Move ESMPT LIMITS extension from experimental to mainline

[exim.git] / src / src / exim.c
diff --git a/src/src/exim.c b/src/src/exim.c

index dcc71ea4534ab270fff63209d8e204dceb898e23..1f76f8f1435347ae9571af16551c9c30e1fa6391 100644 (file)
--- a/src/src/exim.c
+++ b/src/src/exim.c
@@ -2,7 +2,7 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
-/* Copyright (c) The Exim Maintainers 2020 - 2022 */
+/* Copyright (c) The Exim Maintainers 2020 - 2023 */
  /* Copyright (c) University of Cambridge 1995 - 2018 */
  /* See the file NOTICE for conditions of use and distribution. */
  /* SPDX-License-Identifier: GPL-2.0-or-later */
  /* Copyright (c) University of Cambridge 1995 - 2018 */
  /* See the file NOTICE for conditions of use and distribution. */
  /* SPDX-License-Identifier: GPL-2.0-or-later */
@@ -49,6 +49,8 @@ optimize out the tail recursion and so not make them too expensive. */
  static void *
  function_store_malloc(PCRE2_SIZE size, void * tag)
  {
  static void *
  function_store_malloc(PCRE2_SIZE size, void * tag)
  {
+if (size > INT_MAX)
+  log_write(0, LOG_MAIN|LOG_PANIC_DIE, "excessive memory alloc request");
  return store_malloc((int)size);
  }
  
  return store_malloc((int)size);
  }
  
@@ -63,12 +65,15 @@ if (block) store_free(block);
  static void *
  function_store_get(PCRE2_SIZE size, void * tag)
  {
  static void *
  function_store_get(PCRE2_SIZE size, void * tag)
  {
+if (size > INT_MAX)
+  log_write(0, LOG_MAIN|LOG_PANIC_DIE, "excessive memory alloc request");
  return store_get((int)size, GET_UNTAINTED);    /* loses track of taint */
  }
  
  static void
  function_store_nullfree(void * block, void * tag)
  {
  return store_get((int)size, GET_UNTAINTED);    /* loses track of taint */
  }
  
  static void
  function_store_nullfree(void * block, void * tag)
  {
+/* We cannot free memory allocated using store_get() */
  }
  
  
  }
  
  
@@ -847,7 +852,7 @@ exit(EXIT_FAILURE);
  
  /* fail if a length is too long */
  static inline void
  
  /* fail if a length is too long */
  static inline void
-exim_len_fail_toolong(int itemlen, int maxlen, const char *description)
+exim_len_fail_toolong(int itemlen, int maxlen, const char * description)
  {
  if (itemlen <= maxlen)
    return;
  {
  if (itemlen <= maxlen)
    return;
@@ -858,8 +863,10 @@ exit(EXIT_FAILURE);
  
  /* only pass through the string item back to the caller if it's short enough */
  static inline const uschar *
  
  /* only pass through the string item back to the caller if it's short enough */
  static inline const uschar *
-exim_str_fail_toolong(const uschar *item, int maxlen, const char *description)
+exim_str_fail_toolong(const uschar * item, int maxlen, const char * description)
  {
  {
+if (!item)
+  exim_fail("exim: bad item for: %s\n", description);
  exim_len_fail_toolong(Ustrlen(item), maxlen, description);
  return item;
  }
  exim_len_fail_toolong(Ustrlen(item), maxlen, description);
  return item;
  }
@@ -884,10 +891,10 @@ log_write(0, LOG_MAIN|LOG_PANIC,
  struct stat buf;
  
  if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
  struct stat buf;
  
  if (0 == (fd < 0 ? stat(name, &buf) : fstat(fd, &buf)))
-{
+  {
    if (buf.st_uid == owner && buf.st_gid == group) return 0;
    log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
    if (buf.st_uid == owner && buf.st_gid == group) return 0;
    log_write(0, LOG_MAIN|LOG_PANIC, "Wrong ownership on %s", name);
-}
+  }
  else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
  
  #endif
  else log_write(0, LOG_MAIN|LOG_PANIC, "Stat failed on %s: %s", name, strerror(errno));
  
  #endif
@@ -896,6 +903,18 @@ return -1;
  }
  
  
  }
  
  
+/* Bump the index for argv, checking for overflow,
+and return the argument. */
+
+static const uschar *
+next_argv(const uschar ** argv, int * pi, int argc, const uschar * where)
+{
+int i = *pi;
+if (++i >= argc) exim_fail("exim: bad item for: %s\n", where);
+return argv[*pi = i];
+}
+
+
  /*************************************************
  *         Extract port from host address         *
  *************************************************/
  /*************************************************
  *         Extract port from host address         *
  *************************************************/
@@ -1026,47 +1045,53 @@ gstring * g = NULL;
  DEBUG(D_any) {} else g = show_db_version(g);
  
  g = string_cat(g, US"Support for:");
  DEBUG(D_any) {} else g = show_db_version(g);
  
  g = string_cat(g, US"Support for:");
+#ifdef WITH_CONTENT_SCAN
+  g = string_cat(g, US" Content_Scanning");
+#endif
  #ifdef SUPPORT_CRYPTEQ
    g = string_cat(g, US" crypteq");
  #endif
  #ifdef SUPPORT_CRYPTEQ
    g = string_cat(g, US" crypteq");
  #endif
+#ifdef EXPAND_DLFUNC
+  g = string_cat(g, US" Expand_dlfunc");
+#endif
  #if HAVE_ICONV
    g = string_cat(g, US" iconv()");
  #endif
  #if HAVE_IPV6
    g = string_cat(g, US" IPv6");
  #endif
  #if HAVE_ICONV
    g = string_cat(g, US" iconv()");
  #endif
  #if HAVE_IPV6
    g = string_cat(g, US" IPv6");
  #endif
-#ifdef HAVE_SETCLASSRESOURCES
-  g = string_cat(g, US" use_setclassresources");
-#endif
  #ifdef SUPPORT_PAM
    g = string_cat(g, US" PAM");
  #endif
  #ifdef EXIM_PERL
    g = string_cat(g, US" Perl");
  #endif
  #ifdef SUPPORT_PAM
    g = string_cat(g, US" PAM");
  #endif
  #ifdef EXIM_PERL
    g = string_cat(g, US" Perl");
  #endif
-#ifdef EXPAND_DLFUNC
-  g = string_cat(g, US" Expand_dlfunc");
-#endif
-#ifdef USE_TCP_WRAPPERS
-  g = string_cat(g, US" TCPwrappers");
-#endif
  #ifdef USE_GNUTLS
    g = string_cat(g, US" GnuTLS");
  #endif
  #ifdef USE_GNUTLS
    g = string_cat(g, US" GnuTLS");
  #endif
+#ifdef SUPPORT_MOVE_FROZEN_MESSAGES
+  g = string_cat(g, US" move_frozen_messages");
+#endif
  #ifdef USE_OPENSSL
    g = string_cat(g, US" OpenSSL");
  #endif
  #ifdef USE_OPENSSL
    g = string_cat(g, US" OpenSSL");
  #endif
+#if defined(CYRUS_PWCHECK_SOCKET)
+  g = string_cat(g, US" pwcheck");
+#endif
+#if defined(RADIUS_CONFIG_FILE)
+  g = string_cat(g, US" radius");
+#endif
  #ifndef DISABLE_TLS_RESUME
    g = string_cat(g, US" TLS_resume");
  #endif
  #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
    g = string_cat(g, US" translate_ip_address");
  #endif
  #ifndef DISABLE_TLS_RESUME
    g = string_cat(g, US" TLS_resume");
  #endif
  #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
    g = string_cat(g, US" translate_ip_address");
  #endif
-#ifdef SUPPORT_MOVE_FROZEN_MESSAGES
-  g = string_cat(g, US" move_frozen_messages");
+#ifdef USE_TCP_WRAPPERS
+  g = string_cat(g, US" TCPwrappers");
  #endif
  #endif
-#ifdef WITH_CONTENT_SCAN
-  g = string_cat(g, US" Content_Scanning");
+#ifdef HAVE_SETCLASSRESOURCES
+  g = string_cat(g, US" use_setclassresources");
  #endif
  #ifdef SUPPORT_DANE
    g = string_cat(g, US" DANE");
  #endif
  #ifdef SUPPORT_DANE
    g = string_cat(g, US" DANE");
@@ -1080,6 +1105,9 @@ g = string_cat(g, US"Support for:");
  #ifndef DISABLE_DNSSEC
    g = string_cat(g, US" DNSSEC");
  #endif
  #ifndef DISABLE_DNSSEC
    g = string_cat(g, US" DNSSEC");
  #endif
+#ifndef DISABLE_ESMTP_LIMITS
+  g = string_cat(g, US" ESMTP_Limits");
+#endif
  #ifndef DISABLE_EVENT
    g = string_cat(g, US" Event");
  #endif
  #ifndef DISABLE_EVENT
    g = string_cat(g, US" Event");
  #endif
@@ -1126,12 +1154,12 @@ g = string_cat(g, US"Support for:");
  #ifdef EXPERIMENTAL_DSN_INFO
    g = string_cat(g, US" Experimental_DSN_info");
  #endif
  #ifdef EXPERIMENTAL_DSN_INFO
    g = string_cat(g, US" Experimental_DSN_info");
  #endif
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
-  g = string_cat(g, US" Experimental_ESMTP_Limits");
-#endif
  #ifdef EXPERIMENTAL_QUEUEFILE
    g = string_cat(g, US" Experimental_QUEUEFILE");
  #endif
  #ifdef EXPERIMENTAL_QUEUEFILE
    g = string_cat(g, US" Experimental_QUEUEFILE");
  #endif
+#ifdef EXPERIMENTAL_XCLIENT
+  g = string_cat(g, US" Experimental_XCLIENT");
+#endif
  g = string_cat(g, US"\n");
  
  g = string_cat(g, US"Lookups (built-in):");
  g = string_cat(g, US"\n");
  
  g = string_cat(g, US"Lookups (built-in):");
@@ -1356,17 +1384,15 @@ Argument:    the local part
  Returns:     the local part, quoted if necessary
  */
  
  Returns:     the local part, quoted if necessary
  */
  
-uschar *
-local_part_quote(uschar *lpart)
+const uschar *
+local_part_quote(const uschar * lpart)
  {
  BOOL needs_quote = FALSE;
  gstring * g;
  
  {
  BOOL needs_quote = FALSE;
  gstring * g;
  
-for (uschar * t = lpart; !needs_quote && *t != 0; t++)
-  {
+for (const uschar * t = lpart; !needs_quote && *t; t++)
    needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
      (*t != '.' || t == lpart || t[1] == 0);
    needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
      (*t != '.' || t == lpart || t[1] == 0);
-  }
  
  if (!needs_quote) return lpart;
  
  
  if (!needs_quote) return lpart;
  
@@ -1374,8 +1400,8 @@ g = string_catn(NULL, US"\"", 1);
  
  for (;;)
    {
  
  for (;;)
    {
-  uschar *nq = US Ustrpbrk(lpart, "\\\"");
-  if (nq == NULL)
+  uschar * nq = US Ustrpbrk(lpart, "\\\"");
+  if (!nq)
      {
      g = string_cat(g, lpart);
      break;
      {
      g = string_cat(g, lpart);
      break;
@@ -1528,7 +1554,7 @@ Returns:        DOES NOT RETURN
  */
  
  static void
  */
  
  static void
-exim_usage(uschar *progname)
+exim_usage(const uschar * progname)
  {
  
  /* Handle specific program invocation variants */
  {
  
  /* Handle specific program invocation variants */
@@ -1687,6 +1713,34 @@ else
  
  
  
  
  
  
+/*************************************************
+*          Queue-runner operations               *
+*************************************************/
+
+/* Prefix a new qrunner descriptor to the qrunners list */
+
+static qrunner *
+alloc_qrunner(void)
+{
+qrunner * q = qrunners;
+qrunners = store_get(sizeof(qrunner), GET_UNTAINTED);
+memset(qrunners, 0, sizeof(qrunner));          /* default queue, zero interval */
+qrunners->next = q;
+qrunners->next_tick = time(NULL);              /* run right away */
+return qrunners;
+}
+
+static qrunner *
+alloc_onetime_qrunner(void)
+{
+qrunners = store_get_perm(sizeof(qrunner), GET_UNTAINTED);
+memset(qrunners, 0, sizeof(qrunner));          /* default queue, zero interval */
+qrunners->next_tick = time(NULL);              /* run right away */
+qrunners->run_max = 1;
+return qrunners;
+}
+
+
  /*************************************************
  *          Entry point and high-level code       *
  *************************************************/
  /*************************************************
  *          Entry point and high-level code       *
  *************************************************/
@@ -1707,9 +1761,9 @@ Returns:    EXIT_SUCCESS if terminated successfully
  */
  
  int
  */
  
  int
-main(int argc, char **cargv)
+main(int argc, char ** cargv)
  {
  {
-uschar **argv = USS cargv;
+const uschar ** argv = CUSS cargv;
  int  arg_receive_timeout = -1;
  int  arg_smtp_receive_timeout = -1;
  int  arg_error_handling = error_handling;
  int  arg_receive_timeout = -1;
  int  arg_smtp_receive_timeout = -1;
  int  arg_error_handling = error_handling;
@@ -1717,7 +1771,7 @@ int  filter_sfd = -1;
  int  filter_ufd = -1;
  int  group_count;
  int  i, rv;
  int  filter_ufd = -1;
  int  group_count;
  int  i, rv;
-int  list_queue_option = 0;
+int  list_queue_option = QL_BASIC;
  int  msg_action = 0;
  int  msg_action_arg = -1;
  int  namelen = argv[0] ? Ustrlen(argv[0]) : 0;
  int  msg_action = 0;
  int  msg_action_arg = -1;
  int  namelen = argv[0] ? Ustrlen(argv[0]) : 0;
@@ -1758,20 +1812,20 @@ BOOL verify_address_mode = FALSE;
  BOOL verify_as_sender = FALSE;
  BOOL rcpt_verify_quota = FALSE;
  BOOL version_printed = FALSE;
  BOOL verify_as_sender = FALSE;
  BOOL rcpt_verify_quota = FALSE;
  BOOL version_printed = FALSE;
-uschar *alias_arg = NULL;
-uschar *called_as = US"";
-uschar *cmdline_syslog_name = NULL;
-uschar *start_queue_run_id = NULL;
-uschar *stop_queue_run_id = NULL;
-uschar *expansion_test_message = NULL;
-const uschar *ftest_domain = NULL;
-const uschar *ftest_localpart = NULL;
-const uschar *ftest_prefix = NULL;
-const uschar *ftest_suffix = NULL;
-uschar *log_oneline = NULL;
-uschar *malware_test_file = NULL;
-uschar *real_sender_address;
-uschar *originator_home = US"/";
+const uschar * alias_arg = NULL;
+const uschar * called_as = US"";
+const uschar * cmdline_syslog_name = NULL;
+const uschar * start_queue_run_id = NULL;
+const uschar * stop_queue_run_id = NULL;
+const uschar * expansion_test_message = NULL;
+const uschar * ftest_domain = NULL;
+const uschar * ftest_localpart = NULL;
+const uschar * ftest_prefix = NULL;
+const uschar * ftest_suffix = NULL;
+uschar * log_oneline = NULL;
+const uschar * malware_test_file = NULL;
+const uschar * real_sender_address;
+uschar * originator_home = US"/";
  size_t sz;
  
  struct passwd *pw;
  size_t sz;
  
  struct passwd *pw;
@@ -1991,7 +2045,14 @@ this here, because the -M options check their arguments for syntactic validity
  using mac_ismsgid, which uses this. */
  
  regex_ismsgid =
  using mac_ismsgid, which uses this. */
  
  regex_ismsgid =
-  regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", MCS_NOFLAGS, TRUE);
+  regex_must_compile(US"^(?:"
+         "[^\\W_]{" str(MESSAGE_ID_TIME_LEN) "}"
+         "-[^\\W_]{" str(MESSAGE_ID_PID_LEN) "}"
+         "-[^\\W_]{" str(MESSAGE_ID_SUBTIME_LEN) "}"
+       "|"
+         "(?:[^\\W_]{6}-){2}[^\\W_]{2}"                /* old ID format */
+       ")$",
+    MCS_NOFLAGS, TRUE);
  
  /* Precompile the regular expression that is used for matching an SMTP error
  code, possibly extended, at the start of an error message. Note that the
  
  /* Precompile the regular expression that is used for matching an SMTP error
  code, possibly extended, at the start of an error message. Note that the
@@ -2051,7 +2112,7 @@ this is a smail convention. */
  if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
      (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
    {
  if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
      (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
    {
-  queue_interval = 0;
+  alloc_onetime_qrunner();
    receiving_message = FALSE;
    called_as = US"-runq";
    }
    receiving_message = FALSE;
    called_as = US"-runq";
    }
@@ -2108,9 +2169,9 @@ on the second character (the one after '-'), to save some effort. */
   for (i = 1; i < argc; i++)
    {
    BOOL badarg = FALSE;
   for (i = 1; i < argc; i++)
    {
    BOOL badarg = FALSE;
-  uschar * arg = argv[i];
-  uschar * argrest;
-  int switchchar;
+  const uschar * arg = argv[i];
+  const uschar * argrest;
+  uschar switchchar;
  
    /* An argument not starting with '-' is the start of a recipients list;
    break out of the options-scanning loop. */
  
    /* An argument not starting with '-' is the start of a recipients list;
    break out of the options-scanning loop. */
@@ -2303,7 +2364,7 @@ on the second character (the one after '-'), to save some effort. */
         case 'I':
           if (Ustrlen(argrest) >= 1 && *argrest == ':')
             {
         case 'I':
           if (Ustrlen(argrest) >= 1 && *argrest == ':')
             {
-           uschar *p = argrest+1;
+           const uschar * p = argrest+1;
             info_flag = CMDINFO_HELP;
             if (Ustrlen(p))
               if (strcmpic(p, CUS"sieve") == 0)
             info_flag = CMDINFO_HELP;
             if (Ustrlen(p))
               if (strcmpic(p, CUS"sieve") == 0)
@@ -2360,11 +2421,9 @@ on the second character (the one after '-'), to save some effort. */
             }
  
           if (*argrest == 'r')
             }
  
           if (*argrest == 'r')
-           {
-           list_queue_option = 8;
-           argrest++;
-           }
-         else list_queue_option = 0;
+           list_queue_option = QL_UNSORTED, argrest++;
+         else
+           list_queue_option = QL_BASIC;
  
           list_queue = TRUE;
  
  
           list_queue = TRUE;
  
@@ -2374,11 +2433,15 @@ on the second character (the one after '-'), to save some effort. */
  
           /* -bpu: List the contents of the mail queue, top-level undelivered */
  
  
           /* -bpu: List the contents of the mail queue, top-level undelivered */
  
-         else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
+         else if (Ustrcmp(argrest, "u") == 0) list_queue_option |= QL_UNDELIVERED_ONLY;
  
           /* -bpa: List the contents of the mail queue, including all delivered */
  
  
           /* -bpa: List the contents of the mail queue, including all delivered */
  
-         else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
+         else if (Ustrcmp(argrest, "a") == 0) list_queue_option |= QL_PLUS_GENERATED;
+
+         /* -bpi: List only message IDs */
+
+         else if (Ustrcmp(argrest, "i") == 0) list_queue_option |= QL_MSGID_ONLY;
  
           /* Unknown after -bp[r] */
  
  
           /* Unknown after -bp[r] */
  
@@ -2628,9 +2691,9 @@ on the second character (the one after '-'), to save some effort. */
  #else
        {
        int ptr = 0;
  #else
        {
        int ptr = 0;
-      macro_item *m;
+      macro_item * m;
        uschar name[24];
        uschar name[24];
-      uschar *s = argrest;
+      const uschar * s = argrest;
  
        opt_D_used = TRUE;
        while (isspace(*s)) s++;
  
        opt_D_used = TRUE;
        while (isspace(*s)) s++;
@@ -2784,10 +2847,14 @@ on the second character (the one after '-'), to save some effort. */
          if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
        (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
        if (!*argrest)
          if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
        (void) exim_str_fail_toolong(argrest, EXIM_DISPLAYMAIL_MAX, "-f");
        if (!*argrest)
-        *(sender_address = store_get(1, GET_UNTAINTED)) = '\0';  /* Ensure writeable memory */
+       {
+        uschar * s = store_get(1, GET_UNTAINTED);      /* Ensure writeable memory */
+        *s = '\0';
+        sender_address = s;
+       }
        else
          {
        else
          {
-        uschar * temp = argrest + Ustrlen(argrest) - 1;
+        const uschar * temp = argrest + Ustrlen(argrest) - 1;
          while (temp >= argrest && isspace(*temp)) temp--;
          if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
          allow_domain_literals = TRUE;
          while (temp >= argrest && isspace(*temp)) temp--;
          if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
          allow_domain_literals = TRUE;
@@ -2952,7 +3019,7 @@ on the second character (the one after '-'), to save some effort. */
  
         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
  
  
         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
  
-#ifdef EXPERIMENTAL_ESMTP_LIMITS
+#ifndef DISABLE_ESMTP_LIMITS
      /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
                   else badarg = TRUE;
      /* -MCL: peer used LIMITS RCPTMAX and/or RCPTDOMAINMAX */
         case 'L': if (++i < argc) continue_limit_mail = Uatoi(argv[i]);
                   else badarg = TRUE;
@@ -3105,7 +3172,8 @@ on the second character (the one after '-'), to save some effort. */
        {
        msg_action = MSG_SETQUEUE;
        queue_name_dest = string_copy_taint(
        {
        msg_action = MSG_SETQUEUE;
        queue_name_dest = string_copy_taint(
-       exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-MG"),
+       exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                             EXIM_DRIVERNAME_MAX, "-MG"),
         GET_TAINTED);
        }
      else if (Ustrcmp(argrest, "mad") == 0) msg_action = MSG_MARK_ALL_DELIVERED;
         GET_TAINTED);
        }
      else if (Ustrcmp(argrest, "mad") == 0) msg_action = MSG_MARK_ALL_DELIVERED;
@@ -3226,7 +3294,7 @@ on the second character (the one after '-'), to save some effort. */
        /* -oB: Set a connection message max value for remote deliveries */
        case 'B':
         {
        /* -oB: Set a connection message max value for remote deliveries */
        case 'B':
         {
-       uschar * p = argrest;
+       const uschar * p = argrest;
         if (!*p)
           if (i+1 < argc && isdigit((argv[i+1][0])))
             p = argv[++i];
         if (!*p)
           if (i+1 < argc && isdigit((argv[i+1][0])))
             p = argv[++i];
@@ -3317,36 +3385,36 @@ on the second character (the one after '-'), to save some effort. */
  
         if (Ustrcmp(argrest, "a") == 0)
           sender_host_address = string_copy_taint(
  
         if (Ustrcmp(argrest, "a") == 0)
           sender_host_address = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMa"),
-           GET_TAINTED);
+           exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                                 EXIM_IPADDR_MAX, "-oMa"), GET_TAINTED);
  
         /* -oMaa: Set authenticator name */
  
         else if (Ustrcmp(argrest, "aa") == 0)
           sender_host_authenticated = string_copy_taint(
  
         /* -oMaa: Set authenticator name */
  
         else if (Ustrcmp(argrest, "aa") == 0)
           sender_host_authenticated = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMaa"),
-           GET_TAINTED);
+           exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                                 EXIM_DRIVERNAME_MAX, "-oMaa"), GET_TAINTED);
  
         /* -oMas: setting authenticated sender */
  
         else if (Ustrcmp(argrest, "as") == 0)
           authenticated_sender = string_copy_taint(
  
         /* -oMas: setting authenticated sender */
  
         else if (Ustrcmp(argrest, "as") == 0)
           authenticated_sender = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMas"),
-           GET_TAINTED);
+           exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                                 EXIM_EMAILADDR_MAX, "-oMas"), GET_TAINTED);
  
         /* -oMai: setting authenticated id */
  
         else if (Ustrcmp(argrest, "ai") == 0)
           authenticated_id = string_copy_taint(
  
         /* -oMai: setting authenticated id */
  
         else if (Ustrcmp(argrest, "ai") == 0)
           authenticated_id = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_EMAILADDR_MAX, "-oMai"),
-           GET_TAINTED);
+           exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                                 EXIM_EMAILADDR_MAX, "-oMai"), GET_TAINTED);
  
         /* -oMi: Set incoming interface address */
  
         else if (Ustrcmp(argrest, "i") == 0)
           interface_address = string_copy_taint(
  
         /* -oMi: Set incoming interface address */
  
         else if (Ustrcmp(argrest, "i") == 0)
           interface_address = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_IPADDR_MAX, "-oMi"),
-           GET_TAINTED);
+           exim_str_fail_toolong(next_argv(argv, &i, argc, arg),
+                                 EXIM_IPADDR_MAX, "-oMi"), GET_TAINTED);
  
         /* -oMm: Message reference */
  
  
         /* -oMm: Message reference */
  
@@ -3356,7 +3424,7 @@ on the second character (the one after '-'), to save some effort. */
               exim_fail("-oMm must be a valid message ID\n");
           if (!f.trusted_config)
               exim_fail("-oMm must be called by a trusted user/config\n");
               exim_fail("-oMm must be a valid message ID\n");
           if (!f.trusted_config)
               exim_fail("-oMm must be called by a trusted user/config\n");
-           message_reference = argv[++i];
+           message_reference = next_argv(argv, &i, argc, arg);
           }
  
         /* -oMr: Received protocol */
           }
  
         /* -oMr: Received protocol */
@@ -3366,26 +3434,32 @@ on the second character (the one after '-'), to save some effort. */
           if (received_protocol)
             exim_fail("received_protocol is set already\n");
           else
           if (received_protocol)
             exim_fail("received_protocol is set already\n");
           else
-           received_protocol = string_copy_taint(
-             exim_str_fail_toolong(argv[++i], EXIM_DRIVERNAME_MAX, "-oMr"),
-             GET_TAINTED);
+           if (++i >= argc) badarg = TRUE;
+           else
+             received_protocol = string_copy_taint(
+               exim_str_fail_toolong(argv[i], EXIM_DRIVERNAME_MAX, "-oMr"),
+               GET_TAINTED);
  
         /* -oMs: Set sender host name */
  
         else if (Ustrcmp(argrest, "s") == 0)
  
         /* -oMs: Set sender host name */
  
         else if (Ustrcmp(argrest, "s") == 0)
-         sender_host_name = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_HOSTNAME_MAX, "-oMs"),
-           GET_TAINTED);
+         if (++i >= argc) badarg = TRUE;
+         else
+           sender_host_name = string_copy_taint(
+             exim_str_fail_toolong(argv[i], EXIM_HOSTNAME_MAX, "-oMs"),
+             GET_TAINTED);
  
         /* -oMt: Set sender ident */
  
         else if (Ustrcmp(argrest, "t") == 0)
  
         /* -oMt: Set sender ident */
  
         else if (Ustrcmp(argrest, "t") == 0)
-         {
-         sender_ident_set = TRUE;
-         sender_ident = string_copy_taint(
-           exim_str_fail_toolong(argv[++i], EXIM_IDENTUSER_MAX, "-oMt"),
-           GET_TAINTED);
-         }
+         if (++i >= argc) badarg = TRUE;
+         else
+           {
+           sender_ident_set = TRUE;
+           sender_ident = string_copy_taint(
+             exim_str_fail_toolong(argv[i], EXIM_IDENTUSER_MAX, "-oMt"),
+             GET_TAINTED);
+           }
  
         /* Else a bad argument */
  
  
         /* Else a bad argument */
  
@@ -3413,7 +3487,9 @@ on the second character (the one after '-'), to save some effort. */
           exim_fail("exim: only uid=%d or uid=%d can use -oP and -oPX "
                      "(uid=%d euid=%d | %d)\n",
                      root_uid, exim_uid, getuid(), geteuid(), real_uid);
           exim_fail("exim: only uid=%d or uid=%d can use -oP and -oPX "
                      "(uid=%d euid=%d | %d)\n",
                      root_uid, exim_uid, getuid(), geteuid(), real_uid);
-       if (!*argrest) override_pid_file_path = argv[++i];
+       if (!*argrest)
+         if (++i < argc) override_pid_file_path = argv[i];
+         else badarg = TRUE;
         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
         else badarg = TRUE;
         break;
         else if (Ustrcmp(argrest, "X") == 0) delete_pid_file();
         else badarg = TRUE;
         break;
@@ -3441,10 +3517,9 @@ on the second character (the one after '-'), to save some effort. */
        /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
  
        case 'X':
        /* Limits: Is there a real limit we want here?  1024 is very arbitrary. */
  
        case 'X':
-       if (*argrest) badarg = TRUE;
+       if (*argrest || ++i >= argc) badarg = TRUE;
         else override_local_interfaces = string_copy_taint(
         else override_local_interfaces = string_copy_taint(
-         exim_str_fail_toolong(argv[++i], 1024, "-oX"),
-         GET_TAINTED);
+         exim_str_fail_toolong(argv[i], 1024, "-oX"), GET_TAINTED);
         break;
  
        /* -oY: Override creation of daemon notifier socket */
         break;
  
        /* -oY: Override creation of daemon notifier socket */
@@ -3482,7 +3557,7 @@ on the second character (the one after '-'), to save some effort. */
      which sets the host protocol and host name */
  
      if (!*argrest)
      which sets the host protocol and host name */
  
      if (!*argrest)
-      if (i+1 < argc) argrest = argv[++i]; else { badarg = TRUE; break; }
+      argrest = next_argv(argv, &i, argc, arg);
  
      if (*argrest)
        {
  
      if (*argrest)
        {
@@ -3504,87 +3579,106 @@ on the second character (the one after '-'), to save some effort. */
        }
      break;
  
        }
      break;
  
+    /* -q:  set up queue runs */
  
      case 'q':
  
      case 'q':
-    receiving_message = FALSE;
-    if (queue_interval >= 0)
-      exim_fail("exim: -q specified more than once\n");
-
-    /* -qq...: Do queue runs in a 2-stage manner */
-
-    if (*argrest == 'q')
        {
        {
-      f.queue_2stage = TRUE;
-      argrest++;
-      }
+      BOOL two_stage, first_del, force, thaw = FALSE, local;
  
  
-    /* -qi...: Do only first (initial) deliveries */
+      receiving_message = FALSE;
  
  
-    if (*argrest == 'i')
-      {
-      f.queue_run_first_delivery = TRUE;
-      argrest++;
-      }
+      /* -qq...: Do queue runs in a 2-stage manner */
  
  
-    /* -qf...: Run the queue, forcing deliveries
-       -qff..: Ditto, forcing thawing as well */
+      if ((two_stage = *argrest == 'q'))
+       argrest++;
  
  
-    if (*argrest == 'f')
-      {
-      f.queue_run_force = TRUE;
-      if (*++argrest == 'f')
-        {
-        f.deliver_force_thaw = TRUE;
-        argrest++;
-        }
-      }
+      /* -qi...: Do only first (initial) deliveries */
  
  
-    /* -q[f][f]l...: Run the queue only on local deliveries */
+      if ((first_del = *argrest == 'i'))
+       argrest++;
  
  
-    if (*argrest == 'l')
-      {
-      f.queue_run_local = TRUE;
-      argrest++;
-      }
+      /* -qf...: Run the queue, forcing deliveries
+        -qff..: Ditto, forcing thawing as well */
  
  
-    /* -q[f][f][l][G<name>]... Work on the named queue */
+      if ((force = *argrest == 'f'))
+       if ((thaw = *++argrest == 'f'))
+         argrest++;
  
  
-    if (*argrest == 'G')
-      {
-      int i;
-      for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
-      exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
-      queue_name = string_copyn(argrest, i);
-      argrest += i;
-      if (*argrest == '/') argrest++;
-      }
+      /* -q[f][f]l...: Run the queue only on local deliveries */
  
  
-    /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
-    only, optionally named, optionally starting from a given message id. */
+      if ((local = *argrest == 'l'))
+       argrest++;
  
  
-    if (!(list_queue || count_queue))
-      if (  !*argrest
-        && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
+      /* -q[f][f][l][G<name>]... Work on the named queue */
+
+      if (*argrest == 'G')
         {
         {
-       queue_interval = 0;
-       if (i+1 < argc && mac_ismsgid(argv[i+1]))
-         start_queue_run_id = string_copy_taint(argv[++i], GET_TAINTED);
-       if (i+1 < argc && mac_ismsgid(argv[i+1]))
-         stop_queue_run_id = string_copy_taint(argv[++i], GET_TAINTED);
+       int i;
+       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
+       exim_len_fail_toolong(i, EXIM_DRIVERNAME_MAX, "-q*G<name>");
+       queue_name = string_copyn(argrest, i);
+       argrest += i;
+       if (*argrest == '/') argrest++;
         }
  
         }
  
-    /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
-    forced, optionally local only, optionally named. */
+      /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
+      only, optionally named, optionally starting from a given message id. */
  
  
-      else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
-                                                 0, FALSE)) <= 0)
-       exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
-    break;
+      if (!(list_queue || count_queue))
+       {
+       qrunner * q;
+
+       if (  !*argrest
+          && (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
+         {
+         q = alloc_onetime_qrunner();
+         if (i+1 < argc && mac_ismsgid(argv[i+1]))
+           start_queue_run_id = string_copy_taint(argv[++i], GET_TAINTED);
+         if (i+1 < argc && mac_ismsgid(argv[i+1]))
+           stop_queue_run_id = string_copy_taint(argv[++i], GET_TAINTED);
+         }
+
+      /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
+      forced, optionally local only, optionally named. */
+
+       else
+         {
+         int intvl;
+         const uschar * s;
+
+         if (*argrest) s = argrest;
+         else if (++i < argc) { badarg = TRUE; break; }
+         else s = argv[i];
+
+         if ((intvl = readconf_readtime(s, 0, FALSE)) <= 0)
+           exim_fail("exim: bad time value %s: abandoned\n", argv[i]);
+
+         for (qrunner * qq = qrunners; qq; qq = qq->next)
+           if (  queue_name && qq->name && Ustrcmp(queue_name, qq->name) == 0
+              || !queue_name && !qq->name)
+             exim_fail("exim: queue-runner specified more than once\n");
+
+         q = alloc_qrunner();
+         q->interval = intvl;
+         }
+
+       q->name = *queue_name ? queue_name : NULL;      /* will be NULL for the default queue */
+       q->queue_run_force = force;
+       q->deliver_force_thaw = thaw;
+       q->queue_run_first_delivery = first_del;
+       q->queue_run_local = local;
+       q->queue_2stage = two_stage;
+       }
+
+      break;
+      }
  
  
      case 'R':   /* Synonymous with -qR... */
  
  
      case 'R':   /* Synonymous with -qR... */
+    case 'S':   /* Synonymous with -qS... */
        {
        {
-      const uschar *tainted_selectstr;
+      const uschar * tainted_selectstr;
+      uschar * s;
  
        receiving_message = FALSE;
  
  
        receiving_message = FALSE;
  
@@ -3594,20 +3688,28 @@ on the second character (the one after '-'), to save some effort. */
         -Rrf:  Regex and force
         -Rrff: Regex and force and thaw
  
         -Rrf:  Regex and force
         -Rrff: Regex and force and thaw
  
+       -S...: Like -R but works on sender.
+
      in all cases provided there are no further characters in this
      argument. */
  
      in all cases provided there are no further characters in this
      argument. */
  
+      if (!qrunners) alloc_onetime_qrunner();
+      qrunners->queue_2stage = f.queue_2stage;
        if (*argrest)
         for (int i = 0; i < nelem(rsopts); i++)
           if (Ustrcmp(argrest, rsopts[i]) == 0)
             {
        if (*argrest)
         for (int i = 0; i < nelem(rsopts); i++)
           if (Ustrcmp(argrest, rsopts[i]) == 0)
             {
-           if (i != 2) f.queue_run_force = TRUE;
-           if (i >= 2) f.deliver_selectstring_regex = TRUE;
-           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
+           if (i != 2) qrunners->queue_run_force = TRUE;
+           if (i >= 2)
+             if (switchchar == 'R')
+               f.deliver_selectstring_regex = TRUE;
+             else
+               f.deliver_selectstring_sender_regex = TRUE;
+           if (i == 1 || i == 4) qrunners->deliver_force_thaw = TRUE;
             argrest += Ustrlen(rsopts[i]);
             }
  
             argrest += Ustrlen(rsopts[i]);
             }
  
-    /* -R: Set string to match in addresses for forced queue run to
+    /* -R or -S: Set string to match in addresses for forced queue run to
      pick out particular messages. */
  
        /* Avoid attacks from people providing very long strings, and do so before
      pick out particular messages. */
  
        /* Avoid attacks from people providing very long strings, and do so before
@@ -3617,66 +3719,30 @@ on the second character (the one after '-'), to save some effort. */
        else if (i+1 < argc)
         tainted_selectstr = argv[++i];
        else
        else if (i+1 < argc)
         tainted_selectstr = argv[++i];
        else
-       exim_fail("exim: string expected after -R\n");
-      deliver_selectstring = string_copy_taint(
+       exim_fail("exim: string expected after %s\n", switchchar == 'R' ? "-R" : "-S");
+
+      s = string_copy_taint(
         exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"),
         GET_TAINTED);
         exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-R"),
         GET_TAINTED);
-      }
-    break;
-
-    /* -r: an obsolete synonym for -f (see above) */
-
-
-    /* -S: Like -R but works on sender. */
-
-    case 'S':   /* Synonymous with -qS... */
-      {
-      const uschar *tainted_selectstr;
-
-      receiving_message = FALSE;
-
-    /* -Sf:   As -S (below) but force all deliveries,
-       -Sff:  Ditto, but also thaw all frozen messages,
-       -Sr:   String is regex
-       -Srf:  Regex and force
-       -Srff: Regex and force and thaw
-
-    in all cases provided there are no further characters in this
-    argument. */
  
  
-      if (*argrest)
-       for (int i = 0; i < nelem(rsopts); i++)
-         if (Ustrcmp(argrest, rsopts[i]) == 0)
-           {
-           if (i != 2) f.queue_run_force = TRUE;
-           if (i >= 2) f.deliver_selectstring_sender_regex = TRUE;
-           if (i == 1 || i == 4) f.deliver_force_thaw = TRUE;
-           argrest += Ustrlen(rsopts[i]);
-           }
-
-    /* -S: Set string to match in addresses for forced queue run to
-    pick out particular messages. */
-
-      if (*argrest)
-       tainted_selectstr = argrest;
-      else if (i+1 < argc)
-       tainted_selectstr = argv[++i];
+      if (switchchar == 'R')
+       deliver_selectstring = s;
        else
        else
-       exim_fail("exim: string expected after -S\n");
-      deliver_selectstring_sender = string_copy_taint(
-       exim_str_fail_toolong(tainted_selectstr, EXIM_EMAILADDR_MAX, "-S"),
-       GET_TAINTED);
+       deliver_selectstring_sender = s;
        }
      break;
  
        }
      break;
  
+
+    /* -r: an obsolete synonym for -f (see above) */
+
      /* -Tqt is an option that is exclusively for use by the testing suite.
      It is not recognized in other circumstances. It allows for the setting up
      of explicit "queue times" so that various warning/retry things can be
      tested. Otherwise variability of clock ticks etc. cause problems. */
  
      case 'T':
      /* -Tqt is an option that is exclusively for use by the testing suite.
      It is not recognized in other circumstances. It allows for the setting up
      of explicit "queue times" so that various warning/retry things can be
      tested. Otherwise variability of clock ticks etc. cause problems. */
  
      case 'T':
-    if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
-      fudged_queue_times = string_copy_taint(argv[++i], GET_TAINTED);
+    if (f.running_in_test_harness && Ustrcmp(argrest, "qt") == 0 && ++i < argc)
+      fudged_queue_times = string_copy_taint(argv[i], GET_TAINTED);
      else badarg = TRUE;
      break;
  
      else badarg = TRUE;
      break;
  
@@ -3777,9 +3843,8 @@ on the second character (the one after '-'), to save some effort. */
  
  /* If -R or -S have been specified without -q, assume a single queue run. */
  
  
  /* If -R or -S have been specified without -q, assume a single queue run. */
  
- if (  (deliver_selectstring || deliver_selectstring_sender)
-    && queue_interval < 0)
-  queue_interval = 0;
+ if ((deliver_selectstring || deliver_selectstring_sender) && !qrunners)
+  alloc_onetime_qrunner();
  
  
  END_ARG:
  
  
  END_ARG:
@@ -3791,22 +3856,22 @@ if (usage_wanted) exim_usage(called_as);
  
  /* Arguments have been processed. Check for incompatibilities. */
  if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
  
  /* Arguments have been processed. Check for incompatibilities. */
  if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
-      && (  f.daemon_listen || queue_interval >= 0 || bi_option
+      && (  f.daemon_listen || qrunners || bi_option
          || test_retry_arg >= 0 || test_rewrite_arg >= 0
          || filter_test != FTEST_NONE
          || msg_action_arg > 0 && !one_msg_action
        )  )
     || (  msg_action_arg > 0
          || test_retry_arg >= 0 || test_rewrite_arg >= 0
          || filter_test != FTEST_NONE
          || msg_action_arg > 0 && !one_msg_action
        )  )
     || (  msg_action_arg > 0
-      && (  f.daemon_listen || queue_interval > 0 || list_options
+      && (  f.daemon_listen || is_multiple_qrun() || list_options
          || checking && msg_action != MSG_LOAD
          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
        )  )
          || checking && msg_action != MSG_LOAD
          || bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0
        )  )
-   || (  (f.daemon_listen || queue_interval > 0)
+   || (  (f.daemon_listen || is_multiple_qrun())
        && (  sender_address || list_options || list_queue || checking
          || bi_option
        )  )
        && (  sender_address || list_options || list_queue || checking
          || bi_option
        )  )
-   || f.daemon_listen && queue_interval == 0
-   || f.inetd_wait_mode && queue_interval >= 0
+   || f.daemon_listen && is_onetime_qrun()
+   || f.inetd_wait_mode && qrunners
     || (  list_options
        && (  checking || smtp_input || extract_recipients
          || filter_test != FTEST_NONE || bi_option
     || (  list_options
        && (  checking || smtp_input || extract_recipients
          || filter_test != FTEST_NONE || bi_option
@@ -3822,7 +3887,7 @@ if (  (  (smtp_input || extract_recipients || recipients_arg < argc)
     || (  smtp_input
        && (sender_address || filter_test != FTEST_NONE || extract_recipients)
        )
     || (  smtp_input
        && (sender_address || filter_test != FTEST_NONE || extract_recipients)
        )
-   || deliver_selectstring && queue_interval < 0
+   || deliver_selectstring && !qrunners
     || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
     )
    exim_fail("exim: incompatible command-line options or arguments\n");
     || msg_action == MSG_LOAD && (!expansion_test || expansion_test_message)
     )
    exim_fail("exim: incompatible command-line options or arguments\n");
@@ -4402,7 +4467,7 @@ if (bi_option)
    if (bi_command && *bi_command)
      {
      int i = 0;
    if (bi_command && *bi_command)
      {
      int i = 0;
-    uschar *argv[3];
+    const uschar * argv[3];
      argv[i++] = bi_command;    /* nonexpanded option so assume untainted */
      if (alias_arg) argv[i++] = alias_arg;
      argv[i++] = NULL;
      argv[i++] = bi_command;    /* nonexpanded option so assume untainted */
      if (alias_arg) argv[i++] = alias_arg;
      argv[i++] = NULL;
@@ -4444,11 +4509,12 @@ if (!f.admin_user)
    if (  deliver_give_up || f.daemon_listen || malware_test_file
       || count_queue && queue_list_requires_admin
       || list_queue && queue_list_requires_admin
    if (  deliver_give_up || f.daemon_listen || malware_test_file
       || count_queue && queue_list_requires_admin
       || list_queue && queue_list_requires_admin
-     || queue_interval >= 0 && prod_requires_admin
+     || qrunners && prod_requires_admin
       || queue_name_dest && prod_requires_admin
       || debugset && !f.running_in_test_harness
       )
       || queue_name_dest && prod_requires_admin
       || debugset && !f.running_in_test_harness
       )
-    exim_fail("exim:%s permission denied\n", debugset ? " debugging" : "");
+    exim_fail("exim:%s permission denied; not admin\n",
+             debugset ? " debugging" : "");
    }
  
  /* If the real user is not root or the exim uid, the argument for passing
    }
  
  /* If the real user is not root or the exim uid, the argument for passing
@@ -4460,11 +4526,11 @@ regression testing. */
  if (  real_uid != root_uid && real_uid != exim_uid
     && (  continue_hostname
        || (  f.dont_deliver
  if (  real_uid != root_uid && real_uid != exim_uid
     && (  continue_hostname
        || (  f.dont_deliver
-        && (queue_interval >= 0 || f.daemon_listen || msg_action_arg > 0)
+        && (qrunners || f.daemon_listen || msg_action_arg > 0)
        )  )
     && !f.running_in_test_harness
     )
        )  )
     && !f.running_in_test_harness
     )
-  exim_fail("exim: Permission denied\n");
+  exim_fail("exim: Permission denied; not exim user or root\n");
  
  /* If the caller is not trusted, certain arguments are ignored when running for
  real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
  
  /* If the caller is not trusted, certain arguments are ignored when running for
  real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
@@ -4577,11 +4643,11 @@ to the state Exim usually runs in. */
  if (  !unprivileged                            /* originally had root AND */
     && !removed_privilege                       /* still got root AND      */
     && !f.daemon_listen                         /* not starting the daemon */
  if (  !unprivileged                            /* originally had root AND */
     && !removed_privilege                       /* still got root AND      */
     && !f.daemon_listen                         /* not starting the daemon */
-   && queue_interval <= 0                      /* (either kind of daemon) */
+   && (!qrunners || is_onetime_qrun())         /* (either kind of daemon) */
     && (                                                /*    AND EITHER           */
           deliver_drop_privilege                        /* requested unprivileged  */
        || (                                     /*       OR                */
     && (                                                /*    AND EITHER           */
           deliver_drop_privilege                        /* requested unprivileged  */
        || (                                     /*       OR                */
-            queue_interval < 0                 /* not running the queue   */
+            !qrunners                          /* not running the queue   */
           && (  msg_action_arg < 0              /*       and               */
              || msg_action != MSG_DELIVER       /* not delivering          */
             )                                   /*       and               */
           && (  msg_action_arg < 0              /*       and               */
              || msg_action != MSG_DELIVER       /* not delivering          */
             )                                   /*       and               */
@@ -4696,7 +4762,7 @@ if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
    }
  
  /* We used to set up here to skip reading the ACL section, on
    }
  
  /* We used to set up here to skip reading the ACL section, on
- (msg_action_arg > 0 || (queue_interval == 0 && !f.daemon_listen)
+ (msg_action_arg > 0 || (is_onetime_qrun() && !f.daemon_listen)
  Now, since the intro of the ${acl } expansion, ACL definitions may be
  needed in transports so we lost the optimisation. */
  
  Now, since the intro of the ${acl } expansion, ACL definitions may be
  needed in transports so we lost the optimisation. */
  
@@ -4730,7 +4796,7 @@ if (rcpt_verify_quota)
      exim_fail("exim: missing recipient for quota check\n");
    else
      {
      exim_fail("exim: missing recipient for quota check\n");
    else
      {
-    verify_quota(argv[recipients_arg]);
+    verify_quota(US argv[recipients_arg]);     /*XXX we lose track of const here */
      exim_exit(EXIT_SUCCESS);
      }
  
      exim_exit(EXIT_SUCCESS);
      }
  
@@ -4947,18 +5013,9 @@ if (msg_action_arg > 0 && msg_action != MSG_LOAD)
  /* If only a single queue run is requested, without SMTP listening, we can just
  turn into a queue runner, with an optional starting message id. */
  
  /* If only a single queue run is requested, without SMTP listening, we can just
  turn into a queue runner, with an optional starting message id. */
  
-if (queue_interval == 0 && !f.daemon_listen)
+if (is_onetime_qrun() && !f.daemon_listen)
    {
    {
-  DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
-    start_queue_run_id ? US" starting at " : US"",
-    start_queue_run_id ? start_queue_run_id: US"",
-    stop_queue_run_id ?  US" stopping at " : US"",
-    stop_queue_run_id ?  stop_queue_run_id : US"");
-  if (*queue_name)
-    set_process_info("running the '%s' queue (single queue run)", queue_name);
-  else
-    set_process_info("running the queue (single queue run)");
-  queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
+  single_queue_run(qrunners, start_queue_run_id, stop_queue_run_id);
    exim_exit(EXIT_SUCCESS);
    }
  
    exim_exit(EXIT_SUCCESS);
    }
  
@@ -5083,7 +5140,7 @@ returns. We leave this till here so that the originator_ fields are available
  for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
  mode. */
  
  for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
  mode. */
  
-if (f.daemon_listen || f.inetd_wait_mode || queue_interval > 0)
+if (f.daemon_listen || f.inetd_wait_mode || is_multiple_qrun())
    {
    if (mua_wrapper)
      {
    {
    if (mua_wrapper)
      {
@@ -5403,6 +5460,7 @@ if (host_checking)
      "**** This is not for real!\n\n",
        sender_host_address);
  
      "**** This is not for real!\n\n",
        sender_host_address);
  
+  connection_id = getpid();
    memset(sender_host_cache, 0, sizeof(sender_host_cache));
    if (verify_check_host(&hosts_connection_nolog) == OK)
      {
    memset(sender_host_cache, 0, sizeof(sender_host_cache));
    if (verify_check_host(&hosts_connection_nolog) == OK)
      {
@@ -5591,6 +5649,7 @@ because a log line has already been written for all its failure exists
  (usually "connection refused: <reason>") and writing another one is
  unnecessary clutter. */
  
  (usually "connection refused: <reason>") and writing another one is
  unnecessary clutter. */
  
+connection_id = getpid();
  if (smtp_input)
    {
    smtp_in = stdin;
  if (smtp_input)
    {
    smtp_in = stdin;
@@ -5744,7 +5803,7 @@ for (BOOL more = TRUE; more; )
      {
      int rcount = 0;
      int count = argc - recipients_arg;
      {
      int rcount = 0;
      int count = argc - recipients_arg;
-    uschar **list = argv + recipients_arg;
+    const uschar ** list = argv + recipients_arg;
  
      /* These options cannot be changed dynamically for non-SMTP messages */
  
  
      /* These options cannot be changed dynamically for non-SMTP messages */
  
@@ -5762,7 +5821,7 @@ for (BOOL more = TRUE; more; )
        int start, end, domain;
        uschar * errmess;
        /* There can be multiple addresses, so EXIM_DISPLAYMAIL_MAX (tuned for 1) is too short.
        int start, end, domain;
        uschar * errmess;
        /* There can be multiple addresses, so EXIM_DISPLAYMAIL_MAX (tuned for 1) is too short.
-       * We'll still want to cap it to something, just in case. */
+      We'll still want to cap it to something, just in case. */
        uschar * s = string_copy_taint(
         exim_str_fail_toolong(list[i], BIG_BUFFER_SIZE, "address argument"),
         GET_TAINTED);
        uschar * s = string_copy_taint(
         exim_str_fail_toolong(list[i], BIG_BUFFER_SIZE, "address argument"),
         GET_TAINTED);
@@ -6097,6 +6156,7 @@ MORELOOP:
    deliver_localpart_data = deliver_domain_data =
    recipient_data = sender_data = NULL;
    acl_var_m = NULL;
    deliver_localpart_data = deliver_domain_data =
    recipient_data = sender_data = NULL;
    acl_var_m = NULL;
+  lookup_value = NULL;                            /* Can be set by ACL */
  
    store_reset(reset_point);
    }
  
    store_reset(reset_point);
    }