (list_queue)
4221   {
4222   set_process_info("listing the queue");
4223   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4224   exit(EXIT_SUCCESS);
4225   }
4226
4227 /* Handle a request to count the delivery queue */
4228
4229 if (count_queue)
4230   {
4231   set_process_info("counting the queue");
4232   queue_count();
4233   exit(EXIT_SUCCESS);
4234   }
4235
4236 /* Handle actions on specific messages, except for the force delivery and
4237 message load actions, which are done below. Some actions take a whole list of
4238 message ids, which are known to continue up to the end of the arguments. Others
4239 take a single message id and then operate on the recipients list. */
4240
4241 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4242   {
4243   int yield = EXIT_SUCCESS;
4244   set_process_info("acting on specified messages");
4245
4246   /* ACL definitions may be needed when removing a message (-Mrm) because
4247   event_action gets expanded */
4248
4249   if (msg_action == MSG_REMOVE)
4250     readconf_rest();
4251
4252   if (!one_msg_action)
4253     {
4254     for (i = msg_action_arg; i < argc; i++)
4255       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4256         yield = EXIT_FAILURE;
4257     }
4258
4259   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4260     recipients_arg)) yield = EXIT_FAILURE;
4261   exit(yield);
4262   }
4263
4264 /* We used to set up here to skip reading the ACL section, on
4265  (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
4266 Now, since the intro of the ${acl } expansion, ACL definitions may be
4267 needed in transports so we lost the optimisation. */
4268
4269 readconf_rest();
4270
4271 /* The configuration data will have been read into POOL_PERM because we won't
4272 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4273 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4274 configuration were read into POOL_MAIN, because we don't do any resets till
4275 later on. However, it seems right, and it does ensure that both pools get used.
4276 */
4277
4278 store_pool = POOL_MAIN;
4279
4280 /* Handle the -brt option. This is for checking out retry configurations.
4281 The next three arguments are a domain name or a complete address, and
4282 optionally two error numbers. All it does is to call the function that
4283 scans the retry configuration data. */
4284
4285 if (test_retry_arg >= 0)
4286   {
4287   retry_config *yield;
4288   int basic_errno = 0;
4289   int more_errno = 0;
4290   uschar *s1, *s2;
4291
4292   if (test_retry_arg >= argc)
4293     {
4294     printf("-brt needs a domain or address argument\n");
4295     exim_exit(EXIT_FAILURE, US"main");
4296     }
4297   s1 = argv[test_retry_arg++];
4298   s2 = NULL;
4299
4300   /* If the first argument contains no @ and no . it might be a local user
4301   or it might be a single-component name. Treat as a domain. */
4302
4303   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4304     {
4305     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4306       "being \ntreated as a one-component domain, not as a local part.\n\n",
4307       s1);
4308     }
4309
4310   /* There may be an optional second domain arg. */
4311
4312   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4313     s2 = argv[test_retry_arg++];
4314
4315   /* The final arg is an error name */
4316
4317   if (test_retry_arg < argc)
4318     {
4319     uschar *ss = argv[test_retry_arg];
4320     uschar *error =
4321       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4322     if (error != NULL)
4323       {
4324       printf("%s\n", CS error);
4325       return EXIT_FAILURE;
4326       }
4327
4328     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4329     code > 100 as an error is for matching codes to the decade. Turn them into
4330     a real error code, off the decade. */
4331
4332     if (basic_errno == ERRNO_MAIL4XX ||
4333         basic_errno == ERRNO_RCPT4XX ||
4334         basic_errno == ERRNO_DATA4XX)
4335       {
4336       int code = (more_errno >> 8) & 255;
4337       if (code == 255)
4338         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4339       else if (code > 100)
4340         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4341       }
4342     }
4343
4344   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4345     printf("No retry information found\n");
4346   else
4347     {
4348     more_errno = yield->more_errno;
4349     printf("Retry rule: %s  ", yield->pattern);
4350
4351     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4352       {
4353       printf("quota%s%s  ",
4354         (more_errno > 0)? "_" : "",
4355         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4356       }
4357     else if (yield->basic_errno == ECONNREFUSED)
4358       {
4359       printf("refused%s%s  ",
4360         (more_errno > 0)? "_" : "",
4361         (more_errno == 'M')? "MX" :
4362         (more_errno == 'A')? "A" : "");
4363       }
4364     else if (yield->basic_errno == ETIMEDOUT)
4365       {
4366       printf("timeout");
4367       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4368       more_errno &= 255;
4369       if (more_errno != 0) printf("_%s",
4370         (more_errno == 'M')? "MX" : "A");
4371       printf("  ");
4372       }
4373     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4374       printf("auth_failed  ");
4375     else printf("*  ");
4376
4377     for (retry_rule * r = yield->rules; r; r = r->next)
4378       {
4379       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4380       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4381       if (r->rule == 'G')
4382         {
4383         int x = r->p2;
4384         int f = x % 1000;
4385         int d = 100;
4386         printf(",%d.", x/1000);
4387         do
4388           {
4389           printf("%d", f/d);
4390           f %= d;
4391           d /= 10;
4392           }
4393         while (f != 0);
4394         }
4395       printf("; ");
4396       }
4397
4398     printf("\n");
4399     }
4400   exim_exit(EXIT_SUCCESS, US"main");
4401   }
4402
4403 /* Handle a request to list one or more configuration options */
4404 /* If -n was set, we suppress some information */
4405
4406 if (list_options)
4407   {
4408   BOOL fail = FALSE;
4409   set_process_info("listing variables");
4410   if (recipients_arg >= argc)
4411     fail = !readconf_print(US"all", NULL, flag_n);
4412   else for (i = recipients_arg; i < argc; i++)
4413     {
4414     if (i < argc - 1 &&
4415         (Ustrcmp(argv[i], "router") == 0 ||
4416          Ustrcmp(argv[i], "transport") == 0 ||
4417          Ustrcmp(argv[i], "authenticator") == 0 ||
4418          Ustrcmp(argv[i], "macro") == 0 ||
4419          Ustrcmp(argv[i], "environment") == 0))
4420       {
4421       fail |= !readconf_print(argv[i+1], argv[i], flag_n);
4422       i++;
4423       }
4424     else
4425       fail = !readconf_print(argv[i], NULL, flag_n);
4426     }
4427   exim_exit(fail ? EXIT_FAILURE : EXIT_SUCCESS, US"main");
4428   }
4429
4430 if (list_config)
4431   {
4432   set_process_info("listing config");
4433   exim_exit(readconf_print(US"config", NULL, flag_n)
4434                 ? EXIT_SUCCESS : EXIT_FAILURE, US"main");
4435   }
4436
4437
4438 /* Initialise subsystems as required */
4439 #ifndef DISABLE_DKIM
4440 dkim_exim_init();
4441 #endif
4442 deliver_init();
4443
4444
4445 /* Handle a request to deliver one or more messages that are already on the
4446 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4447 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4448
4449 Delivery of specific messages is typically used for a small number when
4450 prodding by hand (when the option forced_delivery will be set) or when
4451 re-execing to regain root privilege. Each message delivery must happen in a
4452 separate process, so we fork a process for each one, and run them sequentially
4453 so that debugging output doesn't get intertwined, and to avoid spawning too
4454 many processes if a long list is given. However, don't fork for the last one;
4455 this saves a process in the common case when Exim is called to deliver just one
4456 message. */
4457
4458 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4459   {
4460   if (prod_requires_admin && !f.admin_user)
4461     {
4462     fprintf(stderr, "exim: Permission denied\n");
4463     exim_exit(EXIT_FAILURE, US"main");
4464     }
4465   set_process_info("delivering specified messages");
4466   if (deliver_give_up) forced_delivery = f.deliver_force_thaw = TRUE;
4467   for (i = msg_action_arg; i < argc; i++)
4468     {
4469     int status;
4470     pid_t pid;
4471     if (i == argc - 1)
4472       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4473     else if ((pid = fork()) == 0)
4474       {
4475       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4476       _exit(EXIT_SUCCESS);
4477       }
4478     else if (pid < 0)
4479       {
4480       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4481         strerror(errno));
4482       exim_exit(EXIT_FAILURE, US"main");
4483       }
4484     else wait(&status);
4485     }
4486   exim_exit(EXIT_SUCCESS, US"main");
4487   }
4488
4489
4490 /* If only a single queue run is requested, without SMTP listening, we can just
4491 turn into a queue runner, with an optional starting message id. */
4492
4493 if (queue_interval == 0 && !f.daemon_listen)
4494   {
4495   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4496     (start_queue_run_id == NULL)? US"" : US" starting at ",
4497     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4498     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4499     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4500   if (*queue_name)
4501     set_process_info("running the '%s' queue (single queue run)", queue_name);
4502   else
4503     set_process_info("running the queue (single queue run)");
4504   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4505   exim_exit(EXIT_SUCCESS, US"main");
4506   }
4507
4508
4509 /* Find the login name of the real user running this process. This is always
4510 needed when receiving a message, because it is written into the spool file. It
4511 may also be used to construct a from: or a sender: header, and in this case we
4512 need the user's full name as well, so save a copy of it, checked for RFC822
4513 syntax and munged if necessary, if it hasn't previously been set by the -F
4514 argument. We may try to get the passwd entry more than once, in case NIS or
4515 other delays are in evidence. Save the home directory for use in filter testing
4516 (only). */
4517
4518 for (i = 0;;)
4519   {
4520   if ((pw = getpwuid(real_uid)) != NULL)
4521     {
4522     originator_login = string_copy(US pw->pw_name);
4523     originator_home = string_copy(US pw->pw_dir);
4524
4525     /* If user name has not been set by -F, set it from the passwd entry
4526     unless -f has been used to set the sender address by a trusted user. */
4527
4528     if (!originator_name)
4529       {
4530       if (!sender_address || (!f.trusted_caller && filter_test == FTEST_NONE))
4531         {
4532         uschar *name = US pw->pw_gecos;
4533         uschar *amp = Ustrchr(name, '&');
4534         uschar buffer[256];
4535
4536         /* Most Unix specify that a '&' character in the gecos field is
4537         replaced by a copy of the login name, and some even specify that
4538         the first character should be upper cased, so that's what we do. */
4539
4540         if (amp)
4541           {
4542           int loffset;
4543           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4544             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4545           buffer[loffset] = toupper(buffer[loffset]);
4546           name = buffer;
4547           }
4548
4549         /* If a pattern for matching the gecos field was supplied, apply
4550         it and then expand the name string. */
4551
4552         if (gecos_pattern && gecos_name)
4553           {
4554           const pcre *re;
4555           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4556
4557           if (regex_match_and_setup(re, name, 0, -1))
4558             {
4559             uschar *new_name = expand_string(gecos_name);
4560             expand_nmax = -1;
4561             if (new_name)
4562               {
4563               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4564                 "gecos field \"%s\"\n", new_name, name);
4565               name = new_name;
4566               }
4567             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4568               "\"%s\": %s\n", gecos_name, expand_string_message);
4569             }
4570           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4571             "gecos field \"%s\"\n", gecos_pattern, name);
4572           store_free((void *)re);
4573           }
4574         originator_name = string_copy(name);
4575         }
4576
4577       /* A trusted caller has used -f but not -F */
4578
4579       else originator_name = US"";
4580       }
4581
4582     /* Break the retry loop */
4583
4584     break;
4585     }
4586
4587   if (++i > finduser_retries) break;
4588   sleep(1);
4589   }
4590
4591 /* If we cannot get a user login, log the incident and give up, unless the
4592 configuration specifies something to use. When running in the test harness,
4593 any setting of unknown_login overrides the actual name. */
4594
4595 if (originator_login == NULL || f.running_in_test_harness)
4596   {
4597   if (unknown_login != NULL)
4598     {
4599     originator_login = expand_string(unknown_login);
4600     if (originator_name == NULL && unknown_username != NULL)
4601       originator_name = expand_string(unknown_username);
4602     if (originator_name == NULL) originator_name = US"";
4603     }
4604   if (originator_login == NULL)
4605     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4606       (int)real_uid);
4607   }
4608
4609 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4610 RFC822 address.*/
4611
4612 originator_name = string_copy(parse_fix_phrase(originator_name,
4613   Ustrlen(originator_name), big_buffer, big_buffer_size));
4614
4615 /* If a message is created by this call of Exim, the uid/gid of its originator
4616 are those of the caller. These values are overridden if an existing message is
4617 read in from the spool. */
4618
4619 originator_uid = real_uid;
4620 originator_gid = real_gid;
4621
4622 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4623   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4624
4625 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4626 returns. We leave this till here so that the originator_ fields are available
4627 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4628 mode. */
4629
4630 if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
4631   {
4632   if (mua_wrapper)
4633     {
4634     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4635     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4636       "mua_wrapper is set");
4637     }
4638   daemon_go();
4639   }
4640
4641 /* If the sender ident has not been set (by a trusted caller) set it to
4642 the caller. This will get overwritten below for an inetd call. If a trusted
4643 caller has set it empty, unset it. */
4644
4645 if (sender_ident == NULL) sender_ident = originator_login;
4646   else if (sender_ident[0] == 0) sender_ident = NULL;
4647
4648 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4649 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4650 originator_* variables set. */
4651
4652 if (test_rewrite_arg >= 0)
4653   {
4654   f.really_exim = FALSE;
4655   if (test_rewrite_arg >= argc)
4656     {
4657     printf("-brw needs an address argument\n");
4658     exim_exit(EXIT_FAILURE, US"main");
4659     }
4660   rewrite_test(argv[test_rewrite_arg]);
4661   exim_exit(EXIT_SUCCESS, US"main");
4662   }
4663
4664 /* A locally-supplied message is considered to be coming from a local user
4665 unless a trusted caller supplies a sender address with -f, or is passing in the
4666 message via SMTP (inetd invocation or otherwise). */
4667
4668 if ((sender_address == NULL && !smtp_input) ||
4669     (!f.trusted_caller && filter_test == FTEST_NONE))
4670   {
4671   f.sender_local = TRUE;
4672
4673   /* A trusted caller can supply authenticated_sender and authenticated_id
4674   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4675   defaults except when host checking. */
4676
4677   if (authenticated_sender == NULL && !host_checking)
4678     authenticated_sender = string_sprintf("%s@%s", originator_login,
4679       qualify_domain_sender);
4680   if (authenticated_id == NULL && !host_checking)
4681     authenticated_id = originator_login;
4682   }
4683
4684 /* Trusted callers are always permitted to specify the sender address.
4685 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4686 is specified is the empty address. However, if a trusted caller does not
4687 specify a sender address for SMTP input, we leave sender_address unset. This
4688 causes the MAIL commands to be honoured. */
4689
4690 if ((!smtp_input && sender_address == NULL) ||
4691     !receive_check_set_sender(sender_address))
4692   {
4693   /* Either the caller is not permitted to set a general sender, or this is
4694   non-SMTP input and the trusted caller has not set a sender. If there is no
4695   sender, or if a sender other than <> is set, override with the originator's
4696   login (which will get qualified below), except when checking things. */
4697
4698   if (sender_address == NULL             /* No sender_address set */
4699        ||                                /*         OR            */
4700        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4701        !checking))                       /* Not running tests, including filter tests */
4702     {
4703     sender_address = originator_login;
4704     f.sender_address_forced = FALSE;
4705     sender_address_domain = 0;
4706     }
4707   }
4708
4709 /* Remember whether an untrusted caller set the sender address */
4710
4711 f.sender_set_untrusted = sender_address != originator_login && !f.trusted_caller;
4712
4713 /* Ensure that the sender address is fully qualified unless it is the empty
4714 address, which indicates an error message, or doesn't exist (root caller, smtp
4715 interface, no -f argument). */
4716
4717 if (sender_address != NULL && sender_address[0] != 0 &&
4718     sender_address_domain == 0)
4719   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4720     qualify_domain_sender);
4721
4722 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4723
4724 /* Handle a request to verify a list of addresses, or test them for delivery.
4725 This must follow the setting of the sender address, since routers can be
4726 predicated upon the sender. If no arguments are given, read addresses from
4727 stdin. Set debug_level to at least D_v to get full output for address testing.
4728 */
4729
4730 if (verify_address_mode || f.address_test_mode)
4731   {
4732   int exit_value = 0;
4733   int flags = vopt_qualify;
4734
4735   if (verify_address_mode)
4736     {
4737     if (!verify_as_sender) flags |= vopt_is_recipient;
4738     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4739     }
4740
4741   else
4742     {
4743     flags |= vopt_is_recipient;
4744     debug_selector |= D_v;
4745     debug_file = stderr;
4746     debug_fd = fileno(debug_file);
4747     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4748     }
4749
4750   if (recipients_arg < argc)
4751     {
4752     while (recipients_arg < argc)
4753       {
4754       uschar *s = argv[recipients_arg++];
4755       while (*s != 0)
4756         {
4757         BOOL finished = FALSE;
4758         uschar *ss = parse_find_address_end(s, FALSE);
4759         if (*ss == ',') *ss = 0; else finished = TRUE;
4760         test_address(s, flags, &exit_value);
4761         s = ss;
4762         if (!finished)
4763           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4764         }
4765       }
4766     }
4767
4768   else for (;;)
4769     {
4770     uschar *s = get_stdinput(NULL, NULL);
4771     if (s == NULL) break;
4772     test_address(s, flags, &exit_value);
4773     }
4774
4775   route_tidyup();
4776   exim_exit(exit_value, US"main");
4777   }
4778
4779 /* Handle expansion checking. Either expand items on the command line, or read
4780 from stdin if there aren't any. If -Mset was specified, load the message so
4781 that its variables can be used, but restrict this facility to admin users.
4782 Otherwise, if -bem was used, read a message from stdin. */
4783
4784 if (expansion_test)
4785   {
4786   dns_init(FALSE, FALSE, FALSE);
4787   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4788     {
4789     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4790     if (!f.admin_user)
4791       exim_fail("exim: permission denied\n");
4792     message_id = argv[msg_action_arg];
4793     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4794     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
4795       printf ("Failed to load message datafile %s\n", message_id);
4796     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4797       printf ("Failed to load message %s\n", message_id);
4798     }
4799
4800   /* Read a test message from a file. We fudge it up to be on stdin, saving
4801   stdin itself for later reading of expansion strings. */
4802
4803   else if (expansion_test_message)
4804     {
4805     int save_stdin = dup(0);
4806     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
4807     if (fd < 0)
4808       exim_fail("exim: failed to open %s: %s\n", expansion_test_message,
4809         strerror(errno));
4810     (void) dup2(fd, 0);
4811     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
4812     message_ended = END_NOTENDED;
4813     read_message_body(receive_msg(extract_recipients));
4814     message_linecount += body_linecount;
4815     (void)dup2(save_stdin, 0);
4816     (void)close(save_stdin);
4817     clearerr(stdin);               /* Required by Darwin */
4818     }
4819
4820   /* Only admin users may see config-file macros this way */
4821
4822   if (!f.admin_user) macros_user = macros = mlast = NULL;
4823
4824   /* Allow $recipients for this testing */
4825
4826   f.enable_dollar_recipients = TRUE;
4827
4828   /* Expand command line items */
4829
4830   if (recipients_arg < argc)
4831     while (recipients_arg < argc)
4832       expansion_test_line(argv[recipients_arg++]);
4833
4834   /* Read stdin */
4835
4836   else
4837     {
4838     char *(*fn_readline)(const char *) = NULL;
4839     void (*fn_addhist)(const char *) = NULL;
4840     uschar * s;
4841
4842 #ifdef USE_READLINE
4843     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
4844 #endif
4845
4846     while (s = get_stdinput(fn_readline, fn_addhist))
4847       expansion_test_line(s);
4848
4849 #ifdef USE_READLINE
4850     if (dlhandle) dlclose(dlhandle);
4851 #endif
4852     }
4853
4854   /* The data file will be open after -Mset */
4855
4856   if (deliver_datafile >= 0)
4857     {
4858     (void)close(deliver_datafile);
4859     deliver_datafile = -1;
4860     }
4861
4862   exim_exit(EXIT_SUCCESS, US"main: expansion test");
4863   }
4864
4865
4866 /* The active host name is normally the primary host name, but it can be varied
4867 for hosts that want to play several parts at once. We need to ensure that it is
4868 set for host checking, and for receiving messages. */
4869
4870 smtp_active_hostname = primary_hostname;
4871 if (raw_active_hostname != NULL)
4872   {
4873   uschar *nah = expand_string(raw_active_hostname);
4874   if (nah == NULL)
4875     {
4876     if (!f.expand_string_forcedfail)
4877       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
4878         "(smtp_active_hostname): %s", raw_active_hostname,
4879         expand_string_message);
4880     }
4881   else if (nah[0] != 0) smtp_active_hostname = nah;
4882   }
4883
4884 /* Handle host checking: this facility mocks up an incoming SMTP call from a
4885 given IP address so that the blocking and relay configuration can be tested.
4886 Unless a sender_ident was set by -oMt, we discard it (the default is the
4887 caller's login name). An RFC 1413 call is made only if we are running in the
4888 test harness and an incoming interface and both ports are specified, because
4889 there is no TCP/IP call to find the ident for. */
4890
4891 if (host_checking)
4892   {
4893   int x[4];
4894   int size;
4895
4896   if (!sender_ident_set)
4897     {
4898     sender_ident = NULL;
4899     if (f.running_in_test_harness && sender_host_port != 0 &&
4900         interface_address != NULL && interface_port != 0)
4901       verify_get_ident(1413);
4902     }
4903
4904   /* In case the given address is a non-canonical IPv6 address, canonicalize
4905   it. The code works for both IPv4 and IPv6, as it happens. */
4906
4907   size = host_aton(sender_host_address, x);
4908   sender_host_address = store_get(48);  /* large enough for full IPv6 */
4909   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
4910
4911   /* Now set up for testing */
4912
4913   host_build_sender_fullhost();
4914   smtp_input = TRUE;
4915   smtp_in = stdin;
4916   smtp_out = stdout;
4917   f.sender_local = FALSE;
4918   f.sender_host_notsocket = TRUE;
4919   debug_file = stderr;
4920   debug_fd = fileno(debug_file);
4921   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
4922     "**** but without any ident (RFC 1413) callback.\n"
4923     "**** This is not for real!\n\n",
4924       sender_host_address);
4925
4926   memset(sender_host_cache, 0, sizeof(sender_host_cache));
4927   if (verify_check_host(&hosts_connection_nolog) == OK)
4928     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
4929   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
4930
4931   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
4932   because a log line has already been written for all its failure exists
4933   (usually "connection refused: <reason>") and writing another one is
4934   unnecessary clutter. */
4935
4936   if (smtp_start_session())
4937     {
4938     for (reset_point = store_get(0); ; store_reset(reset_point))
4939       {
4940       if (smtp_setup_msg() <= 0) break;
4941       if (!receive_msg(FALSE)) break;
4942
4943       return_path = sender_address = NULL;
4944       dnslist_domain = dnslist_matched = NULL;
4945 #ifndef DISABLE_DKIM
4946       dkim_cur_signer = NULL;
4947 #endif
4948       acl_var_m = NULL;
4949       deliver_localpart_orig = NULL;
4950       deliver_domain_orig = NULL;
4951       callout_address = sending_ip_address = NULL;
4952       sender_rate = sender_rate_limit = sender_rate_period = NULL;
4953       }
4954     smtp_log_no_mail();
4955     }
4956   exim_exit(EXIT_SUCCESS, US"main");
4957   }
4958
4959
4960 /* Arrange for message reception if recipients or SMTP were specified;
4961 otherwise complain unless a version print (-bV) happened or this is a filter
4962 verification test or info dump.
4963 In the former case, show the configuration file name. */
4964
4965 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
4966   {
4967   if (version_printed)
4968     {
4969     if (Ustrchr(config_main_filelist, ':'))
4970       printf("Configuration file search path is %s\n", config_main_filelist);
4971     printf("Configuration file is %s\n", config_main_filename);
4972     return EXIT_SUCCESS;
4973     }
4974
4975   if (info_flag != CMDINFO_NONE)
4976     {
4977     show_exim_information(info_flag, info_stdout ? stdout : stderr);
4978     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
4979     }
4980
4981   if (filter_test == FTEST_NONE)
4982     exim_usage(called_as);
4983   }
4984
4985
4986 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
4987 standard input into an MUA that submits to a smarthost over TCP/IP. We know
4988 that we are not called from inetd, because that is rejected above. The
4989 following configuration settings are forced here:
4990
4991   (1) Synchronous delivery (-odi)
4992   (2) Errors to stderr (-oep == -oeq)
4993   (3) No parallel remote delivery
4994   (4) Unprivileged delivery
4995
4996 We don't force overall queueing options because there are several of them;
4997 instead, queueing is avoided below when mua_wrapper is set. However, we do need
4998 to override any SMTP queueing. */
4999
5000 if (mua_wrapper)
5001   {
5002   f.synchronous_delivery = TRUE;
5003   arg_error_handling = ERRORS_STDERR;
5004   remote_max_parallel = 1;
5005   deliver_drop_privilege = TRUE;
5006   f.queue_smtp = FALSE;
5007   queue_smtp_domains = NULL;
5008 #ifdef SUPPORT_I18N
5009   message_utf8_downconvert = -1;        /* convert-if-needed */
5010 #endif
5011   }
5012
5013
5014 /* Prepare to accept one or more new messages on the standard input. When a
5015 message has been read, its id is returned in message_id[]. If doing immediate
5016 delivery, we fork a delivery process for each received message, except for the
5017 last one, where we can save a process switch.
5018
5019 It is only in non-smtp mode that error_handling is allowed to be changed from
5020 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5021 sendmail error modes other than -oem ever actually used? Later: yes.) */
5022
5023 if (!smtp_input) error_handling = arg_error_handling;
5024
5025 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5026 logging being sent down the socket and make an identd call to get the
5027 sender_ident. */
5028
5029 else if (f.is_inetd)
5030   {
5031   (void)fclose(stderr);
5032   exim_nullstd();                       /* Re-open to /dev/null */
5033   verify_get_ident(IDENT_PORT);
5034   host_build_sender_fullhost();
5035   set_process_info("handling incoming connection from %s via inetd",
5036     sender_fullhost);
5037   }
5038
5039 /* If the sender host address has been set, build sender_fullhost if it hasn't
5040 already been done (which it will have been for inetd). This caters for the
5041 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5042 so that the test for IP options is skipped for -bs input. */
5043
5044 if (sender_host_address && !sender_fullhost)
5045   {
5046   host_build_sender_fullhost();
5047   set_process_info("handling incoming connection from %s via -oMa",
5048     sender_fullhost);
5049   f.sender_host_notsocket = TRUE;
5050   }
5051
5052 /* Otherwise, set the sender host as unknown except for inetd calls. This
5053 prevents host checking in the case of -bs not from inetd and also for -bS. */
5054
5055 else if (!f.is_inetd) f.sender_host_unknown = TRUE;
5056
5057 /* If stdout does not exist, then dup stdin to stdout. This can happen
5058 if exim is started from inetd. In this case fd 0 will be set to the socket,
5059 but fd 1 will not be set. This also happens for passed SMTP channels. */
5060
5061 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5062
5063 /* Set up the incoming protocol name and the state of the program. Root is
5064 allowed to force received protocol via the -oMr option above. If we have come
5065 via inetd, the process info has already been set up. We don't set
5066 received_protocol here for smtp input, as it varies according to
5067 batch/HELO/EHLO/AUTH/TLS. */
5068
5069 if (smtp_input)
5070   {
5071   if (!f.is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5072     smtp_batched_input? "batched " : "",
5073     (sender_address!= NULL)? sender_address : originator_login);
5074   }
5075 else
5076   {
5077   int old_pool = store_pool;
5078   store_pool = POOL_PERM;
5079   if (!received_protocol)
5080     received_protocol = string_sprintf("local%s", called_as);
5081   store_pool = old_pool;
5082   set_process_info("accepting a local non-SMTP message from <%s>",
5083     sender_address);
5084   }
5085
5086 /* Initialize the session_local_queue-only flag (this will be ignored if
5087 mua_wrapper is set) */
5088
5089 queue_check_only();
5090 session_local_queue_only = queue_only;
5091
5092 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5093 the spool if so configured. On failure, we must not attempt to send an error
5094 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5095 error code is given.) */
5096
5097 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5098   exim_fail("exim: insufficient disk space\n");
5099
5100 /* If this is smtp input of any kind, real or batched, handle the start of the
5101 SMTP session.
5102
5103 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5104 because a log line has already been written for all its failure exists
5105 (usually "connection refused: <reason>") and writing another one is
5106 unnecessary clutter. */
5107
5108 if (smtp_input)
5109   {
5110   smtp_in = stdin;
5111   smtp_out = stdout;
5112   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5113   if (verify_check_host(&hosts_connection_nolog) == OK)
5114     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5115   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5116   if (!smtp_start_session())
5117     {
5118     mac_smtp_fflush();
5119     exim_exit(EXIT_SUCCESS, US"smtp_start toplevel");
5120     }
5121   }
5122
5123 /* Otherwise, set up the input size limit here. */
5124
5125 else
5126   {
5127   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5128   if (expand_string_message)
5129     if (thismessage_size_limit == -1)
5130       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5131         "message_size_limit: %s", expand_string_message);
5132     else
5133       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5134         "message_size_limit: %s", expand_string_message);
5135   }
5136
5137 /* Loop for several messages when reading SMTP input. If we fork any child
5138 processes, we don't want to wait for them unless synchronous delivery is
5139 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5140 same as SIG_DFL, despite the fact that documentation often lists the default as
5141 "ignore". This is a confusing area. This is what I know:
5142
5143 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5144 processes that complete simply to go away without ever becoming defunct. You
5145 can't then wait for them - but we don't want to wait for them in the
5146 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5147 happen for all OS (e.g. *BSD is different).
5148
5149 But that's not the end of the story. Some (many? all?) systems have the
5150 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5151 has by default, so it seems that the difference is merely one of default
5152 (compare restarting vs non-restarting signals).
5153
5154 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5155 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5156 of the loop below. Paranoia rules.
5157
5158 February 2003: That's *still* not the end of the story. There are now versions
5159 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5160 process then calls waitpid(), a grumble is written to the system log, because
5161 this is logically inconsistent. In other words, it doesn't like the paranoia.
5162 As a consequence of this, the waitpid() below is now excluded if we are sure
5163 that SIG_IGN works. */
5164
5165 if (!f.synchronous_delivery)
5166   {
5167   #ifdef SA_NOCLDWAIT
5168   struct sigaction act;
5169   act.sa_handler = SIG_IGN;
5170   sigemptyset(&(act.sa_mask));
5171   act.sa_flags = SA_NOCLDWAIT;
5172   sigaction(SIGCHLD, &act, NULL);
5173   #else
5174   signal(SIGCHLD, SIG_IGN);
5175   #endif
5176   }
5177
5178 /* Save the current store pool point, for resetting at the start of
5179 each message, and save the real sender address, if any. */
5180
5181 reset_point = store_get(0);
5182 real_sender_address = sender_address;
5183
5184 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5185 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5186 collapsed). */
5187
5188 while (more)
5189   {
5190   message_id[0] = 0;
5191
5192   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5193   input and build the recipients list, before calling receive_msg() to read the
5194   message proper. Whatever sender address is given in the SMTP transaction is
5195   often ignored for local senders - we use the actual sender, which is normally
5196   either the underlying user running this process or a -f argument provided by
5197   a trusted caller. It is saved in real_sender_address. The test for whether to
5198   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5199
5200   if (smtp_input)
5201     {
5202     int rc;
5203     if ((rc = smtp_setup_msg()) > 0)
5204       {
5205       if (real_sender_address != NULL &&
5206           !receive_check_set_sender(sender_address))
5207         {
5208         sender_address = raw_sender = real_sender_address;
5209         sender_address_unrewritten = NULL;
5210         }
5211
5212       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5213       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5214       the very end. The result of the ACL is ignored (as for other non-SMTP
5215       messages). It is run for its potential side effects. */
5216
5217       if (smtp_batched_input && acl_not_smtp_start != NULL)
5218         {
5219         uschar *user_msg, *log_msg;
5220         f.enable_dollar_recipients = TRUE;
5221         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5222           &user_msg, &log_msg);
5223         f.enable_dollar_recipients = FALSE;
5224         }
5225
5226       /* Now get the data for the message */
5227
5228       more = receive_msg(extract_recipients);
5229       if (message_id[0] == 0)
5230         {
5231         cancel_cutthrough_connection(TRUE, US"receive dropped");
5232         if (more) goto moreloop;
5233         smtp_log_no_mail();               /* Log no mail if configured */
5234         exim_exit(EXIT_FAILURE, US"receive toplevel");
5235         }
5236       }
5237     else
5238       {
5239       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5240       smtp_log_no_mail();               /* Log no mail if configured */
5241       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS, US"msg setup toplevel");
5242       }
5243     }
5244
5245   /* In the non-SMTP case, we have all the information from the command
5246   line, but must process it in case it is in the more general RFC822
5247   format, and in any case, to detect syntax errors. Also, it appears that
5248   the use of comma-separated lists as single arguments is common, so we
5249   had better support them. */
5250
5251   else
5252     {
5253     int rcount = 0;
5254     int count = argc - recipients_arg;
5255     uschar **list = argv + recipients_arg;
5256
5257     /* These options cannot be changed dynamically for non-SMTP messages */
5258
5259     f.active_local_sender_retain = local_sender_retain;
5260     f.active_local_from_check = local_from_check;
5261
5262     /* Save before any rewriting */
5263
5264     raw_sender = string_copy(sender_address);
5265
5266     /* Loop for each argument */
5267
5268     for (int i = 0; i < count; i++)
5269       {
5270       int start, end, domain;
5271       uschar *errmess;
5272       uschar *s = list[i];
5273
5274       /* Loop for each comma-separated address */
5275
5276       while (*s != 0)
5277         {
5278         BOOL finished = FALSE;
5279         uschar *recipient;
5280         uschar *ss = parse_find_address_end(s, FALSE);
5281
5282         if (*ss == ',') *ss = 0; else finished = TRUE;
5283
5284         /* Check max recipients - if -t was used, these aren't recipients */
5285
5286         if (recipients_max > 0 && ++rcount > recipients_max &&
5287             !extract_recipients)
5288           if (error_handling == ERRORS_STDERR)
5289             {
5290             fprintf(stderr, "exim: too many recipients\n");
5291             exim_exit(EXIT_FAILURE, US"main");
5292             }
5293           else
5294             return
5295               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5296                 errors_sender_rc : EXIT_FAILURE;
5297
5298 #ifdef SUPPORT_I18N
5299         {
5300         BOOL b = allow_utf8_domains;
5301         allow_utf8_domains = TRUE;
5302 #endif
5303         recipient =
5304           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5305
5306 #ifdef SUPPORT_I18N
5307         if (string_is_utf8(recipient))
5308           message_smtputf8 = TRUE;
5309         else
5310           allow_utf8_domains = b;
5311         }
5312 #endif
5313         if (domain == 0 && !f.allow_unqualified_recipient)
5314           {
5315           recipient = NULL;
5316           errmess = US"unqualified recipient address not allowed";
5317           }
5318
5319         if (recipient == NULL)
5320           {
5321           if (error_handling == ERRORS_STDERR)
5322             {
5323             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5324               string_printing(list[i]), errmess);
5325             exim_exit(EXIT_FAILURE, US"main");
5326             }
5327           else
5328             {
5329             error_block eblock;
5330             eblock.next = NULL;
5331             eblock.text1 = string_printing(list[i]);
5332             eblock.text2 = errmess;
5333             return
5334               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5335                 errors_sender_rc : EXIT_FAILURE;
5336             }
5337           }
5338
5339         receive_add_recipient(recipient, -1);
5340         s = ss;
5341         if (!finished)
5342           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5343         }
5344       }
5345
5346     /* Show the recipients when debugging */
5347
5348     DEBUG(D_receive)
5349       {
5350       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5351       if (recipients_list != NULL)
5352         {
5353         debug_printf("Recipients:\n");
5354         for (int i = 0; i < recipients_count; i++)
5355           debug_printf("  %s\n", recipients_list[i].address);
5356         }
5357       }
5358
5359     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5360     ignored; rejecting here would just add complication, and it can just as
5361     well be done later. Allow $recipients to be visible in the ACL. */
5362
5363     if (acl_not_smtp_start)
5364       {
5365       uschar *user_msg, *log_msg;
5366       f.enable_dollar_recipients = TRUE;
5367       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5368         &user_msg, &log_msg);
5369       f.enable_dollar_recipients = FALSE;
5370       }
5371
5372     /* Pause for a while waiting for input.  If none received in that time,
5373     close the logfile, if we had one open; then if we wait for a long-running
5374     datasource (months, in one use-case) log rotation will not leave us holding
5375     the file copy. */
5376
5377     if (!receive_timeout)
5378       {
5379       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5380       fd_set r;
5381
5382       FD_ZERO(&r); FD_SET(0, &r);
5383       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5384       }
5385
5386     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5387     will just read the headers for the message, and not write anything onto the
5388     spool. */
5389
5390     message_ended = END_NOTENDED;
5391     more = receive_msg(extract_recipients);
5392
5393     /* more is always FALSE here (not SMTP message) when reading a message
5394     for real; when reading the headers of a message for filter testing,
5395     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5396
5397     if (message_id[0] == 0) exim_exit(EXIT_FAILURE, US"main");
5398     }  /* Non-SMTP message reception */
5399
5400   /* If this is a filter testing run, there are headers in store, but
5401   no message on the spool. Run the filtering code in testing mode, setting
5402   the domain to the qualify domain and the local part to the current user,
5403   unless they have been set by options. The prefix and suffix are left unset
5404   unless specified. The the return path is set to to the sender unless it has
5405   already been set from a return-path header in the message. */
5406
5407   if (filter_test != FTEST_NONE)
5408     {
5409     deliver_domain = (ftest_domain != NULL)?
5410       ftest_domain : qualify_domain_recipient;
5411     deliver_domain_orig = deliver_domain;
5412     deliver_localpart = (ftest_localpart != NULL)?
5413       ftest_localpart : originator_login;
5414     deliver_localpart_orig = deliver_localpart;
5415     deliver_localpart_prefix = ftest_prefix;
5416     deliver_localpart_suffix = ftest_suffix;
5417     deliver_home = originator_home;
5418
5419     if (return_path == NULL)
5420       {
5421       printf("Return-path copied from sender\n");
5422       return_path = string_copy(sender_address);
5423       }
5424     else
5425       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5426     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5427
5428     receive_add_recipient(
5429       string_sprintf("%s%s%s@%s",
5430         (ftest_prefix == NULL)? US"" : ftest_prefix,
5431         deliver_localpart,
5432         (ftest_suffix == NULL)? US"" : ftest_suffix,
5433         deliver_domain), -1);
5434
5435     printf("Recipient   = %s\n", recipients_list[0].address);
5436     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5437     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5438
5439     if (chdir("/"))   /* Get away from wherever the user is running this from */
5440       {
5441       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5442       exim_exit(EXIT_FAILURE, US"main");
5443       }
5444
5445     /* Now we run either a system filter test, or a user filter test, or both.
5446     In the latter case, headers added by the system filter will persist and be
5447     available to the user filter. We need to copy the filter variables
5448     explicitly. */
5449
5450     if ((filter_test & FTEST_SYSTEM) != 0)
5451       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5452         exim_exit(EXIT_FAILURE, US"main");
5453
5454     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5455
5456     if ((filter_test & FTEST_USER) != 0)
5457       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5458         exim_exit(EXIT_FAILURE, US"main");
5459
5460     exim_exit(EXIT_SUCCESS, US"main");
5461     }
5462
5463   /* Else act on the result of message reception. We should not get here unless
5464   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5465   will be TRUE. If it is not, check on the number of messages received in this
5466   connection. */
5467
5468   if (!session_local_queue_only &&
5469       smtp_accept_queue_per_connection > 0 &&
5470       receive_messagecount > smtp_accept_queue_per_connection)
5471     {
5472     session_local_queue_only = TRUE;
5473     queue_only_reason = 2;
5474     }
5475
5476   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5477   and queue_only_load is set, check that the load average is below it. If it is
5478   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5479   default), we put the whole session into queue_only mode. It then remains this
5480   way for any subsequent messages on the same SMTP connection. This is a
5481   deliberate choice; even though the load average may fall, it doesn't seem
5482   right to deliver later messages on the same call when not delivering earlier
5483   ones. However, there are odd cases where this is not wanted, so this can be
5484   changed by setting queue_only_load_latch false. */
5485
5486   local_queue_only = session_local_queue_only;
5487   if (!local_queue_only && queue_only_load >= 0)
5488     {
5489     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5490     if (local_queue_only)
5491       {
5492       queue_only_reason = 3;
5493       if (queue_only_load_latch) session_local_queue_only = TRUE;
5494       }
5495     }
5496
5497   /* If running as an MUA wrapper, all queueing options and freezing options
5498   are ignored. */
5499
5500   if (mua_wrapper)
5501     local_queue_only = f.queue_only_policy = f.deliver_freeze = FALSE;
5502
5503   /* Log the queueing here, when it will get a message id attached, but
5504   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5505   connections). */
5506
5507   if (local_queue_only)
5508     {
5509     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5510     switch(queue_only_reason)
5511       {
5512       case 2:
5513         log_write(L_delay_delivery,
5514                 LOG_MAIN, "no immediate delivery: more than %d messages "
5515           "received in one connection", smtp_accept_queue_per_connection);
5516         break;
5517
5518       case 3:
5519         log_write(L_delay_delivery,
5520                 LOG_MAIN, "no immediate delivery: load average %.2f",
5521                 (double)load_average/1000.0);
5522       break;
5523       }
5524     }
5525
5526   else if (f.queue_only_policy || f.deliver_freeze)
5527     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5528
5529   /* Else do the delivery unless the ACL or local_scan() called for queue only
5530   or froze the message. Always deliver in a separate process. A fork failure is
5531   not a disaster, as the delivery will eventually happen on a subsequent queue
5532   run. The search cache must be tidied before the fork, as the parent will
5533   do it before exiting. The child will trigger a lookup failure and
5534   thereby defer the delivery if it tries to use (for example) a cached ldap
5535   connection that the parent has called unbind on. */
5536
5537   else
5538     {
5539     pid_t pid;
5540     search_tidyup();
5541
5542     if ((pid = fork()) == 0)
5543       {
5544       int rc;
5545       close_unwanted();      /* Close unwanted file descriptors and TLS */
5546       exim_nullstd();        /* Ensure std{in,out,err} exist */
5547
5548       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5549       mode, deliver_drop_privilege is forced TRUE). */
5550
5551       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5552         {
5553         delivery_re_exec(CEE_EXEC_EXIT);
5554         /* Control does not return here. */
5555         }
5556
5557       /* No need to re-exec */
5558
5559       rc = deliver_message(message_id, FALSE, FALSE);
5560       search_tidyup();
5561       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5562         EXIT_SUCCESS : EXIT_FAILURE);
5563       }
5564
5565     if (pid < 0)
5566       {
5567       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5568       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5569         "process: %s", strerror(errno));
5570       }
5571     else
5572       {
5573       release_cutthrough_connection(US"msg passed for delivery");
5574
5575       /* In the parent, wait if synchronous delivery is required. This will
5576       always be the case in MUA wrapper mode. */
5577
5578       if (f.synchronous_delivery)
5579         {
5580         int status;
5581         while (wait(&status) != pid);
5582         if ((status & 0x00ff) != 0)
5583           log_write(0, LOG_MAIN|LOG_PANIC,
5584             "process %d crashed with signal %d while delivering %s",
5585             (int)pid, status & 0x00ff, message_id);
5586         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE, US"main");
5587         }
5588       }
5589     }
5590
5591   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5592   automatically reaps children (see comments above the loop), clear away any
5593   finished subprocesses here, in case there are lots of messages coming in
5594   from the same source. */
5595
5596   #ifndef SIG_IGN_WORKS
5597   while (waitpid(-1, NULL, WNOHANG) > 0);
5598   #endif
5599
5600 moreloop:
5601   return_path = sender_address = NULL;
5602   authenticated_sender = NULL;
5603   deliver_localpart_orig = NULL;
5604   deliver_domain_orig = NULL;
5605   deliver_host = deliver_host_address = NULL;
5606   dnslist_domain = dnslist_matched = NULL;
5607 #ifdef WITH_CONTENT_SCAN
5608   malware_name = NULL;
5609 #endif
5610   callout_address = NULL;
5611   sending_ip_address = NULL;
5612   acl_var_m = NULL;
5613   for(int i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
5614
5615   store_reset(reset_point);
5616   }
5617
5618 exim_exit(EXIT_SUCCESS, US"main");   /* Never returns */
5619 return 0;                  /* To stop compiler warning */
5620 }
5621
5622
5623 /* End of exim.c */