3a63a7c7827cfcc2e09186e35533d01b31705189
[users/heiko/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2017 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base32",
203   US"base32d",
204   US"base62",
205   US"base62d",
206   US"base64",
207   US"base64d",
208   US"domain",
209   US"escape",
210   US"escape8bit",
211   US"eval",
212   US"eval10",
213   US"expand",
214   US"h",
215   US"hash",
216   US"hex2b64",
217   US"hexquote",
218   US"ipv6denorm",
219   US"ipv6norm",
220   US"l",
221   US"lc",
222   US"length",
223   US"listcount",
224   US"listnamed",
225   US"mask",
226   US"md5",
227   US"nh",
228   US"nhash",
229   US"quote",
230   US"randint",
231   US"rfc2047",
232   US"rfc2047d",
233   US"rxquote",
234   US"s",
235   US"sha1",
236   US"sha256",
237   US"sha3",
238   US"stat",
239   US"str2b64",
240   US"strlen",
241   US"substr",
242   US"uc",
243   US"utf8clean" };
244
245 enum {
246   EOP_ADDRESS =  nelem(op_table_underscore),
247   EOP_ADDRESSES,
248   EOP_BASE32,
249   EOP_BASE32D,
250   EOP_BASE62,
251   EOP_BASE62D,
252   EOP_BASE64,
253   EOP_BASE64D,
254   EOP_DOMAIN,
255   EOP_ESCAPE,
256   EOP_ESCAPE8BIT,
257   EOP_EVAL,
258   EOP_EVAL10,
259   EOP_EXPAND,
260   EOP_H,
261   EOP_HASH,
262   EOP_HEX2B64,
263   EOP_HEXQUOTE,
264   EOP_IPV6DENORM,
265   EOP_IPV6NORM,
266   EOP_L,
267   EOP_LC,
268   EOP_LENGTH,
269   EOP_LISTCOUNT,
270   EOP_LISTNAMED,
271   EOP_MASK,
272   EOP_MD5,
273   EOP_NH,
274   EOP_NHASH,
275   EOP_QUOTE,
276   EOP_RANDINT,
277   EOP_RFC2047,
278   EOP_RFC2047D,
279   EOP_RXQUOTE,
280   EOP_S,
281   EOP_SHA1,
282   EOP_SHA256,
283   EOP_SHA3,
284   EOP_STAT,
285   EOP_STR2B64,
286   EOP_STRLEN,
287   EOP_SUBSTR,
288   EOP_UC,
289   EOP_UTF8CLEAN };
290
291
292 /* Table of condition names, and corresponding switch numbers. The names must
293 be in alphabetical order. */
294
295 static uschar *cond_table[] = {
296   US"<",
297   US"<=",
298   US"=",
299   US"==",     /* Backward compatibility */
300   US">",
301   US">=",
302   US"acl",
303   US"and",
304   US"bool",
305   US"bool_lax",
306   US"crypteq",
307   US"def",
308   US"eq",
309   US"eqi",
310   US"exists",
311   US"first_delivery",
312   US"forall",
313   US"forany",
314   US"ge",
315   US"gei",
316   US"gt",
317   US"gti",
318   US"inlist",
319   US"inlisti",
320   US"isip",
321   US"isip4",
322   US"isip6",
323   US"ldapauth",
324   US"le",
325   US"lei",
326   US"lt",
327   US"lti",
328   US"match",
329   US"match_address",
330   US"match_domain",
331   US"match_ip",
332   US"match_local_part",
333   US"or",
334   US"pam",
335   US"pwcheck",
336   US"queue_running",
337   US"radius",
338   US"saslauthd"
339 };
340
341 enum {
342   ECOND_NUM_L,
343   ECOND_NUM_LE,
344   ECOND_NUM_E,
345   ECOND_NUM_EE,
346   ECOND_NUM_G,
347   ECOND_NUM_GE,
348   ECOND_ACL,
349   ECOND_AND,
350   ECOND_BOOL,
351   ECOND_BOOL_LAX,
352   ECOND_CRYPTEQ,
353   ECOND_DEF,
354   ECOND_STR_EQ,
355   ECOND_STR_EQI,
356   ECOND_EXISTS,
357   ECOND_FIRST_DELIVERY,
358   ECOND_FORALL,
359   ECOND_FORANY,
360   ECOND_STR_GE,
361   ECOND_STR_GEI,
362   ECOND_STR_GT,
363   ECOND_STR_GTI,
364   ECOND_INLIST,
365   ECOND_INLISTI,
366   ECOND_ISIP,
367   ECOND_ISIP4,
368   ECOND_ISIP6,
369   ECOND_LDAPAUTH,
370   ECOND_STR_LE,
371   ECOND_STR_LEI,
372   ECOND_STR_LT,
373   ECOND_STR_LTI,
374   ECOND_MATCH,
375   ECOND_MATCH_ADDRESS,
376   ECOND_MATCH_DOMAIN,
377   ECOND_MATCH_IP,
378   ECOND_MATCH_LOCAL_PART,
379   ECOND_OR,
380   ECOND_PAM,
381   ECOND_PWCHECK,
382   ECOND_QUEUE_RUNNING,
383   ECOND_RADIUS,
384   ECOND_SASLAUTHD
385 };
386
387
388 /* Types of table entry */
389
390 enum vtypes {
391   vtype_int,            /* value is address of int */
392   vtype_filter_int,     /* ditto, but recognized only when filtering */
393   vtype_ino,            /* value is address of ino_t (not always an int) */
394   vtype_uid,            /* value is address of uid_t (not always an int) */
395   vtype_gid,            /* value is address of gid_t (not always an int) */
396   vtype_bool,           /* value is address of bool */
397   vtype_stringptr,      /* value is address of pointer to string */
398   vtype_msgbody,        /* as stringptr, but read when first required */
399   vtype_msgbody_end,    /* ditto, the end of the message */
400   vtype_msgheaders,     /* the message's headers, processed */
401   vtype_msgheaders_raw, /* the message's headers, unprocessed */
402   vtype_localpart,      /* extract local part from string */
403   vtype_domain,         /* extract domain from string */
404   vtype_string_func,    /* value is string returned by given function */
405   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
406   vtype_tode,           /* value not used; generate tod in epoch format */
407   vtype_todel,          /* value not used; generate tod in epoch/usec format */
408   vtype_todf,           /* value not used; generate full tod */
409   vtype_todl,           /* value not used; generate log tod */
410   vtype_todlf,          /* value not used; generate log file datestamp tod */
411   vtype_todzone,        /* value not used; generate time zone only */
412   vtype_todzulu,        /* value not used; generate zulu tod */
413   vtype_reply,          /* value not used; get reply from headers */
414   vtype_pid,            /* value not used; result is pid */
415   vtype_host_lookup,    /* value not used; get host name */
416   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
417   vtype_pspace,         /* partition space; value is T/F for spool/log */
418   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
419   vtype_cert            /* SSL certificate */
420   #ifndef DISABLE_DKIM
421   ,vtype_dkim           /* Lookup of value in DKIM signature */
422   #endif
423 };
424
425 /* Type for main variable table */
426
427 typedef struct {
428   const char *name;
429   enum vtypes type;
430   void       *value;
431 } var_entry;
432
433 /* Type for entries pointing to address/length pairs. Not currently
434 in use. */
435
436 typedef struct {
437   uschar **address;
438   int  *length;
439 } alblock;
440
441 static uschar * fn_recipients(void);
442
443 /* This table must be kept in alphabetical order. */
444
445 static var_entry var_table[] = {
446   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
447      they will be confused with user-creatable ACL variables. */
448   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
449   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
450   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
451   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
452   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
453   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
454   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
455   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
456   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
457   { "acl_narg",            vtype_int,         &acl_narg },
458   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
459   { "address_data",        vtype_stringptr,   &deliver_address_data },
460   { "address_file",        vtype_stringptr,   &address_file },
461   { "address_pipe",        vtype_stringptr,   &address_pipe },
462   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
463   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
464   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
465   { "authentication_failed",vtype_int,        &authentication_failed },
466 #ifdef WITH_CONTENT_SCAN
467   { "av_failed",           vtype_int,         &av_failed },
468 #endif
469 #ifdef EXPERIMENTAL_BRIGHTMAIL
470   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
471   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
472   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
473   { "bmi_deliver",         vtype_int,         &bmi_deliver },
474 #endif
475   { "body_linecount",      vtype_int,         &body_linecount },
476   { "body_zerocount",      vtype_int,         &body_zerocount },
477   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
478   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
479   { "caller_gid",          vtype_gid,         &real_gid },
480   { "caller_uid",          vtype_uid,         &real_uid },
481   { "callout_address",     vtype_stringptr,   &callout_address },
482   { "compile_date",        vtype_stringptr,   &version_date },
483   { "compile_number",      vtype_stringptr,   &version_cnumber },
484   { "config_dir",          vtype_stringptr,   &config_main_directory },
485   { "config_file",         vtype_stringptr,   &config_main_filename },
486   { "csa_status",          vtype_stringptr,   &csa_status },
487 #ifdef EXPERIMENTAL_DCC
488   { "dcc_header",          vtype_stringptr,   &dcc_header },
489   { "dcc_result",          vtype_stringptr,   &dcc_result },
490 #endif
491 #ifndef DISABLE_DKIM
492   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
493   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
494   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
495   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
496   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
497   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
498   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
499   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
500   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
501   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
502   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
503   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
504   { "dkim_key_length",     vtype_int,         &dkim_key_length },
505   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
506   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
507   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
508   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
509   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
510   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
511   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
512   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
513 #endif
514 #ifdef EXPERIMENTAL_DMARC
515   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
516   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
517   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
518   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
519   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
520 #endif
521   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
522   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
523   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
524   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
525   { "domain",              vtype_stringptr,   &deliver_domain },
526   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
527 #ifndef DISABLE_EVENT
528   { "event_data",          vtype_stringptr,   &event_data },
529
530   /*XXX want to use generic vars for as many of these as possible*/
531   { "event_defer_errno",   vtype_int,         &event_defer_errno },
532
533   { "event_name",          vtype_stringptr,   &event_name },
534 #endif
535   { "exim_gid",            vtype_gid,         &exim_gid },
536   { "exim_path",           vtype_stringptr,   &exim_path },
537   { "exim_uid",            vtype_uid,         &exim_uid },
538   { "exim_version",        vtype_stringptr,   &version_string },
539   { "headers_added",       vtype_string_func, &fn_hdrs_added },
540   { "home",                vtype_stringptr,   &deliver_home },
541   { "host",                vtype_stringptr,   &deliver_host },
542   { "host_address",        vtype_stringptr,   &deliver_host_address },
543   { "host_data",           vtype_stringptr,   &host_data },
544   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
545   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
546   { "host_port",           vtype_int,         &deliver_host_port },
547   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
548   { "inode",               vtype_ino,         &deliver_inode },
549   { "interface_address",   vtype_stringptr,   &interface_address },
550   { "interface_port",      vtype_int,         &interface_port },
551   { "item",                vtype_stringptr,   &iterate_item },
552   #ifdef LOOKUP_LDAP
553   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
554   #endif
555   { "load_average",        vtype_load_avg,    NULL },
556   { "local_part",          vtype_stringptr,   &deliver_localpart },
557   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
558   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
559   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
560   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
561   { "local_user_gid",      vtype_gid,         &local_user_gid },
562   { "local_user_uid",      vtype_uid,         &local_user_uid },
563   { "localhost_number",    vtype_int,         &host_number },
564   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
565   { "log_space",           vtype_pspace,      (void *)FALSE },
566   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
567   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
568 #ifdef WITH_CONTENT_SCAN
569   { "malware_name",        vtype_stringptr,   &malware_name },
570 #endif
571   { "max_received_linelength", vtype_int,     &max_received_linelength },
572   { "message_age",         vtype_int,         &message_age },
573   { "message_body",        vtype_msgbody,     &message_body },
574   { "message_body_end",    vtype_msgbody_end, &message_body_end },
575   { "message_body_size",   vtype_int,         &message_body_size },
576   { "message_exim_id",     vtype_stringptr,   &message_id },
577   { "message_headers",     vtype_msgheaders,  NULL },
578   { "message_headers_raw", vtype_msgheaders_raw, NULL },
579   { "message_id",          vtype_stringptr,   &message_id },
580   { "message_linecount",   vtype_int,         &message_linecount },
581   { "message_size",        vtype_int,         &message_size },
582 #ifdef SUPPORT_I18N
583   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
584 #endif
585 #ifdef WITH_CONTENT_SCAN
586   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
587   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
588   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
589   { "mime_charset",        vtype_stringptr,   &mime_charset },
590   { "mime_content_description", vtype_stringptr, &mime_content_description },
591   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
592   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
593   { "mime_content_size",   vtype_int,         &mime_content_size },
594   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
595   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
596   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
597   { "mime_filename",       vtype_stringptr,   &mime_filename },
598   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
599   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
600   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
601   { "mime_part_count",     vtype_int,         &mime_part_count },
602 #endif
603   { "n0",                  vtype_filter_int,  &filter_n[0] },
604   { "n1",                  vtype_filter_int,  &filter_n[1] },
605   { "n2",                  vtype_filter_int,  &filter_n[2] },
606   { "n3",                  vtype_filter_int,  &filter_n[3] },
607   { "n4",                  vtype_filter_int,  &filter_n[4] },
608   { "n5",                  vtype_filter_int,  &filter_n[5] },
609   { "n6",                  vtype_filter_int,  &filter_n[6] },
610   { "n7",                  vtype_filter_int,  &filter_n[7] },
611   { "n8",                  vtype_filter_int,  &filter_n[8] },
612   { "n9",                  vtype_filter_int,  &filter_n[9] },
613   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
614   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
615   { "originator_gid",      vtype_gid,         &originator_gid },
616   { "originator_uid",      vtype_uid,         &originator_uid },
617   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
618   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
619   { "pid",                 vtype_pid,         NULL },
620 #ifndef DISABLE_PRDR
621   { "prdr_requested",      vtype_bool,        &prdr_requested },
622 #endif
623   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
624 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
625   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
626   { "proxy_external_port", vtype_int,         &proxy_external_port },
627   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
628   { "proxy_local_port",    vtype_int,         &proxy_local_port },
629   { "proxy_session",       vtype_bool,        &proxy_session },
630 #endif
631   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
632   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
633   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
634   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
635   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
636   { "queue_name",          vtype_stringptr,   &queue_name },
637   { "rcpt_count",          vtype_int,         &rcpt_count },
638   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
639   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
640   { "received_count",      vtype_int,         &received_count },
641   { "received_for",        vtype_stringptr,   &received_for },
642   { "received_ip_address", vtype_stringptr,   &interface_address },
643   { "received_port",       vtype_int,         &interface_port },
644   { "received_protocol",   vtype_stringptr,   &received_protocol },
645   { "received_time",       vtype_int,         &received_time.tv_sec },
646   { "recipient_data",      vtype_stringptr,   &recipient_data },
647   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
648   { "recipients",          vtype_string_func, &fn_recipients },
649   { "recipients_count",    vtype_int,         &recipients_count },
650 #ifdef WITH_CONTENT_SCAN
651   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
652 #endif
653   { "reply_address",       vtype_reply,       NULL },
654   { "return_path",         vtype_stringptr,   &return_path },
655   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
656   { "router_name",         vtype_stringptr,   &router_name },
657   { "runrc",               vtype_int,         &runrc },
658   { "self_hostname",       vtype_stringptr,   &self_hostname },
659   { "sender_address",      vtype_stringptr,   &sender_address },
660   { "sender_address_data", vtype_stringptr,   &sender_address_data },
661   { "sender_address_domain", vtype_domain,    &sender_address },
662   { "sender_address_local_part", vtype_localpart, &sender_address },
663   { "sender_data",         vtype_stringptr,   &sender_data },
664   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
665   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
666   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
667   { "sender_host_address", vtype_stringptr,   &sender_host_address },
668   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
669   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
670   { "sender_host_name",    vtype_host_lookup, NULL },
671   { "sender_host_port",    vtype_int,         &sender_host_port },
672   { "sender_ident",        vtype_stringptr,   &sender_ident },
673   { "sender_rate",         vtype_stringptr,   &sender_rate },
674   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
675   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
676   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
677   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
678   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
679   { "sending_port",        vtype_int,         &sending_port },
680   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
681   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
682   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
683   { "smtp_command_history", vtype_string_func, &smtp_cmd_hist },
684   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
685   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
686   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
687   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
688   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
689   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
690   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
691   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
692   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
693   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
694   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
695   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
696 #ifdef WITH_CONTENT_SCAN
697   { "spam_action",         vtype_stringptr,   &spam_action },
698   { "spam_bar",            vtype_stringptr,   &spam_bar },
699   { "spam_report",         vtype_stringptr,   &spam_report },
700   { "spam_score",          vtype_stringptr,   &spam_score },
701   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
702 #endif
703 #ifdef EXPERIMENTAL_SPF
704   { "spf_guess",           vtype_stringptr,   &spf_guess },
705   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
706   { "spf_received",        vtype_stringptr,   &spf_received },
707   { "spf_result",          vtype_stringptr,   &spf_result },
708   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
709 #endif
710   { "spool_directory",     vtype_stringptr,   &spool_directory },
711   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
712   { "spool_space",         vtype_pspace,      (void *)TRUE },
713 #ifdef EXPERIMENTAL_SRS
714   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
715   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
716   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
717   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
718   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
719   { "srs_status",          vtype_stringptr,   &srs_status },
720 #endif
721   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
722
723   /* The non-(in,out) variables are now deprecated */
724   { "tls_bits",            vtype_int,         &tls_in.bits },
725   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
726   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
727
728   { "tls_in_bits",         vtype_int,         &tls_in.bits },
729   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
730   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
731   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
732   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
733   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
734   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
735 #if defined(SUPPORT_TLS)
736   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
737 #endif
738   { "tls_out_bits",        vtype_int,         &tls_out.bits },
739   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
740   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
741 #ifdef EXPERIMENTAL_DANE
742   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
743 #endif
744   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
745   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
746   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
747   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
748 #if defined(SUPPORT_TLS)
749   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
750 #endif
751 #ifdef EXPERIMENTAL_DANE
752   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
753 #endif
754
755   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
756 #if defined(SUPPORT_TLS)
757   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
758 #endif
759
760   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
761   { "tod_epoch",           vtype_tode,        NULL },
762   { "tod_epoch_l",         vtype_todel,       NULL },
763   { "tod_full",            vtype_todf,        NULL },
764   { "tod_log",             vtype_todl,        NULL },
765   { "tod_logfile",         vtype_todlf,       NULL },
766   { "tod_zone",            vtype_todzone,     NULL },
767   { "tod_zulu",            vtype_todzulu,     NULL },
768   { "transport_name",      vtype_stringptr,   &transport_name },
769   { "value",               vtype_stringptr,   &lookup_value },
770   { "verify_mode",         vtype_stringptr,   &verify_mode },
771   { "version_number",      vtype_stringptr,   &version_string },
772   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
773   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
774   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
775   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
776   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
777   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
778 };
779
780 static int var_table_size = nelem(var_table);
781 static uschar var_buffer[256];
782 static BOOL malformed_header;
783
784 /* For textual hashes */
785
786 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
787                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
788                                "0123456789";
789
790 enum { HMAC_MD5, HMAC_SHA1 };
791
792 /* For numeric hashes */
793
794 static unsigned int prime[] = {
795   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
796  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
797  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
798
799 /* For printing modes in symbolic form */
800
801 static uschar *mtable_normal[] =
802   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
803
804 static uschar *mtable_setid[] =
805   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
806
807 static uschar *mtable_sticky[] =
808   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
809
810
811
812 /*************************************************
813 *           Tables for UTF-8 support             *
814 *************************************************/
815
816 /* Table of the number of extra characters, indexed by the first character
817 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
818 0x3d. */
819
820 static uschar utf8_table1[] = {
821   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
822   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
823   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
824   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
825
826 /* These are the masks for the data bits in the first byte of a character,
827 indexed by the number of additional bytes. */
828
829 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
830
831 /* Get the next UTF-8 character, advancing the pointer. */
832
833 #define GETUTF8INC(c, ptr) \
834   c = *ptr++; \
835   if ((c & 0xc0) == 0xc0) \
836     { \
837     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
838     int s = 6*a; \
839     c = (c & utf8_table2[a]) << s; \
840     while (a-- > 0) \
841       { \
842       s -= 6; \
843       c |= (*ptr++ & 0x3f) << s; \
844       } \
845     }
846
847
848
849 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
850
851 /*************************************************
852 *           Binary chop search on a table        *
853 *************************************************/
854
855 /* This is used for matching expansion items and operators.
856
857 Arguments:
858   name        the name that is being sought
859   table       the table to search
860   table_size  the number of items in the table
861
862 Returns:      the offset in the table, or -1
863 */
864
865 static int
866 chop_match(uschar *name, uschar **table, int table_size)
867 {
868 uschar **bot = table;
869 uschar **top = table + table_size;
870
871 while (top > bot)
872   {
873   uschar **mid = bot + (top - bot)/2;
874   int c = Ustrcmp(name, *mid);
875   if (c == 0) return mid - table;
876   if (c > 0) bot = mid + 1; else top = mid;
877   }
878
879 return -1;
880 }
881
882
883
884 /*************************************************
885 *          Check a condition string              *
886 *************************************************/
887
888 /* This function is called to expand a string, and test the result for a "true"
889 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
890 forced fail or lookup defer.
891
892 We used to release all store used, but this is not not safe due
893 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
894 is reasonably careful to release what it can.
895
896 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
897
898 Arguments:
899   condition     the condition string
900   m1            text to be incorporated in panic error
901   m2            ditto
902
903 Returns:        TRUE if condition is met, FALSE if not
904 */
905
906 BOOL
907 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
908 {
909 int rc;
910 uschar *ss = expand_string(condition);
911 if (ss == NULL)
912   {
913   if (!expand_string_forcedfail && !search_find_defer)
914     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
915       "for %s %s: %s", condition, m1, m2, expand_string_message);
916   return FALSE;
917   }
918 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
919   strcmpic(ss, US"false") != 0;
920 return rc;
921 }
922
923
924
925
926 /*************************************************
927 *        Pseudo-random number generation         *
928 *************************************************/
929
930 /* Pseudo-random number generation.  The result is not "expected" to be
931 cryptographically strong but not so weak that someone will shoot themselves
932 in the foot using it as a nonce in some email header scheme or whatever
933 weirdness they'll twist this into.  The result should ideally handle fork().
934
935 However, if we're stuck unable to provide this, then we'll fall back to
936 appallingly bad randomness.
937
938 If SUPPORT_TLS is defined then this will not be used except as an emergency
939 fallback.
940
941 Arguments:
942   max       range maximum
943 Returns     a random number in range [0, max-1]
944 */
945
946 #ifdef SUPPORT_TLS
947 # define vaguely_random_number vaguely_random_number_fallback
948 #endif
949 int
950 vaguely_random_number(int max)
951 {
952 #ifdef SUPPORT_TLS
953 # undef vaguely_random_number
954 #endif
955   static pid_t pid = 0;
956   pid_t p2;
957 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
958   struct timeval tv;
959 #endif
960
961   p2 = getpid();
962   if (p2 != pid)
963     {
964     if (pid != 0)
965       {
966
967 #ifdef HAVE_ARC4RANDOM
968       /* cryptographically strong randomness, common on *BSD platforms, not
969       so much elsewhere.  Alas. */
970 #ifndef NOT_HAVE_ARC4RANDOM_STIR
971       arc4random_stir();
972 #endif
973 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
974 #ifdef HAVE_SRANDOMDEV
975       /* uses random(4) for seeding */
976       srandomdev();
977 #else
978       gettimeofday(&tv, NULL);
979       srandom(tv.tv_sec | tv.tv_usec | getpid());
980 #endif
981 #else
982       /* Poor randomness and no seeding here */
983 #endif
984
985       }
986     pid = p2;
987     }
988
989 #ifdef HAVE_ARC4RANDOM
990   return arc4random() % max;
991 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
992   return random() % max;
993 #else
994   /* This one returns a 16-bit number, definitely not crypto-strong */
995   return random_number(max);
996 #endif
997 }
998
999
1000
1001
1002 /*************************************************
1003 *             Pick out a name from a string      *
1004 *************************************************/
1005
1006 /* If the name is too long, it is silently truncated.
1007
1008 Arguments:
1009   name      points to a buffer into which to put the name
1010   max       is the length of the buffer
1011   s         points to the first alphabetic character of the name
1012   extras    chars other than alphanumerics to permit
1013
1014 Returns:    pointer to the first character after the name
1015
1016 Note: The test for *s != 0 in the while loop is necessary because
1017 Ustrchr() yields non-NULL if the character is zero (which is not something
1018 I expected). */
1019
1020 static const uschar *
1021 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1022 {
1023 int ptr = 0;
1024 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1025   {
1026   if (ptr < max-1) name[ptr++] = *s;
1027   s++;
1028   }
1029 name[ptr] = 0;
1030 return s;
1031 }
1032
1033
1034
1035 /*************************************************
1036 *     Pick out the rest of a header name         *
1037 *************************************************/
1038
1039 /* A variable name starting $header_ (or just $h_ for those who like
1040 abbreviations) might not be the complete header name because headers can
1041 contain any printing characters in their names, except ':'. This function is
1042 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1043 on the end, if the name was terminated by white space.
1044
1045 Arguments:
1046   name      points to a buffer in which the name read so far exists
1047   max       is the length of the buffer
1048   s         points to the first character after the name so far, i.e. the
1049             first non-alphameric character after $header_xxxxx
1050
1051 Returns:    a pointer to the first character after the header name
1052 */
1053
1054 static const uschar *
1055 read_header_name(uschar *name, int max, const uschar *s)
1056 {
1057 int prelen = Ustrchr(name, '_') - name + 1;
1058 int ptr = Ustrlen(name) - prelen;
1059 if (ptr > 0) memmove(name, name+prelen, ptr);
1060 while (mac_isgraph(*s) && *s != ':')
1061   {
1062   if (ptr < max-1) name[ptr++] = *s;
1063   s++;
1064   }
1065 if (*s == ':') s++;
1066 name[ptr++] = ':';
1067 name[ptr] = 0;
1068 return s;
1069 }
1070
1071
1072
1073 /*************************************************
1074 *           Pick out a number from a string      *
1075 *************************************************/
1076
1077 /* Arguments:
1078   n     points to an integer into which to put the number
1079   s     points to the first digit of the number
1080
1081 Returns:  a pointer to the character after the last digit
1082 */
1083 /*XXX consider expanding to int_eximarith_t.  But the test for
1084 "overbig numbers" in 0002 still needs to overflow it. */
1085
1086 static uschar *
1087 read_number(int *n, uschar *s)
1088 {
1089 *n = 0;
1090 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1091 return s;
1092 }
1093
1094 static const uschar *
1095 read_cnumber(int *n, const uschar *s)
1096 {
1097 *n = 0;
1098 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1099 return s;
1100 }
1101
1102
1103
1104 /*************************************************
1105 *        Extract keyed subfield from a string    *
1106 *************************************************/
1107
1108 /* The yield is in dynamic store; NULL means that the key was not found.
1109
1110 Arguments:
1111   key       points to the name of the key
1112   s         points to the string from which to extract the subfield
1113
1114 Returns:    NULL if the subfield was not found, or
1115             a pointer to the subfield's data
1116 */
1117
1118 static uschar *
1119 expand_getkeyed(uschar *key, const uschar *s)
1120 {
1121 int length = Ustrlen(key);
1122 while (isspace(*s)) s++;
1123
1124 /* Loop to search for the key */
1125
1126 while (*s != 0)
1127   {
1128   int dkeylength;
1129   uschar *data;
1130   const uschar *dkey = s;
1131
1132   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1133   dkeylength = s - dkey;
1134   while (isspace(*s)) s++;
1135   if (*s == '=') while (isspace((*(++s))));
1136
1137   data = string_dequote(&s);
1138   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1139     return data;
1140
1141   while (isspace(*s)) s++;
1142   }
1143
1144 return NULL;
1145 }
1146
1147
1148
1149 static var_entry *
1150 find_var_ent(uschar * name)
1151 {
1152 int first = 0;
1153 int last = var_table_size;
1154
1155 while (last > first)
1156   {
1157   int middle = (first + last)/2;
1158   int c = Ustrcmp(name, var_table[middle].name);
1159
1160   if (c > 0) { first = middle + 1; continue; }
1161   if (c < 0) { last = middle; continue; }
1162   return &var_table[middle];
1163   }
1164 return NULL;
1165 }
1166
1167 /*************************************************
1168 *   Extract numbered subfield from string        *
1169 *************************************************/
1170
1171 /* Extracts a numbered field from a string that is divided by tokens - for
1172 example a line from /etc/passwd is divided by colon characters.  First field is
1173 numbered one.  Negative arguments count from the right. Zero returns the whole
1174 string. Returns NULL if there are insufficient tokens in the string
1175
1176 ***WARNING***
1177 Modifies final argument - this is a dynamically generated string, so that's OK.
1178
1179 Arguments:
1180   field       number of field to be extracted,
1181                 first field = 1, whole string = 0, last field = -1
1182   separators  characters that are used to break string into tokens
1183   s           points to the string from which to extract the subfield
1184
1185 Returns:      NULL if the field was not found,
1186               a pointer to the field's data inside s (modified to add 0)
1187 */
1188
1189 static uschar *
1190 expand_gettokened (int field, uschar *separators, uschar *s)
1191 {
1192 int sep = 1;
1193 int count;
1194 uschar *ss = s;
1195 uschar *fieldtext = NULL;
1196
1197 if (field == 0) return s;
1198
1199 /* Break the line up into fields in place; for field > 0 we stop when we have
1200 done the number of fields we want. For field < 0 we continue till the end of
1201 the string, counting the number of fields. */
1202
1203 count = (field > 0)? field : INT_MAX;
1204
1205 while (count-- > 0)
1206   {
1207   size_t len;
1208
1209   /* Previous field was the last one in the string. For a positive field
1210   number, this means there are not enough fields. For a negative field number,
1211   check that there are enough, and scan back to find the one that is wanted. */
1212
1213   if (sep == 0)
1214     {
1215     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1216     if ((-field) == (INT_MAX - count - 1)) return s;
1217     while (field++ < 0)
1218       {
1219       ss--;
1220       while (ss[-1] != 0) ss--;
1221       }
1222     fieldtext = ss;
1223     break;
1224     }
1225
1226   /* Previous field was not last in the string; save its start and put a
1227   zero at its end. */
1228
1229   fieldtext = ss;
1230   len = Ustrcspn(ss, separators);
1231   sep = ss[len];
1232   ss[len] = 0;
1233   ss += len + 1;
1234   }
1235
1236 return fieldtext;
1237 }
1238
1239
1240 static uschar *
1241 expand_getlistele(int field, const uschar * list)
1242 {
1243 const uschar * tlist= list;
1244 int sep= 0;
1245 uschar dummy;
1246
1247 if(field<0)
1248   {
1249   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1250   sep= 0;
1251   }
1252 if(field==0) return NULL;
1253 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1254 return string_nextinlist(&list, &sep, NULL, 0);
1255 }
1256
1257
1258 /* Certificate fields, by name.  Worry about by-OID later */
1259 /* Names are chosen to not have common prefixes */
1260
1261 #ifdef SUPPORT_TLS
1262 typedef struct
1263 {
1264 uschar * name;
1265 int      namelen;
1266 uschar * (*getfn)(void * cert, uschar * mod);
1267 } certfield;
1268 static certfield certfields[] =
1269 {                       /* linear search; no special order */
1270   { US"version",         7,  &tls_cert_version },
1271   { US"serial_number",   13, &tls_cert_serial_number },
1272   { US"subject",         7,  &tls_cert_subject },
1273   { US"notbefore",       9,  &tls_cert_not_before },
1274   { US"notafter",        8,  &tls_cert_not_after },
1275   { US"issuer",          6,  &tls_cert_issuer },
1276   { US"signature",       9,  &tls_cert_signature },
1277   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1278   { US"subj_altname",    12, &tls_cert_subject_altname },
1279   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1280   { US"crl_uri",         7,  &tls_cert_crl_uri },
1281 };
1282
1283 static uschar *
1284 expand_getcertele(uschar * field, uschar * certvar)
1285 {
1286 var_entry * vp;
1287 certfield * cp;
1288
1289 if (!(vp = find_var_ent(certvar)))
1290   {
1291   expand_string_message =
1292     string_sprintf("no variable named \"%s\"", certvar);
1293   return NULL;          /* Unknown variable name */
1294   }
1295 /* NB this stops us passing certs around in variable.  Might
1296 want to do that in future */
1297 if (vp->type != vtype_cert)
1298   {
1299   expand_string_message =
1300     string_sprintf("\"%s\" is not a certificate", certvar);
1301   return NULL;          /* Unknown variable name */
1302   }
1303 if (!*(void **)vp->value)
1304   return NULL;
1305
1306 if (*field >= '0' && *field <= '9')
1307   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1308
1309 for(cp = certfields;
1310     cp < certfields + nelem(certfields);
1311     cp++)
1312   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1313     {
1314     uschar * modifier = *(field += cp->namelen) == ','
1315       ? ++field : NULL;
1316     return (*cp->getfn)( *(void **)vp->value, modifier );
1317     }
1318
1319 expand_string_message =
1320   string_sprintf("bad field selector \"%s\" for certextract", field);
1321 return NULL;
1322 }
1323 #endif  /*SUPPORT_TLS*/
1324
1325 /*************************************************
1326 *        Extract a substring from a string       *
1327 *************************************************/
1328
1329 /* Perform the ${substr or ${length expansion operations.
1330
1331 Arguments:
1332   subject     the input string
1333   value1      the offset from the start of the input string to the start of
1334                 the output string; if negative, count from the right.
1335   value2      the length of the output string, or negative (-1) for unset
1336                 if value1 is positive, unset means "all after"
1337                 if value1 is negative, unset means "all before"
1338   len         set to the length of the returned string
1339
1340 Returns:      pointer to the output string, or NULL if there is an error
1341 */
1342
1343 static uschar *
1344 extract_substr(uschar *subject, int value1, int value2, int *len)
1345 {
1346 int sublen = Ustrlen(subject);
1347
1348 if (value1 < 0)    /* count from right */
1349   {
1350   value1 += sublen;
1351
1352   /* If the position is before the start, skip to the start, and adjust the
1353   length. If the length ends up negative, the substring is null because nothing
1354   can precede. This falls out naturally when the length is unset, meaning "all
1355   to the left". */
1356
1357   if (value1 < 0)
1358     {
1359     value2 += value1;
1360     if (value2 < 0) value2 = 0;
1361     value1 = 0;
1362     }
1363
1364   /* Otherwise an unset length => characters before value1 */
1365
1366   else if (value2 < 0)
1367     {
1368     value2 = value1;
1369     value1 = 0;
1370     }
1371   }
1372
1373 /* For a non-negative offset, if the starting position is past the end of the
1374 string, the result will be the null string. Otherwise, an unset length means
1375 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1376
1377 else
1378   {
1379   if (value1 > sublen)
1380     {
1381     value1 = sublen;
1382     value2 = 0;
1383     }
1384   else if (value2 < 0) value2 = sublen;
1385   }
1386
1387 /* Cut the length down to the maximum possible for the offset value, and get
1388 the required characters. */
1389
1390 if (value1 + value2 > sublen) value2 = sublen - value1;
1391 *len = value2;
1392 return subject + value1;
1393 }
1394
1395
1396
1397
1398 /*************************************************
1399 *            Old-style hash of a string          *
1400 *************************************************/
1401
1402 /* Perform the ${hash expansion operation.
1403
1404 Arguments:
1405   subject     the input string (an expanded substring)
1406   value1      the length of the output string; if greater or equal to the
1407                 length of the input string, the input string is returned
1408   value2      the number of hash characters to use, or 26 if negative
1409   len         set to the length of the returned string
1410
1411 Returns:      pointer to the output string, or NULL if there is an error
1412 */
1413
1414 static uschar *
1415 compute_hash(uschar *subject, int value1, int value2, int *len)
1416 {
1417 int sublen = Ustrlen(subject);
1418
1419 if (value2 < 0) value2 = 26;
1420 else if (value2 > Ustrlen(hashcodes))
1421   {
1422   expand_string_message =
1423     string_sprintf("hash count \"%d\" too big", value2);
1424   return NULL;
1425   }
1426
1427 /* Calculate the hash text. We know it is shorter than the original string, so
1428 can safely place it in subject[] (we know that subject is always itself an
1429 expanded substring). */
1430
1431 if (value1 < sublen)
1432   {
1433   int c;
1434   int i = 0;
1435   int j = value1;
1436   while ((c = (subject[j])) != 0)
1437     {
1438     int shift = (c + j++) & 7;
1439     subject[i] ^= (c << shift) | (c >> (8-shift));
1440     if (++i >= value1) i = 0;
1441     }
1442   for (i = 0; i < value1; i++)
1443     subject[i] = hashcodes[(subject[i]) % value2];
1444   }
1445 else value1 = sublen;
1446
1447 *len = value1;
1448 return subject;
1449 }
1450
1451
1452
1453
1454 /*************************************************
1455 *             Numeric hash of a string           *
1456 *************************************************/
1457
1458 /* Perform the ${nhash expansion operation. The first characters of the
1459 string are treated as most important, and get the highest prime numbers.
1460
1461 Arguments:
1462   subject     the input string
1463   value1      the maximum value of the first part of the result
1464   value2      the maximum value of the second part of the result,
1465                 or negative to produce only a one-part result
1466   len         set to the length of the returned string
1467
1468 Returns:  pointer to the output string, or NULL if there is an error.
1469 */
1470
1471 static uschar *
1472 compute_nhash (uschar *subject, int value1, int value2, int *len)
1473 {
1474 uschar *s = subject;
1475 int i = 0;
1476 unsigned long int total = 0; /* no overflow */
1477
1478 while (*s != 0)
1479   {
1480   if (i == 0) i = nelem(prime) - 1;
1481   total += prime[i--] * (unsigned int)(*s++);
1482   }
1483
1484 /* If value2 is unset, just compute one number */
1485
1486 if (value2 < 0)
1487   s = string_sprintf("%lu", total % value1);
1488
1489 /* Otherwise do a div/mod hash */
1490
1491 else
1492   {
1493   total = total % (value1 * value2);
1494   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1495   }
1496
1497 *len = Ustrlen(s);
1498 return s;
1499 }
1500
1501
1502
1503
1504
1505 /*************************************************
1506 *     Find the value of a header or headers      *
1507 *************************************************/
1508
1509 /* Multiple instances of the same header get concatenated, and this function
1510 can also return a concatenation of all the header lines. When concatenating
1511 specific headers that contain lists of addresses, a comma is inserted between
1512 them. Otherwise we use a straight concatenation. Because some messages can have
1513 pathologically large number of lines, there is a limit on the length that is
1514 returned. Also, to avoid massive store use which would result from using
1515 string_cat() as it copies and extends strings, we do a preliminary pass to find
1516 out exactly how much store will be needed. On "normal" messages this will be
1517 pretty trivial.
1518
1519 Arguments:
1520   name          the name of the header, without the leading $header_ or $h_,
1521                 or NULL if a concatenation of all headers is required
1522   exists_only   TRUE if called from a def: test; don't need to build a string;
1523                 just return a string that is not "" and not "0" if the header
1524                 exists
1525   newsize       return the size of memory block that was obtained; may be NULL
1526                 if exists_only is TRUE
1527   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1528                 other than concatenating, will be done on the header. Also used
1529                 for $message_headers_raw.
1530   charset       name of charset to translate MIME words to; used only if
1531                 want_raw is false; if NULL, no translation is done (this is
1532                 used for $bh_ and $bheader_)
1533
1534 Returns:        NULL if the header does not exist, else a pointer to a new
1535                 store block
1536 */
1537
1538 static uschar *
1539 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1540   uschar *charset)
1541 {
1542 BOOL found = name == NULL;
1543 int comma = 0;
1544 int len = found? 0 : Ustrlen(name);
1545 int i;
1546 uschar *yield = NULL;
1547 uschar *ptr = NULL;
1548
1549 /* Loop for two passes - saves code repetition */
1550
1551 for (i = 0; i < 2; i++)
1552   {
1553   int size = 0;
1554   header_line *h;
1555
1556   for (h = header_list; size < header_insert_maxlen && h; h = h->next)
1557     if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1558       if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1559         {
1560         int ilen;
1561         uschar *t;
1562
1563         if (exists_only) return US"1";      /* don't need actual string */
1564         found = TRUE;
1565         t = h->text + len;                  /* text to insert */
1566         if (!want_raw)                      /* unless wanted raw, */
1567           while (isspace(*t)) t++;          /* remove leading white space */
1568         ilen = h->slen - (t - h->text);     /* length to insert */
1569
1570         /* Unless wanted raw, remove trailing whitespace, including the
1571         newline. */
1572
1573         if (!want_raw)
1574           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1575
1576         /* Set comma = 1 if handling a single header and it's one of those
1577         that contains an address list, except when asked for raw headers. Only
1578         need to do this once. */
1579
1580         if (!want_raw && name && comma == 0 &&
1581             Ustrchr("BCFRST", h->type) != NULL)
1582           comma = 1;
1583
1584         /* First pass - compute total store needed; second pass - compute
1585         total store used, including this header. */
1586
1587         size += ilen + comma + 1;  /* +1 for the newline */
1588
1589         /* Second pass - concatenate the data, up to a maximum. Note that
1590         the loop stops when size hits the limit. */
1591
1592         if (i != 0)
1593           {
1594           if (size > header_insert_maxlen)
1595             {
1596             ilen -= size - header_insert_maxlen - 1;
1597             comma = 0;
1598             }
1599           Ustrncpy(ptr, t, ilen);
1600           ptr += ilen;
1601
1602           /* For a non-raw header, put in the comma if needed, then add
1603           back the newline we removed above, provided there was some text in
1604           the header. */
1605
1606           if (!want_raw && ilen > 0)
1607             {
1608             if (comma != 0) *ptr++ = ',';
1609             *ptr++ = '\n';
1610             }
1611           }
1612         }
1613
1614   /* At end of first pass, return NULL if no header found. Then truncate size
1615   if necessary, and get the buffer to hold the data, returning the buffer size.
1616   */
1617
1618   if (i == 0)
1619     {
1620     if (!found) return NULL;
1621     if (size > header_insert_maxlen) size = header_insert_maxlen;
1622     *newsize = size + 1;
1623     ptr = yield = store_get(*newsize);
1624     }
1625   }
1626
1627 /* That's all we do for raw header expansion. */
1628
1629 if (want_raw)
1630   *ptr = 0;
1631
1632 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1633 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1634 function can return an error with decoded data if the charset translation
1635 fails. If decoding fails, it returns NULL. */
1636
1637 else
1638   {
1639   uschar *decoded, *error;
1640   if (ptr > yield && ptr[-1] == '\n') ptr--;
1641   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1642   *ptr = 0;
1643   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1644     newsize, &error);
1645   if (error != NULL)
1646     {
1647     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1648       "    input was: %s\n", error, yield);
1649     }
1650   if (decoded != NULL) yield = decoded;
1651   }
1652
1653 return yield;
1654 }
1655
1656
1657
1658
1659 /*************************************************
1660 *               Return list of recipients        *
1661 *************************************************/
1662 /* A recipients list is available only during system message filtering,
1663 during ACL processing after DATA, and while expanding pipe commands
1664 generated from a system filter, but not elsewhere. */
1665
1666 static uschar *
1667 fn_recipients(void)
1668 {
1669 gstring * g = NULL;
1670 int i;
1671
1672 if (!enable_dollar_recipients) return NULL;
1673
1674 for (i = 0; i < recipients_count; i++)
1675   {
1676   /*XXX variant of list_appendele? */
1677   if (i != 0) g = string_catn(g, US", ", 2);
1678   g = string_cat(g, recipients_list[i].address);
1679   }
1680 return string_from_gstring(g);
1681 }
1682
1683
1684 /*************************************************
1685 *               Find value of a variable         *
1686 *************************************************/
1687
1688 /* The table of variables is kept in alphabetic order, so we can search it
1689 using a binary chop. The "choplen" variable is nothing to do with the binary
1690 chop.
1691
1692 Arguments:
1693   name          the name of the variable being sought
1694   exists_only   TRUE if this is a def: test; passed on to find_header()
1695   skipping      TRUE => skip any processing evaluation; this is not the same as
1696                   exists_only because def: may test for values that are first
1697                   evaluated here
1698   newsize       pointer to an int which is initially zero; if the answer is in
1699                 a new memory buffer, *newsize is set to its size
1700
1701 Returns:        NULL if the variable does not exist, or
1702                 a pointer to the variable's contents, or
1703                 something non-NULL if exists_only is TRUE
1704 */
1705
1706 static uschar *
1707 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1708 {
1709 var_entry * vp;
1710 uschar *s, *domain;
1711 uschar **ss;
1712 void * val;
1713
1714 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1715 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1716 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1717 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1718 (this gave backwards compatibility at the changeover). There may be built-in
1719 variables whose names start acl_ but they should never start in this way. This
1720 slightly messy specification is a consequence of the history, needless to say.
1721
1722 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1723 set, in which case give an error. */
1724
1725 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1726      !isalpha(name[5]))
1727   {
1728   tree_node *node =
1729     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1730   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1731   }
1732
1733 /* Handle $auth<n> variables. */
1734
1735 if (Ustrncmp(name, "auth", 4) == 0)
1736   {
1737   uschar *endptr;
1738   int n = Ustrtoul(name + 4, &endptr, 10);
1739   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1740     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1741   }
1742 else if (Ustrncmp(name, "regex", 5) == 0)
1743   {
1744   uschar *endptr;
1745   int n = Ustrtoul(name + 5, &endptr, 10);
1746   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1747     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1748   }
1749
1750 /* For all other variables, search the table */
1751
1752 if (!(vp = find_var_ent(name)))
1753   return NULL;          /* Unknown variable name */
1754
1755 /* Found an existing variable. If in skipping state, the value isn't needed,
1756 and we want to avoid processing (such as looking up the host name). */
1757
1758 if (skipping)
1759   return US"";
1760
1761 val = vp->value;
1762 switch (vp->type)
1763   {
1764   case vtype_filter_int:
1765     if (!filter_running) return NULL;
1766     /* Fall through */
1767     /* VVVVVVVVVVVV */
1768   case vtype_int:
1769     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1770     return var_buffer;
1771
1772   case vtype_ino:
1773     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1774     return var_buffer;
1775
1776   case vtype_gid:
1777     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1778     return var_buffer;
1779
1780   case vtype_uid:
1781     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1782     return var_buffer;
1783
1784   case vtype_bool:
1785     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1786     return var_buffer;
1787
1788   case vtype_stringptr:                      /* Pointer to string */
1789     return (s = *((uschar **)(val))) ? s : US"";
1790
1791   case vtype_pid:
1792     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1793     return var_buffer;
1794
1795   case vtype_load_avg:
1796     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1797     return var_buffer;
1798
1799   case vtype_host_lookup:                    /* Lookup if not done so */
1800     if (sender_host_name == NULL && sender_host_address != NULL &&
1801         !host_lookup_failed && host_name_lookup() == OK)
1802       host_build_sender_fullhost();
1803     return (sender_host_name == NULL)? US"" : sender_host_name;
1804
1805   case vtype_localpart:                      /* Get local part from address */
1806     s = *((uschar **)(val));
1807     if (s == NULL) return US"";
1808     domain = Ustrrchr(s, '@');
1809     if (domain == NULL) return s;
1810     if (domain - s > sizeof(var_buffer) - 1)
1811       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1812           " in string expansion", sizeof(var_buffer));
1813     Ustrncpy(var_buffer, s, domain - s);
1814     var_buffer[domain - s] = 0;
1815     return var_buffer;
1816
1817   case vtype_domain:                         /* Get domain from address */
1818     s = *((uschar **)(val));
1819     if (s == NULL) return US"";
1820     domain = Ustrrchr(s, '@');
1821     return (domain == NULL)? US"" : domain + 1;
1822
1823   case vtype_msgheaders:
1824     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1825
1826   case vtype_msgheaders_raw:
1827     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1828
1829   case vtype_msgbody:                        /* Pointer to msgbody string */
1830   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1831     ss = (uschar **)(val);
1832     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1833       {
1834       uschar *body;
1835       off_t start_offset = SPOOL_DATA_START_OFFSET;
1836       int len = message_body_visible;
1837       if (len > message_size) len = message_size;
1838       *ss = body = store_malloc(len+1);
1839       body[0] = 0;
1840       if (vp->type == vtype_msgbody_end)
1841         {
1842         struct stat statbuf;
1843         if (fstat(deliver_datafile, &statbuf) == 0)
1844           {
1845           start_offset = statbuf.st_size - len;
1846           if (start_offset < SPOOL_DATA_START_OFFSET)
1847             start_offset = SPOOL_DATA_START_OFFSET;
1848           }
1849         }
1850       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1851         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1852           strerror(errno));
1853       len = read(deliver_datafile, body, len);
1854       if (len > 0)
1855         {
1856         body[len] = 0;
1857         if (message_body_newlines)   /* Separate loops for efficiency */
1858           while (len > 0)
1859             { if (body[--len] == 0) body[len] = ' '; }
1860         else
1861           while (len > 0)
1862             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1863         }
1864       }
1865     return *ss ? *ss : US"";
1866
1867   case vtype_todbsdin:                       /* BSD inbox time of day */
1868     return tod_stamp(tod_bsdin);
1869
1870   case vtype_tode:                           /* Unix epoch time of day */
1871     return tod_stamp(tod_epoch);
1872
1873   case vtype_todel:                          /* Unix epoch/usec time of day */
1874     return tod_stamp(tod_epoch_l);
1875
1876   case vtype_todf:                           /* Full time of day */
1877     return tod_stamp(tod_full);
1878
1879   case vtype_todl:                           /* Log format time of day */
1880     return tod_stamp(tod_log_bare);            /* (without timezone) */
1881
1882   case vtype_todzone:                        /* Time zone offset only */
1883     return tod_stamp(tod_zone);
1884
1885   case vtype_todzulu:                        /* Zulu time */
1886     return tod_stamp(tod_zulu);
1887
1888   case vtype_todlf:                          /* Log file datestamp tod */
1889     return tod_stamp(tod_log_datestamp_daily);
1890
1891   case vtype_reply:                          /* Get reply address */
1892     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1893       headers_charset);
1894     if (s != NULL) while (isspace(*s)) s++;
1895     if (s == NULL || *s == 0)
1896       {
1897       *newsize = 0;                            /* For the *s==0 case */
1898       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1899       }
1900     if (s != NULL)
1901       {
1902       uschar *t;
1903       while (isspace(*s)) s++;
1904       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1905       while (t > s && isspace(t[-1])) t--;
1906       *t = 0;
1907       }
1908     return (s == NULL)? US"" : s;
1909
1910   case vtype_string_func:
1911     {
1912     uschar * (*fn)() = val;
1913     return fn();
1914     }
1915
1916   case vtype_pspace:
1917     {
1918     int inodes;
1919     sprintf(CS var_buffer, "%d",
1920       receive_statvfs(val == (void *)TRUE, &inodes));
1921     }
1922   return var_buffer;
1923
1924   case vtype_pinodes:
1925     {
1926     int inodes;
1927     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1928     sprintf(CS var_buffer, "%d", inodes);
1929     }
1930   return var_buffer;
1931
1932   case vtype_cert:
1933     return *(void **)val ? US"<cert>" : US"";
1934
1935 #ifndef DISABLE_DKIM
1936   case vtype_dkim:
1937     return dkim_exim_expand_query((int)(long)val);
1938 #endif
1939
1940   }
1941
1942 return NULL;  /* Unknown variable. Silences static checkers. */
1943 }
1944
1945
1946
1947
1948 void
1949 modify_variable(uschar *name, void * value)
1950 {
1951 var_entry * vp;
1952 if ((vp = find_var_ent(name))) vp->value = value;
1953 return;          /* Unknown variable name, fail silently */
1954 }
1955
1956
1957
1958
1959
1960
1961 /*************************************************
1962 *           Read and expand substrings           *
1963 *************************************************/
1964
1965 /* This function is called to read and expand argument substrings for various
1966 expansion items. Some have a minimum requirement that is less than the maximum;
1967 in these cases, the first non-present one is set to NULL.
1968
1969 Arguments:
1970   sub        points to vector of pointers to set
1971   n          maximum number of substrings
1972   m          minimum required
1973   sptr       points to current string pointer
1974   skipping   the skipping flag
1975   check_end  if TRUE, check for final '}'
1976   name       name of item, for error message
1977   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1978              the store.
1979
1980 Returns:     0 OK; string pointer updated
1981              1 curly bracketing error (too few arguments)
1982              2 too many arguments (only if check_end is set); message set
1983              3 other error (expansion failure)
1984 */
1985
1986 static int
1987 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1988   BOOL check_end, uschar *name, BOOL *resetok)
1989 {
1990 int i;
1991 const uschar *s = *sptr;
1992
1993 while (isspace(*s)) s++;
1994 for (i = 0; i < n; i++)
1995   {
1996   if (*s != '{')
1997     {
1998     if (i < m)
1999       {
2000       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2001         "(min is %d)", name, m);
2002       return 1;
2003       }
2004     sub[i] = NULL;
2005     break;
2006     }
2007   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2008     return 3;
2009   if (*s++ != '}') return 1;
2010   while (isspace(*s)) s++;
2011   }
2012 if (check_end && *s++ != '}')
2013   {
2014   if (s[-1] == '{')
2015     {
2016     expand_string_message = string_sprintf("Too many arguments for '%s' "
2017       "(max is %d)", name, n);
2018     return 2;
2019     }
2020   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2021   return 1;
2022   }
2023
2024 *sptr = s;
2025 return 0;
2026 }
2027
2028
2029
2030
2031 /*************************************************
2032 *     Elaborate message for bad variable         *
2033 *************************************************/
2034
2035 /* For the "unknown variable" message, take a look at the variable's name, and
2036 give additional information about possible ACL variables. The extra information
2037 is added on to expand_string_message.
2038
2039 Argument:   the name of the variable
2040 Returns:    nothing
2041 */
2042
2043 static void
2044 check_variable_error_message(uschar *name)
2045 {
2046 if (Ustrncmp(name, "acl_", 4) == 0)
2047   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2048     (name[4] == 'c' || name[4] == 'm')?
2049       (isalpha(name[5])?
2050         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2051         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2052       ) :
2053       US"user-defined ACL variables must start acl_c or acl_m");
2054 }
2055
2056
2057
2058 /*
2059 Load args from sub array to globals, and call acl_check().
2060 Sub array will be corrupted on return.
2061
2062 Returns:       OK         access is granted by an ACCEPT verb
2063                DISCARD    access is (apparently) granted by a DISCARD verb
2064                FAIL       access is denied
2065                FAIL_DROP  access is denied; drop the connection
2066                DEFER      can't tell at the moment
2067                ERROR      disaster
2068 */
2069 static int
2070 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2071 {
2072 int i;
2073 int sav_narg = acl_narg;
2074 int ret;
2075 uschar * dummy_logmsg;
2076 extern int acl_where;
2077
2078 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2079 for (i = 0; i < nsub && sub[i+1]; i++)
2080   {
2081   uschar * tmp = acl_arg[i];
2082   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2083   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2084   }
2085 acl_narg = i;
2086 while (i < nsub)
2087   {
2088   sub[i+1] = acl_arg[i];
2089   acl_arg[i++] = NULL;
2090   }
2091
2092 DEBUG(D_expand)
2093   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2094     sub[0],
2095     acl_narg>0 ? acl_arg[0] : US"<none>",
2096     acl_narg>1 ? " +more"   : "");
2097
2098 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2099
2100 for (i = 0; i < nsub; i++)
2101   acl_arg[i] = sub[i+1];        /* restore old args */
2102 acl_narg = sav_narg;
2103
2104 return ret;
2105 }
2106
2107
2108
2109
2110 /*************************************************
2111 *        Read and evaluate a condition           *
2112 *************************************************/
2113
2114 /*
2115 Arguments:
2116   s        points to the start of the condition text
2117   resetok  points to a BOOL which is written false if it is unsafe to
2118            free memory. Certain condition types (acl) may have side-effect
2119            allocation which must be preserved.
2120   yield    points to a BOOL to hold the result of the condition test;
2121            if NULL, we are just reading through a condition that is
2122            part of an "or" combination to check syntax, or in a state
2123            where the answer isn't required
2124
2125 Returns:   a pointer to the first character after the condition, or
2126            NULL after an error
2127 */
2128
2129 static const uschar *
2130 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2131 {
2132 BOOL testfor = TRUE;
2133 BOOL tempcond, combined_cond;
2134 BOOL *subcondptr;
2135 BOOL sub2_honour_dollar = TRUE;
2136 int i, rc, cond_type, roffset;
2137 int_eximarith_t num[2];
2138 struct stat statbuf;
2139 uschar name[256];
2140 const uschar *sub[10];
2141
2142 const pcre *re;
2143 const uschar *rerror;
2144
2145 for (;;)
2146   {
2147   while (isspace(*s)) s++;
2148   if (*s == '!') { testfor = !testfor; s++; } else break;
2149   }
2150
2151 /* Numeric comparisons are symbolic */
2152
2153 if (*s == '=' || *s == '>' || *s == '<')
2154   {
2155   int p = 0;
2156   name[p++] = *s++;
2157   if (*s == '=')
2158     {
2159     name[p++] = '=';
2160     s++;
2161     }
2162   name[p] = 0;
2163   }
2164
2165 /* All other conditions are named */
2166
2167 else s = read_name(name, 256, s, US"_");
2168
2169 /* If we haven't read a name, it means some non-alpha character is first. */
2170
2171 if (name[0] == 0)
2172   {
2173   expand_string_message = string_sprintf("condition name expected, "
2174     "but found \"%.16s\"", s);
2175   return NULL;
2176   }
2177
2178 /* Find which condition we are dealing with, and switch on it */
2179
2180 cond_type = chop_match(name, cond_table, nelem(cond_table));
2181 switch(cond_type)
2182   {
2183   /* def: tests for a non-empty variable, or for the existence of a header. If
2184   yield == NULL we are in a skipping state, and don't care about the answer. */
2185
2186   case ECOND_DEF:
2187   if (*s != ':')
2188     {
2189     expand_string_message = US"\":\" expected after \"def\"";
2190     return NULL;
2191     }
2192
2193   s = read_name(name, 256, s+1, US"_");
2194
2195   /* Test for a header's existence. If the name contains a closing brace
2196   character, this may be a user error where the terminating colon has been
2197   omitted. Set a flag to adjust a subsequent error message in this case. */
2198
2199   if (Ustrncmp(name, "h_", 2) == 0 ||
2200       Ustrncmp(name, "rh_", 3) == 0 ||
2201       Ustrncmp(name, "bh_", 3) == 0 ||
2202       Ustrncmp(name, "header_", 7) == 0 ||
2203       Ustrncmp(name, "rheader_", 8) == 0 ||
2204       Ustrncmp(name, "bheader_", 8) == 0)
2205     {
2206     s = read_header_name(name, 256, s);
2207     /* {-for-text-editors */
2208     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2209     if (yield != NULL) *yield =
2210       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2211     }
2212
2213   /* Test for a variable's having a non-empty value. A non-existent variable
2214   causes an expansion failure. */
2215
2216   else
2217     {
2218     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2219     if (value == NULL)
2220       {
2221       expand_string_message = (name[0] == 0)?
2222         string_sprintf("variable name omitted after \"def:\"") :
2223         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2224       check_variable_error_message(name);
2225       return NULL;
2226       }
2227     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2228     }
2229
2230   return s;
2231
2232
2233   /* first_delivery tests for first delivery attempt */
2234
2235   case ECOND_FIRST_DELIVERY:
2236   if (yield != NULL) *yield = deliver_firsttime == testfor;
2237   return s;
2238
2239
2240   /* queue_running tests for any process started by a queue runner */
2241
2242   case ECOND_QUEUE_RUNNING:
2243   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2244   return s;
2245
2246
2247   /* exists:  tests for file existence
2248        isip:  tests for any IP address
2249       isip4:  tests for an IPv4 address
2250       isip6:  tests for an IPv6 address
2251         pam:  does PAM authentication
2252      radius:  does RADIUS authentication
2253    ldapauth:  does LDAP authentication
2254     pwcheck:  does Cyrus SASL pwcheck authentication
2255   */
2256
2257   case ECOND_EXISTS:
2258   case ECOND_ISIP:
2259   case ECOND_ISIP4:
2260   case ECOND_ISIP6:
2261   case ECOND_PAM:
2262   case ECOND_RADIUS:
2263   case ECOND_LDAPAUTH:
2264   case ECOND_PWCHECK:
2265
2266   while (isspace(*s)) s++;
2267   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2268
2269   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2270   if (sub[0] == NULL) return NULL;
2271   /* {-for-text-editors */
2272   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2273
2274   if (yield == NULL) return s;   /* No need to run the test if skipping */
2275
2276   switch(cond_type)
2277     {
2278     case ECOND_EXISTS:
2279     if ((expand_forbid & RDO_EXISTS) != 0)
2280       {
2281       expand_string_message = US"File existence tests are not permitted";
2282       return NULL;
2283       }
2284     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2285     break;
2286
2287     case ECOND_ISIP:
2288     case ECOND_ISIP4:
2289     case ECOND_ISIP6:
2290     rc = string_is_ip_address(sub[0], NULL);
2291     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2292              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2293     break;
2294
2295     /* Various authentication tests - all optionally compiled */
2296
2297     case ECOND_PAM:
2298     #ifdef SUPPORT_PAM
2299     rc = auth_call_pam(sub[0], &expand_string_message);
2300     goto END_AUTH;
2301     #else
2302     goto COND_FAILED_NOT_COMPILED;
2303     #endif  /* SUPPORT_PAM */
2304
2305     case ECOND_RADIUS:
2306     #ifdef RADIUS_CONFIG_FILE
2307     rc = auth_call_radius(sub[0], &expand_string_message);
2308     goto END_AUTH;
2309     #else
2310     goto COND_FAILED_NOT_COMPILED;
2311     #endif  /* RADIUS_CONFIG_FILE */
2312
2313     case ECOND_LDAPAUTH:
2314     #ifdef LOOKUP_LDAP
2315       {
2316       /* Just to keep the interface the same */
2317       BOOL do_cache;
2318       int old_pool = store_pool;
2319       store_pool = POOL_SEARCH;
2320       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2321         &expand_string_message, &do_cache);
2322       store_pool = old_pool;
2323       }
2324     goto END_AUTH;
2325     #else
2326     goto COND_FAILED_NOT_COMPILED;
2327     #endif  /* LOOKUP_LDAP */
2328
2329     case ECOND_PWCHECK:
2330     #ifdef CYRUS_PWCHECK_SOCKET
2331     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2332     goto END_AUTH;
2333     #else
2334     goto COND_FAILED_NOT_COMPILED;
2335     #endif  /* CYRUS_PWCHECK_SOCKET */
2336
2337     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2338         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2339     END_AUTH:
2340     if (rc == ERROR || rc == DEFER) return NULL;
2341     *yield = (rc == OK) == testfor;
2342     #endif
2343     }
2344   return s;
2345
2346
2347   /* call ACL (in a conditional context).  Accept true, deny false.
2348   Defer is a forced-fail.  Anything set by message= goes to $value.
2349   Up to ten parameters are used; we use the braces round the name+args
2350   like the saslauthd condition does, to permit a variable number of args.
2351   See also the expansion-item version EITEM_ACL and the traditional
2352   acl modifier ACLC_ACL.
2353   Since the ACL may allocate new global variables, tell our caller to not
2354   reclaim memory.
2355   */
2356
2357   case ECOND_ACL:
2358     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2359     {
2360     uschar *sub[10];
2361     uschar *user_msg;
2362     BOOL cond = FALSE;
2363
2364     while (isspace(*s)) s++;
2365     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2366
2367     switch(read_subs(sub, nelem(sub), 1,
2368       &s, yield == NULL, TRUE, US"acl", resetok))
2369       {
2370       case 1: expand_string_message = US"too few arguments or bracketing "
2371         "error for acl";
2372       case 2:
2373       case 3: return NULL;
2374       }
2375
2376     if (yield != NULL)
2377       {
2378       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2379       switch(eval_acl(sub, nelem(sub), &user_msg))
2380         {
2381         case OK:
2382           cond = TRUE;
2383         case FAIL:
2384           lookup_value = NULL;
2385           if (user_msg)
2386             lookup_value = string_copy(user_msg);
2387           *yield = cond == testfor;
2388           break;
2389
2390         case DEFER:
2391           expand_string_forcedfail = TRUE;
2392           /*FALLTHROUGH*/
2393         default:
2394           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2395           return NULL;
2396         }
2397       }
2398     return s;
2399     }
2400
2401
2402   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2403
2404      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2405
2406   However, the last two are optional. That is why the whole set is enclosed
2407   in their own set of braces. */
2408
2409   case ECOND_SASLAUTHD:
2410 #ifndef CYRUS_SASLAUTHD_SOCKET
2411     goto COND_FAILED_NOT_COMPILED;
2412 #else
2413     {
2414     uschar *sub[4];
2415     while (isspace(*s)) s++;
2416     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2417     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2418                     resetok))
2419       {
2420       case 1: expand_string_message = US"too few arguments or bracketing "
2421         "error for saslauthd";
2422       case 2:
2423       case 3: return NULL;
2424       }
2425     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2426     if (yield != NULL)
2427       {
2428       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2429         &expand_string_message);
2430       if (rc == ERROR || rc == DEFER) return NULL;
2431       *yield = (rc == OK) == testfor;
2432       }
2433     return s;
2434     }
2435 #endif /* CYRUS_SASLAUTHD_SOCKET */
2436
2437
2438   /* symbolic operators for numeric and string comparison, and a number of
2439   other operators, all requiring two arguments.
2440
2441   crypteq:           encrypts plaintext and compares against an encrypted text,
2442                        using crypt(), crypt16(), MD5 or SHA-1
2443   inlist/inlisti:    checks if first argument is in the list of the second
2444   match:             does a regular expression match and sets up the numerical
2445                        variables if it succeeds
2446   match_address:     matches in an address list
2447   match_domain:      matches in a domain list
2448   match_ip:          matches a host list that is restricted to IP addresses
2449   match_local_part:  matches in a local part list
2450   */
2451
2452   case ECOND_MATCH_ADDRESS:
2453   case ECOND_MATCH_DOMAIN:
2454   case ECOND_MATCH_IP:
2455   case ECOND_MATCH_LOCAL_PART:
2456 #ifndef EXPAND_LISTMATCH_RHS
2457     sub2_honour_dollar = FALSE;
2458 #endif
2459     /* FALLTHROUGH */
2460
2461   case ECOND_CRYPTEQ:
2462   case ECOND_INLIST:
2463   case ECOND_INLISTI:
2464   case ECOND_MATCH:
2465
2466   case ECOND_NUM_L:     /* Numerical comparisons */
2467   case ECOND_NUM_LE:
2468   case ECOND_NUM_E:
2469   case ECOND_NUM_EE:
2470   case ECOND_NUM_G:
2471   case ECOND_NUM_GE:
2472
2473   case ECOND_STR_LT:    /* String comparisons */
2474   case ECOND_STR_LTI:
2475   case ECOND_STR_LE:
2476   case ECOND_STR_LEI:
2477   case ECOND_STR_EQ:
2478   case ECOND_STR_EQI:
2479   case ECOND_STR_GT:
2480   case ECOND_STR_GTI:
2481   case ECOND_STR_GE:
2482   case ECOND_STR_GEI:
2483
2484   for (i = 0; i < 2; i++)
2485     {
2486     /* Sometimes, we don't expand substrings; too many insecure configurations
2487     created using match_address{}{} and friends, where the second param
2488     includes information from untrustworthy sources. */
2489     BOOL honour_dollar = TRUE;
2490     if ((i > 0) && !sub2_honour_dollar)
2491       honour_dollar = FALSE;
2492
2493     while (isspace(*s)) s++;
2494     if (*s != '{')
2495       {
2496       if (i == 0) goto COND_FAILED_CURLY_START;
2497       expand_string_message = string_sprintf("missing 2nd string in {} "
2498         "after \"%s\"", name);
2499       return NULL;
2500       }
2501     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2502         honour_dollar, resetok);
2503     if (sub[i] == NULL) return NULL;
2504     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2505
2506     /* Convert to numerical if required; we know that the names of all the
2507     conditions that compare numbers do not start with a letter. This just saves
2508     checking for them individually. */
2509
2510     if (!isalpha(name[0]) && yield != NULL)
2511       if (sub[i][0] == 0)
2512         {
2513         num[i] = 0;
2514         DEBUG(D_expand)
2515           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2516         }
2517       else
2518         {
2519         num[i] = expanded_string_integer(sub[i], FALSE);
2520         if (expand_string_message != NULL) return NULL;
2521         }
2522     }
2523
2524   /* Result not required */
2525
2526   if (yield == NULL) return s;
2527
2528   /* Do an appropriate comparison */
2529
2530   switch(cond_type)
2531     {
2532     case ECOND_NUM_E:
2533     case ECOND_NUM_EE:
2534     tempcond = (num[0] == num[1]);
2535     break;
2536
2537     case ECOND_NUM_G:
2538     tempcond = (num[0] > num[1]);
2539     break;
2540
2541     case ECOND_NUM_GE:
2542     tempcond = (num[0] >= num[1]);
2543     break;
2544
2545     case ECOND_NUM_L:
2546     tempcond = (num[0] < num[1]);
2547     break;
2548
2549     case ECOND_NUM_LE:
2550     tempcond = (num[0] <= num[1]);
2551     break;
2552
2553     case ECOND_STR_LT:
2554     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2555     break;
2556
2557     case ECOND_STR_LTI:
2558     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2559     break;
2560
2561     case ECOND_STR_LE:
2562     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2563     break;
2564
2565     case ECOND_STR_LEI:
2566     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2567     break;
2568
2569     case ECOND_STR_EQ:
2570     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2571     break;
2572
2573     case ECOND_STR_EQI:
2574     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2575     break;
2576
2577     case ECOND_STR_GT:
2578     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2579     break;
2580
2581     case ECOND_STR_GTI:
2582     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2583     break;
2584
2585     case ECOND_STR_GE:
2586     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2587     break;
2588
2589     case ECOND_STR_GEI:
2590     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2591     break;
2592
2593     case ECOND_MATCH:   /* Regular expression match */
2594     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2595       NULL);
2596     if (re == NULL)
2597       {
2598       expand_string_message = string_sprintf("regular expression error in "
2599         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2600       return NULL;
2601       }
2602     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2603     break;
2604
2605     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2606     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2607     goto MATCHED_SOMETHING;
2608
2609     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2610     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2611       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2612     goto MATCHED_SOMETHING;
2613
2614     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2615     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2616       {
2617       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2618         sub[0]);
2619       return NULL;
2620       }
2621     else
2622       {
2623       unsigned int *nullcache = NULL;
2624       check_host_block cb;
2625
2626       cb.host_name = US"";
2627       cb.host_address = sub[0];
2628
2629       /* If the host address starts off ::ffff: it is an IPv6 address in
2630       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2631       addresses. */
2632
2633       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2634         cb.host_address + 7 : cb.host_address;
2635
2636       rc = match_check_list(
2637              &sub[1],                   /* the list */
2638              0,                         /* separator character */
2639              &hostlist_anchor,          /* anchor pointer */
2640              &nullcache,                /* cache pointer */
2641              check_host,                /* function for testing */
2642              &cb,                       /* argument for function */
2643              MCL_HOST,                  /* type of check */
2644              sub[0],                    /* text for debugging */
2645              NULL);                     /* where to pass back data */
2646       }
2647     goto MATCHED_SOMETHING;
2648
2649     case ECOND_MATCH_LOCAL_PART:
2650     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2651       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2652     /* Fall through */
2653     /* VVVVVVVVVVVV */
2654     MATCHED_SOMETHING:
2655     switch(rc)
2656       {
2657       case OK:
2658       tempcond = TRUE;
2659       break;
2660
2661       case FAIL:
2662       tempcond = FALSE;
2663       break;
2664
2665       case DEFER:
2666       expand_string_message = string_sprintf("unable to complete match "
2667         "against \"%s\": %s", sub[1], search_error_message);
2668       return NULL;
2669       }
2670
2671     break;
2672
2673     /* Various "encrypted" comparisons. If the second string starts with
2674     "{" then an encryption type is given. Default to crypt() or crypt16()
2675     (build-time choice). */
2676     /* }-for-text-editors */
2677
2678     case ECOND_CRYPTEQ:
2679     #ifndef SUPPORT_CRYPTEQ
2680     goto COND_FAILED_NOT_COMPILED;
2681     #else
2682     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2683       {
2684       int sublen = Ustrlen(sub[1]+5);
2685       md5 base;
2686       uschar digest[16];
2687
2688       md5_start(&base);
2689       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2690
2691       /* If the length that we are comparing against is 24, the MD5 digest
2692       is expressed as a base64 string. This is the way LDAP does it. However,
2693       some other software uses a straightforward hex representation. We assume
2694       this if the length is 32. Other lengths fail. */
2695
2696       if (sublen == 24)
2697         {
2698         uschar *coded = b64encode(digest, 16);
2699         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2700           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2701         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2702         }
2703       else if (sublen == 32)
2704         {
2705         int i;
2706         uschar coded[36];
2707         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2708         coded[32] = 0;
2709         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2710           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2711         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2712         }
2713       else
2714         {
2715         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2716           "fail\n  crypted=%s\n", sub[1]+5);
2717         tempcond = FALSE;
2718         }
2719       }
2720
2721     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2722       {
2723       int sublen = Ustrlen(sub[1]+6);
2724       hctx h;
2725       uschar digest[20];
2726
2727       sha1_start(&h);
2728       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
2729
2730       /* If the length that we are comparing against is 28, assume the SHA1
2731       digest is expressed as a base64 string. If the length is 40, assume a
2732       straightforward hex representation. Other lengths fail. */
2733
2734       if (sublen == 28)
2735         {
2736         uschar *coded = b64encode(digest, 20);
2737         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2738           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2739         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2740         }
2741       else if (sublen == 40)
2742         {
2743         int i;
2744         uschar coded[44];
2745         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2746         coded[40] = 0;
2747         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2748           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2749         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2750         }
2751       else
2752         {
2753         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2754           "fail\n  crypted=%s\n", sub[1]+6);
2755         tempcond = FALSE;
2756         }
2757       }
2758
2759     else   /* {crypt} or {crypt16} and non-{ at start */
2760            /* }-for-text-editors */
2761       {
2762       int which = 0;
2763       uschar *coded;
2764
2765       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2766         {
2767         sub[1] += 7;
2768         which = 1;
2769         }
2770       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2771         {
2772         sub[1] += 9;
2773         which = 2;
2774         }
2775       else if (sub[1][0] == '{')                /* }-for-text-editors */
2776         {
2777         expand_string_message = string_sprintf("unknown encryption mechanism "
2778           "in \"%s\"", sub[1]);
2779         return NULL;
2780         }
2781
2782       switch(which)
2783         {
2784         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2785         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2786         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2787         }
2788
2789       #define STR(s) # s
2790       #define XSTR(s) STR(s)
2791       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2792         "  subject=%s\n  crypted=%s\n",
2793         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2794         coded, sub[1]);
2795       #undef STR
2796       #undef XSTR
2797
2798       /* If the encrypted string contains fewer than two characters (for the
2799       salt), force failure. Otherwise we get false positives: with an empty
2800       string the yield of crypt() is an empty string! */
2801
2802       if (coded)
2803         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2804       else if (errno == EINVAL)
2805         tempcond = FALSE;
2806       else
2807         {
2808         expand_string_message = string_sprintf("crypt error: %s\n",
2809           US strerror(errno));
2810         return NULL;
2811         }
2812       }
2813     break;
2814     #endif  /* SUPPORT_CRYPTEQ */
2815
2816     case ECOND_INLIST:
2817     case ECOND_INLISTI:
2818       {
2819       const uschar * list = sub[1];
2820       int sep = 0;
2821       uschar *save_iterate_item = iterate_item;
2822       int (*compare)(const uschar *, const uschar *);
2823
2824       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", name, sub[0]);
2825
2826       tempcond = FALSE;
2827       compare = cond_type == ECOND_INLISTI
2828         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2829
2830       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2831         {
2832         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
2833         if (compare(sub[0], iterate_item) == 0)
2834           {
2835           tempcond = TRUE;
2836           break;
2837           }
2838         }
2839       iterate_item = save_iterate_item;
2840       }
2841
2842     }   /* Switch for comparison conditions */
2843
2844   *yield = tempcond == testfor;
2845   return s;    /* End of comparison conditions */
2846
2847
2848   /* and/or: computes logical and/or of several conditions */
2849
2850   case ECOND_AND:
2851   case ECOND_OR:
2852   subcondptr = (yield == NULL)? NULL : &tempcond;
2853   combined_cond = (cond_type == ECOND_AND);
2854
2855   while (isspace(*s)) s++;
2856   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2857
2858   for (;;)
2859     {
2860     while (isspace(*s)) s++;
2861     /* {-for-text-editors */
2862     if (*s == '}') break;
2863     if (*s != '{')                                      /* }-for-text-editors */
2864       {
2865       expand_string_message = string_sprintf("each subcondition "
2866         "inside an \"%s{...}\" condition must be in its own {}", name);
2867       return NULL;
2868       }
2869
2870     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2871       {
2872       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2873         expand_string_message, name);
2874       return NULL;
2875       }
2876     while (isspace(*s)) s++;
2877
2878     /* {-for-text-editors */
2879     if (*s++ != '}')
2880       {
2881       /* {-for-text-editors */
2882       expand_string_message = string_sprintf("missing } at end of condition "
2883         "inside \"%s\" group", name);
2884       return NULL;
2885       }
2886
2887     if (yield != NULL)
2888       {
2889       if (cond_type == ECOND_AND)
2890         {
2891         combined_cond &= tempcond;
2892         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2893         }                                       /* evaluate any more */
2894       else
2895         {
2896         combined_cond |= tempcond;
2897         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2898         }                                       /* evaluate any more */
2899       }
2900     }
2901
2902   if (yield != NULL) *yield = (combined_cond == testfor);
2903   return ++s;
2904
2905
2906   /* forall/forany: iterates a condition with different values */
2907
2908   case ECOND_FORALL:
2909   case ECOND_FORANY:
2910     {
2911     const uschar * list;
2912     int sep = 0;
2913     uschar *save_iterate_item = iterate_item;
2914
2915     DEBUG(D_expand) debug_printf_indent("condition: %s\n", name);
2916
2917     while (isspace(*s)) s++;
2918     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2919     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2920     if (sub[0] == NULL) return NULL;
2921     /* {-for-text-editors */
2922     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2923
2924     while (isspace(*s)) s++;
2925     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2926
2927     sub[1] = s;
2928
2929     /* Call eval_condition once, with result discarded (as if scanning a
2930     "false" part). This allows us to find the end of the condition, because if
2931     the list it empty, we won't actually evaluate the condition for real. */
2932
2933     if (!(s = eval_condition(sub[1], resetok, NULL)))
2934       {
2935       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2936         expand_string_message, name);
2937       return NULL;
2938       }
2939     while (isspace(*s)) s++;
2940
2941     /* {-for-text-editors */
2942     if (*s++ != '}')
2943       {
2944       /* {-for-text-editors */
2945       expand_string_message = string_sprintf("missing } at end of condition "
2946         "inside \"%s\"", name);
2947       return NULL;
2948       }
2949
2950     if (yield != NULL) *yield = !testfor;
2951     list = sub[0];
2952     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2953       {
2954       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, iterate_item);
2955       if (!eval_condition(sub[1], resetok, &tempcond))
2956         {
2957         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2958           expand_string_message, name);
2959         iterate_item = save_iterate_item;
2960         return NULL;
2961         }
2962       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", name,
2963         tempcond? "true":"false");
2964
2965       if (yield != NULL) *yield = (tempcond == testfor);
2966       if (tempcond == (cond_type == ECOND_FORANY)) break;
2967       }
2968
2969     iterate_item = save_iterate_item;
2970     return s;
2971     }
2972
2973
2974   /* The bool{} expansion condition maps a string to boolean.
2975   The values supported should match those supported by the ACL condition
2976   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2977   of true/false.  Note that Router "condition" rules have a different
2978   interpretation, where general data can be used and only a few values
2979   map to FALSE.
2980   Note that readconf.c boolean matching, for boolean configuration options,
2981   only matches true/yes/false/no.
2982   The bool_lax{} condition matches the Router logic, which is much more
2983   liberal. */
2984   case ECOND_BOOL:
2985   case ECOND_BOOL_LAX:
2986     {
2987     uschar *sub_arg[1];
2988     uschar *t, *t2;
2989     uschar *ourname;
2990     size_t len;
2991     BOOL boolvalue = FALSE;
2992     while (isspace(*s)) s++;
2993     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2994     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2995     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2996       {
2997       case 1: expand_string_message = string_sprintf(
2998                   "too few arguments or bracketing error for %s",
2999                   ourname);
3000       /*FALLTHROUGH*/
3001       case 2:
3002       case 3: return NULL;
3003       }
3004     t = sub_arg[0];
3005     while (isspace(*t)) t++;
3006     len = Ustrlen(t);
3007     if (len)
3008       {
3009       /* trailing whitespace: seems like a good idea to ignore it too */
3010       t2 = t + len - 1;
3011       while (isspace(*t2)) t2--;
3012       if (t2 != (t + len))
3013         {
3014         *++t2 = '\0';
3015         len = t2 - t;
3016         }
3017       }
3018     DEBUG(D_expand)
3019       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3020     /* logic for the lax case from expand_check_condition(), which also does
3021     expands, and the logic is both short and stable enough that there should
3022     be no maintenance burden from replicating it. */
3023     if (len == 0)
3024       boolvalue = FALSE;
3025     else if (*t == '-'
3026              ? Ustrspn(t+1, "0123456789") == len-1
3027              : Ustrspn(t,   "0123456789") == len)
3028       {
3029       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3030       /* expand_check_condition only does a literal string "0" check */
3031       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3032         boolvalue = TRUE;
3033       }
3034     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3035       boolvalue = TRUE;
3036     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3037       boolvalue = FALSE;
3038     else if (cond_type == ECOND_BOOL_LAX)
3039       boolvalue = TRUE;
3040     else
3041       {
3042       expand_string_message = string_sprintf("unrecognised boolean "
3043        "value \"%s\"", t);
3044       return NULL;
3045       }
3046     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3047         boolvalue? "true":"false");
3048     if (yield != NULL) *yield = (boolvalue == testfor);
3049     return s;
3050     }
3051
3052   /* Unknown condition */
3053
3054   default:
3055   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3056   return NULL;
3057   }   /* End switch on condition type */
3058
3059 /* Missing braces at start and end of data */
3060
3061 COND_FAILED_CURLY_START:
3062 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3063 return NULL;
3064
3065 COND_FAILED_CURLY_END:
3066 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3067   name);
3068 return NULL;
3069
3070 /* A condition requires code that is not compiled */
3071
3072 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3073     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3074     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3075 COND_FAILED_NOT_COMPILED:
3076 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3077   name);
3078 return NULL;
3079 #endif
3080 }
3081
3082
3083
3084
3085 /*************************************************
3086 *          Save numerical variables              *
3087 *************************************************/
3088
3089 /* This function is called from items such as "if" that want to preserve and
3090 restore the numbered variables.
3091
3092 Arguments:
3093   save_expand_string    points to an array of pointers to set
3094   save_expand_nlength   points to an array of ints for the lengths
3095
3096 Returns:                the value of expand max to save
3097 */
3098
3099 static int
3100 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3101 {
3102 int i;
3103 for (i = 0; i <= expand_nmax; i++)
3104   {
3105   save_expand_nstring[i] = expand_nstring[i];
3106   save_expand_nlength[i] = expand_nlength[i];
3107   }
3108 return expand_nmax;
3109 }
3110
3111
3112
3113 /*************************************************
3114 *           Restore numerical variables          *
3115 *************************************************/
3116
3117 /* This function restored saved values of numerical strings.
3118
3119 Arguments:
3120   save_expand_nmax      the number of strings to restore
3121   save_expand_string    points to an array of pointers
3122   save_expand_nlength   points to an array of ints
3123
3124 Returns:                nothing
3125 */
3126
3127 static void
3128 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3129   int *save_expand_nlength)
3130 {
3131 int i;
3132 expand_nmax = save_expand_nmax;
3133 for (i = 0; i <= expand_nmax; i++)
3134   {
3135   expand_nstring[i] = save_expand_nstring[i];
3136   expand_nlength[i] = save_expand_nlength[i];
3137   }
3138 }
3139
3140
3141
3142
3143
3144 /*************************************************
3145 *            Handle yes/no substrings            *
3146 *************************************************/
3147
3148 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3149 alternative substrings that depend on whether or not the condition was true,
3150 or the lookup or extraction succeeded. The substrings always have to be
3151 expanded, to check their syntax, but "skipping" is set when the result is not
3152 needed - this avoids unnecessary nested lookups.
3153
3154 Arguments:
3155   skipping       TRUE if we were skipping when this item was reached
3156   yes            TRUE if the first string is to be used, else use the second
3157   save_lookup    a value to put back into lookup_value before the 2nd expansion
3158   sptr           points to the input string pointer
3159   yieldptr       points to the output growable-string pointer
3160   type           "lookup", "if", "extract", "run", "env", "listextract" or
3161                  "certextract" for error message
3162   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3163                 the store.
3164
3165 Returns:         0 OK; lookup_value has been reset to save_lookup
3166                  1 expansion failed
3167                  2 expansion failed because of bracketing error
3168 */
3169
3170 static int
3171 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3172   gstring ** yieldptr, uschar *type, BOOL *resetok)
3173 {
3174 int rc = 0;
3175 const uschar *s = *sptr;    /* Local value */
3176 uschar *sub1, *sub2;
3177 const uschar * errwhere;
3178
3179 /* If there are no following strings, we substitute the contents of $value for
3180 lookups and for extractions in the success case. For the ${if item, the string
3181 "true" is substituted. In the fail case, nothing is substituted for all three
3182 items. */
3183
3184 while (isspace(*s)) s++;
3185 if (*s == '}')
3186   {
3187   if (type[0] == 'i')
3188     {
3189     if (yes && !skipping)
3190       *yieldptr = string_catn(*yieldptr, US"true", 4);
3191     }
3192   else
3193     {
3194     if (yes && lookup_value && !skipping)
3195       *yieldptr = string_cat(*yieldptr, lookup_value);
3196     lookup_value = save_lookup;
3197     }
3198   s++;
3199   goto RETURN;
3200   }
3201
3202 /* The first following string must be braced. */
3203
3204 if (*s++ != '{')
3205   {
3206   errwhere = US"'yes' part did not start with '{'";
3207   goto FAILED_CURLY;
3208   }
3209
3210 /* Expand the first substring. Forced failures are noticed only if we actually
3211 want this string. Set skipping in the call in the fail case (this will always
3212 be the case if we were already skipping). */
3213
3214 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3215 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3216 expand_string_forcedfail = FALSE;
3217 if (*s++ != '}')
3218   {
3219   errwhere = US"'yes' part did not end with '}'";
3220   goto FAILED_CURLY;
3221   }
3222
3223 /* If we want the first string, add it to the output */
3224
3225 if (yes)
3226   *yieldptr = string_cat(*yieldptr, sub1);
3227
3228 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3229 $value to what it was at the start of the item, so that it has this value
3230 during the second string expansion. For the call from "if" or "run" to this
3231 function, save_lookup is set to lookup_value, so that this statement does
3232 nothing. */
3233
3234 lookup_value = save_lookup;
3235
3236 /* There now follows either another substring, or "fail", or nothing. This
3237 time, forced failures are noticed only if we want the second string. We must
3238 set skipping in the nested call if we don't want this string, or if we were
3239 already skipping. */
3240
3241 while (isspace(*s)) s++;
3242 if (*s == '{')
3243   {
3244   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3245   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3246   expand_string_forcedfail = FALSE;
3247   if (*s++ != '}')
3248     {
3249     errwhere = US"'no' part did not start with '{'";
3250     goto FAILED_CURLY;
3251     }
3252
3253   /* If we want the second string, add it to the output */
3254
3255   if (!yes)
3256     *yieldptr = string_cat(*yieldptr, sub2);
3257   }
3258
3259 /* If there is no second string, but the word "fail" is present when the use of
3260 the second string is wanted, set a flag indicating it was a forced failure
3261 rather than a syntactic error. Swallow the terminating } in case this is nested
3262 inside another lookup or if or extract. */
3263
3264 else if (*s != '}')
3265   {
3266   uschar name[256];
3267   /* deconst cast ok here as source is s anyway */
3268   s = US read_name(name, sizeof(name), s, US"_");
3269   if (Ustrcmp(name, "fail") == 0)
3270     {
3271     if (!yes && !skipping)
3272       {
3273       while (isspace(*s)) s++;
3274       if (*s++ != '}')
3275         {
3276         errwhere = US"did not close with '}' after forcedfail";
3277         goto FAILED_CURLY;
3278         }
3279       expand_string_message =
3280         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3281       expand_string_forcedfail = TRUE;
3282       goto FAILED;
3283       }
3284     }
3285   else
3286     {
3287     expand_string_message =
3288       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3289     goto FAILED;
3290     }
3291   }
3292
3293 /* All we have to do now is to check on the final closing brace. */
3294
3295 while (isspace(*s)) s++;
3296 if (*s++ != '}')
3297   {
3298   errwhere = US"did not close with '}'";
3299   goto FAILED_CURLY;
3300   }
3301
3302
3303 RETURN:
3304 /* Update the input pointer value before returning */
3305 *sptr = s;
3306 return rc;
3307
3308 FAILED_CURLY:
3309   /* Get here if there is a bracketing failure */
3310   expand_string_message = string_sprintf(
3311     "curly-bracket problem in conditional yes/no parsing: %s\n"
3312     " remaining string is '%s'", errwhere, --s);
3313   rc = 2;
3314   goto RETURN;
3315
3316 FAILED:
3317   /* Get here for other failures */
3318   rc = 1;
3319   goto RETURN;
3320 }
3321
3322
3323
3324
3325 /*************************************************
3326 *    Handle MD5 or SHA-1 computation for HMAC    *
3327 *************************************************/
3328
3329 /* These are some wrapping functions that enable the HMAC code to be a bit
3330 cleaner. A good compiler will spot the tail recursion.
3331
3332 Arguments:
3333   type         HMAC_MD5 or HMAC_SHA1
3334   remaining    are as for the cryptographic hash functions
3335
3336 Returns:       nothing
3337 */
3338
3339 static void
3340 chash_start(int type, void *base)
3341 {
3342 if (type == HMAC_MD5)
3343   md5_start((md5 *)base);
3344 else
3345   sha1_start((hctx *)base);
3346 }
3347
3348 static void
3349 chash_mid(int type, void *base, uschar *string)
3350 {
3351 if (type == HMAC_MD5)
3352   md5_mid((md5 *)base, string);
3353 else
3354   sha1_mid((hctx *)base, string);
3355 }
3356
3357 static void
3358 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3359 {
3360 if (type == HMAC_MD5)
3361   md5_end((md5 *)base, string, length, digest);
3362 else
3363   sha1_end((hctx *)base, string, length, digest);
3364 }
3365
3366
3367
3368
3369
3370 /********************************************************
3371 * prvs: Get last three digits of days since Jan 1, 1970 *
3372 ********************************************************/
3373
3374 /* This is needed to implement the "prvs" BATV reverse
3375    path signing scheme
3376
3377 Argument: integer "days" offset to add or substract to
3378           or from the current number of days.
3379
3380 Returns:  pointer to string containing the last three
3381           digits of the number of days since Jan 1, 1970,
3382           modified by the offset argument, NULL if there
3383           was an error in the conversion.
3384
3385 */
3386
3387 static uschar *
3388 prvs_daystamp(int day_offset)
3389 {
3390 uschar *days = store_get(32);                /* Need at least 24 for cases */
3391 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3392   (time(NULL) + day_offset*86400)/86400);
3393 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3394 }
3395
3396
3397
3398 /********************************************************
3399 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3400 ********************************************************/
3401
3402 /* This is needed to implement the "prvs" BATV reverse
3403    path signing scheme
3404
3405 Arguments:
3406   address RFC2821 Address to use
3407       key The key to use (must be less than 64 characters
3408           in size)
3409   key_num Single-digit key number to use. Defaults to
3410           '0' when NULL.
3411
3412 Returns:  pointer to string containing the first three
3413           bytes of the final hash in hex format, NULL if
3414           there was an error in the process.
3415 */
3416
3417 static uschar *
3418 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3419 {
3420 gstring * hash_source;
3421 uschar * p;
3422 int i;
3423 hctx h;
3424 uschar innerhash[20];
3425 uschar finalhash[20];
3426 uschar innerkey[64];
3427 uschar outerkey[64];
3428 uschar *finalhash_hex = store_get(40);
3429
3430 if (key_num == NULL)
3431   key_num = US"0";
3432
3433 if (Ustrlen(key) > 64)
3434   return NULL;
3435
3436 hash_source = string_catn(NULL, key_num, 1);
3437 hash_source = string_catn(hash_source, daystamp, 3);
3438 hash_source = string_cat(hash_source, address);
3439 (void) string_from_gstring(hash_source);
3440
3441 DEBUG(D_expand)
3442   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3443
3444 memset(innerkey, 0x36, 64);
3445 memset(outerkey, 0x5c, 64);
3446
3447 for (i = 0; i < Ustrlen(key); i++)
3448   {
3449   innerkey[i] ^= key[i];
3450   outerkey[i] ^= key[i];
3451   }
3452
3453 chash_start(HMAC_SHA1, &h);
3454 chash_mid(HMAC_SHA1, &h, innerkey);
3455 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3456
3457 chash_start(HMAC_SHA1, &h);
3458 chash_mid(HMAC_SHA1, &h, outerkey);
3459 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3460
3461 p = finalhash_hex;
3462 for (i = 0; i < 3; i++)
3463   {
3464   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3465   *p++ = hex_digits[finalhash[i] & 0x0f];
3466   }
3467 *p = '\0';
3468
3469 return finalhash_hex;
3470 }
3471
3472
3473
3474
3475 /*************************************************
3476 *        Join a file onto the output string      *
3477 *************************************************/
3478
3479 /* This is used for readfile/readsock and after a run expansion.
3480 It joins the contents of a file onto the output string, globally replacing
3481 newlines with a given string (optionally).
3482
3483 Arguments:
3484   f            the FILE
3485   yield        pointer to the expandable string struct
3486   eol          newline replacement string, or NULL
3487
3488 Returns:       new pointer for expandable string, terminated if non-null
3489 */
3490
3491 static gstring *
3492 cat_file(FILE *f, gstring *yield, uschar *eol)
3493 {
3494 uschar buffer[1024];
3495
3496 while (Ufgets(buffer, sizeof(buffer), f))
3497   {
3498   int len = Ustrlen(buffer);
3499   if (eol && buffer[len-1] == '\n') len--;
3500   yield = string_catn(yield, buffer, len);
3501   if (eol && buffer[len])
3502     yield = string_cat(yield, eol);
3503   }
3504
3505 (void) string_from_gstring(yield);
3506 return yield;
3507 }
3508
3509
3510
3511
3512 /*************************************************
3513 *          Evaluate numeric expression           *
3514 *************************************************/
3515
3516 /* This is a set of mutually recursive functions that evaluate an arithmetic
3517 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3518 these functions that is called from elsewhere is eval_expr, whose interface is:
3519
3520 Arguments:
3521   sptr        pointer to the pointer to the string - gets updated
3522   decimal     TRUE if numbers are to be assumed decimal
3523   error       pointer to where to put an error message - must be NULL on input
3524   endket      TRUE if ')' must terminate - FALSE for external call
3525
3526 Returns:      on success: the value of the expression, with *error still NULL
3527               on failure: an undefined value, with *error = a message
3528 */
3529
3530 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3531
3532
3533 static int_eximarith_t
3534 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3535 {
3536 uschar *s = *sptr;
3537 int_eximarith_t x = eval_op_or(&s, decimal, error);
3538 if (*error == NULL)
3539   {
3540   if (endket)
3541     {
3542     if (*s != ')')
3543       *error = US"expecting closing parenthesis";
3544     else
3545       while (isspace(*(++s)));
3546     }
3547   else if (*s != 0) *error = US"expecting operator";
3548   }
3549 *sptr = s;
3550 return x;
3551 }
3552
3553
3554 static int_eximarith_t
3555 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3556 {
3557 register int c;
3558 int_eximarith_t n;
3559 uschar *s = *sptr;
3560 while (isspace(*s)) s++;
3561 c = *s;
3562 if (isdigit(c))
3563   {
3564   int count;
3565   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3566   s += count;
3567   switch (tolower(*s))
3568     {
3569     default: break;
3570     case 'k': n *= 1024; s++; break;
3571     case 'm': n *= 1024*1024; s++; break;
3572     case 'g': n *= 1024*1024*1024; s++; break;
3573     }
3574   while (isspace (*s)) s++;
3575   }
3576 else if (c == '(')
3577   {
3578   s++;
3579   n = eval_expr(&s, decimal, error, 1);
3580   }
3581 else
3582   {
3583   *error = US"expecting number or opening parenthesis";
3584   n = 0;
3585   }
3586 *sptr = s;
3587 return n;
3588 }
3589
3590
3591 static int_eximarith_t
3592 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3593 {
3594 uschar *s = *sptr;
3595 int_eximarith_t x;
3596 while (isspace(*s)) s++;
3597 if (*s == '+' || *s == '-' || *s == '~')
3598   {
3599   int op = *s++;
3600   x = eval_op_unary(&s, decimal, error);
3601   if (op == '-') x = -x;
3602     else if (op == '~') x = ~x;
3603   }
3604 else
3605   {
3606   x = eval_number(&s, decimal, error);
3607   }
3608 *sptr = s;
3609 return x;
3610 }
3611
3612
3613 static int_eximarith_t
3614 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3615 {
3616 uschar *s = *sptr;
3617 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3618 if (*error == NULL)
3619   {
3620   while (*s == '*' || *s == '/' || *s == '%')
3621     {
3622     int op = *s++;
3623     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3624     if (*error != NULL) break;
3625     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3626      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3627      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3628      * -N*M is INT_MIN will yield INT_MIN.
3629      * Since we don't support floating point, this is somewhat simpler.
3630      * Ideally, we'd return an error, but since we overflow for all other
3631      * arithmetic, consistency suggests otherwise, but what's the correct value
3632      * to use?  There is none.
3633      * The C standard guarantees overflow for unsigned arithmetic but signed
3634      * overflow invokes undefined behaviour; in practice, this is overflow
3635      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3636      * that long/longlong larger than int are available, or we could just work
3637      * with larger types.  We should consider whether to guarantee 32bit eval
3638      * and 64-bit working variables, with errors returned.  For now ...
3639      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3640      * can just let the other invalid results occur otherwise, as they have
3641      * until now.  For this one case, we can coerce.
3642      */
3643     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3644       {
3645       DEBUG(D_expand)
3646         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3647             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3648       x = EXIM_ARITH_MAX;
3649       continue;
3650       }
3651     if (op == '*')
3652       x *= y;
3653     else
3654       {
3655       if (y == 0)
3656         {
3657         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3658         x = 0;
3659         break;
3660         }
3661       if (op == '/')
3662         x /= y;
3663       else
3664         x %= y;
3665       }
3666     }
3667   }
3668 *sptr = s;
3669 return x;
3670 }
3671
3672
3673 static int_eximarith_t
3674 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3675 {
3676 uschar *s = *sptr;
3677 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3678 if (!*error)
3679   {
3680   while (*s == '+' || *s == '-')
3681     {
3682     int op = *s++;
3683     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3684     if (*error) break;
3685     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3686        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3687       {                 /* over-conservative check */
3688       *error = op == '+'
3689         ? US"overflow in sum" : US"overflow in difference";
3690       break;
3691       }
3692     if (op == '+') x += y; else x -= y;
3693     }
3694   }
3695 *sptr = s;
3696 return x;
3697 }
3698
3699
3700 static int_eximarith_t
3701 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3702 {
3703 uschar *s = *sptr;
3704 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3705 if (*error == NULL)
3706   {
3707   while ((*s == '<' || *s == '>') && s[1] == s[0])
3708     {
3709     int_eximarith_t y;
3710     int op = *s++;
3711     s++;
3712     y = eval_op_sum(&s, decimal, error);
3713     if (*error != NULL) break;
3714     if (op == '<') x <<= y; else x >>= y;
3715     }
3716   }
3717 *sptr = s;
3718 return x;
3719 }
3720
3721
3722 static int_eximarith_t
3723 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3724 {
3725 uschar *s = *sptr;
3726 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3727 if (*error == NULL)
3728   {
3729   while (*s == '&')
3730     {
3731     int_eximarith_t y;
3732     s++;
3733     y = eval_op_shift(&s, decimal, error);
3734     if (*error != NULL) break;
3735     x &= y;
3736     }
3737   }
3738 *sptr = s;
3739 return x;
3740 }
3741
3742
3743 static int_eximarith_t
3744 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3745 {
3746 uschar *s = *sptr;
3747 int_eximarith_t x = eval_op_and(&s, decimal, error);
3748 if (*error == NULL)
3749   {
3750   while (*s == '^')
3751     {
3752     int_eximarith_t y;
3753     s++;
3754     y = eval_op_and(&s, decimal, error);
3755     if (*error != NULL) break;
3756     x ^= y;
3757     }
3758   }
3759 *sptr = s;
3760 return x;
3761 }
3762
3763
3764 static int_eximarith_t
3765 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3766 {
3767 uschar *s = *sptr;
3768 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3769 if (*error == NULL)
3770   {
3771   while (*s == '|')
3772     {
3773     int_eximarith_t y;
3774     s++;
3775     y = eval_op_xor(&s, decimal, error);
3776     if (*error != NULL) break;
3777     x |= y;
3778     }
3779   }
3780 *sptr = s;
3781 return x;
3782 }
3783
3784
3785
3786 /*************************************************
3787 *                 Expand string                  *
3788 *************************************************/
3789
3790 /* Returns either an unchanged string, or the expanded string in stacking pool
3791 store. Interpreted sequences are:
3792
3793    \...                    normal escaping rules
3794    $name                   substitutes the variable
3795    ${name}                 ditto
3796    ${op:string}            operates on the expanded string value
3797    ${item{arg1}{arg2}...}  expands the args and then does the business
3798                              some literal args are not enclosed in {}
3799
3800 There are now far too many operators and item types to make it worth listing
3801 them here in detail any more.
3802
3803 We use an internal routine recursively to handle embedded substrings. The
3804 external function follows. The yield is NULL if the expansion failed, and there
3805 are two cases: if something collapsed syntactically, or if "fail" was given
3806 as the action on a lookup failure. These can be distinguished by looking at the
3807 variable expand_string_forcedfail, which is TRUE in the latter case.
3808
3809 The skipping flag is set true when expanding a substring that isn't actually
3810 going to be used (after "if" or "lookup") and it prevents lookups from
3811 happening lower down.
3812
3813 Store usage: At start, a store block of the length of the input plus 64
3814 is obtained. This is expanded as necessary by string_cat(), which might have to
3815 get a new block, or might be able to expand the original. At the end of the
3816 function we can release any store above that portion of the yield block that
3817 was actually used. In many cases this will be optimal.
3818
3819 However: if the first item in the expansion is a variable name or header name,
3820 we reset the store before processing it; if the result is in fresh store, we
3821 use that without copying. This is helpful for expanding strings like
3822 $message_headers which can get very long.
3823
3824 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3825 since resetting the store at the end of the expansion will free store that was
3826 allocated by the plugin code as well as the slop after the expanded string. So
3827 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3828 and, given the acl condition, ${if }. This is an unfortunate consequence of
3829 string expansion becoming too powerful.
3830
3831 Arguments:
3832   string         the string to be expanded
3833   ket_ends       true if expansion is to stop at }
3834   left           if not NULL, a pointer to the first character after the
3835                  expansion is placed here (typically used with ket_ends)
3836   skipping       TRUE for recursive calls when the value isn't actually going
3837                  to be used (to allow for optimisation)
3838   honour_dollar  TRUE if $ is to be expanded,
3839                  FALSE if it's just another character
3840   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3841                  the store.
3842
3843 Returns:         NULL if expansion fails:
3844                    expand_string_forcedfail is set TRUE if failure was forced
3845                    expand_string_message contains a textual error message
3846                  a pointer to the expanded string on success
3847 */
3848
3849 static uschar *
3850 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3851   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3852 {
3853 gstring * yield = string_get(Ustrlen(string) + 64);
3854 int item_type;
3855 const uschar *s = string;
3856 uschar *save_expand_nstring[EXPAND_MAXN+1];
3857 int save_expand_nlength[EXPAND_MAXN+1];
3858 BOOL resetok = TRUE;
3859
3860 expand_level++;
3861 DEBUG(D_expand)
3862   debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
3863     skipping
3864     ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
3865     : "considering",
3866     string);
3867
3868 expand_string_forcedfail = FALSE;
3869 expand_string_message = US"";
3870
3871 while (*s != 0)
3872   {
3873   uschar *value;
3874   uschar name[256];
3875
3876   /* \ escapes the next character, which must exist, or else
3877   the expansion fails. There's a special escape, \N, which causes
3878   copying of the subject verbatim up to the next \N. Otherwise,
3879   the escapes are the standard set. */
3880
3881   if (*s == '\\')
3882     {
3883     if (s[1] == 0)
3884       {
3885       expand_string_message = US"\\ at end of string";
3886       goto EXPAND_FAILED;
3887       }
3888
3889     if (s[1] == 'N')
3890       {
3891       const uschar * t = s + 2;
3892       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3893       yield = string_catn(yield, t, s - t);
3894       if (*s != 0) s += 2;
3895       }
3896
3897     else
3898       {
3899       uschar ch[1];
3900       ch[0] = string_interpret_escape(&s);
3901       s++;
3902       yield = string_catn(yield, ch, 1);
3903       }
3904
3905     continue;
3906     }
3907
3908   /*{*/
3909   /* Anything other than $ is just copied verbatim, unless we are
3910   looking for a terminating } character. */
3911
3912   /*{*/
3913   if (ket_ends && *s == '}') break;
3914
3915   if (*s != '$' || !honour_dollar)
3916     {
3917     yield = string_catn(yield, s++, 1);
3918     continue;
3919     }
3920
3921   /* No { after the $ - must be a plain name or a number for string
3922   match variable. There has to be a fudge for variables that are the
3923   names of header fields preceded by "$header_" because header field
3924   names can contain any printing characters except space and colon.
3925   For those that don't like typing this much, "$h_" is a synonym for
3926   "$header_". A non-existent header yields a NULL value; nothing is
3927   inserted. */  /*}*/
3928
3929   if (isalpha((*(++s))))
3930     {
3931     int len;
3932     int newsize = 0;
3933     gstring * g = NULL;
3934
3935     s = read_name(name, sizeof(name), s, US"_");
3936
3937     /* If this is the first thing to be expanded, release the pre-allocated
3938     buffer. */
3939
3940     if (!yield)
3941       g = store_get(sizeof(gstring));
3942     else if (yield->ptr == 0)
3943       {
3944       if (resetok) store_reset(yield);
3945       yield = NULL;
3946       g = store_get(sizeof(gstring));   /* alloc _before_ calling find_variable() */
3947       }
3948
3949     /* Header */
3950
3951     if (Ustrncmp(name, "h_", 2) == 0 ||
3952         Ustrncmp(name, "rh_", 3) == 0 ||
3953         Ustrncmp(name, "bh_", 3) == 0 ||
3954         Ustrncmp(name, "header_", 7) == 0 ||
3955         Ustrncmp(name, "rheader_", 8) == 0 ||
3956         Ustrncmp(name, "bheader_", 8) == 0)
3957       {
3958       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3959       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3960       s = read_header_name(name, sizeof(name), s);
3961       value = find_header(name, FALSE, &newsize, want_raw, charset);
3962
3963       /* If we didn't find the header, and the header contains a closing brace
3964       character, this may be a user error where the terminating colon
3965       has been omitted. Set a flag to adjust the error message in this case.
3966       But there is no error here - nothing gets inserted. */
3967
3968       if (!value)
3969         {
3970         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3971         continue;
3972         }
3973       }
3974
3975     /* Variable */
3976
3977     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3978       {
3979       expand_string_message =
3980         string_sprintf("unknown variable name \"%s\"", name);
3981         check_variable_error_message(name);
3982       goto EXPAND_FAILED;
3983       }
3984
3985     /* If the data is known to be in a new buffer, newsize will be set to the
3986     size of that buffer. If this is the first thing in an expansion string,
3987     yield will be NULL; just point it at the new store instead of copying. Many
3988     expansion strings contain just one reference, so this is a useful
3989     optimization, especially for humungous headers.  We need to use a gstring
3990     structure that is not allocated after that new-buffer, else a later store
3991     reset in the middle of the buffer will make it inaccessible. */
3992
3993     len = Ustrlen(value);
3994     if (!yield && newsize != 0)
3995       {
3996       yield = g;
3997       yield->size = newsize;
3998       yield->ptr = len;
3999       yield->s = value;
4000       }
4001     else
4002       yield = string_catn(yield, value, len);
4003
4004     continue;
4005     }
4006
4007   if (isdigit(*s))
4008     {
4009     int n;
4010     s = read_cnumber(&n, s);
4011     if (n >= 0 && n <= expand_nmax)
4012       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4013     continue;
4014     }
4015
4016   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4017
4018   if (*s != '{')                                                        /*}*/
4019     {
4020     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4021     goto EXPAND_FAILED;
4022     }
4023
4024   /* After { there can be various things, but they all start with
4025   an initial word, except for a number for a string match variable. */
4026
4027   if (isdigit((*(++s))))
4028     {
4029     int n;
4030     s = read_cnumber(&n, s);            /*{*/
4031     if (*s++ != '}')
4032       {                                 /*{*/
4033       expand_string_message = US"} expected after number";
4034       goto EXPAND_FAILED;
4035       }
4036     if (n >= 0 && n <= expand_nmax)
4037       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4038     continue;
4039     }
4040
4041   if (!isalpha(*s))
4042     {
4043     expand_string_message = US"letter or digit expected after ${";      /*}*/
4044     goto EXPAND_FAILED;
4045     }
4046
4047   /* Allow "-" in names to cater for substrings with negative
4048   arguments. Since we are checking for known names after { this is
4049   OK. */
4050
4051   s = read_name(name, sizeof(name), s, US"_-");
4052   item_type = chop_match(name, item_table, nelem(item_table));
4053
4054   switch(item_type)
4055     {
4056     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4057     If the ACL returns accept or reject we return content set by "message ="
4058     There is currently no limit on recursion; this would have us call
4059     acl_check_internal() directly and get a current level from somewhere.
4060     See also the acl expansion condition ECOND_ACL and the traditional
4061     acl modifier ACLC_ACL.
4062     Assume that the function has side-effects on the store that must be preserved.
4063     */
4064
4065     case EITEM_ACL:
4066       /* ${acl {name} {arg1}{arg2}...} */
4067       {
4068       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4069       uschar *user_msg;
4070
4071       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4072                       &resetok))
4073         {
4074         case 1: goto EXPAND_FAILED_CURLY;
4075         case 2:
4076         case 3: goto EXPAND_FAILED;
4077         }
4078       if (skipping) continue;
4079
4080       resetok = FALSE;
4081       switch(eval_acl(sub, nelem(sub), &user_msg))
4082         {
4083         case OK:
4084         case FAIL:
4085           DEBUG(D_expand)
4086             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4087           if (user_msg)
4088             yield = string_cat(yield, user_msg);
4089           continue;
4090
4091         case DEFER:
4092           expand_string_forcedfail = TRUE;
4093           /*FALLTHROUGH*/
4094         default:
4095           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4096           goto EXPAND_FAILED;
4097         }
4098       }
4099
4100     /* Handle conditionals - preserve the values of the numerical expansion
4101     variables in case they get changed by a regular expression match in the
4102     condition. If not, they retain their external settings. At the end
4103     of this "if" section, they get restored to their previous values. */
4104
4105     case EITEM_IF:
4106       {
4107       BOOL cond = FALSE;
4108       const uschar *next_s;
4109       int save_expand_nmax =
4110         save_expand_strings(save_expand_nstring, save_expand_nlength);
4111
4112       while (isspace(*s)) s++;
4113       next_s = eval_condition(s, &resetok, skipping ? NULL : &cond);
4114       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4115
4116       DEBUG(D_expand)
4117         {
4118         debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4119           "condition: %.*s\n",
4120           (int)(next_s - s), s);
4121         debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4122           UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4123           "result: %s\n",
4124           cond ? "true" : "false");
4125         }
4126
4127       s = next_s;
4128
4129       /* The handling of "yes" and "no" result strings is now in a separate
4130       function that is also used by ${lookup} and ${extract} and ${run}. */
4131
4132       switch(process_yesno(
4133                skipping,                     /* were previously skipping */
4134                cond,                         /* success/failure indicator */
4135                lookup_value,                 /* value to reset for string2 */
4136                &s,                           /* input pointer */
4137                &yield,                       /* output pointer */
4138                US"if",                       /* condition type */
4139                &resetok))
4140         {
4141         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4142         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4143         }
4144
4145       /* Restore external setting of expansion variables for continuation
4146       at this level. */
4147
4148       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4149         save_expand_nlength);
4150       continue;
4151       }
4152
4153 #ifdef SUPPORT_I18N
4154     case EITEM_IMAPFOLDER:
4155       {                         /* ${imapfolder {name}{sep]{specials}} */
4156       uschar *sub_arg[3];
4157       uschar *encoded;
4158
4159       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4160                       &resetok))
4161         {
4162         case 1: goto EXPAND_FAILED_CURLY;
4163         case 2:
4164         case 3: goto EXPAND_FAILED;
4165         }
4166
4167       if (sub_arg[1] == NULL)           /* One argument */
4168         {
4169         sub_arg[1] = US"/";             /* default separator */
4170         sub_arg[2] = NULL;
4171         }
4172       else if (Ustrlen(sub_arg[1]) != 1)
4173         {
4174         expand_string_message =
4175           string_sprintf(
4176                 "IMAP folder separator must be one character, found \"%s\"",
4177                 sub_arg[1]);
4178         goto EXPAND_FAILED;
4179         }
4180
4181       if (!skipping)
4182         {
4183         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4184                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4185           goto EXPAND_FAILED;
4186         yield = string_cat(yield, encoded);
4187         }
4188       continue;
4189       }
4190 #endif
4191
4192     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4193     expanding an internal string that isn't actually going to be used. All we
4194     need to do is check the syntax, so don't do a lookup at all. Preserve the
4195     values of the numerical expansion variables in case they get changed by a
4196     partial lookup. If not, they retain their external settings. At the end
4197     of this "lookup" section, they get restored to their previous values. */
4198
4199     case EITEM_LOOKUP:
4200       {
4201       int stype, partial, affixlen, starflags;
4202       int expand_setup = 0;
4203       int nameptr = 0;
4204       uschar *key, *filename;
4205       const uschar *affix;
4206       uschar *save_lookup_value = lookup_value;
4207       int save_expand_nmax =
4208         save_expand_strings(save_expand_nstring, save_expand_nlength);
4209
4210       if ((expand_forbid & RDO_LOOKUP) != 0)
4211         {
4212         expand_string_message = US"lookup expansions are not permitted";
4213         goto EXPAND_FAILED;
4214         }
4215
4216       /* Get the key we are to look up for single-key+file style lookups.
4217       Otherwise set the key NULL pro-tem. */
4218
4219       while (isspace(*s)) s++;
4220       if (*s == '{')                                    /*}*/
4221         {
4222         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4223         if (!key) goto EXPAND_FAILED;                   /*{{*/
4224         if (*s++ != '}')
4225           {
4226           expand_string_message = US"missing '}' after lookup key";
4227           goto EXPAND_FAILED_CURLY;
4228           }
4229         while (isspace(*s)) s++;
4230         }
4231       else key = NULL;
4232
4233       /* Find out the type of database */
4234
4235       if (!isalpha(*s))
4236         {
4237         expand_string_message = US"missing lookup type";
4238         goto EXPAND_FAILED;
4239         }
4240
4241       /* The type is a string that may contain special characters of various
4242       kinds. Allow everything except space or { to appear; the actual content
4243       is checked by search_findtype_partial. */         /*}*/
4244
4245       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4246         {
4247         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4248         s++;
4249         }
4250       name[nameptr] = 0;
4251       while (isspace(*s)) s++;
4252
4253       /* Now check for the individual search type and any partial or default
4254       options. Only those types that are actually in the binary are valid. */
4255
4256       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4257         &starflags);
4258       if (stype < 0)
4259         {
4260         expand_string_message = search_error_message;
4261         goto EXPAND_FAILED;
4262         }
4263
4264       /* Check that a key was provided for those lookup types that need it,
4265       and was not supplied for those that use the query style. */
4266
4267       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4268         {
4269         if (key == NULL)
4270           {
4271           expand_string_message = string_sprintf("missing {key} for single-"
4272             "key \"%s\" lookup", name);
4273           goto EXPAND_FAILED;
4274           }
4275         }
4276       else
4277         {
4278         if (key != NULL)
4279           {
4280           expand_string_message = string_sprintf("a single key was given for "
4281             "lookup type \"%s\", which is not a single-key lookup type", name);
4282           goto EXPAND_FAILED;
4283           }
4284         }
4285
4286       /* Get the next string in brackets and expand it. It is the file name for
4287       single-key+file lookups, and the whole query otherwise. In the case of
4288       queries that also require a file name (e.g. sqlite), the file name comes
4289       first. */
4290
4291       if (*s != '{')
4292         {
4293         expand_string_message = US"missing '{' for lookup file-or-query arg";
4294         goto EXPAND_FAILED_CURLY;
4295         }
4296       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4297       if (filename == NULL) goto EXPAND_FAILED;
4298       if (*s++ != '}')
4299         {
4300         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4301         goto EXPAND_FAILED_CURLY;
4302         }
4303       while (isspace(*s)) s++;
4304
4305       /* If this isn't a single-key+file lookup, re-arrange the variables
4306       to be appropriate for the search_ functions. For query-style lookups,
4307       there is just a "key", and no file name. For the special query-style +
4308       file types, the query (i.e. "key") starts with a file name. */
4309
4310       if (!key)
4311         {
4312         while (isspace(*filename)) filename++;
4313         key = filename;
4314
4315         if (mac_islookup(stype, lookup_querystyle))
4316           filename = NULL;
4317         else
4318           {
4319           if (*filename != '/')
4320             {
4321             expand_string_message = string_sprintf(
4322               "absolute file name expected for \"%s\" lookup", name);
4323             goto EXPAND_FAILED;
4324             }
4325           while (*key != 0 && !isspace(*key)) key++;
4326           if (*key != 0) *key++ = 0;
4327           }
4328         }
4329
4330       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4331       the entry was not found. Note that there is no search_close() function.
4332       Files are left open in case of re-use. At suitable places in higher logic,
4333       search_tidyup() is called to tidy all open files. This can save opening
4334       the same file several times. However, files may also get closed when
4335       others are opened, if too many are open at once. The rule is that a
4336       handle should not be used after a second search_open().
4337
4338       Request that a partial search sets up $1 and maybe $2 by passing
4339       expand_setup containing zero. If its value changes, reset expand_nmax,
4340       since new variables will have been set. Note that at the end of this
4341       "lookup" section, the old numeric variables are restored. */
4342
4343       if (skipping)
4344         lookup_value = NULL;
4345       else
4346         {
4347         void *handle = search_open(filename, stype, 0, NULL, NULL);
4348         if (handle == NULL)
4349           {
4350           expand_string_message = search_error_message;
4351           goto EXPAND_FAILED;
4352           }
4353         lookup_value = search_find(handle, filename, key, partial, affix,
4354           affixlen, starflags, &expand_setup);
4355         if (search_find_defer)
4356           {
4357           expand_string_message =
4358             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4359               string_printing2(key, FALSE), search_error_message);
4360           goto EXPAND_FAILED;
4361           }
4362         if (expand_setup > 0) expand_nmax = expand_setup;
4363         }
4364
4365       /* The handling of "yes" and "no" result strings is now in a separate
4366       function that is also used by ${if} and ${extract}. */
4367
4368       switch(process_yesno(
4369                skipping,                     /* were previously skipping */
4370                lookup_value != NULL,         /* success/failure indicator */
4371                save_lookup_value,            /* value to reset for string2 */
4372                &s,                           /* input pointer */
4373                &yield,                       /* output pointer */
4374                US"lookup",                   /* condition type */
4375                &resetok))
4376         {
4377         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4378         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4379         }
4380
4381       /* Restore external setting of expansion variables for carrying on
4382       at this level, and continue. */
4383
4384       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4385         save_expand_nlength);
4386       continue;
4387       }
4388
4389     /* If Perl support is configured, handle calling embedded perl subroutines,
4390     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4391     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4392     arguments (defined below). */
4393
4394     #define EXIM_PERL_MAX_ARGS 8
4395
4396     case EITEM_PERL:
4397     #ifndef EXIM_PERL
4398     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4399       "is not included in this binary";
4400     goto EXPAND_FAILED;
4401
4402     #else   /* EXIM_PERL */
4403       {
4404       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4405       gstring *new_yield;
4406
4407       if ((expand_forbid & RDO_PERL) != 0)
4408         {
4409         expand_string_message = US"Perl calls are not permitted";
4410         goto EXPAND_FAILED;
4411         }
4412
4413       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4414            US"perl", &resetok))
4415         {
4416         case 1: goto EXPAND_FAILED_CURLY;
4417         case 2:
4418         case 3: goto EXPAND_FAILED;
4419         }
4420
4421       /* If skipping, we don't actually do anything */
4422
4423       if (skipping) continue;
4424
4425       /* Start the interpreter if necessary */
4426
4427       if (!opt_perl_started)
4428         {
4429         uschar *initerror;
4430         if (opt_perl_startup == NULL)
4431           {
4432           expand_string_message = US"A setting of perl_startup is needed when "
4433             "using the Perl interpreter";
4434           goto EXPAND_FAILED;
4435           }
4436         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4437         initerror = init_perl(opt_perl_startup);
4438         if (initerror != NULL)
4439           {
4440           expand_string_message =
4441             string_sprintf("error in perl_startup code: %s\n", initerror);
4442           goto EXPAND_FAILED;
4443           }
4444         opt_perl_started = TRUE;
4445         }
4446
4447       /* Call the function */
4448
4449       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4450       new_yield = call_perl_cat(yield, &expand_string_message,
4451         sub_arg[0], sub_arg + 1);
4452
4453       /* NULL yield indicates failure; if the message pointer has been set to
4454       NULL, the yield was undef, indicating a forced failure. Otherwise the
4455       message will indicate some kind of Perl error. */
4456
4457       if (new_yield == NULL)
4458         {
4459         if (expand_string_message == NULL)
4460           {
4461           expand_string_message =
4462             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4463               "failure", sub_arg[0]);
4464           expand_string_forcedfail = TRUE;
4465           }
4466         goto EXPAND_FAILED;
4467         }
4468
4469       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4470       set during a callback from Perl. */
4471
4472       expand_string_forcedfail = FALSE;
4473       yield = new_yield;
4474       continue;
4475       }
4476     #endif /* EXIM_PERL */
4477
4478     /* Transform email address to "prvs" scheme to use
4479        as BATV-signed return path */
4480
4481     case EITEM_PRVS:
4482       {
4483       uschar *sub_arg[3];
4484       uschar *p,*domain;
4485
4486       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4487         {
4488         case 1: goto EXPAND_FAILED_CURLY;
4489         case 2:
4490         case 3: goto EXPAND_FAILED;
4491         }
4492
4493       /* If skipping, we don't actually do anything */
4494       if (skipping) continue;
4495
4496       /* sub_arg[0] is the address */
4497       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
4498          || domain == sub_arg[0] || Ustrlen(domain) == 1)
4499         {
4500         expand_string_message = US"prvs first argument must be a qualified email address";
4501         goto EXPAND_FAILED;
4502         }
4503
4504       /* Calculate the hash. The third argument must be a single-digit
4505       key number, or unset. */
4506
4507       if (  sub_arg[2]
4508          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4509         {
4510         expand_string_message = US"prvs third argument must be a single digit";
4511         goto EXPAND_FAILED;
4512         }
4513
4514       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
4515       if (!p)
4516         {
4517         expand_string_message = US"prvs hmac-sha1 conversion failed";
4518         goto EXPAND_FAILED;
4519         }
4520
4521       /* Now separate the domain from the local part */
4522       *domain++ = '\0';
4523
4524       yield = string_catn(yield, US"prvs=", 5);
4525       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
4526       yield = string_catn(yield, prvs_daystamp(7), 3);
4527       yield = string_catn(yield, p, 6);
4528       yield = string_catn(yield, US"=", 1);
4529       yield = string_cat (yield, sub_arg[0]);
4530       yield = string_catn(yield, US"@", 1);
4531       yield = string_cat (yield, domain);
4532
4533       continue;
4534       }
4535
4536     /* Check a prvs-encoded address for validity */
4537
4538     case EITEM_PRVSCHECK:
4539       {
4540       uschar *sub_arg[3];
4541       gstring * g;
4542       const pcre *re;
4543       uschar *p;
4544
4545       /* TF: Ugliness: We want to expand parameter 1 first, then set
4546          up expansion variables that are used in the expansion of
4547          parameter 2. So we clone the string for the first
4548          expansion, where we only expand parameter 1.
4549
4550          PH: Actually, that isn't necessary. The read_subs() function is
4551          designed to work this way for the ${if and ${lookup expansions. I've
4552          tidied the code.
4553       */
4554
4555       /* Reset expansion variables */
4556       prvscheck_result = NULL;
4557       prvscheck_address = NULL;
4558       prvscheck_keynum = NULL;
4559
4560       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4561         {
4562         case 1: goto EXPAND_FAILED_CURLY;
4563         case 2:
4564         case 3: goto EXPAND_FAILED;
4565         }
4566
4567       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4568                               TRUE,FALSE);
4569
4570       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4571         {
4572         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4573         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4574         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4575         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4576         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4577
4578         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
4579         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
4580         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
4581         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
4582         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
4583
4584         /* Set up expansion variables */
4585         g = string_cat (NULL, local_part);
4586         g = string_catn(g, US"@", 1);
4587         g = string_cat (g, domain);
4588         prvscheck_address = string_from_gstring(g);
4589         prvscheck_keynum = string_copy(key_num);
4590
4591         /* Now expand the second argument */
4592         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4593           {
4594           case 1: goto EXPAND_FAILED_CURLY;
4595           case 2:
4596           case 3: goto EXPAND_FAILED;
4597           }
4598
4599         /* Now we have the key and can check the address. */
4600
4601         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4602           daystamp);
4603
4604         if (!p)
4605           {
4606           expand_string_message = US"hmac-sha1 conversion failed";
4607           goto EXPAND_FAILED;
4608           }
4609
4610         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
4611         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
4612
4613         if (Ustrcmp(p,hash) == 0)
4614           {
4615           /* Success, valid BATV address. Now check the expiry date. */
4616           uschar *now = prvs_daystamp(0);
4617           unsigned int inow = 0,iexpire = 1;
4618
4619           (void)sscanf(CS now,"%u",&inow);
4620           (void)sscanf(CS daystamp,"%u",&iexpire);
4621
4622           /* When "iexpire" is < 7, a "flip" has occured.
4623              Adjust "inow" accordingly. */
4624           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4625
4626           if (iexpire >= inow)
4627             {
4628             prvscheck_result = US"1";
4629             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
4630             }
4631           else
4632             {
4633             prvscheck_result = NULL;
4634             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
4635             }
4636           }
4637         else
4638           {
4639           prvscheck_result = NULL;
4640           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
4641           }
4642
4643         /* Now expand the final argument. We leave this till now so that
4644         it can include $prvscheck_result. */
4645
4646         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4647           {
4648           case 1: goto EXPAND_FAILED_CURLY;
4649           case 2:
4650           case 3: goto EXPAND_FAILED;
4651           }
4652
4653         yield = string_cat(yield,
4654           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
4655
4656         /* Reset the "internal" variables afterwards, because they are in
4657         dynamic store that will be reclaimed if the expansion succeeded. */
4658
4659         prvscheck_address = NULL;
4660         prvscheck_keynum = NULL;
4661         }
4662       else
4663         /* Does not look like a prvs encoded address, return the empty string.
4664            We need to make sure all subs are expanded first, so as to skip over
4665            the entire item. */
4666
4667         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4668           {
4669           case 1: goto EXPAND_FAILED_CURLY;
4670           case 2:
4671           case 3: goto EXPAND_FAILED;
4672           }
4673
4674       continue;
4675       }
4676
4677     /* Handle "readfile" to insert an entire file */
4678
4679     case EITEM_READFILE:
4680       {
4681       FILE *f;
4682       uschar *sub_arg[2];
4683
4684       if ((expand_forbid & RDO_READFILE) != 0)
4685         {
4686         expand_string_message = US"file insertions are not permitted";
4687         goto EXPAND_FAILED;
4688         }
4689
4690       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4691         {
4692         case 1: goto EXPAND_FAILED_CURLY;
4693         case 2:
4694         case 3: goto EXPAND_FAILED;
4695         }
4696
4697       /* If skipping, we don't actually do anything */
4698
4699       if (skipping) continue;
4700
4701       /* Open the file and read it */
4702
4703       if (!(f = Ufopen(sub_arg[0], "rb")))
4704         {
4705         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4706         goto EXPAND_FAILED;
4707         }
4708
4709       yield = cat_file(f, yield, sub_arg[1]);
4710       (void)fclose(f);
4711       continue;
4712       }
4713
4714     /* Handle "readsocket" to insert data from a socket, either
4715     Inet or Unix domain */
4716
4717     case EITEM_READSOCK:
4718       {
4719       int fd;
4720       int timeout = 5;
4721       int save_ptr = yield->ptr;
4722       FILE *f;
4723       uschar *arg;
4724       uschar *sub_arg[4];
4725       BOOL do_shutdown = TRUE;
4726       blob reqstr;
4727
4728       if (expand_forbid & RDO_READSOCK)
4729         {
4730         expand_string_message = US"socket insertions are not permitted";
4731         goto EXPAND_FAILED;
4732         }
4733
4734       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4735       because there may be a string for expansion on failure. */
4736
4737       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4738         {
4739         case 1: goto EXPAND_FAILED_CURLY;
4740         case 2:                             /* Won't occur: no end check */
4741         case 3: goto EXPAND_FAILED;
4742         }
4743
4744       /* Grab the request string, if any */
4745
4746       reqstr.data = sub_arg[1];
4747       reqstr.len = Ustrlen(sub_arg[1]);
4748
4749       /* Sort out timeout, if given.  The second arg is a list with the first element
4750       being a time value.  Any more are options of form "name=value".  Currently the
4751       only option recognised is "shutdown". */
4752
4753       if (sub_arg[2])
4754         {
4755         const uschar * list = sub_arg[2];
4756         uschar * item;
4757         int sep = 0;
4758
4759         item = string_nextinlist(&list, &sep, NULL, 0);
4760         if ((timeout = readconf_readtime(item, 0, FALSE)) < 0)
4761           {
4762           expand_string_message = string_sprintf("bad time value %s", item);
4763           goto EXPAND_FAILED;
4764           }
4765
4766         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
4767           if (Ustrncmp(item, US"shutdown=", 9) == 0)
4768             if (Ustrcmp(item + 9, US"no") == 0)
4769               do_shutdown = FALSE;
4770         }
4771       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4772
4773       /* If skipping, we don't actually do anything. Otherwise, arrange to
4774       connect to either an IP or a Unix socket. */
4775
4776       if (!skipping)
4777         {
4778         /* Handle an IP (internet) domain */
4779
4780         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4781           {
4782           int port;
4783           uschar * server_name = sub_arg[0] + 5;
4784           uschar * port_name = Ustrrchr(server_name, ':');
4785
4786           /* Sort out the port */
4787
4788           if (!port_name)
4789             {
4790             expand_string_message =
4791               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4792             goto EXPAND_FAILED;
4793             }
4794           *port_name++ = 0;           /* Terminate server name */
4795
4796           if (isdigit(*port_name))
4797             {
4798             uschar *end;
4799             port = Ustrtol(port_name, &end, 0);
4800             if (end != port_name + Ustrlen(port_name))
4801               {
4802               expand_string_message =
4803                 string_sprintf("invalid port number %s", port_name);
4804               goto EXPAND_FAILED;
4805               }
4806             }
4807           else
4808             {
4809             struct servent *service_info = getservbyname(CS port_name, "tcp");
4810             if (!service_info)
4811               {
4812               expand_string_message = string_sprintf("unknown port \"%s\"",
4813                 port_name);
4814               goto EXPAND_FAILED;
4815               }
4816             port = ntohs(service_info->s_port);
4817             }
4818
4819           fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4820                   timeout, NULL, &expand_string_message, &reqstr);
4821           callout_address = NULL;
4822           if (fd < 0)
4823               goto SOCK_FAIL;
4824           reqstr.len = 0;
4825           }
4826
4827         /* Handle a Unix domain socket */
4828
4829         else
4830           {
4831           struct sockaddr_un sockun;         /* don't call this "sun" ! */
4832           int rc;
4833
4834           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4835             {
4836             expand_string_message = string_sprintf("failed to create socket: %s",
4837               strerror(errno));
4838             goto SOCK_FAIL;
4839             }
4840
4841           sockun.sun_family = AF_UNIX;
4842           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4843             sub_arg[0]);
4844
4845           sigalrm_seen = FALSE;
4846           alarm(timeout);
4847           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4848           alarm(0);
4849           if (sigalrm_seen)
4850             {
4851             expand_string_message = US "socket connect timed out";
4852             goto SOCK_FAIL;
4853             }
4854           if (rc < 0)
4855             {
4856             expand_string_message = string_sprintf("failed to connect to socket "
4857               "%s: %s", sub_arg[0], strerror(errno));
4858             goto SOCK_FAIL;
4859             }
4860           }
4861
4862         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
4863
4864         /* Allow sequencing of test actions */
4865         if (running_in_test_harness) millisleep(100);
4866
4867         /* Write the request string, if not empty or already done */
4868
4869         if (reqstr.len)
4870           {
4871           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
4872             reqstr.data);
4873           if (write(fd, reqstr.data, reqstr.len) != reqstr.len)
4874             {
4875             expand_string_message = string_sprintf("request write to socket "
4876               "failed: %s", strerror(errno));
4877             goto SOCK_FAIL;
4878             }
4879           }
4880
4881         /* Shut down the sending side of the socket. This helps some servers to
4882         recognise that it is their turn to do some work. Just in case some
4883         system doesn't have this function, make it conditional. */
4884
4885 #ifdef SHUT_WR
4886         if (do_shutdown) shutdown(fd, SHUT_WR);
4887 #endif
4888
4889         if (running_in_test_harness) millisleep(100);
4890
4891         /* Now we need to read from the socket, under a timeout. The function
4892         that reads a file can be used. */
4893
4894         f = fdopen(fd, "rb");
4895         sigalrm_seen = FALSE;
4896         alarm(timeout);
4897         yield = cat_file(f, yield, sub_arg[3]);
4898         alarm(0);
4899         (void)fclose(f);
4900
4901         /* After a timeout, we restore the pointer in the result, that is,
4902         make sure we add nothing from the socket. */
4903
4904         if (sigalrm_seen)
4905           {
4906           yield->ptr = save_ptr;
4907           expand_string_message = US "socket read timed out";
4908           goto SOCK_FAIL;
4909           }
4910         }
4911
4912       /* The whole thing has worked (or we were skipping). If there is a
4913       failure string following, we need to skip it. */
4914
4915       if (*s == '{')
4916         {
4917         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4918           goto EXPAND_FAILED;
4919         if (*s++ != '}')
4920           {
4921           expand_string_message = US"missing '}' closing failstring for readsocket";
4922           goto EXPAND_FAILED_CURLY;
4923           }
4924         while (isspace(*s)) s++;
4925         }
4926
4927     READSOCK_DONE:
4928       if (*s++ != '}')
4929         {
4930         expand_string_message = US"missing '}' closing readsocket";
4931         goto EXPAND_FAILED_CURLY;
4932         }
4933       continue;
4934
4935       /* Come here on failure to create socket, connect socket, write to the
4936       socket, or timeout on reading. If another substring follows, expand and
4937       use it. Otherwise, those conditions give expand errors. */
4938
4939     SOCK_FAIL:
4940       if (*s != '{') goto EXPAND_FAILED;
4941       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4942       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
4943         goto EXPAND_FAILED;
4944       yield = string_cat(yield, arg);
4945       if (*s++ != '}')
4946         {
4947         expand_string_message = US"missing '}' closing failstring for readsocket";
4948         goto EXPAND_FAILED_CURLY;
4949         }
4950       while (isspace(*s)) s++;
4951       goto READSOCK_DONE;
4952       }
4953
4954     /* Handle "run" to execute a program. */
4955
4956     case EITEM_RUN:
4957       {
4958       FILE *f;
4959       uschar *arg;
4960       const uschar **argv;
4961       pid_t pid;
4962       int fd_in, fd_out;
4963
4964       if ((expand_forbid & RDO_RUN) != 0)
4965         {
4966         expand_string_message = US"running a command is not permitted";
4967         goto EXPAND_FAILED;
4968         }
4969
4970       while (isspace(*s)) s++;
4971       if (*s != '{')
4972         {
4973         expand_string_message = US"missing '{' for command arg of run";
4974         goto EXPAND_FAILED_CURLY;
4975         }
4976       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4977       if (arg == NULL) goto EXPAND_FAILED;
4978       while (isspace(*s)) s++;
4979       if (*s++ != '}')
4980         {
4981         expand_string_message = US"missing '}' closing command arg of run";
4982         goto EXPAND_FAILED_CURLY;
4983         }
4984
4985       if (skipping)   /* Just pretend it worked when we're skipping */
4986         {
4987         runrc = 0;
4988         lookup_value = NULL;
4989         }
4990       else
4991         {
4992         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4993             arg,                                /* raw command */
4994             FALSE,                              /* don't expand the arguments */
4995             0,                                  /* not relevant when... */
4996             NULL,                               /* no transporting address */
4997             US"${run} expansion",               /* for error messages */
4998             &expand_string_message))            /* where to put error message */
4999           goto EXPAND_FAILED;
5000
5001         /* Create the child process, making it a group leader. */
5002
5003         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
5004           {
5005           expand_string_message =
5006             string_sprintf("couldn't create child process: %s", strerror(errno));
5007           goto EXPAND_FAILED;
5008           }
5009
5010         /* Nothing is written to the standard input. */
5011
5012         (void)close(fd_in);
5013
5014         /* Read the pipe to get the command's output into $value (which is kept
5015         in lookup_value). Read during execution, so that if the output exceeds
5016         the OS pipe buffer limit, we don't block forever. Remember to not release
5017         memory just allocated for $value. */
5018
5019         resetok = FALSE;
5020         f = fdopen(fd_out, "rb");
5021         sigalrm_seen = FALSE;
5022         alarm(60);
5023         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5024         alarm(0);
5025         (void)fclose(f);
5026
5027         /* Wait for the process to finish, applying the timeout, and inspect its
5028         return code for serious disasters. Simple non-zero returns are passed on.
5029         */
5030
5031         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5032           {
5033           if (sigalrm_seen || runrc == -256)
5034             {
5035             expand_string_message = string_sprintf("command timed out");
5036             killpg(pid, SIGKILL);       /* Kill the whole process group */
5037             }
5038
5039           else if (runrc == -257)
5040             expand_string_message = string_sprintf("wait() failed: %s",
5041               strerror(errno));
5042
5043           else
5044             expand_string_message = string_sprintf("command killed by signal %d",
5045               -runrc);
5046
5047           goto EXPAND_FAILED;
5048           }
5049         }
5050
5051       /* Process the yes/no strings; $value may be useful in both cases */
5052
5053       switch(process_yesno(
5054                skipping,                     /* were previously skipping */
5055                runrc == 0,                   /* success/failure indicator */
5056                lookup_value,                 /* value to reset for string2 */
5057                &s,                           /* input pointer */
5058                &yield,                       /* output pointer */
5059                US"run",                      /* condition type */
5060                &resetok))
5061         {
5062         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5063         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5064         }
5065
5066       continue;
5067       }
5068
5069     /* Handle character translation for "tr" */
5070
5071     case EITEM_TR:
5072       {
5073       int oldptr = yield->ptr;
5074       int o2m;
5075       uschar *sub[3];
5076
5077       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5078         {
5079         case 1: goto EXPAND_FAILED_CURLY;
5080         case 2:
5081         case 3: goto EXPAND_FAILED;
5082         }
5083
5084       yield = string_cat(yield, sub[0]);
5085       o2m = Ustrlen(sub[2]) - 1;
5086
5087       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5088         {
5089         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5090         if (m != NULL)
5091           {
5092           int o = m - sub[1];
5093           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5094           }
5095         }
5096
5097       continue;
5098       }
5099
5100     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5101     expanded arguments. */
5102
5103     case EITEM_HASH:
5104     case EITEM_LENGTH:
5105     case EITEM_NHASH:
5106     case EITEM_SUBSTR:
5107       {
5108       int i;
5109       int len;
5110       uschar *ret;
5111       int val[2] = { 0, -1 };
5112       uschar *sub[3];
5113
5114       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5115       Ensure that sub[2] is set in the ${length } case. */
5116
5117       sub[2] = NULL;
5118       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5119              TRUE, name, &resetok))
5120         {
5121         case 1: goto EXPAND_FAILED_CURLY;
5122         case 2:
5123         case 3: goto EXPAND_FAILED;
5124         }
5125
5126       /* Juggle the arguments if there are only two of them: always move the
5127       string to the last position and make ${length{n}{str}} equivalent to
5128       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5129
5130       if (sub[2] == NULL)
5131         {
5132         sub[2] = sub[1];
5133         sub[1] = NULL;
5134         if (item_type == EITEM_LENGTH)
5135           {
5136           sub[1] = sub[0];
5137           sub[0] = NULL;
5138           }
5139         }
5140
5141       for (i = 0; i < 2; i++)
5142         {
5143         if (sub[i] == NULL) continue;
5144         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5145         if (*ret != 0 || (i != 0 && val[i] < 0))
5146           {
5147           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5148             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5149           goto EXPAND_FAILED;
5150           }
5151         }
5152
5153       ret =
5154         (item_type == EITEM_HASH)?
5155           compute_hash(sub[2], val[0], val[1], &len) :
5156         (item_type == EITEM_NHASH)?
5157           compute_nhash(sub[2], val[0], val[1], &len) :
5158           extract_substr(sub[2], val[0], val[1], &len);
5159
5160       if (ret == NULL) goto EXPAND_FAILED;
5161       yield = string_catn(yield, ret, len);
5162       continue;
5163       }
5164
5165     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5166     This code originally contributed by Steve Haslam. It currently supports
5167     the use of MD5 and SHA-1 hashes.
5168
5169     We need some workspace that is large enough to handle all the supported
5170     hash types. Use macros to set the sizes rather than be too elaborate. */
5171
5172     #define MAX_HASHLEN      20
5173     #define MAX_HASHBLOCKLEN 64
5174
5175     case EITEM_HMAC:
5176       {
5177       uschar *sub[3];
5178       md5 md5_base;
5179       hctx sha1_ctx;
5180       void *use_base;
5181       int type, i;
5182       int hashlen;      /* Number of octets for the hash algorithm's output */
5183       int hashblocklen; /* Number of octets the hash algorithm processes */
5184       uschar *keyptr, *p;
5185       unsigned int keylen;
5186
5187       uschar keyhash[MAX_HASHLEN];
5188       uschar innerhash[MAX_HASHLEN];
5189       uschar finalhash[MAX_HASHLEN];
5190       uschar finalhash_hex[2*MAX_HASHLEN];
5191       uschar innerkey[MAX_HASHBLOCKLEN];
5192       uschar outerkey[MAX_HASHBLOCKLEN];
5193
5194       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5195         {
5196         case 1: goto EXPAND_FAILED_CURLY;
5197         case 2:
5198         case 3: goto EXPAND_FAILED;
5199         }
5200
5201       if (!skipping)
5202         {
5203         if (Ustrcmp(sub[0], "md5") == 0)
5204           {
5205           type = HMAC_MD5;
5206           use_base = &md5_base;
5207           hashlen = 16;
5208           hashblocklen = 64;
5209           }
5210         else if (Ustrcmp(sub[0], "sha1") == 0)
5211           {
5212           type = HMAC_SHA1;
5213           use_base = &sha1_ctx;
5214           hashlen = 20;
5215           hashblocklen = 64;
5216           }
5217         else
5218           {
5219           expand_string_message =
5220             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5221           goto EXPAND_FAILED;
5222           }
5223
5224         keyptr = sub[1];
5225         keylen = Ustrlen(keyptr);
5226
5227         /* If the key is longer than the hash block length, then hash the key
5228         first */
5229
5230         if (keylen > hashblocklen)
5231           {
5232           chash_start(type, use_base);
5233           chash_end(type, use_base, keyptr, keylen, keyhash);
5234           keyptr = keyhash;
5235           keylen = hashlen;
5236           }
5237
5238         /* Now make the inner and outer key values */
5239
5240         memset(innerkey, 0x36, hashblocklen);
5241         memset(outerkey, 0x5c, hashblocklen);
5242
5243         for (i = 0; i < keylen; i++)
5244           {
5245           innerkey[i] ^= keyptr[i];
5246           outerkey[i] ^= keyptr[i];
5247           }
5248
5249         /* Now do the hashes */
5250
5251         chash_start(type, use_base);
5252         chash_mid(type, use_base, innerkey);
5253         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5254
5255         chash_start(type, use_base);
5256         chash_mid(type, use_base, outerkey);
5257         chash_end(type, use_base, innerhash, hashlen, finalhash);
5258
5259         /* Encode the final hash as a hex string */
5260
5261         p = finalhash_hex;
5262         for (i = 0; i < hashlen; i++)
5263           {
5264           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5265           *p++ = hex_digits[finalhash[i] & 0x0f];
5266           }
5267
5268         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5269           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5270
5271         yield = string_catn(yield, finalhash_hex, hashlen*2);
5272         }
5273       continue;
5274       }
5275
5276     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5277     We have to save the numerical variables and restore them afterwards. */
5278
5279     case EITEM_SG:
5280       {
5281       const pcre *re;
5282       int moffset, moffsetextra, slen;
5283       int roffset;
5284       int emptyopt;
5285       const uschar *rerror;
5286       uschar *subject;
5287       uschar *sub[3];
5288       int save_expand_nmax =
5289         save_expand_strings(save_expand_nstring, save_expand_nlength);
5290
5291       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5292         {
5293         case 1: goto EXPAND_FAILED_CURLY;
5294         case 2:
5295         case 3: goto EXPAND_FAILED;
5296         }
5297
5298       /* Compile the regular expression */
5299
5300       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5301         NULL);
5302
5303       if (re == NULL)
5304         {
5305         expand_string_message = string_sprintf("regular expression error in "
5306           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5307         goto EXPAND_FAILED;
5308         }
5309
5310       /* Now run a loop to do the substitutions as often as necessary. It ends
5311       when there are no more matches. Take care over matches of the null string;
5312       do the same thing as Perl does. */
5313
5314       subject = sub[0];
5315       slen = Ustrlen(sub[0]);
5316       moffset = moffsetextra = 0;
5317       emptyopt = 0;
5318
5319       for (;;)
5320         {
5321         int ovector[3*(EXPAND_MAXN+1)];
5322         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5323           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5324         int nn;
5325         uschar *insert;
5326
5327         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5328         is not necessarily the end. We want to repeat the match from one
5329         character further along, but leaving the basic offset the same (for
5330         copying below). We can't be at the end of the string - that was checked
5331         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5332         finished; copy the remaining string and end the loop. */
5333
5334         if (n < 0)
5335           {
5336           if (emptyopt != 0)
5337             {
5338             moffsetextra = 1;
5339             emptyopt = 0;
5340             continue;
5341             }
5342           yield = string_catn(yield, subject+moffset, slen-moffset);
5343           break;
5344           }
5345
5346         /* Match - set up for expanding the replacement. */
5347
5348         if (n == 0) n = EXPAND_MAXN + 1;
5349         expand_nmax = 0;
5350         for (nn = 0; nn < n*2; nn += 2)
5351           {
5352           expand_nstring[expand_nmax] = subject + ovector[nn];
5353           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5354           }
5355         expand_nmax--;
5356
5357         /* Copy the characters before the match, plus the expanded insertion. */
5358
5359         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5360         insert = expand_string(sub[2]);
5361         if (insert == NULL) goto EXPAND_FAILED;
5362         yield = string_cat(yield, insert);
5363
5364         moffset = ovector[1];
5365         moffsetextra = 0;
5366         emptyopt = 0;
5367
5368         /* If we have matched an empty string, first check to see if we are at
5369         the end of the subject. If so, the loop is over. Otherwise, mimic
5370         what Perl's /g options does. This turns out to be rather cunning. First
5371         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5372         string at the same point. If this fails (picked up above) we advance to
5373         the next character. */
5374
5375         if (ovector[0] == ovector[1])
5376           {
5377           if (ovector[0] == slen) break;
5378           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5379           }
5380         }
5381
5382       /* All done - restore numerical variables. */
5383
5384       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5385         save_expand_nlength);
5386       continue;
5387       }
5388
5389     /* Handle keyed and numbered substring extraction. If the first argument
5390     consists entirely of digits, then a numerical extraction is assumed. */
5391
5392     case EITEM_EXTRACT:
5393       {
5394       int i;
5395       int j;
5396       int field_number = 1;
5397       BOOL field_number_set = FALSE;
5398       uschar *save_lookup_value = lookup_value;
5399       uschar *sub[3];
5400       int save_expand_nmax =
5401         save_expand_strings(save_expand_nstring, save_expand_nlength);
5402
5403       /* While skipping we cannot rely on the data for expansions being
5404       available (eg. $item) hence cannot decide on numeric vs. keyed.
5405       Read a maximum of 5 arguments (including the yes/no) */
5406
5407       if (skipping)
5408         {
5409         while (isspace(*s)) s++;
5410         for (j = 5; j > 0 && *s == '{'; j--)
5411           {
5412           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5413             goto EXPAND_FAILED;                                 /*{*/
5414           if (*s++ != '}')
5415             {
5416             expand_string_message = US"missing '{' for arg of extract";
5417             goto EXPAND_FAILED_CURLY;
5418             }
5419           while (isspace(*s)) s++;
5420           }
5421         if (  Ustrncmp(s, "fail", 4) == 0
5422            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5423            )
5424           {
5425           s += 4;
5426           while (isspace(*s)) s++;
5427           }
5428         if (*s != '}')
5429           {
5430           expand_string_message = US"missing '}' closing extract";
5431           goto EXPAND_FAILED_CURLY;
5432           }
5433         }
5434
5435       else for (i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5436         {
5437         while (isspace(*s)) s++;
5438         if (*s == '{')                                          /*}*/
5439           {
5440           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5441           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5442           if (*s++ != '}')
5443             {
5444             expand_string_message = string_sprintf(
5445               "missing '}' closing arg %d of extract", i+1);
5446             goto EXPAND_FAILED_CURLY;
5447             }
5448
5449           /* After removal of leading and trailing white space, the first
5450           argument must not be empty; if it consists entirely of digits
5451           (optionally preceded by a minus sign), this is a numerical
5452           extraction, and we expect 3 arguments. */
5453
5454           if (i == 0)
5455             {
5456             int len;
5457             int x = 0;
5458             uschar *p = sub[0];
5459
5460             while (isspace(*p)) p++;
5461             sub[0] = p;
5462
5463             len = Ustrlen(p);
5464             while (len > 0 && isspace(p[len-1])) len--;
5465             p[len] = 0;
5466
5467             if (*p == 0)
5468               {
5469               expand_string_message = US"first argument of \"extract\" must "
5470                 "not be empty";
5471               goto EXPAND_FAILED;
5472               }
5473
5474             if (*p == '-')
5475               {
5476               field_number = -1;
5477               p++;
5478               }
5479             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5480             if (*p == 0)
5481               {
5482               field_number *= x;
5483               j = 3;               /* Need 3 args */
5484               field_number_set = TRUE;
5485               }
5486             }
5487           }
5488         else
5489           {
5490           expand_string_message = string_sprintf(
5491             "missing '{' for arg %d of extract", i+1);
5492           goto EXPAND_FAILED_CURLY;
5493           }
5494         }
5495
5496       /* Extract either the numbered or the keyed substring into $value. If
5497       skipping, just pretend the extraction failed. */
5498
5499       lookup_value = skipping? NULL : field_number_set?
5500         expand_gettokened(field_number, sub[1], sub[2]) :
5501         expand_getkeyed(sub[0], sub[1]);
5502
5503       /* If no string follows, $value gets substituted; otherwise there can
5504       be yes/no strings, as for lookup or if. */
5505
5506       switch(process_yesno(
5507                skipping,                     /* were previously skipping */
5508                lookup_value != NULL,         /* success/failure indicator */
5509                save_lookup_value,            /* value to reset for string2 */
5510                &s,                           /* input pointer */
5511                &yield,                       /* output pointer */
5512                US"extract",                  /* condition type */
5513                &resetok))
5514         {
5515         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5516         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5517         }
5518
5519       /* All done - restore numerical variables. */
5520
5521       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5522         save_expand_nlength);
5523
5524       continue;
5525       }
5526
5527     /* return the Nth item from a list */
5528
5529     case EITEM_LISTEXTRACT:
5530       {
5531       int i;
5532       int field_number = 1;
5533       uschar *save_lookup_value = lookup_value;
5534       uschar *sub[2];
5535       int save_expand_nmax =
5536         save_expand_strings(save_expand_nstring, save_expand_nlength);
5537
5538       /* Read the field & list arguments */
5539
5540       for (i = 0; i < 2; i++)
5541         {
5542         while (isspace(*s)) s++;
5543         if (*s != '{')                                  /*}*/
5544           {
5545           expand_string_message = string_sprintf(
5546             "missing '{' for arg %d of listextract", i+1);
5547           goto EXPAND_FAILED_CURLY;
5548           }
5549
5550         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5551         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5552         if (*s++ != '}')
5553           {
5554           expand_string_message = string_sprintf(
5555             "missing '}' closing arg %d of listextract", i+1);
5556           goto EXPAND_FAILED_CURLY;
5557           }
5558
5559         /* After removal of leading and trailing white space, the first
5560         argument must be numeric and nonempty. */
5561
5562         if (i == 0)
5563           {
5564           int len;
5565           int x = 0;
5566           uschar *p = sub[0];
5567
5568           while (isspace(*p)) p++;
5569           sub[0] = p;
5570
5571           len = Ustrlen(p);
5572           while (len > 0 && isspace(p[len-1])) len--;
5573           p[len] = 0;
5574
5575           if (!*p && !skipping)
5576             {
5577             expand_string_message = US"first argument of \"listextract\" must "
5578               "not be empty";
5579             goto EXPAND_FAILED;
5580             }
5581
5582           if (*p == '-')
5583             {
5584             field_number = -1;
5585             p++;
5586             }
5587           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5588           if (*p)
5589             {
5590             expand_string_message = US"first argument of \"listextract\" must "
5591               "be numeric";
5592             goto EXPAND_FAILED;
5593             }
5594           field_number *= x;
5595           }
5596         }
5597
5598       /* Extract the numbered element into $value. If
5599       skipping, just pretend the extraction failed. */
5600
5601       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5602
5603       /* If no string follows, $value gets substituted; otherwise there can
5604       be yes/no strings, as for lookup or if. */
5605
5606       switch(process_yesno(
5607                skipping,                     /* were previously skipping */
5608                lookup_value != NULL,         /* success/failure indicator */
5609                save_lookup_value,            /* value to reset for string2 */
5610                &s,                           /* input pointer */
5611                &yield,                       /* output pointer */
5612                US"listextract",              /* condition type */
5613                &resetok))
5614         {
5615         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5616         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5617         }
5618
5619       /* All done - restore numerical variables. */
5620
5621       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5622         save_expand_nlength);
5623
5624       continue;
5625       }
5626
5627 #ifdef SUPPORT_TLS
5628     case EITEM_CERTEXTRACT:
5629       {
5630       uschar *save_lookup_value = lookup_value;
5631       uschar *sub[2];
5632       int save_expand_nmax =
5633         save_expand_strings(save_expand_nstring, save_expand_nlength);
5634
5635       /* Read the field argument */
5636       while (isspace(*s)) s++;
5637       if (*s != '{')                                    /*}*/
5638         {
5639         expand_string_message = US"missing '{' for field arg of certextract";
5640         goto EXPAND_FAILED_CURLY;
5641         }
5642       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5643       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5644       if (*s++ != '}')
5645         {
5646         expand_string_message = US"missing '}' closing field arg of certextract";
5647         goto EXPAND_FAILED_CURLY;
5648         }
5649       /* strip spaces fore & aft */
5650       {
5651       int len;
5652       uschar *p = sub[0];
5653
5654       while (isspace(*p)) p++;
5655       sub[0] = p;
5656
5657       len = Ustrlen(p);
5658       while (len > 0 && isspace(p[len-1])) len--;
5659       p[len] = 0;
5660       }
5661
5662       /* inspect the cert argument */
5663       while (isspace(*s)) s++;
5664       if (*s != '{')                                    /*}*/
5665         {
5666         expand_string_message = US"missing '{' for cert variable arg of certextract";
5667         goto EXPAND_FAILED_CURLY;
5668         }
5669       if (*++s != '$')
5670         {
5671         expand_string_message = US"second argument of \"certextract\" must "
5672           "be a certificate variable";
5673         goto EXPAND_FAILED;
5674         }
5675       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5676       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5677       if (*s++ != '}')
5678         {
5679         expand_string_message = US"missing '}' closing cert variable arg of certextract";
5680         goto EXPAND_FAILED_CURLY;
5681         }
5682
5683       if (skipping)
5684         lookup_value = NULL;
5685       else
5686         {
5687         lookup_value = expand_getcertele(sub[0], sub[1]);
5688         if (*expand_string_message) goto EXPAND_FAILED;
5689         }
5690       switch(process_yesno(
5691                skipping,                     /* were previously skipping */
5692                lookup_value != NULL,         /* success/failure indicator */
5693                save_lookup_value,            /* value to reset for string2 */
5694                &s,                           /* input pointer */
5695                &yield,                       /* output pointer */
5696                US"certextract",              /* condition type */
5697                &resetok))
5698         {
5699         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5700         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5701         }
5702
5703       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5704         save_expand_nlength);
5705       continue;
5706       }
5707 #endif  /*SUPPORT_TLS*/
5708
5709     /* Handle list operations */
5710
5711     case EITEM_FILTER:
5712     case EITEM_MAP:
5713     case EITEM_REDUCE:
5714       {
5715       int sep = 0;
5716       int save_ptr = yield->ptr;
5717       uschar outsep[2] = { '\0', '\0' };
5718       const uschar *list, *expr, *temp;
5719       uschar *save_iterate_item = iterate_item;
5720       uschar *save_lookup_value = lookup_value;
5721
5722       while (isspace(*s)) s++;
5723       if (*s++ != '{')
5724         {
5725         expand_string_message =
5726           string_sprintf("missing '{' for first arg of %s", name);
5727         goto EXPAND_FAILED_CURLY;
5728         }
5729
5730       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5731       if (list == NULL) goto EXPAND_FAILED;
5732       if (*s++ != '}')
5733         {
5734         expand_string_message =
5735           string_sprintf("missing '}' closing first arg of %s", name);
5736         goto EXPAND_FAILED_CURLY;
5737         }
5738
5739       if (item_type == EITEM_REDUCE)
5740         {
5741         uschar * t;
5742         while (isspace(*s)) s++;
5743         if (*s++ != '{')
5744           {
5745           expand_string_message = US"missing '{' for second arg of reduce";
5746           goto EXPAND_FAILED_CURLY;
5747           }
5748         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5749         if (!t) goto EXPAND_FAILED;
5750         lookup_value = t;
5751         if (*s++ != '}')
5752           {
5753           expand_string_message = US"missing '}' closing second arg of reduce";
5754           goto EXPAND_FAILED_CURLY;
5755           }
5756         }
5757
5758       while (isspace(*s)) s++;
5759       if (*s++ != '{')
5760         {
5761         expand_string_message =
5762           string_sprintf("missing '{' for last arg of %s", name);
5763         goto EXPAND_FAILED_CURLY;
5764         }
5765
5766       expr = s;
5767
5768       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5769       if scanning a "false" part). This allows us to find the end of the
5770       condition, because if the list is empty, we won't actually evaluate the
5771       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5772       the normal internal expansion function. */
5773
5774       if (item_type == EITEM_FILTER)
5775         {
5776         temp = eval_condition(expr, &resetok, NULL);
5777         if (temp != NULL) s = temp;
5778         }
5779       else
5780         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5781
5782       if (temp == NULL)
5783         {
5784         expand_string_message = string_sprintf("%s inside \"%s\" item",
5785           expand_string_message, name);
5786         goto EXPAND_FAILED;
5787         }
5788
5789       while (isspace(*s)) s++;
5790       if (*s++ != '}')
5791         {                                               /*{*/
5792         expand_string_message = string_sprintf("missing } at end of condition "
5793           "or expression inside \"%s\"", name);
5794         goto EXPAND_FAILED;
5795         }
5796
5797       while (isspace(*s)) s++;                          /*{*/
5798       if (*s++ != '}')
5799         {                                               /*{*/
5800         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5801           name);
5802         goto EXPAND_FAILED;
5803         }
5804
5805       /* If we are skipping, we can now just move on to the next item. When
5806       processing for real, we perform the iteration. */
5807
5808       if (skipping) continue;
5809       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
5810         {
5811         *outsep = (uschar)sep;      /* Separator as a string */
5812
5813         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
5814                           name, iterate_item, lookup_value);
5815
5816         if (item_type == EITEM_FILTER)
5817           {
5818           BOOL condresult;
5819           if (eval_condition(expr, &resetok, &condresult) == NULL)
5820             {
5821             iterate_item = save_iterate_item;
5822             lookup_value = save_lookup_value;
5823             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5824               expand_string_message, name);
5825             goto EXPAND_FAILED;
5826             }
5827           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
5828             condresult? "true":"false");
5829           if (condresult)
5830             temp = iterate_item;    /* TRUE => include this item */
5831           else
5832             continue;               /* FALSE => skip this item */
5833           }
5834
5835         /* EITEM_MAP and EITEM_REDUCE */
5836
5837         else
5838           {
5839           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5840           temp = t;
5841           if (temp == NULL)
5842             {
5843             iterate_item = save_iterate_item;
5844             expand_string_message = string_sprintf("%s inside \"%s\" item",
5845               expand_string_message, name);
5846             goto EXPAND_FAILED;
5847             }
5848           if (item_type == EITEM_REDUCE)
5849             {
5850             lookup_value = t;         /* Update the value of $value */
5851             continue;                 /* and continue the iteration */
5852             }
5853           }
5854
5855         /* We reach here for FILTER if the condition is true, always for MAP,
5856         and never for REDUCE. The value in "temp" is to be added to the output
5857         list that is being created, ensuring that any occurrences of the
5858         separator character are doubled. Unless we are dealing with the first
5859         item of the output list, add in a space if the new item begins with the
5860         separator character, or is an empty string. */
5861
5862         if (yield->ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5863           yield = string_catn(yield, US" ", 1);
5864
5865         /* Add the string in "temp" to the output list that we are building,
5866         This is done in chunks by searching for the separator character. */
5867
5868         for (;;)
5869           {
5870           size_t seglen = Ustrcspn(temp, outsep);
5871
5872           yield = string_catn(yield, temp, seglen + 1);
5873
5874           /* If we got to the end of the string we output one character
5875           too many; backup and end the loop. Otherwise arrange to double the
5876           separator. */
5877
5878           if (temp[seglen] == '\0') { yield->ptr--; break; }
5879           yield = string_catn(yield, outsep, 1);
5880           temp += seglen + 1;
5881           }
5882
5883         /* Output a separator after the string: we will remove the redundant
5884         final one at the end. */
5885
5886         yield = string_catn(yield, outsep, 1);
5887         }   /* End of iteration over the list loop */
5888
5889       /* REDUCE has generated no output above: output the final value of
5890       $value. */
5891
5892       if (item_type == EITEM_REDUCE)
5893         {
5894         yield = string_cat(yield, lookup_value);
5895         lookup_value = save_lookup_value;  /* Restore $value */
5896         }
5897
5898       /* FILTER and MAP generate lists: if they have generated anything, remove
5899       the redundant final separator. Even though an empty item at the end of a
5900       list does not count, this is tidier. */
5901
5902       else if (yield->ptr != save_ptr) yield->ptr--;
5903
5904       /* Restore preserved $item */
5905
5906       iterate_item = save_iterate_item;
5907       continue;
5908       }
5909
5910     case EITEM_SORT:
5911       {
5912       int sep = 0;
5913       const uschar *srclist, *cmp, *xtract;
5914       uschar *srcitem;
5915       const uschar *dstlist = NULL, *dstkeylist = NULL;
5916       uschar * tmp;
5917       uschar *save_iterate_item = iterate_item;
5918
5919       while (isspace(*s)) s++;
5920       if (*s++ != '{')
5921         {
5922         expand_string_message = US"missing '{' for list arg of sort";
5923         goto EXPAND_FAILED_CURLY;
5924         }
5925
5926       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5927       if (!srclist) goto EXPAND_FAILED;
5928       if (*s++ != '}')
5929         {
5930         expand_string_message = US"missing '}' closing list arg of sort";
5931         goto EXPAND_FAILED_CURLY;
5932         }
5933
5934       while (isspace(*s)) s++;
5935       if (*s++ != '{')
5936         {
5937         expand_string_message = US"missing '{' for comparator arg of sort";
5938         goto EXPAND_FAILED_CURLY;
5939         }
5940
5941       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5942       if (!cmp) goto EXPAND_FAILED;
5943       if (*s++ != '}')
5944         {
5945         expand_string_message = US"missing '}' closing comparator arg of sort";
5946         goto EXPAND_FAILED_CURLY;
5947         }
5948
5949       while (isspace(*s)) s++;
5950       if (*s++ != '{')
5951         {
5952         expand_string_message = US"missing '{' for extractor arg of sort";
5953         goto EXPAND_FAILED_CURLY;
5954         }
5955
5956       xtract = s;
5957       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5958       if (!tmp) goto EXPAND_FAILED;
5959       xtract = string_copyn(xtract, s - xtract);
5960
5961       if (*s++ != '}')
5962         {
5963         expand_string_message = US"missing '}' closing extractor arg of sort";
5964         goto EXPAND_FAILED_CURLY;
5965         }
5966                                                         /*{*/
5967       if (*s++ != '}')
5968         {                                               /*{*/
5969         expand_string_message = US"missing } at end of \"sort\"";
5970         goto EXPAND_FAILED;
5971         }
5972
5973       if (skipping) continue;
5974
5975       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5976         {
5977         uschar * dstitem;
5978         gstring * newlist = NULL;
5979         gstring * newkeylist = NULL;
5980         uschar * srcfield;
5981
5982         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
5983
5984         /* extract field for comparisons */
5985         iterate_item = srcitem;
5986         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5987                                           TRUE, &resetok))
5988            || !*srcfield)
5989           {
5990           expand_string_message = string_sprintf(
5991               "field-extract in sort: \"%s\"", xtract);
5992           goto EXPAND_FAILED;
5993           }
5994
5995         /* Insertion sort */
5996
5997         /* copy output list until new-item < list-item */
5998         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5999           {
6000           uschar * dstfield;
6001           uschar * expr;
6002           BOOL before;
6003
6004           /* field for comparison */
6005           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6006             goto sort_mismatch;
6007
6008           /* build and run condition string */
6009           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
6010
6011           DEBUG(D_expand) debug_printf_indent("%s: cond = \"%s\"\n", name, expr);
6012           if (!eval_condition(expr, &resetok, &before))
6013             {
6014             expand_string_message = string_sprintf("comparison in sort: %s",
6015                 expr);
6016             goto EXPAND_FAILED;
6017             }
6018
6019           if (before)
6020             {
6021             /* New-item sorts before this dst-item.  Append new-item,
6022             then dst-item, then remainder of dst list. */
6023
6024             newlist = string_append_listele(newlist, sep, srcitem);
6025             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6026             srcitem = NULL;
6027
6028             newlist = string_append_listele(newlist, sep, dstitem);
6029             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6030
6031             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6032               {
6033               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6034                 goto sort_mismatch;
6035               newlist = string_append_listele(newlist, sep, dstitem);
6036               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6037               }
6038
6039             break;
6040             }
6041
6042           newlist = string_append_listele(newlist, sep, dstitem);
6043           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6044           }
6045
6046         /* If we ran out of dstlist without consuming srcitem, append it */
6047         if (srcitem)
6048           {
6049           newlist = string_append_listele(newlist, sep, srcitem);
6050           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6051           }
6052
6053         dstlist = newlist->s;
6054         dstkeylist = newkeylist->s;
6055
6056         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6057         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6058         }
6059
6060       if (dstlist)
6061         yield = string_cat(yield, dstlist);
6062
6063       /* Restore preserved $item */
6064       iterate_item = save_iterate_item;
6065       continue;
6066
6067       sort_mismatch:
6068         expand_string_message = US"Internal error in sort (list mismatch)";
6069         goto EXPAND_FAILED;
6070       }
6071
6072
6073     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6074     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6075     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6076     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6077
6078     #define EXPAND_DLFUNC_MAX_ARGS 8
6079
6080     case EITEM_DLFUNC:
6081 #ifndef EXPAND_DLFUNC
6082       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6083         "is not included in this binary";
6084       goto EXPAND_FAILED;
6085
6086 #else   /* EXPAND_DLFUNC */
6087       {
6088       tree_node *t;
6089       exim_dlfunc_t *func;
6090       uschar *result;
6091       int status, argc;
6092       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6093
6094       if ((expand_forbid & RDO_DLFUNC) != 0)
6095         {
6096         expand_string_message =
6097           US"dynamically-loaded functions are not permitted";
6098         goto EXPAND_FAILED;
6099         }
6100
6101       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6102            TRUE, US"dlfunc", &resetok))
6103         {
6104         case 1: goto EXPAND_FAILED_CURLY;
6105         case 2:
6106         case 3: goto EXPAND_FAILED;
6107         }
6108
6109       /* If skipping, we don't actually do anything */
6110
6111       if (skipping) continue;
6112
6113       /* Look up the dynamically loaded object handle in the tree. If it isn't
6114       found, dlopen() the file and put the handle in the tree for next time. */
6115
6116       t = tree_search(dlobj_anchor, argv[0]);
6117       if (t == NULL)
6118         {
6119         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6120         if (handle == NULL)
6121           {
6122           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6123             argv[0], dlerror());
6124           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6125           goto EXPAND_FAILED;
6126           }
6127         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
6128         Ustrcpy(t->name, argv[0]);
6129         t->data.ptr = handle;
6130         (void)tree_insertnode(&dlobj_anchor, t);
6131         }
6132
6133       /* Having obtained the dynamically loaded object handle, look up the
6134       function pointer. */
6135
6136       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
6137       if (func == NULL)
6138         {
6139         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6140           "%s", argv[1], argv[0], dlerror());
6141         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6142         goto EXPAND_FAILED;
6143         }
6144
6145       /* Call the function and work out what to do with the result. If it
6146       returns OK, we have a replacement string; if it returns DEFER then
6147       expansion has failed in a non-forced manner; if it returns FAIL then
6148       failure was forced; if it returns ERROR or any other value there's a
6149       problem, so panic slightly. In any case, assume that the function has
6150       side-effects on the store that must be preserved. */
6151
6152       resetok = FALSE;
6153       result = NULL;
6154       for (argc = 0; argv[argc] != NULL; argc++);
6155       status = func(&result, argc - 2, &argv[2]);
6156       if(status == OK)
6157         {
6158         if (result == NULL) result = US"";
6159         yield = string_cat(yield, result);
6160         continue;
6161         }
6162       else
6163         {
6164         expand_string_message = result == NULL ? US"(no message)" : result;
6165         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
6166           else if(status != FAIL)
6167             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6168               argv[0], argv[1], status, expand_string_message);
6169         goto EXPAND_FAILED;
6170         }
6171       }
6172 #endif /* EXPAND_DLFUNC */
6173
6174     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6175       {
6176       uschar * key;
6177       uschar *save_lookup_value = lookup_value;
6178
6179       while (isspace(*s)) s++;
6180       if (*s != '{')                                    /*}*/
6181         goto EXPAND_FAILED;
6182
6183       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6184       if (!key) goto EXPAND_FAILED;                     /*{*/
6185       if (*s++ != '}')
6186         {
6187         expand_string_message = US"missing '{' for name arg of env";
6188         goto EXPAND_FAILED_CURLY;
6189         }
6190
6191       lookup_value = US getenv(CS key);
6192
6193       switch(process_yesno(
6194                skipping,                     /* were previously skipping */
6195                lookup_value != NULL,         /* success/failure indicator */
6196                save_lookup_value,            /* value to reset for string2 */
6197                &s,                           /* input pointer */
6198                &yield,                       /* output pointer */
6199                US"env",                      /* condition type */
6200                &resetok))
6201         {
6202         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6203         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6204         }
6205       continue;
6206       }
6207     }   /* EITEM_* switch */
6208
6209   /* Control reaches here if the name is not recognized as one of the more
6210   complicated expansion items. Check for the "operator" syntax (name terminated
6211   by a colon). Some of the operators have arguments, separated by _ from the
6212   name. */
6213
6214   if (*s == ':')
6215     {
6216     int c;
6217     uschar *arg = NULL;
6218     uschar *sub;
6219     var_entry *vp = NULL;
6220
6221     /* Owing to an historical mis-design, an underscore may be part of the
6222     operator name, or it may introduce arguments.  We therefore first scan the
6223     table of names that contain underscores. If there is no match, we cut off
6224     the arguments and then scan the main table. */
6225
6226     if ((c = chop_match(name, op_table_underscore,
6227                         nelem(op_table_underscore))) < 0)
6228       {
6229       arg = Ustrchr(name, '_');
6230       if (arg != NULL) *arg = 0;
6231       c = chop_match(name, op_table_main, nelem(op_table_main));
6232       if (c >= 0) c += nelem(op_table_underscore);
6233       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6234       }
6235
6236     /* Deal specially with operators that might take a certificate variable
6237     as we do not want to do the usual expansion. For most, expand the string.*/
6238     switch(c)
6239       {
6240 #ifdef SUPPORT_TLS
6241       case EOP_MD5:
6242       case EOP_SHA1:
6243       case EOP_SHA256:
6244       case EOP_BASE64:
6245         if (s[1] == '$')
6246           {
6247           const uschar * s1 = s;
6248           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6249                   FALSE, &resetok);
6250           if (!sub)       goto EXPAND_FAILED;           /*{*/
6251           if (*s1 != '}')
6252             {
6253             expand_string_message =
6254               string_sprintf("missing '}' closing cert arg of %s", name);
6255             goto EXPAND_FAILED_CURLY;
6256             }
6257           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6258             {
6259             s = s1+1;
6260             break;
6261             }
6262           vp = NULL;
6263           }
6264         /*FALLTHROUGH*/
6265 #endif
6266       default:
6267         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6268         if (!sub) goto EXPAND_FAILED;
6269         s++;
6270         break;
6271       }
6272
6273     /* If we are skipping, we don't need to perform the operation at all.
6274     This matters for operations like "mask", because the data may not be
6275     in the correct format when skipping. For example, the expression may test
6276     for the existence of $sender_host_address before trying to mask it. For
6277     other operations, doing them may not fail, but it is a waste of time. */
6278
6279     if (skipping && c >= 0) continue;
6280
6281     /* Otherwise, switch on the operator type */
6282
6283     switch(c)
6284       {
6285       case EOP_BASE32:
6286         {
6287         uschar *t;
6288         unsigned long int n = Ustrtoul(sub, &t, 10);
6289         gstring * g = NULL;
6290
6291         if (*t != 0)
6292           {
6293           expand_string_message = string_sprintf("argument for base32 "
6294             "operator is \"%s\", which is not a decimal number", sub);
6295           goto EXPAND_FAILED;
6296           }
6297         for ( ; n; n >>= 5)
6298           g = string_catn(g, &base32_chars[n & 0x1f], 1);
6299
6300         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
6301         continue;
6302         }
6303
6304       case EOP_BASE32D:
6305         {
6306         uschar *tt = sub;
6307         unsigned long int n = 0;
6308         uschar * s;
6309         while (*tt)
6310           {
6311           uschar * t = Ustrchr(base32_chars, *tt++);
6312           if (t == NULL)
6313             {
6314             expand_string_message = string_sprintf("argument for base32d "
6315               "operator is \"%s\", which is not a base 32 number", sub);
6316             goto EXPAND_FAILED;
6317             }
6318           n = n * 32 + (t - base32_chars);
6319           }
6320         s = string_sprintf("%ld", n);
6321         yield = string_cat(yield, s);
6322         continue;
6323         }
6324
6325       case EOP_BASE62:
6326         {
6327         uschar *t;
6328         unsigned long int n = Ustrtoul(sub, &t, 10);
6329         if (*t != 0)
6330           {
6331           expand_string_message = string_sprintf("argument for base62 "
6332             "operator is \"%s\", which is not a decimal number", sub);
6333           goto EXPAND_FAILED;
6334           }
6335         t = string_base62(n);
6336         yield = string_cat(yield, t);
6337         continue;
6338         }
6339
6340       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6341
6342       case EOP_BASE62D:
6343         {
6344         uschar buf[16];
6345         uschar *tt = sub;
6346         unsigned long int n = 0;
6347         while (*tt != 0)
6348           {
6349           uschar *t = Ustrchr(base62_chars, *tt++);
6350           if (t == NULL)
6351             {
6352             expand_string_message = string_sprintf("argument for base62d "
6353               "operator is \"%s\", which is not a base %d number", sub,
6354               BASE_62);
6355             goto EXPAND_FAILED;
6356             }
6357           n = n * BASE_62 + (t - base62_chars);
6358           }
6359         (void)sprintf(CS buf, "%ld", n);
6360         yield = string_cat(yield, buf);
6361         continue;
6362         }
6363
6364       case EOP_EXPAND:
6365         {
6366         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6367         if (expanded == NULL)
6368           {
6369           expand_string_message =
6370             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6371               expand_string_message);
6372           goto EXPAND_FAILED;
6373           }
6374         yield = string_cat(yield, expanded);
6375         continue;
6376         }
6377
6378       case EOP_LC:
6379         {
6380         int count = 0;
6381         uschar *t = sub - 1;
6382         while (*(++t) != 0) { *t = tolower(*t); count++; }
6383         yield = string_catn(yield, sub, count);
6384         continue;
6385         }
6386
6387       case EOP_UC:
6388         {
6389         int count = 0;
6390         uschar *t = sub - 1;
6391         while (*(++t) != 0) { *t = toupper(*t); count++; }
6392         yield = string_catn(yield, sub, count);
6393         continue;
6394         }
6395
6396       case EOP_MD5:
6397 #ifdef SUPPORT_TLS
6398         if (vp && *(void **)vp->value)
6399           {
6400           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6401           yield = string_cat(yield, cp);
6402           }
6403         else
6404 #endif
6405           {
6406           md5 base;
6407           uschar digest[16];
6408           int j;
6409           char st[33];
6410           md5_start(&base);
6411           md5_end(&base, sub, Ustrlen(sub), digest);
6412           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6413           yield = string_cat(yield, US st);
6414           }
6415         continue;
6416
6417       case EOP_SHA1:
6418 #ifdef SUPPORT_TLS
6419         if (vp && *(void **)vp->value)
6420           {
6421           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6422           yield = string_cat(yield, cp);
6423           }
6424         else
6425 #endif
6426           {
6427           hctx h;
6428           uschar digest[20];
6429           int j;
6430           char st[41];
6431           sha1_start(&h);
6432           sha1_end(&h, sub, Ustrlen(sub), digest);
6433           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6434           yield = string_catn(yield, US st, 40);
6435           }
6436         continue;
6437
6438       case EOP_SHA256:
6439 #ifdef EXIM_HAVE_SHA2
6440         if (vp && *(void **)vp->value)
6441           {
6442           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6443           yield = string_cat(yield, cp);
6444           }
6445         else
6446           {
6447           hctx h;
6448           blob b;
6449           char st[3];
6450
6451           if (!exim_sha_init(&h, HASH_SHA2_256))
6452             {
6453             expand_string_message = US"unrecognised sha256 variant";
6454             goto EXPAND_FAILED;
6455             }
6456           exim_sha_update(&h, sub, Ustrlen(sub));
6457           exim_sha_finish(&h, &b);
6458           while (b.len-- > 0)
6459             {
6460             sprintf(st, "%02X", *b.data++);
6461             yield = string_catn(yield, US st, 2);
6462             }
6463           }
6464 #else
6465           expand_string_message = US"sha256 only supported with TLS";
6466 #endif
6467         continue;
6468
6469       case EOP_SHA3:
6470 #ifdef EXIM_HAVE_SHA3
6471         {
6472         hctx h;
6473         blob b;
6474         char st[3];
6475         hashmethod m = !arg ? HASH_SHA3_256
6476           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
6477           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
6478           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
6479           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
6480           : HASH_BADTYPE;
6481
6482         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
6483           {
6484           expand_string_message = US"unrecognised sha3 variant";
6485           goto EXPAND_FAILED;
6486           }
6487
6488         exim_sha_update(&h, sub, Ustrlen(sub));
6489         exim_sha_finish(&h, &b);
6490         while (b.len-- > 0)
6491           {
6492           sprintf(st, "%02X", *b.data++);
6493           yield = string_catn(yield, US st, 2);
6494           }
6495         }
6496         continue;
6497 #else
6498         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 +";
6499         goto EXPAND_FAILED;
6500 #endif
6501
6502       /* Convert hex encoding to base64 encoding */
6503
6504       case EOP_HEX2B64:
6505         {
6506         int c = 0;
6507         int b = -1;
6508         uschar *in = sub;
6509         uschar *out = sub;
6510         uschar *enc;
6511
6512         for (enc = sub; *enc != 0; enc++)
6513           {
6514           if (!isxdigit(*enc))
6515             {
6516             expand_string_message = string_sprintf("\"%s\" is not a hex "
6517               "string", sub);
6518             goto EXPAND_FAILED;
6519             }
6520           c++;
6521           }
6522
6523         if ((c & 1) != 0)
6524           {
6525           expand_string_message = string_sprintf("\"%s\" contains an odd "
6526             "number of characters", sub);
6527           goto EXPAND_FAILED;
6528           }
6529
6530         while ((c = *in++) != 0)
6531           {
6532           if (isdigit(c)) c -= '0';
6533           else c = toupper(c) - 'A' + 10;
6534           if (b == -1)
6535             {
6536             b = c << 4;
6537             }
6538           else
6539             {
6540             *out++ = b | c;
6541             b = -1;
6542             }
6543           }
6544
6545         enc = b64encode(sub, out - sub);
6546         yield = string_cat(yield, enc);
6547         continue;
6548         }
6549
6550       /* Convert octets outside 0x21..0x7E to \xXX form */
6551
6552       case EOP_HEXQUOTE:
6553         {
6554         uschar *t = sub - 1;
6555         while (*(++t) != 0)
6556           {
6557           if (*t < 0x21 || 0x7E < *t)
6558             yield = string_catn(yield, string_sprintf("\\x%02x", *t), 4);
6559           else
6560             yield = string_catn(yield, t, 1);
6561           }
6562         continue;
6563         }
6564
6565       /* count the number of list elements */
6566
6567       case EOP_LISTCOUNT:
6568         {
6569         int cnt = 0;
6570         int sep = 0;
6571         uschar * cp;
6572         uschar buffer[256];
6573
6574         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6575         cp = string_sprintf("%d", cnt);
6576         yield = string_cat(yield, cp);
6577         continue;
6578         }
6579
6580       /* expand a named list given the name */
6581       /* handles nested named lists; requotes as colon-sep list */
6582
6583       case EOP_LISTNAMED:
6584         {
6585         tree_node *t = NULL;
6586         const uschar * list;
6587         int sep = 0;
6588         uschar * item;
6589         uschar * suffix = US"";
6590         BOOL needsep = FALSE;
6591         uschar buffer[256];
6592
6593         if (*sub == '+') sub++;
6594         if (arg == NULL)        /* no-argument version */
6595           {
6596           if (!(t = tree_search(addresslist_anchor, sub)) &&
6597               !(t = tree_search(domainlist_anchor,  sub)) &&
6598               !(t = tree_search(hostlist_anchor,    sub)))
6599             t = tree_search(localpartlist_anchor, sub);
6600           }
6601         else switch(*arg)       /* specific list-type version */
6602           {
6603           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6604           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6605           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6606           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6607           default:
6608             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6609             goto EXPAND_FAILED;
6610           }
6611
6612         if(!t)
6613           {
6614           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6615             sub, !arg?""
6616               : *arg=='a'?"address "
6617               : *arg=='d'?"domain "
6618               : *arg=='h'?"host "
6619               : *arg=='l'?"localpart "
6620               : 0);
6621           goto EXPAND_FAILED;
6622           }
6623
6624         list = ((namedlist_block *)(t->data.ptr))->string;
6625
6626         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
6627           {
6628           uschar * buf = US" : ";
6629           if (needsep)
6630             yield = string_catn(yield, buf, 3);
6631           else
6632             needsep = TRUE;
6633
6634           if (*item == '+')     /* list item is itself a named list */
6635             {
6636             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6637             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6638             }
6639           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6640             {
6641             char * cp;
6642             char tok[3];
6643             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6644             while ((cp= strpbrk(CCS item, tok)))
6645               {
6646               yield = string_catn(yield, item, cp - CS item);
6647               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6648                 {
6649                 yield = string_catn(yield, US"::", 2);
6650                 item = US cp;
6651                 }
6652               else              /* sep in item; should already be doubled; emit once */
6653                 {
6654                 yield = string_catn(yield, US tok, 1);
6655                 if (*cp == sep) cp++;
6656                 item = US cp;
6657                 }
6658               }
6659             }
6660           yield = string_cat(yield, item);
6661           }
6662         continue;
6663         }
6664
6665       /* mask applies a mask to an IP address; for example the result of
6666       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6667
6668       case EOP_MASK:
6669         {
6670         int count;
6671         uschar *endptr;
6672         int binary[4];
6673         int mask, maskoffset;
6674         int type = string_is_ip_address(sub, &maskoffset);
6675         uschar buffer[64];
6676
6677         if (type == 0)
6678           {
6679           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6680            sub);
6681           goto EXPAND_FAILED;
6682           }
6683
6684         if (maskoffset == 0)
6685           {
6686           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6687             sub);
6688           goto EXPAND_FAILED;
6689           }
6690
6691         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6692
6693         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6694           {
6695           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6696             sub);
6697           goto EXPAND_FAILED;
6698           }
6699
6700         /* Convert the address to binary integer(s) and apply the mask */
6701
6702         sub[maskoffset] = 0;
6703         count = host_aton(sub, binary);
6704         host_mask(count, binary, mask);
6705
6706         /* Convert to masked textual format and add to output. */
6707
6708         yield = string_catn(yield, buffer,
6709           host_nmtoa(count, binary, mask, buffer, '.'));
6710         continue;
6711         }
6712
6713       case EOP_IPV6NORM:
6714       case EOP_IPV6DENORM:
6715         {
6716         int type = string_is_ip_address(sub, NULL);
6717         int binary[4];
6718         uschar buffer[44];
6719
6720         switch (type)
6721           {
6722           case 6:
6723             (void) host_aton(sub, binary);
6724             break;
6725
6726           case 4:       /* convert to IPv4-mapped IPv6 */
6727             binary[0] = binary[1] = 0;
6728             binary[2] = 0x0000ffff;
6729             (void) host_aton(sub, binary+3);
6730             break;
6731
6732           case 0:
6733             expand_string_message =
6734               string_sprintf("\"%s\" is not an IP address", sub);
6735             goto EXPAND_FAILED;
6736           }
6737
6738         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
6739                     ? ipv6_nmtoa(binary, buffer)
6740                     : host_nmtoa(4, binary, -1, buffer, ':')
6741                   );
6742         continue;
6743         }
6744
6745       case EOP_ADDRESS:
6746       case EOP_LOCAL_PART:
6747       case EOP_DOMAIN:
6748         {
6749         uschar * error;
6750         int start, end, domain;
6751         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
6752           FALSE);
6753         if (t)
6754           if (c != EOP_DOMAIN)
6755             {
6756             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6757             yield = string_catn(yield, sub+start, end-start);
6758             }
6759           else if (domain != 0)
6760             {
6761             domain += start;
6762             yield = string_catn(yield, sub+domain, end-domain);
6763             }
6764         continue;
6765         }
6766
6767       case EOP_ADDRESSES:
6768         {
6769         uschar outsep[2] = { ':', '\0' };
6770         uschar *address, *error;
6771         int save_ptr = yield->ptr;
6772         int start, end, domain;  /* Not really used */
6773
6774         while (isspace(*sub)) sub++;
6775         if (*sub == '>')
6776           if (*outsep = *++sub) ++sub;
6777           else
6778             {
6779             expand_string_message = string_sprintf("output separator "
6780               "missing in expanding ${addresses:%s}", --sub);
6781             goto EXPAND_FAILED;
6782             }
6783         parse_allow_group = TRUE;
6784
6785         for (;;)
6786           {
6787           uschar *p = parse_find_address_end(sub, FALSE);
6788           uschar saveend = *p;
6789           *p = '\0';
6790           address = parse_extract_address(sub, &error, &start, &end, &domain,
6791             FALSE);
6792           *p = saveend;
6793
6794           /* Add the address to the output list that we are building. This is
6795           done in chunks by searching for the separator character. At the
6796           start, unless we are dealing with the first address of the output
6797           list, add in a space if the new address begins with the separator
6798           character, or is an empty string. */
6799
6800           if (address != NULL)
6801             {
6802             if (yield->ptr != save_ptr && address[0] == *outsep)
6803               yield = string_catn(yield, US" ", 1);
6804
6805             for (;;)
6806               {
6807               size_t seglen = Ustrcspn(address, outsep);
6808               yield = string_catn(yield, address, seglen + 1);
6809
6810               /* If we got to the end of the string we output one character
6811               too many. */
6812
6813               if (address[seglen] == '\0') { yield->ptr--; break; }
6814               yield = string_catn(yield, outsep, 1);
6815               address += seglen + 1;
6816               }
6817
6818             /* Output a separator after the string: we will remove the
6819             redundant final one at the end. */
6820
6821             yield = string_catn(yield, outsep, 1);
6822             }
6823
6824           if (saveend == '\0') break;
6825           sub = p + 1;
6826           }
6827
6828         /* If we have generated anything, remove the redundant final
6829         separator. */
6830
6831         if (yield->ptr != save_ptr) yield->ptr--;
6832         parse_allow_group = FALSE;
6833         continue;
6834         }
6835
6836
6837       /* quote puts a string in quotes if it is empty or contains anything
6838       other than alphamerics, underscore, dot, or hyphen.
6839
6840       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6841       be quoted in order to be a valid local part.
6842
6843       In both cases, newlines and carriage returns are converted into \n and \r
6844       respectively */
6845
6846       case EOP_QUOTE:
6847       case EOP_QUOTE_LOCAL_PART:
6848       if (arg == NULL)
6849         {
6850         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6851         uschar *t = sub - 1;
6852
6853         if (c == EOP_QUOTE)
6854           {
6855           while (!needs_quote && *(++t) != 0)
6856             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6857           }
6858         else  /* EOP_QUOTE_LOCAL_PART */
6859           {
6860           while (!needs_quote && *(++t) != 0)
6861             needs_quote = !isalnum(*t) &&
6862               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6863               (*t != '.' || t == sub || t[1] == 0);
6864           }
6865
6866         if (needs_quote)
6867           {
6868           yield = string_catn(yield, US"\"", 1);
6869           t = sub - 1;
6870           while (*(++t) != 0)
6871             {
6872             if (*t == '\n')
6873               yield = string_catn(yield, US"\\n", 2);
6874             else if (*t == '\r')
6875               yield = string_catn(yield, US"\\r", 2);
6876             else
6877               {
6878               if (*t == '\\' || *t == '"')
6879                 yield = string_catn(yield, US"\\", 1);
6880               yield = string_catn(yield, t, 1);
6881               }
6882             }
6883           yield = string_catn(yield, US"\"", 1);
6884           }
6885         else yield = string_cat(yield, sub);
6886         continue;
6887         }
6888
6889       /* quote_lookuptype does lookup-specific quoting */
6890
6891       else
6892         {
6893         int n;
6894         uschar *opt = Ustrchr(arg, '_');
6895
6896         if (opt != NULL) *opt++ = 0;
6897
6898         n = search_findtype(arg, Ustrlen(arg));
6899         if (n < 0)
6900           {
6901           expand_string_message = search_error_message;
6902           goto EXPAND_FAILED;
6903           }
6904
6905         if (lookup_list[n]->quote != NULL)
6906           sub = (lookup_list[n]->quote)(sub, opt);
6907         else if (opt != NULL) sub = NULL;
6908
6909         if (sub == NULL)
6910           {
6911           expand_string_message = string_sprintf(
6912             "\"%s\" unrecognized after \"${quote_%s\"",
6913             opt, arg);
6914           goto EXPAND_FAILED;
6915           }
6916
6917         yield = string_cat(yield, sub);
6918         continue;
6919         }
6920
6921       /* rx quote sticks in \ before any non-alphameric character so that
6922       the insertion works in a regular expression. */
6923
6924       case EOP_RXQUOTE:
6925         {
6926         uschar *t = sub - 1;
6927         while (*(++t) != 0)
6928           {
6929           if (!isalnum(*t))
6930             yield = string_catn(yield, US"\\", 1);
6931           yield = string_catn(yield, t, 1);
6932           }
6933         continue;
6934         }
6935
6936       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6937       prescribed by the RFC, if there are characters that need to be encoded */
6938
6939       case EOP_RFC2047:
6940         {
6941         uschar buffer[2048];
6942         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6943           buffer, sizeof(buffer), FALSE);
6944         yield = string_cat(yield, string);
6945         continue;
6946         }
6947
6948       /* RFC 2047 decode */
6949
6950       case EOP_RFC2047D:
6951         {
6952         int len;
6953         uschar *error;
6954         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6955           headers_charset, '?', &len, &error);
6956         if (error != NULL)
6957           {
6958           expand_string_message = error;
6959           goto EXPAND_FAILED;
6960           }
6961         yield = string_catn(yield, decoded, len);
6962         continue;
6963         }
6964
6965       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6966       underscores */
6967
6968       case EOP_FROM_UTF8:
6969         {
6970         while (*sub != 0)
6971           {
6972           int c;
6973           uschar buff[4];
6974           GETUTF8INC(c, sub);
6975           if (c > 255) c = '_';
6976           buff[0] = c;
6977           yield = string_catn(yield, buff, 1);
6978           }
6979         continue;
6980         }
6981
6982           /* replace illegal UTF-8 sequences by replacement character  */
6983
6984       #define UTF8_REPLACEMENT_CHAR US"?"
6985
6986       case EOP_UTF8CLEAN:
6987         {
6988         int seq_len = 0, index = 0;
6989         int bytes_left = 0;
6990         long codepoint = -1;
6991         uschar seq_buff[4];                     /* accumulate utf-8 here */
6992
6993         while (*sub != 0)
6994           {
6995           int complete = 0;
6996           uschar c = *sub++;
6997
6998           if (bytes_left)
6999             {
7000             if ((c & 0xc0) != 0x80)
7001                     /* wrong continuation byte; invalidate all bytes */
7002               complete = 1; /* error */
7003             else
7004               {
7005               codepoint = (codepoint << 6) | (c & 0x3f);
7006               seq_buff[index++] = c;
7007               if (--bytes_left == 0)            /* codepoint complete */
7008                 if(codepoint > 0x10FFFF)        /* is it too large? */
7009                   complete = -1;        /* error (RFC3629 limit) */
7010                 else
7011                   {             /* finished; output utf-8 sequence */
7012                   yield = string_catn(yield, seq_buff, seq_len);
7013                   index = 0;
7014                   }
7015               }
7016             }
7017           else  /* no bytes left: new sequence */
7018             {
7019             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7020               {
7021               yield = string_catn(yield, &c, 1);
7022               continue;
7023               }
7024             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7025               {
7026               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7027                 complete = -1;
7028               else
7029                 {
7030                   bytes_left = 1;
7031                   codepoint = c & 0x1f;
7032                 }
7033               }
7034             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7035               {
7036               bytes_left = 2;
7037               codepoint = c & 0x0f;
7038               }
7039             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7040               {
7041               bytes_left = 3;
7042               codepoint = c & 0x07;
7043               }
7044             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7045               complete = -1;
7046
7047             seq_buff[index++] = c;
7048             seq_len = bytes_left + 1;
7049             }           /* if(bytes_left) */
7050
7051           if (complete != 0)
7052             {
7053             bytes_left = index = 0;
7054             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7055             }
7056           if ((complete == 1) && ((c & 0x80) == 0))
7057                         /* ASCII character follows incomplete sequence */
7058               yield = string_catn(yield, &c, 1);
7059           }
7060         continue;
7061         }
7062
7063 #ifdef SUPPORT_I18N
7064       case EOP_UTF8_DOMAIN_TO_ALABEL:
7065         {
7066         uschar * error = NULL;
7067         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7068         if (error)
7069           {
7070           expand_string_message = string_sprintf(
7071             "error converting utf8 (%s) to alabel: %s",
7072             string_printing(sub), error);
7073           goto EXPAND_FAILED;
7074           }
7075         yield = string_cat(yield, s);
7076         continue;
7077         }
7078
7079       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7080         {
7081         uschar * error = NULL;
7082         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7083         if (error)
7084           {
7085           expand_string_message = string_sprintf(
7086             "error converting alabel (%s) to utf8: %s",
7087             string_printing(sub), error);
7088           goto EXPAND_FAILED;
7089           }
7090         yield = string_cat(yield, s);
7091         continue;
7092         }
7093
7094       case EOP_UTF8_LOCALPART_TO_ALABEL:
7095         {
7096         uschar * error = NULL;
7097         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7098         if (error)
7099           {
7100           expand_string_message = string_sprintf(
7101             "error converting utf8 (%s) to alabel: %s",
7102             string_printing(sub), error);
7103           goto EXPAND_FAILED;
7104           }
7105         yield = string_cat(yield, s);
7106         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7107         continue;
7108         }
7109
7110       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7111         {
7112         uschar * error = NULL;
7113         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7114         if (error)
7115           {
7116           expand_string_message = string_sprintf(
7117             "error converting alabel (%s) to utf8: %s",
7118             string_printing(sub), error);
7119           goto EXPAND_FAILED;
7120           }
7121         yield = string_cat(yield, s);
7122         continue;
7123         }
7124 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7125
7126       /* escape turns all non-printing characters into escape sequences. */
7127
7128       case EOP_ESCAPE:
7129         {
7130         const uschar * t = string_printing(sub);
7131         yield = string_cat(yield, t);
7132         continue;
7133         }
7134
7135       case EOP_ESCAPE8BIT:
7136         {
7137         const uschar * s = sub;
7138         uschar c;
7139
7140         for (s = sub; (c = *s); s++)
7141           yield = c < 127 && c != '\\'
7142             ? string_catn(yield, s, 1)
7143             : string_catn(yield, string_sprintf("\\%03o", c), 4);
7144         continue;
7145         }
7146
7147       /* Handle numeric expression evaluation */
7148
7149       case EOP_EVAL:
7150       case EOP_EVAL10:
7151         {
7152         uschar *save_sub = sub;
7153         uschar *error = NULL;
7154         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7155         if (error != NULL)
7156           {
7157           expand_string_message = string_sprintf("error in expression "
7158             "evaluation: %s (after processing \"%.*s\")", error,
7159             (int)(sub-save_sub), save_sub);
7160           goto EXPAND_FAILED;
7161           }
7162         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
7163         yield = string_cat(yield, var_buffer);
7164         continue;
7165         }
7166
7167       /* Handle time period formating */
7168
7169       case EOP_TIME_EVAL:
7170         {
7171         int n = readconf_readtime(sub, 0, FALSE);
7172         if (n < 0)
7173           {
7174           expand_string_message = string_sprintf("string \"%s\" is not an "
7175             "Exim time interval in \"%s\" operator", sub, name);
7176           goto EXPAND_FAILED;
7177           }
7178         sprintf(CS var_buffer, "%d", n);
7179         yield = string_cat(yield, var_buffer);
7180         continue;
7181         }
7182
7183       case EOP_TIME_INTERVAL:
7184         {
7185         int n;
7186         uschar *t = read_number(&n, sub);
7187         if (*t != 0) /* Not A Number*/
7188           {
7189           expand_string_message = string_sprintf("string \"%s\" is not a "
7190             "positive number in \"%s\" operator", sub, name);
7191           goto EXPAND_FAILED;
7192           }
7193         t = readconf_printtime(n);
7194         yield = string_cat(yield, t);
7195         continue;
7196         }
7197
7198       /* Convert string to base64 encoding */
7199
7200       case EOP_STR2B64:
7201       case EOP_BASE64:
7202         {
7203 #ifdef SUPPORT_TLS
7204         uschar * s = vp && *(void **)vp->value
7205           ? tls_cert_der_b64(*(void **)vp->value)
7206           : b64encode(sub, Ustrlen(sub));
7207 #else
7208         uschar * s = b64encode(sub, Ustrlen(sub));
7209 #endif
7210         yield = string_cat(yield, s);
7211         continue;
7212         }
7213
7214       case EOP_BASE64D:
7215         {
7216         uschar * s;
7217         int len = b64decode(sub, &s);
7218         if (len < 0)
7219           {
7220           expand_string_message = string_sprintf("string \"%s\" is not "
7221             "well-formed for \"%s\" operator", sub, name);
7222           goto EXPAND_FAILED;
7223           }
7224         yield = string_cat(yield, s);
7225         continue;
7226         }
7227
7228       /* strlen returns the length of the string */
7229
7230       case EOP_STRLEN:
7231         {
7232         uschar buff[24];
7233         (void)sprintf(CS buff, "%d", Ustrlen(sub));
7234         yield = string_cat(yield, buff);
7235         continue;
7236         }
7237
7238       /* length_n or l_n takes just the first n characters or the whole string,
7239       whichever is the shorter;
7240
7241       substr_m_n, and s_m_n take n characters from offset m; negative m take
7242       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7243       takes the rest, either to the right or to the left.
7244
7245       hash_n or h_n makes a hash of length n from the string, yielding n
7246       characters from the set a-z; hash_n_m makes a hash of length n, but
7247       uses m characters from the set a-zA-Z0-9.
7248
7249       nhash_n returns a single number between 0 and n-1 (in text form), while
7250       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7251       between 0 and n-1 and the second between 0 and m-1. */
7252
7253       case EOP_LENGTH:
7254       case EOP_L:
7255       case EOP_SUBSTR:
7256       case EOP_S:
7257       case EOP_HASH:
7258       case EOP_H:
7259       case EOP_NHASH:
7260       case EOP_NH:
7261         {
7262         int sign = 1;
7263         int value1 = 0;
7264         int value2 = -1;
7265         int *pn;
7266         int len;
7267         uschar *ret;
7268
7269         if (arg == NULL)
7270           {
7271           expand_string_message = string_sprintf("missing values after %s",
7272             name);
7273           goto EXPAND_FAILED;
7274           }
7275
7276         /* "length" has only one argument, effectively being synonymous with
7277         substr_0_n. */
7278
7279         if (c == EOP_LENGTH || c == EOP_L)
7280           {
7281           pn = &value2;
7282           value2 = 0;
7283           }
7284
7285         /* The others have one or two arguments; for "substr" the first may be
7286         negative. The second being negative means "not supplied". */
7287
7288         else
7289           {
7290           pn = &value1;
7291           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7292           }
7293
7294         /* Read up to two numbers, separated by underscores */
7295
7296         ret = arg;
7297         while (*arg != 0)
7298           {
7299           if (arg != ret && *arg == '_' && pn == &value1)
7300             {
7301             pn = &value2;
7302             value2 = 0;
7303             if (arg[1] != 0) arg++;
7304             }
7305           else if (!isdigit(*arg))
7306             {
7307             expand_string_message =
7308               string_sprintf("non-digit after underscore in \"%s\"", name);
7309             goto EXPAND_FAILED;
7310             }
7311           else *pn = (*pn)*10 + *arg++ - '0';
7312           }
7313         value1 *= sign;
7314
7315         /* Perform the required operation */
7316
7317         ret =
7318           (c == EOP_HASH || c == EOP_H)?
7319              compute_hash(sub, value1, value2, &len) :
7320           (c == EOP_NHASH || c == EOP_NH)?
7321              compute_nhash(sub, value1, value2, &len) :
7322              extract_substr(sub, value1, value2, &len);
7323
7324         if (ret == NULL) goto EXPAND_FAILED;
7325         yield = string_catn(yield, ret, len);
7326         continue;
7327         }
7328
7329       /* Stat a path */
7330
7331       case EOP_STAT:
7332         {
7333         uschar *s;
7334         uschar smode[12];
7335         uschar **modetable[3];
7336         int i;
7337         mode_t mode;
7338         struct stat st;
7339
7340         if ((expand_forbid & RDO_EXISTS) != 0)
7341           {
7342           expand_string_message = US"Use of the stat() expansion is not permitted";
7343           goto EXPAND_FAILED;
7344           }
7345
7346         if (stat(CS sub, &st) < 0)
7347           {
7348           expand_string_message = string_sprintf("stat(%s) failed: %s",
7349             sub, strerror(errno));
7350           goto EXPAND_FAILED;
7351           }
7352         mode = st.st_mode;
7353         switch (mode & S_IFMT)
7354           {
7355           case S_IFIFO: smode[0] = 'p'; break;
7356           case S_IFCHR: smode[0] = 'c'; break;
7357           case S_IFDIR: smode[0] = 'd'; break;
7358           case S_IFBLK: smode[0] = 'b'; break;
7359           case S_IFREG: smode[0] = '-'; break;
7360           default: smode[0] = '?'; break;
7361           }
7362
7363         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7364         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7365         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7366
7367         for (i = 0; i < 3; i++)
7368           {
7369           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7370           mode >>= 3;
7371           }
7372
7373         smode[10] = 0;
7374         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7375           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7376           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7377           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7378           (long)st.st_gid, st.st_size, (long)st.st_atime,
7379           (long)st.st_mtime, (long)st.st_ctime);
7380         yield = string_cat(yield, s);
7381         continue;
7382         }
7383
7384       /* vaguely random number less than N */
7385
7386       case EOP_RANDINT:
7387         {
7388         int_eximarith_t max;
7389         uschar *s;
7390
7391         max = expanded_string_integer(sub, TRUE);
7392         if (expand_string_message != NULL)
7393           goto EXPAND_FAILED;
7394         s = string_sprintf("%d", vaguely_random_number((int)max));
7395         yield = string_cat(yield, s);
7396         continue;
7397         }
7398
7399       /* Reverse IP, including IPv6 to dotted-nibble */
7400
7401       case EOP_REVERSE_IP:
7402         {
7403         int family, maskptr;
7404         uschar reversed[128];
7405
7406         family = string_is_ip_address(sub, &maskptr);
7407         if (family == 0)
7408           {
7409           expand_string_message = string_sprintf(
7410               "reverse_ip() not given an IP address [%s]", sub);
7411           goto EXPAND_FAILED;
7412           }
7413         invert_address(reversed, sub);
7414         yield = string_cat(yield, reversed);
7415         continue;
7416         }
7417
7418       /* Unknown operator */
7419
7420       default:
7421       expand_string_message =
7422         string_sprintf("unknown expansion operator \"%s\"", name);
7423       goto EXPAND_FAILED;
7424       }
7425     }
7426
7427   /* Handle a plain name. If this is the first thing in the expansion, release
7428   the pre-allocated buffer. If the result data is known to be in a new buffer,
7429   newsize will be set to the size of that buffer, and we can just point at that
7430   store instead of copying. Many expansion strings contain just one reference,
7431   so this is a useful optimization, especially for humungous headers
7432   ($message_headers). */
7433                                                 /*{*/
7434   if (*s++ == '}')
7435     {
7436     int len;
7437     int newsize = 0;
7438     gstring * g = NULL;
7439
7440     if (!yield)
7441       g = store_get(sizeof(gstring));
7442     else if (yield->ptr == 0)
7443       {
7444       if (resetok) store_reset(yield);
7445       yield = NULL;
7446       g = store_get(sizeof(gstring));   /* alloc _before_ calling find_variable() */
7447       }
7448     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
7449       {
7450       expand_string_message =
7451         string_sprintf("unknown variable in \"${%s}\"", name);
7452       check_variable_error_message(name);
7453       goto EXPAND_FAILED;
7454       }
7455     len = Ustrlen(value);
7456     if (!yield && newsize)
7457       {
7458       yield = g;
7459       yield->size = newsize;
7460       yield->ptr = len;
7461       yield->s = value;
7462       }
7463     else
7464       yield = string_catn(yield, value, len);
7465     continue;
7466     }
7467
7468   /* Else there's something wrong */
7469
7470   expand_string_message =
7471     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7472     "in a variable reference)", name);
7473   goto EXPAND_FAILED;
7474   }
7475
7476 /* If we hit the end of the string when ket_ends is set, there is a missing
7477 terminating brace. */
7478
7479 if (ket_ends && *s == 0)
7480   {
7481   expand_string_message = malformed_header?
7482     US"missing } at end of string - could be header name not terminated by colon"
7483     :
7484     US"missing } at end of string";
7485   goto EXPAND_FAILED;
7486   }
7487
7488 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7489 added to the string. If so, set up an empty string. Add a terminating zero. If
7490 left != NULL, return a pointer to the terminator. */
7491
7492 if (!yield)
7493   yield = string_get(1);
7494 (void) string_from_gstring(yield);
7495 if (left) *left = s;
7496
7497 /* Any stacking store that was used above the final string is no longer needed.
7498 In many cases the final string will be the first one that was got and so there
7499 will be optimal store usage. */
7500
7501 if (resetok) store_reset(yield->s + (yield->size = yield->ptr + 1));
7502 else if (resetok_p) *resetok_p = FALSE;
7503
7504 DEBUG(D_expand)
7505   {
7506   debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
7507     "expanding: %.*s\n",
7508     (int)(s - string), string);
7509   debug_printf_indent("%s"
7510     UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7511     "result: %s\n",
7512     skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7513     yield->s);
7514   if (skipping)
7515     debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7516       "skipping: result is not used\n");
7517   }
7518 expand_level--;
7519 return yield->s;
7520
7521 /* This is the failure exit: easiest to program with a goto. We still need
7522 to update the pointer to the terminator, for cases of nested calls with "fail".
7523 */
7524
7525 EXPAND_FAILED_CURLY:
7526 if (malformed_header)
7527   expand_string_message =
7528     US"missing or misplaced { or } - could be header name not terminated by colon";
7529
7530 else if (!expand_string_message || !*expand_string_message)
7531   expand_string_message = US"missing or misplaced { or }";
7532
7533 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7534 that is a bad idea, because expand_string_message is in dynamic store. */
7535
7536 EXPAND_FAILED:
7537 if (left) *left = s;
7538 DEBUG(D_expand)
7539   {
7540   debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
7541     string);
7542   debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7543     "error message: %s\n",
7544     expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7545     expand_string_message);
7546   if (expand_string_forcedfail)
7547     debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
7548   }
7549 if (resetok_p && !resetok) *resetok_p = FALSE;
7550 expand_level--;
7551 return NULL;
7552 }
7553
7554
7555 /* This is the external function call. Do a quick check for any expansion
7556 metacharacters, and if there are none, just return the input string.
7557
7558 Argument: the string to be expanded
7559 Returns:  the expanded string, or NULL if expansion failed; if failure was
7560           due to a lookup deferring, search_find_defer will be TRUE
7561 */
7562
7563 const uschar *
7564 expand_cstring(const uschar * string)
7565 {
7566 if (Ustrpbrk(string, "$\\") != NULL)
7567   {
7568   int old_pool = store_pool;
7569   uschar * s;
7570
7571   search_find_defer = FALSE;
7572   malformed_header = FALSE;
7573   store_pool = POOL_MAIN;
7574     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7575   store_pool = old_pool;
7576   return s;
7577   }
7578 return string;
7579 }
7580
7581
7582 uschar *
7583 expand_string(uschar * string)
7584 {
7585 return US expand_cstring(CUS string);
7586 }
7587
7588
7589
7590
7591
7592 /*************************************************
7593 *              Expand and copy                   *
7594 *************************************************/
7595
7596 /* Now and again we want to expand a string and be sure that the result is in a
7597 new bit of store. This function does that.
7598 Since we know it has been copied, the de-const cast is safe.
7599
7600 Argument: the string to be expanded
7601 Returns:  the expanded string, always in a new bit of store, or NULL
7602 */
7603
7604 uschar *
7605 expand_string_copy(const uschar *string)
7606 {
7607 const uschar *yield = expand_cstring(string);
7608 if (yield == string) yield = string_copy(string);
7609 return US yield;
7610 }
7611
7612
7613
7614 /*************************************************
7615 *        Expand and interpret as an integer      *
7616 *************************************************/
7617
7618 /* Expand a string, and convert the result into an integer.
7619
7620 Arguments:
7621   string  the string to be expanded
7622   isplus  TRUE if a non-negative number is expected
7623
7624 Returns:  the integer value, or
7625           -1 for an expansion error               ) in both cases, message in
7626           -2 for an integer interpretation error  ) expand_string_message
7627           expand_string_message is set NULL for an OK integer
7628 */
7629
7630 int_eximarith_t
7631 expand_string_integer(uschar *string, BOOL isplus)
7632 {
7633 return expanded_string_integer(expand_string(string), isplus);
7634 }
7635
7636
7637 /*************************************************
7638  *         Interpret string as an integer        *
7639  *************************************************/
7640
7641 /* Convert a string (that has already been expanded) into an integer.
7642
7643 This function is used inside the expansion code.
7644
7645 Arguments:
7646   s       the string to be expanded
7647   isplus  TRUE if a non-negative number is expected
7648
7649 Returns:  the integer value, or
7650           -1 if string is NULL (which implies an expansion error)
7651           -2 for an integer interpretation error
7652           expand_string_message is set NULL for an OK integer
7653 */
7654
7655 static int_eximarith_t
7656 expanded_string_integer(const uschar *s, BOOL isplus)
7657 {
7658 int_eximarith_t value;
7659 uschar *msg = US"invalid integer \"%s\"";
7660 uschar *endptr;
7661
7662 /* If expansion failed, expand_string_message will be set. */
7663
7664 if (s == NULL) return -1;
7665
7666 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7667 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7668 systems, so we set it zero ourselves. */
7669
7670 errno = 0;
7671 expand_string_message = NULL;               /* Indicates no error */
7672
7673 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7674 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7675 the behaviour explicitly.  Stripping leading whitespace is a harmless
7676 noop change since strtol skips it anyway (provided that there is a number
7677 to find at all). */
7678 if (isspace(*s))
7679   {
7680   while (isspace(*s)) ++s;
7681   if (*s == '\0')
7682     {
7683       DEBUG(D_expand)
7684        debug_printf_indent("treating blank string as number 0\n");
7685       return 0;
7686     }
7687   }
7688
7689 value = strtoll(CS s, CSS &endptr, 10);
7690
7691 if (endptr == s)
7692   {
7693   msg = US"integer expected but \"%s\" found";
7694   }
7695 else if (value < 0 && isplus)
7696   {
7697   msg = US"non-negative integer expected but \"%s\" found";
7698   }
7699 else
7700   {
7701   switch (tolower(*endptr))
7702     {
7703     default:
7704       break;
7705     case 'k':
7706       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7707       else value *= 1024;
7708       endptr++;
7709       break;
7710     case 'm':
7711       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7712       else value *= 1024*1024;
7713       endptr++;
7714       break;
7715     case 'g':
7716       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7717       else value *= 1024*1024*1024;
7718       endptr++;
7719       break;
7720     }
7721   if (errno == ERANGE)
7722     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7723   else
7724     {
7725     while (isspace(*endptr)) endptr++;
7726     if (*endptr == 0) return value;
7727     }
7728   }
7729
7730 expand_string_message = string_sprintf(CS msg, s);
7731 return -2;
7732 }
7733
7734
7735 /* These values are usually fixed boolean values, but they are permitted to be
7736 expanded strings.
7737
7738 Arguments:
7739   addr       address being routed
7740   mtype      the module type
7741   mname      the module name
7742   dbg_opt    debug selectors
7743   oname      the option name
7744   bvalue     the router's boolean value
7745   svalue     the router's string value
7746   rvalue     where to put the returned value
7747
7748 Returns:     OK     value placed in rvalue
7749              DEFER  expansion failed
7750 */
7751
7752 int
7753 exp_bool(address_item *addr,
7754   uschar *mtype, uschar *mname, unsigned dbg_opt,
7755   uschar *oname, BOOL bvalue,
7756   uschar *svalue, BOOL *rvalue)
7757 {
7758 uschar *expanded;
7759 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7760
7761 expanded = expand_string(svalue);
7762 if (expanded == NULL)
7763   {
7764   if (expand_string_forcedfail)
7765     {
7766     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7767     *rvalue = bvalue;
7768     return OK;
7769     }
7770   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7771       oname, mname, mtype, expand_string_message);
7772   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7773   return DEFER;
7774   }
7775
7776 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7777   expanded);
7778
7779 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7780   *rvalue = TRUE;
7781 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7782   *rvalue = FALSE;
7783 else
7784   {
7785   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7786     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7787   return DEFER;
7788   }
7789
7790 return OK;
7791 }
7792
7793
7794
7795 /* Avoid potentially exposing a password in a string about to be logged */
7796
7797 uschar *
7798 expand_hide_passwords(uschar * s)
7799 {
7800 return (  (  Ustrstr(s, "failed to expand") != NULL
7801           || Ustrstr(s, "expansion of ")    != NULL
7802           ) 
7803        && (  Ustrstr(s, "mysql")   != NULL
7804           || Ustrstr(s, "pgsql")   != NULL
7805           || Ustrstr(s, "redis")   != NULL
7806           || Ustrstr(s, "sqlite")  != NULL
7807           || Ustrstr(s, "ldap:")   != NULL
7808           || Ustrstr(s, "ldaps:")  != NULL
7809           || Ustrstr(s, "ldapi:")  != NULL
7810           || Ustrstr(s, "ldapdn:") != NULL
7811           || Ustrstr(s, "ldapm:")  != NULL
7812        )  ) 
7813   ? US"Temporary internal error" : s;
7814 }
7815
7816
7817
7818 /*************************************************
7819 * Error-checking for testsuite                   *
7820 *************************************************/
7821 typedef struct {
7822   uschar *      region_start;
7823   uschar *      region_end;
7824   const uschar *var_name;
7825   const uschar *var_data;
7826 } err_ctx;
7827
7828 static void
7829 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
7830 {
7831 err_ctx * e = ctx;
7832 if (var_data >= e->region_start  &&  var_data < e->region_end)
7833   {
7834   e->var_name = CUS var_name;
7835   e->var_data = CUS var_data;
7836   }
7837 }
7838
7839 void
7840 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
7841 {
7842 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
7843               .var_name = NULL, .var_data = NULL };
7844 int i;
7845 var_entry * v;
7846
7847 /* check acl_ variables */
7848 tree_walk(acl_var_c, assert_variable_notin, &e);
7849 tree_walk(acl_var_m, assert_variable_notin, &e);
7850
7851 /* check auth<n> variables */
7852 for (i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
7853   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
7854
7855 /* check regex<n> variables */
7856 for (i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
7857   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
7858
7859 /* check known-name variables */
7860 for (v = var_table; v < var_table + var_table_size; v++)
7861   if (v->type == vtype_stringptr)
7862     assert_variable_notin(US v->name, *(USS v->value), &e);
7863
7864 /* check dns and address trees */
7865 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
7866 tree_walk(tree_duplicates,    assert_variable_notin, &e);
7867 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
7868 tree_walk(tree_unusable,      assert_variable_notin, &e);
7869
7870 if (e.var_name)
7871   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
7872     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
7873     e.var_name, filename, linenumber, e.var_data);
7874 }
7875
7876
7877
7878 /*************************************************
7879 **************************************************
7880 *             Stand-alone test program           *
7881 **************************************************
7882 *************************************************/
7883
7884 #ifdef STAND_ALONE
7885
7886
7887 BOOL
7888 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7889 {
7890 int ovector[3*(EXPAND_MAXN+1)];
7891 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7892   ovector, nelem(ovector));
7893 BOOL yield = n >= 0;
7894 if (n == 0) n = EXPAND_MAXN + 1;
7895 if (yield)
7896   {
7897   int nn;
7898   expand_nmax = (setup < 0)? 0 : setup + 1;
7899   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7900     {
7901     expand_nstring[expand_nmax] = subject + ovector[nn];
7902     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7903     }
7904   expand_nmax--;
7905   }
7906 return yield;
7907 }
7908
7909
7910 int main(int argc, uschar **argv)
7911 {
7912 int i;
7913 uschar buffer[1024];
7914
7915 debug_selector = D_v;
7916 debug_file = stderr;
7917 debug_fd = fileno(debug_file);
7918 big_buffer = malloc(big_buffer_size);
7919
7920 for (i = 1; i < argc; i++)
7921   {
7922   if (argv[i][0] == '+')
7923     {
7924     debug_trace_memory = 2;
7925     argv[i]++;
7926     }
7927   if (isdigit(argv[i][0]))
7928     debug_selector = Ustrtol(argv[i], NULL, 0);
7929   else
7930     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7931         Ustrlen(argv[i]))
7932       {
7933 #ifdef LOOKUP_LDAP
7934       eldap_default_servers = argv[i];
7935 #endif
7936 #ifdef LOOKUP_MYSQL
7937       mysql_servers = argv[i];
7938 #endif
7939 #ifdef LOOKUP_PGSQL
7940       pgsql_servers = argv[i];
7941 #endif
7942 #ifdef LOOKUP_REDIS
7943       redis_servers = argv[i];
7944 #endif
7945       }
7946 #ifdef EXIM_PERL
7947   else opt_perl_startup = argv[i];
7948 #endif
7949   }
7950
7951 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7952
7953 expand_nstring[1] = US"string 1....";
7954 expand_nlength[1] = 8;
7955 expand_nmax = 1;
7956
7957 #ifdef EXIM_PERL
7958 if (opt_perl_startup != NULL)
7959   {
7960   uschar *errstr;
7961   printf("Starting Perl interpreter\n");
7962   errstr = init_perl(opt_perl_startup);
7963   if (errstr != NULL)
7964     {
7965     printf("** error in perl_startup code: %s\n", errstr);
7966     return EXIT_FAILURE;
7967     }
7968   }
7969 #endif /* EXIM_PERL */
7970
7971 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7972   {
7973   void *reset_point = store_get(0);
7974   uschar *yield = expand_string(buffer);
7975   if (yield != NULL)
7976     {
7977     printf("%s\n", yield);
7978     store_reset(reset_point);
7979     }
7980   else
7981     {
7982     if (search_find_defer) printf("search_find deferred\n");
7983     printf("Failed: %s\n", expand_string_message);
7984     if (expand_string_forcedfail) printf("Forced failure\n");
7985     printf("\n");
7986     }
7987   }
7988
7989 search_tidyup();
7990
7991 return 0;
7992 }
7993
7994 #endif
7995
7996 /* vi: aw ai sw=2
7997 */
7998 /* End of expand.c */