f9e319c790f5791154b22db04e5609d28263f3fa
[exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* Copyright (c) The Exim Maintainers 2020 - 2021 */
7 /* See the file NOTICE for conditions of use and distribution. */
8
9 #include "../exim.h"
10 #include "smtp.h"
11
12 #if defined(SUPPORT_DANE) && defined(DISABLE_TLS)
13 # error TLS is required for DANE
14 #endif
15
16
17 /* Options specific to the smtp transport. This transport also supports LMTP
18 over TCP/IP. The options must be in alphabetic order (note that "_" comes
19 before the lower case letters). Some live in the transport_instance block so as
20 to be publicly visible; these are flagged with opt_public. */
21
22 #define LOFF(field) OPT_OFF(smtp_transport_options_block, field)
23
24 optionlist smtp_transport_options[] = {
25   { "*expand_multi_domain",             opt_stringptr | opt_hidden | opt_public,
26       OPT_OFF(transport_instance, expand_multi_domain) },
27   { "*expand_retry_include_ip_address", opt_stringptr | opt_hidden,
28       LOFF(expand_retry_include_ip_address) },
29
30   { "address_retry_include_sender", opt_bool,
31       LOFF(address_retry_include_sender) },
32   { "allow_localhost",      opt_bool,      LOFF(allow_localhost) },
33 #ifdef EXPERIMENTAL_ARC
34   { "arc_sign", opt_stringptr,             LOFF(arc_sign) },
35 #endif
36   { "authenticated_sender", opt_stringptr, LOFF(authenticated_sender) },
37   { "authenticated_sender_force", opt_bool, LOFF(authenticated_sender_force) },
38   { "command_timeout",      opt_time,      LOFF(command_timeout) },
39   { "connect_timeout",      opt_time,      LOFF(connect_timeout) },
40   { "connection_max_messages", opt_int | opt_public,
41       OPT_OFF(transport_instance, connection_max_messages) },
42 # ifdef SUPPORT_DANE
43   { "dane_require_tls_ciphers", opt_stringptr, LOFF(dane_require_tls_ciphers) },
44 # endif
45   { "data_timeout",         opt_time,      LOFF(data_timeout) },
46   { "delay_after_cutoff",   opt_bool,      LOFF(delay_after_cutoff) },
47 #ifndef DISABLE_DKIM
48   { "dkim_canon", opt_stringptr,           LOFF(dkim.dkim_canon) },
49   { "dkim_domain", opt_stringptr,          LOFF(dkim.dkim_domain) },
50   { "dkim_hash", opt_stringptr,            LOFF(dkim.dkim_hash) },
51   { "dkim_identity", opt_stringptr,        LOFF(dkim.dkim_identity) },
52   { "dkim_private_key", opt_stringptr,     LOFF(dkim.dkim_private_key) },
53   { "dkim_selector", opt_stringptr,        LOFF(dkim.dkim_selector) },
54   { "dkim_sign_headers", opt_stringptr,    LOFF(dkim.dkim_sign_headers) },
55   { "dkim_strict", opt_stringptr,          LOFF(dkim.dkim_strict) },
56   { "dkim_timestamps", opt_stringptr,      LOFF(dkim.dkim_timestamps) },
57 #endif
58   { "dns_qualify_single",   opt_bool,      LOFF(dns_qualify_single) },
59   { "dns_search_parents",   opt_bool,      LOFF(dns_search_parents) },
60   { "dnssec_request_domains", opt_stringptr, LOFF(dnssec.request) },
61   { "dnssec_require_domains", opt_stringptr, LOFF(dnssec.require) },
62   { "dscp",                 opt_stringptr, LOFF(dscp) },
63   { "fallback_hosts",       opt_stringptr, LOFF(fallback_hosts) },
64   { "final_timeout",        opt_time,      LOFF(final_timeout) },
65   { "gethostbyname",        opt_bool,      LOFF(gethostbyname) },
66   { "helo_data",            opt_stringptr, LOFF(helo_data) },
67   { "hosts",                opt_stringptr, LOFF(hosts) },
68   { "hosts_avoid_esmtp",    opt_stringptr, LOFF(hosts_avoid_esmtp) },
69   { "hosts_avoid_pipelining", opt_stringptr, LOFF(hosts_avoid_pipelining) },
70 #ifndef DISABLE_TLS
71   { "hosts_avoid_tls",      opt_stringptr, LOFF(hosts_avoid_tls) },
72 #endif
73   { "hosts_max_try",        opt_int,       LOFF(hosts_max_try) },
74   { "hosts_max_try_hardlimit", opt_int,    LOFF(hosts_max_try_hardlimit) },
75 #ifndef DISABLE_TLS
76   { "hosts_nopass_tls",     opt_stringptr, LOFF(hosts_nopass_tls) },
77   { "hosts_noproxy_tls",    opt_stringptr, LOFF(hosts_noproxy_tls) },
78 #endif
79   { "hosts_override",       opt_bool,      LOFF(hosts_override) },
80 #ifndef DISABLE_PIPE_CONNECT
81   { "hosts_pipe_connect",   opt_stringptr, LOFF(hosts_pipe_connect) },
82 #endif
83   { "hosts_randomize",      opt_bool,      LOFF(hosts_randomize) },
84 #if !defined(DISABLE_TLS) && !defined(DISABLE_OCSP)
85   { "hosts_request_ocsp",   opt_stringptr, LOFF(hosts_request_ocsp) },
86 #endif
87   { "hosts_require_alpn",   opt_stringptr, LOFF(hosts_require_alpn) },
88   { "hosts_require_auth",   opt_stringptr, LOFF(hosts_require_auth) },
89 #ifndef DISABLE_TLS
90 # ifdef SUPPORT_DANE
91   { "hosts_require_dane",   opt_stringptr, LOFF(hosts_require_dane) },
92 # endif
93 # ifndef DISABLE_OCSP
94   { "hosts_require_ocsp",   opt_stringptr, LOFF(hosts_require_ocsp) },
95 # endif
96   { "hosts_require_tls",    opt_stringptr, LOFF(hosts_require_tls) },
97 #endif
98   { "hosts_try_auth",       opt_stringptr, LOFF(hosts_try_auth) },
99   { "hosts_try_chunking",   opt_stringptr, LOFF(hosts_try_chunking) },
100 #ifdef SUPPORT_DANE
101   { "hosts_try_dane",       opt_stringptr, LOFF(hosts_try_dane) },
102 #endif
103   { "hosts_try_fastopen",   opt_stringptr, LOFF(hosts_try_fastopen) },
104 #ifndef DISABLE_PRDR
105   { "hosts_try_prdr",       opt_stringptr, LOFF(hosts_try_prdr) },
106 #endif
107 #ifndef DISABLE_TLS
108   { "hosts_verify_avoid_tls", opt_stringptr, LOFF(hosts_verify_avoid_tls) },
109 #endif
110   { "interface",            opt_stringptr, LOFF(interface) },
111   { "keepalive",            opt_bool,      LOFF(keepalive) },
112   { "lmtp_ignore_quota",    opt_bool,      LOFF(lmtp_ignore_quota) },
113   { "max_rcpt",             opt_int | opt_public,
114       OPT_OFF(transport_instance, max_addresses) },
115   { "message_linelength_limit", opt_int,   LOFF(message_linelength_limit) },
116   { "multi_domain",         opt_expand_bool | opt_public,
117       OPT_OFF(transport_instance, multi_domain) },
118   { "port",                 opt_stringptr, LOFF(port) },
119   { "protocol",             opt_stringptr, LOFF(protocol) },
120   { "retry_include_ip_address", opt_expand_bool, LOFF(retry_include_ip_address) },
121   { "serialize_hosts",      opt_stringptr, LOFF(serialize_hosts) },
122   { "size_addition",        opt_int,       LOFF(size_addition) },
123 #ifdef SUPPORT_SOCKS
124   { "socks_proxy",          opt_stringptr, LOFF(socks_proxy) },
125 #endif
126 #ifndef DISABLE_TLS
127   { "tls_alpn",             opt_stringptr, LOFF(tls_alpn) },
128   { "tls_certificate",      opt_stringptr, LOFF(tls_certificate) },
129   { "tls_crl",              opt_stringptr, LOFF(tls_crl) },
130   { "tls_dh_min_bits",      opt_int,       LOFF(tls_dh_min_bits) },
131   { "tls_privatekey",       opt_stringptr, LOFF(tls_privatekey) },
132   { "tls_require_ciphers",  opt_stringptr, LOFF(tls_require_ciphers) },
133 # ifndef DISABLE_TLS_RESUME
134   { "tls_resumption_hosts", opt_stringptr, LOFF(tls_resumption_hosts) },
135 # endif
136   { "tls_sni",              opt_stringptr, LOFF(tls_sni) },
137   { "tls_tempfail_tryclear", opt_bool, LOFF(tls_tempfail_tryclear) },
138   { "tls_try_verify_hosts", opt_stringptr, LOFF(tls_try_verify_hosts) },
139   { "tls_verify_cert_hostnames", opt_stringptr, LOFF(tls_verify_cert_hostnames)},
140   { "tls_verify_certificates", opt_stringptr, LOFF(tls_verify_certificates) },
141   { "tls_verify_hosts",     opt_stringptr, LOFF(tls_verify_hosts) },
142 #endif
143 #ifdef SUPPORT_I18N
144   { "utf8_downconvert",     opt_stringptr, LOFF(utf8_downconvert) },
145 #endif
146 };
147
148 /* Size of the options list. An extern variable has to be used so that its
149 address can appear in the tables drtables.c. */
150
151 int smtp_transport_options_count = nelem(smtp_transport_options);
152
153
154 #ifdef MACRO_PREDEF
155
156 /* Dummy values */
157 smtp_transport_options_block smtp_transport_option_defaults = {0};
158 void smtp_transport_init(transport_instance *tblock) {}
159 BOOL smtp_transport_entry(transport_instance *tblock, address_item *addr) {return FALSE;}
160 void smtp_transport_closedown(transport_instance *tblock) {}
161
162 #else   /*!MACRO_PREDEF*/
163
164
165 /* Default private options block for the smtp transport. */
166
167 smtp_transport_options_block smtp_transport_option_defaults = {
168   /* All non-mentioned elements 0/NULL/FALSE */
169   .helo_data =                  US"$primary_hostname",
170   .protocol =                   US"smtp",
171   .hosts_try_chunking =         US"*",
172 #ifdef SUPPORT_DANE
173   .hosts_try_dane =             US"*",
174 #endif
175   .hosts_try_fastopen =         US"*",
176 #ifndef DISABLE_PRDR
177   .hosts_try_prdr =             US"*",
178 #endif
179 #ifndef DISABLE_OCSP
180   .hosts_request_ocsp =         US"*",               /* hosts_request_ocsp (except under DANE; tls_client_start()) */
181 #endif
182   .command_timeout =            5*60,
183   .connect_timeout =            5*60,
184   .data_timeout =               5*60,
185   .final_timeout =              10*60,
186   .size_addition =              1024,
187   .hosts_max_try =              5,
188   .hosts_max_try_hardlimit =    50,
189   .message_linelength_limit =   998,
190   .address_retry_include_sender = TRUE,
191   .dns_qualify_single =         TRUE,
192   .dnssec = { .request= US"*", .require=NULL },
193   .delay_after_cutoff =         TRUE,
194   .keepalive =                  TRUE,
195   .retry_include_ip_address =   TRUE,
196 #ifndef DISABLE_TLS
197   .tls_verify_certificates =    US"system",
198   .tls_dh_min_bits =            EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
199   .tls_tempfail_tryclear =      TRUE,
200   .tls_try_verify_hosts =       US"*",
201   .tls_verify_cert_hostnames =  US"*",
202 #endif
203 #ifdef SUPPORT_I18N
204   .utf8_downconvert =           US"-1",
205 #endif
206 #ifndef DISABLE_DKIM
207  .dkim =
208    { .dkim_hash =               US"sha256", },
209 #endif
210 };
211
212 /* some DSN flags for use later */
213
214 static int     rf_list[] = {rf_notify_never, rf_notify_success,
215                             rf_notify_failure, rf_notify_delay };
216
217 static uschar *rf_names[] = { US"NEVER", US"SUCCESS", US"FAILURE", US"DELAY" };
218
219
220
221 /* Local statics */
222
223 static uschar *smtp_command;            /* Points to last cmd for error messages */
224 static uschar *mail_command;            /* Points to MAIL cmd for error messages */
225 static uschar *data_command = US"";     /* Points to DATA cmd for error messages */
226 static BOOL    update_waiting;          /* TRUE to update the "wait" database */
227
228 /*XXX move to smtp_context */
229 static BOOL    pipelining_active;       /* current transaction is in pipe mode */
230
231
232 static unsigned ehlo_response(uschar * buf, unsigned checks);
233
234
235 /******************************************************************************/
236
237 void
238 smtp_deliver_init(void)
239 {
240 struct list
241   {
242   const pcre2_code **   re;
243   const uschar *        string;
244   } list[] =
245   {
246     { &regex_AUTH,              AUTHS_REGEX },
247     { &regex_CHUNKING,          US"\\n250[\\s\\-]CHUNKING(\\s|\\n|$)" },
248     { &regex_DSN,               US"\\n250[\\s\\-]DSN(\\s|\\n|$)" },
249     { &regex_IGNOREQUOTA,       US"\\n250[\\s\\-]IGNOREQUOTA(\\s|\\n|$)" },
250     { &regex_PIPELINING,        US"\\n250[\\s\\-]PIPELINING(\\s|\\n|$)" },
251     { &regex_SIZE,              US"\\n250[\\s\\-]SIZE(\\s|\\n|$)" },
252
253 #ifndef DISABLE_TLS
254     { &regex_STARTTLS,          US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)" },
255 #endif
256 #ifndef DISABLE_PRDR
257     { &regex_PRDR,              US"\\n250[\\s\\-]PRDR(\\s|\\n|$)" },
258 #endif
259 #ifdef SUPPORT_I18N
260     { &regex_UTF8,              US"\\n250[\\s\\-]SMTPUTF8(\\s|\\n|$)" },
261 #endif
262 #ifndef DISABLE_PIPE_CONNECT
263     { &regex_EARLY_PIPE,        US"\\n250[\\s\\-]" EARLY_PIPE_FEATURE_NAME "(\\s|\\n|$)" },
264 #endif
265 #ifdef EXPERIMENTAL_ESMTP_LIMITS
266     { &regex_LIMITS,            US"\\n250[\\s\\-]LIMITS\\s" },
267 #endif
268   };
269
270 for (struct list * l = list; l < list + nelem(list); l++)
271   if (!*l->re)
272     *l->re = regex_must_compile(l->string, FALSE, TRUE);
273 }
274
275
276 /*************************************************
277 *             Setup entry point                  *
278 *************************************************/
279
280 /* This function is called when the transport is about to be used,
281 but before running it in a sub-process. It is used for two things:
282
283   (1) To set the fallback host list in addresses, when delivering.
284   (2) To pass back the interface, port, protocol, and other options, for use
285       during callout verification.
286
287 Arguments:
288   tblock    pointer to the transport instance block
289   addrlist  list of addresses about to be transported
290   tf        if not NULL, pointer to block in which to return options
291   uid       the uid that will be set (not used)
292   gid       the gid that will be set (not used)
293   errmsg    place for error message (not used)
294
295 Returns:  OK always (FAIL, DEFER not used)
296 */
297
298 static int
299 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
300   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
301 {
302 smtp_transport_options_block *ob = SOB tblock->options_block;
303
304 /* Pass back options if required. This interface is getting very messy. */
305
306 if (tf)
307   {
308   tf->interface = ob->interface;
309   tf->port = ob->port;
310   tf->protocol = ob->protocol;
311   tf->hosts = ob->hosts;
312   tf->hosts_override = ob->hosts_override;
313   tf->hosts_randomize = ob->hosts_randomize;
314   tf->gethostbyname = ob->gethostbyname;
315   tf->qualify_single = ob->dns_qualify_single;
316   tf->search_parents = ob->dns_search_parents;
317   tf->helo_data = ob->helo_data;
318   }
319
320 /* Set the fallback host list for all the addresses that don't have fallback
321 host lists, provided that the local host wasn't present in the original host
322 list. */
323
324 if (!testflag(addrlist, af_local_host_removed))
325   for (; addrlist; addrlist = addrlist->next)
326     if (!addrlist->fallback_hosts) addrlist->fallback_hosts = ob->fallback_hostlist;
327
328 return OK;
329 }
330
331
332
333 /*************************************************
334 *          Initialization entry point            *
335 *************************************************/
336
337 /* Called for each instance, after its options have been read, to
338 enable consistency checks to be done, or anything else that needs
339 to be set up.
340
341 Argument:   pointer to the transport instance block
342 Returns:    nothing
343 */
344
345 void
346 smtp_transport_init(transport_instance *tblock)
347 {
348 smtp_transport_options_block *ob = SOB tblock->options_block;
349 int old_pool = store_pool;
350
351 /* Retry_use_local_part defaults FALSE if unset */
352
353 if (tblock->retry_use_local_part == TRUE_UNSET)
354   tblock->retry_use_local_part = FALSE;
355
356 /* Set the default port according to the protocol */
357
358 if (!ob->port)
359   ob->port = strcmpic(ob->protocol, US"lmtp") == 0
360   ? US"lmtp"
361   : strcmpic(ob->protocol, US"smtps") == 0
362   ? US"smtps" : US"smtp";
363
364 /* Set up the setup entry point, to be called before subprocesses for this
365 transport. */
366
367 tblock->setup = smtp_transport_setup;
368
369 /* Complain if any of the timeouts are zero. */
370
371 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
372     ob->final_timeout <= 0)
373   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
374     "command, data, or final timeout value is zero for %s transport",
375       tblock->name);
376
377 /* If hosts_override is set and there are local hosts, set the global
378 flag that stops verify from showing router hosts. */
379
380 if (ob->hosts_override && ob->hosts) tblock->overrides_hosts = TRUE;
381
382 /* If there are any fallback hosts listed, build a chain of host items
383 for them, but do not do any lookups at this time. */
384
385 store_pool = POOL_PERM;
386 host_build_hostlist(&ob->fallback_hostlist, ob->fallback_hosts, FALSE);
387 store_pool = old_pool;
388 }
389
390
391
392
393
394 /*************************************************
395 *   Set delivery info into all active addresses  *
396 *************************************************/
397
398 /* Only addresses whose status is >= PENDING are relevant. A lesser
399 status means that an address is not currently being processed.
400
401 Arguments:
402   addrlist       points to a chain of addresses
403   errno_value    to put in each address's errno field
404   msg            to put in each address's message field
405   rc             to put in each address's transport_return field
406   pass_message   if TRUE, set the "pass message" flag in the address
407   host           if set, mark addrs as having used this host
408   smtp_greeting  from peer
409   helo_response  from peer
410   start          points to timestamp of delivery start
411
412 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
413 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
414 this particular type of timeout.
415
416 Returns:       nothing
417 */
418
419 static void
420 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
421   BOOL pass_message, host_item * host,
422 #ifdef EXPERIMENTAL_DSN_INFO
423   const uschar * smtp_greeting, const uschar * helo_response,
424 #endif
425   struct timeval * start
426   )
427 {
428 int orvalue = 0;
429 struct timeval deliver_time;
430
431 if (errno_value == ERRNO_CONNECTTIMEOUT)
432   {
433   errno_value = ETIMEDOUT;
434   orvalue = RTEF_CTOUT;
435   }
436 timesince(&deliver_time, start);
437
438 for (address_item * addr = addrlist; addr; addr = addr->next)
439   if (addr->transport_return >= PENDING)
440     {
441     addr->basic_errno = errno_value;
442     addr->more_errno |= orvalue;
443     addr->delivery_time = deliver_time;
444     if (msg)
445       {
446       addr->message = msg;
447       if (pass_message) setflag(addr, af_pass_message);
448       }
449     addr->transport_return = rc;
450     if (host)
451       {
452       addr->host_used = host;
453 #ifdef EXPERIMENTAL_DSN_INFO
454       if (smtp_greeting)
455         {uschar * s = Ustrchr(smtp_greeting, '\n'); if (s) *s = '\0';}
456       addr->smtp_greeting = smtp_greeting;
457
458       if (helo_response)
459         {uschar * s = Ustrchr(helo_response, '\n'); if (s) *s = '\0';}
460       addr->helo_response = helo_response;
461 #endif
462       }
463     }
464 }
465
466 static void
467 set_errno_nohost(address_item * addrlist, int errno_value, uschar * msg, int rc,
468   BOOL pass_message, struct timeval * start)
469 {
470 set_errno(addrlist, errno_value, msg, rc, pass_message, NULL,
471 #ifdef EXPERIMENTAL_DSN_INFO
472           NULL, NULL,
473 #endif
474           start);
475 }
476
477
478 /*************************************************
479 *          Check an SMTP response                *
480 *************************************************/
481
482 /* This function is given an errno code and the SMTP response buffer
483 to analyse, together with the host identification for generating messages. It
484 sets an appropriate message and puts the first digit of the response code into
485 the yield variable. If no response was actually read, a suitable digit is
486 chosen.
487
488 Arguments:
489   host           the current host, to get its name for messages
490   errno_value    pointer to the errno value
491   more_errno     from the top address for use with ERRNO_FILTER_FAIL
492   buffer         the SMTP response buffer
493   yield          where to put a one-digit SMTP response code
494   message        where to put an error message
495   pass_message   set TRUE if message is an SMTP response
496
497 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
498 */
499
500 static BOOL
501 check_response(host_item *host, int *errno_value, int more_errno,
502   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
503 {
504 uschar * pl = pipelining_active ? US"pipelined " : US"";
505 const uschar * s;
506
507 *yield = '4';    /* Default setting is to give a temporary error */
508
509 switch(*errno_value)
510   {
511   case ETIMEDOUT:               /* Handle response timeout */
512     *message = US string_sprintf("SMTP timeout after %s%s",
513         pl, smtp_command);
514     if (transport_count > 0)
515       *message = US string_sprintf("%s (%d bytes written)", *message,
516         transport_count);
517     return FALSE;
518
519   case ERRNO_SMTPFORMAT:        /* Handle malformed SMTP response */
520     s = string_printing(buffer);
521     while (isspace(*s)) s++;
522     *message = *s == 0
523       ? string_sprintf("Malformed SMTP reply (an empty line) "
524           "in response to %s%s", pl, smtp_command)
525       : string_sprintf("Malformed SMTP reply in response to %s%s: %s",
526           pl, smtp_command, s);
527     return FALSE;
528
529   case ERRNO_TLSFAILURE:        /* Handle bad first read; can happen with
530                                 GnuTLS and TLS1.3 */
531     *message = US"bad first read from TLS conn";
532     return TRUE;
533
534   case ERRNO_FILTER_FAIL:       /* Handle a failed filter process error;
535                           can't send QUIT as we mustn't end the DATA. */
536     *message = string_sprintf("transport filter process failed (%d)%s",
537       more_errno,
538       more_errno == EX_EXECFAILED ? ": unable to execute command" : "");
539     return FALSE;
540
541   case ERRNO_CHHEADER_FAIL:     /* Handle a failed add_headers expansion;
542                             can't send QUIT as we mustn't end the DATA. */
543     *message =
544       string_sprintf("failed to expand headers_add or headers_remove: %s",
545         expand_string_message);
546     return FALSE;
547
548   case ERRNO_WRITEINCOMPLETE:   /* failure to write a complete data block */
549     *message = US"failed to write a data block";
550     return FALSE;
551
552 #ifdef SUPPORT_I18N
553   case ERRNO_UTF8_FWD: /* no advertised SMTPUTF8, for international message */
554     *message = US"utf8 support required but not offered for forwarding";
555     DEBUG(D_deliver|D_transport) debug_printf("%s\n", *message);
556     return TRUE;
557 #endif
558   }
559
560 /* Handle error responses from the remote mailer. */
561
562 if (buffer[0] != 0)
563   {
564   *message = string_sprintf("SMTP error from remote mail server after %s%s: "
565     "%s", pl, smtp_command, s = string_printing(buffer));
566   *pass_message = TRUE;
567   *yield = buffer[0];
568   return TRUE;
569   }
570
571 /* No data was read. If there is no errno, this must be the EOF (i.e.
572 connection closed) case, which causes deferral. An explicit connection reset
573 error has the same effect. Otherwise, put the host's identity in the message,
574 leaving the errno value to be interpreted as well. In all cases, we have to
575 assume the connection is now dead. */
576
577 if (*errno_value == 0 || *errno_value == ECONNRESET)
578   {
579   *errno_value = ERRNO_SMTPCLOSED;
580   *message = US string_sprintf("Remote host closed connection "
581     "in response to %s%s", pl, smtp_command);
582   }
583 else
584   *message = US string_sprintf("%s [%s]", host->name, host->address);
585
586 return FALSE;
587 }
588
589
590
591 /*************************************************
592 *          Write error message to logs           *
593 *************************************************/
594
595 /* This writes to the main log and to the message log.
596
597 Arguments:
598   host     the current host
599   detail  the current message (addr_item->message)
600   basic_errno the errno (addr_item->basic_errno)
601
602 Returns:   nothing
603 */
604
605 static void
606 write_logs(const host_item *host, const uschar *suffix, int basic_errno)
607 {
608 gstring * message = LOGGING(outgoing_port)
609   ? string_fmt_append(NULL, "H=%s [%s]:%d", host->name, host->address,
610                     host->port == PORT_NONE ? 25 : host->port)
611   : string_fmt_append(NULL, "H=%s [%s]", host->name, host->address);
612
613 if (suffix)
614   {
615   message = string_fmt_append(message, ": %s", suffix);
616   if (basic_errno > 0)
617     message = string_fmt_append(message, ": %s", strerror(basic_errno));
618   }
619 else
620   message = string_fmt_append(message, " %s", exim_errstr(basic_errno));
621
622 log_write(0, LOG_MAIN, "%s", string_from_gstring(message));
623 deliver_msglog("%s %s\n", tod_stamp(tod_log), message->s);
624 }
625
626 static void
627 msglog_line(host_item * host, uschar * message)
628 {
629 deliver_msglog("%s H=%s [%s] %s\n", tod_stamp(tod_log),
630   host->name, host->address, message);
631 }
632
633
634
635 #ifndef DISABLE_EVENT
636 /*************************************************
637 *   Post-defer action                            *
638 *************************************************/
639
640 /* This expands an arbitrary per-transport string.
641    It might, for example, be used to write to the database log.
642
643 Arguments:
644   addr                  the address item containing error information
645   host                  the current host
646   evstr                 the event
647
648 Returns:   nothing
649 */
650
651 static void
652 deferred_event_raise(address_item * addr, host_item * host, uschar * evstr)
653 {
654 uschar * action = addr->transport->event_action;
655 const uschar * save_domain;
656 uschar * save_local;
657
658 if (!action)
659   return;
660
661 save_domain = deliver_domain;
662 save_local = deliver_localpart;
663
664 /*XXX would ip & port already be set up? */
665 deliver_host_address = string_copy(host->address);
666 deliver_host_port =    host->port == PORT_NONE ? 25 : host->port;
667 event_defer_errno =    addr->basic_errno;
668
669 router_name =    addr->router->name;
670 transport_name = addr->transport->name;
671 deliver_domain = addr->domain;
672 deliver_localpart = addr->local_part;
673
674 (void) event_raise(action, evstr,
675     addr->message
676       ? addr->basic_errno > 0
677         ? string_sprintf("%s: %s", addr->message, strerror(addr->basic_errno))
678         : string_copy(addr->message)
679       : addr->basic_errno > 0
680         ? string_copy(US strerror(addr->basic_errno))
681         : NULL,
682       NULL);
683
684 deliver_localpart = save_local;
685 deliver_domain =    save_domain;
686 router_name = transport_name = NULL;
687 }
688 #endif
689
690 /*************************************************
691 *           Reap SMTP specific responses         *
692 *************************************************/
693 static int
694 smtp_discard_responses(smtp_context * sx, smtp_transport_options_block * ob,
695   int count)
696 {
697 uschar flushbuffer[4096];
698
699 while (count-- > 0)
700   {
701   if (!smtp_read_response(sx, flushbuffer, sizeof(flushbuffer),
702              '2', ob->command_timeout)
703       && (errno != 0 || flushbuffer[0] == 0))
704     break;
705   }
706 return count;
707 }
708
709
710 /* Return boolean success */
711
712 static BOOL
713 smtp_reap_banner(smtp_context * sx)
714 {
715 BOOL good_response;
716 #if defined(__linux__) && defined(TCP_QUICKACK)
717   {     /* Hack to get QUICKACK disabled; has to be right after 3whs, and has to on->off */
718   int sock = sx->cctx.sock;
719   struct pollfd p = {.fd = sock, .events = POLLOUT};
720   if (poll(&p, 1, 1000) >= 0)   /* retval test solely for compiler quitening */
721     {
722     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &on, sizeof(on));
723     (void) setsockopt(sock, IPPROTO_TCP, TCP_QUICKACK, US &off, sizeof(off));
724     }
725   }
726 #endif
727 good_response = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
728   '2', (SOB sx->conn_args.ob)->command_timeout);
729 #ifdef EXPERIMENTAL_DSN_INFO
730 sx->smtp_greeting = string_copy(sx->buffer);
731 #endif
732 return good_response;
733 }
734
735 static BOOL
736 smtp_reap_ehlo(smtp_context * sx)
737 {
738 if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
739        (SOB sx->conn_args.ob)->command_timeout))
740   {
741   if (errno != 0 || sx->buffer[0] == 0 || sx->lmtp)
742     {
743 #ifdef EXPERIMENTAL_DSN_INFO
744     sx->helo_response = string_copy(sx->buffer);
745 #endif
746     return FALSE;
747     }
748   sx->esmtp = FALSE;
749   }
750 #ifdef EXPERIMENTAL_DSN_INFO
751 sx->helo_response = string_copy(sx->buffer);
752 #endif
753 #ifndef DISABLE_EVENT
754 (void) event_raise(sx->conn_args.tblock->event_action,
755   US"smtp:ehlo", sx->buffer, NULL);
756 #endif
757 return TRUE;
758 }
759
760
761 /******************************************************************************/
762
763 #ifdef EXPERIMENTAL_ESMTP_LIMITS
764 /* If TLS, or TLS not offered, called with the EHLO response in the buffer.
765 Check it for a LIMITS keyword and parse values into the smtp context structure.
766
767 We don't bother with peers that we won't talk TLS to, even though they can,
768 just ignore their LIMITS advice (if any) and treat them as if they do not.
769 This saves us dealing with a duplicate set of values. */
770
771 static void
772 ehlo_response_limits_read(smtp_context * sx)
773 {
774 uschar * match;
775
776 /* matches up to just after the first space after the keyword */
777
778 if (regex_match(regex_LIMITS, sx->buffer, -1, &match))
779   for (const uschar * s = sx->buffer + Ustrlen(match); *s; )
780     {
781     while (isspace(*s)) s++;
782     if (*s == '\n') break;
783
784     if (strncmpic(s, US"MAILMAX=", 8) == 0)
785       {
786       sx->peer_limit_mail = atoi(CS (s += 8));
787       while (isdigit(*s)) s++;
788       }
789     else if (strncmpic(s, US"RCPTMAX=", 8) == 0)
790       {
791       sx->peer_limit_rcpt = atoi(CS (s += 8));
792       while (isdigit(*s)) s++;
793       }
794     else if (strncmpic(s, US"RCPTDOMAINMAX=", 14) == 0)
795       {
796       sx->peer_limit_rcptdom = atoi(CS (s += 14));
797       while (isdigit(*s)) s++;
798       }
799     else
800       while (*s && !isspace(*s)) s++;
801     }
802 }
803
804 /* Apply given values to the current connection */
805 static void
806 ehlo_limits_apply(smtp_context * sx,
807   unsigned limit_mail, unsigned limit_rcpt, unsigned limit_rcptdom)
808 {
809 if (limit_mail && limit_mail < sx->max_mail) sx->max_mail = limit_mail;
810 if (limit_rcpt && limit_rcpt < sx->max_rcpt) sx->max_rcpt = limit_rcpt;
811 if (limit_rcptdom)
812   {
813   DEBUG(D_transport) debug_printf("will treat as !multi_domain\n");
814   sx->single_rcpt_domain = TRUE;
815   }
816 }
817
818 /* Apply values from EHLO-resp to the current connection */
819 static void
820 ehlo_response_limits_apply(smtp_context * sx)
821 {
822 ehlo_limits_apply(sx, sx->peer_limit_mail, sx->peer_limit_rcpt,
823   sx->peer_limit_rcptdom);
824 }
825
826 /* Apply values read from cache to the current connection */
827 static void
828 ehlo_cache_limits_apply(smtp_context * sx)
829 {
830 ehlo_limits_apply(sx, sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
831   sx->ehlo_resp.limit_rcptdom);
832 }
833 #endif
834
835 /******************************************************************************/
836
837 #ifndef DISABLE_PIPE_CONNECT
838 static uschar *
839 ehlo_cache_key(const smtp_context * sx)
840 {
841 host_item * host = sx->conn_args.host;
842 return Ustrchr(host->address, ':')
843   ? string_sprintf("[%s]:%d.EHLO", host->address,
844     host->port == PORT_NONE ? sx->port : host->port)
845   : string_sprintf("%s:%d.EHLO", host->address,
846     host->port == PORT_NONE ? sx->port : host->port);
847 }
848
849 /* Cache EHLO-response info for use by early-pipe.
850 Called
851 - During a normal flow on EHLO response (either cleartext or under TLS),
852   when we are willing to do PIPECONNECT and it is offered
853 - During an early-pipe flow on receiving the actual EHLO response and noting
854   disparity versus the cached info used, when PIPECONNECT is still being offered
855
856 We assume that suitable values have been set in the sx.ehlo_resp structure for
857 features and auths; we handle the copy of limits. */
858
859 static void
860 write_ehlo_cache_entry(smtp_context * sx)
861 {
862 open_db dbblock, * dbm_file;
863
864 #ifdef EXPERIMENTAL_ESMTP_LIMITS
865 sx->ehlo_resp.limit_mail = sx->peer_limit_mail;
866 sx->ehlo_resp.limit_rcpt = sx->peer_limit_rcpt;
867 sx->ehlo_resp.limit_rcptdom = sx->peer_limit_rcptdom;
868 #endif
869
870 if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
871   {
872   uschar * ehlo_resp_key = ehlo_cache_key(sx);
873   dbdata_ehlo_resp er = { .data = sx->ehlo_resp };
874
875   HDEBUG(D_transport)
876 #ifdef EXPERIMENTAL_ESMTP_LIMITS
877     if (sx->ehlo_resp.limit_mail || sx->ehlo_resp.limit_rcpt || sx->ehlo_resp.limit_rcptdom)
878       debug_printf("writing clr %04x/%04x cry %04x/%04x lim %05d/%05d/%05d\n",
879         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
880         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths,
881         sx->ehlo_resp.limit_mail, sx->ehlo_resp.limit_rcpt,
882         sx->ehlo_resp.limit_rcptdom);
883     else
884 #endif
885       debug_printf("writing clr %04x/%04x cry %04x/%04x\n",
886         sx->ehlo_resp.cleartext_features, sx->ehlo_resp.cleartext_auths,
887         sx->ehlo_resp.crypted_features, sx->ehlo_resp.crypted_auths);
888
889   dbfn_write(dbm_file, ehlo_resp_key, &er, (int)sizeof(er));
890   dbfn_close(dbm_file);
891   }
892 }
893
894 static void
895 invalidate_ehlo_cache_entry(smtp_context * sx)
896 {
897 open_db dbblock, * dbm_file;
898
899 if (  sx->early_pipe_active
900    && (dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
901   {
902   uschar * ehlo_resp_key = ehlo_cache_key(sx);
903   dbfn_delete(dbm_file, ehlo_resp_key);
904   dbfn_close(dbm_file);
905   }
906 }
907
908 static BOOL
909 read_ehlo_cache_entry(smtp_context * sx)
910 {
911 open_db dbblock;
912 open_db * dbm_file;
913
914 if (!(dbm_file = dbfn_open(US"misc", O_RDONLY, &dbblock, FALSE, TRUE)))
915   { DEBUG(D_transport) debug_printf("ehlo-cache: no misc DB\n"); }
916 else
917   {
918   uschar * ehlo_resp_key = ehlo_cache_key(sx);
919   dbdata_ehlo_resp * er;
920
921   if (!(er = dbfn_read_enforce_length(dbm_file, ehlo_resp_key, sizeof(dbdata_ehlo_resp))))
922     { DEBUG(D_transport) debug_printf("no ehlo-resp record\n"); }
923   else if (time(NULL) - er->time_stamp > retry_data_expire)
924     {
925     DEBUG(D_transport) debug_printf("ehlo-resp record too old\n");
926     dbfn_close(dbm_file);
927     if ((dbm_file = dbfn_open(US"misc", O_RDWR, &dbblock, TRUE, TRUE)))
928       dbfn_delete(dbm_file, ehlo_resp_key);
929     }
930   else
931     {
932     DEBUG(D_transport)
933 #ifdef EXPERIMENTAL_ESMTP_LIMITS
934       if (er->data.limit_mail || er->data.limit_rcpt || er->data.limit_rcptdom)
935         debug_printf("EHLO response bits from cache:"
936           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x lim %05d/%05d/%05d\n",
937           er->data.cleartext_features, er->data.cleartext_auths,
938           er->data.crypted_features, er->data.crypted_auths,
939           er->data.limit_mail, er->data.limit_rcpt, er->data.limit_rcptdom);
940       else
941 #endif
942         debug_printf("EHLO response bits from cache:"
943           " cleartext 0x%04x/0x%04x crypted 0x%04x/0x%04x\n",
944           er->data.cleartext_features, er->data.cleartext_auths,
945           er->data.crypted_features, er->data.crypted_auths);
946
947     sx->ehlo_resp = er->data;
948 #ifdef EXPERIMENTAL_ESMTP_LIMITS
949     ehlo_cache_limits_apply(sx);
950 #endif
951     dbfn_close(dbm_file);
952     return TRUE;
953     }
954   dbfn_close(dbm_file);
955   }
956 return FALSE;
957 }
958
959
960
961 /* Return an auths bitmap for the set of AUTH methods offered by the server
962 which match our authenticators. */
963
964 static unsigned short
965 study_ehlo_auths(smtp_context * sx)
966 {
967 uschar * names;
968 auth_instance * au;
969 uschar authnum;
970 unsigned short authbits = 0;
971
972 if (!sx->esmtp) return 0;
973 if (!regex_AUTH) regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
974 if (!regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)) return 0;
975 expand_nmax = -1;                                               /* reset */
976 names = string_copyn(expand_nstring[1], expand_nlength[1]);
977
978 for (au = auths, authnum = 0; au; au = au->next, authnum++) if (au->client)
979   {
980   const uschar * list = names;
981   uschar * s;
982   for (int sep = ' '; s = string_nextinlist(&list, &sep, NULL, 0); )
983     if (strcmpic(au->public_name, s) == 0)
984       { authbits |= BIT(authnum); break; }
985   }
986
987 DEBUG(D_transport)
988   debug_printf("server offers %s AUTH, methods '%s', bitmap 0x%04x\n",
989     tls_out.active.sock >= 0 ? "crypted" : "plaintext", names, authbits);
990
991 if (tls_out.active.sock >= 0)
992   sx->ehlo_resp.crypted_auths = authbits;
993 else
994   sx->ehlo_resp.cleartext_auths = authbits;
995 return authbits;
996 }
997
998
999
1000
1001 /* Wait for and check responses for early-pipelining.
1002
1003 Called from the lower-level smtp_read_response() function
1004 used for general code that assume synchronisation, if context
1005 flags indicate outstanding early-pipelining commands.  Also
1006 called fom sync_responses() which handles pipelined commands.
1007
1008 Arguments:
1009  sx     smtp connection context
1010  countp number of outstanding responses, adjusted on return
1011
1012 Return:
1013  OK     all well
1014  DEFER  error on first read of TLS'd conn
1015  FAIL   SMTP error in response
1016 */
1017 int
1018 smtp_reap_early_pipe(smtp_context * sx, int * countp)
1019 {
1020 BOOL pending_BANNER = sx->pending_BANNER;
1021 BOOL pending_EHLO = sx->pending_EHLO;
1022 int rc = FAIL;
1023
1024 sx->pending_BANNER = FALSE;     /* clear early to avoid recursion */
1025 sx->pending_EHLO = FALSE;
1026
1027 if (pending_BANNER)
1028   {
1029   DEBUG(D_transport) debug_printf("%s expect banner\n", __FUNCTION__);
1030   (*countp)--;
1031   if (!smtp_reap_banner(sx))
1032     {
1033     DEBUG(D_transport) debug_printf("bad banner\n");
1034     if (tls_out.active.sock >= 0) rc = DEFER;
1035     goto fail;
1036     }
1037   }
1038
1039 if (pending_EHLO)
1040   {
1041   unsigned peer_offered;
1042   unsigned short authbits = 0, * ap;
1043
1044   DEBUG(D_transport) debug_printf("%s expect ehlo\n", __FUNCTION__);
1045   (*countp)--;
1046   if (!smtp_reap_ehlo(sx))
1047     {
1048     DEBUG(D_transport) debug_printf("bad response for EHLO\n");
1049     if (tls_out.active.sock >= 0) rc = DEFER;
1050     goto fail;
1051     }
1052
1053   /* Compare the actual EHLO response extensions and AUTH methods to the cached
1054   value we assumed; on difference, dump or rewrite the cache and arrange for a
1055   retry. */
1056
1057   ap = tls_out.active.sock < 0
1058       ? &sx->ehlo_resp.cleartext_auths : &sx->ehlo_resp.crypted_auths;
1059
1060   peer_offered = ehlo_response(sx->buffer,
1061           (tls_out.active.sock < 0 ?  OPTION_TLS : 0)
1062         | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
1063         | OPTION_UTF8 | OPTION_EARLY_PIPE
1064         );
1065 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1066   if (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1067     ehlo_response_limits_read(sx);
1068 #endif
1069   if (  peer_offered != sx->peer_offered
1070      || (authbits = study_ehlo_auths(sx)) != *ap)
1071     {
1072     HDEBUG(D_transport)
1073       debug_printf("EHLO %s extensions changed, 0x%04x/0x%04x -> 0x%04x/0x%04x\n",
1074                     tls_out.active.sock < 0 ? "cleartext" : "crypted",
1075                     sx->peer_offered, *ap, peer_offered, authbits);
1076     if (peer_offered & OPTION_EARLY_PIPE)
1077       {
1078       *(tls_out.active.sock < 0
1079         ? &sx->ehlo_resp.cleartext_features : &sx->ehlo_resp.crypted_features) =
1080           peer_offered;
1081       *ap = authbits;
1082       write_ehlo_cache_entry(sx);
1083       }
1084     else
1085       invalidate_ehlo_cache_entry(sx);
1086
1087     return OK;          /* just carry on */
1088     }
1089 #ifdef EXPERIMENTAL_ESMTP_LIMITS
1090     /* If we are handling LIMITS, compare the actual EHLO LIMITS values with the
1091     cached values and invalidate cache if different.  OK to carry on with
1092     connect since values are advisory. */
1093     {
1094     if (  (tls_out.active.sock >= 0 || !(peer_offered & OPTION_TLS))
1095        && (  sx->peer_limit_mail != sx->ehlo_resp.limit_mail
1096           || sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt
1097           || sx->peer_limit_rcptdom != sx->ehlo_resp.limit_rcptdom
1098        )  )
1099       {
1100       HDEBUG(D_transport)
1101         {
1102         debug_printf("EHLO LIMITS changed:");
1103         if (sx->peer_limit_mail != sx->ehlo_resp.limit_mail)
1104           debug_printf(" MAILMAX %u -> %u\n", sx->ehlo_resp.limit_mail, sx->peer_limit_mail);
1105         else if (sx->peer_limit_rcpt != sx->ehlo_resp.limit_rcpt)
1106           debug_printf(" RCPTMAX %u -> %u\n", sx->ehlo_resp.limit_rcpt, sx->peer_limit_rcpt);
1107         else
1108           debug_printf(" RCPTDOMAINMAX %u -> %u\n", sx->ehlo_resp.limit_rcptdom, sx->peer_limit_rcptdom);
1109         }
1110       invalidate_ehlo_cache_entry(sx);
1111       }
1112     }
1113 #endif
1114   }
1115 return OK;
1116
1117 fail:
1118   invalidate_ehlo_cache_entry(sx);
1119   (void) smtp_discard_responses(sx, sx->conn_args.ob, *countp);
1120   return rc;
1121 }
1122 #endif  /*!DISABLE_PIPE_CONNECT*/
1123
1124
1125 /*************************************************
1126 *           Synchronize SMTP responses           *
1127 *************************************************/
1128
1129 /* This function is called from smtp_deliver() to receive SMTP responses from
1130 the server, and match them up with the commands to which they relate. When
1131 PIPELINING is not in use, this function is called after every command, and is
1132 therefore somewhat over-engineered, but it is simpler to use a single scheme
1133 that works both with and without PIPELINING instead of having two separate sets
1134 of code.
1135
1136 The set of commands that are buffered up with pipelining may start with MAIL
1137 and may end with DATA; in between are RCPT commands that correspond to the
1138 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
1139 etc.) are never buffered.
1140
1141 Errors after MAIL or DATA abort the whole process leaving the response in the
1142 buffer. After MAIL, pending responses are flushed, and the original command is
1143 re-instated in big_buffer for error messages. For RCPT commands, the remote is
1144 permitted to reject some recipient addresses while accepting others. However
1145 certain errors clearly abort the whole process. Set the value in
1146 transport_return to PENDING_OK if the address is accepted. If there is a
1147 subsequent general error, it will get reset accordingly. If not, it will get
1148 converted to OK at the end.
1149
1150 Arguments:
1151   sx                smtp connection context
1152   count             the number of responses to read
1153   pending_DATA      0 if last command sent was not DATA
1154                    +1 if previously had a good recipient
1155                    -1 if not previously had a good recipient
1156
1157 Returns:      3 if at least one address had 2xx and one had 5xx
1158               2 if at least one address had 5xx but none had 2xx
1159               1 if at least one host had a 2xx response, but none had 5xx
1160               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
1161              -1 timeout while reading RCPT response
1162              -2 I/O or other non-response error for RCPT
1163              -3 DATA or MAIL failed - errno and buffer set
1164              -4 banner or EHLO failed (early-pipelining)
1165              -5 banner or EHLO failed (early-pipelining, TLS)
1166 */
1167
1168 static int
1169 sync_responses(smtp_context * sx, int count, int pending_DATA)
1170 {
1171 address_item * addr = sx->sync_addr;
1172 smtp_transport_options_block * ob = sx->conn_args.ob;
1173 int yield = 0;
1174
1175 #ifndef DISABLE_PIPE_CONNECT
1176 int rc;
1177 if ((rc = smtp_reap_early_pipe(sx, &count)) != OK)
1178   return rc == FAIL ? -4 : -5;
1179 #endif
1180
1181 /* Handle the response for a MAIL command. On error, reinstate the original
1182 command in big_buffer for error message use, and flush any further pending
1183 responses before returning, except after I/O errors and timeouts. */
1184
1185 if (sx->pending_MAIL)
1186   {
1187   DEBUG(D_transport) debug_printf("%s expect mail\n", __FUNCTION__);
1188   count--;
1189   sx->pending_MAIL = sx->RCPT_452 = FALSE;
1190   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1191                           '2', ob->command_timeout))
1192     {
1193     DEBUG(D_transport) debug_printf("bad response for MAIL\n");
1194     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
1195     if (errno == ERRNO_TLSFAILURE)
1196       return -5;
1197     if (errno == 0 && sx->buffer[0] != 0)
1198       {
1199       int save_errno = 0;
1200       if (sx->buffer[0] == '4')
1201         {
1202         save_errno = ERRNO_MAIL4XX;
1203         addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1204         }
1205       count = smtp_discard_responses(sx, ob, count);
1206       errno = save_errno;
1207       }
1208
1209     if (pending_DATA) count--;  /* Number of RCPT responses to come */
1210     while (count-- > 0)         /* Mark any pending addrs with the host used */
1211       {
1212       while (addr->transport_return != PENDING_DEFER) addr = addr->next;
1213       addr->host_used = sx->conn_args.host;
1214       addr = addr->next;
1215       }
1216     return -3;
1217     }
1218   }
1219
1220 if (pending_DATA) count--;  /* Number of RCPT responses to come */
1221
1222 /* Read and handle the required number of RCPT responses, matching each one up
1223 with an address by scanning for the next address whose status is PENDING_DEFER.
1224 */
1225
1226 while (count-- > 0)
1227   {
1228   while (addr->transport_return != PENDING_DEFER)
1229     if (!(addr = addr->next))
1230       return -2;
1231
1232   /* The address was accepted */
1233   addr->host_used = sx->conn_args.host;
1234
1235   DEBUG(D_transport) debug_printf("%s expect rcpt for %s\n", __FUNCTION__, addr->address);
1236   if (smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1237                           '2', ob->command_timeout))
1238     {
1239     yield |= 1;
1240     addr->transport_return = PENDING_OK;
1241
1242     /* If af_dr_retry_exists is set, there was a routing delay on this address;
1243     ensure that any address-specific retry record is expunged. We do this both
1244     for the basic key and for the version that also includes the sender. */
1245
1246     if (testflag(addr, af_dr_retry_exists))
1247       {
1248       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
1249         sender_address);
1250       retry_add_item(addr, altkey, rf_delete);
1251       retry_add_item(addr, addr->address_retry_key, rf_delete);
1252       }
1253     }
1254
1255   /* Error on first TLS read */
1256
1257   else if (errno == ERRNO_TLSFAILURE)
1258     return -5;
1259
1260   /* Timeout while reading the response */
1261
1262   else if (errno == ETIMEDOUT)
1263     {
1264     uschar *message = string_sprintf("SMTP timeout after RCPT TO:<%s>",
1265                 transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1266     set_errno_nohost(sx->first_addr, ETIMEDOUT, message, DEFER, FALSE, &sx->delivery_start);
1267     retry_add_item(addr, addr->address_retry_key, 0);
1268     update_waiting = FALSE;
1269     return -1;
1270     }
1271
1272   /* Handle other errors in obtaining an SMTP response by returning -1. This
1273   will cause all the addresses to be deferred. Restore the SMTP command in
1274   big_buffer for which we are checking the response, so the error message
1275   makes sense. */
1276
1277   else if (errno != 0 || sx->buffer[0] == 0)
1278     {
1279     gstring gs = { .size = big_buffer_size, .ptr = 0, .s = big_buffer }, * g = &gs;
1280
1281     /* Use taint-unchecked routines for writing into big_buffer, trusting
1282     that we'll never expand it. */
1283
1284     g = string_fmt_append_f(g, SVFMT_TAINT_NOCHK, "RCPT TO:<%s>",
1285       transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes));
1286     string_from_gstring(g);
1287     return -2;
1288     }
1289
1290   /* Handle SMTP permanent and temporary response codes. */
1291
1292   else
1293     {
1294     addr->message =
1295       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
1296         "%s", transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes),
1297         string_printing(sx->buffer));
1298     setflag(addr, af_pass_message);
1299     if (!sx->verify)
1300       msglog_line(sx->conn_args.host, addr->message);
1301
1302     /* The response was 5xx */
1303
1304     if (sx->buffer[0] == '5')
1305       {
1306       addr->transport_return = FAIL;
1307       yield |= 2;
1308       }
1309
1310     /* The response was 4xx */
1311
1312     else
1313       {
1314       addr->transport_return = DEFER;
1315       addr->basic_errno = ERRNO_RCPT4XX;
1316       addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1317
1318       if (!sx->verify)
1319         {
1320 #ifndef DISABLE_EVENT
1321         event_defer_errno = addr->more_errno;
1322         msg_event_raise(US"msg:rcpt:host:defer", addr);
1323 #endif
1324         /* If a 452 and we've had at least one 2xx or 5xx, set next_addr to the
1325         start point for another MAIL command. */
1326
1327         if (addr->more_errno >> 8 == 52  &&  yield & 3)
1328           {
1329           if (!sx->RCPT_452)            /* initialised at MAIL-ack above */
1330             {
1331             DEBUG(D_transport)
1332               debug_printf("%s: seen first 452 too-many-rcpts\n", __FUNCTION__);
1333             sx->RCPT_452 = TRUE;
1334             sx->next_addr = addr;
1335             }
1336           addr->transport_return = PENDING_DEFER;
1337           addr->basic_errno = 0;
1338           }
1339         else
1340           {
1341           /* Log temporary errors if there are more hosts to be tried.
1342           If not, log this last one in the == line. */
1343
1344           if (sx->conn_args.host->next)
1345             if (LOGGING(outgoing_port))
1346               log_write(0, LOG_MAIN, "H=%s [%s]:%d %s", sx->conn_args.host->name,
1347                 sx->conn_args.host->address,
1348                 sx->port == PORT_NONE ? 25 : sx->port, addr->message);
1349             else
1350               log_write(0, LOG_MAIN, "H=%s [%s]: %s", sx->conn_args.host->name,
1351                 sx->conn_args.host->address, addr->message);
1352
1353 #ifndef DISABLE_EVENT
1354           else
1355             msg_event_raise(US"msg:rcpt:defer", addr);
1356 #endif
1357
1358           /* Do not put this message on the list of those waiting for specific
1359           hosts, as otherwise it is likely to be tried too often. */
1360
1361           update_waiting = FALSE;
1362
1363           /* Add a retry item for the address so that it doesn't get tried again
1364           too soon. If address_retry_include_sender is true, add the sender address
1365           to the retry key. */
1366
1367           retry_add_item(addr,
1368             ob->address_retry_include_sender
1369               ? string_sprintf("%s:<%s>", addr->address_retry_key, sender_address)
1370               : addr->address_retry_key,
1371             0);
1372           }
1373         }
1374       }
1375     }
1376   if (count && !(addr = addr->next))
1377     return -2;
1378   }       /* Loop for next RCPT response */
1379
1380 /* Update where to start at for the next block of responses, unless we
1381 have already handled all the addresses. */
1382
1383 if (addr) sx->sync_addr = addr->next;
1384
1385 /* Handle a response to DATA. If we have not had any good recipients, either
1386 previously or in this block, the response is ignored. */
1387
1388 if (pending_DATA != 0)
1389   {
1390   DEBUG(D_transport) debug_printf("%s expect data\n", __FUNCTION__);
1391   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
1392                         '3', ob->command_timeout))
1393     {
1394     int code;
1395     uschar *msg;
1396     BOOL pass_message;
1397
1398     if (errno == ERRNO_TLSFAILURE)      /* Error on first TLS read */
1399       return -5;
1400
1401     if (pending_DATA > 0 || (yield & 1) != 0)
1402       {
1403       if (errno == 0 && sx->buffer[0] == '4')
1404         {
1405         errno = ERRNO_DATA4XX;
1406         sx->first_addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1407         }
1408       return -3;
1409       }
1410     (void)check_response(sx->conn_args.host, &errno, 0, sx->buffer, &code, &msg, &pass_message);
1411     DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
1412       "is in use and there were no good recipients\n", msg);
1413     }
1414   }
1415
1416 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
1417 present) received 3xx. If any RCPTs were handled and yielded anything other
1418 than 4xx, yield will be set non-zero. */
1419
1420 return yield;
1421 }
1422
1423
1424
1425
1426
1427 /* Try an authenticator's client entry */
1428
1429 static int
1430 try_authenticator(smtp_context * sx, auth_instance * au)
1431 {
1432 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1433 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1434 int rc;
1435
1436 /* Set up globals for error messages */
1437
1438 authenticator_name = au->name;
1439 driver_srcfile = au->srcfile;
1440 driver_srcline = au->srcline;
1441
1442 sx->outblock.authenticating = TRUE;
1443 rc = (au->info->clientcode)(au, sx, ob->command_timeout,
1444                             sx->buffer, sizeof(sx->buffer));
1445 sx->outblock.authenticating = FALSE;
1446 driver_srcfile = authenticator_name = NULL; driver_srcline = 0;
1447 DEBUG(D_transport) debug_printf("%s authenticator yielded %d\n", au->name, rc);
1448
1449 /* A temporary authentication failure must hold up delivery to
1450 this host. After a permanent authentication failure, we carry on
1451 to try other authentication methods. If all fail hard, try to
1452 deliver the message unauthenticated unless require_auth was set. */
1453
1454 switch(rc)
1455   {
1456   case OK:
1457     f.smtp_authenticated = TRUE;   /* stops the outer loop */
1458     client_authenticator = au->name;
1459     if (au->set_client_id)
1460       client_authenticated_id = expand_string(au->set_client_id);
1461     break;
1462
1463   /* Failure after writing a command */
1464
1465   case FAIL_SEND:
1466     return FAIL_SEND;
1467
1468   /* Failure after reading a response */
1469
1470   case FAIL:
1471     if (errno != 0 || sx->buffer[0] != '5') return FAIL;
1472     log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1473       au->name, host->name, host->address, sx->buffer);
1474     break;
1475
1476   /* Failure by some other means. In effect, the authenticator
1477   decided it wasn't prepared to handle this case. Typically this
1478   is the result of "fail" in an expansion string. Do we need to
1479   log anything here? Feb 2006: a message is now put in the buffer
1480   if logging is required. */
1481
1482   case CANCELLED:
1483     if (*sx->buffer != 0)
1484       log_write(0, LOG_MAIN, "%s authenticator cancelled "
1485         "authentication H=%s [%s] %s", au->name, host->name,
1486         host->address, sx->buffer);
1487     break;
1488
1489   /* Internal problem, message in buffer. */
1490
1491   case ERROR:
1492     set_errno_nohost(sx->addrlist, ERRNO_AUTHPROB, string_copy(sx->buffer),
1493               DEFER, FALSE, &sx->delivery_start);
1494     return ERROR;
1495   }
1496 return OK;
1497 }
1498
1499
1500
1501
1502 /* Do the client side of smtp-level authentication.
1503
1504 Arguments:
1505   sx            smtp connection context
1506
1507 sx->buffer should have the EHLO response from server (gets overwritten)
1508
1509 Returns:
1510   OK                    Success, or failed (but not required): global "smtp_authenticated" set
1511   DEFER                 Failed authentication (and was required)
1512   ERROR                 Internal problem
1513
1514   FAIL_SEND             Failed communications - transmit
1515   FAIL                  - response
1516 */
1517
1518 static int
1519 smtp_auth(smtp_context * sx)
1520 {
1521 host_item * host = sx->conn_args.host;                  /* host to deliver to */
1522 smtp_transport_options_block * ob = sx->conn_args.ob;   /* transport options */
1523 int require_auth = verify_check_given_host(CUSS &ob->hosts_require_auth, host);
1524 #ifndef DISABLE_PIPE_CONNECT
1525 unsigned short authbits = tls_out.active.sock >= 0
1526       ? sx->ehlo_resp.crypted_auths : sx->ehlo_resp.cleartext_auths;
1527 #endif
1528 uschar * fail_reason = US"server did not advertise AUTH support";
1529
1530 f.smtp_authenticated = FALSE;
1531 client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1532
1533 if (!regex_AUTH)
1534   regex_AUTH = regex_must_compile(AUTHS_REGEX, FALSE, TRUE);
1535
1536 /* Is the server offering AUTH? */
1537
1538 if (  sx->esmtp
1539    &&
1540 #ifndef DISABLE_PIPE_CONNECT
1541       sx->early_pipe_active ? authbits
1542       :
1543 #endif
1544         regex_match_and_setup(regex_AUTH, sx->buffer, 0, -1)
1545    )
1546   {
1547   uschar * names = NULL;
1548   expand_nmax = -1;                          /* reset */
1549
1550 #ifndef DISABLE_PIPE_CONNECT
1551   if (!sx->early_pipe_active)
1552 #endif
1553     names = string_copyn(expand_nstring[1], expand_nlength[1]);
1554
1555   /* Must not do this check until after we have saved the result of the
1556   regex match above as the check could be another RE. */
1557
1558   if (  require_auth == OK
1559      || verify_check_given_host(CUSS &ob->hosts_try_auth, host) == OK)
1560     {
1561     DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1562     fail_reason = US"no common mechanisms were found";
1563
1564 #ifndef DISABLE_PIPE_CONNECT
1565     if (sx->early_pipe_active)
1566       {
1567       /* Scan our authenticators (which support use by a client and were offered
1568       by the server (checked at cache-write time)), not suppressed by
1569       client_condition.  If one is found, attempt to authenticate by calling its
1570       client function.  We are limited to supporting up to 16 authenticator
1571       public-names by the number of bits in a short. */
1572
1573       auth_instance * au;
1574       uschar bitnum;
1575       int rc;
1576
1577       for (bitnum = 0, au = auths;
1578            !f.smtp_authenticated && au && bitnum < 16;
1579            bitnum++, au = au->next) if (authbits & BIT(bitnum))
1580         {
1581         if (  au->client_condition
1582            && !expand_check_condition(au->client_condition, au->name,
1583                    US"client authenticator"))
1584           {
1585           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1586             au->name, "client_condition is false");
1587           continue;
1588           }
1589
1590         /* Found data for a listed mechanism. Call its client entry. Set
1591         a flag in the outblock so that data is overwritten after sending so
1592         that reflections don't show it. */
1593
1594         fail_reason = US"authentication attempt(s) failed";
1595
1596         if ((rc = try_authenticator(sx, au)) != OK)
1597           return rc;
1598         }
1599       }
1600     else
1601 #endif
1602
1603     /* Scan the configured authenticators looking for one which is configured
1604     for use as a client, which is not suppressed by client_condition, and
1605     whose name matches an authentication mechanism supported by the server.
1606     If one is found, attempt to authenticate by calling its client function.
1607     */
1608
1609     for (auth_instance * au = auths; !f.smtp_authenticated && au; au = au->next)
1610       {
1611       uschar *p = names;
1612
1613       if (  !au->client
1614          || (   au->client_condition
1615             &&  !expand_check_condition(au->client_condition, au->name,
1616                    US"client authenticator")))
1617         {
1618         DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1619           au->name,
1620           (au->client)? "client_condition is false" :
1621                         "not configured as a client");
1622         continue;
1623         }
1624
1625       /* Loop to scan supported server mechanisms */
1626
1627       while (*p)
1628         {
1629         int len = Ustrlen(au->public_name);
1630         int rc;
1631
1632         while (isspace(*p)) p++;
1633
1634         if (strncmpic(au->public_name, p, len) != 0 ||
1635             (p[len] != 0 && !isspace(p[len])))
1636           {
1637           while (*p != 0 && !isspace(*p)) p++;
1638           continue;
1639           }
1640
1641         /* Found data for a listed mechanism. Call its client entry. Set
1642         a flag in the outblock so that data is overwritten after sending so
1643         that reflections don't show it. */
1644
1645         fail_reason = US"authentication attempt(s) failed";
1646
1647         if ((rc = try_authenticator(sx, au)) != OK)
1648           return rc;
1649
1650         break;  /* If not authenticated, try next authenticator */
1651         }       /* Loop for scanning supported server mechanisms */
1652       }         /* Loop for further authenticators */
1653     }
1654   }
1655
1656 /* If we haven't authenticated, but are required to, give up. */
1657
1658 if (require_auth == OK && !f.smtp_authenticated)
1659   {
1660 #ifndef DISABLE_PIPE_CONNECT
1661   invalidate_ehlo_cache_entry(sx);
1662 #endif
1663   set_errno_nohost(sx->addrlist, ERRNO_AUTHFAIL,
1664     string_sprintf("authentication required but %s", fail_reason), DEFER,
1665     FALSE, &sx->delivery_start);
1666   return DEFER;
1667   }
1668
1669 return OK;
1670 }
1671
1672
1673 /* Construct AUTH appendix string for MAIL TO */
1674 /*
1675 Arguments
1676   sx            context for smtp connection
1677   p             point in sx->buffer to build string
1678   addrlist      chain of potential addresses to deliver
1679
1680 Globals         f.smtp_authenticated
1681                 client_authenticated_sender
1682 Return  True on error, otherwise buffer has (possibly empty) terminated string
1683 */
1684
1685 static BOOL
1686 smtp_mail_auth_str(smtp_context * sx, uschar * p, address_item * addrlist)
1687 {
1688 smtp_transport_options_block * ob = sx->conn_args.ob;
1689 uschar * local_authenticated_sender = authenticated_sender;
1690
1691 #ifdef notdef
1692   debug_printf("smtp_mail_auth_str: as<%s> os<%s> SA<%s>\n",
1693     authenticated_sender, ob->authenticated_sender, f.smtp_authenticated?"Y":"N");
1694 #endif
1695
1696 if (ob->authenticated_sender)
1697   {
1698   uschar * new = expand_string(ob->authenticated_sender);
1699   if (!new)
1700     {
1701     if (!f.expand_string_forcedfail)
1702       {
1703       uschar *message = string_sprintf("failed to expand "
1704         "authenticated_sender: %s", expand_string_message);
1705       set_errno_nohost(addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
1706       return TRUE;
1707       }
1708     }
1709   else if (*new)
1710     local_authenticated_sender = new;
1711   }
1712
1713 /* Add the authenticated sender address if present */
1714
1715 if (  (f.smtp_authenticated || ob->authenticated_sender_force)
1716    && local_authenticated_sender)
1717   {
1718   string_format_nt(p, sizeof(sx->buffer) - (p-sx->buffer), " AUTH=%s",
1719     auth_xtextencode(local_authenticated_sender,
1720       Ustrlen(local_authenticated_sender)));
1721   client_authenticated_sender = string_copy(local_authenticated_sender);
1722   }
1723 else
1724   *p = 0;
1725
1726 return FALSE;
1727 }
1728
1729
1730
1731 typedef struct smtp_compare_s
1732 {
1733     uschar *                    current_sender_address;
1734     struct transport_instance * tblock;
1735 } smtp_compare_t;
1736
1737
1738 /* Create a unique string that identifies this message, it is based on
1739 sender_address, helo_data and tls_certificate if enabled.
1740 */
1741
1742 static uschar *
1743 smtp_local_identity(uschar * sender, struct transport_instance * tblock)
1744 {
1745 address_item * addr1;
1746 uschar * if1 = US"";
1747 uschar * helo1 = US"";
1748 #ifndef DISABLE_TLS
1749 uschar * tlsc1 = US"";
1750 #endif
1751 uschar * save_sender_address = sender_address;
1752 uschar * local_identity = NULL;
1753 smtp_transport_options_block * ob = SOB tblock->options_block;
1754
1755 sender_address = sender;
1756
1757 addr1 = deliver_make_addr (sender, TRUE);
1758 deliver_set_expansions(addr1);
1759
1760 if (ob->interface)
1761   if1 = expand_string(ob->interface);
1762
1763 if (ob->helo_data)
1764   helo1 = expand_string(ob->helo_data);
1765
1766 #ifndef DISABLE_TLS
1767 if (ob->tls_certificate)
1768   tlsc1 = expand_string(ob->tls_certificate);
1769 local_identity = string_sprintf ("%s^%s^%s", if1, helo1, tlsc1);
1770 #else
1771 local_identity = string_sprintf ("%s^%s", if1, helo1);
1772 #endif
1773
1774 deliver_set_expansions(NULL);
1775 sender_address = save_sender_address;
1776
1777 return local_identity;
1778 }
1779
1780
1781
1782 /* This routine is a callback that is called from transport_check_waiting.
1783 This function will evaluate the incoming message versus the previous
1784 message.  If the incoming message is using a different local identity then
1785 we will veto this new message.  */
1786
1787 static BOOL
1788 smtp_are_same_identities(uschar * message_id, smtp_compare_t * s_compare)
1789 {
1790 uschar * message_local_identity,
1791        * current_local_identity,
1792        * new_sender_address;
1793
1794 current_local_identity =
1795   smtp_local_identity(s_compare->current_sender_address, s_compare->tblock);
1796
1797 if (!(new_sender_address = spool_sender_from_msgid(message_id)))
1798   return FALSE;
1799
1800
1801 message_local_identity =
1802   smtp_local_identity(new_sender_address, s_compare->tblock);
1803
1804 return Ustrcmp(current_local_identity, message_local_identity) == 0;
1805 }
1806
1807
1808
1809 static unsigned
1810 ehlo_response(uschar * buf, unsigned checks)
1811 {
1812 PCRE2_SIZE bsize = Ustrlen(buf);
1813 pcre2_match_data * md = pcre2_match_data_create(1, pcre_gen_ctx);
1814
1815 /* debug_printf("%s: check for 0x%04x\n", __FUNCTION__, checks); */
1816
1817 #ifndef DISABLE_TLS
1818 if (  checks & OPTION_TLS
1819    && pcre2_match(regex_STARTTLS,
1820                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1821 #endif
1822   checks &= ~OPTION_TLS;
1823
1824 if (  checks & OPTION_IGNQ
1825    && pcre2_match(regex_IGNOREQUOTA,
1826                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1827   checks &= ~OPTION_IGNQ;
1828
1829 if (  checks & OPTION_CHUNKING
1830    && pcre2_match(regex_CHUNKING,
1831                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1832   checks &= ~OPTION_CHUNKING;
1833
1834 #ifndef DISABLE_PRDR
1835 if (  checks & OPTION_PRDR
1836    && pcre2_match(regex_PRDR,
1837                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1838 #endif
1839   checks &= ~OPTION_PRDR;
1840
1841 #ifdef SUPPORT_I18N
1842 if (  checks & OPTION_UTF8
1843    && pcre2_match(regex_UTF8,
1844                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1845 #endif
1846   checks &= ~OPTION_UTF8;
1847
1848 if (  checks & OPTION_DSN
1849    && pcre2_match(regex_DSN,
1850                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1851   checks &= ~OPTION_DSN;
1852
1853 if (  checks & OPTION_PIPE
1854    && pcre2_match(regex_PIPELINING,
1855                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1856   checks &= ~OPTION_PIPE;
1857
1858 if (  checks & OPTION_SIZE
1859    && pcre2_match(regex_SIZE,
1860                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1861   checks &= ~OPTION_SIZE;
1862
1863 #ifndef DISABLE_PIPE_CONNECT
1864 if (  checks & OPTION_EARLY_PIPE
1865    && pcre2_match(regex_EARLY_PIPE,
1866                   (PCRE2_SPTR)buf, bsize, 0, PCRE_EOPT, md, pcre_mtc_ctx) < 0)
1867 #endif
1868   checks &= ~OPTION_EARLY_PIPE;
1869
1870 pcre2_match_data_free(md);
1871 /* debug_printf("%s: found     0x%04x\n", __FUNCTION__, checks); */
1872 return checks;
1873 }
1874
1875
1876
1877 /* Callback for emitting a BDAT data chunk header.
1878
1879 If given a nonzero size, first flush any buffered SMTP commands
1880 then emit the command.
1881
1882 Reap previous SMTP command responses if requested, and always reap
1883 the response from a previous BDAT command.
1884
1885 Args:
1886  tctx           transport context
1887  chunk_size     value for SMTP BDAT command
1888  flags
1889    tc_chunk_last        add LAST option to SMTP BDAT command
1890    tc_reap_prev         reap response to previous SMTP commands
1891
1892 Returns:
1893   OK or ERROR
1894   DEFER                 TLS error on first read (EHLO-resp); errno set
1895 */
1896
1897 static int
1898 smtp_chunk_cmd_callback(transport_ctx * tctx, unsigned chunk_size,
1899   unsigned flags)
1900 {
1901 smtp_transport_options_block * ob = SOB tctx->tblock->options_block;
1902 smtp_context * sx = tctx->smtp_context;
1903 int cmd_count = 0;
1904 int prev_cmd_count;
1905
1906 /* Write SMTP chunk header command.  If not reaping responses, note that
1907 there may be more writes (like, the chunk data) done soon. */
1908
1909 if (chunk_size > 0)
1910   {
1911 #ifndef DISABLE_PIPE_CONNECT
1912   BOOL new_conn = !!(sx->outblock.conn_args);
1913 #endif
1914   if((cmd_count = smtp_write_command(sx,
1915               flags & tc_reap_prev ? SCMD_FLUSH : SCMD_MORE,
1916               "BDAT %u%s\r\n", chunk_size, flags & tc_chunk_last ? " LAST" : "")
1917      ) < 0) return ERROR;
1918   if (flags & tc_chunk_last)
1919     data_command = string_copy(big_buffer);  /* Save for later error message */
1920 #ifndef DISABLE_PIPE_CONNECT
1921   /* That command write could have been the one that made the connection.
1922   Copy the fd from the client conn ctx (smtp transport specific) to the
1923   generic transport ctx. */
1924
1925   if (new_conn)
1926     tctx->u.fd = sx->outblock.cctx->sock;
1927 #endif
1928   }
1929
1930 prev_cmd_count = cmd_count += sx->cmd_count;
1931
1932 /* Reap responses for any previous, but not one we just emitted */
1933
1934 if (chunk_size > 0)
1935   prev_cmd_count--;
1936 if (sx->pending_BDAT)
1937   prev_cmd_count--;
1938
1939 if (flags & tc_reap_prev  &&  prev_cmd_count > 0)
1940   {
1941   DEBUG(D_transport) debug_printf("look for %d responses"
1942     " for previous pipelined cmds\n", prev_cmd_count);
1943
1944   switch(sync_responses(sx, prev_cmd_count, 0))
1945     {
1946     case 1:                             /* 2xx (only) => OK */
1947     case 3: sx->good_RCPT = TRUE;       /* 2xx & 5xx => OK & progress made */
1948     case 2: sx->completed_addr = TRUE;  /* 5xx (only) => progress made */
1949     case 0: break;                      /* No 2xx or 5xx, but no probs */
1950
1951     case -5: errno = ERRNO_TLSFAILURE;
1952              return DEFER;
1953 #ifndef DISABLE_PIPE_CONNECT
1954     case -4:                            /* non-2xx for pipelined banner or EHLO */
1955 #endif
1956     case -1:                            /* Timeout on RCPT */
1957     default: return ERROR;              /* I/O error, or any MAIL/DATA error */
1958     }
1959   cmd_count = 1;
1960   if (!sx->pending_BDAT)
1961     pipelining_active = FALSE;
1962   }
1963
1964 /* Reap response for an outstanding BDAT */
1965
1966 if (sx->pending_BDAT)
1967   {
1968   DEBUG(D_transport) debug_printf("look for one response for BDAT\n");
1969
1970   if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
1971        ob->command_timeout))
1972     {
1973     if (errno == 0 && sx->buffer[0] == '4')
1974       {
1975       errno = ERRNO_DATA4XX;    /*XXX does this actually get used? */
1976       sx->addrlist->more_errno |=
1977         ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
1978       }
1979     return ERROR;
1980     }
1981   cmd_count--;
1982   sx->pending_BDAT = FALSE;
1983   pipelining_active = FALSE;
1984   }
1985 else if (chunk_size > 0)
1986   sx->pending_BDAT = TRUE;
1987
1988
1989 sx->cmd_count = cmd_count;
1990 return OK;
1991 }
1992
1993
1994
1995 #ifdef SUPPORT_DANE
1996 static int
1997 check_force_dane_conn(smtp_context * sx, smtp_transport_options_block * ob)
1998 {
1999 int rc;
2000 if(  sx->dane_required
2001   || verify_check_given_host(CUSS &ob->hosts_try_dane, sx->conn_args.host) == OK
2002   )
2003   switch (rc = tlsa_lookup(sx->conn_args.host, &sx->conn_args.tlsa_dnsa, sx->dane_required))
2004     {
2005     case OK:            sx->conn_args.dane = TRUE;
2006                         ob->tls_tempfail_tryclear = FALSE;      /* force TLS */
2007                         ob->tls_sni = sx->conn_args.host->name; /* force SNI */
2008                         break;
2009     case FAIL_FORCED:   break;
2010     default:            set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2011                             string_sprintf("DANE error: tlsa lookup %s",
2012                               rc_to_string(rc)),
2013                             rc, FALSE, &sx->delivery_start);
2014 # ifndef DISABLE_EVENT
2015                         (void) event_raise(sx->conn_args.tblock->event_action,
2016                           US"dane:fail", sx->dane_required
2017                             ?  US"dane-required" : US"dnssec-invalid",
2018                           NULL);
2019 # endif
2020                         return rc;
2021     }
2022 return OK;
2023 }
2024 #endif
2025
2026
2027 /*************************************************
2028 *       Make connection for given message        *
2029 *************************************************/
2030
2031 /*
2032 Arguments:
2033   sx              connection context
2034   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
2035                     a second attempt after TLS initialization fails
2036
2037 Returns:          OK    - the connection was made and the delivery attempted;
2038                           fd is set in the conn context, tls_out set up.
2039                   DEFER - the connection could not be made, or something failed
2040                           while setting up the SMTP session, or there was a
2041                           non-message-specific error, such as a timeout.
2042                   ERROR - helo_data or add_headers or authenticated_sender is
2043                           specified for this transport, and the string failed
2044                           to expand
2045 */
2046 int
2047 smtp_setup_conn(smtp_context * sx, BOOL suppress_tls)
2048 {
2049 smtp_transport_options_block * ob = sx->conn_args.tblock->options_block;
2050 BOOL pass_message = FALSE;
2051 uschar * message = NULL;
2052 int yield = OK;
2053 #ifndef DISABLE_TLS
2054 uschar * tls_errstr;
2055 #endif
2056
2057 /* Many lines of clearing individual elements of *sx that used to
2058 be here have been replaced by a full memset to zero (de41aff051).
2059 There are two callers, this file and verify.c .  Now we only set
2060 up nonzero elements. */
2061
2062 sx->conn_args.ob = ob;
2063
2064 sx->lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
2065 sx->smtps = strcmpic(ob->protocol, US"smtps") == 0;
2066 sx->send_rset = TRUE;
2067 sx->send_quit = TRUE;
2068 sx->setting_up = TRUE;
2069 sx->esmtp = TRUE;
2070 sx->dsn_all_lasthop = TRUE;
2071 #ifdef SUPPORT_DANE
2072 sx->dane_required =
2073   verify_check_given_host(CUSS &ob->hosts_require_dane, sx->conn_args.host) == OK;
2074 #endif
2075
2076 if ((sx->max_mail = sx->conn_args.tblock->connection_max_messages) == 0) sx->max_mail = 999999;
2077 if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)           sx->max_rcpt = 999999;
2078 sx->igquotstr = US"";
2079 if (!sx->helo_data) sx->helo_data = ob->helo_data;
2080
2081 smtp_command = US"initial connection";
2082
2083 /* Set up the buffer for reading SMTP response packets. */
2084
2085 sx->inblock.buffer = sx->inbuffer;
2086 sx->inblock.buffersize = sizeof(sx->inbuffer);
2087 sx->inblock.ptr = sx->inbuffer;
2088 sx->inblock.ptrend = sx->inbuffer;
2089
2090 /* Set up the buffer for holding SMTP commands while pipelining */
2091
2092 sx->outblock.buffer = sx->outbuffer;
2093 sx->outblock.buffersize = sizeof(sx->outbuffer);
2094 sx->outblock.ptr = sx->outbuffer;
2095
2096 /* Reset the parameters of a TLS session. */
2097
2098 tls_out.bits = 0;
2099 tls_out.cipher = NULL;  /* the one we may use for this transport */
2100 tls_out.ourcert = NULL;
2101 tls_out.peercert = NULL;
2102 tls_out.peerdn = NULL;
2103 #ifdef USE_OPENSSL
2104 tls_out.sni = NULL;
2105 #endif
2106 tls_out.ocsp = OCSP_NOT_REQ;
2107 #ifndef DISABLE_TLS_RESUME
2108 tls_out.resumption = 0;
2109 #endif
2110 tls_out.ver = NULL;
2111
2112 /* Flip the legacy TLS-related variables over to the outbound set in case
2113 they're used in the context of the transport.  Don't bother resetting
2114 afterward (when being used by a transport) as we're in a subprocess.
2115 For verify, unflipped once the callout is dealt with */
2116
2117 tls_modify_variables(&tls_out);
2118
2119 #ifdef DISABLE_TLS
2120 if (sx->smtps)
2121   {
2122   set_errno_nohost(sx->addrlist, ERRNO_TLSFAILURE, US"TLS support not available",
2123             DEFER, FALSE, &sx->delivery_start);
2124   return ERROR;
2125   }
2126 #else
2127
2128 /* If we have a proxied TLS connection, check usability for this message */
2129
2130 if (continue_hostname && continue_proxy_cipher)
2131   {
2132   int rc;
2133   const uschar * sni = US"";
2134
2135 # ifdef SUPPORT_DANE
2136   /* Check if the message will be DANE-verified; if so force TLS and its SNI */
2137
2138   tls_out.dane_verified = FALSE;
2139   smtp_port_for_connect(sx->conn_args.host, sx->port);
2140   if (  sx->conn_args.host->dnssec == DS_YES
2141      && (rc = check_force_dane_conn(sx, ob)) != OK
2142      )
2143     return rc;
2144 # endif
2145
2146   /* If the SNI or the DANE status required for the new message differs from the
2147   existing conn drop the connection to force a new one. */
2148
2149   if (ob->tls_sni && !(sni = expand_cstring(ob->tls_sni)))
2150     log_write(0, LOG_MAIN|LOG_PANIC,
2151       "<%s>: failed to expand transport's tls_sni value: %s",
2152       sx->addrlist->address, expand_string_message);
2153
2154 # ifdef SUPPORT_DANE
2155   if (  (continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni)
2156      && continue_proxy_dane == sx->conn_args.dane)
2157     {
2158     tls_out.sni = US sni;
2159     if ((tls_out.dane_verified = continue_proxy_dane))
2160       sx->conn_args.host->dnssec = DS_YES;
2161     }
2162 # else
2163   if ((continue_proxy_sni ? (Ustrcmp(continue_proxy_sni, sni) == 0) : !*sni))
2164     tls_out.sni = US sni;
2165 # endif
2166   else
2167     {
2168     DEBUG(D_transport)
2169       debug_printf("Closing proxied-TLS connection due to SNI mismatch\n");
2170
2171     smtp_debug_cmd(US"QUIT", 0);
2172     write(0, "QUIT\r\n", 6);
2173     close(0);
2174     continue_hostname = continue_proxy_cipher = NULL;
2175     f.continue_more = FALSE;
2176     continue_sequence = 1;      /* Unfortunately, this process cannot affect success log
2177                                 which is done by delivery proc.  Would have to pass this
2178                                 back through reporting pipe. */
2179     }
2180   }
2181 #endif  /*!DISABLE_TLS*/
2182
2183 /* Make a connection to the host if this isn't a continued delivery, and handle
2184 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
2185 specially so they can be identified for retries. */
2186
2187 if (!continue_hostname)
2188   {
2189   if (sx->verify)
2190     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", sx->conn_args.interface, sx->port);
2191
2192   /* Arrange to report to calling process this is a new connection */
2193
2194   clearflag(sx->first_addr, af_cont_conn);
2195   setflag(sx->first_addr, af_new_conn);
2196
2197   /* Get the actual port the connection will use, into sx->conn_args.host */
2198
2199   smtp_port_for_connect(sx->conn_args.host, sx->port);
2200
2201 #ifdef SUPPORT_DANE
2202     /* Do TLSA lookup for DANE */
2203     {
2204     tls_out.dane_verified = FALSE;
2205     tls_out.tlsa_usage = 0;
2206
2207     if (sx->conn_args.host->dnssec == DS_YES)
2208       {
2209       int rc;
2210       if ((rc = check_force_dane_conn(sx, ob)) != OK)
2211         return rc;
2212       }
2213     else if (sx->dane_required)
2214       {
2215       set_errno_nohost(sx->addrlist, ERRNO_DNSDEFER,
2216         string_sprintf("DANE error: %s lookup not DNSSEC", sx->conn_args.host->name),
2217         FAIL, FALSE, &sx->delivery_start);
2218 # ifndef DISABLE_EVENT
2219       (void) event_raise(sx->conn_args.tblock->event_action,
2220         US"dane:fail", US"dane-required", NULL);
2221 # endif
2222       return FAIL;
2223       }
2224     }
2225 #endif  /*DANE*/
2226
2227   /* Make the TCP connection */
2228
2229   sx->cctx.tls_ctx = NULL;
2230   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2231 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2232   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom =
2233 #endif
2234   sx->avoid_option = sx->peer_offered = smtp_peer_options = 0;
2235 #ifndef DISABLE_CLIENT_CMD_LOG
2236   client_cmd_log = NULL;
2237 #endif
2238
2239 #ifndef DISABLE_PIPE_CONNECT
2240   if (  verify_check_given_host(CUSS &ob->hosts_pipe_connect,
2241                                             sx->conn_args.host) == OK)
2242
2243     /* We don't find out the local ip address until the connect, so if
2244     the helo string might use it avoid doing early-pipelining. */
2245
2246     if (  !sx->helo_data
2247        || sx->conn_args.interface
2248        || !Ustrstr(sx->helo_data, "$sending_ip_address")
2249        || Ustrstr(sx->helo_data, "def:sending_ip_address")
2250        )
2251       {
2252       sx->early_pipe_ok = TRUE;
2253       if (  read_ehlo_cache_entry(sx)
2254          && sx->ehlo_resp.cleartext_features & OPTION_EARLY_PIPE)
2255         {
2256         DEBUG(D_transport)
2257           debug_printf("Using cached cleartext PIPECONNECT\n");
2258         sx->early_pipe_active = TRUE;
2259         sx->peer_offered = sx->ehlo_resp.cleartext_features;
2260         }
2261       }
2262     else DEBUG(D_transport)
2263       debug_printf("helo needs $sending_ip_address; avoid early-pipelining\n");
2264
2265 PIPE_CONNECT_RETRY:
2266   if (sx->early_pipe_active)
2267     {
2268     sx->outblock.conn_args = &sx->conn_args;
2269     (void) smtp_boundsock(&sx->conn_args);
2270     }
2271   else
2272 #endif
2273     {
2274     blob lazy_conn = {.data = NULL};
2275     /* For TLS-connect, a TFO lazy-connect is useful since the Client Hello
2276     can go on the TCP SYN. */
2277
2278     if ((sx->cctx.sock = smtp_connect(&sx->conn_args,
2279                             sx->smtps ? &lazy_conn : NULL)) < 0)
2280       {
2281       set_errno_nohost(sx->addrlist,
2282         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
2283         sx->verify ? US strerror(errno) : NULL,
2284         DEFER, FALSE, &sx->delivery_start);
2285       sx->send_quit = FALSE;
2286       return DEFER;
2287       }
2288 #ifdef TCP_QUICKACK
2289     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, TCP_QUICKACK, US &off,
2290                         sizeof(off));
2291 #endif
2292     }
2293   /* Expand the greeting message while waiting for the initial response. (Makes
2294   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
2295   delayed till here so that $sending_ip_address and $sending_port are set.
2296   Those will be known even for a TFO lazy-connect, having been set by the bind().
2297   For early-pipe, we are ok if binding to a local interface; otherwise (if
2298   $sending_ip_address is seen in helo_data) we disabled early-pipe above. */
2299
2300   if (sx->helo_data)
2301     if (!(sx->helo_data = expand_string(sx->helo_data)))
2302       if (sx->verify)
2303         log_write(0, LOG_MAIN|LOG_PANIC,
2304           "<%s>: failed to expand transport's helo_data value for callout: %s",
2305           sx->addrlist->address, expand_string_message);
2306
2307 #ifdef SUPPORT_I18N
2308   if (sx->helo_data)
2309     {
2310     expand_string_message = NULL;
2311     if ((sx->helo_data = string_domain_utf8_to_alabel(sx->helo_data,
2312                                               &expand_string_message)),
2313         expand_string_message)
2314       if (sx->verify)
2315         log_write(0, LOG_MAIN|LOG_PANIC,
2316           "<%s>: failed to expand transport's helo_data value for callout: %s",
2317           sx->addrlist->address, expand_string_message);
2318       else
2319         sx->helo_data = NULL;
2320     }
2321 #endif
2322
2323   /* The first thing is to wait for an initial OK response. The dreaded "goto"
2324   is nevertheless a reasonably clean way of programming this kind of logic,
2325   where you want to escape on any error. */
2326
2327   if (!sx->smtps)
2328     {
2329 #ifndef DISABLE_PIPE_CONNECT
2330     if (sx->early_pipe_active)
2331       {
2332       sx->pending_BANNER = TRUE;        /* sync_responses() must eventually handle */
2333       sx->outblock.cmd_count = 1;
2334       }
2335     else
2336 #endif
2337       {
2338       if (!smtp_reap_banner(sx))
2339         goto RESPONSE_FAILED;
2340       }
2341
2342 #ifndef DISABLE_EVENT
2343       {
2344       uschar * s;
2345       lookup_dnssec_authenticated = sx->conn_args.host->dnssec==DS_YES ? US"yes"
2346         : sx->conn_args.host->dnssec==DS_NO ? US"no" : NULL;
2347       s = event_raise(sx->conn_args.tblock->event_action, US"smtp:connect", sx->buffer, NULL);
2348       if (s)
2349         {
2350         set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL,
2351           string_sprintf("deferred by smtp:connect event expansion: %s", s),
2352           DEFER, FALSE, &sx->delivery_start);
2353         yield = DEFER;
2354         goto SEND_QUIT;
2355         }
2356       }
2357 #endif
2358
2359     /* Now check if the helo_data expansion went well, and sign off cleanly if
2360     it didn't. */
2361
2362     if (!sx->helo_data)
2363       {
2364       message = string_sprintf("failed to expand helo_data: %s",
2365         expand_string_message);
2366       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2367       yield = DEFER;
2368       goto SEND_QUIT;
2369       }
2370     }
2371
2372 /** Debugging without sending a message
2373 sx->addrlist->transport_return = DEFER;
2374 goto SEND_QUIT;
2375 **/
2376
2377   /* Errors that occur after this point follow an SMTP command, which is
2378   left in big_buffer by smtp_write_command() for use in error messages. */
2379
2380   smtp_command = big_buffer;
2381
2382   /* Tell the remote who we are...
2383
2384   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
2385   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
2386   greeting is of this form. The assumption was that the far end supports it
2387   properly... but experience shows that there are some that give 5xx responses,
2388   even though the banner includes "ESMTP" (there's a bloody-minded one that
2389   says "ESMTP not spoken here"). Cope with that case.
2390
2391   September 2000: Time has passed, and it seems reasonable now to always send
2392   EHLO at the start. It is also convenient to make the change while installing
2393   the TLS stuff.
2394
2395   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
2396   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
2397   would be no way to send out the mails, so there is now a host list
2398   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
2399   PIPELINING problem as well. Maybe it can also be useful to cure other
2400   problems with broken servers.
2401
2402   Exim originally sent "Helo" at this point and ran for nearly a year that way.
2403   Then somebody tried it with a Microsoft mailer... It seems that all other
2404   mailers use upper case for some reason (the RFC is quite clear about case
2405   independence) so, for peace of mind, I gave in. */
2406
2407   sx->esmtp = verify_check_given_host(CUSS &ob->hosts_avoid_esmtp, sx->conn_args.host) != OK;
2408
2409   /* Alas; be careful, since this goto is not an error-out, so conceivably
2410   we might set data between here and the target which we assume to exist
2411   and be usable.  I can see this coming back to bite us. */
2412 #ifndef DISABLE_TLS
2413   if (sx->smtps)
2414     {
2415     smtp_peer_options |= OPTION_TLS;
2416     suppress_tls = FALSE;
2417     ob->tls_tempfail_tryclear = FALSE;
2418     smtp_command = US"SSL-on-connect";
2419     goto TLS_NEGOTIATE;
2420     }
2421 #endif
2422
2423   if (sx->esmtp)
2424     {
2425     if (smtp_write_command(sx,
2426 #ifndef DISABLE_PIPE_CONNECT
2427           sx->early_pipe_active ? SCMD_BUFFER :
2428 #endif
2429             SCMD_FLUSH,
2430           "%s %s\r\n", sx->lmtp ? "LHLO" : "EHLO", sx->helo_data) < 0)
2431       goto SEND_FAILED;
2432     sx->esmtp_sent = TRUE;
2433
2434 #ifndef DISABLE_PIPE_CONNECT
2435     if (sx->early_pipe_active)
2436       {
2437       sx->pending_EHLO = TRUE;
2438
2439       /* If we have too many authenticators to handle and might need to AUTH
2440       for this transport, pipeline no further as we will need the
2441       list of auth methods offered.  Reap the banner and EHLO. */
2442
2443       if (  (ob->hosts_require_auth || ob->hosts_try_auth)
2444          && f.smtp_in_early_pipe_no_auth)
2445         {
2446         DEBUG(D_transport) debug_printf("may need to auth, so pipeline no further\n");
2447         if (smtp_write_command(sx, SCMD_FLUSH, NULL) < 0)
2448           goto SEND_FAILED;
2449         if (sync_responses(sx, 2, 0) != 0)
2450           {
2451           HDEBUG(D_transport)
2452             debug_printf("failed reaping pipelined cmd responses\n");
2453           goto RESPONSE_FAILED;
2454           }
2455         sx->early_pipe_active = FALSE;
2456         }
2457       }
2458     else
2459 #endif
2460       if (!smtp_reap_ehlo(sx))
2461         goto RESPONSE_FAILED;
2462     }
2463   else
2464     DEBUG(D_transport)
2465       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2466
2467 #ifndef DISABLE_PIPE_CONNECT
2468   if (!sx->early_pipe_active)
2469 #endif
2470     if (!sx->esmtp)
2471       {
2472       BOOL good_response;
2473       int n = sizeof(sx->buffer);
2474       uschar * rsp = sx->buffer;
2475
2476       if (sx->esmtp_sent && (n = Ustrlen(sx->buffer) + 1) < sizeof(sx->buffer)/2)
2477         { rsp = sx->buffer + n; n = sizeof(sx->buffer) - n; }
2478
2479       if (smtp_write_command(sx, SCMD_FLUSH, "HELO %s\r\n", sx->helo_data) < 0)
2480         goto SEND_FAILED;
2481       good_response = smtp_read_response(sx, rsp, n, '2', ob->command_timeout);
2482 #ifdef EXPERIMENTAL_DSN_INFO
2483       sx->helo_response = string_copy(rsp);
2484 #endif
2485       if (!good_response)
2486         {
2487         /* Handle special logging for a closed connection after HELO
2488         when had previously sent EHLO */
2489
2490         if (rsp != sx->buffer && rsp[0] == 0 && (errno == 0 || errno == ECONNRESET))
2491           {
2492           errno = ERRNO_SMTPCLOSED;
2493           goto EHLOHELO_FAILED;
2494           }
2495         memmove(sx->buffer, rsp, Ustrlen(rsp));
2496         goto RESPONSE_FAILED;
2497         }
2498       }
2499
2500   if (sx->esmtp || sx->lmtp)
2501     {
2502 #ifndef DISABLE_PIPE_CONNECT
2503     if (!sx->early_pipe_active)
2504 #endif
2505       {
2506       sx->peer_offered = ehlo_response(sx->buffer,
2507         OPTION_TLS      /* others checked later */
2508 #ifndef DISABLE_PIPE_CONNECT
2509         | (sx->early_pipe_ok
2510           ?   OPTION_IGNQ
2511             | OPTION_CHUNKING | OPTION_PRDR | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2512 #ifdef SUPPORT_I18N
2513             | OPTION_UTF8
2514 #endif
2515             | OPTION_EARLY_PIPE
2516           : 0
2517           )
2518 #endif
2519         );
2520 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2521       if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2522         {
2523         ehlo_response_limits_read(sx);
2524         ehlo_response_limits_apply(sx);
2525         }
2526 #endif
2527 #ifndef DISABLE_PIPE_CONNECT
2528       if (sx->early_pipe_ok)
2529         {
2530         sx->ehlo_resp.cleartext_features = sx->peer_offered;
2531
2532         if (  (sx->peer_offered & (OPTION_PIPE | OPTION_EARLY_PIPE))
2533            == (OPTION_PIPE | OPTION_EARLY_PIPE))
2534           {
2535           DEBUG(D_transport) debug_printf("PIPE_CONNECT usable in future for this IP\n");
2536           sx->ehlo_resp.cleartext_auths = study_ehlo_auths(sx);
2537           write_ehlo_cache_entry(sx);
2538           }
2539         }
2540 #endif
2541       }
2542
2543   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
2544
2545 #ifndef DISABLE_TLS
2546     smtp_peer_options |= sx->peer_offered & OPTION_TLS;
2547 #endif
2548     }
2549   }
2550
2551 /* For continuing deliveries down the same channel, having re-exec'd  the socket
2552 is the standard input; for a socket held open from verify it is recorded
2553 in the cutthrough context block.  Either way we don't need to redo EHLO here
2554 (but may need to do so for TLS - see below).
2555 Set up the pointer to where subsequent commands will be left, for
2556 error messages. Note that smtp_peer_options will have been
2557 set from the command line if they were set in the process that passed the
2558 connection on. */
2559
2560 /*XXX continue case needs to propagate DSN_INFO, prob. in deliver.c
2561 as the continue goes via transport_pass_socket() and doublefork and exec.
2562 It does not wait.  Unclear how we keep separate host's responses
2563 separate - we could match up by host ip+port as a bodge. */
2564
2565 else
2566   {
2567   if (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only)
2568     {
2569     sx->cctx = cutthrough.cctx;
2570     sx->conn_args.host->port = sx->port = cutthrough.host.port;
2571     }
2572   else
2573     {
2574     sx->cctx.sock = 0;                          /* stdin */
2575     sx->cctx.tls_ctx = NULL;
2576     smtp_port_for_connect(sx->conn_args.host, sx->port);        /* Record the port that was used */
2577     }
2578   sx->inblock.cctx = sx->outblock.cctx = &sx->cctx;
2579   smtp_command = big_buffer;
2580   sx->peer_offered = smtp_peer_options;
2581 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2582   /* Limits passed by cmdline over exec. */
2583   ehlo_limits_apply(sx,
2584                     sx->peer_limit_mail = continue_limit_mail,
2585                     sx->peer_limit_rcpt = continue_limit_rcpt,
2586                     sx->peer_limit_rcptdom = continue_limit_rcptdom);
2587 #endif
2588   sx->helo_data = NULL;         /* ensure we re-expand ob->helo_data */
2589
2590   /* For a continued connection with TLS being proxied for us, or a
2591   held-open verify connection with TLS, nothing more to do. */
2592
2593   if (  continue_proxy_cipher
2594      || (cutthrough.cctx.sock >= 0 && cutthrough.callout_hold_only
2595          && cutthrough.is_tls)
2596      )
2597     {
2598     sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2599     HDEBUG(D_transport) debug_printf("continued connection, %s TLS\n",
2600       continue_proxy_cipher ? "proxied" : "verify conn with");
2601     return OK;
2602     }
2603   HDEBUG(D_transport) debug_printf("continued connection, no TLS\n");
2604   }
2605
2606 /* If TLS is available on this connection, whether continued or not, attempt to
2607 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
2608 send another EHLO - the server may give a different answer in secure mode. We
2609 use a separate buffer for reading the response to STARTTLS so that if it is
2610 negative, the original EHLO data is available for subsequent analysis, should
2611 the client not be required to use TLS. If the response is bad, copy the buffer
2612 for error analysis. */
2613
2614 #ifndef DISABLE_TLS
2615 if (  smtp_peer_options & OPTION_TLS
2616    && !suppress_tls
2617    && verify_check_given_host(CUSS &ob->hosts_avoid_tls, sx->conn_args.host) != OK
2618    && (  !sx->verify
2619       || verify_check_given_host(CUSS &ob->hosts_verify_avoid_tls, sx->conn_args.host) != OK
2620    )  )
2621   {
2622   uschar buffer2[4096];
2623
2624   if (smtp_write_command(sx, SCMD_FLUSH, "STARTTLS\r\n") < 0)
2625     goto SEND_FAILED;
2626
2627 #ifndef DISABLE_PIPE_CONNECT
2628   /* If doing early-pipelining reap the banner and EHLO-response but leave
2629   the response for the STARTTLS we just sent alone.  On fail, assume wrong
2630   cached capability and retry with the pipelining disabled. */
2631
2632   if (sx->early_pipe_active && sync_responses(sx, 2, 0) != 0)
2633     {
2634     HDEBUG(D_transport)
2635       debug_printf("failed reaping pipelined cmd responses\n");
2636     close(sx->cctx.sock);
2637     sx->cctx.sock = -1;
2638     sx->early_pipe_active = FALSE;
2639     goto PIPE_CONNECT_RETRY;
2640     }
2641 #endif
2642
2643   /* If there is an I/O error, transmission of this message is deferred. If
2644   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
2645   false, we also defer. However, if there is a temporary rejection of STARTTLS
2646   and tls_tempfail_tryclear is true, or if there is an outright rejection of
2647   STARTTLS, we carry on. This means we will try to send the message in clear,
2648   unless the host is in hosts_require_tls (tested below). */
2649
2650   if (!smtp_read_response(sx, buffer2, sizeof(buffer2), '2', ob->command_timeout))
2651     {
2652     if (  errno != 0
2653        || buffer2[0] == 0
2654        || (buffer2[0] == '4' && !ob->tls_tempfail_tryclear)
2655        )
2656       {
2657       Ustrncpy(sx->buffer, buffer2, sizeof(sx->buffer));
2658       sx->buffer[sizeof(sx->buffer)-1] = '\0';
2659       goto RESPONSE_FAILED;
2660       }
2661     }
2662
2663   /* STARTTLS accepted: try to negotiate a TLS session. */
2664
2665   else
2666   TLS_NEGOTIATE:
2667     {
2668     sx->conn_args.sending_ip_address = sending_ip_address;
2669     if (!tls_client_start(&sx->cctx, &sx->conn_args, sx->addrlist, &tls_out, &tls_errstr))
2670       {
2671       /* TLS negotiation failed; give an error. From outside, this function may
2672       be called again to try in clear on a new connection, if the options permit
2673       it for this host. */
2674   TLS_CONN_FAILED:
2675       DEBUG(D_tls) debug_printf("TLS session fail: %s\n", tls_errstr);
2676
2677 # ifdef SUPPORT_DANE
2678       if (sx->conn_args.dane)
2679         {
2680         log_write(0, LOG_MAIN,
2681           "DANE attempt failed; TLS connection to %s [%s]: %s",
2682           sx->conn_args.host->name, sx->conn_args.host->address, tls_errstr);
2683 #  ifndef DISABLE_EVENT
2684         (void) event_raise(sx->conn_args.tblock->event_action,
2685           US"dane:fail", US"validation-failure", NULL); /* could do with better detail */
2686 #  endif
2687         }
2688 # endif
2689
2690       errno = ERRNO_TLSFAILURE;
2691       message = string_sprintf("TLS session: %s", tls_errstr);
2692       sx->send_quit = FALSE;
2693       goto TLS_FAILED;
2694       }
2695     sx->send_tlsclose = TRUE;
2696
2697     /* TLS session is set up.  Check the inblock fill level.  If there is
2698     content then as we have not yet done a tls read it must have arrived before
2699     the TLS handshake, in-clear.  That violates the sync requirement of the
2700     STARTTLS RFC, so fail. */
2701
2702     if (sx->inblock.ptr != sx->inblock.ptrend)
2703       {
2704       DEBUG(D_tls)
2705         {
2706         int i = sx->inblock.ptrend - sx->inblock.ptr;
2707         debug_printf("unused data in input buffer after ack for STARTTLS:\n"
2708           "'%.*s'%s\n",
2709           i > 100 ? 100 : i, sx->inblock.ptr, i > 100 ? "..." : "");
2710         }
2711       tls_errstr = US"synch error before connect";
2712       goto TLS_CONN_FAILED;
2713       }
2714
2715     smtp_peer_options_wrap = smtp_peer_options;
2716     for (address_item * addr = sx->addrlist; addr; addr = addr->next)
2717       if (addr->transport_return == PENDING_DEFER)
2718         {
2719         addr->cipher = tls_out.cipher;
2720         addr->ourcert = tls_out.ourcert;
2721         addr->peercert = tls_out.peercert;
2722         addr->peerdn = tls_out.peerdn;
2723         addr->ocsp = tls_out.ocsp;
2724         addr->tlsver = tls_out.ver;
2725         }
2726     }
2727   }
2728
2729 /* if smtps, we'll have smtp_command set to something else; always safe to
2730 reset it here. */
2731 smtp_command = big_buffer;
2732
2733 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
2734 helo_data is null, we are dealing with a connection that was passed from
2735 another process, and so we won't have expanded helo_data above. We have to
2736 expand it here. $sending_ip_address and $sending_port are set up right at the
2737 start of the Exim process (in exim.c). */
2738
2739 if (tls_out.active.sock >= 0)
2740   {
2741   uschar * greeting_cmd;
2742
2743   if (!sx->helo_data && !(sx->helo_data = expand_string(ob->helo_data)))
2744     {
2745     uschar *message = string_sprintf("failed to expand helo_data: %s",
2746       expand_string_message);
2747     set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
2748     yield = DEFER;
2749     goto SEND_QUIT;
2750     }
2751
2752 #ifndef DISABLE_PIPE_CONNECT
2753   /* For SMTPS there is no cleartext early-pipe; use the crypted permission bit.
2754   We're unlikely to get the group sent and delivered before the server sends its
2755   banner, but it's still worth sending as a group.
2756   For STARTTLS allow for cleartext early-pipe but no crypted early-pipe, but not
2757   the reverse.  */
2758
2759   if (sx->smtps ? sx->early_pipe_ok : sx->early_pipe_active)
2760     {
2761     sx->peer_offered = sx->ehlo_resp.crypted_features;
2762     if ((sx->early_pipe_active =
2763          !!(sx->ehlo_resp.crypted_features & OPTION_EARLY_PIPE)))
2764       DEBUG(D_transport) debug_printf("Using cached crypted PIPECONNECT\n");
2765     }
2766 #endif
2767 #ifdef EXPERIMMENTAL_ESMTP_LIMITS
2768   /* As we are about to send another EHLO, forget any LIMITS received so far. */
2769   sx->peer_limit_mail = sx->peer_limit_rcpt = sx->peer_limit_rcptdom = 0;
2770   if ((sx->max_mail = sx->conn_args.tblock->connection_max_message) == 0) sx->max_mail = 999999;
2771   if ((sx->max_rcpt = sx->conn_args.tblock->max_addresses) == 0)          sx->max_rcpt = 999999;
2772   sx->single_rcpt_domain = FALSE;
2773 #endif
2774
2775   /* For SMTPS we need to wait for the initial OK response. */
2776   if (sx->smtps)
2777 #ifndef DISABLE_PIPE_CONNECT
2778     if (sx->early_pipe_active)
2779       {
2780       sx->pending_BANNER = TRUE;
2781       sx->outblock.cmd_count = 1;
2782       }
2783     else
2784 #endif
2785       if (!smtp_reap_banner(sx))
2786         goto RESPONSE_FAILED;
2787
2788   if (sx->lmtp)
2789     greeting_cmd = US"LHLO";
2790   else if (sx->esmtp)
2791     greeting_cmd = US"EHLO";
2792   else
2793     {
2794     greeting_cmd = US"HELO";
2795     DEBUG(D_transport)
2796       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
2797     }
2798
2799   if (smtp_write_command(sx,
2800 #ifndef DISABLE_PIPE_CONNECT
2801         sx->early_pipe_active ? SCMD_BUFFER :
2802 #endif
2803           SCMD_FLUSH,
2804         "%s %s\r\n", greeting_cmd, sx->helo_data) < 0)
2805     goto SEND_FAILED;
2806
2807 #ifndef DISABLE_PIPE_CONNECT
2808   if (sx->early_pipe_active)
2809     sx->pending_EHLO = TRUE;
2810   else
2811 #endif
2812     {
2813     if (!smtp_reap_ehlo(sx))
2814 #ifdef USE_GNUTLS
2815       {
2816       /* The GnuTLS layer in Exim only spots a server-rejection of a client
2817       cert late, under TLS1.3 - which means here; the first time we try to
2818       receive crypted data.  Treat it as if it was a connect-time failure.
2819       See also the early-pipe equivalent... which will be hard; every call
2820       to sync_responses will need to check the result.
2821       It would be nicer to have GnuTLS check the cert during the handshake.
2822       Can it do that, with all the flexibility we need? */
2823
2824       tls_errstr = US"error on first read";
2825       goto TLS_CONN_FAILED;
2826       }
2827 #else
2828       goto RESPONSE_FAILED;
2829 #endif
2830     smtp_peer_options = 0;
2831     }
2832   }
2833
2834 /* If the host is required to use a secure channel, ensure that we
2835 have one. */
2836
2837 else if (  sx->smtps
2838 # ifdef SUPPORT_DANE
2839         || sx->conn_args.dane
2840 # endif
2841         || verify_check_given_host(CUSS &ob->hosts_require_tls, sx->conn_args.host) == OK
2842         )
2843   {
2844   errno = ERRNO_TLSREQUIRED;
2845   message = string_sprintf("a TLS session is required, but %s",
2846     smtp_peer_options & OPTION_TLS
2847     ? "an attempt to start TLS failed" : "the server did not offer TLS support");
2848 # if defined(SUPPORT_DANE) && !defined(DISABLE_EVENT)
2849   if (sx->conn_args.dane)
2850     (void) event_raise(sx->conn_args.tblock->event_action, US"dane:fail",
2851       smtp_peer_options & OPTION_TLS
2852       ? US"validation-failure"          /* could do with better detail */
2853       : US"starttls-not-supported",
2854       NULL);
2855 # endif
2856   goto TLS_FAILED;
2857   }
2858 #endif  /*DISABLE_TLS*/
2859
2860 /* If TLS is active, we have just started it up and re-done the EHLO command,
2861 so its response needs to be analyzed. If TLS is not active and this is a
2862 continued session down a previously-used socket, we haven't just done EHLO, so
2863 we skip this. */
2864
2865 if (   !continue_hostname
2866 #ifndef DISABLE_TLS
2867     || tls_out.active.sock >= 0
2868 #endif
2869     )
2870   {
2871   if (sx->esmtp || sx->lmtp)
2872     {
2873 #ifndef DISABLE_PIPE_CONNECT
2874   if (!sx->early_pipe_active)
2875 #endif
2876     {
2877     sx->peer_offered = ehlo_response(sx->buffer,
2878         0 /* no TLS */
2879 #ifndef DISABLE_PIPE_CONNECT
2880         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2881         | OPTION_DSN | OPTION_PIPE | OPTION_SIZE
2882         | OPTION_CHUNKING | OPTION_PRDR | OPTION_UTF8
2883         | (tls_out.active.sock >= 0 ? OPTION_EARLY_PIPE : 0) /* not for lmtp */
2884
2885 #else
2886
2887         | (sx->lmtp && ob->lmtp_ignore_quota ? OPTION_IGNQ : 0)
2888         | OPTION_CHUNKING
2889         | OPTION_PRDR
2890 # ifdef SUPPORT_I18N
2891         | (sx->addrlist->prop.utf8_msg ? OPTION_UTF8 : 0)
2892           /*XXX if we hand peercaps on to continued-conn processes,
2893                 must not depend on this addr */
2894 # endif
2895         | OPTION_DSN
2896         | OPTION_PIPE
2897         | (ob->size_addition >= 0 ? OPTION_SIZE : 0)
2898 #endif
2899       );
2900 #ifndef DISABLE_PIPE_CONNECT
2901     if (tls_out.active.sock >= 0)
2902       sx->ehlo_resp.crypted_features = sx->peer_offered;
2903 #endif
2904
2905 #ifdef EXPERIMENTAL_ESMTP_LIMITS
2906     if (tls_out.active.sock >= 0 || !(sx->peer_offered & OPTION_TLS))
2907       {
2908       ehlo_response_limits_read(sx);
2909       ehlo_response_limits_apply(sx);
2910       }
2911 #endif
2912     }
2913
2914     /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
2915     lmtp_ignore_quota option was set. */
2916
2917     sx->igquotstr = sx->peer_offered & OPTION_IGNQ ? US" IGNOREQUOTA" : US"";
2918
2919     /* If the response to EHLO specified support for the SIZE parameter, note
2920     this, provided size_addition is non-negative. */
2921
2922     smtp_peer_options |= sx->peer_offered & OPTION_SIZE;
2923
2924     /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
2925     the current host, esmtp will be false, so PIPELINING can never be used. If
2926     the current host matches hosts_avoid_pipelining, don't do it. */
2927
2928     if (  sx->peer_offered & OPTION_PIPE
2929        && verify_check_given_host(CUSS &ob->hosts_avoid_pipelining, sx->conn_args.host) != OK)
2930       smtp_peer_options |= OPTION_PIPE;
2931
2932     DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
2933       smtp_peer_options & OPTION_PIPE ? "" : "not ");
2934
2935     if (  sx->peer_offered & OPTION_CHUNKING
2936        && verify_check_given_host(CUSS &ob->hosts_try_chunking, sx->conn_args.host) == OK)
2937       smtp_peer_options |= OPTION_CHUNKING;
2938
2939     if (smtp_peer_options & OPTION_CHUNKING)
2940       DEBUG(D_transport) debug_printf("CHUNKING usable\n");
2941
2942 #ifndef DISABLE_PRDR
2943     if (  sx->peer_offered & OPTION_PRDR
2944        && verify_check_given_host(CUSS &ob->hosts_try_prdr, sx->conn_args.host) == OK)
2945       smtp_peer_options |= OPTION_PRDR;
2946
2947     if (smtp_peer_options & OPTION_PRDR)
2948       DEBUG(D_transport) debug_printf("PRDR usable\n");
2949 #endif
2950
2951     /* Note if the server supports DSN */
2952     smtp_peer_options |= sx->peer_offered & OPTION_DSN;
2953     DEBUG(D_transport) debug_printf("%susing DSN\n",
2954                         sx->peer_offered & OPTION_DSN ? "" : "not ");
2955
2956 #ifndef DISABLE_PIPE_CONNECT
2957     if (  sx->early_pipe_ok
2958        && !sx->early_pipe_active
2959        && tls_out.active.sock >= 0
2960        && smtp_peer_options & OPTION_PIPE
2961        && ( sx->ehlo_resp.cleartext_features | sx->ehlo_resp.crypted_features)
2962           & OPTION_EARLY_PIPE)
2963       {
2964       DEBUG(D_transport) debug_printf("PIPECONNECT usable in future for this IP\n");
2965       sx->ehlo_resp.crypted_auths = study_ehlo_auths(sx);
2966       write_ehlo_cache_entry(sx);
2967       }
2968 #endif
2969
2970     /* Note if the response to EHLO specifies support for the AUTH extension.
2971     If it has, check that this host is one we want to authenticate to, and do
2972     the business. The host name and address must be available when the
2973     authenticator's client driver is running. */
2974
2975     switch (yield = smtp_auth(sx))
2976       {
2977       default:          goto SEND_QUIT;
2978       case OK:          break;
2979       case FAIL_SEND:   goto SEND_FAILED;
2980       case FAIL:        goto RESPONSE_FAILED;
2981       }
2982     }
2983   }
2984 sx->pipelining_used = pipelining_active = !!(smtp_peer_options & OPTION_PIPE);
2985
2986 /* The setting up of the SMTP call is now complete. Any subsequent errors are
2987 message-specific. */
2988
2989 sx->setting_up = FALSE;
2990
2991 #ifdef SUPPORT_I18N
2992 if (sx->addrlist->prop.utf8_msg)
2993   {
2994   uschar * s;
2995
2996   /* If the transport sets a downconversion mode it overrides any set by ACL
2997   for the message. */
2998
2999   if ((s = ob->utf8_downconvert))
3000     {
3001     if (!(s = expand_string(s)))
3002       {
3003       message = string_sprintf("failed to expand utf8_downconvert: %s",
3004         expand_string_message);
3005       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, message, DEFER, FALSE, &sx->delivery_start);
3006       yield = DEFER;
3007       goto SEND_QUIT;
3008       }
3009     switch (*s)
3010       {
3011       case '1': sx->addrlist->prop.utf8_downcvt = TRUE;
3012                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3013                 break;
3014       case '0': sx->addrlist->prop.utf8_downcvt = FALSE;
3015                 sx->addrlist->prop.utf8_downcvt_maybe = FALSE;
3016                 break;
3017       case '-': if (s[1] == '1')
3018                   {
3019                   sx->addrlist->prop.utf8_downcvt = FALSE;
3020                   sx->addrlist->prop.utf8_downcvt_maybe = TRUE;
3021                   }
3022                 break;
3023       }
3024     }
3025
3026   sx->utf8_needed = !sx->addrlist->prop.utf8_downcvt
3027                     && !sx->addrlist->prop.utf8_downcvt_maybe;
3028   DEBUG(D_transport) if (!sx->utf8_needed)
3029     debug_printf("utf8: %s downconvert\n",
3030       sx->addrlist->prop.utf8_downcvt ? "mandatory" : "optional");
3031   }
3032
3033 /* If this is an international message we need the host to speak SMTPUTF8 */
3034 if (sx->utf8_needed && !(sx->peer_offered & OPTION_UTF8))
3035   {
3036   errno = ERRNO_UTF8_FWD;
3037   goto RESPONSE_FAILED;
3038   }
3039 #endif  /*SUPPORT_I18N*/
3040
3041 return OK;
3042
3043
3044   {
3045   int code;
3046
3047   RESPONSE_FAILED:
3048     if (errno == ECONNREFUSED)  /* first-read error on a TFO conn */
3049       {
3050       /* There is a testing facility for simulating a connection timeout, as I
3051       can't think of any other way of doing this. It converts a connection
3052       refused into a timeout if the timeout is set to 999999.  This is done for
3053       a 3whs connection in ip_connect(), but a TFO connection does not error
3054       there - instead it gets ECONNREFUSED on the first data read.  Tracking
3055       that a TFO really was done is too hard, or we would set a
3056       sx->pending_conn_done bit and test that in smtp_reap_banner() and
3057       smtp_reap_ehlo().  That would let us also add the conn-timeout to the
3058       cmd-timeout. */
3059
3060       if (f.running_in_test_harness && ob->connect_timeout == 999999)
3061         errno = ETIMEDOUT;
3062       set_errno_nohost(sx->addrlist,
3063         errno == ETIMEDOUT ? ERRNO_CONNECTTIMEOUT : errno,
3064         sx->verify ? US strerror(errno) : NULL,
3065         DEFER, FALSE, &sx->delivery_start);
3066       sx->send_quit = FALSE;
3067       return DEFER;
3068       }
3069
3070     /* really an error on an SMTP read */
3071     message = NULL;
3072     sx->send_quit = check_response(sx->conn_args.host, &errno, sx->addrlist->more_errno,
3073       sx->buffer, &code, &message, &pass_message);
3074     yield = DEFER;
3075     goto FAILED;
3076
3077   SEND_FAILED:
3078     code = '4';
3079     message = US string_sprintf("smtp send to %s [%s] failed: %s",
3080       sx->conn_args.host->name, sx->conn_args.host->address, strerror(errno));
3081     sx->send_quit = FALSE;
3082     yield = DEFER;
3083     goto FAILED;
3084
3085   EHLOHELO_FAILED:
3086     code = '4';
3087     message = string_sprintf("Remote host closed connection in response to %s"
3088       " (EHLO response was: %s)", smtp_command, sx->buffer);
3089     sx->send_quit = FALSE;
3090     yield = DEFER;
3091     goto FAILED;
3092
3093   /* This label is jumped to directly when a TLS negotiation has failed,
3094   or was not done for a host for which it is required. Values will be set
3095   in message and errno, and setting_up will always be true. Treat as
3096   a temporary error. */
3097
3098 #ifndef DISABLE_TLS
3099   TLS_FAILED:
3100     code = '4', yield = DEFER;
3101     goto FAILED;
3102 #endif
3103
3104   /* The failure happened while setting up the call; see if the failure was
3105   a 5xx response (this will either be on connection, or following HELO - a 5xx
3106   after EHLO causes it to try HELO). If so, and there are no more hosts to try,
3107   fail all addresses, as this host is never going to accept them. For other
3108   errors during setting up (timeouts or whatever), defer all addresses, and
3109   yield DEFER, so that the host is not tried again for a while.
3110
3111   XXX This peeking for another host feels like a layering violation. We want
3112   to note the host as unusable, but down here we shouldn't know if this was
3113   the last host to try for the addr(list).  Perhaps the upper layer should be
3114   the one to do set_errno() ?  The problem is that currently the addr is where
3115   errno etc. are stashed, but until we run out of hosts to try the errors are
3116   host-specific.  Maybe we should enhance the host_item definition? */
3117
3118 FAILED:
3119   sx->ok = FALSE;                /* For when reached by GOTO */
3120   set_errno(sx->addrlist, errno, message,
3121             sx->conn_args.host->next
3122             ? DEFER
3123             : code == '5'
3124 #ifdef SUPPORT_I18N
3125                         || errno == ERRNO_UTF8_FWD
3126 #endif
3127             ? FAIL : DEFER,
3128             pass_message,
3129             errno == ECONNREFUSED ? NULL : sx->conn_args.host,
3130 #ifdef EXPERIMENTAL_DSN_INFO
3131             sx->smtp_greeting, sx->helo_response,
3132 #endif
3133             &sx->delivery_start);
3134   }
3135
3136
3137 SEND_QUIT:
3138
3139 if (sx->send_quit)
3140   (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
3141
3142 #ifndef DISABLE_TLS
3143 if (sx->cctx.tls_ctx)
3144   {
3145   if (sx->send_tlsclose)
3146     {
3147     tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
3148     sx->send_tlsclose = FALSE;
3149     }
3150   sx->cctx.tls_ctx = NULL;
3151   }
3152 #endif
3153
3154 /* Close the socket, and return the appropriate value, first setting
3155 works because the NULL setting is passed back to the calling process, and
3156 remote_max_parallel is forced to 1 when delivering over an existing connection,
3157 */
3158
3159 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
3160 if (sx->send_quit)
3161   {
3162   shutdown(sx->cctx.sock, SHUT_WR);
3163   if (fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
3164     for (int i = 16; read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer)) > 0 && i > 0;)
3165       i--;                              /* drain socket */
3166   sx->send_quit = FALSE;
3167   }
3168 (void)close(sx->cctx.sock);
3169 sx->cctx.sock = -1;
3170
3171 #ifndef DISABLE_EVENT
3172 (void) event_raise(sx->conn_args.tblock->event_action, US"tcp:close", NULL, NULL);
3173 #endif
3174
3175 smtp_debug_cmd_report();
3176 continue_transport = NULL;
3177 continue_hostname = NULL;
3178 return yield;
3179 }
3180
3181
3182
3183
3184 /* Create the string of options that will be appended to the MAIL FROM:
3185 in the connection context buffer */
3186
3187 static int
3188 build_mailcmd_options(smtp_context * sx, address_item * addrlist)
3189 {
3190 uschar * p = sx->buffer;
3191 address_item * addr;
3192 int address_count;
3193
3194 *p = 0;
3195
3196 /* If we know the receiving MTA supports the SIZE qualification, and we know it,
3197 send it, adding something to the message size to allow for imprecision
3198 and things that get added en route. Exim keeps the number of lines
3199 in a message, so we can give an accurate value for the original message, but we
3200 need some additional to handle added headers. (Double "." characters don't get
3201 included in the count.) */
3202
3203 if (  message_size > 0
3204    && sx->peer_offered & OPTION_SIZE && !(sx->avoid_option & OPTION_SIZE))
3205   {
3206 /*XXX problem here under spool_files_wireformat?
3207 Or just forget about lines?  Or inflate by a fixed proportion? */
3208
3209   sprintf(CS p, " SIZE=%d", message_size+message_linecount+(SOB sx->conn_args.ob)->size_addition);
3210   while (*p) p++;
3211   }
3212
3213 #ifndef DISABLE_PRDR
3214 /* If it supports Per-Recipient Data Responses, and we have more than one recipient,
3215 request that */
3216
3217 sx->prdr_active = FALSE;
3218 if (smtp_peer_options & OPTION_PRDR)
3219   for (address_item * addr = addrlist; addr; addr = addr->next)
3220     if (addr->transport_return == PENDING_DEFER)
3221       {
3222       for (addr = addr->next; addr; addr = addr->next)
3223         if (addr->transport_return == PENDING_DEFER)
3224           {                     /* at least two recipients to send */
3225           sx->prdr_active = TRUE;
3226           sprintf(CS p, " PRDR"); p += 5;
3227           break;
3228           }
3229       break;
3230       }
3231 #endif
3232
3233 #ifdef SUPPORT_I18N
3234 /* If it supports internationalised messages, and this meesage need that,
3235 request it */
3236
3237 if (  sx->peer_offered & OPTION_UTF8
3238    && addrlist->prop.utf8_msg
3239    && !addrlist->prop.utf8_downcvt
3240    )
3241   Ustrcpy(p, US" SMTPUTF8"), p += 9;
3242 #endif
3243
3244 /* check if all addresses have DSN-lasthop flag; do not send RET and ENVID if so */
3245 for (sx->dsn_all_lasthop = TRUE, addr = addrlist, address_count = 0;
3246      addr && address_count < sx->max_rcpt;      /*XXX maybe also || sx->single_rcpt_domain ? */
3247      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3248   {
3249   address_count++;
3250   if (!(addr->dsn_flags & rf_dsnlasthop))
3251     {
3252     sx->dsn_all_lasthop = FALSE;
3253     break;
3254     }
3255   }
3256
3257 /* Add any DSN flags to the mail command */
3258
3259 if (sx->peer_offered & OPTION_DSN && !sx->dsn_all_lasthop)
3260   {
3261   if (dsn_ret == dsn_ret_hdrs)
3262     { Ustrcpy(p, US" RET=HDRS"); p += 9; }
3263   else if (dsn_ret == dsn_ret_full)
3264     { Ustrcpy(p, US" RET=FULL"); p += 9; }
3265
3266   if (dsn_envid)
3267     {
3268     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ENVID=%s", dsn_envid);
3269     while (*p) p++;
3270     }
3271   }
3272
3273 /* If an authenticated_sender override has been specified for this transport
3274 instance, expand it. If the expansion is forced to fail, and there was already
3275 an authenticated_sender for this message, the original value will be used.
3276 Other expansion failures are serious. An empty result is ignored, but there is
3277 otherwise no check - this feature is expected to be used with LMTP and other
3278 cases where non-standard addresses (e.g. without domains) might be required. */
3279
3280 return smtp_mail_auth_str(sx, p, addrlist) ? ERROR : OK;
3281 }
3282
3283
3284 static void
3285 build_rcptcmd_options(smtp_context * sx, const address_item * addr)
3286 {
3287 uschar * p = sx->buffer;
3288 *p = 0;
3289
3290 /* Add any DSN flags to the rcpt command */
3291
3292 if (sx->peer_offered & OPTION_DSN && !(addr->dsn_flags & rf_dsnlasthop))
3293   {
3294   if (addr->dsn_flags & rf_dsnflags)
3295     {
3296     BOOL first = TRUE;
3297
3298     Ustrcpy(p, US" NOTIFY=");
3299     while (*p) p++;
3300     for (int i = 0; i < nelem(rf_list); i++) if (addr->dsn_flags & rf_list[i])
3301       {
3302       if (!first) *p++ = ',';
3303       first = FALSE;
3304       Ustrcpy(p, rf_names[i]);
3305       while (*p) p++;
3306       }
3307     }
3308
3309   if (addr->dsn_orcpt)
3310     {
3311     string_format(p, sizeof(sx->buffer) - (p-sx->buffer), " ORCPT=%s",
3312       addr->dsn_orcpt);
3313     while (*p) p++;
3314     }
3315   }
3316 }
3317
3318
3319
3320 /*
3321 Return:
3322  0      good, rcpt results in addr->transport_return (PENDING_OK, DEFER, FAIL)
3323  -1     MAIL response error
3324  -2     any non-MAIL read i/o error
3325  -3     non-MAIL response timeout
3326  -4     internal error; channel still usable
3327  -5     transmit failed
3328  */
3329
3330 int
3331 smtp_write_mail_and_rcpt_cmds(smtp_context * sx, int * yield)
3332 {
3333 address_item * addr;
3334 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3335 address_item * restart_addr = NULL;
3336 #endif
3337 int address_count, pipe_limit;
3338 int rc;
3339
3340 if (build_mailcmd_options(sx, sx->first_addr) != OK)
3341   {
3342   *yield = ERROR;
3343   return -4;
3344   }
3345
3346 /* From here until we send the DATA command, we can make use of PIPELINING
3347 if the server host supports it. The code has to be able to check the responses
3348 at any point, for when the buffer fills up, so we write it totally generally.
3349 When PIPELINING is off, each command written reports that it has flushed the
3350 buffer. */
3351
3352 sx->pending_MAIL = TRUE;     /* The block starts with MAIL */
3353
3354   {
3355   uschar * s = sx->from_addr;
3356 #ifdef SUPPORT_I18N
3357   uschar * errstr = NULL;
3358
3359   /* If we must downconvert, do the from-address here.  Remember we had to
3360   for the to-addresses (done below), and also (ugly) for re-doing when building
3361   the delivery log line. */
3362
3363   if (  sx->addrlist->prop.utf8_msg
3364      && (sx->addrlist->prop.utf8_downcvt || !(sx->peer_offered & OPTION_UTF8))
3365      )
3366     {
3367     if (s = string_address_utf8_to_alabel(s, &errstr), errstr)
3368       {
3369       set_errno_nohost(sx->addrlist, ERRNO_EXPANDFAIL, errstr, DEFER, FALSE, &sx->delivery_start);
3370       *yield = ERROR;
3371       return -4;
3372       }
3373     setflag(sx->addrlist, af_utf8_downcvt);
3374     }
3375 #endif
3376
3377   rc = smtp_write_command(sx, pipelining_active ? SCMD_BUFFER : SCMD_FLUSH,
3378           "MAIL FROM:<%s>%s\r\n", s, sx->buffer);
3379   }
3380
3381 mail_command = string_copy(big_buffer);  /* Save for later error message */
3382
3383 switch(rc)
3384   {
3385   case -1:                /* Transmission error */
3386     return -5;
3387
3388   case +1:                /* Cmd was sent */
3389     if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
3390        (SOB sx->conn_args.ob)->command_timeout))
3391       {
3392       if (errno == 0 && sx->buffer[0] == '4')
3393         {
3394         errno = ERRNO_MAIL4XX;
3395         sx->addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
3396         }
3397       return -1;
3398       }
3399     sx->pending_MAIL = FALSE;
3400     break;
3401
3402   /* otherwise zero: command queued for pipeline */
3403   }
3404
3405 /* Pass over all the relevant recipient addresses for this host, which are the
3406 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
3407 several before we have to read the responses for those seen so far. This
3408 checking is done by a subroutine because it also needs to be done at the end.
3409 Send only up to max_rcpt addresses at a time, leaving next_addr pointing to
3410 the next one if not all are sent.
3411
3412 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
3413 last address because we want to abort if any recipients have any kind of
3414 problem, temporary or permanent. We know that all recipient addresses will have
3415 the PENDING_DEFER status, because only one attempt is ever made, and we know
3416 that max_rcpt will be large, so all addresses will be done at once.
3417
3418 For verify we flush the pipeline after any (the only) rcpt address. */
3419
3420 for (addr = sx->first_addr, address_count = 0, pipe_limit = 100;
3421      addr &&  address_count < sx->max_rcpt;
3422      addr = addr->next) if (addr->transport_return == PENDING_DEFER)
3423   {
3424   int cmds_sent;
3425   BOOL no_flush;
3426   uschar * rcpt_addr;
3427
3428 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3429   if (  sx->single_rcpt_domain                                  /* restriction on domains */
3430      && address_count > 0                                       /* not first being sent */
3431      && Ustrcmp(addr->domain, sx->first_addr->domain) != 0      /* dom diff from first */
3432      )
3433     {
3434     DEBUG(D_transport) debug_printf("skipping different domain %s\n", addr->domain);
3435
3436     /* Ensure the smtp-response reaper does not think the address had a RCPT
3437     command sent for it.  Reset to PENDING_DEFER in smtp_deliver(), where we
3438     goto SEND_MESSAGE.  */
3439
3440     addr->transport_return = SKIP;
3441     if (!restart_addr) restart_addr = addr;     /* note restart point */
3442     continue;                                   /* skip this one */
3443     }
3444 #endif
3445
3446   addr->dsn_aware = sx->peer_offered & OPTION_DSN
3447     ? dsn_support_yes : dsn_support_no;
3448
3449   address_count++;
3450   if (pipe_limit-- <= 0)
3451     { no_flush = FALSE; pipe_limit = 100; }
3452   else
3453     no_flush = pipelining_active && !sx->verify
3454           && (!mua_wrapper || addr->next && address_count < sx->max_rcpt);
3455
3456   build_rcptcmd_options(sx, addr);
3457
3458   /* Now send the RCPT command, and process outstanding responses when
3459   necessary. After a timeout on RCPT, we just end the function, leaving the
3460   yield as OK, because this error can often mean that there is a problem with
3461   just one address, so we don't want to delay the host. */
3462
3463   rcpt_addr = transport_rcpt_address(addr, sx->conn_args.tblock->rcpt_include_affixes);
3464
3465 #ifdef SUPPORT_I18N
3466   if (  testflag(sx->addrlist, af_utf8_downcvt)
3467      && !(rcpt_addr = string_address_utf8_to_alabel(rcpt_addr, NULL))
3468      )
3469     {
3470     /*XXX could we use a per-address errstr here? Not fail the whole send? */
3471     errno = ERRNO_EXPANDFAIL;
3472     return -5;          /*XXX too harsh? */
3473     }
3474 #endif
3475
3476   cmds_sent = smtp_write_command(sx, no_flush ? SCMD_BUFFER : SCMD_FLUSH,
3477     "RCPT TO:<%s>%s%s\r\n", rcpt_addr, sx->igquotstr, sx->buffer);
3478
3479   if (cmds_sent < 0) return -5;
3480   if (cmds_sent > 0)
3481     {
3482     switch(sync_responses(sx, cmds_sent, 0))
3483       {
3484       case 3: sx->ok = TRUE;                    /* 2xx & 5xx => OK & progress made */
3485       case 2: sx->completed_addr = TRUE;        /* 5xx (only) => progress made */
3486               break;
3487
3488       case 1: sx->ok = TRUE;                    /* 2xx (only) => OK, but if LMTP, */
3489               if (!sx->lmtp)                    /*  can't tell about progress yet */
3490                 sx->completed_addr = TRUE;
3491       case 0:                                   /* No 2xx or 5xx, but no probs */
3492               /* If any RCPT got a 452 response then next_addr has been updated
3493               for restarting with a new MAIL on the same connection.  Send no more
3494               RCPTs for this MAIL. */
3495
3496               if (sx->RCPT_452)
3497                 {
3498                 DEBUG(D_transport) debug_printf("seen 452 too-many-rcpts\n");
3499                 sx->RCPT_452 = FALSE;
3500                 /* sx->next_addr has been reset for fast_retry */
3501                 return 0;
3502                 }
3503               break;
3504
3505       case -1: return -3;                       /* Timeout on RCPT */
3506       case -2: return -2;                       /* non-MAIL read i/o error */
3507       default: return -1;                       /* any MAIL error */
3508
3509 #ifndef DISABLE_PIPE_CONNECT
3510       case -4: return -1;                       /* non-2xx for pipelined banner or EHLO */
3511       case -5: return -1;                       /* TLS first-read error */
3512 #endif
3513       }
3514     }
3515   }      /* Loop for next address */
3516
3517 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3518 sx->next_addr = restart_addr ? restart_addr : addr;
3519 #else
3520 sx->next_addr = addr;
3521 #endif
3522 return 0;
3523 }
3524
3525
3526 #ifndef DISABLE_TLS
3527 /*****************************************************
3528 * Proxy TLS connection for another transport process *
3529 ******************************************************/
3530 /*
3531 Close the unused end of the pipe, fork once more, then use the given buffer
3532 as a staging area, and select on both the given fd and the TLS'd client-fd for
3533 data to read (per the coding in ip_recv() and fd_ready() this is legitimate).
3534 Do blocking full-size writes, and reads under a timeout.  Once both input
3535 channels are closed, exit the process.
3536
3537 Arguments:
3538   ct_ctx        tls context
3539   buf           space to use for buffering
3540   bufsiz        size of buffer
3541   pfd           pipe filedescriptor array; [0] is comms to proxied process
3542   timeout       per-read timeout, seconds
3543   host          hostname of remote
3544
3545 Does not return.
3546 */
3547
3548 void
3549 smtp_proxy_tls(void * ct_ctx, uschar * buf, size_t bsize, int * pfd,
3550   int timeout, const uschar * host)
3551 {
3552 struct pollfd p[2] = {{.fd = tls_out.active.sock, .events = POLLIN},
3553                       {.fd = pfd[0], .events = POLLIN}};
3554 int rc, i;
3555 BOOL send_tls_shutdown = TRUE;
3556
3557 close(pfd[1]);
3558 if ((rc = exim_fork(US"tls-proxy")))
3559   _exit(rc < 0 ? EXIT_FAILURE : EXIT_SUCCESS);
3560
3561 set_process_info("proxying TLS connection for continued transport to %s\n", host);
3562
3563 do
3564   {
3565   time_t time_left = timeout;
3566   time_t time_start = time(NULL);
3567
3568   /* wait for data */
3569   do
3570     {
3571     rc = poll(p, 2, time_left * 1000);
3572
3573     if (rc < 0 && errno == EINTR)
3574       if ((time_left -= time(NULL) - time_start) > 0) continue;
3575
3576     if (rc <= 0)
3577       {
3578       DEBUG(D_transport) if (rc == 0) debug_printf("%s: timed out\n", __FUNCTION__);
3579       goto done;
3580       }
3581
3582     /* For errors where not readable, bomb out */
3583
3584     if (p[0].revents & POLLERR || p[1].revents & POLLERR)
3585       {
3586       DEBUG(D_transport) debug_printf("select: exceptional cond on %s fd\n",
3587         p[0].revents & POLLERR ? "tls" : "proxy");
3588       if (!(p[0].revents & POLLIN || p[1].events & POLLIN))
3589         goto done;
3590       DEBUG(D_transport) debug_printf("- but also readable; no exit yet\n");
3591       }
3592     }
3593   while (rc < 0 || !(p[0].revents & POLLIN || p[1].revents & POLLIN));
3594
3595   /* handle inbound data */
3596   if (p[0].revents & POLLIN)
3597     if ((rc = tls_read(ct_ctx, buf, bsize)) <= 0)       /* Expect -1 for EOF; */
3598     {                               /* that reaps the TLS Close Notify record */
3599       p[0].fd = -1;
3600       shutdown(pfd[0], SHUT_WR);
3601       timeout = 5;
3602       }
3603     else
3604       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3605         if ((i = write(pfd[0], buf + nbytes, rc - nbytes)) < 0) goto done;
3606
3607   /* Handle outbound data.  We cannot combine payload and the TLS-close
3608   due to the limitations of the (pipe) channel feeding us.  Maybe use a unix-domain
3609   socket? */
3610   if (p[1].revents & POLLIN)
3611     if ((rc = read(pfd[0], buf, bsize)) <= 0)
3612       {
3613       p[1].fd = -1;
3614
3615 # ifdef EXIM_TCP_CORK  /* Use _CORK to get TLS Close Notify in FIN segment */
3616       (void) setsockopt(tls_out.active.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
3617 # endif
3618       tls_shutdown_wr(ct_ctx);
3619       send_tls_shutdown = FALSE;
3620       shutdown(tls_out.active.sock, SHUT_WR);
3621       }
3622     else
3623       for (int nbytes = 0; rc - nbytes > 0; nbytes += i)
3624         if ((i = tls_write(ct_ctx, buf + nbytes, rc - nbytes, FALSE)) < 0)
3625           goto done;
3626   }
3627 while (p[0].fd >= 0 || p[1].fd >= 0);
3628
3629 done:
3630   if (send_tls_shutdown) tls_close(ct_ctx, TLS_SHUTDOWN_NOWAIT);
3631   ct_ctx = NULL;
3632   testharness_pause_ms(100);    /* let logging complete */
3633   exim_exit(EXIT_SUCCESS);
3634 }
3635 #endif
3636
3637
3638 /*************************************************
3639 *       Deliver address list to given host       *
3640 *************************************************/
3641
3642 /* If continue_hostname is not null, we get here only when continuing to
3643 deliver down an existing channel. The channel was passed as the standard
3644 input. TLS is never active on a passed channel; the previous process either
3645 closes it down before passing the connection on, or inserts a TLS-proxy
3646 process and passes on a cleartext conection.
3647
3648 Otherwise, we have to make a connection to the remote host, and do the
3649 initial protocol exchange.
3650
3651 When running as an MUA wrapper, if the sender or any recipient is rejected,
3652 temporarily or permanently, we force failure for all recipients.
3653
3654 Arguments:
3655   addrlist        chain of potential addresses to deliver; only those whose
3656                   transport_return field is set to PENDING_DEFER are currently
3657                   being processed; others should be skipped - they have either
3658                   been delivered to an earlier host or IP address, or been
3659                   failed by one of them.
3660   host            host to deliver to
3661   host_af         AF_INET or AF_INET6
3662   defport         default TCP/IP port to use if host does not specify, in host
3663                   byte order
3664   interface       interface to bind to, or NULL
3665   tblock          transport instance block
3666   message_defer   set TRUE if yield is OK, but all addresses were deferred
3667                     because of a non-recipient, non-host failure, that is, a
3668                     4xx response to MAIL FROM, DATA, or ".". This is a defer
3669                     that is specific to the message.
3670   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
3671                     a second attempt after TLS initialization fails
3672
3673 Returns:          OK    - the connection was made and the delivery attempted;
3674                           the result for each address is in its data block.
3675                   DEFER - the connection could not be made, or something failed
3676                           while setting up the SMTP session, or there was a
3677                           non-message-specific error, such as a timeout.
3678                   ERROR - a filter command is specified for this transport,
3679                           and there was a problem setting it up; OR helo_data
3680                           or add_headers or authenticated_sender is specified
3681                           for this transport, and the string failed to expand
3682
3683                 For all non-OK returns the first addr of the list carries the
3684                 time taken for the attempt.
3685 */
3686
3687 static int
3688 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int defport,
3689   uschar *interface, transport_instance *tblock,
3690   BOOL *message_defer, BOOL suppress_tls)
3691 {
3692 smtp_transport_options_block * ob = SOB tblock->options_block;
3693 int yield = OK;
3694 int save_errno;
3695 int rc;
3696
3697 uschar *message = NULL;
3698 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
3699 smtp_context * sx = store_get(sizeof(*sx), GET_TAINTED);        /* tainted, for the data buffers */
3700 BOOL pass_message = FALSE;
3701 #ifdef EXPERIMENTAL_ESMTP_LIMITS
3702 BOOL mail_limit = FALSE;
3703 #endif
3704 #ifdef SUPPORT_DANE
3705 BOOL dane_held;
3706 #endif
3707 BOOL tcw_done = FALSE, tcw = FALSE;
3708
3709 *message_defer = FALSE;
3710
3711 memset(sx, 0, sizeof(*sx));
3712 sx->addrlist = addrlist;
3713 sx->conn_args.host = host;
3714 sx->conn_args.host_af = host_af;
3715 sx->port = defport;
3716 sx->conn_args.interface = interface;
3717 sx->helo_data = NULL;
3718 sx->conn_args.tblock = tblock;
3719 sx->conn_args.sock = -1;
3720 gettimeofday(&sx->delivery_start, NULL);
3721 sx->sync_addr = sx->first_addr = addrlist;
3722
3723 REPEAT_CONN:
3724 #ifdef SUPPORT_DANE
3725 dane_held = FALSE;
3726 #endif
3727
3728 /* Get the channel set up ready for a message, MAIL FROM being the next
3729 SMTP command to send. */
3730
3731 if ((rc = smtp_setup_conn(sx, suppress_tls)) != OK)
3732   {
3733   timesince(&addrlist->delivery_time, &sx->delivery_start);
3734   yield = rc;
3735   goto TIDYUP;
3736   }
3737
3738 #ifdef SUPPORT_DANE
3739 /* If the connection used DANE, ignore for now any addresses with incompatible
3740 domains.  The SNI has to be the domain.  Arrange a whole new TCP conn later,
3741 just in case only TLS isn't enough. */
3742
3743 if (sx->conn_args.dane)
3744   {
3745   const uschar * dane_domain = sx->first_addr->domain;
3746
3747   for (address_item * a = sx->first_addr->next; a; a = a->next)
3748     if (  a->transport_return == PENDING_DEFER
3749        && Ustrcmp(dane_domain, a->domain) != 0)
3750       {
3751       DEBUG(D_transport) debug_printf("DANE: holding %s for later\n", a->domain);
3752       dane_held = TRUE;
3753       a->transport_return = DANE;
3754       }
3755   }
3756 #endif
3757
3758 /* If there is a filter command specified for this transport, we can now
3759 set it up. This cannot be done until the identity of the host is known. */
3760
3761 if (tblock->filter_command)
3762   {
3763   transport_filter_timeout = tblock->filter_timeout;
3764
3765   /* On failure, copy the error to all addresses, abandon the SMTP call, and
3766   yield ERROR. */
3767
3768   if (!transport_set_up_command(&transport_filter_argv,
3769         tblock->filter_command, TRUE, DEFER, addrlist, FALSE,
3770         string_sprintf("%.50s transport filter", tblock->name), NULL))
3771     {
3772     set_errno_nohost(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
3773       FALSE, &sx->delivery_start);
3774     yield = ERROR;
3775     goto SEND_QUIT;
3776     }
3777
3778   if (  transport_filter_argv
3779      && *transport_filter_argv
3780      && **transport_filter_argv
3781      && smtp_peer_options & OPTION_CHUNKING
3782 #ifndef DISABLE_DKIM
3783     /* When dkim signing, chunking is handled even with a transport-filter */
3784      && !(ob->dkim.dkim_private_key && ob->dkim.dkim_domain && ob->dkim.dkim_selector)
3785      && !ob->dkim.force_bodyhash
3786 #endif
3787      )
3788     {
3789     smtp_peer_options &= ~OPTION_CHUNKING;
3790     DEBUG(D_transport) debug_printf("CHUNKING not usable due to transport filter\n");
3791     }
3792   }
3793
3794 /* For messages that have more than the maximum number of envelope recipients,
3795 we want to send several transactions down the same SMTP connection. (See
3796 comments in deliver.c as to how this reconciles, heuristically, with
3797 remote_max_parallel.) This optimization was added to Exim after the following
3798 code was already working. The simplest way to put it in without disturbing the
3799 code was to use a goto to jump back to this point when there is another
3800 transaction to handle. */
3801
3802 SEND_MESSAGE:
3803 sx->from_addr = return_path;
3804 sx->sync_addr = sx->first_addr;
3805 sx->ok = FALSE;
3806 sx->send_rset = TRUE;
3807 sx->completed_addr = FALSE;
3808
3809
3810 /* If we are a continued-connection-after-verify the MAIL and RCPT
3811 commands were already sent; do not re-send but do mark the addrs as
3812 having been accepted up to RCPT stage.  A traditional cont-conn
3813 always has a sequence number greater than one. */
3814
3815 if (continue_hostname && continue_sequence == 1)
3816   {
3817   /* sx->pending_MAIL = FALSE; */
3818   sx->ok = TRUE;
3819   /* sx->next_addr = NULL; */
3820
3821   for (address_item * addr = addrlist; addr; addr = addr->next)
3822     addr->transport_return = PENDING_OK;
3823   }
3824 else
3825   {
3826   /* Initiate a message transfer. */
3827
3828   switch(smtp_write_mail_and_rcpt_cmds(sx, &yield))
3829     {
3830     case 0:             break;
3831     case -1: case -2:   goto RESPONSE_FAILED;
3832     case -3:            goto END_OFF;
3833     case -4:            goto SEND_QUIT;
3834     default:            goto SEND_FAILED;
3835     }
3836
3837   /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
3838   permanently or temporarily. We should have flushed and synced after the last
3839   RCPT. */
3840
3841   if (mua_wrapper)
3842     {
3843     address_item * a;
3844     unsigned cnt;
3845
3846     for (a = sx->first_addr, cnt = 0; a && cnt < sx->max_rcpt; a = a->next, cnt++)
3847       if (a->transport_return != PENDING_OK)
3848         {
3849         /*XXX could we find a better errno than 0 here? */
3850         set_errno_nohost(addrlist, 0, a->message, FAIL,
3851           testflag(a, af_pass_message), &sx->delivery_start);
3852         sx->ok = FALSE;
3853         break;
3854         }
3855     }
3856   }
3857
3858 /* If ok is TRUE, we know we have got at least one good recipient, and must now
3859 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
3860 have a good recipient buffered up if we are pipelining. We don't want to waste
3861 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
3862 are pipelining. The responses are all handled by sync_responses().
3863 If using CHUNKING, do not send a BDAT until we know how big a chunk we want
3864 to send is. */
3865
3866 if (  !(smtp_peer_options & OPTION_CHUNKING)
3867    && (sx->ok || (pipelining_active && !mua_wrapper)))
3868   {
3869   int count = smtp_write_command(sx, SCMD_FLUSH, "DATA\r\n");
3870
3871   if (count < 0) goto SEND_FAILED;
3872   switch(sync_responses(sx, count, sx->ok ? +1 : -1))
3873     {
3874     case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
3875     case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
3876     break;
3877
3878     case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
3879     if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
3880     case 0: break;                      /* No 2xx or 5xx, but no probs */
3881
3882     case -1: goto END_OFF;              /* Timeout on RCPT */
3883
3884 #ifndef DISABLE_PIPE_CONNECT
3885     case -5:                            /* TLS first-read error */
3886     case -4:  HDEBUG(D_transport)
3887                 debug_printf("failed reaping pipelined cmd responses\n");
3888 #endif
3889     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
3890     }
3891   pipelining_active = FALSE;
3892   data_command = string_copy(big_buffer);  /* Save for later error message */
3893   }
3894
3895 /* If there were no good recipients (but otherwise there have been no
3896 problems), just set ok TRUE, since we have handled address-specific errors
3897 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
3898 for handling the SMTP dot-handling protocol, flagging to apply to headers as
3899 well as body. Set the appropriate timeout value to be used for each chunk.
3900 (Haven't been able to make it work using select() for writing yet.) */
3901
3902 if (  !sx->ok
3903    && (!(smtp_peer_options & OPTION_CHUNKING) || !pipelining_active))
3904   {
3905   /* Save the first address of the next batch. */
3906   sx->first_addr = sx->next_addr;
3907
3908   sx->ok = TRUE;
3909   }
3910 else
3911   {
3912   transport_ctx tctx = {
3913     .u = {.fd = sx->cctx.sock}, /*XXX will this need TLS info? */
3914     .tblock =   tblock,
3915     .addr =     addrlist,
3916     .check_string = US".",
3917     .escape_string = US"..",    /* Escaping strings */
3918     .options =
3919       topt_use_crlf | topt_escape_headers
3920     | (tblock->body_only        ? topt_no_headers : 0)
3921     | (tblock->headers_only     ? topt_no_body : 0)
3922     | (tblock->return_path_add  ? topt_add_return_path : 0)
3923     | (tblock->delivery_date_add ? topt_add_delivery_date : 0)
3924     | (tblock->envelope_to_add  ? topt_add_envelope_to : 0)
3925   };
3926
3927   /* If using CHUNKING we need a callback from the generic transport
3928   support to us, for the sending of BDAT smtp commands and the reaping
3929   of responses.  The callback needs a whole bunch of state so set up
3930   a transport-context structure to be passed around. */
3931
3932   if (smtp_peer_options & OPTION_CHUNKING)
3933     {
3934     tctx.check_string = tctx.escape_string = NULL;
3935     tctx.options |= topt_use_bdat;
3936     tctx.chunk_cb = smtp_chunk_cmd_callback;
3937     sx->pending_BDAT = FALSE;
3938     sx->good_RCPT = sx->ok;
3939     sx->cmd_count = 0;
3940     tctx.smtp_context = sx;
3941     }
3942   else
3943     tctx.options |= topt_end_dot;
3944
3945   /* Save the first address of the next batch. */
3946   sx->first_addr = sx->next_addr;
3947
3948   /* Responses from CHUNKING commands go in buffer.  Otherwise,
3949   there has not been a response. */
3950
3951   sx->buffer[0] = 0;
3952
3953   sigalrm_seen = FALSE;
3954   transport_write_timeout = ob->data_timeout;
3955   smtp_command = US"sending data block";   /* For error messages */
3956   DEBUG(D_transport|D_v)
3957     if (smtp_peer_options & OPTION_CHUNKING)
3958       debug_printf("         will write message using CHUNKING\n");
3959     else
3960       debug_printf("  SMTP>> writing message and terminating \".\"\n");
3961   transport_count = 0;
3962
3963 #ifndef DISABLE_DKIM
3964   {
3965 # ifdef MEASURE_TIMING
3966   struct timeval t0;
3967   gettimeofday(&t0, NULL);
3968 # endif
3969   dkim_exim_sign_init();
3970 # ifdef EXPERIMENTAL_ARC
3971     {
3972     uschar * s = ob->arc_sign;
3973     if (s)
3974       {
3975       if (!(ob->dkim.arc_signspec = s = expand_string(s)))
3976         {
3977         if (!f.expand_string_forcedfail)
3978           {
3979           message = US"failed to expand arc_sign";
3980           sx->ok = FALSE;
3981           goto SEND_FAILED;
3982           }
3983         }
3984       else if (*s)
3985         {
3986         /* Ask dkim code to hash the body for ARC */
3987         (void) arc_ams_setup_sign_bodyhash();
3988         ob->dkim.force_bodyhash = TRUE;
3989         }
3990       }
3991     }
3992 # endif
3993 # ifdef MEASURE_TIMING
3994   report_time_since(&t0, US"dkim_exim_sign_init (delta)");
3995 # endif
3996   }
3997 #endif
3998
3999   /* See if we can pipeline QUIT.  Reasons not to are
4000   - pipelining not active
4001   - not ok to send quit
4002   - errors in amtp transation responses
4003   - more addrs to send for this message or this host
4004   - this message was being retried
4005   - more messages for this host
4006   If we can, we want the message-write to not flush (the tail end of) its data out.  */
4007
4008   if (  sx->pipelining_used
4009      && (sx->ok && sx->completed_addr || smtp_peer_options & OPTION_CHUNKING)
4010      && sx->send_quit
4011      && !(sx->first_addr || f.continue_more)
4012      && f.deliver_firsttime
4013      )
4014     {
4015     smtp_compare_t t_compare =
4016       {.tblock = tblock, .current_sender_address = sender_address};
4017
4018     tcw_done = TRUE;
4019     tcw =
4020 #ifndef DISABLE_TLS
4021            (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4022            || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4023            )
4024         &&
4025 #endif
4026            transport_check_waiting(tblock->name, host->name,
4027              tblock->connection_max_messages, new_message_id,
4028              (oicf)smtp_are_same_identities, (void*)&t_compare);
4029     if (!tcw)
4030       {
4031       HDEBUG(D_transport) debug_printf("will pipeline QUIT\n");
4032       tctx.options |= topt_no_flush;
4033       }
4034     }
4035
4036 #ifndef DISABLE_DKIM
4037   sx->ok = dkim_transport_write_message(&tctx, &ob->dkim, CUSS &message);
4038 #else
4039   sx->ok = transport_write_message(&tctx, 0);
4040 #endif
4041
4042   /* transport_write_message() uses write() because it is called from other
4043   places to write to non-sockets. This means that under some OS (e.g. Solaris)
4044   it can exit with "Broken pipe" as its error. This really means that the
4045   socket got closed at the far end. */
4046
4047   transport_write_timeout = 0;   /* for subsequent transports */
4048
4049   /* Failure can either be some kind of I/O disaster (including timeout),
4050   or the failure of a transport filter or the expansion of added headers.
4051   Or, when CHUNKING, it can be a protocol-detected failure. */
4052
4053   if (!sx->ok)
4054     if (message) goto SEND_FAILED;
4055     else         goto RESPONSE_FAILED;
4056
4057   /* We used to send the terminating "." explicitly here, but because of
4058   buffering effects at both ends of TCP/IP connections, you don't gain
4059   anything by keeping it separate, so it might as well go in the final
4060   data buffer for efficiency. This is now done by setting the topt_end_dot
4061   flag above. */
4062
4063   smtp_command = US"end of data";
4064
4065   /* If we can pipeline a QUIT with the data them send it now.  If a new message
4066   for this host appeared in the queue while data was being sent, we will not see
4067   it and it will have to wait for a queue run.  If there was one but another
4068   thread took it, we might attempt to send it - but locking of spoolfiles will
4069   detect that. Use _MORE to get QUIT in FIN segment. */
4070
4071   if (tcw_done && !tcw)
4072     {
4073     /*XXX jgh 2021/03/10 google et. al screwup.  G, at least, sends TCP FIN in response to TLS
4074     close-notify.  Under TLS 1.3, violating RFC.
4075     However, TLS 1.2 does not have half-close semantics. */
4076
4077     if (     sx->cctx.tls_ctx
4078 #if 0 && !defined(DISABLE_TLS)
4079           && Ustrcmp(tls_out.ver, "TLS1.3") != 0
4080 #endif
4081        || !f.deliver_firsttime
4082        )
4083       {                         /* Send QUIT now and not later */
4084       (void)smtp_write_command(sx, SCMD_FLUSH, "QUIT\r\n");
4085       sx->send_quit = FALSE;
4086       }
4087     else
4088       {                         /* add QUIT to the output buffer */
4089       (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4090       sx->send_quit = FALSE;    /* avoid sending it later */
4091
4092 #ifndef DISABLE_TLS
4093       if (sx->cctx.tls_ctx && sx->send_tlsclose)        /* need to send TLS Close Notify */
4094         {
4095 # ifdef EXIM_TCP_CORK           /* Use _CORK to get Close Notify in FIN segment */
4096         (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4097 # endif
4098         tls_shutdown_wr(sx->cctx.tls_ctx);
4099         sx->send_tlsclose = FALSE;      /* avoid later repeat */
4100         }
4101 #endif
4102       HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4103       shutdown(sx->cctx.sock, SHUT_WR); /* flush output buffer, with TCP FIN */
4104       }
4105     }
4106
4107   if (smtp_peer_options & OPTION_CHUNKING && sx->cmd_count > 1)
4108     {
4109     /* Reap any outstanding MAIL & RCPT commands, but not a DATA-go-ahead */
4110     switch(sync_responses(sx, sx->cmd_count-1, 0))
4111       {
4112       case 3: sx->ok = TRUE;            /* 2xx & 5xx => OK & progress made */
4113       case 2: sx->completed_addr = TRUE;    /* 5xx (only) => progress made */
4114               break;
4115
4116       case 1: sx->ok = TRUE;            /* 2xx (only) => OK, but if LMTP, */
4117       if (!sx->lmtp) sx->completed_addr = TRUE; /* can't tell about progress yet */
4118       case 0: break;                    /* No 2xx or 5xx, but no probs */
4119
4120       case -1: goto END_OFF;            /* Timeout on RCPT */
4121
4122 #ifndef DISABLE_PIPE_CONNECT
4123       case -5:                          /* TLS first-read error */
4124       case -4:  HDEBUG(D_transport)
4125                   debug_printf("failed reaping pipelined cmd responses\n");
4126 #endif
4127       default: goto RESPONSE_FAILED;    /* I/O error, or any MAIL/DATA error */
4128       }
4129     }
4130
4131 #ifndef DISABLE_PRDR
4132   /* For PRDR we optionally get a partial-responses warning followed by the
4133   individual responses, before going on with the overall response.  If we don't
4134   get the warning then deal with per non-PRDR. */
4135
4136   if(sx->prdr_active)
4137     {
4138     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '3', ob->final_timeout);
4139     if (!sx->ok && errno == 0) switch(sx->buffer[0])
4140       {
4141       case '2': sx->prdr_active = FALSE;
4142                 sx->ok = TRUE;
4143                 break;
4144       case '4': errno = ERRNO_DATA4XX;
4145                 addrlist->more_errno |=
4146                   ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4147                 break;
4148       }
4149     }
4150   else
4151 #endif
4152
4153   /* For non-PRDR SMTP, we now read a single response that applies to the
4154   whole message.  If it is OK, then all the addresses have been delivered. */
4155
4156   if (!sx->lmtp)
4157     {
4158     sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4159       ob->final_timeout);
4160     if (!sx->ok && errno == 0 && sx->buffer[0] == '4')
4161       {
4162       errno = ERRNO_DATA4XX;
4163       addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4164       }
4165     }
4166
4167   /* For LMTP, we get back a response for every RCPT command that we sent;
4168   some may be accepted and some rejected. For those that get a response, their
4169   status is fixed; any that are accepted have been handed over, even if later
4170   responses crash - at least, that's how I read RFC 2033.
4171
4172   If all went well, mark the recipient addresses as completed, record which
4173   host/IPaddress they were delivered to, and cut out RSET when sending another
4174   message down the same channel. Write the completed addresses to the journal
4175   now so that they are recorded in case there is a crash of hardware or
4176   software before the spool gets updated. Also record the final SMTP
4177   confirmation if needed (for SMTP only). */
4178
4179   if (sx->ok)
4180     {
4181     int flag = '=';
4182     struct timeval delivery_time;
4183     int len;
4184     uschar * conf = NULL;
4185
4186     timesince(&delivery_time, &sx->delivery_start);
4187     sx->send_rset = FALSE;
4188     pipelining_active = FALSE;
4189
4190     /* Set up confirmation if needed - applies only to SMTP */
4191
4192     if (
4193 #ifdef DISABLE_EVENT
4194           LOGGING(smtp_confirmation) &&
4195 #endif
4196           !sx->lmtp
4197        )
4198       {
4199       const uschar * s = string_printing(sx->buffer);
4200       /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4201       conf = s == sx->buffer ? US string_copy(s) : US s;
4202       }
4203
4204     /* Process all transported addresses - for LMTP or PRDR, read a status for
4205     each one. We used to drop out at first_addr, until someone returned a 452
4206     followed by a 250... and we screwed up the accepted addresses. */
4207
4208     for (address_item * addr = addrlist; addr; addr = addr->next)
4209       {
4210       if (addr->transport_return != PENDING_OK) continue;
4211
4212       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
4213       remaining addresses. Otherwise, it's a return code for just the one
4214       address. For temporary errors, add a retry item for the address so that
4215       it doesn't get tried again too soon. */
4216
4217 #ifndef DISABLE_PRDR
4218       if (sx->lmtp || sx->prdr_active)
4219 #else
4220       if (sx->lmtp)
4221 #endif
4222         {
4223         if (!smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4224             ob->final_timeout))
4225           {
4226           if (errno != 0 || sx->buffer[0] == 0) goto RESPONSE_FAILED;
4227           addr->message = string_sprintf(
4228 #ifndef DISABLE_PRDR
4229             "%s error after %s: %s", sx->prdr_active ? "PRDR":"LMTP",
4230 #else
4231             "LMTP error after %s: %s",
4232 #endif
4233             data_command, string_printing(sx->buffer));
4234           setflag(addr, af_pass_message);   /* Allow message to go to user */
4235           if (sx->buffer[0] == '5')
4236             addr->transport_return = FAIL;
4237           else
4238             {
4239             errno = ERRNO_DATA4XX;
4240             addr->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4241             addr->transport_return = DEFER;
4242 #ifndef DISABLE_PRDR
4243             if (!sx->prdr_active)
4244 #endif
4245               retry_add_item(addr, addr->address_retry_key, 0);
4246             }
4247           continue;
4248           }
4249         sx->completed_addr = TRUE;   /* NOW we can set this flag */
4250         if (LOGGING(smtp_confirmation))
4251           {
4252           const uschar *s = string_printing(sx->buffer);
4253           /* deconst cast ok here as string_printing was checked to have alloc'n'copied */
4254           conf = (s == sx->buffer) ? US string_copy(s) : US s;
4255           }
4256         }
4257
4258       /* SMTP, or success return from LMTP for this address. Pass back the
4259       actual host that was used. */
4260
4261       addr->transport_return = OK;
4262       addr->host_used = host;
4263       addr->delivery_time = delivery_time;
4264       addr->special_action = flag;
4265       addr->message = conf;
4266
4267       if (tcp_out_fastopen)
4268         {
4269         setflag(addr, af_tcp_fastopen_conn);
4270         if (tcp_out_fastopen >= TFO_USED_NODATA) setflag(addr, af_tcp_fastopen);
4271         if (tcp_out_fastopen >= TFO_USED_DATA) setflag(addr, af_tcp_fastopen_data);
4272         }
4273       if (sx->pipelining_used) setflag(addr, af_pipelining);
4274 #ifndef DISABLE_PIPE_CONNECT
4275       if (sx->early_pipe_active) setflag(addr, af_early_pipe);
4276 #endif
4277 #ifndef DISABLE_PRDR
4278       if (sx->prdr_active) setflag(addr, af_prdr_used);
4279 #endif
4280       if (smtp_peer_options & OPTION_CHUNKING) setflag(addr, af_chunking_used);
4281       flag = '-';
4282
4283 #ifndef DISABLE_PRDR
4284       if (!sx->prdr_active)
4285 #endif
4286         {
4287         /* Update the journal. For homonymic addresses, use the base address plus
4288         the transport name. See lots of comments in deliver.c about the reasons
4289         for the complications when homonyms are involved. Just carry on after
4290         write error, as it may prove possible to update the spool file later. */
4291
4292         if (testflag(addr, af_homonym))
4293           sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4294         else
4295           sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4296
4297         DEBUG(D_deliver) debug_printf("S:journalling %s", sx->buffer);
4298         len = Ustrlen(CS sx->buffer);
4299         if (write(journal_fd, sx->buffer, len) != len)
4300           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4301             "%s: %s", sx->buffer, strerror(errno));
4302         }
4303       }
4304
4305 #ifndef DISABLE_PRDR
4306     if (sx->prdr_active)
4307       {
4308       const uschar * overall_message;
4309
4310       /* PRDR - get the final, overall response.  For any non-success
4311       upgrade all the address statuses. */
4312
4313       sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2',
4314         ob->final_timeout);
4315       if (!sx->ok)
4316         {
4317         if(errno == 0 && sx->buffer[0] == '4')
4318           {
4319           errno = ERRNO_DATA4XX;
4320           addrlist->more_errno |= ((sx->buffer[1] - '0')*10 + sx->buffer[2] - '0') << 8;
4321           }
4322         for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4323           if (sx->buffer[0] == '5' || addr->transport_return == OK)
4324             addr->transport_return = PENDING_OK; /* allow set_errno action */
4325         goto RESPONSE_FAILED;
4326         }
4327
4328       /* Append the overall response to the individual PRDR response for logging
4329       and update the journal, or setup retry. */
4330
4331       overall_message = string_printing(sx->buffer);
4332       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4333         if (addr->transport_return == OK)
4334           addr->message = string_sprintf("%s\\n%s", addr->message, overall_message);
4335
4336       for (address_item * addr = addrlist; addr != sx->first_addr; addr = addr->next)
4337         if (addr->transport_return == OK)
4338           {
4339           if (testflag(addr, af_homonym))
4340             sprintf(CS sx->buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
4341           else
4342             sprintf(CS sx->buffer, "%.500s\n", addr->unique);
4343
4344           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s\n", sx->buffer);
4345           len = Ustrlen(CS sx->buffer);
4346           if (write(journal_fd, sx->buffer, len) != len)
4347             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
4348               "%s: %s", sx->buffer, strerror(errno));
4349           }
4350         else if (addr->transport_return == DEFER)
4351           /*XXX magic value -2 ? maybe host+message ? */
4352           retry_add_item(addr, addr->address_retry_key, -2);
4353       }
4354 #endif
4355
4356     /* Ensure the journal file is pushed out to disk. */
4357
4358     if (EXIMfsync(journal_fd) < 0)
4359       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
4360         strerror(errno));
4361     }
4362   }
4363
4364
4365 /* Handle general (not specific to one address) failures here. The value of ok
4366 is used to skip over this code on the falling through case. A timeout causes a
4367 deferral. Other errors may defer or fail according to the response code, and
4368 may set up a special errno value, e.g. after connection chopped, which is
4369 assumed if errno == 0 and there is no text in the buffer. If control reaches
4370 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
4371 the problem is not related to this specific message. */
4372
4373 if (!sx->ok)
4374   {
4375   int code, set_rc;
4376   uschar * set_message;
4377
4378   RESPONSE_FAILED:
4379     {
4380     save_errno = errno;
4381     message = NULL;
4382     /* Clear send_quit flag if needed.  Do not set. */
4383     sx->send_quit &= check_response(host, &save_errno, addrlist->more_errno,
4384       sx->buffer, &code, &message, &pass_message);
4385     goto FAILED;
4386     }
4387
4388   SEND_FAILED:
4389     {
4390     save_errno = errno;
4391     code = '4';
4392     message = string_sprintf("smtp send to %s [%s] failed: %s",
4393       host->name, host->address, message ? message : US strerror(save_errno));
4394     sx->send_quit = FALSE;
4395     goto FAILED;
4396     }
4397
4398   FAILED:
4399     {
4400     BOOL message_error;
4401
4402     sx->ok = FALSE;                /* For when reached by GOTO */
4403     set_message = message;
4404
4405   /* We want to handle timeouts after MAIL or "." and loss of connection after
4406   "." specially. They can indicate a problem with the sender address or with
4407   the contents of the message rather than a real error on the connection. These
4408   cases are treated in the same way as a 4xx response. This next bit of code
4409   does the classification. */
4410
4411     switch(save_errno)
4412       {
4413       case 0:
4414       case ERRNO_MAIL4XX:
4415       case ERRNO_DATA4XX:
4416         message_error = TRUE;
4417         break;
4418
4419       case ETIMEDOUT:
4420         message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
4421                         Ustrncmp(smtp_command,"end ",4) == 0;
4422         break;
4423
4424       case ERRNO_SMTPCLOSED:
4425         message_error = Ustrncmp(smtp_command,"end ",4) == 0;
4426         break;
4427
4428 #ifndef DISABLE_DKIM
4429       case EACCES:
4430         /* DKIM signing failure: avoid thinking we pipelined quit,
4431         just abandon the message and close the socket. */
4432
4433         message_error = FALSE;
4434 # ifndef DISABLE_TLS
4435         if (sx->cctx.tls_ctx)
4436           {
4437           tls_close(sx->cctx.tls_ctx,
4438                     sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4439           sx->cctx.tls_ctx = NULL;
4440           }
4441 # endif
4442         break;
4443 #endif
4444       default:
4445         message_error = FALSE;
4446         break;
4447       }
4448
4449     /* Handle the cases that are treated as message errors. These are:
4450
4451       (a) negative response or timeout after MAIL
4452       (b) negative response after DATA
4453       (c) negative response or timeout or dropped connection after "."
4454       (d) utf8 support required and not offered
4455
4456     It won't be a negative response or timeout after RCPT, as that is dealt
4457     with separately above. The action in all cases is to set an appropriate
4458     error code for all the addresses, but to leave yield set to OK because the
4459     host itself has not failed. Of course, it might in practice have failed
4460     when we've had a timeout, but if so, we'll discover that at the next
4461     delivery attempt. For a temporary error, set the message_defer flag, and
4462     write to the logs for information if this is not the last host. The error
4463     for the last host will be logged as part of the address's log line. */
4464
4465     if (message_error)
4466       {
4467       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
4468
4469       /* If there's an errno, the message contains just the identity of
4470       the host. */
4471
4472       if (code == '5')
4473         set_rc = FAIL;
4474       else              /* Anything other than 5 is treated as temporary */
4475         {
4476         set_rc = DEFER;
4477         if (save_errno > 0)
4478           message = US string_sprintf("%s: %s", message, strerror(save_errno));
4479
4480         write_logs(host, message, sx->first_addr ? sx->first_addr->basic_errno : 0);
4481
4482         *message_defer = TRUE;
4483         }
4484 #ifdef TIOCOUTQ
4485       DEBUG(D_transport) if (sx->cctx.sock >= 0)
4486         {
4487         int n;
4488         if (ioctl(sx->cctx.sock, TIOCOUTQ, &n) == 0)
4489           debug_printf("%d bytes remain in socket output buffer\n", n);
4490         }
4491 #endif
4492       }
4493     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
4494     ".", or some other transportation error. We defer all addresses and yield
4495     DEFER, except for the case of failed add_headers expansion, or a transport
4496     filter failure, when the yield should be ERROR, to stop it trying other
4497     hosts. */
4498
4499     else
4500       {
4501 #ifndef DISABLE_PIPE_CONNECT
4502       /* If we were early-pipelinng and the actual EHLO response did not match
4503       the cached value we assumed, we could have detected it and passed a
4504       custom errno through to here.  It would be nice to RSET and retry right
4505       away, but to reliably do that we eould need an extra synch point before
4506       we committed to data and that would discard half the gained roundrips.
4507       Or we could summarily drop the TCP connection. but that is also ugly.
4508       Instead, we ignore the possibility (having freshened the cache) and rely
4509       on the server telling us with a nonmessage error if we have tried to
4510       do something it no longer supports. */
4511 #endif
4512       set_rc = DEFER;
4513       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
4514                save_errno == ERRNO_FILTER_FAIL) ? ERROR : DEFER;
4515       }
4516     }
4517
4518   set_errno(addrlist, save_errno, set_message, set_rc, pass_message, host,
4519 #ifdef EXPERIMENTAL_DSN_INFO
4520             sx->smtp_greeting, sx->helo_response,
4521 #endif
4522             &sx->delivery_start);
4523   }
4524
4525 /* If all has gone well, send_quit will be set TRUE, implying we can end the
4526 SMTP session tidily. However, if there were too many addresses to send in one
4527 message (indicated by first_addr being non-NULL) we want to carry on with the
4528 rest of them. Also, it is desirable to send more than one message down the SMTP
4529 connection if there are several waiting, provided we haven't already sent so
4530 many as to hit the configured limit. The function transport_check_waiting looks
4531 for a waiting message and returns its id. Then transport_pass_socket tries to
4532 set up a continued delivery by passing the socket on to another process. The
4533 variable send_rset is FALSE if a message has just been successfully transferred.
4534
4535 If we are already sending down a continued channel, there may be further
4536 addresses not yet delivered that are aimed at the same host, but which have not
4537 been passed in this run of the transport. In this case, continue_more will be
4538 true, and all we should do is send RSET if necessary, and return, leaving the
4539 channel open.
4540
4541 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
4542 do not want to continue with other messages down the same channel, because that
4543 can lead to looping between two or more messages, all with the same,
4544 temporarily failing address(es). [The retry information isn't updated yet, so
4545 new processes keep on trying.] We probably also don't want to try more of this
4546 message's addresses either.
4547
4548 If we have started a TLS session, we have to end it before passing the
4549 connection to a new process. However, not all servers can handle this (Exim
4550 can), so we do not pass such a connection on if the host matches
4551 hosts_nopass_tls. */
4552
4553 DEBUG(D_transport)
4554   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
4555     "yield=%d first_address is %sNULL\n", sx->ok, sx->send_quit,
4556     sx->send_rset, f.continue_more, yield, sx->first_addr ? "not " : "");
4557
4558 if (sx->completed_addr && sx->ok && sx->send_quit)
4559 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4560   if (mail_limit = continue_sequence >= sx->max_mail)
4561     {
4562     DEBUG(D_transport)
4563       debug_printf("reached limit %u for MAILs per conn\n", sx->max_mail);
4564     }
4565   else
4566 #endif
4567     {
4568     smtp_compare_t t_compare =
4569       {.tblock = tblock, .current_sender_address = sender_address};
4570
4571     if (  sx->first_addr                        /* more addrs for this message */
4572        || f.continue_more                       /* more addrs for continued-host */
4573        || tcw_done && tcw                       /* more messages for host */
4574        || (
4575 #ifndef DISABLE_TLS
4576              (  tls_out.active.sock < 0  &&  !continue_proxy_cipher
4577              || verify_check_given_host(CUSS &ob->hosts_nopass_tls, host) != OK
4578              )
4579           &&
4580 #endif
4581              transport_check_waiting(tblock->name, host->name,
4582                sx->max_mail, new_message_id,
4583                (oicf)smtp_are_same_identities, (void*)&t_compare)
4584        )  )
4585       {
4586       uschar *msg;
4587       BOOL pass_message;
4588
4589       if (sx->send_rset)
4590         if (! (sx->ok = smtp_write_command(sx, SCMD_FLUSH, "RSET\r\n") >= 0))
4591           {
4592           msg = US string_sprintf("smtp send to %s [%s] failed: %s", host->name,
4593             host->address, strerror(errno));
4594           sx->send_quit = FALSE;
4595           }
4596         else if (! (sx->ok = smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4597                     '2', ob->command_timeout)))
4598           {
4599           int code;
4600           sx->send_quit = check_response(host, &errno, 0, sx->buffer, &code, &msg,
4601             &pass_message);
4602           if (!sx->send_quit)
4603             {
4604             DEBUG(D_transport) debug_printf("H=%s [%s] %s\n",
4605               host->name, host->address, msg);
4606             }
4607           }
4608
4609       /* Either RSET was not needed, or it succeeded */
4610
4611       if (sx->ok)
4612         {
4613 #ifndef DISABLE_TLS
4614         int pfd[2];
4615 #endif
4616         int socket_fd = sx->cctx.sock;
4617
4618         if (sx->first_addr)             /* More addresses still to be sent */
4619           {                             /*   for this message              */
4620 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4621           /* Any that we marked as skipped, reset to do now */
4622           for (address_item * a = sx->first_addr; a; a = a->next)
4623             if (a->transport_return == SKIP)
4624               a->transport_return = PENDING_DEFER;
4625 #endif
4626           continue_sequence++;                          /* for consistency */
4627           clearflag(sx->first_addr, af_new_conn);
4628           setflag(sx->first_addr, af_cont_conn);        /* Causes * in logging */
4629           pipelining_active = sx->pipelining_used;      /* was cleared at DATA */
4630           goto SEND_MESSAGE;
4631           }
4632
4633         /* Unless caller said it already has more messages listed for this host,
4634         pass the connection on to a new Exim process (below, the call to
4635         transport_pass_socket).  If the caller has more ready, just return with
4636         the connection still open. */
4637
4638 #ifndef DISABLE_TLS
4639         if (tls_out.active.sock >= 0)
4640           if (  f.continue_more
4641              || verify_check_given_host(CUSS &ob->hosts_noproxy_tls, host) == OK)
4642             {
4643             /* Before passing the socket on, or returning to caller with it still
4644             open, we must shut down TLS.  Not all MTAs allow for the continuation
4645             of the SMTP session when TLS is shut down. We test for this by sending
4646             a new EHLO. If we don't get a good response, we don't attempt to pass
4647             the socket on. */
4648
4649           tls_close(sx->cctx.tls_ctx,
4650             sx->send_tlsclose ? TLS_SHUTDOWN_WAIT : TLS_SHUTDOWN_WONLY);
4651           sx->send_tlsclose = FALSE;
4652           sx->cctx.tls_ctx = NULL;
4653           tls_out.active.sock = -1;
4654           smtp_peer_options = smtp_peer_options_wrap;
4655           sx->ok = !sx->smtps
4656             && smtp_write_command(sx, SCMD_FLUSH, "EHLO %s\r\n", sx->helo_data)
4657                 >= 0
4658             && smtp_read_response(sx, sx->buffer, sizeof(sx->buffer),
4659                                       '2', ob->command_timeout);
4660
4661             if (sx->ok && f.continue_more)
4662               goto TIDYUP;              /* More addresses for another run */
4663             }
4664           else
4665             {
4666             /* Set up a pipe for proxying TLS for the new transport process */
4667
4668             smtp_peer_options |= OPTION_TLS;
4669             if ((sx->ok = socketpair(AF_UNIX, SOCK_STREAM, 0, pfd) == 0))
4670               socket_fd = pfd[1];
4671             else
4672               set_errno(sx->first_addr, errno, US"internal allocation problem",
4673                       DEFER, FALSE, host,
4674 # ifdef EXPERIMENTAL_DSN_INFO
4675                       sx->smtp_greeting, sx->helo_response,
4676 # endif
4677                       &sx->delivery_start);
4678             }
4679         else
4680 #endif
4681           if (f.continue_more)
4682             goto TIDYUP;                        /* More addresses for another run */
4683
4684         /* If the socket is successfully passed, we mustn't send QUIT (or
4685         indeed anything!) from here. */
4686
4687   /*XXX DSN_INFO: assume likely to do new HELO; but for greet we'll want to
4688   propagate it from the initial
4689   */
4690         if (sx->ok && transport_pass_socket(tblock->name, host->name,
4691               host->address, new_message_id, socket_fd
4692 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4693               , sx->peer_limit_mail, sx->peer_limit_rcpt, sx->peer_limit_rcptdom
4694 #endif
4695               ))
4696           {
4697           sx->send_quit = FALSE;
4698
4699           /* We have passed the client socket to a fresh transport process.
4700           If TLS is still active, we need to proxy it for the transport we
4701           just passed the baton to.  Fork a child to to do it, and return to
4702           get logging done asap.  Which way to place the work makes assumptions
4703           about post-fork prioritisation which may not hold on all platforms. */
4704 #ifndef DISABLE_TLS
4705           if (tls_out.active.sock >= 0)
4706             {
4707             int pid = exim_fork(US"tls-proxy-interproc");
4708             if (pid == 0)               /* child; fork again to disconnect totally */
4709               {
4710               /* does not return */
4711               smtp_proxy_tls(sx->cctx.tls_ctx, sx->buffer, sizeof(sx->buffer), pfd,
4712                               ob->command_timeout, host->name);
4713               }
4714
4715             if (pid > 0)                /* parent */
4716               {
4717               close(pfd[0]);
4718               /* tidy the inter-proc to disconn the proxy proc */
4719               waitpid(pid, NULL, 0);
4720               tls_close(sx->cctx.tls_ctx, TLS_NO_SHUTDOWN);
4721               sx->cctx.tls_ctx = NULL;
4722               (void)close(sx->cctx.sock);
4723               sx->cctx.sock = -1;
4724               continue_transport = NULL;
4725               continue_hostname = NULL;
4726               goto TIDYUP;
4727               }
4728             log_write(0, LOG_PANIC_DIE, "fork failed");
4729             }
4730 #endif
4731           }
4732         }
4733
4734       /* If RSET failed and there are addresses left, they get deferred. */
4735       else
4736         set_errno(sx->first_addr, errno, msg, DEFER, FALSE, host,
4737 #ifdef EXPERIMENTAL_DSN_INFO
4738                     sx->smtp_greeting, sx->helo_response,
4739 #endif
4740                     &sx->delivery_start);
4741       }
4742     }
4743
4744 /* End off tidily with QUIT unless the connection has died or the socket has
4745 been passed to another process. */
4746
4747 SEND_QUIT:
4748 if (sx->send_quit)
4749   {                     /* Use _MORE to get QUIT in FIN segment */
4750   (void)smtp_write_command(sx, SCMD_MORE, "QUIT\r\n");
4751 #ifndef DISABLE_TLS
4752   if (sx->cctx.tls_ctx && sx->send_tlsclose)
4753     {
4754 # ifdef EXIM_TCP_CORK   /* Use _CORK to get TLS Close Notify in FIN segment */
4755     (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4756 # endif
4757     tls_shutdown_wr(sx->cctx.tls_ctx);
4758     sx->send_tlsclose = FALSE;
4759     }
4760 #endif
4761   }
4762
4763 END_OFF:
4764
4765 /* Close the socket, and return the appropriate value, first setting
4766 works because the NULL setting is passed back to the calling process, and
4767 remote_max_parallel is forced to 1 when delivering over an existing connection,
4768
4769 If all went well and continue_more is set, we shouldn't actually get here if
4770 there are further addresses, as the return above will be taken. However,
4771 writing RSET might have failed, or there may be other addresses whose hosts are
4772 specified in the transports, and therefore not visible at top level, in which
4773 case continue_more won't get set. */
4774
4775 if (sx->send_quit)
4776   {
4777   /* This flushes data queued in the socket, being the QUIT and any TLS Close,
4778   sending them along with the client FIN flag.  Us (we hope) sending FIN first
4779   means we (client) take the TIME_WAIT state, so the server (which likely has a
4780   higher connection rate) does not have to. */
4781
4782   HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(shutdown)>>\n");
4783   shutdown(sx->cctx.sock, SHUT_WR);
4784   }
4785
4786 if (sx->send_quit || tcw_done && !tcw)
4787   {
4788   /* Wait for (we hope) ack of our QUIT, and a server FIN.  Discard any data
4789   received, then discard the socket.  Any packet received after then, or receive
4790   data still in the socket, will get a RST - hence the pause/drain. */
4791
4792   /* Reap the response to QUIT, timing out after one second */
4793   (void) smtp_read_response(sx, sx->buffer, sizeof(sx->buffer), '2', 1);
4794 #ifndef DISABLE_TLS
4795   if (sx->cctx.tls_ctx)
4796     {
4797     int n;
4798
4799     /* Reap the TLS Close Notify from the server, timing out after one second */
4800     sigalrm_seen = FALSE;
4801     ALARM(1);
4802     do
4803       n = tls_read(sx->cctx.tls_ctx, sx->inbuffer, sizeof(sx->inbuffer));
4804     while (!sigalrm_seen && n > 0);
4805     ALARM_CLR(0);
4806
4807     if (sx->send_tlsclose)
4808       {
4809 # ifdef EXIM_TCP_CORK
4810       (void) setsockopt(sx->cctx.sock, IPPROTO_TCP, EXIM_TCP_CORK, US &on, sizeof(on));
4811 # endif
4812       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WAIT);
4813       }
4814     else
4815       tls_close(sx->cctx.tls_ctx, TLS_SHUTDOWN_WONLY);
4816     sx->cctx.tls_ctx = NULL;
4817     }
4818 #endif
4819
4820   /* Drain any trailing data from the socket before close, to avoid sending a RST */
4821
4822   if (  poll_one_fd(sx->cctx.sock, POLLIN, 20) != 0             /* 20ms */
4823      && fcntl(sx->cctx.sock, F_SETFL, O_NONBLOCK) == 0)
4824     for (int i = 16, n;                                         /* drain socket */
4825          (n = read(sx->cctx.sock, sx->inbuffer, sizeof(sx->inbuffer))) > 0 && i > 0;
4826          i--) HDEBUG(D_transport|D_acl|D_v)
4827       {
4828       int m = MIN(n, 64);
4829       debug_printf_indent("  SMTP(drain %d bytes)<< %.*s\n", n, m, sx->inbuffer);
4830       for (m = 0; m < n; m++)
4831         debug_printf("0x%02x\n", sx->inbuffer[m]);
4832       }
4833   }
4834 HDEBUG(D_transport|D_acl|D_v) debug_printf_indent("  SMTP(close)>>\n");
4835 (void)close(sx->cctx.sock);
4836 sx->cctx.sock = -1;
4837 continue_transport = NULL;
4838 continue_hostname = NULL;
4839 smtp_debug_cmd_report();
4840
4841 #ifndef DISABLE_EVENT
4842 (void) event_raise(tblock->event_action, US"tcp:close", NULL, NULL);
4843 #endif
4844
4845 #ifdef SUPPORT_DANE
4846 if (dane_held)
4847   {
4848   sx->first_addr = NULL;
4849   for (address_item * a = sx->addrlist->next; a; a = a->next)
4850     if (a->transport_return == DANE)
4851       {
4852       a->transport_return = PENDING_DEFER;
4853       if (!sx->first_addr)
4854         {
4855         /* Remember the new start-point in the addrlist, for smtp_setup_conn()
4856         to get the domain string for SNI */
4857
4858         sx->first_addr = a;
4859         clearflag(a, af_cont_conn);
4860         setflag(a, af_new_conn);                /* clear * from logging */
4861         DEBUG(D_transport) debug_printf("DANE: go-around for %s\n", a->domain);
4862         }
4863       }
4864   continue_sequence = 1;                        /* for consistency */
4865   goto REPEAT_CONN;
4866   }
4867 #endif
4868
4869 #ifdef EXPERIMENTAL_ESMTP_LIMITS
4870 if (mail_limit && sx->first_addr)
4871   {
4872   /* Reset the sequence count since we closed the connection.  This is flagged
4873   on the pipe back to the delivery process so that a non-continued-conn delivery
4874   is logged. */
4875
4876   continue_sequence = 1;                        /* for consistency */
4877   clearflag(sx->first_addr, af_cont_conn);
4878   setflag(sx->first_addr, af_new_conn);         /* clear  * from logging */
4879   goto REPEAT_CONN;
4880   }
4881 #endif
4882
4883 return yield;
4884
4885 TIDYUP:
4886 #ifdef SUPPORT_DANE
4887 if (dane_held) for (address_item * a = sx->addrlist->next; a; a = a->next)
4888   if (a->transport_return == DANE)
4889     a->transport_return = PENDING_DEFER;
4890 #endif
4891 return yield;
4892 }
4893
4894
4895
4896
4897 /*************************************************
4898 *              Closedown entry point             *
4899 *************************************************/
4900
4901 /* This function is called when exim is passed an open smtp channel
4902 from another incarnation, but the message which it has been asked
4903 to deliver no longer exists. The channel is on stdin.
4904
4905 We might do fancy things like looking for another message to send down
4906 the channel, but if the one we sought has gone, it has probably been
4907 delivered by some other process that itself will seek further messages,
4908 so just close down our connection.
4909
4910 Argument:   pointer to the transport instance block
4911 Returns:    nothing
4912 */
4913
4914 void
4915 smtp_transport_closedown(transport_instance *tblock)
4916 {
4917 smtp_transport_options_block * ob = SOB tblock->options_block;
4918 client_conn_ctx cctx;
4919 smtp_context sx;
4920 uschar buffer[256];
4921 uschar inbuffer[4096];
4922 uschar outbuffer[16];
4923
4924 /*XXX really we need an active-smtp-client ctx, rather than assuming stdout */
4925 cctx.sock = fileno(stdin);
4926 cctx.tls_ctx = cctx.sock == tls_out.active.sock ? tls_out.active.tls_ctx : NULL;
4927
4928 sx.inblock.cctx = &cctx;
4929 sx.inblock.buffer = inbuffer;
4930 sx.inblock.buffersize = sizeof(inbuffer);
4931 sx.inblock.ptr = inbuffer;
4932 sx.inblock.ptrend = inbuffer;
4933
4934 sx.outblock.cctx = &cctx;
4935 sx.outblock.buffersize = sizeof(outbuffer);
4936 sx.outblock.buffer = outbuffer;
4937 sx.outblock.ptr = outbuffer;
4938 sx.outblock.cmd_count = 0;
4939 sx.outblock.authenticating = FALSE;
4940
4941 (void)smtp_write_command(&sx, SCMD_FLUSH, "QUIT\r\n");
4942 (void)smtp_read_response(&sx, buffer, sizeof(buffer), '2', ob->command_timeout);
4943 (void)close(cctx.sock);
4944 }
4945
4946
4947
4948 /*************************************************
4949 *            Prepare addresses for delivery      *
4950 *************************************************/
4951
4952 /* This function is called to flush out error settings from previous delivery
4953 attempts to other hosts. It also records whether we got here via an MX record
4954 or not in the more_errno field of the address. We are interested only in
4955 addresses that are still marked DEFER - others may have got delivered to a
4956 previously considered IP address. Set their status to PENDING_DEFER to indicate
4957 which ones are relevant this time.
4958
4959 Arguments:
4960   addrlist     the list of addresses
4961   host         the host we are delivering to
4962
4963 Returns:       the first address for this delivery
4964 */
4965
4966 static address_item *
4967 prepare_addresses(address_item *addrlist, host_item *host)
4968 {
4969 address_item *first_addr = NULL;
4970 for (address_item * addr = addrlist; addr; addr = addr->next)
4971   if (addr->transport_return == DEFER)
4972     {
4973     if (!first_addr) first_addr = addr;
4974     addr->transport_return = PENDING_DEFER;
4975     addr->basic_errno = 0;
4976     addr->more_errno = (host->mx >= 0)? 'M' : 'A';
4977     addr->message = NULL;
4978 #ifndef DISABLE_TLS
4979     addr->cipher = NULL;
4980     addr->ourcert = NULL;
4981     addr->peercert = NULL;
4982     addr->peerdn = NULL;
4983     addr->ocsp = OCSP_NOT_REQ;
4984     addr->tlsver = NULL;
4985 #endif
4986 #ifdef EXPERIMENTAL_DSN_INFO
4987     addr->smtp_greeting = NULL;
4988     addr->helo_response = NULL;
4989 #endif
4990     }
4991 return first_addr;
4992 }
4993
4994
4995
4996 /*************************************************
4997 *              Main entry point                  *
4998 *************************************************/
4999
5000 /* See local README for interface details. As this is a remote transport, it is
5001 given a chain of addresses to be delivered in one connection, if possible. It
5002 always returns TRUE, indicating that each address has its own independent
5003 status set, except if there is a setting up problem, in which case it returns
5004 FALSE. */
5005
5006 BOOL
5007 smtp_transport_entry(
5008   transport_instance *tblock,      /* data for this instantiation */
5009   address_item *addrlist)          /* addresses we are working on */
5010 {
5011 int defport;
5012 int hosts_defer = 0;
5013 int hosts_fail  = 0;
5014 int hosts_looked_up = 0;
5015 int hosts_retry = 0;
5016 int hosts_serial = 0;
5017 int hosts_total = 0;
5018 int total_hosts_tried = 0;
5019 BOOL expired = TRUE;
5020 uschar *expanded_hosts = NULL;
5021 uschar *pistring;
5022 uschar *tid = string_sprintf("%s transport", tblock->name);
5023 smtp_transport_options_block *ob = SOB tblock->options_block;
5024 host_item *hostlist = addrlist->host_list;
5025 host_item *host = NULL;
5026
5027 DEBUG(D_transport)
5028   {
5029   debug_printf("%s transport entered\n", tblock->name);
5030   for (address_item * addr = addrlist; addr; addr = addr->next)
5031     debug_printf("  %s\n", addr->address);
5032   if (hostlist)
5033     {
5034     debug_printf("hostlist:\n");
5035     for (host_item * host = hostlist; host; host = host->next)
5036       debug_printf("  '%s' IP %s port %d\n", host->name, host->address, host->port);
5037     }
5038   if (continue_hostname)
5039     debug_printf("already connected to %s [%s] (on fd %d)\n",
5040       continue_hostname, continue_host_address,
5041       cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0);
5042   }
5043
5044 /* Check the restrictions on line length */
5045
5046 if (max_received_linelength > ob->message_linelength_limit)
5047   {
5048   struct timeval now;
5049   gettimeofday(&now, NULL);
5050
5051   for (address_item * addr = addrlist; addr; addr = addr->next)
5052     if (addr->transport_return == DEFER)
5053       addr->transport_return = PENDING_DEFER;
5054
5055   set_errno_nohost(addrlist, ERRNO_SMTPFORMAT,
5056     US"message has lines too long for transport", FAIL, TRUE, &now);
5057   goto END_TRANSPORT;
5058   }
5059
5060 /* Set the flag requesting that these hosts be added to the waiting
5061 database if the delivery fails temporarily or if we are running with
5062 queue_smtp or a 2-stage queue run. This gets unset for certain
5063 kinds of error, typically those that are specific to the message. */
5064
5065 update_waiting =  TRUE;
5066
5067 /* If a host list is not defined for the addresses - they must all have the
5068 same one in order to be passed to a single transport - or if the transport has
5069 a host list with hosts_override set, use the host list supplied with the
5070 transport. It is an error for this not to exist. */
5071
5072 if (!hostlist || (ob->hosts_override && ob->hosts))
5073   {
5074   if (!ob->hosts)
5075     {
5076     addrlist->message = string_sprintf("%s transport called with no hosts set",
5077       tblock->name);
5078     addrlist->transport_return = PANIC;
5079     return FALSE;   /* Only top address has status */
5080     }
5081
5082   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
5083     ob->hosts);
5084
5085   /* If the transport's host list contains no '$' characters, and we are not
5086   randomizing, it is fixed and therefore a chain of hosts can be built once
5087   and for all, and remembered for subsequent use by other calls to this
5088   transport. If, on the other hand, the host list does contain '$', or we are
5089   randomizing its order, we have to rebuild it each time. In the fixed case,
5090   as the hosts string will never be used again, it doesn't matter that we
5091   replace all the : characters with zeros. */
5092
5093   if (!ob->hostlist)
5094     {
5095     uschar *s = ob->hosts;
5096
5097     if (Ustrchr(s, '$'))
5098       {
5099       if (!(expanded_hosts = expand_string(s)))
5100         {
5101         addrlist->message = string_sprintf("failed to expand list of hosts "
5102           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
5103         addrlist->transport_return = f.search_find_defer ? DEFER : PANIC;
5104         return FALSE;     /* Only top address has status */
5105         }
5106       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
5107         "\"%s\"\n", s, expanded_hosts);
5108       s = expanded_hosts;
5109       }
5110     else
5111       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
5112
5113     if (is_tainted(s))
5114       {
5115       log_write(0, LOG_MAIN|LOG_PANIC,
5116         "attempt to use tainted host list '%s' from '%s' in transport %s",
5117         s, ob->hosts, tblock->name);
5118       /* Avoid leaking info to an attacker */
5119       addrlist->message = US"internal configuration error";
5120       addrlist->transport_return = PANIC;
5121       return FALSE;
5122       }
5123
5124     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
5125
5126     /* Check that the expansion yielded something useful. */
5127     if (!hostlist)
5128       {
5129       addrlist->message =
5130         string_sprintf("%s transport has empty hosts setting", tblock->name);
5131       addrlist->transport_return = PANIC;
5132       return FALSE;   /* Only top address has status */
5133       }
5134
5135     /* If there was no expansion of hosts, save the host list for
5136     next time. */
5137
5138     if (!expanded_hosts) ob->hostlist = hostlist;
5139     }
5140
5141   /* This is not the first time this transport has been run in this delivery;
5142   the host list was built previously. */
5143
5144   else
5145     hostlist = ob->hostlist;
5146   }
5147
5148 /* The host list was supplied with the address. If hosts_randomize is set, we
5149 must sort it into a random order if it did not come from MX records and has not
5150 already been randomized (but don't bother if continuing down an existing
5151 connection). */
5152
5153 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continue_hostname)
5154   {
5155   host_item *newlist = NULL;
5156   while (hostlist)
5157     {
5158     host_item *h = hostlist;
5159     hostlist = hostlist->next;
5160
5161     h->sort_key = random_number(100);
5162
5163     if (!newlist)
5164       {
5165       h->next = NULL;
5166       newlist = h;
5167       }
5168     else if (h->sort_key < newlist->sort_key)
5169       {
5170       h->next = newlist;
5171       newlist = h;
5172       }
5173     else
5174       {
5175       host_item *hh = newlist;
5176       while (hh->next)
5177         {
5178         if (h->sort_key < hh->next->sort_key) break;
5179         hh = hh->next;
5180         }
5181       h->next = hh->next;
5182       hh->next = h;
5183       }
5184     }
5185
5186   hostlist = addrlist->host_list = newlist;
5187   }
5188
5189 /* Sort out the default port.  */
5190
5191 if (!smtp_get_port(ob->port, addrlist, &defport, tid)) return FALSE;
5192
5193 /* For each host-plus-IP-address on the list:
5194
5195 .  If this is a continued delivery and the host isn't the one with the
5196    current connection, skip.
5197
5198 .  If the status is unusable (i.e. previously failed or retry checked), skip.
5199
5200 .  If no IP address set, get the address, either by turning the name into
5201    an address, calling gethostbyname if gethostbyname is on, or by calling
5202    the DNS. The DNS may yield multiple addresses, in which case insert the
5203    extra ones into the list.
5204
5205 .  Get the retry data if not previously obtained for this address and set the
5206    field which remembers the state of this address. Skip if the retry time is
5207    not reached. If not, remember whether retry data was found. The retry string
5208    contains both the name and the IP address.
5209
5210 .  Scan the list of addresses and mark those whose status is DEFER as
5211    PENDING_DEFER. These are the only ones that will be processed in this cycle
5212    of the hosts loop.
5213
5214 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
5215    Some addresses may be successfully delivered, others may fail, and yet
5216    others may get temporary errors and so get marked DEFER.
5217
5218 .  The return from the delivery attempt is OK if a connection was made and a
5219    valid SMTP dialogue was completed. Otherwise it is DEFER.
5220
5221 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
5222
5223 .  If fail to connect, or other defer state, add a retry item.
5224
5225 .  If there are any addresses whose status is still DEFER, carry on to the
5226    next host/IPaddress, unless we have tried the number of hosts given
5227    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
5228    there is some fancy logic for hosts_max_try that means its limit can be
5229    overstepped in some circumstances.
5230
5231 If we get to the end of the list, all hosts have deferred at least one address,
5232 or not reached their retry times. If delay_after_cutoff is unset, it requests a
5233 delivery attempt to those hosts whose last try was before the arrival time of
5234 the current message. To cope with this, we have to go round the loop a second
5235 time. After that, set the status and error data for any addresses that haven't
5236 had it set already. */
5237
5238 for (int cutoff_retry = 0;
5239      expired && cutoff_retry < (ob->delay_after_cutoff ? 1 : 2);
5240      cutoff_retry++)
5241   {
5242   host_item *nexthost = NULL;
5243   int unexpired_hosts_tried = 0;
5244   BOOL continue_host_tried = FALSE;
5245
5246 retry_non_continued:
5247   for (host = hostlist;
5248           host
5249        && unexpired_hosts_tried < ob->hosts_max_try
5250        && total_hosts_tried < ob->hosts_max_try_hardlimit;
5251        host = nexthost)
5252     {
5253     int rc;
5254     int host_af;
5255     BOOL host_is_expired = FALSE;
5256     BOOL message_defer = FALSE;
5257     BOOL some_deferred = FALSE;
5258     address_item *first_addr = NULL;
5259     uschar *interface = NULL;
5260     uschar *retry_host_key = NULL;
5261     uschar *retry_message_key = NULL;
5262     uschar *serialize_key = NULL;
5263
5264     /* Default next host is next host. :-) But this can vary if the
5265     hosts_max_try limit is hit (see below). It may also be reset if a host
5266     address is looked up here (in case the host was multihomed). */
5267
5268     nexthost = host->next;
5269
5270     /* If the address hasn't yet been obtained from the host name, look it up
5271     now, unless the host is already marked as unusable. If it is marked as
5272     unusable, it means that the router was unable to find its IP address (in
5273     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
5274     the lookup failed last time. We don't get this far if *all* MX records
5275     point to non-existent hosts; that is treated as a hard error.
5276
5277     We can just skip this host entirely. When the hosts came from the router,
5278     the address will timeout based on the other host(s); when the address is
5279     looked up below, there is an explicit retry record added.
5280
5281     Note that we mustn't skip unusable hosts if the address is not unset; they
5282     may be needed as expired hosts on the 2nd time round the cutoff loop. */
5283
5284     if (!host->address)
5285       {
5286       int new_port, flags;
5287
5288       if (host->status >= hstatus_unusable)
5289         {
5290         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
5291           host->name);
5292         continue;
5293         }
5294
5295       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
5296
5297       /* The host name is permitted to have an attached port. Find it, and
5298       strip it from the name. Just remember it for now. */
5299
5300       new_port = host_item_get_port(host);
5301
5302       /* Count hosts looked up */
5303
5304       hosts_looked_up++;
5305
5306       /* Find by name if so configured, or if it's an IP address. We don't
5307       just copy the IP address, because we need the test-for-local to happen. */
5308
5309       flags = HOST_FIND_BY_A | HOST_FIND_BY_AAAA;
5310       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
5311       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
5312
5313       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
5314         rc = host_find_byname(host, NULL, flags, NULL, TRUE);
5315       else
5316         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
5317           &ob->dnssec,          /* domains for request/require */
5318           NULL, NULL);
5319
5320       /* Update the host (and any additional blocks, resulting from
5321       multihoming) with a host-specific port, if any. */
5322
5323       for (host_item * hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
5324
5325       /* Failure to find the host at this time (usually DNS temporary failure)
5326       is really a kind of routing failure rather than a transport failure.
5327       Therefore we add a retry item of the routing kind, not to stop us trying
5328       to look this name up here again, but to ensure the address gets timed
5329       out if the failures go on long enough. A complete failure at this point
5330       commonly points to a configuration error, but the best action is still
5331       to carry on for the next host. */
5332
5333       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_SECURITY || rc == HOST_FIND_FAILED)
5334         {
5335         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
5336         expired = FALSE;
5337         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
5338         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
5339           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
5340         host->status = hstatus_unusable;
5341
5342         for (address_item * addr = addrlist; addr; addr = addr->next)
5343           {
5344           if (addr->transport_return != DEFER) continue;
5345           addr->basic_errno = ERRNO_UNKNOWNHOST;
5346           addr->message = string_sprintf(
5347             rc == HOST_FIND_SECURITY
5348               ? "lookup of IP address for %s was insecure"
5349               : "failed to lookup IP address for %s",
5350             host->name);
5351           }
5352         continue;
5353         }
5354
5355       /* If the host is actually the local host, we may have a problem, or
5356       there may be some cunning configuration going on. In the problem case,
5357       log things and give up. The default transport status is already DEFER. */
5358
5359       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
5360         {
5361         for (address_item * addr = addrlist; addr; addr = addr->next)
5362           {
5363           addr->basic_errno = ERRNO_HOST_IS_LOCAL;
5364           addr->message = string_sprintf("%s transport found host %s to be "
5365             "local", tblock->name, host->name);
5366           }
5367         goto END_TRANSPORT;
5368         }
5369       }   /* End of block for IP address lookup */
5370
5371     /* If this is a continued delivery, we are interested only in the host
5372     which matches the name of the existing open channel. The check is put
5373     here after the local host lookup, in case the name gets expanded as a
5374     result of the lookup. Set expired FALSE, to save the outer loop executing
5375     twice. */
5376
5377     if (continue_hostname)
5378       if (  Ustrcmp(continue_hostname, host->name) != 0
5379          || Ustrcmp(continue_host_address, host->address) != 0
5380          )
5381         {
5382         expired = FALSE;
5383         continue;      /* With next host */
5384         }
5385       else
5386         continue_host_tried = TRUE;
5387
5388     /* Reset the default next host in case a multihomed host whose addresses
5389     are not looked up till just above added to the host list. */
5390
5391     nexthost = host->next;
5392
5393     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
5394     domain is in queue_smtp_domains, we don't actually want to attempt any
5395     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
5396     there is a lookup defer in queue_smtp_domains, proceed as if the domain
5397     were not in it. We don't want to hold up all SMTP deliveries! Except when
5398     doing a two-stage queue run, don't do this if forcing. */
5399
5400     if (  (!f.deliver_force || f.queue_2stage)
5401        && (  f.queue_smtp
5402           || match_isinlist(addrlist->domain,
5403               CUSS &queue_smtp_domains, 0,
5404               &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK)
5405        )
5406       {
5407       DEBUG(D_transport) debug_printf("first-pass routing only\n");
5408       expired = FALSE;
5409       for (address_item * addr = addrlist; addr; addr = addr->next)
5410         if (addr->transport_return == DEFER)
5411           addr->message = US"first-pass only routing due to -odqs, "
5412                             "queue_smtp_domains or control=queue";
5413       continue;      /* With next host */
5414       }
5415
5416     /* Count hosts being considered - purely for an intelligent comment
5417     if none are usable. */
5418
5419     hosts_total++;
5420
5421     /* Set $host and $host address now in case they are needed for the
5422     interface expansion or the serialize_hosts check; they remain set if an
5423     actual delivery happens. */
5424
5425     deliver_host = host->name;
5426     deliver_host_address = host->address;
5427     lookup_dnssec_authenticated = host->dnssec == DS_YES ? US"yes"
5428                                 : host->dnssec == DS_NO ? US"no"
5429                                 : US"";
5430
5431     /* Set up a string for adding to the retry key if the port number is not
5432     the standard SMTP port. A host may have its own port setting that overrides
5433     the default. */
5434
5435     pistring = string_sprintf(":%d", host->port == PORT_NONE
5436       ? defport : host->port);
5437     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
5438
5439     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
5440     string is set, even if constant (as different transports can have different
5441     constant settings), we must add it to the key that is used for retries,
5442     because connections to the same host from a different interface should be
5443     treated separately. */
5444
5445     host_af = Ustrchr(host->address, ':') ? AF_INET6 : AF_INET;
5446       {
5447       uschar * s = ob->interface;
5448       if (s && *s)
5449         {
5450         if (!smtp_get_interface(s, host_af, addrlist, &interface, tid))
5451           return FALSE;
5452         pistring = string_sprintf("%s/%s", pistring, interface);
5453         }
5454       }
5455
5456     /* The first time round the outer loop, check the status of the host by
5457     inspecting the retry data. The second time round, we are interested only
5458     in expired hosts that haven't been tried since this message arrived. */
5459
5460     if (cutoff_retry == 0)
5461       {
5462       BOOL incl_ip;
5463       /* Ensure the status of the address is set by checking retry data if
5464       necessary. There may be host-specific retry data (applicable to all
5465       messages) and also data for retries of a specific message at this host.
5466       If either of these retry records are actually read, the keys used are
5467       returned to save recomputing them later. */
5468
5469       if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5470                 US"retry_include_ip_address", ob->retry_include_ip_address,
5471                 ob->expand_retry_include_ip_address, &incl_ip) != OK)
5472         continue;       /* with next host */
5473
5474       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
5475         incl_ip, &retry_host_key, &retry_message_key);
5476
5477       DEBUG(D_transport) debug_printf("%s [%s]%s retry-status = %s\n", host->name,
5478         host->address ? host->address : US"", pistring,
5479         host->status == hstatus_usable ? "usable"
5480         : host->status == hstatus_unusable ? "unusable"
5481         : host->status == hstatus_unusable_expired ? "unusable (expired)" : "?");
5482
5483       /* Skip this address if not usable at this time, noting if it wasn't
5484       actually expired, both locally and in the address. */
5485
5486       switch (host->status)
5487         {
5488         case hstatus_unusable:
5489           expired = FALSE;
5490           setflag(addrlist, af_retry_skipped);
5491           /* Fall through */
5492
5493         case hstatus_unusable_expired:
5494           switch (host->why)
5495             {
5496             case hwhy_retry: hosts_retry++; break;
5497             case hwhy_failed:  hosts_fail++; break;
5498             case hwhy_insecure:
5499             case hwhy_deferred: hosts_defer++; break;
5500             }
5501
5502           /* If there was a retry message key, implying that previously there
5503           was a message-specific defer, we don't want to update the list of
5504           messages waiting for these hosts. */
5505
5506           if (retry_message_key) update_waiting = FALSE;
5507           continue;   /* With the next host or IP address */
5508         }
5509       }
5510
5511     /* Second time round the loop: if the address is set but expired, and
5512     the message is newer than the last try, let it through. */
5513
5514     else
5515       {
5516       if (  !host->address
5517          || host->status != hstatus_unusable_expired
5518          || host->last_try > received_time.tv_sec)
5519         continue;
5520       DEBUG(D_transport) debug_printf("trying expired host %s [%s]%s\n",
5521           host->name, host->address, pistring);
5522       host_is_expired = TRUE;
5523       }
5524
5525     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
5526     it remains TRUE only if all hosts are expired and none are actually tried.
5527     */
5528
5529     expired = FALSE;
5530
5531     /* If this host is listed as one to which access must be serialized,
5532     see if another Exim process has a connection to it, and if so, skip
5533     this host. If not, update the database to record our connection to it
5534     and remember this for later deletion. Do not do any of this if we are
5535     sending the message down a pre-existing connection. */
5536
5537     if (  !continue_hostname
5538        && verify_check_given_host(CUSS &ob->serialize_hosts, host) == OK)
5539       {
5540       serialize_key = string_sprintf("host-serialize-%s", host->name);
5541       if (!enq_start(serialize_key, 1))
5542         {
5543         DEBUG(D_transport)
5544           debug_printf("skipping host %s because another Exim process "
5545             "is connected to it\n", host->name);
5546         hosts_serial++;
5547         continue;
5548         }
5549       }
5550
5551     /* OK, we have an IP address that is not waiting for its retry time to
5552     arrive (it might be expired) OR (second time round the loop) we have an
5553     expired host that hasn't been tried since the message arrived. Have a go
5554     at delivering the message to it. First prepare the addresses by flushing
5555     out the result of previous attempts, and finding the first address that
5556     is still to be delivered. */
5557
5558     first_addr = prepare_addresses(addrlist, host);
5559
5560     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
5561       message_id, host->name, host->address, addrlist->address,
5562       addrlist->next ? ", ..." : "");
5563
5564     set_process_info("delivering %s to %s [%s]%s (%s%s)",
5565       message_id, host->name, host->address, pistring, addrlist->address,
5566       addrlist->next ? ", ..." : "");
5567
5568     /* This is not for real; don't do the delivery. If there are
5569     any remaining hosts, list them. */
5570
5571     if (f.dont_deliver)
5572       {
5573       struct timeval now;
5574       gettimeofday(&now, NULL);
5575       set_errno_nohost(addrlist, 0, NULL, OK, FALSE, &now);
5576       for (address_item * addr = addrlist; addr; addr = addr->next)
5577         {
5578         addr->host_used = host;
5579         addr->special_action = '*';
5580         addr->message = US"delivery bypassed by -N option";
5581         }
5582       DEBUG(D_transport)
5583         {
5584         debug_printf("*** delivery by %s transport bypassed by -N option\n"
5585                      "*** host and remaining hosts:\n", tblock->name);
5586         for (host_item * host2 = host; host2; host2 = host2->next)
5587           debug_printf("    %s [%s]\n", host2->name,
5588             host2->address ? host2->address : US"unset");
5589         }
5590       rc = OK;
5591       }
5592
5593     /* This is for real. If the host is expired, we don't count it for
5594     hosts_max_retry. This ensures that all hosts must expire before an address
5595     is timed out, unless hosts_max_try_hardlimit (which protects against
5596     lunatic DNS configurations) is reached.
5597
5598     If the host is not expired and we are about to hit the hosts_max_retry
5599     limit, check to see if there is a subsequent hosts with a different MX
5600     value. If so, make that the next host, and don't count this one. This is a
5601     heuristic to make sure that different MXs do get tried. With a normal kind
5602     of retry rule, they would get tried anyway when the earlier hosts were
5603     delayed, but if the domain has a "retry every time" type of rule - as is
5604     often used for the the very large ISPs, that won't happen. */
5605
5606     else
5607       {
5608       host_item * thost;
5609       /* Make a copy of the host if it is local to this invocation
5610        of the transport. */
5611
5612       if (expanded_hosts)
5613         {
5614         thost = store_get(sizeof(host_item), GET_UNTAINTED);
5615         *thost = *host;
5616         thost->name = string_copy(host->name);
5617         thost->address = string_copy(host->address);
5618         }
5619       else
5620         thost = host;
5621
5622       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
5623         {
5624         DEBUG(D_transport)
5625           debug_printf("hosts_max_try limit reached with this host\n");
5626         for (host_item * h = host; h; h = h->next) if (h->mx != host->mx)
5627           {
5628           nexthost = h;
5629           unexpired_hosts_tried--;
5630           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
5631             "and will be tried\n");
5632           break;
5633           }
5634         }
5635
5636       /* Attempt the delivery. */
5637
5638       total_hosts_tried++;
5639       rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5640         &message_defer, FALSE);
5641
5642       /* Yield is one of:
5643          OK     => connection made, each address contains its result;
5644                      message_defer is set for message-specific defers (when all
5645                      recipients are marked defer)
5646          DEFER  => there was a non-message-specific delivery problem;
5647          ERROR  => there was a problem setting up the arguments for a filter,
5648                    or there was a problem with expanding added headers
5649       */
5650
5651       /* If the result is not OK, there was a non-message-specific problem.
5652       If the result is DEFER, we need to write to the logs saying what happened
5653       for this particular host, except in the case of authentication and TLS
5654       failures, where the log has already been written. If all hosts defer a
5655       general message is written at the end. */
5656
5657       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL
5658                       && first_addr->basic_errno != ERRNO_TLSFAILURE)
5659         write_logs(host, first_addr->message, first_addr->basic_errno);
5660
5661 #ifndef DISABLE_EVENT
5662       if (rc == DEFER)
5663         deferred_event_raise(first_addr, host, US"msg:host:defer");
5664 #endif
5665
5666       /* If STARTTLS was accepted, but there was a failure in setting up the
5667       TLS session (usually a certificate screwup), and the host is not in
5668       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
5669       TLS forcibly turned off. We have to start from scratch with a new SMTP
5670       connection. That's why the retry is done from here, not from within
5671       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
5672       session, so the in-clear transmission after those errors, if permitted,
5673       happens inside smtp_deliver().] */
5674
5675 #ifndef DISABLE_TLS
5676       if (  rc == DEFER
5677          && first_addr->basic_errno == ERRNO_TLSFAILURE
5678          && ob->tls_tempfail_tryclear
5679          && verify_check_given_host(CUSS &ob->hosts_require_tls, host) != OK
5680          )
5681         {
5682         log_write(0, LOG_MAIN,
5683           "%s: delivering unencrypted to H=%s [%s] (not in hosts_require_tls)",
5684           first_addr->message, host->name, host->address);
5685         first_addr = prepare_addresses(addrlist, host);
5686         rc = smtp_deliver(addrlist, thost, host_af, defport, interface, tblock,
5687           &message_defer, TRUE);
5688         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
5689           write_logs(host, first_addr->message, first_addr->basic_errno);
5690 # ifndef DISABLE_EVENT
5691         if (rc == DEFER)
5692           deferred_event_raise(first_addr, host, US"msg:host:defer");
5693 # endif
5694         }
5695 #endif  /*DISABLE_TLS*/
5696
5697 #ifndef DISABLE_EVENT
5698       /* If the last host gave a defer raise a per-message event */
5699
5700       if (  !(  nexthost
5701              && unexpired_hosts_tried < ob->hosts_max_try
5702              && total_hosts_tried < ob->hosts_max_try_hardlimit
5703              )
5704          && (message_defer || rc == DEFER)
5705          )
5706         deferred_event_raise(first_addr, host, US"msg:defer");
5707 #endif
5708       }
5709
5710     /* Delivery attempt finished */
5711
5712     set_process_info("delivering %s: just tried %s [%s]%s for %s%s: result %s",
5713       message_id, host->name, host->address, pistring, addrlist->address,
5714       addrlist->next ? " (& others)" : "", rc_to_string(rc));
5715
5716     /* Release serialization if set up */
5717
5718     if (serialize_key) enq_end(serialize_key);
5719
5720     /* If the result is DEFER, or if a host retry record is known to exist, we
5721     need to add an item to the retry chain for updating the retry database
5722     at the end of delivery. We only need to add the item to the top address,
5723     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
5724     for any other delivery attempts using the same address. (It is copied into
5725     the unusable tree at the outer level, so even if different address blocks
5726     contain the same address, it still won't get tried again.) */
5727
5728     if (rc == DEFER || retry_host_key)
5729       {
5730       int delete_flag = rc != DEFER ? rf_delete : 0;
5731       if (!retry_host_key)
5732         {
5733         BOOL incl_ip;
5734         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5735                   US"retry_include_ip_address", ob->retry_include_ip_address,
5736                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5737           incl_ip = TRUE;       /* error; use most-specific retry record */
5738
5739         retry_host_key = incl_ip
5740           ? string_sprintf("T:%S:%s%s", host->name, host->address, pistring)
5741           : string_sprintf("T:%S%s", host->name, pistring);
5742         }
5743
5744       /* If a delivery of another message over an existing SMTP connection
5745       yields DEFER, we do NOT set up retry data for the host. This covers the
5746       case when there are delays in routing the addresses in the second message
5747       that are so long that the server times out. This is alleviated by not
5748       routing addresses that previously had routing defers when handling an
5749       existing connection, but even so, this case may occur (e.g. if a
5750       previously happily routed address starts giving routing defers). If the
5751       host is genuinely down, another non-continued message delivery will
5752       notice it soon enough. */
5753
5754       if (delete_flag != 0 || !continue_hostname)
5755         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
5756
5757       /* We may have tried an expired host, if its retry time has come; ensure
5758       the status reflects the expiry for the benefit of any other addresses. */
5759
5760       if (rc == DEFER)
5761         {
5762         host->status = host_is_expired
5763           ? hstatus_unusable_expired : hstatus_unusable;
5764         host->why = hwhy_deferred;
5765         }
5766       }
5767
5768     /* If message_defer is set (host was OK, but every recipient got deferred
5769     because of some message-specific problem), or if that had happened
5770     previously so that a message retry key exists, add an appropriate item
5771     to the retry chain. Note that if there was a message defer but now there is
5772     a host defer, the message defer record gets deleted. That seems perfectly
5773     reasonable. Also, stop the message from being remembered as waiting
5774     for specific hosts. */
5775
5776     if (message_defer || retry_message_key)
5777       {
5778       int delete_flag = message_defer ? 0 : rf_delete;
5779       if (!retry_message_key)
5780         {
5781         BOOL incl_ip;
5782         if (exp_bool(addrlist, US"transport", tblock->name, D_transport,
5783                   US"retry_include_ip_address", ob->retry_include_ip_address,
5784                   ob->expand_retry_include_ip_address, &incl_ip) != OK)
5785           incl_ip = TRUE;       /* error; use most-specific retry record */
5786
5787         retry_message_key = incl_ip
5788           ? string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
5789               message_id)
5790           : string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
5791         }
5792       retry_add_item(addrlist, retry_message_key,
5793         rf_message | rf_host | delete_flag);
5794       update_waiting = FALSE;
5795       }
5796
5797     /* Any return other than DEFER (that is, OK or ERROR) means that the
5798     addresses have got their final statuses filled in for this host. In the OK
5799     case, see if any of them are deferred. */
5800
5801     if (rc == OK)
5802       for (address_item * addr = addrlist; addr; addr = addr->next)
5803         if (addr->transport_return == DEFER)
5804           {
5805           some_deferred = TRUE;
5806           break;
5807           }
5808
5809     /* If no addresses deferred or the result was ERROR, return. We do this for
5810     ERROR because a failing filter set-up or add_headers expansion is likely to
5811     fail for any host we try. */
5812
5813     if (rc == ERROR || (rc == OK && !some_deferred))
5814       {
5815       DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
5816       return TRUE;    /* Each address has its status */
5817       }
5818
5819     /* If the result was DEFER or some individual addresses deferred, let
5820     the loop run to try other hosts with the deferred addresses, except for the
5821     case when we were trying to deliver down an existing channel and failed.
5822     Don't try any other hosts in this case. */
5823
5824     if (continue_hostname) break;
5825
5826     /* If the whole delivery, or some individual addresses, were deferred and
5827     there are more hosts that could be tried, do not count this host towards
5828     the hosts_max_try limit if the age of the message is greater than the
5829     maximum retry time for this host. This means we may try try all hosts,
5830     ignoring the limit, when messages have been around for some time. This is
5831     important because if we don't try all hosts, the address will never time
5832     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
5833
5834     if ((rc == DEFER || some_deferred) && nexthost)
5835       {
5836       BOOL timedout;
5837       retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
5838
5839       if (retry && retry->rules)
5840         {
5841         retry_rule *last_rule;
5842         for (last_rule = retry->rules;
5843              last_rule->next;
5844              last_rule = last_rule->next);
5845         timedout = time(NULL) - received_time.tv_sec > last_rule->timeout;
5846         }
5847       else timedout = TRUE;    /* No rule => timed out */
5848
5849       if (timedout)
5850         {
5851         unexpired_hosts_tried--;
5852         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
5853           "hosts_max_try (message older than host's retry time)\n");
5854         }
5855       }
5856
5857     DEBUG(D_transport)
5858       {
5859       if (unexpired_hosts_tried >= ob->hosts_max_try)
5860         debug_printf("reached transport hosts_max_try limit %d\n",
5861           ob->hosts_max_try);
5862       if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5863         debug_printf("reached transport hosts_max_try_hardlimit limit %d\n",
5864           ob->hosts_max_try_hardlimit);
5865       }
5866
5867     testharness_pause_ms(500); /* let server debug out */
5868     }   /* End of loop for trying multiple hosts. */
5869
5870   /* If we failed to find a matching host in the list, for an already-open
5871   connection, just close it and start over with the list.  This can happen
5872   for routing that changes from run to run, or big multi-IP sites with
5873   round-robin DNS. */
5874
5875   if (continue_hostname && !continue_host_tried)
5876     {
5877     int fd = cutthrough.cctx.sock >= 0 ? cutthrough.cctx.sock : 0;
5878
5879     DEBUG(D_transport) debug_printf("no hosts match already-open connection\n");
5880 #ifndef DISABLE_TLS
5881     /* A TLS conn could be open for a cutthrough, but not for a plain continued-
5882     transport */
5883 /*XXX doublecheck that! */
5884
5885     if (cutthrough.cctx.sock >= 0 && cutthrough.is_tls)
5886       {
5887       (void) tls_write(cutthrough.cctx.tls_ctx, US"QUIT\r\n", 6, FALSE);
5888       tls_close(cutthrough.cctx.tls_ctx, TLS_SHUTDOWN_NOWAIT);
5889       cutthrough.cctx.tls_ctx = NULL;
5890       cutthrough.is_tls = FALSE;
5891       }
5892     else
5893 #else
5894       (void) write(fd, US"QUIT\r\n", 6);
5895 #endif
5896     (void) close(fd);
5897     cutthrough.cctx.sock = -1;
5898     continue_hostname = NULL;
5899     goto retry_non_continued;
5900     }
5901
5902   /* This is the end of the loop that repeats iff expired is TRUE and
5903   ob->delay_after_cutoff is FALSE. The second time round we will
5904   try those hosts that haven't been tried since the message arrived. */
5905
5906   DEBUG(D_transport)
5907     {
5908     debug_printf("all IP addresses skipped or deferred at least one address\n");
5909     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
5910       debug_printf("retrying IP addresses not tried since message arrived\n");
5911     }
5912   }
5913
5914
5915 /* Get here if all IP addresses are skipped or defer at least one address. In
5916 MUA wrapper mode, this will happen only for connection or other non-message-
5917 specific failures. Force the delivery status for all addresses to FAIL. */
5918
5919 if (mua_wrapper)
5920   {
5921   for (address_item * addr = addrlist; addr; addr = addr->next)
5922     addr->transport_return = FAIL;
5923   goto END_TRANSPORT;
5924   }
5925
5926 /* In the normal, non-wrapper case, add a standard message to each deferred
5927 address if there hasn't been an error, that is, if it hasn't actually been
5928 tried this time. The variable "expired" will be FALSE if any deliveries were
5929 actually tried, or if there was at least one host that was not expired. That
5930 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
5931 a delivery has been tried, an error code will be set, and the failing of the
5932 message is handled by the retry code later.
5933
5934 If queue_smtp is set, or this transport was called to send a subsequent message
5935 down an existing TCP/IP connection, and something caused the host not to be
5936 found, we end up here, but can detect these cases and handle them specially. */
5937
5938 for (address_item * addr = addrlist; addr; addr = addr->next)
5939   {
5940   /* If host is not NULL, it means that we stopped processing the host list
5941   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
5942   means we need to behave as if some hosts were skipped because their retry
5943   time had not come. Specifically, this prevents the address from timing out.
5944   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
5945   hosts were tried. */
5946
5947   if (host)
5948     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
5949       {
5950       DEBUG(D_transport)
5951         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
5952           "hosts were tried\n");
5953       }
5954     else
5955       {
5956       DEBUG(D_transport)
5957         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
5958       setflag(addr, af_retry_skipped);
5959       }
5960
5961   if (f.queue_smtp)    /* no deliveries attempted */
5962     {
5963     addr->transport_return = DEFER;
5964     addr->basic_errno = 0;
5965     addr->message = US"SMTP delivery explicitly queued";
5966     }
5967
5968   else if (  addr->transport_return == DEFER
5969           && (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0)
5970           && !addr->message
5971           )
5972     {
5973     addr->basic_errno = ERRNO_HRETRY;
5974     if (continue_hostname)
5975       addr->message = US"no host found for existing SMTP connection";
5976     else if (expired)
5977       {
5978       setflag(addr, af_pass_message);   /* This is not a security risk */
5979       addr->message = string_sprintf(
5980         "all hosts%s have been failing for a long time %s",
5981         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"",
5982         ob->delay_after_cutoff
5983         ? US"(and retry time not reached)"
5984         : US"and were last tried after this message arrived");
5985
5986       /* If we are already using fallback hosts, or there are no fallback hosts
5987       defined, convert the result to FAIL to cause a bounce. */
5988
5989       if (addr->host_list == addr->fallback_hosts || !addr->fallback_hosts)
5990         addr->transport_return = FAIL;
5991       }
5992     else
5993       {
5994       const char * s;
5995       if (hosts_retry == hosts_total)
5996         s = "retry time not reached for any host%s";
5997       else if (hosts_fail == hosts_total)
5998         s = "all host address lookups%s failed permanently";
5999       else if (hosts_defer == hosts_total)
6000         s = "all host address lookups%s failed temporarily";
6001       else if (hosts_serial == hosts_total)
6002         s = "connection limit reached for all hosts%s";
6003       else if (hosts_fail+hosts_defer == hosts_total)
6004         s = "all host address lookups%s failed";
6005       else
6006         s = "some host address lookups failed and retry time "
6007         "not reached for other hosts or connection limit reached%s";
6008
6009       addr->message = string_sprintf(s,
6010         addr->domain ? string_sprintf(" for '%s'", addr->domain) : US"");
6011       }
6012     }
6013   }
6014
6015 /* Update the database which keeps information about which messages are waiting
6016 for which hosts to become available. For some message-specific errors, the
6017 update_waiting flag is turned off because we don't want follow-on deliveries in
6018 those cases.  If this transport instance is explicitly limited to one message
6019 per connection then follow-on deliveries are not possible and there's no need
6020 to create/update the per-transport wait-<transport_name> database. */
6021
6022 if (update_waiting && tblock->connection_max_messages != 1)
6023   transport_update_waiting(hostlist, tblock->name);
6024
6025 END_TRANSPORT:
6026
6027 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
6028
6029 return TRUE;   /* Each address has its status */
6030 }
6031
6032 #endif  /*!MACRO_PREDEF*/
6033 /* vi: aw ai sw=2
6034 */
6035 /* End of transport/smtp.c */