f171c002c352b9a1252d31c16962e0dff4340b3c
[exim.git] / src / src / expand.c
1 /* $Cambridge: exim/src/src/expand.c,v 1.47 2005/11/15 10:08:25 ph10 Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2005 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 #ifdef STAND_ALONE
17 #ifndef SUPPORT_CRYPTEQ
18 #define SUPPORT_CRYPTEQ
19 #endif
20 #endif
21
22 #ifdef SUPPORT_CRYPTEQ
23 #ifdef CRYPT_H
24 #include <crypt.h>
25 #endif
26 #ifndef HAVE_CRYPT16
27 extern char* crypt16(char*, char*);
28 #endif
29 #endif
30
31 #ifdef LOOKUP_LDAP
32 #include "lookups/ldap.h"
33 #endif
34
35
36
37 /* Recursively called function */
38
39 static uschar *expand_string_internal(uschar *, BOOL, uschar **, BOOL);
40
41
42
43 /*************************************************
44 *            Local statics and tables            *
45 *************************************************/
46
47 /* Table of item names, and corresponding switch numbers. The names must be in
48 alphabetical order. */
49
50 static uschar *item_table[] = {
51   US"dlfunc",
52   US"extract",
53   US"hash",
54   US"hmac",
55   US"if",
56   US"length",
57   US"lookup",
58   US"nhash",
59   US"perl",
60   US"prvs",
61   US"prvscheck",
62   US"readfile",
63   US"readsocket",
64   US"run",
65   US"sg",
66   US"substr",
67   US"tr" };
68
69 enum {
70   EITEM_DLFUNC,
71   EITEM_EXTRACT,
72   EITEM_HASH,
73   EITEM_HMAC,
74   EITEM_IF,
75   EITEM_LENGTH,
76   EITEM_LOOKUP,
77   EITEM_NHASH,
78   EITEM_PERL,
79   EITEM_PRVS,
80   EITEM_PRVSCHECK,
81   EITEM_READFILE,
82   EITEM_READSOCK,
83   EITEM_RUN,
84   EITEM_SG,
85   EITEM_SUBSTR,
86   EITEM_TR };
87
88 /* Tables of operator names, and corresponding switch numbers. The names must be
89 in alphabetical order. There are two tables, because underscore is used in some
90 cases to introduce arguments, whereas for other it is part of the name. This is
91 an historical mis-design. */
92
93 static uschar *op_table_underscore[] = {
94   US"from_utf8",
95   US"local_part",
96   US"quote_local_part",
97   US"time_interval"};
98
99 enum {
100   EOP_FROM_UTF8,
101   EOP_LOCAL_PART,
102   EOP_QUOTE_LOCAL_PART,
103   EOP_TIME_INTERVAL };
104
105 static uschar *op_table_main[] = {
106   US"address",
107   US"base62",
108   US"base62d",
109   US"domain",
110   US"escape",
111   US"eval",
112   US"eval10",
113   US"expand",
114   US"h",
115   US"hash",
116   US"hex2b64",
117   US"l",
118   US"lc",
119   US"length",
120   US"mask",
121   US"md5",
122   US"nh",
123   US"nhash",
124   US"quote",
125   US"rfc2047",
126   US"rxquote",
127   US"s",
128   US"sha1",
129   US"stat",
130   US"str2b64",
131   US"strlen",
132   US"substr",
133   US"uc" };
134
135 enum {
136   EOP_ADDRESS =  sizeof(op_table_underscore)/sizeof(uschar *),
137   EOP_BASE62,
138   EOP_BASE62D,
139   EOP_DOMAIN,
140   EOP_ESCAPE,
141   EOP_EVAL,
142   EOP_EVAL10,
143   EOP_EXPAND,
144   EOP_H,
145   EOP_HASH,
146   EOP_HEX2B64,
147   EOP_L,
148   EOP_LC,
149   EOP_LENGTH,
150   EOP_MASK,
151   EOP_MD5,
152   EOP_NH,
153   EOP_NHASH,
154   EOP_QUOTE,
155   EOP_RFC2047,
156   EOP_RXQUOTE,
157   EOP_S,
158   EOP_SHA1,
159   EOP_STAT,
160   EOP_STR2B64,
161   EOP_STRLEN,
162   EOP_SUBSTR,
163   EOP_UC };
164
165
166 /* Table of condition names, and corresponding switch numbers. The names must
167 be in alphabetical order. */
168
169 static uschar *cond_table[] = {
170   US"<",
171   US"<=",
172   US"=",
173   US"==",     /* Backward compatibility */
174   US">",
175   US">=",
176   US"and",
177   US"crypteq",
178   US"def",
179   US"eq",
180   US"eqi",
181   US"exists",
182   US"first_delivery",
183   US"ge",
184   US"gei",
185   US"gt",
186   US"gti",
187   US"isip",
188   US"isip4",
189   US"isip6",
190   US"ldapauth",
191   US"le",
192   US"lei",
193   US"lt",
194   US"lti",
195   US"match",
196   US"match_address",
197   US"match_domain",
198   US"match_ip",
199   US"match_local_part",
200   US"or",
201   US"pam",
202   US"pwcheck",
203   US"queue_running",
204   US"radius",
205   US"saslauthd"
206 };
207
208 enum {
209   ECOND_NUM_L,
210   ECOND_NUM_LE,
211   ECOND_NUM_E,
212   ECOND_NUM_EE,
213   ECOND_NUM_G,
214   ECOND_NUM_GE,
215   ECOND_AND,
216   ECOND_CRYPTEQ,
217   ECOND_DEF,
218   ECOND_STR_EQ,
219   ECOND_STR_EQI,
220   ECOND_EXISTS,
221   ECOND_FIRST_DELIVERY,
222   ECOND_STR_GE,
223   ECOND_STR_GEI,
224   ECOND_STR_GT,
225   ECOND_STR_GTI,
226   ECOND_ISIP,
227   ECOND_ISIP4,
228   ECOND_ISIP6,
229   ECOND_LDAPAUTH,
230   ECOND_STR_LE,
231   ECOND_STR_LEI,
232   ECOND_STR_LT,
233   ECOND_STR_LTI,
234   ECOND_MATCH,
235   ECOND_MATCH_ADDRESS,
236   ECOND_MATCH_DOMAIN,
237   ECOND_MATCH_IP,
238   ECOND_MATCH_LOCAL_PART,
239   ECOND_OR,
240   ECOND_PAM,
241   ECOND_PWCHECK,
242   ECOND_QUEUE_RUNNING,
243   ECOND_RADIUS,
244   ECOND_SASLAUTHD
245 };
246
247
248 /* Type for main variable table */
249
250 typedef struct {
251   char *name;
252   int   type;
253   void *value;
254 } var_entry;
255
256 /* Type for entries pointing to address/length pairs. Not currently
257 in use. */
258
259 typedef struct {
260   uschar **address;
261   int  *length;
262 } alblock;
263
264 /* Types of table entry */
265
266 enum {
267   vtype_int,            /* value is address of int */
268   vtype_filter_int,     /* ditto, but recognized only when filtering */
269   vtype_ino,            /* value is address of ino_t (not always an int) */
270   vtype_uid,            /* value is address of uid_t (not always an int) */
271   vtype_gid,            /* value is address of gid_t (not always an int) */
272   vtype_stringptr,      /* value is address of pointer to string */
273   vtype_msgbody,        /* as stringptr, but read when first required */
274   vtype_msgbody_end,    /* ditto, the end of the message */
275   vtype_msgheaders,     /* the message's headers */
276   vtype_localpart,      /* extract local part from string */
277   vtype_domain,         /* extract domain from string */
278   vtype_recipients,     /* extract recipients from recipients list */
279                         /* (enabled only during system filtering */
280   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
281   vtype_tode,           /* value not used; generate tod in epoch format */
282   vtype_todf,           /* value not used; generate full tod */
283   vtype_todl,           /* value not used; generate log tod */
284   vtype_todlf,          /* value not used; generate log file datestamp tod */
285   vtype_todzone,        /* value not used; generate time zone only */
286   vtype_todzulu,        /* value not used; generate zulu tod */
287   vtype_reply,          /* value not used; get reply from headers */
288   vtype_pid,            /* value not used; result is pid */
289   vtype_host_lookup,    /* value not used; get host name */
290   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
291   vtype_pspace,         /* partition space; value is T/F for spool/log */
292   vtype_pinodes         /* partition inodes; value is T/F for spool/log */
293 #ifdef EXPERIMENTAL_DOMAINKEYS
294  ,vtype_dk_verify       /* Serve request out of DomainKeys verification structure */
295 #endif
296   };
297
298 /* This table must be kept in alphabetical order. */
299
300 static var_entry var_table[] = {
301   { "acl_c0",              vtype_stringptr,   &acl_var[0] },
302   { "acl_c1",              vtype_stringptr,   &acl_var[1] },
303   { "acl_c2",              vtype_stringptr,   &acl_var[2] },
304   { "acl_c3",              vtype_stringptr,   &acl_var[3] },
305   { "acl_c4",              vtype_stringptr,   &acl_var[4] },
306   { "acl_c5",              vtype_stringptr,   &acl_var[5] },
307   { "acl_c6",              vtype_stringptr,   &acl_var[6] },
308   { "acl_c7",              vtype_stringptr,   &acl_var[7] },
309   { "acl_c8",              vtype_stringptr,   &acl_var[8] },
310   { "acl_c9",              vtype_stringptr,   &acl_var[9] },
311   { "acl_m0",              vtype_stringptr,   &acl_var[10] },
312   { "acl_m1",              vtype_stringptr,   &acl_var[11] },
313   { "acl_m2",              vtype_stringptr,   &acl_var[12] },
314   { "acl_m3",              vtype_stringptr,   &acl_var[13] },
315   { "acl_m4",              vtype_stringptr,   &acl_var[14] },
316   { "acl_m5",              vtype_stringptr,   &acl_var[15] },
317   { "acl_m6",              vtype_stringptr,   &acl_var[16] },
318   { "acl_m7",              vtype_stringptr,   &acl_var[17] },
319   { "acl_m8",              vtype_stringptr,   &acl_var[18] },
320   { "acl_m9",              vtype_stringptr,   &acl_var[19] },
321   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
322   { "address_data",        vtype_stringptr,   &deliver_address_data },
323   { "address_file",        vtype_stringptr,   &address_file },
324   { "address_pipe",        vtype_stringptr,   &address_pipe },
325   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
326   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
327   { "authentication_failed",vtype_int,        &authentication_failed },
328 #ifdef EXPERIMENTAL_BRIGHTMAIL
329   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
330   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
331   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
332   { "bmi_deliver",         vtype_int,         &bmi_deliver },
333 #endif
334   { "body_linecount",      vtype_int,         &body_linecount },
335   { "body_zerocount",      vtype_int,         &body_zerocount },
336   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
337   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
338   { "caller_gid",          vtype_gid,         &real_gid },
339   { "caller_uid",          vtype_uid,         &real_uid },
340   { "compile_date",        vtype_stringptr,   &version_date },
341   { "compile_number",      vtype_stringptr,   &version_cnumber },
342   { "csa_status",          vtype_stringptr,   &csa_status },
343 #ifdef WITH_OLD_DEMIME
344   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
345   { "demime_reason",       vtype_stringptr,   &demime_reason },
346 #endif
347 #ifdef EXPERIMENTAL_DOMAINKEYS
348   { "dk_domain",           vtype_stringptr,   &dk_signing_domain },
349   { "dk_is_signed",        vtype_dk_verify,   NULL },
350   { "dk_result",           vtype_dk_verify,   NULL },
351   { "dk_selector",         vtype_stringptr,   &dk_signing_selector },
352   { "dk_sender",           vtype_dk_verify,   NULL },
353   { "dk_sender_domain",    vtype_dk_verify,   NULL },
354   { "dk_sender_local_part",vtype_dk_verify,   NULL },
355   { "dk_sender_source",    vtype_dk_verify,   NULL },
356   { "dk_signsall",         vtype_dk_verify,   NULL },
357   { "dk_status",           vtype_dk_verify,   NULL },
358   { "dk_testing",          vtype_dk_verify,   NULL },
359 #endif
360   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
361   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
362   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
363   { "domain",              vtype_stringptr,   &deliver_domain },
364   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
365   { "exim_gid",            vtype_gid,         &exim_gid },
366   { "exim_path",           vtype_stringptr,   &exim_path },
367   { "exim_uid",            vtype_uid,         &exim_uid },
368 #ifdef WITH_OLD_DEMIME
369   { "found_extension",     vtype_stringptr,   &found_extension },
370 #endif
371   { "home",                vtype_stringptr,   &deliver_home },
372   { "host",                vtype_stringptr,   &deliver_host },
373   { "host_address",        vtype_stringptr,   &deliver_host_address },
374   { "host_data",           vtype_stringptr,   &host_data },
375   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
376   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
377   { "inode",               vtype_ino,         &deliver_inode },
378   { "interface_address",   vtype_stringptr,   &interface_address },
379   { "interface_port",      vtype_int,         &interface_port },
380   #ifdef LOOKUP_LDAP
381   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
382   #endif
383   { "load_average",        vtype_load_avg,    NULL },
384   { "local_part",          vtype_stringptr,   &deliver_localpart },
385   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
386   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
387   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
388   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
389   { "local_user_gid",      vtype_gid,         &local_user_gid },
390   { "local_user_uid",      vtype_uid,         &local_user_uid },
391   { "localhost_number",    vtype_int,         &host_number },
392   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
393   { "log_space",           vtype_pspace,      (void *)FALSE },
394   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
395 #ifdef WITH_CONTENT_SCAN
396   { "malware_name",        vtype_stringptr,   &malware_name },
397 #endif
398   { "message_age",         vtype_int,         &message_age },
399   { "message_body",        vtype_msgbody,     &message_body },
400   { "message_body_end",    vtype_msgbody_end, &message_body_end },
401   { "message_body_size",   vtype_int,         &message_body_size },
402   { "message_exim_id",     vtype_stringptr,   &message_id },
403   { "message_headers",     vtype_msgheaders,  NULL },
404   { "message_id",          vtype_stringptr,   &message_id },
405   { "message_linecount",   vtype_int,         &message_linecount },
406   { "message_size",        vtype_int,         &message_size },
407 #ifdef WITH_CONTENT_SCAN
408   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
409   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
410   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
411   { "mime_charset",        vtype_stringptr,   &mime_charset },
412   { "mime_content_description", vtype_stringptr, &mime_content_description },
413   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
414   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
415   { "mime_content_size",   vtype_int,         &mime_content_size },
416   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
417   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
418   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
419   { "mime_filename",       vtype_stringptr,   &mime_filename },
420   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
421   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
422   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
423   { "mime_part_count",     vtype_int,         &mime_part_count },
424 #endif
425   { "n0",                  vtype_filter_int,  &filter_n[0] },
426   { "n1",                  vtype_filter_int,  &filter_n[1] },
427   { "n2",                  vtype_filter_int,  &filter_n[2] },
428   { "n3",                  vtype_filter_int,  &filter_n[3] },
429   { "n4",                  vtype_filter_int,  &filter_n[4] },
430   { "n5",                  vtype_filter_int,  &filter_n[5] },
431   { "n6",                  vtype_filter_int,  &filter_n[6] },
432   { "n7",                  vtype_filter_int,  &filter_n[7] },
433   { "n8",                  vtype_filter_int,  &filter_n[8] },
434   { "n9",                  vtype_filter_int,  &filter_n[9] },
435   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
436   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
437   { "originator_gid",      vtype_gid,         &originator_gid },
438   { "originator_uid",      vtype_uid,         &originator_uid },
439   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
440   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
441   { "pid",                 vtype_pid,         NULL },
442   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
443   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
444   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
445   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
446   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
447   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
448   { "rcpt_count",          vtype_int,         &rcpt_count },
449   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
450   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
451   { "received_count",      vtype_int,         &received_count },
452   { "received_for",        vtype_stringptr,   &received_for },
453   { "received_protocol",   vtype_stringptr,   &received_protocol },
454   { "received_time",       vtype_int,         &received_time },
455   { "recipient_data",      vtype_stringptr,   &recipient_data },
456   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
457   { "recipients",          vtype_recipients,  NULL },
458   { "recipients_count",    vtype_int,         &recipients_count },
459 #ifdef WITH_CONTENT_SCAN
460   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
461 #endif
462   { "reply_address",       vtype_reply,       NULL },
463   { "return_path",         vtype_stringptr,   &return_path },
464   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
465   { "runrc",               vtype_int,         &runrc },
466   { "self_hostname",       vtype_stringptr,   &self_hostname },
467   { "sender_address",      vtype_stringptr,   &sender_address },
468   { "sender_address_data", vtype_stringptr,   &sender_address_data },
469   { "sender_address_domain", vtype_domain,    &sender_address },
470   { "sender_address_local_part", vtype_localpart, &sender_address },
471   { "sender_data",         vtype_stringptr,   &sender_data },
472   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
473   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
474   { "sender_host_address", vtype_stringptr,   &sender_host_address },
475   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
476   { "sender_host_name",    vtype_host_lookup, NULL },
477   { "sender_host_port",    vtype_int,         &sender_host_port },
478   { "sender_ident",        vtype_stringptr,   &sender_ident },
479   { "sender_rate",         vtype_stringptr,   &sender_rate },
480   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
481   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
482   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
483   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
484   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
485   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
486   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
487   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
488   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
489   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
490   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
491   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
492   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
493   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
494   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
495   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
496   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
497 #ifdef WITH_CONTENT_SCAN
498   { "spam_bar",            vtype_stringptr,   &spam_bar },
499   { "spam_report",         vtype_stringptr,   &spam_report },
500   { "spam_score",          vtype_stringptr,   &spam_score },
501   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
502 #endif
503 #ifdef EXPERIMENTAL_SPF
504   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
505   { "spf_received",        vtype_stringptr,   &spf_received },
506   { "spf_result",          vtype_stringptr,   &spf_result },
507   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
508 #endif
509   { "spool_directory",     vtype_stringptr,   &spool_directory },
510   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
511   { "spool_space",         vtype_pspace,      (void *)TRUE },
512 #ifdef EXPERIMENTAL_SRS
513   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
514   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
515   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
516   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
517   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
518   { "srs_status",          vtype_stringptr,   &srs_status },
519 #endif
520   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
521   { "tls_certificate_verified", vtype_int,    &tls_certificate_verified },
522   { "tls_cipher",          vtype_stringptr,   &tls_cipher },
523   { "tls_peerdn",          vtype_stringptr,   &tls_peerdn },
524   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
525   { "tod_epoch",           vtype_tode,        NULL },
526   { "tod_full",            vtype_todf,        NULL },
527   { "tod_log",             vtype_todl,        NULL },
528   { "tod_logfile",         vtype_todlf,       NULL },
529   { "tod_zone",            vtype_todzone,     NULL },
530   { "tod_zulu",            vtype_todzulu,     NULL },
531   { "value",               vtype_stringptr,   &lookup_value },
532   { "version_number",      vtype_stringptr,   &version_string },
533   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
534   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
535   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
536   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
537   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
538   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
539 };
540
541 static int var_table_size = sizeof(var_table)/sizeof(var_entry);
542 static uschar var_buffer[256];
543 static BOOL malformed_header;
544
545 /* For textual hashes */
546
547 static char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
548                          "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
549                          "0123456789";
550
551 enum { HMAC_MD5, HMAC_SHA1 };
552
553 /* For numeric hashes */
554
555 static unsigned int prime[] = {
556   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
557  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
558  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
559
560 /* For printing modes in symbolic form */
561
562 static uschar *mtable_normal[] =
563   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
564
565 static uschar *mtable_setid[] =
566   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
567
568 static uschar *mtable_sticky[] =
569   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
570
571
572
573 /*************************************************
574 *           Tables for UTF-8 support             *
575 *************************************************/
576
577 /* Table of the number of extra characters, indexed by the first character
578 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
579 0x3d. */
580
581 static uschar utf8_table1[] = {
582   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
583   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
584   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
585   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
586
587 /* These are the masks for the data bits in the first byte of a character,
588 indexed by the number of additional bytes. */
589
590 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
591
592 /* Get the next UTF-8 character, advancing the pointer. */
593
594 #define GETUTF8INC(c, ptr) \
595   c = *ptr++; \
596   if ((c & 0xc0) == 0xc0) \
597     { \
598     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
599     int s = 6*a; \
600     c = (c & utf8_table2[a]) << s; \
601     while (a-- > 0) \
602       { \
603       s -= 6; \
604       c |= (*ptr++ & 0x3f) << s; \
605       } \
606     }
607
608
609 /*************************************************
610 *           Binary chop search on a table        *
611 *************************************************/
612
613 /* This is used for matching expansion items and operators.
614
615 Arguments:
616   name        the name that is being sought
617   table       the table to search
618   table_size  the number of items in the table
619
620 Returns:      the offset in the table, or -1
621 */
622
623 static int
624 chop_match(uschar *name, uschar **table, int table_size)
625 {
626 uschar **bot = table;
627 uschar **top = table + table_size;
628
629 while (top > bot)
630   {
631   uschar **mid = bot + (top - bot)/2;
632   int c = Ustrcmp(name, *mid);
633   if (c == 0) return mid - table;
634   if (c > 0) bot = mid + 1; else top = mid;
635   }
636
637 return -1;
638 }
639
640
641
642 /*************************************************
643 *          Check a condition string              *
644 *************************************************/
645
646 /* This function is called to expand a string, and test the result for a "true"
647 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
648 forced fail or lookup defer. All store used by the function can be released on
649 exit.
650
651 Arguments:
652   condition     the condition string
653   m1            text to be incorporated in panic error
654   m2            ditto
655
656 Returns:        TRUE if condition is met, FALSE if not
657 */
658
659 BOOL
660 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
661 {
662 int rc;
663 void *reset_point = store_get(0);
664 uschar *ss = expand_string(condition);
665 if (ss == NULL)
666   {
667   if (!expand_string_forcedfail && !search_find_defer)
668     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
669       "for %s %s: %s", condition, m1, m2, expand_string_message);
670   return FALSE;
671   }
672 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
673   strcmpic(ss, US"false") != 0;
674 store_reset(reset_point);
675 return rc;
676 }
677
678
679
680 /*************************************************
681 *             Pick out a name from a string      *
682 *************************************************/
683
684 /* If the name is too long, it is silently truncated.
685
686 Arguments:
687   name      points to a buffer into which to put the name
688   max       is the length of the buffer
689   s         points to the first alphabetic character of the name
690   extras    chars other than alphanumerics to permit
691
692 Returns:    pointer to the first character after the name
693
694 Note: The test for *s != 0 in the while loop is necessary because
695 Ustrchr() yields non-NULL if the character is zero (which is not something
696 I expected). */
697
698 static uschar *
699 read_name(uschar *name, int max, uschar *s, uschar *extras)
700 {
701 int ptr = 0;
702 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
703   {
704   if (ptr < max-1) name[ptr++] = *s;
705   s++;
706   }
707 name[ptr] = 0;
708 return s;
709 }
710
711
712
713 /*************************************************
714 *     Pick out the rest of a header name         *
715 *************************************************/
716
717 /* A variable name starting $header_ (or just $h_ for those who like
718 abbreviations) might not be the complete header name because headers can
719 contain any printing characters in their names, except ':'. This function is
720 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
721 on the end, if the name was terminated by white space.
722
723 Arguments:
724   name      points to a buffer in which the name read so far exists
725   max       is the length of the buffer
726   s         points to the first character after the name so far, i.e. the
727             first non-alphameric character after $header_xxxxx
728
729 Returns:    a pointer to the first character after the header name
730 */
731
732 static uschar *
733 read_header_name(uschar *name, int max, uschar *s)
734 {
735 int prelen = Ustrchr(name, '_') - name + 1;
736 int ptr = Ustrlen(name) - prelen;
737 if (ptr > 0) memmove(name, name+prelen, ptr);
738 while (mac_isgraph(*s) && *s != ':')
739   {
740   if (ptr < max-1) name[ptr++] = *s;
741   s++;
742   }
743 if (*s == ':') s++;
744 name[ptr++] = ':';
745 name[ptr] = 0;
746 return s;
747 }
748
749
750
751 /*************************************************
752 *           Pick out a number from a string      *
753 *************************************************/
754
755 /* Arguments:
756   n     points to an integer into which to put the number
757   s     points to the first digit of the number
758
759 Returns:  a pointer to the character after the last digit
760 */
761
762 static uschar *
763 read_number(int *n, uschar *s)
764 {
765 *n = 0;
766 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
767 return s;
768 }
769
770
771
772 /*************************************************
773 *        Extract keyed subfield from a string    *
774 *************************************************/
775
776 /* The yield is in dynamic store; NULL means that the key was not found.
777
778 Arguments:
779   key       points to the name of the key
780   s         points to the string from which to extract the subfield
781
782 Returns:    NULL if the subfield was not found, or
783             a pointer to the subfield's data
784 */
785
786 static uschar *
787 expand_getkeyed(uschar *key, uschar *s)
788 {
789 int length = Ustrlen(key);
790 while (isspace(*s)) s++;
791
792 /* Loop to search for the key */
793
794 while (*s != 0)
795   {
796   int dkeylength;
797   uschar *data;
798   uschar *dkey = s;
799
800   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
801   dkeylength = s - dkey;
802   while (isspace(*s)) s++;
803   if (*s == '=') while (isspace((*(++s))));
804
805   data = string_dequote(&s);
806   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
807     return data;
808
809   while (isspace(*s)) s++;
810   }
811
812 return NULL;
813 }
814
815
816
817
818 /*************************************************
819 *   Extract numbered subfield from string        *
820 *************************************************/
821
822 /* Extracts a numbered field from a string that is divided by tokens - for
823 example a line from /etc/passwd is divided by colon characters.  First field is
824 numbered one.  Negative arguments count from the right. Zero returns the whole
825 string. Returns NULL if there are insufficient tokens in the string
826
827 ***WARNING***
828 Modifies final argument - this is a dynamically generated string, so that's OK.
829
830 Arguments:
831   field       number of field to be extracted,
832                 first field = 1, whole string = 0, last field = -1
833   separators  characters that are used to break string into tokens
834   s           points to the string from which to extract the subfield
835
836 Returns:      NULL if the field was not found,
837               a pointer to the field's data inside s (modified to add 0)
838 */
839
840 static uschar *
841 expand_gettokened (int field, uschar *separators, uschar *s)
842 {
843 int sep = 1;
844 int count;
845 uschar *ss = s;
846 uschar *fieldtext = NULL;
847
848 if (field == 0) return s;
849
850 /* Break the line up into fields in place; for field > 0 we stop when we have
851 done the number of fields we want. For field < 0 we continue till the end of
852 the string, counting the number of fields. */
853
854 count = (field > 0)? field : INT_MAX;
855
856 while (count-- > 0)
857   {
858   size_t len;
859
860   /* Previous field was the last one in the string. For a positive field
861   number, this means there are not enough fields. For a negative field number,
862   check that there are enough, and scan back to find the one that is wanted. */
863
864   if (sep == 0)
865     {
866     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
867     if ((-field) == (INT_MAX - count - 1)) return s;
868     while (field++ < 0)
869       {
870       ss--;
871       while (ss[-1] != 0) ss--;
872       }
873     fieldtext = ss;
874     break;
875     }
876
877   /* Previous field was not last in the string; save its start and put a
878   zero at its end. */
879
880   fieldtext = ss;
881   len = Ustrcspn(ss, separators);
882   sep = ss[len];
883   ss[len] = 0;
884   ss += len + 1;
885   }
886
887 return fieldtext;
888 }
889
890
891
892 /*************************************************
893 *        Extract a substring from a string       *
894 *************************************************/
895
896 /* Perform the ${substr or ${length expansion operations.
897
898 Arguments:
899   subject     the input string
900   value1      the offset from the start of the input string to the start of
901                 the output string; if negative, count from the right.
902   value2      the length of the output string, or negative (-1) for unset
903                 if value1 is positive, unset means "all after"
904                 if value1 is negative, unset means "all before"
905   len         set to the length of the returned string
906
907 Returns:      pointer to the output string, or NULL if there is an error
908 */
909
910 static uschar *
911 extract_substr(uschar *subject, int value1, int value2, int *len)
912 {
913 int sublen = Ustrlen(subject);
914
915 if (value1 < 0)    /* count from right */
916   {
917   value1 += sublen;
918
919   /* If the position is before the start, skip to the start, and adjust the
920   length. If the length ends up negative, the substring is null because nothing
921   can precede. This falls out naturally when the length is unset, meaning "all
922   to the left". */
923
924   if (value1 < 0)
925     {
926     value2 += value1;
927     if (value2 < 0) value2 = 0;
928     value1 = 0;
929     }
930
931   /* Otherwise an unset length => characters before value1 */
932
933   else if (value2 < 0)
934     {
935     value2 = value1;
936     value1 = 0;
937     }
938   }
939
940 /* For a non-negative offset, if the starting position is past the end of the
941 string, the result will be the null string. Otherwise, an unset length means
942 "rest"; just set it to the maximum - it will be cut down below if necessary. */
943
944 else
945   {
946   if (value1 > sublen)
947     {
948     value1 = sublen;
949     value2 = 0;
950     }
951   else if (value2 < 0) value2 = sublen;
952   }
953
954 /* Cut the length down to the maximum possible for the offset value, and get
955 the required characters. */
956
957 if (value1 + value2 > sublen) value2 = sublen - value1;
958 *len = value2;
959 return subject + value1;
960 }
961
962
963
964
965 /*************************************************
966 *            Old-style hash of a string          *
967 *************************************************/
968
969 /* Perform the ${hash expansion operation.
970
971 Arguments:
972   subject     the input string (an expanded substring)
973   value1      the length of the output string; if greater or equal to the
974                 length of the input string, the input string is returned
975   value2      the number of hash characters to use, or 26 if negative
976   len         set to the length of the returned string
977
978 Returns:      pointer to the output string, or NULL if there is an error
979 */
980
981 static uschar *
982 compute_hash(uschar *subject, int value1, int value2, int *len)
983 {
984 int sublen = Ustrlen(subject);
985
986 if (value2 < 0) value2 = 26;
987 else if (value2 > Ustrlen(hashcodes))
988   {
989   expand_string_message =
990     string_sprintf("hash count \"%d\" too big", value2);
991   return NULL;
992   }
993
994 /* Calculate the hash text. We know it is shorter than the original string, so
995 can safely place it in subject[] (we know that subject is always itself an
996 expanded substring). */
997
998 if (value1 < sublen)
999   {
1000   int c;
1001   int i = 0;
1002   int j = value1;
1003   while ((c = (subject[j])) != 0)
1004     {
1005     int shift = (c + j++) & 7;
1006     subject[i] ^= (c << shift) | (c >> (8-shift));
1007     if (++i >= value1) i = 0;
1008     }
1009   for (i = 0; i < value1; i++)
1010     subject[i] = hashcodes[(subject[i]) % value2];
1011   }
1012 else value1 = sublen;
1013
1014 *len = value1;
1015 return subject;
1016 }
1017
1018
1019
1020
1021 /*************************************************
1022 *             Numeric hash of a string           *
1023 *************************************************/
1024
1025 /* Perform the ${nhash expansion operation. The first characters of the
1026 string are treated as most important, and get the highest prime numbers.
1027
1028 Arguments:
1029   subject     the input string
1030   value1      the maximum value of the first part of the result
1031   value2      the maximum value of the second part of the result,
1032                 or negative to produce only a one-part result
1033   len         set to the length of the returned string
1034
1035 Returns:  pointer to the output string, or NULL if there is an error.
1036 */
1037
1038 static uschar *
1039 compute_nhash (uschar *subject, int value1, int value2, int *len)
1040 {
1041 uschar *s = subject;
1042 int i = 0;
1043 unsigned long int total = 0; /* no overflow */
1044
1045 while (*s != 0)
1046   {
1047   if (i == 0) i = sizeof(prime)/sizeof(int) - 1;
1048   total += prime[i--] * (unsigned int)(*s++);
1049   }
1050
1051 /* If value2 is unset, just compute one number */
1052
1053 if (value2 < 0)
1054   {
1055   s = string_sprintf("%d", total % value1);
1056   }
1057
1058 /* Otherwise do a div/mod hash */
1059
1060 else
1061   {
1062   total = total % (value1 * value2);
1063   s = string_sprintf("%d/%d", total/value2, total % value2);
1064   }
1065
1066 *len = Ustrlen(s);
1067 return s;
1068 }
1069
1070
1071
1072
1073
1074 /*************************************************
1075 *     Find the value of a header or headers      *
1076 *************************************************/
1077
1078 /* Multiple instances of the same header get concatenated, and this function
1079 can also return a concatenation of all the header lines. When concatenating
1080 specific headers that contain lists of addresses, a comma is inserted between
1081 them. Otherwise we use a straight concatenation. Because some messages can have
1082 pathologically large number of lines, there is a limit on the length that is
1083 returned. Also, to avoid massive store use which would result from using
1084 string_cat() as it copies and extends strings, we do a preliminary pass to find
1085 out exactly how much store will be needed. On "normal" messages this will be
1086 pretty trivial.
1087
1088 Arguments:
1089   name          the name of the header, without the leading $header_ or $h_,
1090                 or NULL if a concatenation of all headers is required
1091   exists_only   TRUE if called from a def: test; don't need to build a string;
1092                 just return a string that is not "" and not "0" if the header
1093                 exists
1094   newsize       return the size of memory block that was obtained; may be NULL
1095                 if exists_only is TRUE
1096   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1097                 other than concatenating, will be done on the header
1098   charset       name of charset to translate MIME words to; used only if
1099                 want_raw is false; if NULL, no translation is done (this is
1100                 used for $bh_ and $bheader_)
1101
1102 Returns:        NULL if the header does not exist, else a pointer to a new
1103                 store block
1104 */
1105
1106 static uschar *
1107 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1108   uschar *charset)
1109 {
1110 BOOL found = name == NULL;
1111 int comma = 0;
1112 int len = found? 0 : Ustrlen(name);
1113 int i;
1114 uschar *yield = NULL;
1115 uschar *ptr = NULL;
1116
1117 /* Loop for two passes - saves code repetition */
1118
1119 for (i = 0; i < 2; i++)
1120   {
1121   int size = 0;
1122   header_line *h;
1123
1124   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1125     {
1126     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1127       {
1128       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1129         {
1130         int ilen;
1131         uschar *t;
1132
1133         if (exists_only) return US"1";      /* don't need actual string */
1134         found = TRUE;
1135         t = h->text + len;                  /* text to insert */
1136         if (!want_raw)                      /* unless wanted raw, */
1137           while (isspace(*t)) t++;          /* remove leading white space */
1138         ilen = h->slen - (t - h->text);     /* length to insert */
1139
1140         /* Set comma = 1 if handling a single header and it's one of those
1141         that contains an address list, except when asked for raw headers. Only
1142         need to do this once. */
1143
1144         if (!want_raw && name != NULL && comma == 0 &&
1145             Ustrchr("BCFRST", h->type) != NULL)
1146           comma = 1;
1147
1148         /* First pass - compute total store needed; second pass - compute
1149         total store used, including this header. */
1150
1151         size += ilen + comma;
1152
1153         /* Second pass - concatentate the data, up to a maximum. Note that
1154         the loop stops when size hits the limit. */
1155
1156         if (i != 0)
1157           {
1158           if (size > header_insert_maxlen)
1159             {
1160             ilen -= size - header_insert_maxlen;
1161             comma = 0;
1162             }
1163           Ustrncpy(ptr, t, ilen);
1164           ptr += ilen;
1165           if (comma != 0 && ilen > 0)
1166             {
1167             ptr[-1] = ',';
1168             *ptr++ = '\n';
1169             }
1170           }
1171         }
1172       }
1173     }
1174
1175   /* At end of first pass, truncate size if necessary, and get the buffer
1176   to hold the data, returning the buffer size. */
1177
1178   if (i == 0)
1179     {
1180     if (!found) return NULL;
1181     if (size > header_insert_maxlen) size = header_insert_maxlen;
1182     *newsize = size + 1;
1183     ptr = yield = store_get(*newsize);
1184     }
1185   }
1186
1187 /* Remove a redundant added comma if present */
1188
1189 if (comma != 0 && ptr > yield) ptr -= 2;
1190
1191 /* That's all we do for raw header expansion. */
1192
1193 if (want_raw)
1194   {
1195   *ptr = 0;
1196   }
1197
1198 /* Otherwise, we remove trailing whitespace, including newlines. Then we do RFC
1199 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1200 function can return an error with decoded data if the charset translation
1201 fails. If decoding fails, it returns NULL. */
1202
1203 else
1204   {
1205   uschar *decoded, *error;
1206   while (ptr > yield && isspace(ptr[-1])) ptr--;
1207   *ptr = 0;
1208   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1209     newsize, &error);
1210   if (error != NULL)
1211     {
1212     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1213       "    input was: %s\n", error, yield);
1214     }
1215   if (decoded != NULL) yield = decoded;
1216   }
1217
1218 return yield;
1219 }
1220
1221
1222
1223
1224 /*************************************************
1225 *               Find value of a variable         *
1226 *************************************************/
1227
1228 /* The table of variables is kept in alphabetic order, so we can search it
1229 using a binary chop. The "choplen" variable is nothing to do with the binary
1230 chop.
1231
1232 Arguments:
1233   name          the name of the variable being sought
1234   exists_only   TRUE if this is a def: test; passed on to find_header()
1235   skipping      TRUE => skip any processing evaluation; this is not the same as
1236                   exists_only because def: may test for values that are first
1237                   evaluated here
1238   newsize       pointer to an int which is initially zero; if the answer is in
1239                 a new memory buffer, *newsize is set to its size
1240
1241 Returns:        NULL if the variable does not exist, or
1242                 a pointer to the variable's contents, or
1243                 something non-NULL if exists_only is TRUE
1244 */
1245
1246 static uschar *
1247 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1248 {
1249 int first = 0;
1250 int last = var_table_size;
1251
1252 while (last > first)
1253   {
1254   uschar *s, *domain;
1255   uschar **ss;
1256   int middle = (first + last)/2;
1257   int c = Ustrcmp(name, var_table[middle].name);
1258
1259   if (c > 0) { first = middle + 1; continue; }
1260   if (c < 0) { last = middle; continue; }
1261
1262   /* Found an existing variable. If in skipping state, the value isn't needed,
1263   and we want to avoid processing (such as looking up up the host name). */
1264
1265   if (skipping) return US"";
1266
1267   switch (var_table[middle].type)
1268     {
1269 #ifdef EXPERIMENTAL_DOMAINKEYS
1270
1271     case vtype_dk_verify:
1272     if (dk_verify_block == NULL) return US"";
1273     s = NULL;
1274     if (Ustrcmp(var_table[middle].name, "dk_result") == 0)
1275       s = dk_verify_block->result_string;
1276     if (Ustrcmp(var_table[middle].name, "dk_sender") == 0)
1277       s = dk_verify_block->address;
1278     if (Ustrcmp(var_table[middle].name, "dk_sender_domain") == 0)
1279       s = dk_verify_block->domain;
1280     if (Ustrcmp(var_table[middle].name, "dk_sender_local_part") == 0)
1281       s = dk_verify_block->local_part;
1282
1283     if (Ustrcmp(var_table[middle].name, "dk_sender_source") == 0)
1284       switch(dk_verify_block->address_source) {
1285         case DK_EXIM_ADDRESS_NONE: s = US"0"; break;
1286         case DK_EXIM_ADDRESS_FROM_FROM: s = US"from"; break;
1287         case DK_EXIM_ADDRESS_FROM_SENDER: s = US"sender"; break;
1288       }
1289
1290     if (Ustrcmp(var_table[middle].name, "dk_status") == 0)
1291       switch(dk_verify_block->result) {
1292         case DK_EXIM_RESULT_ERR: s = US"error"; break;
1293         case DK_EXIM_RESULT_BAD_FORMAT: s = US"bad format"; break;
1294         case DK_EXIM_RESULT_NO_KEY: s = US"no key"; break;
1295         case DK_EXIM_RESULT_NO_SIGNATURE: s = US"no signature"; break;
1296         case DK_EXIM_RESULT_REVOKED: s = US"revoked"; break;
1297         case DK_EXIM_RESULT_NON_PARTICIPANT: s = US"non-participant"; break;
1298         case DK_EXIM_RESULT_GOOD: s = US"good"; break;
1299         case DK_EXIM_RESULT_BAD: s = US"bad"; break;
1300       }
1301
1302     if (Ustrcmp(var_table[middle].name, "dk_signsall") == 0)
1303       s = (dk_verify_block->signsall)? US"1" : US"0";
1304
1305     if (Ustrcmp(var_table[middle].name, "dk_testing") == 0)
1306       s = (dk_verify_block->testing)? US"1" : US"0";
1307
1308     if (Ustrcmp(var_table[middle].name, "dk_is_signed") == 0)
1309       s = (dk_verify_block->is_signed)? US"1" : US"0";
1310
1311     return (s == NULL)? US"" : s;
1312 #endif
1313
1314     case vtype_filter_int:
1315     if (!filter_running) return NULL;
1316     /* Fall through */
1317     /* VVVVVVVVVVVV */
1318     case vtype_int:
1319     sprintf(CS var_buffer, "%d", *(int *)(var_table[middle].value)); /* Integer */
1320     return var_buffer;
1321
1322     case vtype_ino:
1323     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(var_table[middle].value))); /* Inode */
1324     return var_buffer;
1325
1326     case vtype_gid:
1327     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(var_table[middle].value))); /* gid */
1328     return var_buffer;
1329
1330     case vtype_uid:
1331     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(var_table[middle].value))); /* uid */
1332     return var_buffer;
1333
1334     case vtype_stringptr:                      /* Pointer to string */
1335     s = *((uschar **)(var_table[middle].value));
1336     return (s == NULL)? US"" : s;
1337
1338     case vtype_pid:
1339     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1340     return var_buffer;
1341
1342     case vtype_load_avg:
1343     sprintf(CS var_buffer, "%d", os_getloadavg()); /* load_average */
1344     return var_buffer;
1345
1346     case vtype_host_lookup:                    /* Lookup if not done so */
1347     if (sender_host_name == NULL && sender_host_address != NULL &&
1348         !host_lookup_failed && host_name_lookup() == OK)
1349       host_build_sender_fullhost();
1350     return (sender_host_name == NULL)? US"" : sender_host_name;
1351
1352     case vtype_localpart:                      /* Get local part from address */
1353     s = *((uschar **)(var_table[middle].value));
1354     if (s == NULL) return US"";
1355     domain = Ustrrchr(s, '@');
1356     if (domain == NULL) return s;
1357     if (domain - s > sizeof(var_buffer) - 1)
1358       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than %d in "
1359         "string expansion", sizeof(var_buffer));
1360     Ustrncpy(var_buffer, s, domain - s);
1361     var_buffer[domain - s] = 0;
1362     return var_buffer;
1363
1364     case vtype_domain:                         /* Get domain from address */
1365     s = *((uschar **)(var_table[middle].value));
1366     if (s == NULL) return US"";
1367     domain = Ustrrchr(s, '@');
1368     return (domain == NULL)? US"" : domain + 1;
1369
1370     case vtype_msgheaders:
1371     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1372
1373     case vtype_msgbody:                        /* Pointer to msgbody string */
1374     case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1375     ss = (uschar **)(var_table[middle].value);
1376     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1377       {
1378       uschar *body;
1379       off_t start_offset = SPOOL_DATA_START_OFFSET;
1380       int len = message_body_visible;
1381       if (len > message_size) len = message_size;
1382       *ss = body = store_malloc(len+1);
1383       body[0] = 0;
1384       if (var_table[middle].type == vtype_msgbody_end)
1385         {
1386         struct stat statbuf;
1387         if (fstat(deliver_datafile, &statbuf) == 0)
1388           {
1389           start_offset = statbuf.st_size - len;
1390           if (start_offset < SPOOL_DATA_START_OFFSET)
1391             start_offset = SPOOL_DATA_START_OFFSET;
1392           }
1393         }
1394       lseek(deliver_datafile, start_offset, SEEK_SET);
1395       len = read(deliver_datafile, body, len);
1396       if (len > 0)
1397         {
1398         body[len] = 0;
1399         while (len > 0)
1400           {
1401           if (body[--len] == '\n' || body[len] == 0) body[len] = ' ';
1402           }
1403         }
1404       }
1405     return (*ss == NULL)? US"" : *ss;
1406
1407     case vtype_todbsdin:                       /* BSD inbox time of day */
1408     return tod_stamp(tod_bsdin);
1409
1410     case vtype_tode:                           /* Unix epoch time of day */
1411     return tod_stamp(tod_epoch);
1412
1413     case vtype_todf:                           /* Full time of day */
1414     return tod_stamp(tod_full);
1415
1416     case vtype_todl:                           /* Log format time of day */
1417     return tod_stamp(tod_log_bare);            /* (without timezone) */
1418
1419     case vtype_todzone:                        /* Time zone offset only */
1420     return tod_stamp(tod_zone);
1421
1422     case vtype_todzulu:                        /* Zulu time */
1423     return tod_stamp(tod_zulu);
1424
1425     case vtype_todlf:                          /* Log file datestamp tod */
1426     return tod_stamp(tod_log_datestamp);
1427
1428     case vtype_reply:                          /* Get reply address */
1429     s = find_header(US"reply-to:", exists_only, newsize, FALSE,
1430       headers_charset);
1431     if (s == NULL || *s == 0)
1432       {
1433       *newsize = 0;                            /* For the *s==0 case */
1434       s = find_header(US"from:", exists_only, newsize, FALSE, headers_charset);
1435       }
1436     return (s == NULL)? US"" : s;
1437
1438     /* A recipients list is available only during system message filtering,
1439     during ACL processing after DATA, and while expanding pipe commands
1440     generated from a system filter, but not elsewhere. */
1441
1442     case vtype_recipients:
1443     if (!enable_dollar_recipients) return NULL; else
1444       {
1445       int size = 128;
1446       int ptr = 0;
1447       int i;
1448       s = store_get(size);
1449       for (i = 0; i < recipients_count; i++)
1450         {
1451         if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1452         s = string_cat(s, &size, &ptr, recipients_list[i].address,
1453           Ustrlen(recipients_list[i].address));
1454         }
1455       s[ptr] = 0;     /* string_cat() leaves room */
1456       }
1457     return s;
1458
1459     case vtype_pspace:
1460       {
1461       int inodes;
1462       sprintf(CS var_buffer, "%d",
1463         receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes));
1464       }
1465     return var_buffer;
1466
1467     case vtype_pinodes:
1468       {
1469       int inodes;
1470       (void) receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes);
1471       sprintf(CS var_buffer, "%d", inodes);
1472       }
1473     return var_buffer;
1474     }
1475   }
1476
1477 return NULL;          /* Unknown variable name */
1478 }
1479
1480
1481
1482
1483 /*************************************************
1484 *           Read and expand substrings           *
1485 *************************************************/
1486
1487 /* This function is called to read and expand argument substrings for various
1488 expansion items. Some have a minimum requirement that is less than the maximum;
1489 in these cases, the first non-present one is set to NULL.
1490
1491 Arguments:
1492   sub        points to vector of pointers to set
1493   n          maximum number of substrings
1494   m          minimum required
1495   sptr       points to current string pointer
1496   skipping   the skipping flag
1497   check_end  if TRUE, check for final '}'
1498   name       name of item, for error message
1499
1500 Returns:     0 OK; string pointer updated
1501              1 curly bracketing error (too few arguments)
1502              2 too many arguments (only if check_end is set); message set
1503              3 other error (expansion failure)
1504 */
1505
1506 static int
1507 read_subs(uschar **sub, int n, int m, uschar **sptr, BOOL skipping,
1508   BOOL check_end, uschar *name)
1509 {
1510 int i;
1511 uschar *s = *sptr;
1512
1513 while (isspace(*s)) s++;
1514 for (i = 0; i < n; i++)
1515   {
1516   if (*s != '{')
1517     {
1518     if (i < m) return 1;
1519     sub[i] = NULL;
1520     break;
1521     }
1522   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
1523   if (sub[i] == NULL) return 3;
1524   if (*s++ != '}') return 1;
1525   while (isspace(*s)) s++;
1526   }
1527 if (check_end && *s++ != '}')
1528   {
1529   if (s[-1] == '{')
1530     {
1531     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
1532       "(max is %d)", name, n);
1533     return 2;
1534     }
1535   return 1;
1536   }
1537
1538 *sptr = s;
1539 return 0;
1540 }
1541
1542
1543
1544
1545 /*************************************************
1546 *        Read and evaluate a condition           *
1547 *************************************************/
1548
1549 /*
1550 Arguments:
1551   s        points to the start of the condition text
1552   yield    points to a BOOL to hold the result of the condition test;
1553            if NULL, we are just reading through a condition that is
1554            part of an "or" combination to check syntax, or in a state
1555            where the answer isn't required
1556
1557 Returns:   a pointer to the first character after the condition, or
1558            NULL after an error
1559 */
1560
1561 static uschar *
1562 eval_condition(uschar *s, BOOL *yield)
1563 {
1564 BOOL testfor = TRUE;
1565 BOOL tempcond, combined_cond;
1566 BOOL *subcondptr;
1567 int i, rc, cond_type, roffset;
1568 int num[2];
1569 struct stat statbuf;
1570 uschar name[256];
1571 uschar *sub[4];
1572
1573 const pcre *re;
1574 const uschar *rerror;
1575
1576 for (;;)
1577   {
1578   while (isspace(*s)) s++;
1579   if (*s == '!') { testfor = !testfor; s++; } else break;
1580   }
1581
1582 /* Numeric comparisons are symbolic */
1583
1584 if (*s == '=' || *s == '>' || *s == '<')
1585   {
1586   int p = 0;
1587   name[p++] = *s++;
1588   if (*s == '=')
1589     {
1590     name[p++] = '=';
1591     s++;
1592     }
1593   name[p] = 0;
1594   }
1595
1596 /* All other conditions are named */
1597
1598 else s = read_name(name, 256, s, US"_");
1599
1600 /* If we haven't read a name, it means some non-alpha character is first. */
1601
1602 if (name[0] == 0)
1603   {
1604   expand_string_message = string_sprintf("condition name expected, "
1605     "but found \"%.16s\"", s);
1606   return NULL;
1607   }
1608
1609 /* Find which condition we are dealing with, and switch on it */
1610
1611 cond_type = chop_match(name, cond_table, sizeof(cond_table)/sizeof(uschar *));
1612 switch(cond_type)
1613   {
1614   /* def: tests for a non-empty variable, or for the existence of a header. If
1615   yield == NULL we are in a skipping state, and don't care about the answer. */
1616
1617   case ECOND_DEF:
1618   if (*s != ':')
1619     {
1620     expand_string_message = US"\":\" expected after \"def\"";
1621     return NULL;
1622     }
1623
1624   s = read_name(name, 256, s+1, US"_");
1625
1626   /* Test for a header's existence */
1627
1628   if (Ustrncmp(name, "h_", 2) == 0 ||
1629       Ustrncmp(name, "rh_", 3) == 0 ||
1630       Ustrncmp(name, "bh_", 3) == 0 ||
1631       Ustrncmp(name, "header_", 7) == 0 ||
1632       Ustrncmp(name, "rheader_", 8) == 0 ||
1633       Ustrncmp(name, "bheader_", 8) == 0)
1634     {
1635     s = read_header_name(name, 256, s);
1636     if (yield != NULL) *yield =
1637       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
1638     }
1639
1640   /* Test for a variable's having a non-empty value. A non-existent variable
1641   causes an expansion failure. */
1642
1643   else
1644     {
1645     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
1646     if (value == NULL)
1647       {
1648       expand_string_message = (name[0] == 0)?
1649         string_sprintf("variable name omitted after \"def:\"") :
1650         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
1651       return NULL;
1652       }
1653     if (yield != NULL) *yield = (value[0] != 0) == testfor;
1654     }
1655
1656   return s;
1657
1658
1659   /* first_delivery tests for first delivery attempt */
1660
1661   case ECOND_FIRST_DELIVERY:
1662   if (yield != NULL) *yield = deliver_firsttime == testfor;
1663   return s;
1664
1665
1666   /* queue_running tests for any process started by a queue runner */
1667
1668   case ECOND_QUEUE_RUNNING:
1669   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
1670   return s;
1671
1672
1673   /* exists:  tests for file existence
1674        isip:  tests for any IP address
1675       isip4:  tests for an IPv4 address
1676       isip6:  tests for an IPv6 address
1677         pam:  does PAM authentication
1678      radius:  does RADIUS authentication
1679    ldapauth:  does LDAP authentication
1680     pwcheck:  does Cyrus SASL pwcheck authentication
1681   */
1682
1683   case ECOND_EXISTS:
1684   case ECOND_ISIP:
1685   case ECOND_ISIP4:
1686   case ECOND_ISIP6:
1687   case ECOND_PAM:
1688   case ECOND_RADIUS:
1689   case ECOND_LDAPAUTH:
1690   case ECOND_PWCHECK:
1691
1692   while (isspace(*s)) s++;
1693   if (*s != '{') goto COND_FAILED_CURLY_START;
1694
1695   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1696   if (sub[0] == NULL) return NULL;
1697   if (*s++ != '}') goto COND_FAILED_CURLY_END;
1698
1699   if (yield == NULL) return s;   /* No need to run the test if skipping */
1700
1701   switch(cond_type)
1702     {
1703     case ECOND_EXISTS:
1704     if ((expand_forbid & RDO_EXISTS) != 0)
1705       {
1706       expand_string_message = US"File existence tests are not permitted";
1707       return NULL;
1708       }
1709     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
1710     break;
1711
1712     case ECOND_ISIP:
1713     case ECOND_ISIP4:
1714     case ECOND_ISIP6:
1715     rc = string_is_ip_address(sub[0], NULL);
1716     *yield = ((cond_type == ECOND_ISIP)? (rc > 0) :
1717              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
1718     break;
1719
1720     /* Various authentication tests - all optionally compiled */
1721
1722     case ECOND_PAM:
1723     #ifdef SUPPORT_PAM
1724     rc = auth_call_pam(sub[0], &expand_string_message);
1725     goto END_AUTH;
1726     #else
1727     goto COND_FAILED_NOT_COMPILED;
1728     #endif  /* SUPPORT_PAM */
1729
1730     case ECOND_RADIUS:
1731     #ifdef RADIUS_CONFIG_FILE
1732     rc = auth_call_radius(sub[0], &expand_string_message);
1733     goto END_AUTH;
1734     #else
1735     goto COND_FAILED_NOT_COMPILED;
1736     #endif  /* RADIUS_CONFIG_FILE */
1737
1738     case ECOND_LDAPAUTH:
1739     #ifdef LOOKUP_LDAP
1740       {
1741       /* Just to keep the interface the same */
1742       BOOL do_cache;
1743       int old_pool = store_pool;
1744       store_pool = POOL_SEARCH;
1745       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
1746         &expand_string_message, &do_cache);
1747       store_pool = old_pool;
1748       }
1749     goto END_AUTH;
1750     #else
1751     goto COND_FAILED_NOT_COMPILED;
1752     #endif  /* LOOKUP_LDAP */
1753
1754     case ECOND_PWCHECK:
1755     #ifdef CYRUS_PWCHECK_SOCKET
1756     rc = auth_call_pwcheck(sub[0], &expand_string_message);
1757     goto END_AUTH;
1758     #else
1759     goto COND_FAILED_NOT_COMPILED;
1760     #endif  /* CYRUS_PWCHECK_SOCKET */
1761
1762     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
1763         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
1764     END_AUTH:
1765     if (rc == ERROR || rc == DEFER) return NULL;
1766     *yield = (rc == OK) == testfor;
1767     #endif
1768     }
1769   return s;
1770
1771
1772   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
1773
1774      ${if saslauthd {{username}{password}{service}{realm}}  {yes}[no}}
1775
1776   However, the last two are optional. That is why the whole set is enclosed
1777   in their own set or braces. */
1778
1779   case ECOND_SASLAUTHD:
1780   #ifndef CYRUS_SASLAUTHD_SOCKET
1781   goto COND_FAILED_NOT_COMPILED;
1782   #else
1783   while (isspace(*s)) s++;
1784   if (*s++ != '{') goto COND_FAILED_CURLY_START;
1785   switch(read_subs(sub, 4, 2, &s, yield == NULL, TRUE, US"saslauthd"))
1786     {
1787     case 1: expand_string_message = US"too few arguments or bracketing "
1788       "error for saslauthd";
1789     case 2:
1790     case 3: return NULL;
1791     }
1792   if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
1793   if (yield != NULL)
1794     {
1795     int rc;
1796     rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
1797       &expand_string_message);
1798     if (rc == ERROR || rc == DEFER) return NULL;
1799     *yield = (rc == OK) == testfor;
1800     }
1801   return s;
1802   #endif /* CYRUS_SASLAUTHD_SOCKET */
1803
1804
1805   /* symbolic operators for numeric and string comparison, and a number of
1806   other operators, all requiring two arguments.
1807
1808   match:             does a regular expression match and sets up the numerical
1809                        variables if it succeeds
1810   match_address:     matches in an address list
1811   match_domain:      matches in a domain list
1812   match_ip:          matches a host list that is restricted to IP addresses
1813   match_local_part:  matches in a local part list
1814   crypteq:           encrypts plaintext and compares against an encrypted text,
1815                        using crypt(), crypt16(), MD5 or SHA-1
1816   */
1817
1818   case ECOND_MATCH:
1819   case ECOND_MATCH_ADDRESS:
1820   case ECOND_MATCH_DOMAIN:
1821   case ECOND_MATCH_IP:
1822   case ECOND_MATCH_LOCAL_PART:
1823   case ECOND_CRYPTEQ:
1824
1825   case ECOND_NUM_L:     /* Numerical comparisons */
1826   case ECOND_NUM_LE:
1827   case ECOND_NUM_E:
1828   case ECOND_NUM_EE:
1829   case ECOND_NUM_G:
1830   case ECOND_NUM_GE:
1831
1832   case ECOND_STR_LT:    /* String comparisons */
1833   case ECOND_STR_LTI:
1834   case ECOND_STR_LE:
1835   case ECOND_STR_LEI:
1836   case ECOND_STR_EQ:
1837   case ECOND_STR_EQI:
1838   case ECOND_STR_GT:
1839   case ECOND_STR_GTI:
1840   case ECOND_STR_GE:
1841   case ECOND_STR_GEI:
1842
1843   for (i = 0; i < 2; i++)
1844     {
1845     while (isspace(*s)) s++;
1846     if (*s != '{')
1847       {
1848       if (i == 0) goto COND_FAILED_CURLY_START;
1849       expand_string_message = string_sprintf("missing 2nd string in {} "
1850         "after \"%s\"", name);
1851       return NULL;
1852       }
1853     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1854     if (sub[i] == NULL) return NULL;
1855     if (*s++ != '}') goto COND_FAILED_CURLY_END;
1856
1857     /* Convert to numerical if required; we know that the names of all the
1858     conditions that compare numbers do not start with a letter. This just saves
1859     checking for them individually. */
1860
1861     if (!isalpha(name[0]))
1862       {
1863       uschar *endptr;
1864       num[i] = (int)Ustrtol((const uschar *)sub[i], &endptr, 10);
1865       if (tolower(*endptr) == 'k')
1866         {
1867         num[i] *= 1024;
1868         endptr++;
1869         }
1870       else if (tolower(*endptr) == 'm')
1871         {
1872         num[i] *= 1024*1024;
1873         endptr++;
1874         }
1875       while (isspace(*endptr)) endptr++;
1876       if (*endptr != 0)
1877         {
1878         expand_string_message = string_sprintf("\"%s\" is not a number",
1879           sub[i]);
1880         return NULL;
1881         }
1882       }
1883     }
1884
1885   /* Result not required */
1886
1887   if (yield == NULL) return s;
1888
1889   /* Do an appropriate comparison */
1890
1891   switch(cond_type)
1892     {
1893     case ECOND_NUM_E:
1894     case ECOND_NUM_EE:
1895     *yield = (num[0] == num[1]) == testfor;
1896     break;
1897
1898     case ECOND_NUM_G:
1899     *yield = (num[0] > num[1]) == testfor;
1900     break;
1901
1902     case ECOND_NUM_GE:
1903     *yield = (num[0] >= num[1]) == testfor;
1904     break;
1905
1906     case ECOND_NUM_L:
1907     *yield = (num[0] < num[1]) == testfor;
1908     break;
1909
1910     case ECOND_NUM_LE:
1911     *yield = (num[0] <= num[1]) == testfor;
1912     break;
1913
1914     case ECOND_STR_LT:
1915     *yield = (Ustrcmp(sub[0], sub[1]) < 0) == testfor;
1916     break;
1917
1918     case ECOND_STR_LTI:
1919     *yield = (strcmpic(sub[0], sub[1]) < 0) == testfor;
1920     break;
1921
1922     case ECOND_STR_LE:
1923     *yield = (Ustrcmp(sub[0], sub[1]) <= 0) == testfor;
1924     break;
1925
1926     case ECOND_STR_LEI:
1927     *yield = (strcmpic(sub[0], sub[1]) <= 0) == testfor;
1928     break;
1929
1930     case ECOND_STR_EQ:
1931     *yield = (Ustrcmp(sub[0], sub[1]) == 0) == testfor;
1932     break;
1933
1934     case ECOND_STR_EQI:
1935     *yield = (strcmpic(sub[0], sub[1]) == 0) == testfor;
1936     break;
1937
1938     case ECOND_STR_GT:
1939     *yield = (Ustrcmp(sub[0], sub[1]) > 0) == testfor;
1940     break;
1941
1942     case ECOND_STR_GTI:
1943     *yield = (strcmpic(sub[0], sub[1]) > 0) == testfor;
1944     break;
1945
1946     case ECOND_STR_GE:
1947     *yield = (Ustrcmp(sub[0], sub[1]) >= 0) == testfor;
1948     break;
1949
1950     case ECOND_STR_GEI:
1951     *yield = (strcmpic(sub[0], sub[1]) >= 0) == testfor;
1952     break;
1953
1954     case ECOND_MATCH:   /* Regular expression match */
1955     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
1956       NULL);
1957     if (re == NULL)
1958       {
1959       expand_string_message = string_sprintf("regular expression error in "
1960         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
1961       return NULL;
1962       }
1963     *yield = regex_match_and_setup(re, sub[0], 0, -1) == testfor;
1964     break;
1965
1966     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
1967     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
1968     goto MATCHED_SOMETHING;
1969
1970     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
1971     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
1972       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
1973     goto MATCHED_SOMETHING;
1974
1975     case ECOND_MATCH_IP:       /* Match IP address in a host list */
1976     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) <= 0)
1977       {
1978       expand_string_message = string_sprintf("\"%s\" is not an IP address",
1979         sub[0]);
1980       return NULL;
1981       }
1982     else
1983       {
1984       unsigned int *nullcache = NULL;
1985       check_host_block cb;
1986
1987       cb.host_name = US"";
1988       cb.host_address = sub[0];
1989
1990       /* If the host address starts off ::ffff: it is an IPv6 address in
1991       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
1992       addresses. */
1993
1994       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
1995         cb.host_address + 7 : cb.host_address;
1996
1997       rc = match_check_list(
1998              &sub[1],                   /* the list */
1999              0,                         /* separator character */
2000              &hostlist_anchor,          /* anchor pointer */
2001              &nullcache,                /* cache pointer */
2002              check_host,                /* function for testing */
2003              &cb,                       /* argument for function */
2004              MCL_HOST,                  /* type of check */
2005              sub[0],                    /* text for debugging */
2006              NULL);                     /* where to pass back data */
2007       }
2008     goto MATCHED_SOMETHING;
2009
2010     case ECOND_MATCH_LOCAL_PART:
2011     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2012       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2013     /* Fall through */
2014     /* VVVVVVVVVVVV */
2015     MATCHED_SOMETHING:
2016     switch(rc)
2017       {
2018       case OK:
2019       *yield = testfor;
2020       break;
2021
2022       case FAIL:
2023       *yield = !testfor;
2024       break;
2025
2026       case DEFER:
2027       expand_string_message = string_sprintf("unable to complete match "
2028         "against \"%s\": %s", sub[1], search_error_message);
2029       return NULL;
2030       }
2031
2032     break;
2033
2034     /* Various "encrypted" comparisons. If the second string starts with
2035     "{" then an encryption type is given. Default to crypt() or crypt16()
2036     (build-time choice). */
2037
2038     case ECOND_CRYPTEQ:
2039     #ifndef SUPPORT_CRYPTEQ
2040     goto COND_FAILED_NOT_COMPILED;
2041     #else
2042     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2043       {
2044       int sublen = Ustrlen(sub[1]+5);
2045       md5 base;
2046       uschar digest[16];
2047
2048       md5_start(&base);
2049       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2050
2051       /* If the length that we are comparing against is 24, the MD5 digest
2052       is expressed as a base64 string. This is the way LDAP does it. However,
2053       some other software uses a straightforward hex representation. We assume
2054       this if the length is 32. Other lengths fail. */
2055
2056       if (sublen == 24)
2057         {
2058         uschar *coded = auth_b64encode((uschar *)digest, 16);
2059         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2060           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2061         *yield = (Ustrcmp(coded, sub[1]+5) == 0) == testfor;
2062         }
2063       else if (sublen == 32)
2064         {
2065         int i;
2066         uschar coded[36];
2067         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2068         coded[32] = 0;
2069         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2070           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2071         *yield = (strcmpic(coded, sub[1]+5) == 0) == testfor;
2072         }
2073       else
2074         {
2075         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2076           "fail\n  crypted=%s\n", sub[1]+5);
2077         *yield = !testfor;
2078         }
2079       }
2080
2081     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2082       {
2083       int sublen = Ustrlen(sub[1]+6);
2084       sha1 base;
2085       uschar digest[20];
2086
2087       sha1_start(&base);
2088       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2089
2090       /* If the length that we are comparing against is 28, assume the SHA1
2091       digest is expressed as a base64 string. If the length is 40, assume a
2092       straightforward hex representation. Other lengths fail. */
2093
2094       if (sublen == 28)
2095         {
2096         uschar *coded = auth_b64encode((uschar *)digest, 20);
2097         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2098           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2099         *yield = (Ustrcmp(coded, sub[1]+6) == 0) == testfor;
2100         }
2101       else if (sublen == 40)
2102         {
2103         int i;
2104         uschar coded[44];
2105         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2106         coded[40] = 0;
2107         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2108           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2109         *yield = (strcmpic(coded, sub[1]+6) == 0) == testfor;
2110         }
2111       else
2112         {
2113         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2114           "fail\n  crypted=%s\n", sub[1]+6);
2115         *yield = !testfor;
2116         }
2117       }
2118
2119     else   /* {crypt} or {crypt16} and non-{ at start */
2120       {
2121       int which = 0;
2122       uschar *coded;
2123
2124       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2125         {
2126         sub[1] += 7;
2127         which = 1;
2128         }
2129       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2130         {
2131         sub[1] += 9;
2132         which = 2;
2133         }
2134       else if (sub[1][0] == '{')
2135         {
2136         expand_string_message = string_sprintf("unknown encryption mechanism "
2137           "in \"%s\"", sub[1]);
2138         return NULL;
2139         }
2140
2141       switch(which)
2142         {
2143         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2144         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2145         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2146         }
2147
2148       #define STR(s) # s
2149       #define XSTR(s) STR(s)
2150       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2151         "  subject=%s\n  crypted=%s\n",
2152         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2153         coded, sub[1]);
2154       #undef STR
2155       #undef XSTR
2156
2157       /* If the encrypted string contains fewer than two characters (for the
2158       salt), force failure. Otherwise we get false positives: with an empty
2159       string the yield of crypt() is an empty string! */
2160
2161       *yield = (Ustrlen(sub[1]) < 2)? !testfor :
2162         (Ustrcmp(coded, sub[1]) == 0) == testfor;
2163       }
2164     break;
2165     #endif  /* SUPPORT_CRYPTEQ */
2166     }   /* Switch for comparison conditions */
2167
2168   return s;    /* End of comparison conditions */
2169
2170
2171   /* and/or: computes logical and/or of several conditions */
2172
2173   case ECOND_AND:
2174   case ECOND_OR:
2175   subcondptr = (yield == NULL)? NULL : &tempcond;
2176   combined_cond = (cond_type == ECOND_AND);
2177
2178   while (isspace(*s)) s++;
2179   if (*s++ != '{') goto COND_FAILED_CURLY_START;
2180
2181   for (;;)
2182     {
2183     while (isspace(*s)) s++;
2184     if (*s == '}') break;
2185     if (*s != '{')
2186       {
2187       expand_string_message = string_sprintf("each subcondition "
2188         "inside an \"%s{...}\" condition must be in its own {}", name);
2189       return NULL;
2190       }
2191
2192     s = eval_condition(s+1, subcondptr);
2193     if (s == NULL)
2194       {
2195       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2196         expand_string_message, name);
2197       return NULL;
2198       }
2199     while (isspace(*s)) s++;
2200
2201     if (*s++ != '}')
2202       {
2203       expand_string_message = string_sprintf("missing } at end of condition "
2204         "inside \"%s\" group", name);
2205       return NULL;
2206       }
2207
2208     if (yield != NULL)
2209       {
2210       if (cond_type == ECOND_AND)
2211         {
2212         combined_cond &= tempcond;
2213         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2214         }                                       /* evaluate any more */
2215       else
2216         {
2217         combined_cond |= tempcond;
2218         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2219         }                                       /* evaluate any more */
2220       }
2221     }
2222
2223   if (yield != NULL) *yield = (combined_cond == testfor);
2224   return ++s;
2225
2226
2227   /* Unknown condition */
2228
2229   default:
2230   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
2231   return NULL;
2232   }   /* End switch on condition type */
2233
2234 /* Missing braces at start and end of data */
2235
2236 COND_FAILED_CURLY_START:
2237 expand_string_message = string_sprintf("missing { after \"%s\"", name);
2238 return NULL;
2239
2240 COND_FAILED_CURLY_END:
2241 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
2242   name);
2243 return NULL;
2244
2245 /* A condition requires code that is not compiled */
2246
2247 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
2248     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
2249     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
2250 COND_FAILED_NOT_COMPILED:
2251 expand_string_message = string_sprintf("support for \"%s\" not compiled",
2252   name);
2253 return NULL;
2254 #endif
2255 }
2256
2257
2258
2259
2260 /*************************************************
2261 *          Save numerical variables              *
2262 *************************************************/
2263
2264 /* This function is called from items such as "if" that want to preserve and
2265 restore the numbered variables.
2266
2267 Arguments:
2268   save_expand_string    points to an array of pointers to set
2269   save_expand_nlength   points to an array of ints for the lengths
2270
2271 Returns:                the value of expand max to save
2272 */
2273
2274 static int
2275 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
2276 {
2277 int i;
2278 for (i = 0; i <= expand_nmax; i++)
2279   {
2280   save_expand_nstring[i] = expand_nstring[i];
2281   save_expand_nlength[i] = expand_nlength[i];
2282   }
2283 return expand_nmax;
2284 }
2285
2286
2287
2288 /*************************************************
2289 *           Restore numerical variables          *
2290 *************************************************/
2291
2292 /* This function restored saved values of numerical strings.
2293
2294 Arguments:
2295   save_expand_nmax      the number of strings to restore
2296   save_expand_string    points to an array of pointers
2297   save_expand_nlength   points to an array of ints
2298
2299 Returns:                nothing
2300 */
2301
2302 static void
2303 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
2304   int *save_expand_nlength)
2305 {
2306 int i;
2307 expand_nmax = save_expand_nmax;
2308 for (i = 0; i <= expand_nmax; i++)
2309   {
2310   expand_nstring[i] = save_expand_nstring[i];
2311   expand_nlength[i] = save_expand_nlength[i];
2312   }
2313 }
2314
2315
2316
2317
2318
2319 /*************************************************
2320 *            Handle yes/no substrings            *
2321 *************************************************/
2322
2323 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
2324 alternative substrings that depend on whether or not the condition was true,
2325 or the lookup or extraction succeeded. The substrings always have to be
2326 expanded, to check their syntax, but "skipping" is set when the result is not
2327 needed - this avoids unnecessary nested lookups.
2328
2329 Arguments:
2330   skipping       TRUE if we were skipping when this item was reached
2331   yes            TRUE if the first string is to be used, else use the second
2332   save_lookup    a value to put back into lookup_value before the 2nd expansion
2333   sptr           points to the input string pointer
2334   yieldptr       points to the output string pointer
2335   sizeptr        points to the output string size
2336   ptrptr         points to the output string pointer
2337   type           "lookup" or "if" or "extract" or "run", for error message
2338
2339 Returns:         0 OK; lookup_value has been reset to save_lookup
2340                  1 expansion failed
2341                  2 expansion failed because of bracketing error
2342 */
2343
2344 static int
2345 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, uschar **sptr,
2346   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type)
2347 {
2348 int rc = 0;
2349 uschar *s = *sptr;    /* Local value */
2350 uschar *sub1, *sub2;
2351
2352 /* If there are no following strings, we substitute the contents of $value for
2353 lookups and for extractions in the success case. For the ${if item, the string
2354 "true" is substituted. In the fail case, nothing is substituted for all three
2355 items. */
2356
2357 while (isspace(*s)) s++;
2358 if (*s == '}')
2359   {
2360   if (type[0] == 'i')
2361     {
2362     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
2363     }
2364   else
2365     {
2366     if (yes && lookup_value != NULL)
2367       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
2368         Ustrlen(lookup_value));
2369     lookup_value = save_lookup;
2370     }
2371   s++;
2372   goto RETURN;
2373   }
2374
2375 /* The first following string must be braced. */
2376
2377 if (*s++ != '{') goto FAILED_CURLY;
2378
2379 /* Expand the first substring. Forced failures are noticed only if we actually
2380 want this string. Set skipping in the call in the fail case (this will always
2381 be the case if we were already skipping). */
2382
2383 sub1 = expand_string_internal(s, TRUE, &s, !yes);
2384 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
2385 expand_string_forcedfail = FALSE;
2386 if (*s++ != '}') goto FAILED_CURLY;
2387
2388 /* If we want the first string, add it to the output */
2389
2390 if (yes)
2391   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
2392
2393 /* If this is called from a lookup or an extract, we want to restore $value to
2394 what it was at the start of the item, so that it has this value during the
2395 second string expansion. For the call from "if" or "run" to this function,
2396 save_lookup is set to lookup_value, so that this statement does nothing. */
2397
2398 lookup_value = save_lookup;
2399
2400 /* There now follows either another substring, or "fail", or nothing. This
2401 time, forced failures are noticed only if we want the second string. We must
2402 set skipping in the nested call if we don't want this string, or if we were
2403 already skipping. */
2404
2405 while (isspace(*s)) s++;
2406 if (*s == '{')
2407   {
2408   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping);
2409   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
2410   expand_string_forcedfail = FALSE;
2411   if (*s++ != '}') goto FAILED_CURLY;
2412
2413   /* If we want the second string, add it to the output */
2414
2415   if (!yes)
2416     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
2417   }
2418
2419 /* If there is no second string, but the word "fail" is present when the use of
2420 the second string is wanted, set a flag indicating it was a forced failure
2421 rather than a syntactic error. Swallow the terminating } in case this is nested
2422 inside another lookup or if or extract. */
2423
2424 else if (*s != '}')
2425   {
2426   uschar name[256];
2427   s = read_name(name, sizeof(name), s, US"_");
2428   if (Ustrcmp(name, "fail") == 0)
2429     {
2430     if (!yes && !skipping)
2431       {
2432       while (isspace(*s)) s++;
2433       if (*s++ != '}') goto FAILED_CURLY;
2434       expand_string_message =
2435         string_sprintf("\"%s\" failed and \"fail\" requested", type);
2436       expand_string_forcedfail = TRUE;
2437       goto FAILED;
2438       }
2439     }
2440   else
2441     {
2442     expand_string_message =
2443       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
2444     goto FAILED;
2445     }
2446   }
2447
2448 /* All we have to do now is to check on the final closing brace. */
2449
2450 while (isspace(*s)) s++;
2451 if (*s++ == '}') goto RETURN;
2452
2453 /* Get here if there is a bracketing failure */
2454
2455 FAILED_CURLY:
2456 rc++;
2457
2458 /* Get here for other failures */
2459
2460 FAILED:
2461 rc++;
2462
2463 /* Update the input pointer value before returning */
2464
2465 RETURN:
2466 *sptr = s;
2467 return rc;
2468 }
2469
2470
2471
2472
2473 /*************************************************
2474 *    Handle MD5 or SHA-1 computation for HMAC    *
2475 *************************************************/
2476
2477 /* These are some wrapping functions that enable the HMAC code to be a bit
2478 cleaner. A good compiler will spot the tail recursion.
2479
2480 Arguments:
2481   type         HMAC_MD5 or HMAC_SHA1
2482   remaining    are as for the cryptographic hash functions
2483
2484 Returns:       nothing
2485 */
2486
2487 static void
2488 chash_start(int type, void *base)
2489 {
2490 if (type == HMAC_MD5)
2491   md5_start((md5 *)base);
2492 else
2493   sha1_start((sha1 *)base);
2494 }
2495
2496 static void
2497 chash_mid(int type, void *base, uschar *string)
2498 {
2499 if (type == HMAC_MD5)
2500   md5_mid((md5 *)base, string);
2501 else
2502   sha1_mid((sha1 *)base, string);
2503 }
2504
2505 static void
2506 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
2507 {
2508 if (type == HMAC_MD5)
2509   md5_end((md5 *)base, string, length, digest);
2510 else
2511   sha1_end((sha1 *)base, string, length, digest);
2512 }
2513
2514
2515
2516
2517
2518 /********************************************************
2519 * prvs: Get last three digits of days since Jan 1, 1970 *
2520 ********************************************************/
2521
2522 /* This is needed to implement the "prvs" BATV reverse
2523    path signing scheme
2524
2525 Argument: integer "days" offset to add or substract to
2526           or from the current number of days.
2527
2528 Returns:  pointer to string containing the last three
2529           digits of the number of days since Jan 1, 1970,
2530           modified by the offset argument, NULL if there
2531           was an error in the conversion.
2532
2533 */
2534
2535 static uschar *
2536 prvs_daystamp(int day_offset)
2537 {
2538 uschar *days = store_get(16);
2539 (void)string_format(days, 16, TIME_T_FMT,
2540   (time(NULL) + day_offset*86400)/86400);
2541 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
2542 }
2543
2544
2545
2546 /********************************************************
2547 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
2548 ********************************************************/
2549
2550 /* This is needed to implement the "prvs" BATV reverse
2551    path signing scheme
2552
2553 Arguments:
2554   address RFC2821 Address to use
2555       key The key to use (must be less than 64 characters
2556           in size)
2557   key_num Single-digit key number to use. Defaults to
2558           '0' when NULL.
2559
2560 Returns:  pointer to string containing the first three
2561           bytes of the final hash in hex format, NULL if
2562           there was an error in the process.
2563 */
2564
2565 static uschar *
2566 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
2567 {
2568 uschar *hash_source, *p;
2569 int size = 0,offset = 0,i;
2570 sha1 sha1_base;
2571 void *use_base = &sha1_base;
2572 uschar innerhash[20];
2573 uschar finalhash[20];
2574 uschar innerkey[64];
2575 uschar outerkey[64];
2576 uschar *finalhash_hex = store_get(40);
2577
2578 if (key_num == NULL)
2579   key_num = US"0";
2580
2581 if (Ustrlen(key) > 64)
2582   return NULL;
2583
2584 hash_source = string_cat(NULL,&size,&offset,key_num,1);
2585 string_cat(hash_source,&size,&offset,daystamp,3);
2586 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
2587 hash_source[offset] = '\0';
2588
2589 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
2590
2591 memset(innerkey, 0x36, 64);
2592 memset(outerkey, 0x5c, 64);
2593
2594 for (i = 0; i < Ustrlen(key); i++)
2595   {
2596   innerkey[i] ^= key[i];
2597   outerkey[i] ^= key[i];
2598   }
2599
2600 chash_start(HMAC_SHA1, use_base);
2601 chash_mid(HMAC_SHA1, use_base, innerkey);
2602 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
2603
2604 chash_start(HMAC_SHA1, use_base);
2605 chash_mid(HMAC_SHA1, use_base, outerkey);
2606 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
2607
2608 p = finalhash_hex;
2609 for (i = 0; i < 3; i++)
2610   {
2611   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2612   *p++ = hex_digits[finalhash[i] & 0x0f];
2613   }
2614 *p = '\0';
2615
2616 return finalhash_hex;
2617 }
2618
2619
2620
2621
2622 /*************************************************
2623 *        Join a file onto the output string      *
2624 *************************************************/
2625
2626 /* This is used for readfile and after a run expansion. It joins the contents
2627 of a file onto the output string, globally replacing newlines with a given
2628 string (optionally). The file is closed at the end.
2629
2630 Arguments:
2631   f            the FILE
2632   yield        pointer to the expandable string
2633   sizep        pointer to the current size
2634   ptrp         pointer to the current position
2635   eol          newline replacement string, or NULL
2636
2637 Returns:       new value of string pointer
2638 */
2639
2640 static uschar *
2641 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
2642 {
2643 int eollen;
2644 uschar buffer[1024];
2645
2646 eollen = (eol == NULL)? 0 : Ustrlen(eol);
2647
2648 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
2649   {
2650   int len = Ustrlen(buffer);
2651   if (eol != NULL && buffer[len-1] == '\n') len--;
2652   yield = string_cat(yield, sizep, ptrp, buffer, len);
2653   if (buffer[len] != 0)
2654     yield = string_cat(yield, sizep, ptrp, eol, eollen);
2655   }
2656
2657 if (yield != NULL) yield[*ptrp] = 0;
2658
2659 return yield;
2660 }
2661
2662
2663
2664
2665 /*************************************************
2666 *          Evaluate numeric expression           *
2667 *************************************************/
2668
2669 /* This is a set of mutually recursive functions that evaluate a simple
2670 arithmetic expression involving only + - * / and parentheses. The only one that
2671 is called from elsewhere is eval_expr, whose interface is:
2672
2673 Arguments:
2674   sptr          pointer to the pointer to the string - gets updated
2675   decimal       TRUE if numbers are to be assumed decimal
2676   error         pointer to where to put an error message - must be NULL on input
2677   endket        TRUE if ')' must terminate - FALSE for external call
2678
2679
2680 Returns:        on success: the value of the expression, with *error still NULL
2681                 on failure: an undefined value, with *error = a message
2682 */
2683
2684 static int eval_sumterm(uschar **, BOOL, uschar **);
2685
2686 static int
2687 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
2688 {
2689 uschar *s = *sptr;
2690 int x = eval_sumterm(&s, decimal, error);
2691 if (*error == NULL)
2692   {
2693   while (*s == '+' || *s == '-')
2694     {
2695     int op = *s++;
2696     int y = eval_sumterm(&s, decimal, error);
2697     if (*error != NULL) break;
2698     if (op == '+') x += y; else x -= y;
2699     }
2700   if (*error == NULL)
2701     {
2702     if (endket)
2703       {
2704       if (*s != ')')
2705         *error = US"expecting closing parenthesis";
2706       else
2707         while (isspace(*(++s)));
2708       }
2709     else if (*s != 0) *error = US"expecting + or -";
2710     }
2711   }
2712
2713 *sptr = s;
2714 return x;
2715 }
2716
2717 static int
2718 eval_term(uschar **sptr, BOOL decimal, uschar **error)
2719 {
2720 register int c;
2721 int n;
2722 uschar *s = *sptr;
2723 while (isspace(*s)) s++;
2724 c = *s;
2725 if (isdigit(c) || ((c == '-' || c == '+') && isdigit(s[1])))
2726   {
2727   int count;
2728   (void)sscanf(CS s, (decimal? "%d%n" : "%i%n"), &n, &count);
2729   s += count;
2730   if (tolower(*s) == 'k') { n *= 1024; s++; }
2731     else if (tolower(*s) == 'm') { n *= 1024*1024; s++; }
2732   while (isspace (*s)) s++;
2733   }
2734 else if (c == '(')
2735   {
2736   s++;
2737   n = eval_expr(&s, decimal, error, 1);
2738   }
2739 else
2740   {
2741   *error = US"expecting number or opening parenthesis";
2742   n = 0;
2743   }
2744 *sptr = s;
2745 return n;
2746 }
2747
2748 static int eval_sumterm(uschar **sptr, BOOL decimal, uschar **error)
2749 {
2750 uschar *s = *sptr;
2751 int x = eval_term(&s, decimal, error);
2752 if (*error == NULL)
2753   {
2754   while (*s == '*' || *s == '/' || *s == '%')
2755     {
2756     int op = *s++;
2757     int y = eval_term(&s, decimal, error);
2758     if (*error != NULL) break;
2759     if (op == '*') x *= y;
2760       else if (op == '/') x /= y;
2761       else x %= y;
2762     }
2763   }
2764 *sptr = s;
2765 return x;
2766 }
2767
2768
2769
2770
2771 /*************************************************
2772 *                 Expand string                  *
2773 *************************************************/
2774
2775 /* Returns either an unchanged string, or the expanded string in stacking pool
2776 store. Interpreted sequences are:
2777
2778    \...                    normal escaping rules
2779    $name                   substitutes the variable
2780    ${name}                 ditto
2781    ${op:string}            operates on the expanded string value
2782    ${item{arg1}{arg2}...}  expands the args and then does the business
2783                              some literal args are not enclosed in {}
2784
2785 There are now far too many operators and item types to make it worth listing
2786 them here in detail any more.
2787
2788 We use an internal routine recursively to handle embedded substrings. The
2789 external function follows. The yield is NULL if the expansion failed, and there
2790 are two cases: if something collapsed syntactically, or if "fail" was given
2791 as the action on a lookup failure. These can be distinguised by looking at the
2792 variable expand_string_forcedfail, which is TRUE in the latter case.
2793
2794 The skipping flag is set true when expanding a substring that isn't actually
2795 going to be used (after "if" or "lookup") and it prevents lookups from
2796 happening lower down.
2797
2798 Store usage: At start, a store block of the length of the input plus 64
2799 is obtained. This is expanded as necessary by string_cat(), which might have to
2800 get a new block, or might be able to expand the original. At the end of the
2801 function we can release any store above that portion of the yield block that
2802 was actually used. In many cases this will be optimal.
2803
2804 However: if the first item in the expansion is a variable name or header name,
2805 we reset the store before processing it; if the result is in fresh store, we
2806 use that without copying. This is helpful for expanding strings like
2807 $message_headers which can get very long.
2808
2809 Arguments:
2810   string         the string to be expanded
2811   ket_ends       true if expansion is to stop at }
2812   left           if not NULL, a pointer to the first character after the
2813                  expansion is placed here (typically used with ket_ends)
2814   skipping       TRUE for recursive calls when the value isn't actually going
2815                  to be used (to allow for optimisation)
2816
2817 Returns:         NULL if expansion fails:
2818                    expand_string_forcedfail is set TRUE if failure was forced
2819                    expand_string_message contains a textual error message
2820                  a pointer to the expanded string on success
2821 */
2822
2823 static uschar *
2824 expand_string_internal(uschar *string, BOOL ket_ends, uschar **left,
2825   BOOL skipping)
2826 {
2827 int ptr = 0;
2828 int size = Ustrlen(string)+ 64;
2829 int item_type;
2830 uschar *yield = store_get(size);
2831 uschar *s = string;
2832 uschar *save_expand_nstring[EXPAND_MAXN+1];
2833 int save_expand_nlength[EXPAND_MAXN+1];
2834
2835 expand_string_forcedfail = FALSE;
2836 expand_string_message = US"";
2837
2838 while (*s != 0)
2839   {
2840   uschar *value;
2841   uschar name[256];
2842
2843   /* \ escapes the next character, which must exist, or else
2844   the expansion fails. There's a special escape, \N, which causes
2845   copying of the subject verbatim up to the next \N. Otherwise,
2846   the escapes are the standard set. */
2847
2848   if (*s == '\\')
2849     {
2850     if (s[1] == 0)
2851       {
2852       expand_string_message = US"\\ at end of string";
2853       goto EXPAND_FAILED;
2854       }
2855
2856     if (s[1] == 'N')
2857       {
2858       uschar *t = s + 2;
2859       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
2860       yield = string_cat(yield, &size, &ptr, t, s - t);
2861       if (*s != 0) s += 2;
2862       }
2863
2864     else
2865       {
2866       uschar ch[1];
2867       ch[0] = string_interpret_escape(&s);
2868       s++;
2869       yield = string_cat(yield, &size, &ptr, ch, 1);
2870       }
2871
2872     continue;
2873     }
2874
2875   /* Anything other than $ is just copied verbatim, unless we are
2876   looking for a terminating } character. */
2877
2878   if (ket_ends && *s == '}') break;
2879
2880   if (*s != '$')
2881     {
2882     yield = string_cat(yield, &size, &ptr, s++, 1);
2883     continue;
2884     }
2885
2886   /* No { after the $ - must be a plain name or a number for string
2887   match variable. There has to be a fudge for variables that are the
2888   names of header fields preceded by "$header_" because header field
2889   names can contain any printing characters except space and colon.
2890   For those that don't like typing this much, "$h_" is a synonym for
2891   "$header_". A non-existent header yields a NULL value; nothing is
2892   inserted. */
2893
2894   if (isalpha((*(++s))))
2895     {
2896     int len;
2897     int newsize = 0;
2898
2899     s = read_name(name, sizeof(name), s, US"_");
2900
2901     /* If this is the first thing to be expanded, release the pre-allocated
2902     buffer. */
2903
2904     if (ptr == 0 && yield != NULL)
2905       {
2906       store_reset(yield);
2907       yield = NULL;
2908       size = 0;
2909       }
2910
2911     /* Header */
2912
2913     if (Ustrncmp(name, "h_", 2) == 0 ||
2914         Ustrncmp(name, "rh_", 3) == 0 ||
2915         Ustrncmp(name, "bh_", 3) == 0 ||
2916         Ustrncmp(name, "header_", 7) == 0 ||
2917         Ustrncmp(name, "rheader_", 8) == 0 ||
2918         Ustrncmp(name, "bheader_", 8) == 0)
2919       {
2920       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
2921       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
2922       s = read_header_name(name, sizeof(name), s);
2923       value = find_header(name, FALSE, &newsize, want_raw, charset);
2924
2925       /* If we didn't find the header, and the header contains a closing brace
2926       characters, this may be a user error where the terminating colon
2927       has been omitted. Set a flag to adjust the error message in this case.
2928       But there is no error here - nothing gets inserted. */
2929
2930       if (value == NULL)
2931         {
2932         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2933         continue;
2934         }
2935       }
2936
2937     /* Variable */
2938
2939     else
2940       {
2941       value = find_variable(name, FALSE, skipping, &newsize);
2942       if (value == NULL)
2943         {
2944         expand_string_message =
2945           string_sprintf("unknown variable name \"%s\"", name);
2946         goto EXPAND_FAILED;
2947         }
2948       }
2949
2950     /* If the data is known to be in a new buffer, newsize will be set to the
2951     size of that buffer. If this is the first thing in an expansion string,
2952     yield will be NULL; just point it at the new store instead of copying. Many
2953     expansion strings contain just one reference, so this is a useful
2954     optimization, especially for humungous headers. */
2955
2956     len = Ustrlen(value);
2957     if (yield == NULL && newsize != 0)
2958       {
2959       yield = value;
2960       size = newsize;
2961       ptr = len;
2962       }
2963     else yield = string_cat(yield, &size, &ptr, value, len);
2964
2965     continue;
2966     }
2967
2968   if (isdigit(*s))
2969     {
2970     int n;
2971     s = read_number(&n, s);
2972     if (n >= 0 && n <= expand_nmax)
2973       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
2974         expand_nlength[n]);
2975     continue;
2976     }
2977
2978   /* Otherwise, if there's no '{' after $ it's an error. */
2979
2980   if (*s != '{')
2981     {
2982     expand_string_message = US"$ not followed by letter, digit, or {";
2983     goto EXPAND_FAILED;
2984     }
2985
2986   /* After { there can be various things, but they all start with
2987   an initial word, except for a number for a string match variable. */
2988
2989   if (isdigit((*(++s))))
2990     {
2991     int n;
2992     s = read_number(&n, s);
2993     if (*s++ != '}')
2994       {
2995       expand_string_message = US"} expected after number";
2996       goto EXPAND_FAILED;
2997       }
2998     if (n >= 0 && n <= expand_nmax)
2999       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3000         expand_nlength[n]);
3001     continue;
3002     }
3003
3004   if (!isalpha(*s))
3005     {
3006     expand_string_message = US"letter or digit expected after ${";
3007     goto EXPAND_FAILED;
3008     }
3009
3010   /* Allow "-" in names to cater for substrings with negative
3011   arguments. Since we are checking for known names after { this is
3012   OK. */
3013
3014   s = read_name(name, sizeof(name), s, US"_-");
3015   item_type = chop_match(name, item_table, sizeof(item_table)/sizeof(uschar *));
3016
3017   switch(item_type)
3018     {
3019     /* Handle conditionals - preserve the values of the numerical expansion
3020     variables in case they get changed by a regular expression match in the
3021     condition. If not, they retain their external settings. At the end
3022     of this "if" section, they get restored to their previous values. */
3023
3024     case EITEM_IF:
3025       {
3026       BOOL cond = FALSE;
3027       uschar *next_s;
3028       int save_expand_nmax =
3029         save_expand_strings(save_expand_nstring, save_expand_nlength);
3030
3031       while (isspace(*s)) s++;
3032       next_s = eval_condition(s, skipping? NULL : &cond);
3033       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
3034
3035       DEBUG(D_expand)
3036         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
3037           cond? "true" : "false");
3038
3039       s = next_s;
3040
3041       /* The handling of "yes" and "no" result strings is now in a separate
3042       function that is also used by ${lookup} and ${extract} and ${run}. */
3043
3044       switch(process_yesno(
3045                skipping,                     /* were previously skipping */
3046                cond,                         /* success/failure indicator */
3047                lookup_value,                 /* value to reset for string2 */
3048                &s,                           /* input pointer */
3049                &yield,                       /* output pointer */
3050                &size,                        /* output size */
3051                &ptr,                         /* output current point */
3052                US"if"))                      /* condition type */
3053         {
3054         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3055         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3056         }
3057
3058       /* Restore external setting of expansion variables for continuation
3059       at this level. */
3060
3061       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3062         save_expand_nlength);
3063       continue;
3064       }
3065
3066     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
3067     expanding an internal string that isn't actually going to be used. All we
3068     need to do is check the syntax, so don't do a lookup at all. Preserve the
3069     values of the numerical expansion variables in case they get changed by a
3070     partial lookup. If not, they retain their external settings. At the end
3071     of this "lookup" section, they get restored to their previous values. */
3072
3073     case EITEM_LOOKUP:
3074       {
3075       int stype, partial, affixlen, starflags;
3076       int expand_setup = 0;
3077       int nameptr = 0;
3078       uschar *key, *filename, *affix;
3079       uschar *save_lookup_value = lookup_value;
3080       int save_expand_nmax =
3081         save_expand_strings(save_expand_nstring, save_expand_nlength);
3082
3083       if ((expand_forbid & RDO_LOOKUP) != 0)
3084         {
3085         expand_string_message = US"lookup expansions are not permitted";
3086         goto EXPAND_FAILED;
3087         }
3088
3089       /* Get the key we are to look up for single-key+file style lookups.
3090       Otherwise set the key NULL pro-tem. */
3091
3092       while (isspace(*s)) s++;
3093       if (*s == '{')
3094         {
3095         key = expand_string_internal(s+1, TRUE, &s, skipping);
3096         if (key == NULL) goto EXPAND_FAILED;
3097         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3098         while (isspace(*s)) s++;
3099         }
3100       else key = NULL;
3101
3102       /* Find out the type of database */
3103
3104       if (!isalpha(*s))
3105         {
3106         expand_string_message = US"missing lookup type";
3107         goto EXPAND_FAILED;
3108         }
3109
3110       /* The type is a string that may contain special characters of various
3111       kinds. Allow everything except space or { to appear; the actual content
3112       is checked by search_findtype_partial. */
3113
3114       while (*s != 0 && *s != '{' && !isspace(*s))
3115         {
3116         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
3117         s++;
3118         }
3119       name[nameptr] = 0;
3120       while (isspace(*s)) s++;
3121
3122       /* Now check for the individual search type and any partial or default
3123       options. Only those types that are actually in the binary are valid. */
3124
3125       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
3126         &starflags);
3127       if (stype < 0)
3128         {
3129         expand_string_message = search_error_message;
3130         goto EXPAND_FAILED;
3131         }
3132
3133       /* Check that a key was provided for those lookup types that need it,
3134       and was not supplied for those that use the query style. */
3135
3136       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
3137         {
3138         if (key == NULL)
3139           {
3140           expand_string_message = string_sprintf("missing {key} for single-"
3141             "key \"%s\" lookup", name);
3142           goto EXPAND_FAILED;
3143           }
3144         }
3145       else
3146         {
3147         if (key != NULL)
3148           {
3149           expand_string_message = string_sprintf("a single key was given for "
3150             "lookup type \"%s\", which is not a single-key lookup type", name);
3151           goto EXPAND_FAILED;
3152           }
3153         }
3154
3155       /* Get the next string in brackets and expand it. It is the file name for
3156       single-key+file lookups, and the whole query otherwise. In the case of
3157       queries that also require a file name (e.g. sqlite), the file name comes
3158       first. */
3159
3160       if (*s != '{') goto EXPAND_FAILED_CURLY;
3161       filename = expand_string_internal(s+1, TRUE, &s, skipping);
3162       if (filename == NULL) goto EXPAND_FAILED;
3163       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3164       while (isspace(*s)) s++;
3165
3166       /* If this isn't a single-key+file lookup, re-arrange the variables
3167       to be appropriate for the search_ functions. For query-style lookups,
3168       there is just a "key", and no file name. For the special query-style +
3169       file types, the query (i.e. "key") starts with a file name. */
3170
3171       if (key == NULL)
3172         {
3173         while (isspace(*filename)) filename++;
3174         key = filename;
3175
3176         if (mac_islookup(stype, lookup_querystyle))
3177           {
3178           filename = NULL;
3179           }
3180         else
3181           {
3182           if (*filename != '/')
3183             {
3184             expand_string_message = string_sprintf(
3185               "absolute file name expected for \"%s\" lookup", name);
3186             goto EXPAND_FAILED;
3187             }
3188           while (*key != 0 && !isspace(*key)) key++;
3189           if (*key != 0) *key++ = 0;
3190           }
3191         }
3192
3193       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
3194       the entry was not found. Note that there is no search_close() function.
3195       Files are left open in case of re-use. At suitable places in higher logic,
3196       search_tidyup() is called to tidy all open files. This can save opening
3197       the same file several times. However, files may also get closed when
3198       others are opened, if too many are open at once. The rule is that a
3199       handle should not be used after a second search_open().
3200
3201       Request that a partial search sets up $1 and maybe $2 by passing
3202       expand_setup containing zero. If its value changes, reset expand_nmax,
3203       since new variables will have been set. Note that at the end of this
3204       "lookup" section, the old numeric variables are restored. */
3205
3206       if (skipping)
3207         lookup_value = NULL;
3208       else
3209         {
3210         void *handle = search_open(filename, stype, 0, NULL, NULL);
3211         if (handle == NULL)
3212           {
3213           expand_string_message = search_error_message;
3214           goto EXPAND_FAILED;
3215           }
3216         lookup_value = search_find(handle, filename, key, partial, affix,
3217           affixlen, starflags, &expand_setup);
3218         if (search_find_defer)
3219           {
3220           expand_string_message =
3221             string_sprintf("lookup of \"%s\" gave DEFER: %s", key,
3222               search_error_message);
3223           goto EXPAND_FAILED;
3224           }
3225         if (expand_setup > 0) expand_nmax = expand_setup;
3226         }
3227
3228       /* The handling of "yes" and "no" result strings is now in a separate
3229       function that is also used by ${if} and ${extract}. */
3230
3231       switch(process_yesno(
3232                skipping,                     /* were previously skipping */
3233                lookup_value != NULL,         /* success/failure indicator */
3234                save_lookup_value,            /* value to reset for string2 */
3235                &s,                           /* input pointer */
3236                &yield,                       /* output pointer */
3237                &size,                        /* output size */
3238                &ptr,                         /* output current point */
3239                US"lookup"))                  /* condition type */
3240         {
3241         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3242         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3243         }
3244
3245       /* Restore external setting of expansion variables for carrying on
3246       at this level, and continue. */
3247
3248       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3249         save_expand_nlength);
3250       continue;
3251       }
3252
3253     /* If Perl support is configured, handle calling embedded perl subroutines,
3254     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
3255     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
3256     arguments (defined below). */
3257
3258     #define EXIM_PERL_MAX_ARGS 8
3259
3260     case EITEM_PERL:
3261     #ifndef EXIM_PERL
3262     expand_string_message = US"\"${perl\" encountered, but this facility "
3263       "is not included in this binary";
3264     goto EXPAND_FAILED;
3265
3266     #else   /* EXIM_PERL */
3267       {
3268       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
3269       uschar *new_yield;
3270
3271       if ((expand_forbid & RDO_PERL) != 0)
3272         {
3273         expand_string_message = US"Perl calls are not permitted";
3274         goto EXPAND_FAILED;
3275         }
3276
3277       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
3278            US"perl"))
3279         {
3280         case 1: goto EXPAND_FAILED_CURLY;
3281         case 2:
3282         case 3: goto EXPAND_FAILED;
3283         }
3284
3285       /* If skipping, we don't actually do anything */
3286
3287       if (skipping) continue;
3288
3289       /* Start the interpreter if necessary */
3290
3291       if (!opt_perl_started)
3292         {
3293         uschar *initerror;
3294         if (opt_perl_startup == NULL)
3295           {
3296           expand_string_message = US"A setting of perl_startup is needed when "
3297             "using the Perl interpreter";
3298           goto EXPAND_FAILED;
3299           }
3300         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3301         initerror = init_perl(opt_perl_startup);
3302         if (initerror != NULL)
3303           {
3304           expand_string_message =
3305             string_sprintf("error in perl_startup code: %s\n", initerror);
3306           goto EXPAND_FAILED;
3307           }
3308         opt_perl_started = TRUE;
3309         }
3310
3311       /* Call the function */
3312
3313       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
3314       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
3315         sub_arg[0], sub_arg + 1);
3316
3317       /* NULL yield indicates failure; if the message pointer has been set to
3318       NULL, the yield was undef, indicating a forced failure. Otherwise the
3319       message will indicate some kind of Perl error. */
3320
3321       if (new_yield == NULL)
3322         {
3323         if (expand_string_message == NULL)
3324           {
3325           expand_string_message =
3326             string_sprintf("Perl subroutine \"%s\" returned undef to force "
3327               "failure", sub_arg[0]);
3328           expand_string_forcedfail = TRUE;
3329           }
3330         goto EXPAND_FAILED;
3331         }
3332
3333       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
3334       set during a callback from Perl. */
3335
3336       expand_string_forcedfail = FALSE;
3337       yield = new_yield;
3338       continue;
3339       }
3340     #endif /* EXIM_PERL */
3341
3342     /* Transform email address to "prvs" scheme to use
3343        as BATV-signed return path */
3344
3345     case EITEM_PRVS:
3346       {
3347       uschar *sub_arg[3];
3348       uschar *p,*domain;
3349
3350       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs"))
3351         {
3352         case 1: goto EXPAND_FAILED_CURLY;
3353         case 2:
3354         case 3: goto EXPAND_FAILED;
3355         }
3356
3357       /* If skipping, we don't actually do anything */
3358       if (skipping) continue;
3359
3360       /* sub_arg[0] is the address */
3361       domain = Ustrrchr(sub_arg[0],'@');
3362       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
3363         {
3364         expand_string_message = US"prvs first argument must be a qualified email address";
3365         goto EXPAND_FAILED;
3366         }
3367
3368       /* Calculate the hash. The second argument must be a single-digit
3369       key number, or unset. */
3370
3371       if (sub_arg[2] != NULL &&
3372           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
3373         {
3374         expand_string_message = US"prvs second argument must be a single digit";
3375         goto EXPAND_FAILED;
3376         }
3377
3378       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
3379       if (p == NULL)
3380         {
3381         expand_string_message = US"prvs hmac-sha1 conversion failed";
3382         goto EXPAND_FAILED;
3383         }
3384
3385       /* Now separate the domain from the local part */
3386       *domain++ = '\0';
3387
3388       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
3389       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3390       string_cat(yield,&size,&ptr,US"/",1);
3391       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
3392       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
3393       string_cat(yield,&size,&ptr,p,6);
3394       string_cat(yield,&size,&ptr,US"@",1);
3395       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
3396
3397       continue;
3398       }
3399
3400     /* Check a prvs-encoded address for validity */
3401
3402     case EITEM_PRVSCHECK:
3403       {
3404       uschar *sub_arg[3];
3405       int mysize = 0, myptr = 0;
3406       const pcre *re;
3407       uschar *p;
3408
3409       /* TF: Ugliness: We want to expand parameter 1 first, then set
3410          up expansion variables that are used in the expansion of
3411          parameter 2. So we clone the string for the first
3412          expansion, where we only expand parameter 1.
3413
3414          PH: Actually, that isn't necessary. The read_subs() function is
3415          designed to work this way for the ${if and ${lookup expansions. I've
3416          tidied the code.
3417       */
3418
3419       /* Reset expansion variables */
3420       prvscheck_result = NULL;
3421       prvscheck_address = NULL;
3422       prvscheck_keynum = NULL;
3423
3424       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3425         {
3426         case 1: goto EXPAND_FAILED_CURLY;
3427         case 2:
3428         case 3: goto EXPAND_FAILED;
3429         }
3430
3431       re = regex_must_compile(US"^prvs\\=(.+)\\/([0-9])([0-9]{3})([A-F0-9]{6})\\@(.+)$",
3432                               TRUE,FALSE);
3433
3434       if (regex_match_and_setup(re,sub_arg[0],0,-1))
3435         {
3436         uschar *local_part = string_copyn(expand_nstring[1],expand_nlength[1]);
3437         uschar *key_num = string_copyn(expand_nstring[2],expand_nlength[2]);
3438         uschar *daystamp = string_copyn(expand_nstring[3],expand_nlength[3]);
3439         uschar *hash = string_copyn(expand_nstring[4],expand_nlength[4]);
3440         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
3441
3442         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
3443         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
3444         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
3445         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
3446         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
3447
3448         /* Set up expansion variables */
3449         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
3450         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
3451         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
3452         prvscheck_address[myptr] = '\0';
3453         prvscheck_keynum = string_copy(key_num);
3454
3455         /* Now expand the second argument */
3456         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3457           {
3458           case 1: goto EXPAND_FAILED_CURLY;
3459           case 2:
3460           case 3: goto EXPAND_FAILED;
3461           }
3462
3463         /* Now we have the key and can check the address. */
3464
3465         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
3466           daystamp);
3467
3468         if (p == NULL)
3469           {
3470           expand_string_message = US"hmac-sha1 conversion failed";
3471           goto EXPAND_FAILED;
3472           }
3473
3474         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
3475         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
3476
3477         if (Ustrcmp(p,hash) == 0)
3478           {
3479           /* Success, valid BATV address. Now check the expiry date. */
3480           uschar *now = prvs_daystamp(0);
3481           unsigned int inow = 0,iexpire = 1;
3482
3483           (void)sscanf(CS now,"%u",&inow);
3484           (void)sscanf(CS daystamp,"%u",&iexpire);
3485
3486           /* When "iexpire" is < 7, a "flip" has occured.
3487              Adjust "inow" accordingly. */
3488           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
3489
3490           if (iexpire > inow)
3491             {
3492             prvscheck_result = US"1";
3493             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
3494             }
3495             else
3496             {
3497             prvscheck_result = NULL;
3498             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
3499             }
3500           }
3501         else
3502           {
3503           prvscheck_result = NULL;
3504           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
3505           }
3506
3507         /* Now expand the final argument. We leave this till now so that
3508         it can include $prvscheck_result. */
3509
3510         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs"))
3511           {
3512           case 1: goto EXPAND_FAILED_CURLY;
3513           case 2:
3514           case 3: goto EXPAND_FAILED;
3515           }
3516
3517         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
3518           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
3519         else
3520           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3521
3522         /* Reset the "internal" variables afterwards, because they are in
3523         dynamic store that will be reclaimed if the expansion succeeded. */
3524
3525         prvscheck_address = NULL;
3526         prvscheck_keynum = NULL;
3527         }
3528       else
3529         {
3530         /* Does not look like a prvs encoded address, return the empty string.
3531            We need to make sure all subs are expanded first, so as to skip over
3532            the entire item. */
3533
3534         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs"))
3535           {
3536           case 1: goto EXPAND_FAILED_CURLY;
3537           case 2:
3538           case 3: goto EXPAND_FAILED;
3539           }
3540         }
3541
3542       continue;
3543       }
3544
3545     /* Handle "readfile" to insert an entire file */
3546
3547     case EITEM_READFILE:
3548       {
3549       FILE *f;
3550       uschar *sub_arg[2];
3551
3552       if ((expand_forbid & RDO_READFILE) != 0)
3553         {
3554         expand_string_message = US"file insertions are not permitted";
3555         goto EXPAND_FAILED;
3556         }
3557
3558       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile"))
3559         {
3560         case 1: goto EXPAND_FAILED_CURLY;
3561         case 2:
3562         case 3: goto EXPAND_FAILED;
3563         }
3564
3565       /* If skipping, we don't actually do anything */
3566
3567       if (skipping) continue;
3568
3569       /* Open the file and read it */
3570
3571       f = Ufopen(sub_arg[0], "rb");
3572       if (f == NULL)
3573         {
3574         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
3575         goto EXPAND_FAILED;
3576         }
3577
3578       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
3579       (void)fclose(f);
3580       continue;
3581       }
3582
3583     /* Handle "readsocket" to insert data from a Unix domain socket */
3584
3585     case EITEM_READSOCK:
3586       {
3587       int fd;
3588       int timeout = 5;
3589       int save_ptr = ptr;
3590       FILE *f;
3591       struct sockaddr_un sockun;         /* don't call this "sun" ! */
3592       uschar *arg;
3593       uschar *sub_arg[4];
3594
3595       if ((expand_forbid & RDO_READSOCK) != 0)
3596         {
3597         expand_string_message = US"socket insertions are not permitted";
3598         goto EXPAND_FAILED;
3599         }
3600
3601       /* Read up to 4 arguments, but don't do the end of item check afterwards,
3602       because there may be a string for expansion on failure. */
3603
3604       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket"))
3605         {
3606         case 1: goto EXPAND_FAILED_CURLY;
3607         case 2:                             /* Won't occur: no end check */
3608         case 3: goto EXPAND_FAILED;
3609         }
3610
3611       /* Sort out timeout, if given */
3612
3613       if (sub_arg[2] != NULL)
3614         {
3615         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
3616         if (timeout < 0)
3617           {
3618           expand_string_message = string_sprintf("bad time value %s",
3619             sub_arg[2]);
3620           goto EXPAND_FAILED;
3621           }
3622         }
3623       else sub_arg[3] = NULL;                     /* No eol if no timeout */
3624
3625       /* If skipping, we don't actually do anything */
3626
3627       if (!skipping)
3628         {
3629         /* Make a connection to the socket */
3630
3631         if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
3632           {
3633           expand_string_message = string_sprintf("failed to create socket: %s",
3634             strerror(errno));
3635           goto SOCK_FAIL;
3636           }
3637
3638         sockun.sun_family = AF_UNIX;
3639         sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
3640           sub_arg[0]);
3641         if(connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun)) == -1)
3642           {
3643           expand_string_message = string_sprintf("failed to connect to socket "
3644             "%s: %s", sub_arg[0], strerror(errno));
3645           goto SOCK_FAIL;
3646           }
3647         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
3648
3649         /* Write the request string, if not empty */
3650
3651         if (sub_arg[1][0] != 0)
3652           {
3653           int len = Ustrlen(sub_arg[1]);
3654           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
3655             sub_arg[1]);
3656           if (write(fd, sub_arg[1], len) != len)
3657             {
3658             expand_string_message = string_sprintf("request write to socket "
3659               "failed: %s", strerror(errno));
3660             goto SOCK_FAIL;
3661             }
3662           }
3663
3664         /* Now we need to read from the socket, under a timeout. The function
3665         that reads a file can be used. */
3666
3667         f = fdopen(fd, "rb");
3668         sigalrm_seen = FALSE;
3669         alarm(timeout);
3670         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
3671         alarm(0);
3672         (void)fclose(f);
3673
3674         /* After a timeout, we restore the pointer in the result, that is,
3675         make sure we add nothing from the socket. */
3676
3677         if (sigalrm_seen)
3678           {
3679           ptr = save_ptr;
3680           expand_string_message = US"socket read timed out";
3681           goto SOCK_FAIL;
3682           }
3683         }
3684
3685       /* The whole thing has worked (or we were skipping). If there is a
3686       failure string following, we need to skip it. */
3687
3688       if (*s == '{')
3689         {
3690         if (expand_string_internal(s+1, TRUE, &s, TRUE) == NULL)
3691           goto EXPAND_FAILED;
3692         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3693         while (isspace(*s)) s++;
3694         }
3695       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3696       continue;
3697
3698       /* Come here on failure to create socket, connect socket, write to the
3699       socket, or timeout on reading. If another substring follows, expand and
3700       use it. Otherwise, those conditions give expand errors. */
3701
3702       SOCK_FAIL:
3703       if (*s != '{') goto EXPAND_FAILED;
3704       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
3705       arg = expand_string_internal(s+1, TRUE, &s, FALSE);
3706       if (arg == NULL) goto EXPAND_FAILED;
3707       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
3708       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3709       while (isspace(*s)) s++;
3710       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3711       continue;
3712       }
3713
3714     /* Handle "run" to execute a program. */
3715
3716     case EITEM_RUN:
3717       {
3718       FILE *f;
3719       uschar *arg;
3720       uschar **argv;
3721       pid_t pid;
3722       int fd_in, fd_out;
3723       int lsize = 0;
3724       int lptr = 0;
3725
3726       if ((expand_forbid & RDO_RUN) != 0)
3727         {
3728         expand_string_message = US"running a command is not permitted";
3729         goto EXPAND_FAILED;
3730         }
3731
3732       while (isspace(*s)) s++;
3733       if (*s != '{') goto EXPAND_FAILED_CURLY;
3734       arg = expand_string_internal(s+1, TRUE, &s, skipping);
3735       if (arg == NULL) goto EXPAND_FAILED;
3736       while (isspace(*s)) s++;
3737       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3738
3739       if (skipping)   /* Just pretend it worked when we're skipping */
3740         {
3741         runrc = 0;
3742         }
3743       else
3744         {
3745         if (!transport_set_up_command(&argv,    /* anchor for arg list */
3746             arg,                                /* raw command */
3747             FALSE,                              /* don't expand the arguments */
3748             0,                                  /* not relevant when... */
3749             NULL,                               /* no transporting address */
3750             US"${run} expansion",               /* for error messages */
3751             &expand_string_message))            /* where to put error message */
3752           {
3753           goto EXPAND_FAILED;
3754           }
3755
3756         /* Create the child process, making it a group leader. */
3757
3758         pid = child_open(argv, NULL, 0077, &fd_in, &fd_out, TRUE);
3759
3760         if (pid < 0)
3761           {
3762           expand_string_message =
3763             string_sprintf("couldn't create child process: %s", strerror(errno));
3764           goto EXPAND_FAILED;
3765           }
3766
3767         /* Nothing is written to the standard input. */
3768
3769         (void)close(fd_in);
3770
3771         /* Wait for the process to finish, applying the timeout, and inspect its
3772         return code for serious disasters. Simple non-zero returns are passed on.
3773         */
3774
3775         if ((runrc = child_close(pid, 60)) < 0)
3776           {
3777           if (runrc == -256)
3778             {
3779             expand_string_message = string_sprintf("command timed out");
3780             killpg(pid, SIGKILL);       /* Kill the whole process group */
3781             }
3782
3783           else if (runrc == -257)
3784             expand_string_message = string_sprintf("wait() failed: %s",
3785               strerror(errno));
3786
3787           else
3788             expand_string_message = string_sprintf("command killed by signal %d",
3789               -runrc);
3790
3791           goto EXPAND_FAILED;
3792           }
3793
3794         /* Read the pipe to get the command's output into $value (which is kept
3795         in lookup_value). */
3796
3797         f = fdopen(fd_out, "rb");
3798         lookup_value = NULL;
3799         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
3800         (void)fclose(f);
3801         }
3802
3803       /* Process the yes/no strings; $value may be useful in both cases */
3804
3805       switch(process_yesno(
3806                skipping,                     /* were previously skipping */
3807                runrc == 0,                   /* success/failure indicator */
3808                lookup_value,                 /* value to reset for string2 */
3809                &s,                           /* input pointer */
3810                &yield,                       /* output pointer */
3811                &size,                        /* output size */
3812                &ptr,                         /* output current point */
3813                US"run"))                     /* condition type */
3814         {
3815         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3816         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3817         }
3818
3819       continue;
3820       }
3821
3822     /* Handle character translation for "tr" */
3823
3824     case EITEM_TR:
3825       {
3826       int oldptr = ptr;
3827       int o2m;
3828       uschar *sub[3];
3829
3830       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr"))
3831         {
3832         case 1: goto EXPAND_FAILED_CURLY;
3833         case 2:
3834         case 3: goto EXPAND_FAILED;
3835         }
3836
3837       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
3838       o2m = Ustrlen(sub[2]) - 1;
3839
3840       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
3841         {
3842         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
3843         if (m != NULL)
3844           {
3845           int o = m - sub[1];
3846           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
3847           }
3848         }
3849
3850       continue;
3851       }
3852
3853     /* Handle "hash", "length", "nhash", and "substr" when they are given with
3854     expanded arguments. */
3855
3856     case EITEM_HASH:
3857     case EITEM_LENGTH:
3858     case EITEM_NHASH:
3859     case EITEM_SUBSTR:
3860       {
3861       int i;
3862       int len;
3863       uschar *ret;
3864       int val[2] = { 0, -1 };
3865       uschar *sub[3];
3866
3867       /* "length" takes only 2 arguments whereas the others take 2 or 3.
3868       Ensure that sub[2] is set in the ${length case. */
3869
3870       sub[2] = NULL;
3871       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
3872              TRUE, name))
3873         {
3874         case 1: goto EXPAND_FAILED_CURLY;
3875         case 2:
3876         case 3: goto EXPAND_FAILED;
3877         }
3878
3879       /* Juggle the arguments if there are only two of them: always move the
3880       string to the last position and make ${length{n}{str}} equivalent to
3881       ${substr{0}{n}{str}}. See the defaults for val[] above. */
3882
3883       if (sub[2] == NULL)
3884         {
3885         sub[2] = sub[1];
3886         sub[1] = NULL;
3887         if (item_type == EITEM_LENGTH)
3888           {
3889           sub[1] = sub[0];
3890           sub[0] = NULL;
3891           }
3892         }
3893
3894       for (i = 0; i < 2; i++)
3895         {
3896         if (sub[i] == NULL) continue;
3897         val[i] = (int)Ustrtol(sub[i], &ret, 10);
3898         if (*ret != 0 || (i != 0 && val[i] < 0))
3899           {
3900           expand_string_message = string_sprintf("\"%s\" is not a%s number "
3901             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
3902           goto EXPAND_FAILED;
3903           }
3904         }
3905
3906       ret =
3907         (item_type == EITEM_HASH)?
3908           compute_hash(sub[2], val[0], val[1], &len) :
3909         (item_type == EITEM_NHASH)?
3910           compute_nhash(sub[2], val[0], val[1], &len) :
3911           extract_substr(sub[2], val[0], val[1], &len);
3912
3913       if (ret == NULL) goto EXPAND_FAILED;
3914       yield = string_cat(yield, &size, &ptr, ret, len);
3915       continue;
3916       }
3917
3918     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
3919     This code originally contributed by Steve Haslam. It currently supports
3920     the use of MD5 and SHA-1 hashes.
3921
3922     We need some workspace that is large enough to handle all the supported
3923     hash types. Use macros to set the sizes rather than be too elaborate. */
3924
3925     #define MAX_HASHLEN      20
3926     #define MAX_HASHBLOCKLEN 64
3927
3928     case EITEM_HMAC:
3929       {
3930       uschar *sub[3];
3931       md5 md5_base;
3932       sha1 sha1_base;
3933       void *use_base;
3934       int type, i;
3935       int hashlen;      /* Number of octets for the hash algorithm's output */
3936       int hashblocklen; /* Number of octets the hash algorithm processes */
3937       uschar *keyptr, *p;
3938       unsigned int keylen;
3939
3940       uschar keyhash[MAX_HASHLEN];
3941       uschar innerhash[MAX_HASHLEN];
3942       uschar finalhash[MAX_HASHLEN];
3943       uschar finalhash_hex[2*MAX_HASHLEN];
3944       uschar innerkey[MAX_HASHBLOCKLEN];
3945       uschar outerkey[MAX_HASHBLOCKLEN];
3946
3947       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name))
3948         {
3949         case 1: goto EXPAND_FAILED_CURLY;
3950         case 2:
3951         case 3: goto EXPAND_FAILED;
3952         }
3953
3954       if (Ustrcmp(sub[0], "md5") == 0)
3955         {
3956         type = HMAC_MD5;
3957         use_base = &md5_base;
3958         hashlen = 16;
3959         hashblocklen = 64;
3960         }
3961       else if (Ustrcmp(sub[0], "sha1") == 0)
3962         {
3963         type = HMAC_SHA1;
3964         use_base = &sha1_base;
3965         hashlen = 20;
3966         hashblocklen = 64;
3967         }
3968       else
3969         {
3970         expand_string_message =
3971           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
3972         goto EXPAND_FAILED;
3973         }
3974
3975       keyptr = sub[1];
3976       keylen = Ustrlen(keyptr);
3977
3978       /* If the key is longer than the hash block length, then hash the key
3979       first */
3980
3981       if (keylen > hashblocklen)
3982         {
3983         chash_start(type, use_base);
3984         chash_end(type, use_base, keyptr, keylen, keyhash);
3985         keyptr = keyhash;
3986         keylen = hashlen;
3987         }
3988
3989       /* Now make the inner and outer key values */
3990
3991       memset(innerkey, 0x36, hashblocklen);
3992       memset(outerkey, 0x5c, hashblocklen);
3993
3994       for (i = 0; i < keylen; i++)
3995         {
3996         innerkey[i] ^= keyptr[i];
3997         outerkey[i] ^= keyptr[i];
3998         }
3999
4000       /* Now do the hashes */
4001
4002       chash_start(type, use_base);
4003       chash_mid(type, use_base, innerkey);
4004       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
4005
4006       chash_start(type, use_base);
4007       chash_mid(type, use_base, outerkey);
4008       chash_end(type, use_base, innerhash, hashlen, finalhash);
4009
4010       /* Encode the final hash as a hex string */
4011
4012       p = finalhash_hex;
4013       for (i = 0; i < hashlen; i++)
4014         {
4015         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
4016         *p++ = hex_digits[finalhash[i] & 0x0f];
4017         }
4018
4019       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
4020         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
4021
4022       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
4023       }
4024
4025     continue;
4026
4027     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
4028     We have to save the numerical variables and restore them afterwards. */
4029
4030     case EITEM_SG:
4031       {
4032       const pcre *re;
4033       int moffset, moffsetextra, slen;
4034       int roffset;
4035       int emptyopt;
4036       const uschar *rerror;
4037       uschar *subject;
4038       uschar *sub[3];
4039       int save_expand_nmax =
4040         save_expand_strings(save_expand_nstring, save_expand_nlength);
4041
4042       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg"))
4043         {
4044         case 1: goto EXPAND_FAILED_CURLY;
4045         case 2:
4046         case 3: goto EXPAND_FAILED;
4047         }
4048
4049       /* Compile the regular expression */
4050
4051       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
4052         NULL);
4053
4054       if (re == NULL)
4055         {
4056         expand_string_message = string_sprintf("regular expression error in "
4057           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
4058         goto EXPAND_FAILED;
4059         }
4060
4061       /* Now run a loop to do the substitutions as often as necessary. It ends
4062       when there are no more matches. Take care over matches of the null string;
4063       do the same thing as Perl does. */
4064
4065       subject = sub[0];
4066       slen = Ustrlen(sub[0]);
4067       moffset = moffsetextra = 0;
4068       emptyopt = 0;
4069
4070       for (;;)
4071         {
4072         int ovector[3*(EXPAND_MAXN+1)];
4073         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
4074           PCRE_EOPT | emptyopt, ovector, sizeof(ovector)/sizeof(int));
4075         int nn;
4076         uschar *insert;
4077
4078         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
4079         is not necessarily the end. We want to repeat the match from one
4080         character further along, but leaving the basic offset the same (for
4081         copying below). We can't be at the end of the string - that was checked
4082         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
4083         finished; copy the remaining string and end the loop. */
4084
4085         if (n < 0)
4086           {
4087           if (emptyopt != 0)
4088             {
4089             moffsetextra = 1;
4090             emptyopt = 0;
4091             continue;
4092             }
4093           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
4094           break;
4095           }
4096
4097         /* Match - set up for expanding the replacement. */
4098
4099         if (n == 0) n = EXPAND_MAXN + 1;
4100         expand_nmax = 0;
4101         for (nn = 0; nn < n*2; nn += 2)
4102           {
4103           expand_nstring[expand_nmax] = subject + ovector[nn];
4104           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
4105           }
4106         expand_nmax--;
4107
4108         /* Copy the characters before the match, plus the expanded insertion. */
4109
4110         yield = string_cat(yield, &size, &ptr, subject + moffset,
4111           ovector[0] - moffset);
4112         insert = expand_string(sub[2]);
4113         if (insert == NULL) goto EXPAND_FAILED;
4114         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
4115
4116         moffset = ovector[1];
4117         moffsetextra = 0;
4118         emptyopt = 0;
4119
4120         /* If we have matched an empty string, first check to see if we are at
4121         the end of the subject. If so, the loop is over. Otherwise, mimic
4122         what Perl's /g options does. This turns out to be rather cunning. First
4123         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
4124         string at the same point. If this fails (picked up above) we advance to
4125         the next character. */
4126
4127         if (ovector[0] == ovector[1])
4128           {
4129           if (ovector[0] == slen) break;
4130           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
4131           }
4132         }
4133
4134       /* All done - restore numerical variables. */
4135
4136       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4137         save_expand_nlength);
4138       continue;
4139       }
4140
4141     /* Handle keyed and numbered substring extraction. If the first argument
4142     consists entirely of digits, then a numerical extraction is assumed. */
4143
4144     case EITEM_EXTRACT:
4145       {
4146       int i;
4147       int j = 2;
4148       int field_number = 1;
4149       BOOL field_number_set = FALSE;
4150       uschar *save_lookup_value = lookup_value;
4151       uschar *sub[3];
4152       int save_expand_nmax =
4153         save_expand_strings(save_expand_nstring, save_expand_nlength);
4154
4155       /* Read the arguments */
4156
4157       for (i = 0; i < j; i++)
4158         {
4159         while (isspace(*s)) s++;
4160         if (*s == '{')
4161           {
4162           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
4163           if (sub[i] == NULL) goto EXPAND_FAILED;
4164           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4165
4166           /* After removal of leading and trailing white space, the first
4167           argument must not be empty; if it consists entirely of digits
4168           (optionally preceded by a minus sign), this is a numerical
4169           extraction, and we expect 3 arguments. */
4170
4171           if (i == 0)
4172             {
4173             int len;
4174             int x = 0;
4175             uschar *p = sub[0];
4176
4177             while (isspace(*p)) p++;
4178             sub[0] = p;
4179
4180             len = Ustrlen(p);
4181             while (len > 0 && isspace(p[len-1])) len--;
4182             p[len] = 0;
4183
4184             if (*p == 0)
4185               {
4186               expand_string_message = US"first argument of \"extract\" must "
4187                 "not be empty";
4188               goto EXPAND_FAILED;
4189               }
4190
4191             if (*p == '-')
4192               {
4193               field_number = -1;
4194               p++;
4195               }
4196             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
4197             if (*p == 0)
4198               {
4199               field_number *= x;
4200               j = 3;               /* Need 3 args */
4201               field_number_set = TRUE;
4202               }
4203             }
4204           }
4205         else goto EXPAND_FAILED_CURLY;
4206         }
4207
4208       /* Extract either the numbered or the keyed substring into $value. If
4209       skipping, just pretend the extraction failed. */
4210
4211       lookup_value = skipping? NULL : field_number_set?
4212         expand_gettokened(field_number, sub[1], sub[2]) :
4213         expand_getkeyed(sub[0], sub[1]);
4214
4215       /* If no string follows, $value gets substituted; otherwise there can
4216       be yes/no strings, as for lookup or if. */
4217
4218       switch(process_yesno(
4219                skipping,                     /* were previously skipping */
4220                lookup_value != NULL,         /* success/failure indicator */
4221                save_lookup_value,            /* value to reset for string2 */
4222                &s,                           /* input pointer */
4223                &yield,                       /* output pointer */
4224                &size,                        /* output size */
4225                &ptr,                         /* output current point */
4226                US"extract"))                 /* condition type */
4227         {
4228         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4229         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4230         }
4231
4232       /* All done - restore numerical variables. */
4233
4234       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4235         save_expand_nlength);
4236
4237       continue;
4238       }
4239
4240
4241     /* If ${dlfunc support is configured, handle calling dynamically-loaded
4242     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
4243     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
4244     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
4245
4246     #define EXPAND_DLFUNC_MAX_ARGS 8
4247
4248     case EITEM_DLFUNC:
4249     #ifndef EXPAND_DLFUNC
4250     expand_string_message = US"\"${dlfunc\" encountered, but this facility "
4251       "is not included in this binary";
4252     goto EXPAND_FAILED;
4253
4254     #else   /* EXPAND_DLFUNC */
4255       {
4256       tree_node *t;
4257       exim_dlfunc_t *func;
4258       uschar *result;
4259       int status, argc;
4260       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
4261
4262       if ((expand_forbid & RDO_DLFUNC) != 0)
4263         {
4264         expand_string_message =
4265           US"dynamically-loaded functions are not permitted";
4266         goto EXPAND_FAILED;
4267         }
4268
4269       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
4270            TRUE, US"dlfunc"))
4271         {
4272         case 1: goto EXPAND_FAILED_CURLY;
4273         case 2:
4274         case 3: goto EXPAND_FAILED;
4275         }
4276
4277       /* If skipping, we don't actually do anything */
4278
4279       if (skipping) continue;
4280
4281       /* Look up the dynamically loaded object handle in the tree. If it isn't
4282       found, dlopen() the file and put the handle in the tree for next time. */
4283
4284       t = tree_search(dlobj_anchor, argv[0]);
4285       if (t == NULL)
4286         {
4287         void *handle = dlopen(CS argv[0], RTLD_LAZY);
4288         if (handle == NULL)
4289           {
4290           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
4291             argv[0], dlerror());
4292           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4293           goto EXPAND_FAILED;
4294           }
4295         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
4296         Ustrcpy(t->name, argv[0]);
4297         t->data.ptr = handle;
4298         (void)tree_insertnode(&dlobj_anchor, t);
4299         }
4300
4301       /* Having obtained the dynamically loaded object handle, look up the
4302       function pointer. */
4303
4304       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
4305       if (func == NULL)
4306         {
4307         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
4308           "%s", argv[1], argv[0], dlerror());
4309         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4310         goto EXPAND_FAILED;
4311         }
4312
4313       /* Call the function and work out what to do with the result. If it
4314       returns OK, we have a replacement string; if it returns DEFER then
4315       expansion has failed in a non-forced manner; if it returns FAIL then
4316       failure was forced; if it returns ERROR or any other value there's a
4317       problem, so panic slightly. */
4318
4319       result = NULL;
4320       for (argc = 0; argv[argc] != NULL; argc++);
4321       status = func(&result, argc - 2, &argv[2]);
4322       if(status == OK)
4323         {
4324         if (result == NULL) result = US"";
4325         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
4326         continue;
4327         }
4328       else
4329         {
4330         expand_string_message = result == NULL ? US"(no message)" : result;
4331         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
4332           else if(status != FAIL)
4333             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
4334               argv[0], argv[1], status, expand_string_message);
4335         goto EXPAND_FAILED;
4336         }
4337       }
4338     #endif /* EXPAND_DLFUNC */
4339     }
4340
4341   /* Control reaches here if the name is not recognized as one of the more
4342   complicated expansion items. Check for the "operator" syntax (name terminated
4343   by a colon). Some of the operators have arguments, separated by _ from the
4344   name. */
4345
4346   if (*s == ':')
4347     {
4348     int c;
4349     uschar *arg = NULL;
4350     uschar *sub = expand_string_internal(s+1, TRUE, &s, skipping);
4351     if (sub == NULL) goto EXPAND_FAILED;
4352     s++;
4353
4354     /* Owing to an historical mis-design, an underscore may be part of the
4355     operator name, or it may introduce arguments.  We therefore first scan the
4356     table of names that contain underscores. If there is no match, we cut off
4357     the arguments and then scan the main table. */
4358
4359     c = chop_match(name, op_table_underscore,
4360       sizeof(op_table_underscore)/sizeof(uschar *));
4361
4362     if (c < 0)
4363       {
4364       arg = Ustrchr(name, '_');
4365       if (arg != NULL) *arg = 0;
4366       c = chop_match(name, op_table_main,
4367         sizeof(op_table_main)/sizeof(uschar *));
4368       if (c >= 0) c += sizeof(op_table_underscore)/sizeof(uschar *);
4369       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
4370       }
4371
4372     /* If we are skipping, we don't need to perform the operation at all.
4373     This matters for operations like "mask", because the data may not be
4374     in the correct format when skipping. For example, the expression may test
4375     for the existence of $sender_host_address before trying to mask it. For
4376     other operations, doing them may not fail, but it is a waste of time. */
4377
4378     if (skipping && c >= 0) continue;
4379
4380     /* Otherwise, switch on the operator type */
4381
4382     switch(c)
4383       {
4384       case EOP_BASE62:
4385         {
4386         uschar *t;
4387         unsigned long int n = Ustrtoul(sub, &t, 10);
4388         if (*t != 0)
4389           {
4390           expand_string_message = string_sprintf("argument for base62 "
4391             "operator is \"%s\", which is not a decimal number", sub);
4392           goto EXPAND_FAILED;
4393           }
4394         t = string_base62(n);
4395         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4396         continue;
4397         }
4398
4399       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
4400
4401       case EOP_BASE62D:
4402         {
4403         uschar buf[16];
4404         uschar *tt = sub;
4405         unsigned long int n = 0;
4406         while (*tt != 0)
4407           {
4408           uschar *t = Ustrchr(base62_chars, *tt++);
4409           if (t == NULL)
4410             {
4411             expand_string_message = string_sprintf("argument for base62d "
4412               "operator is \"%s\", which is not a base %d number", sub,
4413               BASE_62);
4414             goto EXPAND_FAILED;
4415             }
4416           n = n * BASE_62 + (t - base62_chars);
4417           }
4418         (void)sprintf(CS buf, "%ld", n);
4419         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
4420         continue;
4421         }
4422
4423       case EOP_EXPAND:
4424         {
4425         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping);
4426         if (expanded == NULL)
4427           {
4428           expand_string_message =
4429             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
4430               expand_string_message);
4431           goto EXPAND_FAILED;
4432           }
4433         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
4434         continue;
4435         }
4436
4437       case EOP_LC:
4438         {
4439         int count = 0;
4440         uschar *t = sub - 1;
4441         while (*(++t) != 0) { *t = tolower(*t); count++; }
4442         yield = string_cat(yield, &size, &ptr, sub, count);
4443         continue;
4444         }
4445
4446       case EOP_UC:
4447         {
4448         int count = 0;
4449         uschar *t = sub - 1;
4450         while (*(++t) != 0) { *t = toupper(*t); count++; }
4451         yield = string_cat(yield, &size, &ptr, sub, count);
4452         continue;
4453         }
4454
4455       case EOP_MD5:
4456         {
4457         md5 base;
4458         uschar digest[16];
4459         int j;
4460         char st[33];
4461         md5_start(&base);
4462         md5_end(&base, sub, Ustrlen(sub), digest);
4463         for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
4464         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
4465         continue;
4466         }
4467
4468       case EOP_SHA1:
4469         {
4470         sha1 base;
4471         uschar digest[20];
4472         int j;
4473         char st[41];
4474         sha1_start(&base);
4475         sha1_end(&base, sub, Ustrlen(sub), digest);
4476         for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
4477         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
4478         continue;
4479         }
4480
4481       /* Convert hex encoding to base64 encoding */
4482
4483       case EOP_HEX2B64:
4484         {
4485         int c = 0;
4486         int b = -1;
4487         uschar *in = sub;
4488         uschar *out = sub;
4489         uschar *enc;
4490
4491         for (enc = sub; *enc != 0; enc++)
4492           {
4493           if (!isxdigit(*enc))
4494             {
4495             expand_string_message = string_sprintf("\"%s\" is not a hex "
4496               "string", sub);
4497             goto EXPAND_FAILED;
4498             }
4499           c++;
4500           }
4501
4502         if ((c & 1) != 0)
4503           {
4504           expand_string_message = string_sprintf("\"%s\" contains an odd "
4505             "number of characters", sub);
4506           goto EXPAND_FAILED;
4507           }
4508
4509         while ((c = *in++) != 0)
4510           {
4511           if (isdigit(c)) c -= '0';
4512           else c = toupper(c) - 'A' + 10;
4513           if (b == -1)
4514             {
4515             b = c << 4;
4516             }
4517           else
4518             {
4519             *out++ = b | c;
4520             b = -1;
4521             }
4522           }
4523
4524         enc = auth_b64encode(sub, out - sub);
4525         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
4526         continue;
4527         }
4528
4529       /* mask applies a mask to an IP address; for example the result of
4530       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
4531
4532       case EOP_MASK:
4533         {
4534         int count;
4535         uschar *endptr;
4536         int binary[4];
4537         int mask, maskoffset;
4538         int type = string_is_ip_address(sub, &maskoffset);
4539         uschar buffer[64];
4540
4541         if (type == 0)
4542           {
4543           expand_string_message = string_sprintf("\"%s\" is not an IP address",
4544            sub);
4545           goto EXPAND_FAILED;
4546           }
4547
4548         if (maskoffset == 0)
4549           {
4550           expand_string_message = string_sprintf("missing mask value in \"%s\"",
4551             sub);
4552           goto EXPAND_FAILED;
4553           }
4554
4555         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
4556
4557         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
4558           {
4559           expand_string_message = string_sprintf("mask value too big in \"%s\"",
4560             sub);
4561           goto EXPAND_FAILED;
4562           }
4563
4564         /* Convert the address to binary integer(s) and apply the mask */
4565
4566         sub[maskoffset] = 0;
4567         count = host_aton(sub, binary);
4568         host_mask(count, binary, mask);
4569
4570         /* Convert to masked textual format and add to output. */
4571
4572         yield = string_cat(yield, &size, &ptr, buffer,
4573           host_nmtoa(count, binary, mask, buffer, '.'));
4574         continue;
4575         }
4576
4577       case EOP_ADDRESS:
4578       case EOP_LOCAL_PART:
4579       case EOP_DOMAIN:
4580         {
4581         uschar *error;
4582         int start, end, domain;
4583         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
4584           FALSE);
4585         if (t != NULL)
4586           {
4587           if (c != EOP_DOMAIN)
4588             {
4589             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
4590             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
4591             }
4592           else if (domain != 0)
4593             {
4594             domain += start;
4595             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
4596             }
4597           }
4598         continue;
4599         }
4600
4601       /* quote puts a string in quotes if it is empty or contains anything
4602       other than alphamerics, underscore, dot, or hyphen.
4603
4604       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
4605       be quoted in order to be a valid local part.
4606
4607       In both cases, newlines and carriage returns are converted into \n and \r
4608       respectively */
4609
4610       case EOP_QUOTE:
4611       case EOP_QUOTE_LOCAL_PART:
4612       if (arg == NULL)
4613         {
4614         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
4615         uschar *t = sub - 1;
4616
4617         if (c == EOP_QUOTE)
4618           {
4619           while (!needs_quote && *(++t) != 0)
4620             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
4621           }
4622         else  /* EOP_QUOTE_LOCAL_PART */
4623           {
4624           while (!needs_quote && *(++t) != 0)
4625             needs_quote = !isalnum(*t) &&
4626               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
4627               (*t != '.' || t == sub || t[1] == 0);
4628           }
4629
4630         if (needs_quote)
4631           {
4632           yield = string_cat(yield, &size, &ptr, US"\"", 1);
4633           t = sub - 1;
4634           while (*(++t) != 0)
4635             {
4636             if (*t == '\n')
4637               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
4638             else if (*t == '\r')
4639               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
4640             else
4641               {
4642               if (*t == '\\' || *t == '"')
4643                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
4644               yield = string_cat(yield, &size, &ptr, t, 1);
4645               }
4646             }
4647           yield = string_cat(yield, &size, &ptr, US"\"", 1);
4648           }
4649         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
4650         continue;
4651         }
4652
4653       /* quote_lookuptype does lookup-specific quoting */
4654
4655       else
4656         {
4657         int n;
4658         uschar *opt = Ustrchr(arg, '_');
4659
4660         if (opt != NULL) *opt++ = 0;
4661
4662         n = search_findtype(arg, Ustrlen(arg));
4663         if (n < 0)
4664           {
4665           expand_string_message = search_error_message;
4666           goto EXPAND_FAILED;
4667           }
4668
4669         if (lookup_list[n].quote != NULL)
4670           sub = (lookup_list[n].quote)(sub, opt);
4671         else if (opt != NULL) sub = NULL;
4672
4673         if (sub == NULL)
4674           {
4675           expand_string_message = string_sprintf(
4676             "\"%s\" unrecognized after \"${quote_%s\"",
4677             opt, arg);
4678           goto EXPAND_FAILED;
4679           }
4680
4681         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
4682         continue;
4683         }
4684
4685       /* rx quote sticks in \ before any non-alphameric character so that
4686       the insertion works in a regular expression. */
4687
4688       case EOP_RXQUOTE:
4689         {
4690         uschar *t = sub - 1;
4691         while (*(++t) != 0)
4692           {
4693           if (!isalnum(*t))
4694             yield = string_cat(yield, &size, &ptr, US"\\", 1);
4695           yield = string_cat(yield, &size, &ptr, t, 1);
4696           }
4697         continue;
4698         }
4699
4700       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
4701       prescribed by the RFC, if there are characters that need to be encoded */
4702
4703       case EOP_RFC2047:
4704         {
4705         uschar buffer[2048];
4706         uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
4707           buffer, sizeof(buffer));
4708         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
4709         continue;
4710         }
4711
4712       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
4713       underscores */
4714
4715       case EOP_FROM_UTF8:
4716         {
4717         while (*sub != 0)
4718           {
4719           int c;
4720           uschar buff[4];
4721           GETUTF8INC(c, sub);
4722           if (c > 255) c = '_';
4723           buff[0] = c;
4724           yield = string_cat(yield, &size, &ptr, buff, 1);
4725           }
4726         continue;
4727         }
4728
4729       /* escape turns all non-printing characters into escape sequences. */
4730
4731       case EOP_ESCAPE:
4732         {
4733         uschar *t = string_printing(sub);
4734         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4735         continue;
4736         }
4737
4738       /* Handle numeric expression evaluation */
4739
4740       case EOP_EVAL:
4741       case EOP_EVAL10:
4742         {
4743         uschar *save_sub = sub;
4744         uschar *error = NULL;
4745         int n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
4746         if (error != NULL)
4747           {
4748           expand_string_message = string_sprintf("error in expression "
4749             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
4750               save_sub);
4751           goto EXPAND_FAILED;
4752           }
4753         sprintf(CS var_buffer, "%d", n);
4754         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
4755         continue;
4756         }
4757
4758       /* Handle time period formating */
4759
4760       case EOP_TIME_INTERVAL:
4761         {
4762         int n;
4763         uschar *t = read_number(&n, sub);
4764         if (*t != 0) /* Not A Number*/
4765           {
4766           expand_string_message = string_sprintf("string \"%s\" is not a "
4767             "positive number in \"%s\" operator", sub, name);
4768           goto EXPAND_FAILED;
4769           }
4770         t = readconf_printtime(n);
4771         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4772         continue;
4773         }
4774
4775       /* Convert string to base64 encoding */
4776
4777       case EOP_STR2B64:
4778         {
4779         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
4780         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
4781         continue;
4782         }
4783
4784       /* strlen returns the length of the string */
4785
4786       case EOP_STRLEN:
4787         {
4788         uschar buff[24];
4789         (void)sprintf(CS buff, "%d", Ustrlen(sub));
4790         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
4791         continue;
4792         }
4793
4794       /* length_n or l_n takes just the first n characters or the whole string,
4795       whichever is the shorter;
4796
4797       substr_m_n, and s_m_n take n characters from offset m; negative m take
4798       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
4799       takes the rest, either to the right or to the left.
4800
4801       hash_n or h_n makes a hash of length n from the string, yielding n
4802       characters from the set a-z; hash_n_m makes a hash of length n, but
4803       uses m characters from the set a-zA-Z0-9.
4804
4805       nhash_n returns a single number between 0 and n-1 (in text form), while
4806       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
4807       between 0 and n-1 and the second between 0 and m-1. */
4808
4809       case EOP_LENGTH:
4810       case EOP_L:
4811       case EOP_SUBSTR:
4812       case EOP_S:
4813       case EOP_HASH:
4814       case EOP_H:
4815       case EOP_NHASH:
4816       case EOP_NH:
4817         {
4818         int sign = 1;
4819         int value1 = 0;
4820         int value2 = -1;
4821         int *pn;
4822         int len;
4823         uschar *ret;
4824
4825         if (arg == NULL)
4826           {
4827           expand_string_message = string_sprintf("missing values after %s",
4828             name);
4829           goto EXPAND_FAILED;
4830           }
4831
4832         /* "length" has only one argument, effectively being synonymous with
4833         substr_0_n. */
4834
4835         if (c == EOP_LENGTH || c == EOP_L)
4836           {
4837           pn = &value2;
4838           value2 = 0;
4839           }
4840
4841         /* The others have one or two arguments; for "substr" the first may be
4842         negative. The second being negative means "not supplied". */
4843
4844         else
4845           {
4846           pn = &value1;
4847           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
4848           }
4849
4850         /* Read up to two numbers, separated by underscores */
4851
4852         ret = arg;
4853         while (*arg != 0)
4854           {
4855           if (arg != ret && *arg == '_' && pn == &value1)
4856             {
4857             pn = &value2;
4858             value2 = 0;
4859             if (arg[1] != 0) arg++;
4860             }
4861           else if (!isdigit(*arg))
4862             {
4863             expand_string_message =
4864               string_sprintf("non-digit after underscore in \"%s\"", name);
4865             goto EXPAND_FAILED;
4866             }
4867           else *pn = (*pn)*10 + *arg++ - '0';
4868           }
4869         value1 *= sign;
4870
4871         /* Perform the required operation */
4872
4873         ret =
4874           (c == EOP_HASH || c == EOP_H)?
4875              compute_hash(sub, value1, value2, &len) :
4876           (c == EOP_NHASH || c == EOP_NH)?
4877              compute_nhash(sub, value1, value2, &len) :
4878              extract_substr(sub, value1, value2, &len);
4879
4880         if (ret == NULL) goto EXPAND_FAILED;
4881         yield = string_cat(yield, &size, &ptr, ret, len);
4882         continue;
4883         }
4884
4885       /* Stat a path */
4886
4887       case EOP_STAT:
4888         {
4889         uschar *s;
4890         uschar smode[12];
4891         uschar **modetable[3];
4892         int i;
4893         mode_t mode;
4894         struct stat st;
4895
4896         if ((expand_forbid & RDO_EXISTS) != 0)
4897           {
4898           expand_string_message = US"Use of the stat() expansion is not permitted";
4899           goto EXPAND_FAILED;
4900           }
4901
4902         if (stat(CS sub, &st) < 0)
4903           {
4904           expand_string_message = string_sprintf("stat(%s) failed: %s",
4905             sub, strerror(errno));
4906           goto EXPAND_FAILED;
4907           }
4908         mode = st.st_mode;
4909         switch (mode & S_IFMT)
4910           {
4911           case S_IFIFO: smode[0] = 'p'; break;
4912           case S_IFCHR: smode[0] = 'c'; break;
4913           case S_IFDIR: smode[0] = 'd'; break;
4914           case S_IFBLK: smode[0] = 'b'; break;
4915           case S_IFREG: smode[0] = '-'; break;
4916           default: smode[0] = '?'; break;
4917           }
4918
4919         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
4920         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
4921         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
4922
4923         for (i = 0; i < 3; i++)
4924           {
4925           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
4926           mode >>= 3;
4927           }
4928
4929         smode[10] = 0;
4930         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
4931           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
4932           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
4933           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
4934           (long)st.st_gid, st.st_size, (long)st.st_atime,
4935           (long)st.st_mtime, (long)st.st_ctime);
4936         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
4937         continue;
4938         }
4939
4940       /* Unknown operator */
4941
4942       default:
4943       expand_string_message =
4944         string_sprintf("unknown expansion operator \"%s\"", name);
4945       goto EXPAND_FAILED;
4946       }
4947     }
4948
4949   /* Handle a plain name. If this is the first thing in the expansion, release
4950   the pre-allocated buffer. If the result data is known to be in a new buffer,
4951   newsize will be set to the size of that buffer, and we can just point at that
4952   store instead of copying. Many expansion strings contain just one reference,
4953   so this is a useful optimization, especially for humungous headers
4954   ($message_headers). */
4955
4956   if (*s++ == '}')
4957     {
4958     int len;
4959     int newsize = 0;
4960     if (ptr == 0)
4961       {
4962       store_reset(yield);
4963       yield = NULL;
4964       size = 0;
4965       }
4966     value = find_variable(name, FALSE, skipping, &newsize);
4967     if (value == NULL)
4968       {
4969       expand_string_message =
4970         string_sprintf("unknown variable in \"${%s}\"", name);
4971       goto EXPAND_FAILED;
4972       }
4973     len = Ustrlen(value);
4974     if (yield == NULL && newsize != 0)
4975       {
4976       yield = value;
4977       size = newsize;
4978       ptr = len;
4979       }
4980     else yield = string_cat(yield, &size, &ptr, value, len);
4981     continue;
4982     }
4983
4984   /* Else there's something wrong */
4985
4986   expand_string_message =
4987     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
4988     "in a variable reference)", name);
4989   goto EXPAND_FAILED;
4990   }
4991
4992 /* If we hit the end of the string when ket_ends is set, there is a missing
4993 terminating brace. */
4994
4995 if (ket_ends && *s == 0)
4996   {
4997   expand_string_message = malformed_header?
4998     US"missing } at end of string - could be header name not terminated by colon"
4999     :
5000     US"missing } at end of string";
5001   goto EXPAND_FAILED;
5002   }
5003
5004 /* Expansion succeeded; yield may still be NULL here if nothing was actually
5005 added to the string. If so, set up an empty string. Add a terminating zero. If
5006 left != NULL, return a pointer to the terminator. */
5007
5008 if (yield == NULL) yield = store_get(1);
5009 yield[ptr] = 0;
5010 if (left != NULL) *left = s;
5011
5012 /* Any stacking store that was used above the final string is no longer needed.
5013 In many cases the final string will be the first one that was got and so there
5014 will be optimal store usage. */
5015
5016 store_reset(yield + ptr + 1);
5017 DEBUG(D_expand)
5018   {
5019   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
5020     yield);
5021   if (skipping) debug_printf("skipping: result is not used\n");
5022   }
5023 return yield;
5024
5025 /* This is the failure exit: easiest to program with a goto. We still need
5026 to update the pointer to the terminator, for cases of nested calls with "fail".
5027 */
5028
5029 EXPAND_FAILED_CURLY:
5030 expand_string_message = malformed_header?
5031   US"missing or misplaced { or } - could be header name not terminated by colon"
5032   :
5033   US"missing or misplaced { or }";
5034
5035 /* At one point, Exim reset the store to yield (if yield was not NULL), but
5036 that is a bad idea, because expand_string_message is in dynamic store. */
5037
5038 EXPAND_FAILED:
5039 if (left != NULL) *left = s;
5040 DEBUG(D_expand)
5041   {
5042   debug_printf("failed to expand: %s\n", string);
5043   debug_printf("   error message: %s\n", expand_string_message);
5044   if (expand_string_forcedfail) debug_printf("failure was forced\n");
5045   }
5046 return NULL;
5047 }
5048
5049
5050 /* This is the external function call. Do a quick check for any expansion
5051 metacharacters, and if there are none, just return the input string.
5052
5053 Argument: the string to be expanded
5054 Returns:  the expanded string, or NULL if expansion failed; if failure was
5055           due to a lookup deferring, search_find_defer will be TRUE
5056 */
5057
5058 uschar *
5059 expand_string(uschar *string)
5060 {
5061 search_find_defer = FALSE;
5062 malformed_header = FALSE;
5063 return (Ustrpbrk(string, "$\\") == NULL)? string :
5064   expand_string_internal(string, FALSE, NULL, FALSE);
5065 }
5066
5067
5068
5069 /*************************************************
5070 *              Expand and copy                   *
5071 *************************************************/
5072
5073 /* Now and again we want to expand a string and be sure that the result is in a
5074 new bit of store. This function does that.
5075
5076 Argument: the string to be expanded
5077 Returns:  the expanded string, always in a new bit of store, or NULL
5078 */
5079
5080 uschar *
5081 expand_string_copy(uschar *string)
5082 {
5083 uschar *yield = expand_string(string);
5084 if (yield == string) yield = string_copy(string);
5085 return yield;
5086 }
5087
5088
5089
5090 /*************************************************
5091 *        Expand and interpret as an integer      *
5092 *************************************************/
5093
5094 /* Expand a string, and convert the result into an integer.
5095
5096 Argument: the string to be expanded
5097
5098 Returns:  the integer value, or
5099           -1 for an expansion error               ) in both cases, message in
5100           -2 for an integer interpretation error  ) expand_string_message
5101
5102 */
5103
5104 int
5105 expand_string_integer(uschar *string)
5106 {
5107 long int value;
5108 uschar *s = expand_string(string);
5109 uschar *msg = US"invalid integer \"%s\"";
5110 uschar *endptr;
5111
5112 if (s == NULL) return -1;
5113
5114 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
5115 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
5116 systems, so we set it zero ourselves. */
5117
5118 errno = 0;
5119 value = strtol(CS s, CSS &endptr, 0);
5120
5121 if (endptr == s)
5122   {
5123   msg = US"integer expected but \"%s\" found";
5124   }
5125 else
5126   {
5127   /* Ensure we can cast this down to an int */
5128   if (value > INT_MAX  || value < INT_MIN) errno = ERANGE;
5129
5130   if (errno != ERANGE)
5131     {
5132     if (tolower(*endptr) == 'k')
5133       {
5134       if (value > INT_MAX/1024 || value < INT_MIN/1024) errno = ERANGE;
5135         else value *= 1024;
5136       endptr++;
5137       }
5138     else if (tolower(*endptr) == 'm')
5139       {
5140       if (value > INT_MAX/(1024*1024) || value < INT_MIN/(1024*1024))
5141         errno = ERANGE;
5142       else value *= 1024*1024;
5143       endptr++;
5144       }
5145     }
5146   if (errno == ERANGE)
5147     msg = US"absolute value of integer \"%s\" is too large (overflow)";
5148   else
5149     {
5150     while (isspace(*endptr)) endptr++;
5151     if (*endptr == 0) return (int)value;
5152     }
5153   }
5154
5155 expand_string_message = string_sprintf(CS msg, s);
5156 return -2;
5157 }
5158
5159
5160 /*************************************************
5161 **************************************************
5162 *             Stand-alone test program           *
5163 **************************************************
5164 *************************************************/
5165
5166 #ifdef STAND_ALONE
5167
5168
5169 BOOL
5170 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
5171 {
5172 int ovector[3*(EXPAND_MAXN+1)];
5173 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
5174   ovector, sizeof(ovector)/sizeof(int));
5175 BOOL yield = n >= 0;
5176 if (n == 0) n = EXPAND_MAXN + 1;
5177 if (yield)
5178   {
5179   int nn;
5180   expand_nmax = (setup < 0)? 0 : setup + 1;
5181   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
5182     {
5183     expand_nstring[expand_nmax] = subject + ovector[nn];
5184     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5185     }
5186   expand_nmax--;
5187   }
5188 return yield;
5189 }
5190
5191
5192 int main(int argc, uschar **argv)
5193 {
5194 int i;
5195 uschar buffer[1024];
5196
5197 debug_selector = D_v;
5198 debug_file = stderr;
5199 debug_fd = fileno(debug_file);
5200 big_buffer = malloc(big_buffer_size);
5201
5202 for (i = 1; i < argc; i++)
5203   {
5204   if (argv[i][0] == '+')
5205     {
5206     debug_trace_memory = 2;
5207     argv[i]++;
5208     }
5209   if (isdigit(argv[i][0]))
5210     debug_selector = Ustrtol(argv[i], NULL, 0);
5211   else
5212     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
5213         Ustrlen(argv[i]))
5214       {
5215       #ifdef LOOKUP_LDAP
5216       eldap_default_servers = argv[i];
5217       #endif
5218       #ifdef LOOKUP_MYSQL
5219       mysql_servers = argv[i];
5220       #endif
5221       #ifdef LOOKUP_PGSQL
5222       pgsql_servers = argv[i];
5223       #endif
5224       }
5225   #ifdef EXIM_PERL
5226   else opt_perl_startup = argv[i];
5227   #endif
5228   }
5229
5230 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
5231
5232 expand_nstring[1] = US"string 1....";
5233 expand_nlength[1] = 8;
5234 expand_nmax = 1;
5235
5236 #ifdef EXIM_PERL
5237 if (opt_perl_startup != NULL)
5238   {
5239   uschar *errstr;
5240   printf("Starting Perl interpreter\n");
5241   errstr = init_perl(opt_perl_startup);
5242   if (errstr != NULL)
5243     {
5244     printf("** error in perl_startup code: %s\n", errstr);
5245     return EXIT_FAILURE;
5246     }
5247   }
5248 #endif /* EXIM_PERL */
5249
5250 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
5251   {
5252   void *reset_point = store_get(0);
5253   uschar *yield = expand_string(buffer);
5254   if (yield != NULL)
5255     {
5256     printf("%s\n", yield);
5257     store_reset(reset_point);
5258     }
5259   else
5260     {
5261     if (search_find_defer) printf("search_find deferred\n");
5262     printf("Failed: %s\n", expand_string_message);
5263     if (expand_string_forcedfail) printf("Forced failure\n");
5264     printf("\n");
5265     }
5266   }
5267
5268 search_tidyup();
5269
5270 return 0;
5271 }
5272
5273 #endif
5274
5275 /* End of expand.c */