tidy segv stacktrace logging

[exim.git] / src / src / sieve.c
diff --git a/src/src/sieve.c b/src/src/sieve.c

index bda482fd11238133d77b79acd2eb1686ff830b2c..af3bc9d9aad1f9ca6ea2f7ce5aa4769a8ba8a3e6 100644 (file)
--- a/src/src/sieve.c
+++ b/src/src/sieve.c
@@ -2,8 +2,11 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
-/* Copyright (c) Michael Haardt 2003 - 2015 */
-/* See the file NOTICE for conditions of use and distribution. */
+/*
+ * Copyright (c) The Exim Maintainers 2016 - 2022
+ * Copyright (c) Michael Haardt 2003 - 2015
+ * See the file NOTICE for conditions of use and distribution.
+ */
  
  /* This code was contributed by Michael Haardt. */
  
  
  /* This code was contributed by Michael Haardt. */
  
@@ -19,7 +22,7 @@
  #include "exim.h"
  
  #if HAVE_ICONV
  #include "exim.h"
  
  #if HAVE_ICONV
-#include <iconv.h>
+# include <iconv.h>
  #endif
  
  /* Define this for RFC compliant \r\n end-of-line terminators.      */
  #endif
  
  /* Define this for RFC compliant \r\n end-of-line terminators.      */
@@ -52,7 +55,7 @@
  
  struct Sieve
    {
  
  struct Sieve
    {
-  uschar *filter;
+  const uschar *filter;
    const uschar *pc;
    int line;
    const uschar *errmsg;
    const uschar *pc;
    int line;
    const uschar *errmsg;
@@ -69,7 +72,7 @@ struct Sieve
    int require_enotify;
    struct Notification *notified;
  #endif
    int require_enotify;
    struct Notification *notified;
  #endif
-  uschar *enotify_mailto_owner;
+  const uschar *enotify_mailto_owner;
  #ifdef SUBADDRESS
    int require_subaddress;
  #endif
  #ifdef SUBADDRESS
    int require_subaddress;
  #endif
@@ -77,7 +80,7 @@ struct Sieve
    int require_vacation;
    int vacation_ran;
  #endif
    int require_vacation;
    int vacation_ran;
  #endif
-  uschar *vacation_directory;
+  const uschar *vacation_directory;
    const uschar *subaddress;
    const uschar *useraddress;
    int require_copy;
    const uschar *subaddress;
    const uschar *useraddress;
    int require_copy;
@@ -151,8 +154,10 @@ static uschar str_cc_c[]="Cc";
  static const struct String str_cc={ str_cc_c, 2 };
  static uschar str_bcc_c[]="Bcc";
  static const struct String str_bcc={ str_bcc_c, 3 };
  static const struct String str_cc={ str_cc_c, 2 };
  static uschar str_bcc_c[]="Bcc";
  static const struct String str_bcc={ str_bcc_c, 3 };
+#ifdef ENVELOPE_AUTH
  static uschar str_auth_c[]="auth";
  static const struct String str_auth={ str_auth_c, 4 };
  static uschar str_auth_c[]="auth";
  static const struct String str_auth={ str_auth_c, 4 };
+#endif
  static uschar str_sender_c[]="Sender";
  static const struct String str_sender={ str_sender_c, 6 };
  static uschar str_resent_from_c[]="Resent-From";
  static uschar str_sender_c[]="Sender";
  static const struct String str_sender={ str_sender_c, 6 };
  static uschar str_resent_from_c[]="Resent-From";
@@ -224,76 +229,71 @@ Returns
    dst
  */
  
    dst
  */
  
-static struct String *quoted_printable_encode(const struct String *src, struct String *dst)
+static struct String *
+quoted_printable_encode(const struct String *src, struct String *dst)
  {
  {
-int pass;
-const uschar *start,*end;
  uschar *new = NULL;
  uschar ch;
  size_t line;
  
  uschar *new = NULL;
  uschar ch;
  size_t line;
  
-for (pass=0; pass<=1; ++pass)
+/* Two passes: one to count output allocation size, second
+to do the encoding */
+
+for (int pass = 0; pass <= 1; pass++)
    {
    line=0;
    if (pass==0)
      dst->length=0;
    else
      {
    {
    line=0;
    if (pass==0)
      dst->length=0;
    else
      {
-    dst->character=store_get(dst->length+1); /* plus one for \0 */
+    dst->character = store_get(dst->length+1, src->character); /* plus one for \0 */
      new=dst->character;
      }
      new=dst->character;
      }
-  for (start=src->character,end=start+src->length; start<end; ++start)
+  for (const uschar * start = src->character, * end = start + src->length;
+       start < end; ++start)
      {
      ch=*start;
      {
      ch=*start;
-    if (line>=73)
+    if (line>=73)      /* line length limit */
        {
        if (pass==0)
          dst->length+=2;
        else
          {
        {
        if (pass==0)
          dst->length+=2;
        else
          {
-        *new++='=';
+        *new++='=';    /* line split */
          *new++='\n';
          }
        line=0;
        }
          *new++='\n';
          }
        line=0;
        }
-    if
-      (
-      (ch>=33 && ch<=60)
-      || (ch>=62 && ch<=126)
-      ||
-        (
-        (ch==9 || ch==32)
-        && start+2<end
-        && (*(start+1)!='\r' || *(start+2)!='\n')
-        )
-      )
+    if (  (ch>='!' && ch<='<')
+       || (ch>='>' && ch<='~')
+       || (  (ch=='\t' || ch==' ')
+          && start+2<end
+          && (*(start+1)!='\r' || *(start+2)!='\n')    /* CRLF */
+          )
+       )
        {
        if (pass==0)
          ++dst->length;
        else
        {
        if (pass==0)
          ++dst->length;
        else
-        *new++=*start;
+        *new++=*start; /* copy char */
        ++line;
        }
        ++line;
        }
-    else if (ch=='\r' && start+1<end && *(start+1)=='\n')
+    else if (ch=='\r' && start+1<end && *(start+1)=='\n') /* CRLF */
        {
        if (pass==0)
        {
        if (pass==0)
-        {
          ++dst->length;
          ++dst->length;
-        line=0;
-        }
        else
        else
-        *new++='\n';
-        line=0;                /*XXX jgh: questionabale indent; probable BUG */
-      ++start;
+        *new++='\n';                                   /* NL */
+      line=0;
+      ++start; /* consume extra input char */
        }
      else
        {
        if (pass==0)
          dst->length+=3;
        else
        }
      else
        {
        if (pass==0)
          dst->length+=3;
        else
-        {
-        sprintf(CS new,"=%02X",ch);
-        new+=3;
+        {              /* encoded char */
+        new += sprintf(CS new,"=%02X",ch);
          }
        line+=3;
        }
          }
        line+=3;
        }
@@ -329,7 +329,7 @@ if (address->length>0)
    {
    ss = parse_extract_address(address->character, &error, &start, &end, &domain,
      FALSE);
    {
    ss = parse_extract_address(address->character, &error, &start, &end, &domain,
      FALSE);
-  if (ss == NULL)
+  if (!ss)
      {
      filter->errmsg=string_sprintf("malformed address \"%s\" (%s)",
        address->character, error);
      {
      filter->errmsg=string_sprintf("malformed address \"%s\" (%s)",
        address->character, error);
@@ -360,13 +360,13 @@ Returns
  */
  
  #ifdef ENOTIFY
  */
  
  #ifdef ENOTIFY
-static int uri_decode(struct String *str)
+static int
+uri_decode(struct String *str)
  {
  uschar *s,*t,*e;
  
  if (str->length==0) return 0;
  for (s=str->character,t=s,e=s+str->length; s<e; )
  {
  uschar *s,*t,*e;
  
  if (str->length==0) return 0;
  for (s=str->character,t=s,e=s+str->length; s<e; )
-  {
    if (*s=='%')
      {
      if (s+2<e && isxdigit(*(s+1)) && isxdigit(*(s+2)))
    if (*s=='%')
      {
      if (s+2<e && isxdigit(*(s+1)) && isxdigit(*(s+2)))
@@ -379,7 +379,7 @@ for (s=str->character,t=s,e=s+str->length; s<e; )
      }
    else
      *t++=*s++;
      }
    else
      *t++=*s++;
-  }
+
  *t='\0';
  str->length=t-str->character;
  return 0;
  *t='\0';
  str->length=t-str->character;
  return 0;
@@ -412,11 +412,14 @@ Returns
   -1           syntax error
  */
  
   -1           syntax error
  */
  
-static int parse_mailto_uri(struct Sieve *filter, const uschar *uri, string_item **recipient, struct String *header, struct String *subject, struct String *body)
+static int
+parse_mailto_uri(struct Sieve *filter, const uschar *uri,
+  string_item **recipient, struct String *header, struct String *subject,
+  struct String *body)
  {
  const uschar *start;
  {
  const uschar *start;
-struct String to,hname,hvalue;
-int capacity;
+struct String to, hname;
+struct String hvalue = {.character = NULL, .length = 0};
  string_item *new;
  
  if (Ustrncmp(uri,"mailto:",7))
  string_item *new;
  
  if (Ustrncmp(uri,"mailto:",7))
@@ -424,6 +427,7 @@ if (Ustrncmp(uri,"mailto:",7))
    filter->errmsg=US "Unknown URI scheme";
    return 0;
    }
    filter->errmsg=US "Unknown URI scheme";
    return 0;
    }
+
  uri+=7;
  if (*uri && *uri!='?')
    for (;;)
  uri+=7;
  if (*uri && *uri!='?')
    for (;;)
@@ -432,26 +436,25 @@ if (*uri && *uri!='?')
      for (start=uri; *uri && *uri!='?' && (*uri!='%' || *(uri+1)!='2' || tolower(*(uri+2))!='c'); ++uri);
      if (uri>start)
        {
      for (start=uri; *uri && *uri!='?' && (*uri!='%' || *(uri+1)!='2' || tolower(*(uri+2))!='c'); ++uri);
      if (uri>start)
        {
-      capacity=0;
-      to.character= NULL;
-      to.length=0;
-      to.character=string_cat(to.character,&capacity,&to.length,start,uri-start);
-      to.character[to.length]='\0';
+      gstring * g = string_catn(NULL, start, uri-start);
+
+      to.character = string_from_gstring(g);
+      to.length = g->ptr;
        if (uri_decode(&to)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
          return -1;
          }
        if (uri_decode(&to)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
          return -1;
          }
-        new=store_get(sizeof(string_item));
-        new->text=store_get(to.length+1);
-        if (to.length) memcpy(new->text,to.character,to.length);
-        new->text[to.length]='\0';
-        new->next=*recipient;
-        *recipient=new;
+      new = store_get(sizeof(string_item), GET_UNTAINTED);
+      new->text = store_get(to.length+1, to.character);
+      if (to.length) memcpy(new->text, to.character, to.length);
+      new->text[to.length] = '\0';
+      new->next = *recipient;
+      *recipient = new;
        }
      else
        {
        }
      else
        {
-      filter->errmsg=US"Missing addr-spec in URI";
+      filter->errmsg = US"Missing addr-spec in URI";
        return -1;
        }
      if (*uri=='%') uri+=3;
        return -1;
        }
      if (*uri=='%') uri+=3;
@@ -466,11 +469,10 @@ if (*uri=='?')
      for (start=uri; *uri && (isalnum(*uri) || strchr("$-_.+!*'(),%",*uri)); ++uri);
      if (uri>start)
        {
      for (start=uri; *uri && (isalnum(*uri) || strchr("$-_.+!*'(),%",*uri)); ++uri);
      if (uri>start)
        {
-      capacity=0;
-      hname.character= NULL;
-      hname.length=0;
-      hname.character=string_cat(hname.character,&capacity,&hname.length,start,uri-start);
-      hname.character[hname.length]='\0';
+      gstring * g = string_catn(NULL, start, uri-start);
+
+      hname.character = string_from_gstring(g);
+      hname.length = g->ptr;
        if (uri_decode(&hname)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
        if (uri_decode(&hname)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
@@ -489,11 +491,10 @@ if (*uri=='?')
      for (start=uri; *uri && (isalnum(*uri) || strchr("$-_.+!*'(),%",*uri)); ++uri);
      if (uri>start)
        {
      for (start=uri; *uri && (isalnum(*uri) || strchr("$-_.+!*'(),%",*uri)); ++uri);
      if (uri>start)
        {
-      capacity=0;
-      hvalue.character= NULL;
-      hvalue.length=0;
-      hvalue.character=string_cat(hvalue.character,&capacity,&hvalue.length,start,uri-start);
-      hvalue.character[hvalue.length]='\0';
+      gstring * g = string_catn(NULL, start, uri-start);
+
+      hname.character = string_from_gstring(g);
+      hname.length = g->ptr;
        if (uri_decode(&hvalue)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
        if (uri_decode(&hvalue)==-1)
          {
          filter->errmsg=US"Invalid URI encoding";
@@ -502,9 +503,9 @@ if (*uri=='?')
        }
      if (hname.length==2 && strcmpic(hname.character, US"to")==0)
        {
        }
      if (hname.length==2 && strcmpic(hname.character, US"to")==0)
        {
-      new=store_get(sizeof(string_item));
-      new->text=store_get(hvalue.length+1);
-      if (hvalue.length) memcpy(new->text,hvalue.character,hvalue.length);
+      new=store_get(sizeof(string_item), GET_UNTAINTED);
+      new->text = store_get(hvalue.length+1, hvalue.character);
+      if (hvalue.length) memcpy(new->text, hvalue.character, hvalue.length);
        new->text[hvalue.length]='\0';
        new->next=*recipient;
        *recipient=new;
        new->text[hvalue.length]='\0';
        new->next=*recipient;
        *recipient=new;
@@ -529,13 +530,18 @@ if (*uri=='?')
        for (i=ignore; i<end && !eq_asciicase(&hname,i,0); ++i);
        if (i==end)
          {
        for (i=ignore; i<end && !eq_asciicase(&hname,i,0); ++i);
        if (i==end)
          {
-        if (header->length==-1) header->length=0;
-        capacity=header->length;
-        header->character=string_cat(header->character,&capacity,&header->length,hname.character,hname.length);
-        header->character=string_cat(header->character,&capacity,&header->length,CUS ": ",2);
-        header->character=string_cat(header->character,&capacity,&header->length,hvalue.character,hvalue.length);
-        header->character=string_cat(header->character,&capacity,&header->length,CUS "\n",1);
-        header->character[header->length]='\0';
+       gstring * g;
+
+        if (header->length==-1) header->length = 0;
+
+       g = string_catn(NULL, header->character, header->length);
+        g = string_catn(g, hname.character, hname.length);
+        g = string_catn(g, CUS ": ", 2);
+        g = string_catn(g, hvalue.character, hvalue.length);
+        g = string_catn(g, CUS "\n", 1);
+
+       header->character = string_from_gstring(g);
+       header->length = g->ptr;
          }
        }
      if (*uri=='&') ++uri;
          }
        }
      if (*uri=='&') ++uri;
@@ -849,21 +855,15 @@ if ((filter_test != FTEST_NONE && debug_selector != 0) ||
  switch (mt)
    {
    case MATCH_IS:
  switch (mt)
    {
    case MATCH_IS:
-    {
      switch (co)
        {
        case COMP_OCTET:
      switch (co)
        {
        case COMP_OCTET:
-        {
          if (eq_octet(needle,haystack,0)) r=1;
          break;
          if (eq_octet(needle,haystack,0)) r=1;
          break;
-        }
        case COMP_EN_ASCII_CASEMAP:
        case COMP_EN_ASCII_CASEMAP:
-        {
          if (eq_asciicase(needle,haystack,0)) r=1;
          break;
          if (eq_asciicase(needle,haystack,0)) r=1;
          break;
-        }
        case COMP_ASCII_NUMERIC:
        case COMP_ASCII_NUMERIC:
-        {
          if (!filter->require_iascii_numeric)
            {
            filter->errmsg=CUS "missing previous require \"comparator-i;ascii-numeric\";";
          if (!filter->require_iascii_numeric)
            {
            filter->errmsg=CUS "missing previous require \"comparator-i;ascii-numeric\";";
@@ -871,10 +871,9 @@ switch (mt)
            }
          if (eq_asciinumeric(needle,haystack,EQ)) r=1;
          break;
            }
          if (eq_asciinumeric(needle,haystack,EQ)) r=1;
          break;
-        }
        }
      break;
        }
      break;
-    }
+
    case MATCH_CONTAINS:
      {
      struct String h;
    case MATCH_CONTAINS:
      {
      struct String h;
@@ -882,53 +881,42 @@ switch (mt)
      switch (co)
        {
        case COMP_OCTET:
      switch (co)
        {
        case COMP_OCTET:
-        {
-        for (h=*haystack; h.length; ++h.character,--h.length) if (eq_octet(needle,&h,1)) { r=1; break; }
+        for (h = *haystack; h.length; ++h.character,--h.length)
+        if (eq_octet(needle,&h,1)) { r=1; break; }
          break;
          break;
-        }
        case COMP_EN_ASCII_CASEMAP:
        case COMP_EN_ASCII_CASEMAP:
-        {
-        for (h=*haystack; h.length; ++h.character,--h.length) if (eq_asciicase(needle,&h,1)) { r=1; break; }
+        for (h = *haystack; h.length; ++h.character, --h.length)
+         if (eq_asciicase(needle,&h,1)) { r=1; break; }
          break;
          break;
-        }
        default:
        default:
-        {
          filter->errmsg=CUS "comparator does not offer specified matchtype";
          return -1;
          filter->errmsg=CUS "comparator does not offer specified matchtype";
          return -1;
-        }
        }
      break;
      }
        }
      break;
      }
+
    case MATCH_MATCHES:
    case MATCH_MATCHES:
-    {
      switch (co)
        {
        case COMP_OCTET:
      switch (co)
        {
        case COMP_OCTET:
-        {
          if ((r=eq_glob(needle,haystack,0,1))==-1)
            {
            filter->errmsg=CUS "syntactically invalid pattern";
            return -1;
            }
          break;
          if ((r=eq_glob(needle,haystack,0,1))==-1)
            {
            filter->errmsg=CUS "syntactically invalid pattern";
            return -1;
            }
          break;
-        }
        case COMP_EN_ASCII_CASEMAP:
        case COMP_EN_ASCII_CASEMAP:
-        {
          if ((r=eq_glob(needle,haystack,1,1))==-1)
            {
            filter->errmsg=CUS "syntactically invalid pattern";
            return -1;
            }
          break;
          if ((r=eq_glob(needle,haystack,1,1))==-1)
            {
            filter->errmsg=CUS "syntactically invalid pattern";
            return -1;
            }
          break;
-        }
        default:
        default:
-        {
          filter->errmsg=CUS "comparator does not offer specified matchtype";
          return -1;
          filter->errmsg=CUS "comparator does not offer specified matchtype";
          return -1;
-        }
        }
      break;
        }
      break;
-    }
    }
  if ((filter_test != FTEST_NONE && debug_selector != 0) ||
    (debug_selector & D_filter) != 0)
    }
  if ((filter_test != FTEST_NONE && debug_selector != 0) ||
    (debug_selector & D_filter) != 0)
@@ -993,10 +981,10 @@ Arguments:
  Returns:      quoted string
  */
  
  Returns:      quoted string
  */
  
-static const uschar *quote(const struct String *header)
+static const uschar *
+quote(const struct String *header)
  {
  {
-uschar *quoted=NULL;
-int size=0,ptr=0;
+gstring * quoted = NULL;
  size_t l;
  const uschar *h;
  
  size_t l;
  const uschar *h;
  
@@ -1007,26 +995,20 @@ while (l)
    switch (*h)
      {
      case '\0':
    switch (*h)
      {
      case '\0':
-      {
-      quoted=string_cat(quoted,&size,&ptr,CUS "\\0",2);
+      quoted = string_catn(quoted, CUS "\\0", 2);
        break;
        break;
-      }
      case '$':
      case '{':
      case '}':
      case '$':
      case '{':
      case '}':
-      {
-      quoted=string_cat(quoted,&size,&ptr,CUS "\\",1);
-      }
+      quoted = string_catn(quoted, CUS "\\", 1);
      default:
      default:
-      {
-      quoted=string_cat(quoted,&size,&ptr,h,1);
-      }
+      quoted = string_catn(quoted, h, 1);
      }
    ++h;
    --l;
    }
      }
    ++h;
    --l;
    }
-quoted=string_cat(quoted,&size,&ptr,CUS "",1);
-return quoted;
+quoted = string_catn(quoted, CUS "", 1);
+return string_from_gstring(quoted);
  }
  
  
  }
  
  
@@ -1046,30 +1028,33 @@ Arguments:
  Returns:      nothing
  */
  
  Returns:      nothing
  */
  
-static void add_addr(address_item **generated, uschar *addr, int file, int maxage, int maxmessages, int maxstorage)
+static void
+add_addr(address_item **generated, uschar *addr, int file, int maxage, int maxmessages, int maxstorage)
  {
  address_item *new_addr;
  
  {
  address_item *new_addr;
  
-for (new_addr=*generated; new_addr; new_addr=new_addr->next)
-  {
-  if (Ustrcmp(new_addr->address,addr)==0 && (file ? testflag(new_addr, af_pfr|af_file) : 1))
+for (new_addr = *generated; new_addr; new_addr = new_addr->next)
+  if (  Ustrcmp(new_addr->address,addr) == 0
+     && (  !file
+       || testflag(new_addr, af_pfr)
+       || testflag(new_addr, af_file)
+       )
+     )
      {
      if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
      {
      if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-      {
        debug_printf("Repeated %s `%s' ignored.\n",file ? "fileinto" : "redirect", addr);
        debug_printf("Repeated %s `%s' ignored.\n",file ? "fileinto" : "redirect", addr);
-      }
+
      return;
      }
      return;
      }
-  }
  
  if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
  
  if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-  {
    debug_printf("%s `%s'\n",file ? "fileinto" : "redirect", addr);
    debug_printf("%s `%s'\n",file ? "fileinto" : "redirect", addr);
-  }
-new_addr=deliver_make_addr(addr,TRUE);
+
+new_addr = deliver_make_addr(addr,TRUE);
  if (file)
    {
  if (file)
    {
-  setflag(new_addr, af_pfr|af_file);
+  setflag(new_addr, af_pfr);
+  setflag(new_addr, af_file);
    new_addr->mode = 0;
    }
  new_addr->prop.errors_address = NULL;
    new_addr->mode = 0;
    }
  new_addr->prop.errors_address = NULL;
@@ -1103,7 +1088,8 @@ uschar *errmsg;
  value->length=0;
  value->character=(uschar*)0;
  
  value->length=0;
  value->character=(uschar*)0;
  
-t=r=s=expand_string(string_sprintf("$rheader_%s",quote(header)));
+t = r = s = expand_string(string_sprintf("$rheader_%s",quote(header)));
+if (!t) return;
  while (*r==' ' || *r=='\t') ++r;
  while (*r)
    {
  while (*r==' ' || *r=='\t') ++r;
  while (*r)
    {
@@ -1268,7 +1254,9 @@ do
    {
    int x,d,n;
  
    {
    int x,d,n;
  
-  for (x=0,d=0; d<2 && src<end && isxdigit(n=tolower(*src)); x=(x<<4)|(n>='0' && n<='9' ? n-'0' : 10+(n-'a')),++d,++src);
+  for (x = 0, d = 0;
+      d<2 && src<end && isxdigit(n=tolower(*src));
+      x=(x<<4)|(n>='0' && n<='9' ? n-'0' : 10+(n-'a')) ,++d, ++src) ;
    if (d==0) return -1;
    if (dst) *dst++=x;
    ++decoded;
    if (d==0) return -1;
    if (dst) *dst++=x;
    ++decoded;
@@ -1310,7 +1298,8 @@ Returns:      >=0              number of decoded octets
                -2               semantic error (character range violation)
  */
  
                -2               semantic error (character range violation)
  */
  
-static int unicode_decode(uschar *src, uschar *end, uschar *dst)
+static int
+unicode_decode(uschar *src, uschar *end, uschar *dst)
  {
  int decoded=0;
  
  {
  int decoded=0;
  
@@ -1321,9 +1310,11 @@ do
    int c,d,n;
  
    unicode_hex:
    int c,d,n;
  
    unicode_hex:
-  for (hex_seq=src; src<end && *src=='0'; ++src);
-  for (c=0,d=0; d<7 && src<end && isxdigit(n=tolower(*src)); c=(c<<4)|(n>='0' && n<='9' ? n-'0' : 10+(n-'a')),++d,++src);
-  if (src==hex_seq) return -1;
+  for (hex_seq = src; src < end && *src=='0'; ) src++;
+  for (c = 0, d = 0;
+       d < 7 && src < end && isxdigit(n=tolower(*src));
+       c=(c<<4)|(n>='0' && n<='9' ? n-'0' : 10+(n-'a')), ++d, ++src) ;
+  if (src == hex_seq) return -1;
    if (d==7 || (!((c>=0 && c<=0xd7ff) || (c>=0xe000 && c<=0x10ffff)))) return -2;
    if (c<128)
      {
    if (d==7 || (!((c>=0 && c<=0xd7ff) || (c>=0xe000 && c<=0x10ffff)))) return -2;
    if (c<128)
      {
@@ -1472,12 +1463,14 @@ Returns:      1                success
                0                identifier not matched
  */
  
                0                identifier not matched
  */
  
-static int parse_string(struct Sieve *filter, struct String *data)
+static int
+parse_string(struct Sieve *filter, struct String *data)
  {
  {
-int dataCapacity=0;
+gstring * g = NULL;
+
+data->length = 0;
+data->character = NULL;
  
  
-data->length=0;
-data->character=(uschar*)0;
  if (*filter->pc=='"') /* quoted string */
    {
    ++filter->pc;
  if (*filter->pc=='"') /* quoted string */
    {
    ++filter->pc;
@@ -1485,11 +1478,17 @@ if (*filter->pc=='"') /* quoted string */
      {
      if (*filter->pc=='"') /* end of string */
        {
      {
      if (*filter->pc=='"') /* end of string */
        {
-      int foo=data->length;
-
        ++filter->pc;
        ++filter->pc;
+
+      if (g)
+       {
+       data->character = string_from_gstring(g);
+       data->length = g->ptr;
+       }
+      else
+       data->character = US"\0";
        /* that way, there will be at least one character allocated */
        /* that way, there will be at least one character allocated */
-      data->character=string_cat(data->character,&dataCapacity,&foo,CUS "",1);
+
  #ifdef ENCODED_CHARACTER
        if (filter->require_encoded_character
            && string_decode(filter,data)==-1)
  #ifdef ENCODED_CHARACTER
        if (filter->require_encoded_character
            && string_decode(filter,data)==-1)
@@ -1499,7 +1498,7 @@ if (*filter->pc=='"') /* quoted string */
        }
      else if (*filter->pc=='\\' && *(filter->pc+1)) /* quoted character */
        {
        }
      else if (*filter->pc=='\\' && *(filter->pc+1)) /* quoted character */
        {
-      data->character=string_cat(data->character,&dataCapacity,&data->length,filter->pc+1,1);
+      g = string_catn(g, filter->pc+1, 1);
        filter->pc+=2;
        }
      else /* regular character */
        filter->pc+=2;
        }
      else /* regular character */
@@ -1509,11 +1508,11 @@ if (*filter->pc=='"') /* quoted string */
  #else
        if (*filter->pc=='\n')
          {
  #else
        if (*filter->pc=='\n')
          {
-        data->character=string_cat(data->character,&dataCapacity,&data->length,US"\r",1);
+        g = string_catn(g, US"\r", 1);
          ++filter->line;
          }
  #endif
          ++filter->line;
          }
  #endif
-      data->character=string_cat(data->character,&dataCapacity,&data->length,filter->pc,1);
+      g = string_catn(g, filter->pc, 1);
        filter->pc++;
        }
      }
        filter->pc++;
        }
      }
@@ -1555,7 +1554,7 @@ else if (Ustrncmp(filter->pc,CUS "text:",5)==0) /* multiline string */
      if (*filter->pc=='\n') /* end of line */
  #endif
        {
      if (*filter->pc=='\n') /* end of line */
  #endif
        {
-      data->character=string_cat(data->character,&dataCapacity,&data->length,CUS "\r\n",2);
+      g = string_catn(g, CUS "\r\n", 2);
  #ifdef RFC_EOL
        filter->pc+=2;
  #else
  #ifdef RFC_EOL
        filter->pc+=2;
  #else
@@ -1568,10 +1567,15 @@ else if (Ustrncmp(filter->pc,CUS "text:",5)==0) /* multiline string */
        if (*filter->pc=='.' && *(filter->pc+1)=='\n') /* end of string */
  #endif
          {
        if (*filter->pc=='.' && *(filter->pc+1)=='\n') /* end of string */
  #endif
          {
-        int foo=data->length;
+       if (g)
+         {
+         data->character = string_from_gstring(g);
+         data->length = g->ptr;
+         }
+       else
+         data->character = US"\0";
+       /* that way, there will be at least one character allocated */
  
  
-        /* that way, there will be at least one character allocated */
-        data->character=string_cat(data->character,&dataCapacity,&foo,CUS "",1);
  #ifdef RFC_EOL
          filter->pc+=3;
  #else
  #ifdef RFC_EOL
          filter->pc+=3;
  #else
@@ -1587,13 +1591,13 @@ else if (Ustrncmp(filter->pc,CUS "text:",5)==0) /* multiline string */
          }
        else if (*filter->pc=='.' && *(filter->pc+1)=='.') /* remove dot stuffing */
          {
          }
        else if (*filter->pc=='.' && *(filter->pc+1)=='.') /* remove dot stuffing */
          {
-        data->character=string_cat(data->character,&dataCapacity,&data->length,CUS ".",1);
+        g = string_catn(g, CUS ".", 1);
          filter->pc+=2;
          }
        }
      else /* regular character */
        {
          filter->pc+=2;
          }
        }
      else /* regular character */
        {
-      data->character=string_cat(data->character,&dataCapacity,&data->length,filter->pc,1);
+      g = string_catn(g, filter->pc, 1);
        filter->pc++;
        }
      }
        filter->pc++;
        }
      }
@@ -1706,12 +1710,13 @@ Returns:      1                success
                -1               no string list found
  */
  
                -1               no string list found
  */
  
-static int parse_stringlist(struct Sieve *filter, struct String **data)
+static int
+parse_stringlist(struct Sieve *filter, struct String **data)
  {
  const uschar *orig=filter->pc;
  {
  const uschar *orig=filter->pc;
-int dataCapacity=0;
-int dataLength=0;
-struct String *d=(struct String*)0;
+int dataCapacity = 0;
+int dataLength = 0;
+struct String *d = NULL;
  int m;
  
  if (*filter->pc=='[') /* string list */
  int m;
  
  if (*filter->pc=='[') /* string list */
@@ -1720,20 +1725,17 @@ if (*filter->pc=='[') /* string list */
    for (;;)
      {
      if (parse_white(filter)==-1) goto error;
    for (;;)
      {
      if (parse_white(filter)==-1) goto error;
-    if ((dataLength+1)>=dataCapacity) /* increase buffer */
+    if (dataLength+1 >= dataCapacity) /* increase buffer */
        {
        struct String *new;
        {
        struct String *new;
-      int newCapacity;          /* Don't amalgamate with next line; some compilers grumble */
-      newCapacity=dataCapacity?(dataCapacity*=2):(dataCapacity=4);
-      if ((new=(struct String*)store_get(sizeof(struct String)*newCapacity))==(struct String*)0)
-        {
-        filter->errmsg=CUstrerror(errno);
-        goto error;
-        }
+
+      dataCapacity = dataCapacity ? dataCapacity * 2 : 4;
+      new = store_get(sizeof(struct String) * dataCapacity, GET_UNTAINTED);
+
        if (d) memcpy(new,d,sizeof(struct String)*dataLength);
        if (d) memcpy(new,d,sizeof(struct String)*dataLength);
-      d=new;
-      dataCapacity=newCapacity;
+      d = new;
        }
        }
+
      m=parse_string(filter,&d[dataLength]);
      if (m==0)
        {
      m=parse_string(filter,&d[dataLength]);
      if (m==0)
        {
@@ -1766,15 +1768,13 @@ if (*filter->pc=='[') /* string list */
    }
  else /* single string */
    {
    }
  else /* single string */
    {
-  if ((d=store_get(sizeof(struct String)*2))==(struct String*)0)
-    {
+  if (!(d=store_get(sizeof(struct String)*2, GET_UNTAINTED)))
      return -1;
      return -1;
-    }
+
    m=parse_string(filter,&d[0]);
    if (m==-1)
    m=parse_string(filter,&d[0]);
    if (m==-1)
-    {
      return -1;
      return -1;
-    }
+
    else if (m==0)
      {
      filter->pc=orig;
    else if (m==0)
      {
      filter->pc=orig;
@@ -2030,7 +2030,8 @@ Returns:      1                success
                -1               syntax or execution error
  */
  
                -1               syntax or execution error
  */
  
-static int parse_test(struct Sieve *filter, int *cond, int exec)
+static int
+parse_test(struct Sieve *filter, int *cond, int exec)
  {
  if (parse_white(filter)==-1) return -1;
  if (parse_identifier(filter,CUS "address"))
  {
  if (parse_white(filter)==-1) return -1;
  if (parse_identifier(filter,CUS "address"))
@@ -2045,7 +2046,7 @@ if (parse_identifier(filter,CUS "address"))
    enum AddressPart addressPart=ADDRPART_ALL;
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
    enum AddressPart addressPart=ADDRPART_ALL;
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
-  struct String *hdr,*h,*key,*k;
+  struct String *hdr,*key;
    int m;
    int ap=0,co=0,mt=0;
  
    int m;
    int ap=0,co=0,mt=0;
  
@@ -2097,7 +2098,7 @@ if (parse_identifier(filter,CUS "address"))
      return -1;
      }
    *cond=0;
      return -1;
      }
    *cond=0;
-  for (h=hdr; h->length!=-1 && !*cond; ++h)
+  for (struct String * h = hdr; h->length!=-1 && !*cond; ++h)
      {
      uschar *header_value=(uschar*)0,*extracted_addr,*end_addr;
  
      {
      uschar *header_value=(uschar*)0,*extracted_addr,*end_addr;
  
@@ -2118,13 +2119,12 @@ if (parse_identifier(filter,CUS "address"))
      if (exec)
        {
        /* We are only interested in addresses below, so no MIME decoding */
      if (exec)
        {
        /* We are only interested in addresses below, so no MIME decoding */
-      header_value=expand_string(string_sprintf("$rheader_%s",quote(h)));
-      if (header_value == NULL)
+      if (!(header_value = expand_string(string_sprintf("$rheader_%s",quote(h)))))
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
-      parse_allow_group = TRUE;
+      f.parse_allow_group = TRUE;
        while (*header_value && !*cond)
          {
          uschar *error;
        while (*header_value && !*cond)
          {
          uschar *error;
@@ -2153,12 +2153,10 @@ if (parse_identifier(filter,CUS "address"))
          *end_addr = saveend;
          if (part)
            {
          *end_addr = saveend;
          if (part)
            {
-          for (k=key; k->length!=-1; ++k)
+          for (struct String * k = key; k->length !=- 1; ++k)
              {
              {
-            struct String partStr;
+            struct String partStr = {.character = part, .length = Ustrlen(part)};
  
  
-            partStr.character=part;
-            partStr.length=Ustrlen(part);
              if (extracted_addr)
                {
                *cond=compare(filter,k,&partStr,comparator,matchType);
              if (extracted_addr)
                {
                *cond=compare(filter,k,&partStr,comparator,matchType);
@@ -2170,8 +2168,8 @@ if (parse_identifier(filter,CUS "address"))
          if (saveend == 0) break;
          header_value = end_addr + 1;
          }
          if (saveend == 0) break;
          header_value = end_addr + 1;
          }
-      parse_allow_group = FALSE;
-      parse_found_group = FALSE;
+      f.parse_allow_group = FALSE;
+      f.parse_found_group = FALSE;
        }
      }
    return 1;
        }
      }
    return 1;
@@ -2212,7 +2210,7 @@ else if (parse_identifier(filter,CUS "exists"))
    exists-test = "exists" <header-names: string-list>
    */
  
    exists-test = "exists" <header-names: string-list>
    */
  
-  struct String *hdr,*h;
+  struct String *hdr;
    int m;
  
    if (parse_white(filter)==-1) return -1;
    int m;
  
    if (parse_white(filter)==-1) return -1;
@@ -2224,12 +2222,12 @@ else if (parse_identifier(filter,CUS "exists"))
    if (exec)
      {
      *cond=1;
    if (exec)
      {
      *cond=1;
-    for (h=hdr; h->length!=-1 && *cond; ++h)
+    for (struct String * h = hdr; h->length != -1 && *cond; ++h)
        {
        uschar *header_def;
  
        {
        uschar *header_def;
  
-      header_def=expand_string(string_sprintf("${if def:header_%s {true}{false}}",quote(h)));
-      if (header_def == NULL)
+      header_def = expand_string(string_sprintf("${if def:header_%s {true}{false}}",quote(h)));
+      if (!header_def)
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
@@ -2257,7 +2255,7 @@ else if (parse_identifier(filter,CUS "header"))
  
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
  
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
-  struct String *hdr,*h,*key,*k;
+  struct String *hdr,*key;
    int m;
    int co=0,mt=0;
  
    int m;
    int co=0,mt=0;
  
@@ -2299,7 +2297,7 @@ else if (parse_identifier(filter,CUS "header"))
      return -1;
      }
    *cond=0;
      return -1;
      }
    *cond=0;
-  for (h=hdr; h->length!=-1 && !*cond; ++h)
+  for (struct String * h = hdr; h->length != -1 && !*cond; ++h)
      {
      if (!is_header(h))
        {
      {
      if (!is_header(h))
        {
@@ -2312,21 +2310,19 @@ else if (parse_identifier(filter,CUS "header"))
        uschar *header_def;
  
        expand_header(&header_value,h);
        uschar *header_def;
  
        expand_header(&header_value,h);
-      header_def=expand_string(string_sprintf("${if def:header_%s {true}{false}}",quote(h)));
-      if (header_value.character == NULL || header_def == NULL)
+      header_def = expand_string(string_sprintf("${if def:header_%s {true}{false}}",quote(h)));
+      if (!header_value.character || !header_def)
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
-      for (k=key; k->length!=-1; ++k)
-        {
+      for (struct String * k = key; k->length != -1; ++k)
          if (Ustrcmp(header_def,"true")==0)
            {
            *cond=compare(filter,k,&header_value,comparator,matchType);
            if (*cond==-1) return -1;
            if (*cond) break;
            }
          if (Ustrcmp(header_def,"true")==0)
            {
            *cond=compare(filter,k,&header_value,comparator,matchType);
            if (*cond==-1) return -1;
            if (*cond) break;
            }
-        }
        }
      }
    return 1;
        }
      }
    return 1;
@@ -2384,7 +2380,7 @@ else if (parse_identifier(filter,CUS "envelope"))
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum AddressPart addressPart=ADDRPART_ALL;
    enum MatchType matchType=MATCH_IS;
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum AddressPart addressPart=ADDRPART_ALL;
    enum MatchType matchType=MATCH_IS;
-  struct String *env,*e,*key,*k;
+  struct String *env,*key;
    int m;
    int co=0,ap=0,mt=0;
  
    int m;
    int co=0,ap=0,mt=0;
  
@@ -2441,7 +2437,7 @@ else if (parse_identifier(filter,CUS "envelope"))
      return -1;
      }
    *cond=0;
      return -1;
      }
    *cond=0;
-  for (e=env; e->length!=-1 && !*cond; ++e)
+  for (struct String * e = env; e->length != -1 && !*cond; ++e)
      {
      const uschar *envelopeExpr=CUS 0;
      uschar *envelope=US 0;
      {
      const uschar *envelopeExpr=CUS 0;
      uschar *envelope=US 0;
@@ -2498,17 +2494,15 @@ else if (parse_identifier(filter,CUS "envelope"))
        }
      if (exec && envelopeExpr)
        {
        }
      if (exec && envelopeExpr)
        {
-      if ((envelope=expand_string(US envelopeExpr)) == NULL)
+      if (!(envelope=expand_string(US envelopeExpr)))
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          }
-      for (k=key; k->length!=-1; ++k)
+      for (struct String * k = key; k->length != -1; ++k)
          {
          {
-        struct String envelopeStr;
+        struct String envelopeStr = {.character = envelope, .length = Ustrlen(envelope)};
  
  
-        envelopeStr.character=envelope;
-        envelopeStr.length=Ustrlen(envelope);
          *cond=compare(filter,k,&envelopeStr,comparator,matchType);
          if (*cond==-1) return -1;
          if (*cond) break;
          *cond=compare(filter,k,&envelopeStr,comparator,matchType);
          if (*cond==-1) return -1;
          if (*cond) break;
@@ -2525,7 +2519,7 @@ else if (parse_identifier(filter,CUS "valid_notify_method"))
                          <notification-uris: string-list>
    */
  
                          <notification-uris: string-list>
    */
  
-  struct String *uris,*u;
+  struct String *uris;
    int m;
  
    if (!filter->require_enotify)
    int m;
  
    if (!filter->require_enotify)
@@ -2542,7 +2536,7 @@ else if (parse_identifier(filter,CUS "valid_notify_method"))
    if (exec)
      {
      *cond=1;
    if (exec)
      {
      *cond=1;
-    for (u=uris; u->length!=-1 && *cond; ++u)
+    for (struct String * u = uris; u->length != -1 && *cond; ++u)
        {
          string_item *recipient;
          struct String header,subject,body;
        {
          string_item *recipient;
          struct String header,subject,body;
@@ -2574,7 +2568,7 @@ else if (parse_identifier(filter,CUS "notify_method_capability"))
  
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
  
    enum Comparator comparator=COMP_EN_ASCII_CASEMAP;
    enum MatchType matchType=MATCH_IS;
-  struct String uri,capa,*keys,*k;
+  struct String uri,capa,*keys;
  
    if (!filter->require_enotify)
      {
  
    if (!filter->require_enotify)
      {
@@ -2637,15 +2631,13 @@ else if (parse_identifier(filter,CUS "notify_method_capability"))
        body.length=-1;
        body.character=(uschar*)0;
        if (parse_mailto_uri(filter,uri.character,&recipient,&header,&subject,&body)==1)
        body.length=-1;
        body.character=(uschar*)0;
        if (parse_mailto_uri(filter,uri.character,&recipient,&header,&subject,&body)==1)
-        {
          if (eq_asciicase(&capa,&str_online,0)==1)
          if (eq_asciicase(&capa,&str_online,0)==1)
-          for (k=keys; k->length!=-1; ++k)
+          for (struct String * k = keys; k->length != -1; ++k)
              {
              *cond=compare(filter,k,&str_maybe,comparator,matchType);
              if (*cond==-1) return -1;
              if (*cond) break;
              }
              {
              *cond=compare(filter,k,&str_maybe,comparator,matchType);
              if (*cond==-1) return -1;
              if (*cond) break;
              }
-        }
        }
      return 1;
    }
        }
      return 1;
    }
@@ -2999,7 +2991,13 @@ while (*filter->pc)
      subject.character=(uschar*)0;
      body.length=-1;
      body.character=(uschar*)0;
      subject.character=(uschar*)0;
      body.length=-1;
      body.character=(uschar*)0;
-    envelope_from=(sender_address && sender_address[0]) ? expand_string(US"$local_part_prefix$local_part$local_part_suffix@$domain") : US "";
+    envelope_from = sender_address && sender_address[0]
+     ? expand_string(US"$local_part_prefix$local_part$local_part_suffix@$domain") : US "";
+    if (!envelope_from)
+      {
+      filter->errmsg=CUS "expansion failure for envelope from";
+      return -1;
+      }
      for (;;)
        {
        if (parse_white(filter)==-1) return -1;
      for (;;)
        {
        if (parse_white(filter)==-1) return -1;
@@ -3055,8 +3053,8 @@ while (*filter->pc)
        if (message.length==-1) message=subject;
        if (message.length==-1) expand_header(&message,&str_subject);
        expand_header(&auto_submitted_value,&str_auto_submitted);
        if (message.length==-1) message=subject;
        if (message.length==-1) expand_header(&message,&str_subject);
        expand_header(&auto_submitted_value,&str_auto_submitted);
-      auto_submitted_def=expand_string(string_sprintf("${if def:header_auto-submitted {true}{false}}"));
-      if (auto_submitted_value.character == NULL || auto_submitted_def == NULL)
+      auto_submitted_def=expand_string(US"${if def:header_auto-submitted {true}{false}}");
+      if (!auto_submitted_value.character || !auto_submitted_def)
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
          {
          filter->errmsg=CUS "header string expansion failed";
          return -1;
@@ -3073,11 +3071,10 @@ while (*filter->pc)
                && (message.length==-1 || Ustrcmp(already->message.character,message.character)==0))
              break;
            }
                && (message.length==-1 || Ustrcmp(already->message.character,message.character)==0))
              break;
            }
-        if (already==(struct Notification*)0)
+        if (!already)
            /* New notification, process it */
            {
            /* New notification, process it */
            {
-          struct Notification *sent;
-          sent=store_get(sizeof(struct Notification));
+          struct Notification * sent = store_get(sizeof(struct Notification), GET_UNTAINTED);
            sent->method=method;
            sent->importance=importance;
            sent->message=message;
            sent->method=method;
            sent->importance=importance;
            sent->message=message;
@@ -3086,57 +3083,46 @@ while (*filter->pc)
    #ifndef COMPILE_SYNTAX_CHECKER
            if (filter_test == FTEST_NONE)
              {
    #ifndef COMPILE_SYNTAX_CHECKER
            if (filter_test == FTEST_NONE)
              {
-            string_item *p;
-            int pid,fd;
+            int pid, fd;
  
  
-            if ((pid = child_open_exim2(&fd,envelope_from,envelope_from))>=1)
+            if ((pid = child_open_exim2(&fd, envelope_from, envelope_from,
+                       US"sieve-notify")) >= 1)
                {
                {
-              FILE *f;
-              uschar *buffer;
-              int buffer_capacity;
-
-              f = fdopen(fd, "wb");
-              fprintf(f,"From: %s\n",from.length==-1 ? expand_string(US"$local_part_prefix$local_part$local_part_suffix@$domain") : from.character);
-              for (p=recipient; p; p=p->next) fprintf(f,"To: %s\n",p->text);
-              fprintf(f,"Auto-Submitted: auto-notified; %s\n",filter->enotify_mailto_owner);
-              if (header.length>0) fprintf(f,"%s",header.character);
+              FILE * f = fdopen(fd, "wb");
+
+              fprintf(f,"From: %s\n", from.length == -1
+               ? expand_string(US"$local_part_prefix$local_part$local_part_suffix@$domain")
+               : from.character);
+              for (string_item * p = recipient; p; p=p->next)
+               fprintf(f, "To: %s\n",p->text);
+              fprintf(f, "Auto-Submitted: auto-notified; %s\n", filter->enotify_mailto_owner);
+              if (header.length > 0) fprintf(f, "%s", header.character);
                if (message.length==-1)
                  {
                  message.character=US"Notification";
                  message.length=Ustrlen(message.character);
                  }
                if (message.length==-1)
                  {
                  message.character=US"Notification";
                  message.length=Ustrlen(message.character);
                  }
-              /* Allocation is larger than neccessary, but enough even for split MIME words */
-              buffer_capacity=32+4*message.length;
-              buffer=store_get(buffer_capacity);
-              if (message.length!=-1) fprintf(f,"Subject: %s\n",parse_quote_2047(message.character, message.length, US"utf-8", buffer, buffer_capacity, TRUE));
+              if (message.length != -1)
+               fprintf(f, "Subject: %s\n", parse_quote_2047(message.character,
+                 message.length, US"utf-8", TRUE));
                fprintf(f,"\n");
                fprintf(f,"\n");
-              if (body.length>0) fprintf(f,"%s\n",body.character);
+              if (body.length > 0) fprintf(f, "%s\n", body.character);
                fflush(f);
                (void)fclose(f);
                (void)child_close(pid, 0);
                }
              }
                fflush(f);
                (void)fclose(f);
                (void)child_close(pid, 0);
                }
              }
-          if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-            {
+          if ((filter_test != FTEST_NONE && debug_selector != 0) || debug_selector & D_filter)
              debug_printf("Notification to `%s': '%s'.\n",method.character,message.length!=-1 ? message.character : CUS "");
              debug_printf("Notification to `%s': '%s'.\n",method.character,message.length!=-1 ? message.character : CUS "");
-            }
  #endif
            }
          else
  #endif
            }
          else
-          {
-          if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-            {
+          if ((filter_test != FTEST_NONE && debug_selector != 0) || debug_selector & D_filter)
              debug_printf("Repeated notification to `%s' ignored.\n",method.character);
              debug_printf("Repeated notification to `%s' ignored.\n",method.character);
-            }
-          }
          }
        else
          }
        else
-        {
-        if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-          {
+        if ((filter_test != FTEST_NONE && debug_selector != 0) || debug_selector & D_filter)
            debug_printf("Ignoring notification, triggering message contains Auto-submitted: field.\n");
            debug_printf("Ignoring notification, triggering message contains Auto-submitted: field.\n");
-          }
-        }
        }
      }
  #endif
        }
      }
  #endif
@@ -3219,20 +3205,17 @@ while (*filter->pc)
          }
        else if (parse_identifier(filter,CUS ":addresses")==1)
          {
          }
        else if (parse_identifier(filter,CUS ":addresses")==1)
          {
-        struct String *a;
-
          if (parse_white(filter)==-1) return -1;
          if ((m=parse_stringlist(filter,&addresses))!=1)
            {
            if (m==0) filter->errmsg=CUS "addresses string list expected";
            return -1;
            }
          if (parse_white(filter)==-1) return -1;
          if ((m=parse_stringlist(filter,&addresses))!=1)
            {
            if (m==0) filter->errmsg=CUS "addresses string list expected";
            return -1;
            }
-        for (a=addresses; a->length!=-1; ++a)
+        for (struct String * a = addresses; a->length != -1; ++a)
            {
            {
-          string_item *new;
+          string_item * new = store_get(sizeof(string_item), GET_UNTAINTED);
  
  
-          new=store_get(sizeof(string_item));
-          new->text=store_get(a->length+1);
+          new->text = store_get(a->length+1, a->character);
            if (a->length) memcpy(new->text,a->character,a->length);
            new->text[a->length]='\0';
            new->next=aliases;
            if (a->length) memcpy(new->text,a->character,a->length);
            new->text[a->length]='\0';
            new->next=aliases;
@@ -3262,7 +3245,8 @@ while (*filter->pc)
        {
        uschar *s,*end;
  
        {
        uschar *s,*end;
  
-      for (s=reason.character,end=reason.character+reason.length; s<end && (*s&0x80)==0; ++s);
+      for (s = reason.character, end = reason.character + reason.length;
+         s<end && (*s&0x80)==0; ) s++;
        if (s<end)
          {
          filter->errmsg=CUS "MIME reason string contains 8bit text";
        if (s<end)
          {
          filter->errmsg=CUS "MIME reason string contains 8bit text";
@@ -3274,15 +3258,10 @@ while (*filter->pc)
      if (exec)
        {
        address_item *addr;
      if (exec)
        {
        address_item *addr;
-      int capacity,start;
-      uschar *buffer;
-      int buffer_capacity;
-      struct String key;
        md5 base;
        uschar digest[16];
        uschar hexdigest[33];
        md5 base;
        uschar digest[16];
        uschar hexdigest[33];
-      int i;
-      uschar *once;
+      gstring * once;
  
        if (filter_personal(aliases,TRUE))
          {
  
        if (filter_personal(aliases,TRUE))
          {
@@ -3294,32 +3273,30 @@ while (*filter->pc)
            }
          /* build oncelog filename */
  
            }
          /* build oncelog filename */
  
-        key.character=(uschar*)0;
-        key.length=0;
-        capacity=0;
+        md5_start(&base);
+
          if (handle.length==-1)
            {
          if (handle.length==-1)
            {
-          if (subject.length!=-1) key.character=string_cat(key.character,&capacity,&key.length,subject.character,subject.length);
-          if (from.length!=-1) key.character=string_cat(key.character,&capacity,&key.length,from.character,from.length);
-          key.character=string_cat(key.character,&capacity,&key.length,reason_is_mime?US"1":US"0",1);
-          key.character=string_cat(key.character,&capacity,&key.length,reason.character,reason.length);
+         gstring * key = NULL;
+          if (subject.length!=-1) key =string_catn(key, subject.character, subject.length);
+          if (from.length!=-1) key = string_catn(key, from.character, from.length);
+          key = string_catn(key, reason_is_mime?US"1":US"0", 1);
+          key = string_catn(key, reason.character, reason.length);
+         md5_end(&base, key->s, key->ptr, digest);
            }
          else
            }
          else
-          key=handle;
-        md5_start(&base);
-        md5_end(&base, key.character, key.length, digest);
-        for (i = 0; i < 16; i++) sprintf(CS (hexdigest+2*i), "%02X", digest[i]);
+         md5_end(&base, handle.character, handle.length, digest);
+
+        for (int i = 0; i < 16; i++) sprintf(CS (hexdigest+2*i), "%02X", digest[i]);
+
          if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
          if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-          {
            debug_printf("Sieve: mail was personal, vacation file basename: %s\n", hexdigest);
            debug_printf("Sieve: mail was personal, vacation file basename: %s\n", hexdigest);
-          }
+
          if (filter_test == FTEST_NONE)
            {
          if (filter_test == FTEST_NONE)
            {
-          capacity=Ustrlen(filter->vacation_directory);
-          start=capacity;
-          once=string_cat(filter->vacation_directory,&capacity,&start,US"/",1);
-          once=string_cat(once,&capacity,&start,hexdigest,33);
-          once[start] = '\0';
+          once = string_cat (NULL, filter->vacation_directory);
+          once = string_catn(once, US"/", 1);
+          once = string_catn(once, hexdigest, 33);
  
            /* process subject */
  
  
            /* process subject */
  
@@ -3327,14 +3304,15 @@ while (*filter->pc)
              {
              uschar *subject_def;
  
              {
              uschar *subject_def;
  
-            subject_def=expand_string(US"${if def:header_subject {true}{false}}");
-            if (Ustrcmp(subject_def,"true")==0)
+            subject_def = expand_string(US"${if def:header_subject {true}{false}}");
+            if (subject_def && Ustrcmp(subject_def,"true")==0)
                {
                {
+             gstring * g = string_catn(NULL, US"Auto: ", 6);
+
                expand_header(&subject,&str_subject);
                expand_header(&subject,&str_subject);
-              capacity=6;
-              start=6;
-              subject.character=string_cat(US"Auto: ",&capacity,&start,subject.character,subject.length);
-              subject.length=start;
+              g = string_catn(g, subject.character, subject.length);
+             subject.character = string_from_gstring(g);
+              subject.length = g->ptr;
                }
              else
                {
                }
              else
                {
@@ -3347,22 +3325,19 @@ while (*filter->pc)
  
            addr = deliver_make_addr(string_sprintf(">%.256s", sender_address), FALSE);
            setflag(addr, af_pfr);
  
            addr = deliver_make_addr(string_sprintf(">%.256s", sender_address), FALSE);
            setflag(addr, af_pfr);
-          setflag(addr, af_ignore_error);
+          addr->prop.ignore_error = TRUE;
            addr->next = *generated;
            *generated = addr;
            addr->next = *generated;
            *generated = addr;
-          addr->reply = store_get(sizeof(reply_item));
+          addr->reply = store_get(sizeof(reply_item), GET_UNTAINTED);
            memset(addr->reply,0,sizeof(reply_item)); /* XXX */
            addr->reply->to = string_copy(sender_address);
            if (from.length==-1)
              addr->reply->from = expand_string(US"$local_part@$domain");
            else
              addr->reply->from = from.character;
            memset(addr->reply,0,sizeof(reply_item)); /* XXX */
            addr->reply->to = string_copy(sender_address);
            if (from.length==-1)
              addr->reply->from = expand_string(US"$local_part@$domain");
            else
              addr->reply->from = from.character;
-          /* Allocation is larger than neccessary, but enough even for split MIME words */
-          buffer_capacity=32+4*subject.length;
-          buffer=store_get(buffer_capacity);
           /* deconst cast safe as we pass in a non-const item */
           /* deconst cast safe as we pass in a non-const item */
-          addr->reply->subject = US parse_quote_2047(subject.character, subject.length, US"utf-8", buffer, buffer_capacity, TRUE);
-          addr->reply->oncelog=once;
+          addr->reply->subject = US parse_quote_2047(subject.character, subject.length, US"utf-8", TRUE);
+          addr->reply->oncelog = string_from_gstring(once);
            addr->reply->once_repeat=days*86400;
  
            /* build body and MIME headers */
            addr->reply->once_repeat=days*86400;
  
            /* build body and MIME headers */
@@ -3374,27 +3349,20 @@ while (*filter->pc)
  
              for
                (
  
              for
                (
-              mime_body=reason.character,reason_end=reason.character+reason.length;
-              mime_body<(reason_end-(sizeof(nlnl)-1)) && memcmp(mime_body,nlnl,(sizeof(nlnl)-1));
-              ++mime_body
-              );
-            capacity = 0;
-            start = 0;
-            addr->reply->headers = string_cat(NULL,&capacity,&start,reason.character,mime_body-reason.character);
-            addr->reply->headers[start] = '\0';
-            capacity = 0;
-            start = 0;
+              mime_body = reason.character, reason_end = reason.character + reason.length;
+              mime_body < (reason_end-(sizeof(nlnl)-1)) && memcmp(mime_body, nlnl, (sizeof(nlnl)-1));
+             ) mime_body++;
+
+            addr->reply->headers = string_copyn(reason.character, mime_body-reason.character);
+
              if (mime_body+(sizeof(nlnl)-1)<reason_end) mime_body+=(sizeof(nlnl)-1);
              else mime_body=reason_end-1;
              if (mime_body+(sizeof(nlnl)-1)<reason_end) mime_body+=(sizeof(nlnl)-1);
              else mime_body=reason_end-1;
-            addr->reply->text = string_cat(NULL,&capacity,&start,mime_body,reason_end-mime_body);
-            addr->reply->text[start] = '\0';
+            addr->reply->text = string_copyn(mime_body, reason_end-mime_body);
              }
            else
              {
              }
            else
              {
-            struct String qp = { NULL, 0 };  /* Keep compiler happy (PH) */
+            struct String qp = { .character = NULL, .length = 0 };  /* Keep compiler happy (PH) */
  
  
-            capacity = 0;
-            start = reason.length;
              addr->reply->headers = US"MIME-Version: 1.0\n"
                                     "Content-Type: text/plain;\n"
                                     "\tcharset=\"utf-8\"\n"
              addr->reply->headers = US"MIME-Version: 1.0\n"
                                     "Content-Type: text/plain;\n"
                                     "\tcharset=\"utf-8\"\n"
@@ -3404,9 +3372,7 @@ while (*filter->pc)
            }
          }
          else if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
            }
          }
          else if ((filter_test != FTEST_NONE && debug_selector != 0) || (debug_selector & D_filter) != 0)
-          {
            debug_printf("Sieve: mail was not personal, vacation would ignore it\n");
            debug_printf("Sieve: mail was not personal, vacation would ignore it\n");
-          }
        }
      }
      else break;
        }
      }
      else break;
@@ -3460,7 +3426,7 @@ filter->require_iascii_numeric=0;
  
  if (parse_white(filter)==-1) return -1;
  
  
  if (parse_white(filter)==-1) return -1;
  
-if (exec && filter->vacation_directory != NULL && filter_test == FTEST_NONE)
+if (exec && filter->vacation_directory && filter_test == FTEST_NONE)
    {
    DIR *oncelogdir;
    struct dirent *oncelog;
    {
    DIR *oncelogdir;
    struct dirent *oncelog;
@@ -3469,27 +3435,24 @@ if (exec && filter->vacation_directory != NULL && filter_test == FTEST_NONE)
  
    /* clean up old vacation log databases */
  
  
    /* clean up old vacation log databases */
  
-  oncelogdir=opendir(CS filter->vacation_directory);
-
-  if (oncelogdir ==(DIR*)0 && errno != ENOENT)
+  if (  !(oncelogdir = exim_opendir(filter->vacation_directory))
+     && errno != ENOENT)
      {
      {
-    filter->errmsg=CUS "unable to open vacation directory";
+    filter->errmsg = CUS "unable to open vacation directory";
      return -1;
      }
  
      return -1;
      }
  
-  if (oncelogdir != NULL)
+  if (oncelogdir)
      {
      time(&now);
  
      {
      time(&now);
  
-    while ((oncelog=readdir(oncelogdir))!=(struct dirent*)0)
-      {
+    while ((oncelog = readdir(oncelogdir)))
        if (strlen(oncelog->d_name)==32)
          {
        if (strlen(oncelog->d_name)==32)
          {
-        uschar *s=string_sprintf("%s/%s",filter->vacation_directory,oncelog->d_name);
-        if (Ustat(s,&properties)==0 && (properties.st_mtime+VACATION_MAX_DAYS*86400)<now)
+        uschar *s = string_sprintf("%s/%s", filter->vacation_directory, oncelog->d_name);
+        if (Ustat(s,&properties) == 0 && properties.st_mtime+VACATION_MAX_DAYS*86400 < now)
            Uunlink(s);
          }
            Uunlink(s);
          }
-      }
      closedir(oncelogdir);
      }
    }
      closedir(oncelogdir);
      }
    }
@@ -3500,7 +3463,7 @@ while (parse_identifier(filter,CUS "require"))
    require-command = "require" <capabilities: string-list>
    */
  
    require-command = "require" <capabilities: string-list>
    */
  
-  struct String *cap,*check;
+  struct String *cap;
    int m;
  
    if (parse_white(filter)==-1) return -1;
    int m;
  
    if (parse_white(filter)==-1) return -1;
@@ -3509,7 +3472,7 @@ while (parse_identifier(filter,CUS "require"))
      if (m==0) filter->errmsg=CUS "capability string list expected";
      return -1;
      }
      if (m==0) filter->errmsg=CUS "capability string list expected";
      return -1;
      }
-  for (check=cap; check->character; ++check)
+  for (struct String * check = cap; check->character; ++check)
      {
      if (eq_octet(check,&str_envelope,0)) filter->require_envelope=1;
      else if (eq_octet(check,&str_fileinto,0)) filter->require_fileinto=1;
      {
      if (eq_octet(check,&str_envelope,0)) filter->require_envelope=1;
      else if (eq_octet(check,&str_fileinto,0)) filter->require_fileinto=1;
@@ -3522,7 +3485,7 @@ while (parse_identifier(filter,CUS "require"))
  #ifdef ENOTIFY
      else if (eq_octet(check,&str_enotify,0))
        {
  #ifdef ENOTIFY
      else if (eq_octet(check,&str_enotify,0))
        {
-      if (filter->enotify_mailto_owner == NULL)
+      if (!filter->enotify_mailto_owner)
          {
          filter->errmsg=CUS "enotify disabled";
          return -1;
          {
          filter->errmsg=CUS "enotify disabled";
          return -1;
@@ -3536,7 +3499,7 @@ while (parse_identifier(filter,CUS "require"))
  #ifdef VACATION
      else if (eq_octet(check,&str_vacation,0))
        {
  #ifdef VACATION
      else if (eq_octet(check,&str_vacation,0))
        {
-      if (filter_test == FTEST_NONE && filter->vacation_directory == NULL)
+      if (filter_test == FTEST_NONE && !filter->vacation_directory)
          {
          filter->errmsg=CUS "vacation disabled";
          return -1;
          {
          filter->errmsg=CUS "vacation disabled";
          return -1;
@@ -3592,69 +3555,58 @@ Returns:      FF_DELIVERED     success, a significant action was taken
  */
  
  int
  */
  
  int
-sieve_interpret(uschar *filter, int options, uschar *vacation_directory,
-  uschar *enotify_mailto_owner, uschar *useraddress, uschar *subaddress,
-  address_item **generated, uschar **error)
+sieve_interpret(const uschar * filter, int options,
+  const uschar * vacation_directory, const uschar * enotify_mailto_owner,
+  const uschar * useraddress, const uschar * subaddress,
+  address_item ** generated, uschar ** error)
  {
  struct Sieve sieve;
  int r;
  {
  struct Sieve sieve;
  int r;
-uschar *msg;
-
-options = options; /* Keep picky compilers happy */
-error = error;
+uschar * msg;
  
  DEBUG(D_route) debug_printf("Sieve: start of processing\n");
  
  DEBUG(D_route) debug_printf("Sieve: start of processing\n");
-sieve.filter=filter;
+sieve.filter = filter;
  
  
-if (vacation_directory == NULL)
+if (!vacation_directory)
    sieve.vacation_directory = NULL;
    sieve.vacation_directory = NULL;
-else
+else if (!(sieve.vacation_directory = expand_cstring(vacation_directory)))
    {
    {
-  sieve.vacation_directory=expand_string(vacation_directory);
-  if (sieve.vacation_directory == NULL)
-    {
-    *error = string_sprintf("failed to expand \"%s\" "
-      "(sieve_vacation_directory): %s", vacation_directory,
-      expand_string_message);
-    return FF_ERROR;
-    }
+  *error = string_sprintf("failed to expand \"%s\" "
+    "(sieve_vacation_directory): %s", vacation_directory,
+    expand_string_message);
+  return FF_ERROR;
    }
  
    }
  
-if (enotify_mailto_owner == NULL)
+if (!enotify_mailto_owner)
    sieve.enotify_mailto_owner = NULL;
    sieve.enotify_mailto_owner = NULL;
-else
+else if (!(sieve.enotify_mailto_owner = expand_cstring(enotify_mailto_owner)))
    {
    {
-  sieve.enotify_mailto_owner=expand_string(enotify_mailto_owner);
-  if (sieve.enotify_mailto_owner == NULL)
-    {
-    *error = string_sprintf("failed to expand \"%s\" "
-      "(sieve_enotify_mailto_owner): %s", enotify_mailto_owner,
-      expand_string_message);
-    return FF_ERROR;
-    }
+  *error = string_sprintf("failed to expand \"%s\" "
+    "(sieve_enotify_mailto_owner): %s", enotify_mailto_owner,
+    expand_string_message);
+  return FF_ERROR;
    }
  
    }
  
-sieve.useraddress = useraddress == NULL ? CUS "$local_part_prefix$local_part$local_part_suffix" : useraddress;
+sieve.useraddress = useraddress
+  ? useraddress : CUS "$local_part_prefix$local_part$local_part_suffix";
  sieve.subaddress = subaddress;
  
  #ifdef COMPILE_SYNTAX_CHECKER
  sieve.subaddress = subaddress;
  
  #ifdef COMPILE_SYNTAX_CHECKER
-if (parse_start(&sieve,0,generated)==1)
+if (parse_start(&sieve, 0, generated) == 1)
  #else
  #else
-if (parse_start(&sieve,1,generated)==1)
+if (parse_start(&sieve, 1, generated) == 1)
  #endif
  #endif
-  {
    if (sieve.keep)
      {
    if (sieve.keep)
      {
-    add_addr(generated,US"inbox",1,0,0,0);
-    msg = string_sprintf("Implicit keep");
+    add_addr(generated, US"inbox", 1, 0, 0, 0);
+    msg = US"Implicit keep";
      r = FF_DELIVERED;
      }
    else
      {
      r = FF_DELIVERED;
      }
    else
      {
-    msg = string_sprintf("No implicit keep");
+    msg = US"No implicit keep";
      r = FF_DELIVERED;
      }
      r = FF_DELIVERED;
      }
-  }
  else
    {
    msg = string_sprintf("Sieve error: %s in line %d",sieve.errmsg,sieve.line);
  else
    {
    msg = string_sprintf("Sieve error: %s in line %d",sieve.errmsg,sieve.line);