66172f378c76d49431d4abe36cce708faa75065f
[users/heiko/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base62",
203   US"base62d",
204   US"base64",
205   US"base64d",
206   US"domain",
207   US"escape",
208   US"eval",
209   US"eval10",
210   US"expand",
211   US"h",
212   US"hash",
213   US"hex2b64",
214   US"hexquote",
215   US"ipv6denorm",
216   US"ipv6norm",
217   US"l",
218   US"lc",
219   US"length",
220   US"listcount",
221   US"listnamed",
222   US"mask",
223   US"md5",
224   US"nh",
225   US"nhash",
226   US"quote",
227   US"randint",
228   US"rfc2047",
229   US"rfc2047d",
230   US"rxquote",
231   US"s",
232   US"sha1",
233   US"sha256",
234   US"stat",
235   US"str2b64",
236   US"strlen",
237   US"substr",
238   US"uc",
239   US"utf8clean" };
240
241 enum {
242   EOP_ADDRESS =  nelem(op_table_underscore),
243   EOP_ADDRESSES,
244   EOP_BASE62,
245   EOP_BASE62D,
246   EOP_BASE64,
247   EOP_BASE64D,
248   EOP_DOMAIN,
249   EOP_ESCAPE,
250   EOP_EVAL,
251   EOP_EVAL10,
252   EOP_EXPAND,
253   EOP_H,
254   EOP_HASH,
255   EOP_HEX2B64,
256   EOP_HEXQUOTE,
257   EOP_IPV6DENORM,
258   EOP_IPV6NORM,
259   EOP_L,
260   EOP_LC,
261   EOP_LENGTH,
262   EOP_LISTCOUNT,
263   EOP_LISTNAMED,
264   EOP_MASK,
265   EOP_MD5,
266   EOP_NH,
267   EOP_NHASH,
268   EOP_QUOTE,
269   EOP_RANDINT,
270   EOP_RFC2047,
271   EOP_RFC2047D,
272   EOP_RXQUOTE,
273   EOP_S,
274   EOP_SHA1,
275   EOP_SHA256,
276   EOP_STAT,
277   EOP_STR2B64,
278   EOP_STRLEN,
279   EOP_SUBSTR,
280   EOP_UC,
281   EOP_UTF8CLEAN };
282
283
284 /* Table of condition names, and corresponding switch numbers. The names must
285 be in alphabetical order. */
286
287 static uschar *cond_table[] = {
288   US"<",
289   US"<=",
290   US"=",
291   US"==",     /* Backward compatibility */
292   US">",
293   US">=",
294   US"acl",
295   US"and",
296   US"bool",
297   US"bool_lax",
298   US"crypteq",
299   US"def",
300   US"eq",
301   US"eqi",
302   US"exists",
303   US"first_delivery",
304   US"forall",
305   US"forany",
306   US"ge",
307   US"gei",
308   US"gt",
309   US"gti",
310   US"inlist",
311   US"inlisti",
312   US"isip",
313   US"isip4",
314   US"isip6",
315   US"ldapauth",
316   US"le",
317   US"lei",
318   US"lt",
319   US"lti",
320   US"match",
321   US"match_address",
322   US"match_domain",
323   US"match_ip",
324   US"match_local_part",
325   US"or",
326   US"pam",
327   US"pwcheck",
328   US"queue_running",
329   US"radius",
330   US"saslauthd"
331 };
332
333 enum {
334   ECOND_NUM_L,
335   ECOND_NUM_LE,
336   ECOND_NUM_E,
337   ECOND_NUM_EE,
338   ECOND_NUM_G,
339   ECOND_NUM_GE,
340   ECOND_ACL,
341   ECOND_AND,
342   ECOND_BOOL,
343   ECOND_BOOL_LAX,
344   ECOND_CRYPTEQ,
345   ECOND_DEF,
346   ECOND_STR_EQ,
347   ECOND_STR_EQI,
348   ECOND_EXISTS,
349   ECOND_FIRST_DELIVERY,
350   ECOND_FORALL,
351   ECOND_FORANY,
352   ECOND_STR_GE,
353   ECOND_STR_GEI,
354   ECOND_STR_GT,
355   ECOND_STR_GTI,
356   ECOND_INLIST,
357   ECOND_INLISTI,
358   ECOND_ISIP,
359   ECOND_ISIP4,
360   ECOND_ISIP6,
361   ECOND_LDAPAUTH,
362   ECOND_STR_LE,
363   ECOND_STR_LEI,
364   ECOND_STR_LT,
365   ECOND_STR_LTI,
366   ECOND_MATCH,
367   ECOND_MATCH_ADDRESS,
368   ECOND_MATCH_DOMAIN,
369   ECOND_MATCH_IP,
370   ECOND_MATCH_LOCAL_PART,
371   ECOND_OR,
372   ECOND_PAM,
373   ECOND_PWCHECK,
374   ECOND_QUEUE_RUNNING,
375   ECOND_RADIUS,
376   ECOND_SASLAUTHD
377 };
378
379
380 /* Types of table entry */
381
382 enum vtypes {
383   vtype_int,            /* value is address of int */
384   vtype_filter_int,     /* ditto, but recognized only when filtering */
385   vtype_ino,            /* value is address of ino_t (not always an int) */
386   vtype_uid,            /* value is address of uid_t (not always an int) */
387   vtype_gid,            /* value is address of gid_t (not always an int) */
388   vtype_bool,           /* value is address of bool */
389   vtype_stringptr,      /* value is address of pointer to string */
390   vtype_msgbody,        /* as stringptr, but read when first required */
391   vtype_msgbody_end,    /* ditto, the end of the message */
392   vtype_msgheaders,     /* the message's headers, processed */
393   vtype_msgheaders_raw, /* the message's headers, unprocessed */
394   vtype_localpart,      /* extract local part from string */
395   vtype_domain,         /* extract domain from string */
396   vtype_string_func,    /* value is string returned by given function */
397   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
398   vtype_tode,           /* value not used; generate tod in epoch format */
399   vtype_todel,          /* value not used; generate tod in epoch/usec format */
400   vtype_todf,           /* value not used; generate full tod */
401   vtype_todl,           /* value not used; generate log tod */
402   vtype_todlf,          /* value not used; generate log file datestamp tod */
403   vtype_todzone,        /* value not used; generate time zone only */
404   vtype_todzulu,        /* value not used; generate zulu tod */
405   vtype_reply,          /* value not used; get reply from headers */
406   vtype_pid,            /* value not used; result is pid */
407   vtype_host_lookup,    /* value not used; get host name */
408   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
409   vtype_pspace,         /* partition space; value is T/F for spool/log */
410   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
411   vtype_cert            /* SSL certificate */
412   #ifndef DISABLE_DKIM
413   ,vtype_dkim           /* Lookup of value in DKIM signature */
414   #endif
415 };
416
417 /* Type for main variable table */
418
419 typedef struct {
420   const char *name;
421   enum vtypes type;
422   void       *value;
423 } var_entry;
424
425 /* Type for entries pointing to address/length pairs. Not currently
426 in use. */
427
428 typedef struct {
429   uschar **address;
430   int  *length;
431 } alblock;
432
433 static uschar * fn_recipients(void);
434
435 /* This table must be kept in alphabetical order. */
436
437 static var_entry var_table[] = {
438   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
439      they will be confused with user-creatable ACL variables. */
440   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
441   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
442   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
443   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
444   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
445   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
446   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
447   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
448   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
449   { "acl_narg",            vtype_int,         &acl_narg },
450   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
451   { "address_data",        vtype_stringptr,   &deliver_address_data },
452   { "address_file",        vtype_stringptr,   &address_file },
453   { "address_pipe",        vtype_stringptr,   &address_pipe },
454   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
455   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
456   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
457   { "authentication_failed",vtype_int,        &authentication_failed },
458 #ifdef WITH_CONTENT_SCAN
459   { "av_failed",           vtype_int,         &av_failed },
460 #endif
461 #ifdef EXPERIMENTAL_BRIGHTMAIL
462   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
463   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
464   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
465   { "bmi_deliver",         vtype_int,         &bmi_deliver },
466 #endif
467   { "body_linecount",      vtype_int,         &body_linecount },
468   { "body_zerocount",      vtype_int,         &body_zerocount },
469   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
470   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
471   { "caller_gid",          vtype_gid,         &real_gid },
472   { "caller_uid",          vtype_uid,         &real_uid },
473   { "callout_address",     vtype_stringptr,   &callout_address },
474   { "compile_date",        vtype_stringptr,   &version_date },
475   { "compile_number",      vtype_stringptr,   &version_cnumber },
476   { "config_dir",          vtype_stringptr,   &config_main_directory },
477   { "config_file",         vtype_stringptr,   &config_main_filename },
478   { "csa_status",          vtype_stringptr,   &csa_status },
479 #ifdef EXPERIMENTAL_DCC
480   { "dcc_header",          vtype_stringptr,   &dcc_header },
481   { "dcc_result",          vtype_stringptr,   &dcc_result },
482 #endif
483 #ifdef WITH_OLD_DEMIME
484   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
485   { "demime_reason",       vtype_stringptr,   &demime_reason },
486 #endif
487 #ifndef DISABLE_DKIM
488   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
489   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
490   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
491   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
492   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
493   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
494   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
495   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
496   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
497   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
498   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
499   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
500   { "dkim_key_length",     vtype_int,         &dkim_key_length },
501   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
502   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
503   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
504   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
505   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
506   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
507   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
508   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
509 #endif
510 #ifdef EXPERIMENTAL_DMARC
511   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
512   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
513   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
514   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
515   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
516 #endif
517   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
518   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
519   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
520   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
521   { "domain",              vtype_stringptr,   &deliver_domain },
522   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
523 #ifndef DISABLE_EVENT
524   { "event_data",          vtype_stringptr,   &event_data },
525
526   /*XXX want to use generic vars for as many of these as possible*/
527   { "event_defer_errno",   vtype_int,         &event_defer_errno },
528
529   { "event_name",          vtype_stringptr,   &event_name },
530 #endif
531   { "exim_gid",            vtype_gid,         &exim_gid },
532   { "exim_path",           vtype_stringptr,   &exim_path },
533   { "exim_uid",            vtype_uid,         &exim_uid },
534   { "exim_version",        vtype_stringptr,   &version_string },
535 #ifdef WITH_OLD_DEMIME
536   { "found_extension",     vtype_stringptr,   &found_extension },
537 #endif
538   { "headers_added",       vtype_string_func, &fn_hdrs_added },
539   { "home",                vtype_stringptr,   &deliver_home },
540   { "host",                vtype_stringptr,   &deliver_host },
541   { "host_address",        vtype_stringptr,   &deliver_host_address },
542   { "host_data",           vtype_stringptr,   &host_data },
543   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
544   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
545   { "host_port",           vtype_int,         &deliver_host_port },
546   { "inode",               vtype_ino,         &deliver_inode },
547   { "interface_address",   vtype_stringptr,   &interface_address },
548   { "interface_port",      vtype_int,         &interface_port },
549   { "item",                vtype_stringptr,   &iterate_item },
550   #ifdef LOOKUP_LDAP
551   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
552   #endif
553   { "load_average",        vtype_load_avg,    NULL },
554   { "local_part",          vtype_stringptr,   &deliver_localpart },
555   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
556   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
557   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
558   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
559   { "local_user_gid",      vtype_gid,         &local_user_gid },
560   { "local_user_uid",      vtype_uid,         &local_user_uid },
561   { "localhost_number",    vtype_int,         &host_number },
562   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
563   { "log_space",           vtype_pspace,      (void *)FALSE },
564   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
565   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
566 #ifdef WITH_CONTENT_SCAN
567   { "malware_name",        vtype_stringptr,   &malware_name },
568 #endif
569   { "max_received_linelength", vtype_int,     &max_received_linelength },
570   { "message_age",         vtype_int,         &message_age },
571   { "message_body",        vtype_msgbody,     &message_body },
572   { "message_body_end",    vtype_msgbody_end, &message_body_end },
573   { "message_body_size",   vtype_int,         &message_body_size },
574   { "message_exim_id",     vtype_stringptr,   &message_id },
575   { "message_headers",     vtype_msgheaders,  NULL },
576   { "message_headers_raw", vtype_msgheaders_raw, NULL },
577   { "message_id",          vtype_stringptr,   &message_id },
578   { "message_linecount",   vtype_int,         &message_linecount },
579   { "message_size",        vtype_int,         &message_size },
580 #ifdef SUPPORT_I18N
581   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
582 #endif
583 #ifdef WITH_CONTENT_SCAN
584   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
585   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
586   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
587   { "mime_charset",        vtype_stringptr,   &mime_charset },
588   { "mime_content_description", vtype_stringptr, &mime_content_description },
589   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
590   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
591   { "mime_content_size",   vtype_int,         &mime_content_size },
592   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
593   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
594   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
595   { "mime_filename",       vtype_stringptr,   &mime_filename },
596   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
597   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
598   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
599   { "mime_part_count",     vtype_int,         &mime_part_count },
600 #endif
601   { "n0",                  vtype_filter_int,  &filter_n[0] },
602   { "n1",                  vtype_filter_int,  &filter_n[1] },
603   { "n2",                  vtype_filter_int,  &filter_n[2] },
604   { "n3",                  vtype_filter_int,  &filter_n[3] },
605   { "n4",                  vtype_filter_int,  &filter_n[4] },
606   { "n5",                  vtype_filter_int,  &filter_n[5] },
607   { "n6",                  vtype_filter_int,  &filter_n[6] },
608   { "n7",                  vtype_filter_int,  &filter_n[7] },
609   { "n8",                  vtype_filter_int,  &filter_n[8] },
610   { "n9",                  vtype_filter_int,  &filter_n[9] },
611   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
612   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
613   { "originator_gid",      vtype_gid,         &originator_gid },
614   { "originator_uid",      vtype_uid,         &originator_uid },
615   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
616   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
617   { "pid",                 vtype_pid,         NULL },
618 #ifndef DISABLE_PRDR
619   { "prdr_requested",      vtype_bool,        &prdr_requested },
620 #endif
621   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
622 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
623   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
624   { "proxy_external_port", vtype_int,         &proxy_external_port },
625   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
626   { "proxy_local_port",    vtype_int,         &proxy_local_port },
627   { "proxy_session",       vtype_bool,        &proxy_session },
628 #endif
629   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
630   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
631   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
632   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
633   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
634   { "rcpt_count",          vtype_int,         &rcpt_count },
635   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
636   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
637   { "received_count",      vtype_int,         &received_count },
638   { "received_for",        vtype_stringptr,   &received_for },
639   { "received_ip_address", vtype_stringptr,   &interface_address },
640   { "received_port",       vtype_int,         &interface_port },
641   { "received_protocol",   vtype_stringptr,   &received_protocol },
642   { "received_time",       vtype_int,         &received_time },
643   { "recipient_data",      vtype_stringptr,   &recipient_data },
644   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
645   { "recipients",          vtype_string_func, &fn_recipients },
646   { "recipients_count",    vtype_int,         &recipients_count },
647 #ifdef WITH_CONTENT_SCAN
648   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
649 #endif
650   { "reply_address",       vtype_reply,       NULL },
651   { "return_path",         vtype_stringptr,   &return_path },
652   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
653   { "router_name",         vtype_stringptr,   &router_name },
654   { "runrc",               vtype_int,         &runrc },
655   { "self_hostname",       vtype_stringptr,   &self_hostname },
656   { "sender_address",      vtype_stringptr,   &sender_address },
657   { "sender_address_data", vtype_stringptr,   &sender_address_data },
658   { "sender_address_domain", vtype_domain,    &sender_address },
659   { "sender_address_local_part", vtype_localpart, &sender_address },
660   { "sender_data",         vtype_stringptr,   &sender_data },
661   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
662   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
663   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
664   { "sender_host_address", vtype_stringptr,   &sender_host_address },
665   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
666   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
667   { "sender_host_name",    vtype_host_lookup, NULL },
668   { "sender_host_port",    vtype_int,         &sender_host_port },
669   { "sender_ident",        vtype_stringptr,   &sender_ident },
670   { "sender_rate",         vtype_stringptr,   &sender_rate },
671   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
672   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
673   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
674   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
675   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
676   { "sending_port",        vtype_int,         &sending_port },
677   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
678   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
679   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
680   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
681   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
682   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
683   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
684   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
685   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
686   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
687   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
688   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
689   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
690   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
691   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
692 #ifdef WITH_CONTENT_SCAN
693   { "spam_action",         vtype_stringptr,   &spam_action },
694   { "spam_bar",            vtype_stringptr,   &spam_bar },
695   { "spam_report",         vtype_stringptr,   &spam_report },
696   { "spam_score",          vtype_stringptr,   &spam_score },
697   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
698 #endif
699 #ifdef EXPERIMENTAL_SPF
700   { "spf_guess",           vtype_stringptr,   &spf_guess },
701   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
702   { "spf_received",        vtype_stringptr,   &spf_received },
703   { "spf_result",          vtype_stringptr,   &spf_result },
704   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
705 #endif
706   { "spool_directory",     vtype_stringptr,   &spool_directory },
707   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
708   { "spool_space",         vtype_pspace,      (void *)TRUE },
709 #ifdef EXPERIMENTAL_SRS
710   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
711   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
712   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
713   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
714   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
715   { "srs_status",          vtype_stringptr,   &srs_status },
716 #endif
717   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
718
719   /* The non-(in,out) variables are now deprecated */
720   { "tls_bits",            vtype_int,         &tls_in.bits },
721   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
722   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
723
724   { "tls_in_bits",         vtype_int,         &tls_in.bits },
725   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
726   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
727   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
728   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
729   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
730   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
731 #if defined(SUPPORT_TLS)
732   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
733 #endif
734   { "tls_out_bits",        vtype_int,         &tls_out.bits },
735   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
736   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
737 #ifdef EXPERIMENTAL_DANE
738   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
739 #endif
740   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
741   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
742   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
743   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
744 #if defined(SUPPORT_TLS)
745   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
746 #endif
747 #ifdef EXPERIMENTAL_DANE
748   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
749 #endif
750
751   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
752 #if defined(SUPPORT_TLS)
753   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
754 #endif
755
756   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
757   { "tod_epoch",           vtype_tode,        NULL },
758   { "tod_epoch_l",         vtype_todel,       NULL },
759   { "tod_full",            vtype_todf,        NULL },
760   { "tod_log",             vtype_todl,        NULL },
761   { "tod_logfile",         vtype_todlf,       NULL },
762   { "tod_zone",            vtype_todzone,     NULL },
763   { "tod_zulu",            vtype_todzulu,     NULL },
764   { "transport_name",      vtype_stringptr,   &transport_name },
765   { "value",               vtype_stringptr,   &lookup_value },
766   { "verify_mode",         vtype_stringptr,   &verify_mode },
767   { "version_number",      vtype_stringptr,   &version_string },
768   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
769   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
770   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
771   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
772   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
773   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
774 };
775
776 static int var_table_size = nelem(var_table);
777 static uschar var_buffer[256];
778 static BOOL malformed_header;
779
780 /* For textual hashes */
781
782 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
783                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
784                                "0123456789";
785
786 enum { HMAC_MD5, HMAC_SHA1 };
787
788 /* For numeric hashes */
789
790 static unsigned int prime[] = {
791   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
792  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
793  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
794
795 /* For printing modes in symbolic form */
796
797 static uschar *mtable_normal[] =
798   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
799
800 static uschar *mtable_setid[] =
801   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
802
803 static uschar *mtable_sticky[] =
804   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
805
806
807
808 /*************************************************
809 *           Tables for UTF-8 support             *
810 *************************************************/
811
812 /* Table of the number of extra characters, indexed by the first character
813 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
814 0x3d. */
815
816 static uschar utf8_table1[] = {
817   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
818   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
819   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
820   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
821
822 /* These are the masks for the data bits in the first byte of a character,
823 indexed by the number of additional bytes. */
824
825 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
826
827 /* Get the next UTF-8 character, advancing the pointer. */
828
829 #define GETUTF8INC(c, ptr) \
830   c = *ptr++; \
831   if ((c & 0xc0) == 0xc0) \
832     { \
833     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
834     int s = 6*a; \
835     c = (c & utf8_table2[a]) << s; \
836     while (a-- > 0) \
837       { \
838       s -= 6; \
839       c |= (*ptr++ & 0x3f) << s; \
840       } \
841     }
842
843
844 /*************************************************
845 *           Binary chop search on a table        *
846 *************************************************/
847
848 /* This is used for matching expansion items and operators.
849
850 Arguments:
851   name        the name that is being sought
852   table       the table to search
853   table_size  the number of items in the table
854
855 Returns:      the offset in the table, or -1
856 */
857
858 static int
859 chop_match(uschar *name, uschar **table, int table_size)
860 {
861 uschar **bot = table;
862 uschar **top = table + table_size;
863
864 while (top > bot)
865   {
866   uschar **mid = bot + (top - bot)/2;
867   int c = Ustrcmp(name, *mid);
868   if (c == 0) return mid - table;
869   if (c > 0) bot = mid + 1; else top = mid;
870   }
871
872 return -1;
873 }
874
875
876
877 /*************************************************
878 *          Check a condition string              *
879 *************************************************/
880
881 /* This function is called to expand a string, and test the result for a "true"
882 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
883 forced fail or lookup defer.
884
885 We used to release all store used, but this is not not safe due
886 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
887 is reasonably careful to release what it can.
888
889 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
890
891 Arguments:
892   condition     the condition string
893   m1            text to be incorporated in panic error
894   m2            ditto
895
896 Returns:        TRUE if condition is met, FALSE if not
897 */
898
899 BOOL
900 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
901 {
902 int rc;
903 uschar *ss = expand_string(condition);
904 if (ss == NULL)
905   {
906   if (!expand_string_forcedfail && !search_find_defer)
907     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
908       "for %s %s: %s", condition, m1, m2, expand_string_message);
909   return FALSE;
910   }
911 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
912   strcmpic(ss, US"false") != 0;
913 return rc;
914 }
915
916
917
918
919 /*************************************************
920 *        Pseudo-random number generation         *
921 *************************************************/
922
923 /* Pseudo-random number generation.  The result is not "expected" to be
924 cryptographically strong but not so weak that someone will shoot themselves
925 in the foot using it as a nonce in some email header scheme or whatever
926 weirdness they'll twist this into.  The result should ideally handle fork().
927
928 However, if we're stuck unable to provide this, then we'll fall back to
929 appallingly bad randomness.
930
931 If SUPPORT_TLS is defined then this will not be used except as an emergency
932 fallback.
933
934 Arguments:
935   max       range maximum
936 Returns     a random number in range [0, max-1]
937 */
938
939 #ifdef SUPPORT_TLS
940 # define vaguely_random_number vaguely_random_number_fallback
941 #endif
942 int
943 vaguely_random_number(int max)
944 {
945 #ifdef SUPPORT_TLS
946 # undef vaguely_random_number
947 #endif
948   static pid_t pid = 0;
949   pid_t p2;
950 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
951   struct timeval tv;
952 #endif
953
954   p2 = getpid();
955   if (p2 != pid)
956     {
957     if (pid != 0)
958       {
959
960 #ifdef HAVE_ARC4RANDOM
961       /* cryptographically strong randomness, common on *BSD platforms, not
962       so much elsewhere.  Alas. */
963 #ifndef NOT_HAVE_ARC4RANDOM_STIR
964       arc4random_stir();
965 #endif
966 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
967 #ifdef HAVE_SRANDOMDEV
968       /* uses random(4) for seeding */
969       srandomdev();
970 #else
971       gettimeofday(&tv, NULL);
972       srandom(tv.tv_sec | tv.tv_usec | getpid());
973 #endif
974 #else
975       /* Poor randomness and no seeding here */
976 #endif
977
978       }
979     pid = p2;
980     }
981
982 #ifdef HAVE_ARC4RANDOM
983   return arc4random() % max;
984 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
985   return random() % max;
986 #else
987   /* This one returns a 16-bit number, definitely not crypto-strong */
988   return random_number(max);
989 #endif
990 }
991
992
993
994
995 /*************************************************
996 *             Pick out a name from a string      *
997 *************************************************/
998
999 /* If the name is too long, it is silently truncated.
1000
1001 Arguments:
1002   name      points to a buffer into which to put the name
1003   max       is the length of the buffer
1004   s         points to the first alphabetic character of the name
1005   extras    chars other than alphanumerics to permit
1006
1007 Returns:    pointer to the first character after the name
1008
1009 Note: The test for *s != 0 in the while loop is necessary because
1010 Ustrchr() yields non-NULL if the character is zero (which is not something
1011 I expected). */
1012
1013 static const uschar *
1014 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1015 {
1016 int ptr = 0;
1017 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1018   {
1019   if (ptr < max-1) name[ptr++] = *s;
1020   s++;
1021   }
1022 name[ptr] = 0;
1023 return s;
1024 }
1025
1026
1027
1028 /*************************************************
1029 *     Pick out the rest of a header name         *
1030 *************************************************/
1031
1032 /* A variable name starting $header_ (or just $h_ for those who like
1033 abbreviations) might not be the complete header name because headers can
1034 contain any printing characters in their names, except ':'. This function is
1035 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1036 on the end, if the name was terminated by white space.
1037
1038 Arguments:
1039   name      points to a buffer in which the name read so far exists
1040   max       is the length of the buffer
1041   s         points to the first character after the name so far, i.e. the
1042             first non-alphameric character after $header_xxxxx
1043
1044 Returns:    a pointer to the first character after the header name
1045 */
1046
1047 static const uschar *
1048 read_header_name(uschar *name, int max, const uschar *s)
1049 {
1050 int prelen = Ustrchr(name, '_') - name + 1;
1051 int ptr = Ustrlen(name) - prelen;
1052 if (ptr > 0) memmove(name, name+prelen, ptr);
1053 while (mac_isgraph(*s) && *s != ':')
1054   {
1055   if (ptr < max-1) name[ptr++] = *s;
1056   s++;
1057   }
1058 if (*s == ':') s++;
1059 name[ptr++] = ':';
1060 name[ptr] = 0;
1061 return s;
1062 }
1063
1064
1065
1066 /*************************************************
1067 *           Pick out a number from a string      *
1068 *************************************************/
1069
1070 /* Arguments:
1071   n     points to an integer into which to put the number
1072   s     points to the first digit of the number
1073
1074 Returns:  a pointer to the character after the last digit
1075 */
1076
1077 static uschar *
1078 read_number(int *n, uschar *s)
1079 {
1080 *n = 0;
1081 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1082 return s;
1083 }
1084
1085 static const uschar *
1086 read_cnumber(int *n, const uschar *s)
1087 {
1088 *n = 0;
1089 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1090 return s;
1091 }
1092
1093
1094
1095 /*************************************************
1096 *        Extract keyed subfield from a string    *
1097 *************************************************/
1098
1099 /* The yield is in dynamic store; NULL means that the key was not found.
1100
1101 Arguments:
1102   key       points to the name of the key
1103   s         points to the string from which to extract the subfield
1104
1105 Returns:    NULL if the subfield was not found, or
1106             a pointer to the subfield's data
1107 */
1108
1109 static uschar *
1110 expand_getkeyed(uschar *key, const uschar *s)
1111 {
1112 int length = Ustrlen(key);
1113 while (isspace(*s)) s++;
1114
1115 /* Loop to search for the key */
1116
1117 while (*s != 0)
1118   {
1119   int dkeylength;
1120   uschar *data;
1121   const uschar *dkey = s;
1122
1123   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1124   dkeylength = s - dkey;
1125   while (isspace(*s)) s++;
1126   if (*s == '=') while (isspace((*(++s))));
1127
1128   data = string_dequote(&s);
1129   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1130     return data;
1131
1132   while (isspace(*s)) s++;
1133   }
1134
1135 return NULL;
1136 }
1137
1138
1139
1140 static var_entry *
1141 find_var_ent(uschar * name)
1142 {
1143 int first = 0;
1144 int last = var_table_size;
1145
1146 while (last > first)
1147   {
1148   int middle = (first + last)/2;
1149   int c = Ustrcmp(name, var_table[middle].name);
1150
1151   if (c > 0) { first = middle + 1; continue; }
1152   if (c < 0) { last = middle; continue; }
1153   return &var_table[middle];
1154   }
1155 return NULL;
1156 }
1157
1158 /*************************************************
1159 *   Extract numbered subfield from string        *
1160 *************************************************/
1161
1162 /* Extracts a numbered field from a string that is divided by tokens - for
1163 example a line from /etc/passwd is divided by colon characters.  First field is
1164 numbered one.  Negative arguments count from the right. Zero returns the whole
1165 string. Returns NULL if there are insufficient tokens in the string
1166
1167 ***WARNING***
1168 Modifies final argument - this is a dynamically generated string, so that's OK.
1169
1170 Arguments:
1171   field       number of field to be extracted,
1172                 first field = 1, whole string = 0, last field = -1
1173   separators  characters that are used to break string into tokens
1174   s           points to the string from which to extract the subfield
1175
1176 Returns:      NULL if the field was not found,
1177               a pointer to the field's data inside s (modified to add 0)
1178 */
1179
1180 static uschar *
1181 expand_gettokened (int field, uschar *separators, uschar *s)
1182 {
1183 int sep = 1;
1184 int count;
1185 uschar *ss = s;
1186 uschar *fieldtext = NULL;
1187
1188 if (field == 0) return s;
1189
1190 /* Break the line up into fields in place; for field > 0 we stop when we have
1191 done the number of fields we want. For field < 0 we continue till the end of
1192 the string, counting the number of fields. */
1193
1194 count = (field > 0)? field : INT_MAX;
1195
1196 while (count-- > 0)
1197   {
1198   size_t len;
1199
1200   /* Previous field was the last one in the string. For a positive field
1201   number, this means there are not enough fields. For a negative field number,
1202   check that there are enough, and scan back to find the one that is wanted. */
1203
1204   if (sep == 0)
1205     {
1206     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1207     if ((-field) == (INT_MAX - count - 1)) return s;
1208     while (field++ < 0)
1209       {
1210       ss--;
1211       while (ss[-1] != 0) ss--;
1212       }
1213     fieldtext = ss;
1214     break;
1215     }
1216
1217   /* Previous field was not last in the string; save its start and put a
1218   zero at its end. */
1219
1220   fieldtext = ss;
1221   len = Ustrcspn(ss, separators);
1222   sep = ss[len];
1223   ss[len] = 0;
1224   ss += len + 1;
1225   }
1226
1227 return fieldtext;
1228 }
1229
1230
1231 static uschar *
1232 expand_getlistele(int field, const uschar * list)
1233 {
1234 const uschar * tlist= list;
1235 int sep= 0;
1236 uschar dummy;
1237
1238 if(field<0)
1239   {
1240   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1241   sep= 0;
1242   }
1243 if(field==0) return NULL;
1244 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1245 return string_nextinlist(&list, &sep, NULL, 0);
1246 }
1247
1248
1249 /* Certificate fields, by name.  Worry about by-OID later */
1250 /* Names are chosen to not have common prefixes */
1251
1252 #ifdef SUPPORT_TLS
1253 typedef struct
1254 {
1255 uschar * name;
1256 int      namelen;
1257 uschar * (*getfn)(void * cert, uschar * mod);
1258 } certfield;
1259 static certfield certfields[] =
1260 {                       /* linear search; no special order */
1261   { US"version",         7,  &tls_cert_version },
1262   { US"serial_number",   13, &tls_cert_serial_number },
1263   { US"subject",         7,  &tls_cert_subject },
1264   { US"notbefore",       9,  &tls_cert_not_before },
1265   { US"notafter",        8,  &tls_cert_not_after },
1266   { US"issuer",          6,  &tls_cert_issuer },
1267   { US"signature",       9,  &tls_cert_signature },
1268   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1269   { US"subj_altname",    12, &tls_cert_subject_altname },
1270   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1271   { US"crl_uri",         7,  &tls_cert_crl_uri },
1272 };
1273
1274 static uschar *
1275 expand_getcertele(uschar * field, uschar * certvar)
1276 {
1277 var_entry * vp;
1278 certfield * cp;
1279
1280 if (!(vp = find_var_ent(certvar)))
1281   {
1282   expand_string_message =
1283     string_sprintf("no variable named \"%s\"", certvar);
1284   return NULL;          /* Unknown variable name */
1285   }
1286 /* NB this stops us passing certs around in variable.  Might
1287 want to do that in future */
1288 if (vp->type != vtype_cert)
1289   {
1290   expand_string_message =
1291     string_sprintf("\"%s\" is not a certificate", certvar);
1292   return NULL;          /* Unknown variable name */
1293   }
1294 if (!*(void **)vp->value)
1295   return NULL;
1296
1297 if (*field >= '0' && *field <= '9')
1298   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1299
1300 for(cp = certfields;
1301     cp < certfields + nelem(certfields);
1302     cp++)
1303   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1304     {
1305     uschar * modifier = *(field += cp->namelen) == ','
1306       ? ++field : NULL;
1307     return (*cp->getfn)( *(void **)vp->value, modifier );
1308     }
1309
1310 expand_string_message =
1311   string_sprintf("bad field selector \"%s\" for certextract", field);
1312 return NULL;
1313 }
1314 #endif  /*SUPPORT_TLS*/
1315
1316 /*************************************************
1317 *        Extract a substring from a string       *
1318 *************************************************/
1319
1320 /* Perform the ${substr or ${length expansion operations.
1321
1322 Arguments:
1323   subject     the input string
1324   value1      the offset from the start of the input string to the start of
1325                 the output string; if negative, count from the right.
1326   value2      the length of the output string, or negative (-1) for unset
1327                 if value1 is positive, unset means "all after"
1328                 if value1 is negative, unset means "all before"
1329   len         set to the length of the returned string
1330
1331 Returns:      pointer to the output string, or NULL if there is an error
1332 */
1333
1334 static uschar *
1335 extract_substr(uschar *subject, int value1, int value2, int *len)
1336 {
1337 int sublen = Ustrlen(subject);
1338
1339 if (value1 < 0)    /* count from right */
1340   {
1341   value1 += sublen;
1342
1343   /* If the position is before the start, skip to the start, and adjust the
1344   length. If the length ends up negative, the substring is null because nothing
1345   can precede. This falls out naturally when the length is unset, meaning "all
1346   to the left". */
1347
1348   if (value1 < 0)
1349     {
1350     value2 += value1;
1351     if (value2 < 0) value2 = 0;
1352     value1 = 0;
1353     }
1354
1355   /* Otherwise an unset length => characters before value1 */
1356
1357   else if (value2 < 0)
1358     {
1359     value2 = value1;
1360     value1 = 0;
1361     }
1362   }
1363
1364 /* For a non-negative offset, if the starting position is past the end of the
1365 string, the result will be the null string. Otherwise, an unset length means
1366 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1367
1368 else
1369   {
1370   if (value1 > sublen)
1371     {
1372     value1 = sublen;
1373     value2 = 0;
1374     }
1375   else if (value2 < 0) value2 = sublen;
1376   }
1377
1378 /* Cut the length down to the maximum possible for the offset value, and get
1379 the required characters. */
1380
1381 if (value1 + value2 > sublen) value2 = sublen - value1;
1382 *len = value2;
1383 return subject + value1;
1384 }
1385
1386
1387
1388
1389 /*************************************************
1390 *            Old-style hash of a string          *
1391 *************************************************/
1392
1393 /* Perform the ${hash expansion operation.
1394
1395 Arguments:
1396   subject     the input string (an expanded substring)
1397   value1      the length of the output string; if greater or equal to the
1398                 length of the input string, the input string is returned
1399   value2      the number of hash characters to use, or 26 if negative
1400   len         set to the length of the returned string
1401
1402 Returns:      pointer to the output string, or NULL if there is an error
1403 */
1404
1405 static uschar *
1406 compute_hash(uschar *subject, int value1, int value2, int *len)
1407 {
1408 int sublen = Ustrlen(subject);
1409
1410 if (value2 < 0) value2 = 26;
1411 else if (value2 > Ustrlen(hashcodes))
1412   {
1413   expand_string_message =
1414     string_sprintf("hash count \"%d\" too big", value2);
1415   return NULL;
1416   }
1417
1418 /* Calculate the hash text. We know it is shorter than the original string, so
1419 can safely place it in subject[] (we know that subject is always itself an
1420 expanded substring). */
1421
1422 if (value1 < sublen)
1423   {
1424   int c;
1425   int i = 0;
1426   int j = value1;
1427   while ((c = (subject[j])) != 0)
1428     {
1429     int shift = (c + j++) & 7;
1430     subject[i] ^= (c << shift) | (c >> (8-shift));
1431     if (++i >= value1) i = 0;
1432     }
1433   for (i = 0; i < value1; i++)
1434     subject[i] = hashcodes[(subject[i]) % value2];
1435   }
1436 else value1 = sublen;
1437
1438 *len = value1;
1439 return subject;
1440 }
1441
1442
1443
1444
1445 /*************************************************
1446 *             Numeric hash of a string           *
1447 *************************************************/
1448
1449 /* Perform the ${nhash expansion operation. The first characters of the
1450 string are treated as most important, and get the highest prime numbers.
1451
1452 Arguments:
1453   subject     the input string
1454   value1      the maximum value of the first part of the result
1455   value2      the maximum value of the second part of the result,
1456                 or negative to produce only a one-part result
1457   len         set to the length of the returned string
1458
1459 Returns:  pointer to the output string, or NULL if there is an error.
1460 */
1461
1462 static uschar *
1463 compute_nhash (uschar *subject, int value1, int value2, int *len)
1464 {
1465 uschar *s = subject;
1466 int i = 0;
1467 unsigned long int total = 0; /* no overflow */
1468
1469 while (*s != 0)
1470   {
1471   if (i == 0) i = nelem(prime) - 1;
1472   total += prime[i--] * (unsigned int)(*s++);
1473   }
1474
1475 /* If value2 is unset, just compute one number */
1476
1477 if (value2 < 0)
1478   {
1479   s = string_sprintf("%d", total % value1);
1480   }
1481
1482 /* Otherwise do a div/mod hash */
1483
1484 else
1485   {
1486   total = total % (value1 * value2);
1487   s = string_sprintf("%d/%d", total/value2, total % value2);
1488   }
1489
1490 *len = Ustrlen(s);
1491 return s;
1492 }
1493
1494
1495
1496
1497
1498 /*************************************************
1499 *     Find the value of a header or headers      *
1500 *************************************************/
1501
1502 /* Multiple instances of the same header get concatenated, and this function
1503 can also return a concatenation of all the header lines. When concatenating
1504 specific headers that contain lists of addresses, a comma is inserted between
1505 them. Otherwise we use a straight concatenation. Because some messages can have
1506 pathologically large number of lines, there is a limit on the length that is
1507 returned. Also, to avoid massive store use which would result from using
1508 string_cat() as it copies and extends strings, we do a preliminary pass to find
1509 out exactly how much store will be needed. On "normal" messages this will be
1510 pretty trivial.
1511
1512 Arguments:
1513   name          the name of the header, without the leading $header_ or $h_,
1514                 or NULL if a concatenation of all headers is required
1515   exists_only   TRUE if called from a def: test; don't need to build a string;
1516                 just return a string that is not "" and not "0" if the header
1517                 exists
1518   newsize       return the size of memory block that was obtained; may be NULL
1519                 if exists_only is TRUE
1520   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1521                 other than concatenating, will be done on the header. Also used
1522                 for $message_headers_raw.
1523   charset       name of charset to translate MIME words to; used only if
1524                 want_raw is false; if NULL, no translation is done (this is
1525                 used for $bh_ and $bheader_)
1526
1527 Returns:        NULL if the header does not exist, else a pointer to a new
1528                 store block
1529 */
1530
1531 static uschar *
1532 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1533   uschar *charset)
1534 {
1535 BOOL found = name == NULL;
1536 int comma = 0;
1537 int len = found? 0 : Ustrlen(name);
1538 int i;
1539 uschar *yield = NULL;
1540 uschar *ptr = NULL;
1541
1542 /* Loop for two passes - saves code repetition */
1543
1544 for (i = 0; i < 2; i++)
1545   {
1546   int size = 0;
1547   header_line *h;
1548
1549   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1550     {
1551     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1552       {
1553       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1554         {
1555         int ilen;
1556         uschar *t;
1557
1558         if (exists_only) return US"1";      /* don't need actual string */
1559         found = TRUE;
1560         t = h->text + len;                  /* text to insert */
1561         if (!want_raw)                      /* unless wanted raw, */
1562           while (isspace(*t)) t++;          /* remove leading white space */
1563         ilen = h->slen - (t - h->text);     /* length to insert */
1564
1565         /* Unless wanted raw, remove trailing whitespace, including the
1566         newline. */
1567
1568         if (!want_raw)
1569           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1570
1571         /* Set comma = 1 if handling a single header and it's one of those
1572         that contains an address list, except when asked for raw headers. Only
1573         need to do this once. */
1574
1575         if (!want_raw && name != NULL && comma == 0 &&
1576             Ustrchr("BCFRST", h->type) != NULL)
1577           comma = 1;
1578
1579         /* First pass - compute total store needed; second pass - compute
1580         total store used, including this header. */
1581
1582         size += ilen + comma + 1;  /* +1 for the newline */
1583
1584         /* Second pass - concatentate the data, up to a maximum. Note that
1585         the loop stops when size hits the limit. */
1586
1587         if (i != 0)
1588           {
1589           if (size > header_insert_maxlen)
1590             {
1591             ilen -= size - header_insert_maxlen - 1;
1592             comma = 0;
1593             }
1594           Ustrncpy(ptr, t, ilen);
1595           ptr += ilen;
1596
1597           /* For a non-raw header, put in the comma if needed, then add
1598           back the newline we removed above, provided there was some text in
1599           the header. */
1600
1601           if (!want_raw && ilen > 0)
1602             {
1603             if (comma != 0) *ptr++ = ',';
1604             *ptr++ = '\n';
1605             }
1606           }
1607         }
1608       }
1609     }
1610
1611   /* At end of first pass, return NULL if no header found. Then truncate size
1612   if necessary, and get the buffer to hold the data, returning the buffer size.
1613   */
1614
1615   if (i == 0)
1616     {
1617     if (!found) return NULL;
1618     if (size > header_insert_maxlen) size = header_insert_maxlen;
1619     *newsize = size + 1;
1620     ptr = yield = store_get(*newsize);
1621     }
1622   }
1623
1624 /* That's all we do for raw header expansion. */
1625
1626 if (want_raw)
1627   {
1628   *ptr = 0;
1629   }
1630
1631 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1632 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1633 function can return an error with decoded data if the charset translation
1634 fails. If decoding fails, it returns NULL. */
1635
1636 else
1637   {
1638   uschar *decoded, *error;
1639   if (ptr > yield && ptr[-1] == '\n') ptr--;
1640   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1641   *ptr = 0;
1642   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1643     newsize, &error);
1644   if (error != NULL)
1645     {
1646     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1647       "    input was: %s\n", error, yield);
1648     }
1649   if (decoded != NULL) yield = decoded;
1650   }
1651
1652 return yield;
1653 }
1654
1655
1656
1657
1658 /*************************************************
1659 *               Return list of recipients        *
1660 *************************************************/
1661 /* A recipients list is available only during system message filtering,
1662 during ACL processing after DATA, and while expanding pipe commands
1663 generated from a system filter, but not elsewhere. */
1664
1665 static uschar *
1666 fn_recipients(void)
1667 {
1668 if (!enable_dollar_recipients) return NULL; else
1669   {
1670   int size = 128;
1671   int ptr = 0;
1672   int i;
1673   uschar * s = store_get(size);
1674   for (i = 0; i < recipients_count; i++)
1675     {
1676     if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1677     s = string_cat(s, &size, &ptr, recipients_list[i].address,
1678       Ustrlen(recipients_list[i].address));
1679     }
1680   s[ptr] = 0;     /* string_cat() leaves room */
1681   return s;
1682   }
1683 }
1684
1685
1686 /*************************************************
1687 *               Find value of a variable         *
1688 *************************************************/
1689
1690 /* The table of variables is kept in alphabetic order, so we can search it
1691 using a binary chop. The "choplen" variable is nothing to do with the binary
1692 chop.
1693
1694 Arguments:
1695   name          the name of the variable being sought
1696   exists_only   TRUE if this is a def: test; passed on to find_header()
1697   skipping      TRUE => skip any processing evaluation; this is not the same as
1698                   exists_only because def: may test for values that are first
1699                   evaluated here
1700   newsize       pointer to an int which is initially zero; if the answer is in
1701                 a new memory buffer, *newsize is set to its size
1702
1703 Returns:        NULL if the variable does not exist, or
1704                 a pointer to the variable's contents, or
1705                 something non-NULL if exists_only is TRUE
1706 */
1707
1708 static uschar *
1709 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1710 {
1711 var_entry * vp;
1712 uschar *s, *domain;
1713 uschar **ss;
1714 void * val;
1715
1716 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1717 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1718 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1719 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1720 (this gave backwards compatibility at the changeover). There may be built-in
1721 variables whose names start acl_ but they should never start in this way. This
1722 slightly messy specification is a consequence of the history, needless to say.
1723
1724 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1725 set, in which case give an error. */
1726
1727 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1728      !isalpha(name[5]))
1729   {
1730   tree_node *node =
1731     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1732   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1733   }
1734
1735 /* Handle $auth<n> variables. */
1736
1737 if (Ustrncmp(name, "auth", 4) == 0)
1738   {
1739   uschar *endptr;
1740   int n = Ustrtoul(name + 4, &endptr, 10);
1741   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1742     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1743   }
1744 else if (Ustrncmp(name, "regex", 5) == 0)
1745   {
1746   uschar *endptr;
1747   int n = Ustrtoul(name + 5, &endptr, 10);
1748   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1749     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1750   }
1751
1752 /* For all other variables, search the table */
1753
1754 if (!(vp = find_var_ent(name)))
1755   return NULL;          /* Unknown variable name */
1756
1757 /* Found an existing variable. If in skipping state, the value isn't needed,
1758 and we want to avoid processing (such as looking up the host name). */
1759
1760 if (skipping)
1761   return US"";
1762
1763 val = vp->value;
1764 switch (vp->type)
1765   {
1766   case vtype_filter_int:
1767     if (!filter_running) return NULL;
1768     /* Fall through */
1769     /* VVVVVVVVVVVV */
1770   case vtype_int:
1771     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1772     return var_buffer;
1773
1774   case vtype_ino:
1775     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1776     return var_buffer;
1777
1778   case vtype_gid:
1779     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1780     return var_buffer;
1781
1782   case vtype_uid:
1783     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1784     return var_buffer;
1785
1786   case vtype_bool:
1787     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1788     return var_buffer;
1789
1790   case vtype_stringptr:                      /* Pointer to string */
1791     return (s = *((uschar **)(val))) ? s : US"";
1792
1793   case vtype_pid:
1794     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1795     return var_buffer;
1796
1797   case vtype_load_avg:
1798     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1799     return var_buffer;
1800
1801   case vtype_host_lookup:                    /* Lookup if not done so */
1802     if (sender_host_name == NULL && sender_host_address != NULL &&
1803         !host_lookup_failed && host_name_lookup() == OK)
1804       host_build_sender_fullhost();
1805     return (sender_host_name == NULL)? US"" : sender_host_name;
1806
1807   case vtype_localpart:                      /* Get local part from address */
1808     s = *((uschar **)(val));
1809     if (s == NULL) return US"";
1810     domain = Ustrrchr(s, '@');
1811     if (domain == NULL) return s;
1812     if (domain - s > sizeof(var_buffer) - 1)
1813       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1814           " in string expansion", sizeof(var_buffer));
1815     Ustrncpy(var_buffer, s, domain - s);
1816     var_buffer[domain - s] = 0;
1817     return var_buffer;
1818
1819   case vtype_domain:                         /* Get domain from address */
1820     s = *((uschar **)(val));
1821     if (s == NULL) return US"";
1822     domain = Ustrrchr(s, '@');
1823     return (domain == NULL)? US"" : domain + 1;
1824
1825   case vtype_msgheaders:
1826     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1827
1828   case vtype_msgheaders_raw:
1829     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1830
1831   case vtype_msgbody:                        /* Pointer to msgbody string */
1832   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1833     ss = (uschar **)(val);
1834     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1835       {
1836       uschar *body;
1837       off_t start_offset = SPOOL_DATA_START_OFFSET;
1838       int len = message_body_visible;
1839       if (len > message_size) len = message_size;
1840       *ss = body = store_malloc(len+1);
1841       body[0] = 0;
1842       if (vp->type == vtype_msgbody_end)
1843         {
1844         struct stat statbuf;
1845         if (fstat(deliver_datafile, &statbuf) == 0)
1846           {
1847           start_offset = statbuf.st_size - len;
1848           if (start_offset < SPOOL_DATA_START_OFFSET)
1849             start_offset = SPOOL_DATA_START_OFFSET;
1850           }
1851         }
1852       lseek(deliver_datafile, start_offset, SEEK_SET);
1853       len = read(deliver_datafile, body, len);
1854       if (len > 0)
1855         {
1856         body[len] = 0;
1857         if (message_body_newlines)   /* Separate loops for efficiency */
1858           while (len > 0)
1859             { if (body[--len] == 0) body[len] = ' '; }
1860         else
1861           while (len > 0)
1862             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1863         }
1864       }
1865     return (*ss == NULL)? US"" : *ss;
1866
1867   case vtype_todbsdin:                       /* BSD inbox time of day */
1868     return tod_stamp(tod_bsdin);
1869
1870   case vtype_tode:                           /* Unix epoch time of day */
1871     return tod_stamp(tod_epoch);
1872
1873   case vtype_todel:                          /* Unix epoch/usec time of day */
1874     return tod_stamp(tod_epoch_l);
1875
1876   case vtype_todf:                           /* Full time of day */
1877     return tod_stamp(tod_full);
1878
1879   case vtype_todl:                           /* Log format time of day */
1880     return tod_stamp(tod_log_bare);            /* (without timezone) */
1881
1882   case vtype_todzone:                        /* Time zone offset only */
1883     return tod_stamp(tod_zone);
1884
1885   case vtype_todzulu:                        /* Zulu time */
1886     return tod_stamp(tod_zulu);
1887
1888   case vtype_todlf:                          /* Log file datestamp tod */
1889     return tod_stamp(tod_log_datestamp_daily);
1890
1891   case vtype_reply:                          /* Get reply address */
1892     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1893       headers_charset);
1894     if (s != NULL) while (isspace(*s)) s++;
1895     if (s == NULL || *s == 0)
1896       {
1897       *newsize = 0;                            /* For the *s==0 case */
1898       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1899       }
1900     if (s != NULL)
1901       {
1902       uschar *t;
1903       while (isspace(*s)) s++;
1904       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1905       while (t > s && isspace(t[-1])) t--;
1906       *t = 0;
1907       }
1908     return (s == NULL)? US"" : s;
1909
1910   case vtype_string_func:
1911     {
1912     uschar * (*fn)() = val;
1913     return fn();
1914     }
1915
1916   case vtype_pspace:
1917     {
1918     int inodes;
1919     sprintf(CS var_buffer, "%d",
1920       receive_statvfs(val == (void *)TRUE, &inodes));
1921     }
1922   return var_buffer;
1923
1924   case vtype_pinodes:
1925     {
1926     int inodes;
1927     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1928     sprintf(CS var_buffer, "%d", inodes);
1929     }
1930   return var_buffer;
1931
1932   case vtype_cert:
1933     return *(void **)val ? US"<cert>" : US"";
1934
1935 #ifndef DISABLE_DKIM
1936   case vtype_dkim:
1937     return dkim_exim_expand_query((int)(long)val);
1938 #endif
1939
1940   }
1941
1942 return NULL;  /* Unknown variable. Silences static checkers. */
1943 }
1944
1945
1946
1947
1948 void
1949 modify_variable(uschar *name, void * value)
1950 {
1951 var_entry * vp;
1952 if ((vp = find_var_ent(name))) vp->value = value;
1953 return;          /* Unknown variable name, fail silently */
1954 }
1955
1956
1957
1958
1959
1960 /*************************************************
1961 *           Read and expand substrings           *
1962 *************************************************/
1963
1964 /* This function is called to read and expand argument substrings for various
1965 expansion items. Some have a minimum requirement that is less than the maximum;
1966 in these cases, the first non-present one is set to NULL.
1967
1968 Arguments:
1969   sub        points to vector of pointers to set
1970   n          maximum number of substrings
1971   m          minimum required
1972   sptr       points to current string pointer
1973   skipping   the skipping flag
1974   check_end  if TRUE, check for final '}'
1975   name       name of item, for error message
1976   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1977              the store.
1978
1979 Returns:     0 OK; string pointer updated
1980              1 curly bracketing error (too few arguments)
1981              2 too many arguments (only if check_end is set); message set
1982              3 other error (expansion failure)
1983 */
1984
1985 static int
1986 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1987   BOOL check_end, uschar *name, BOOL *resetok)
1988 {
1989 int i;
1990 const uschar *s = *sptr;
1991
1992 while (isspace(*s)) s++;
1993 for (i = 0; i < n; i++)
1994   {
1995   if (*s != '{')
1996     {
1997     if (i < m) return 1;
1998     sub[i] = NULL;
1999     break;
2000     }
2001   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok);
2002   if (sub[i] == NULL) return 3;
2003   if (*s++ != '}') return 1;
2004   while (isspace(*s)) s++;
2005   }
2006 if (check_end && *s++ != '}')
2007   {
2008   if (s[-1] == '{')
2009     {
2010     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
2011       "(max is %d)", name, n);
2012     return 2;
2013     }
2014   return 1;
2015   }
2016
2017 *sptr = s;
2018 return 0;
2019 }
2020
2021
2022
2023
2024 /*************************************************
2025 *     Elaborate message for bad variable         *
2026 *************************************************/
2027
2028 /* For the "unknown variable" message, take a look at the variable's name, and
2029 give additional information about possible ACL variables. The extra information
2030 is added on to expand_string_message.
2031
2032 Argument:   the name of the variable
2033 Returns:    nothing
2034 */
2035
2036 static void
2037 check_variable_error_message(uschar *name)
2038 {
2039 if (Ustrncmp(name, "acl_", 4) == 0)
2040   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2041     (name[4] == 'c' || name[4] == 'm')?
2042       (isalpha(name[5])?
2043         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2044         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2045       ) :
2046       US"user-defined ACL variables must start acl_c or acl_m");
2047 }
2048
2049
2050
2051 /*
2052 Load args from sub array to globals, and call acl_check().
2053 Sub array will be corrupted on return.
2054
2055 Returns:       OK         access is granted by an ACCEPT verb
2056                DISCARD    access is granted by a DISCARD verb
2057                FAIL       access is denied
2058                FAIL_DROP  access is denied; drop the connection
2059                DEFER      can't tell at the moment
2060                ERROR      disaster
2061 */
2062 static int
2063 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2064 {
2065 int i;
2066 int sav_narg = acl_narg;
2067 int ret;
2068 uschar * dummy_logmsg;
2069 extern int acl_where;
2070
2071 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2072 for (i = 0; i < nsub && sub[i+1]; i++)
2073   {
2074   uschar * tmp = acl_arg[i];
2075   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2076   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2077   }
2078 acl_narg = i;
2079 while (i < nsub)
2080   {
2081   sub[i+1] = acl_arg[i];
2082   acl_arg[i++] = NULL;
2083   }
2084
2085 DEBUG(D_expand)
2086   debug_printf("expanding: acl: %s  arg: %s%s\n",
2087     sub[0],
2088     acl_narg>0 ? acl_arg[0] : US"<none>",
2089     acl_narg>1 ? " +more"   : "");
2090
2091 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2092
2093 for (i = 0; i < nsub; i++)
2094   acl_arg[i] = sub[i+1];        /* restore old args */
2095 acl_narg = sav_narg;
2096
2097 return ret;
2098 }
2099
2100
2101
2102
2103 /*************************************************
2104 *        Read and evaluate a condition           *
2105 *************************************************/
2106
2107 /*
2108 Arguments:
2109   s        points to the start of the condition text
2110   resetok  points to a BOOL which is written false if it is unsafe to
2111            free memory. Certain condition types (acl) may have side-effect
2112            allocation which must be preserved.
2113   yield    points to a BOOL to hold the result of the condition test;
2114            if NULL, we are just reading through a condition that is
2115            part of an "or" combination to check syntax, or in a state
2116            where the answer isn't required
2117
2118 Returns:   a pointer to the first character after the condition, or
2119            NULL after an error
2120 */
2121
2122 static const uschar *
2123 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2124 {
2125 BOOL testfor = TRUE;
2126 BOOL tempcond, combined_cond;
2127 BOOL *subcondptr;
2128 BOOL sub2_honour_dollar = TRUE;
2129 int i, rc, cond_type, roffset;
2130 int_eximarith_t num[2];
2131 struct stat statbuf;
2132 uschar name[256];
2133 const uschar *sub[10];
2134
2135 const pcre *re;
2136 const uschar *rerror;
2137
2138 for (;;)
2139   {
2140   while (isspace(*s)) s++;
2141   if (*s == '!') { testfor = !testfor; s++; } else break;
2142   }
2143
2144 /* Numeric comparisons are symbolic */
2145
2146 if (*s == '=' || *s == '>' || *s == '<')
2147   {
2148   int p = 0;
2149   name[p++] = *s++;
2150   if (*s == '=')
2151     {
2152     name[p++] = '=';
2153     s++;
2154     }
2155   name[p] = 0;
2156   }
2157
2158 /* All other conditions are named */
2159
2160 else s = read_name(name, 256, s, US"_");
2161
2162 /* If we haven't read a name, it means some non-alpha character is first. */
2163
2164 if (name[0] == 0)
2165   {
2166   expand_string_message = string_sprintf("condition name expected, "
2167     "but found \"%.16s\"", s);
2168   return NULL;
2169   }
2170
2171 /* Find which condition we are dealing with, and switch on it */
2172
2173 cond_type = chop_match(name, cond_table, nelem(cond_table));
2174 switch(cond_type)
2175   {
2176   /* def: tests for a non-empty variable, or for the existence of a header. If
2177   yield == NULL we are in a skipping state, and don't care about the answer. */
2178
2179   case ECOND_DEF:
2180   if (*s != ':')
2181     {
2182     expand_string_message = US"\":\" expected after \"def\"";
2183     return NULL;
2184     }
2185
2186   s = read_name(name, 256, s+1, US"_");
2187
2188   /* Test for a header's existence. If the name contains a closing brace
2189   character, this may be a user error where the terminating colon has been
2190   omitted. Set a flag to adjust a subsequent error message in this case. */
2191
2192   if (Ustrncmp(name, "h_", 2) == 0 ||
2193       Ustrncmp(name, "rh_", 3) == 0 ||
2194       Ustrncmp(name, "bh_", 3) == 0 ||
2195       Ustrncmp(name, "header_", 7) == 0 ||
2196       Ustrncmp(name, "rheader_", 8) == 0 ||
2197       Ustrncmp(name, "bheader_", 8) == 0)
2198     {
2199     s = read_header_name(name, 256, s);
2200     /* {-for-text-editors */
2201     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2202     if (yield != NULL) *yield =
2203       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2204     }
2205
2206   /* Test for a variable's having a non-empty value. A non-existent variable
2207   causes an expansion failure. */
2208
2209   else
2210     {
2211     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2212     if (value == NULL)
2213       {
2214       expand_string_message = (name[0] == 0)?
2215         string_sprintf("variable name omitted after \"def:\"") :
2216         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2217       check_variable_error_message(name);
2218       return NULL;
2219       }
2220     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2221     }
2222
2223   return s;
2224
2225
2226   /* first_delivery tests for first delivery attempt */
2227
2228   case ECOND_FIRST_DELIVERY:
2229   if (yield != NULL) *yield = deliver_firsttime == testfor;
2230   return s;
2231
2232
2233   /* queue_running tests for any process started by a queue runner */
2234
2235   case ECOND_QUEUE_RUNNING:
2236   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2237   return s;
2238
2239
2240   /* exists:  tests for file existence
2241        isip:  tests for any IP address
2242       isip4:  tests for an IPv4 address
2243       isip6:  tests for an IPv6 address
2244         pam:  does PAM authentication
2245      radius:  does RADIUS authentication
2246    ldapauth:  does LDAP authentication
2247     pwcheck:  does Cyrus SASL pwcheck authentication
2248   */
2249
2250   case ECOND_EXISTS:
2251   case ECOND_ISIP:
2252   case ECOND_ISIP4:
2253   case ECOND_ISIP6:
2254   case ECOND_PAM:
2255   case ECOND_RADIUS:
2256   case ECOND_LDAPAUTH:
2257   case ECOND_PWCHECK:
2258
2259   while (isspace(*s)) s++;
2260   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2261
2262   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2263   if (sub[0] == NULL) return NULL;
2264   /* {-for-text-editors */
2265   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2266
2267   if (yield == NULL) return s;   /* No need to run the test if skipping */
2268
2269   switch(cond_type)
2270     {
2271     case ECOND_EXISTS:
2272     if ((expand_forbid & RDO_EXISTS) != 0)
2273       {
2274       expand_string_message = US"File existence tests are not permitted";
2275       return NULL;
2276       }
2277     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2278     break;
2279
2280     case ECOND_ISIP:
2281     case ECOND_ISIP4:
2282     case ECOND_ISIP6:
2283     rc = string_is_ip_address(sub[0], NULL);
2284     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2285              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2286     break;
2287
2288     /* Various authentication tests - all optionally compiled */
2289
2290     case ECOND_PAM:
2291     #ifdef SUPPORT_PAM
2292     rc = auth_call_pam(sub[0], &expand_string_message);
2293     goto END_AUTH;
2294     #else
2295     goto COND_FAILED_NOT_COMPILED;
2296     #endif  /* SUPPORT_PAM */
2297
2298     case ECOND_RADIUS:
2299     #ifdef RADIUS_CONFIG_FILE
2300     rc = auth_call_radius(sub[0], &expand_string_message);
2301     goto END_AUTH;
2302     #else
2303     goto COND_FAILED_NOT_COMPILED;
2304     #endif  /* RADIUS_CONFIG_FILE */
2305
2306     case ECOND_LDAPAUTH:
2307     #ifdef LOOKUP_LDAP
2308       {
2309       /* Just to keep the interface the same */
2310       BOOL do_cache;
2311       int old_pool = store_pool;
2312       store_pool = POOL_SEARCH;
2313       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2314         &expand_string_message, &do_cache);
2315       store_pool = old_pool;
2316       }
2317     goto END_AUTH;
2318     #else
2319     goto COND_FAILED_NOT_COMPILED;
2320     #endif  /* LOOKUP_LDAP */
2321
2322     case ECOND_PWCHECK:
2323     #ifdef CYRUS_PWCHECK_SOCKET
2324     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2325     goto END_AUTH;
2326     #else
2327     goto COND_FAILED_NOT_COMPILED;
2328     #endif  /* CYRUS_PWCHECK_SOCKET */
2329
2330     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2331         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2332     END_AUTH:
2333     if (rc == ERROR || rc == DEFER) return NULL;
2334     *yield = (rc == OK) == testfor;
2335     #endif
2336     }
2337   return s;
2338
2339
2340   /* call ACL (in a conditional context).  Accept true, deny false.
2341   Defer is a forced-fail.  Anything set by message= goes to $value.
2342   Up to ten parameters are used; we use the braces round the name+args
2343   like the saslauthd condition does, to permit a variable number of args.
2344   See also the expansion-item version EITEM_ACL and the traditional
2345   acl modifier ACLC_ACL.
2346   Since the ACL may allocate new global variables, tell our caller to not
2347   reclaim memory.
2348   */
2349
2350   case ECOND_ACL:
2351     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2352     {
2353     uschar *sub[10];
2354     uschar *user_msg;
2355     BOOL cond = FALSE;
2356     int size = 0;
2357     int ptr = 0;
2358
2359     while (isspace(*s)) s++;
2360     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2361
2362     switch(read_subs(sub, nelem(sub), 1,
2363       &s, yield == NULL, TRUE, US"acl", resetok))
2364       {
2365       case 1: expand_string_message = US"too few arguments or bracketing "
2366         "error for acl";
2367       case 2:
2368       case 3: return NULL;
2369       }
2370
2371     *resetok = FALSE;
2372     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2373         {
2374         case OK:
2375           cond = TRUE;
2376         case FAIL:
2377           lookup_value = NULL;
2378           if (user_msg)
2379             {
2380             lookup_value = string_cat(NULL, &size, &ptr, user_msg, Ustrlen(user_msg));
2381             lookup_value[ptr] = '\0';
2382             }
2383           *yield = cond == testfor;
2384           break;
2385
2386         case DEFER:
2387           expand_string_forcedfail = TRUE;
2388         default:
2389           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2390           return NULL;
2391         }
2392     return s;
2393     }
2394
2395
2396   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2397
2398      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2399
2400   However, the last two are optional. That is why the whole set is enclosed
2401   in their own set of braces. */
2402
2403   case ECOND_SASLAUTHD:
2404 #ifndef CYRUS_SASLAUTHD_SOCKET
2405     goto COND_FAILED_NOT_COMPILED;
2406 #else
2407     {
2408     uschar *sub[4];
2409     while (isspace(*s)) s++;
2410     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2411     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2412                     resetok))
2413       {
2414       case 1: expand_string_message = US"too few arguments or bracketing "
2415         "error for saslauthd";
2416       case 2:
2417       case 3: return NULL;
2418       }
2419     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2420     if (yield != NULL)
2421       {
2422       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2423         &expand_string_message);
2424       if (rc == ERROR || rc == DEFER) return NULL;
2425       *yield = (rc == OK) == testfor;
2426       }
2427     return s;
2428     }
2429 #endif /* CYRUS_SASLAUTHD_SOCKET */
2430
2431
2432   /* symbolic operators for numeric and string comparison, and a number of
2433   other operators, all requiring two arguments.
2434
2435   crypteq:           encrypts plaintext and compares against an encrypted text,
2436                        using crypt(), crypt16(), MD5 or SHA-1
2437   inlist/inlisti:    checks if first argument is in the list of the second
2438   match:             does a regular expression match and sets up the numerical
2439                        variables if it succeeds
2440   match_address:     matches in an address list
2441   match_domain:      matches in a domain list
2442   match_ip:          matches a host list that is restricted to IP addresses
2443   match_local_part:  matches in a local part list
2444   */
2445
2446   case ECOND_MATCH_ADDRESS:
2447   case ECOND_MATCH_DOMAIN:
2448   case ECOND_MATCH_IP:
2449   case ECOND_MATCH_LOCAL_PART:
2450 #ifndef EXPAND_LISTMATCH_RHS
2451     sub2_honour_dollar = FALSE;
2452 #endif
2453     /* FALLTHROUGH */
2454
2455   case ECOND_CRYPTEQ:
2456   case ECOND_INLIST:
2457   case ECOND_INLISTI:
2458   case ECOND_MATCH:
2459
2460   case ECOND_NUM_L:     /* Numerical comparisons */
2461   case ECOND_NUM_LE:
2462   case ECOND_NUM_E:
2463   case ECOND_NUM_EE:
2464   case ECOND_NUM_G:
2465   case ECOND_NUM_GE:
2466
2467   case ECOND_STR_LT:    /* String comparisons */
2468   case ECOND_STR_LTI:
2469   case ECOND_STR_LE:
2470   case ECOND_STR_LEI:
2471   case ECOND_STR_EQ:
2472   case ECOND_STR_EQI:
2473   case ECOND_STR_GT:
2474   case ECOND_STR_GTI:
2475   case ECOND_STR_GE:
2476   case ECOND_STR_GEI:
2477
2478   for (i = 0; i < 2; i++)
2479     {
2480     /* Sometimes, we don't expand substrings; too many insecure configurations
2481     created using match_address{}{} and friends, where the second param
2482     includes information from untrustworthy sources. */
2483     BOOL honour_dollar = TRUE;
2484     if ((i > 0) && !sub2_honour_dollar)
2485       honour_dollar = FALSE;
2486
2487     while (isspace(*s)) s++;
2488     if (*s != '{')
2489       {
2490       if (i == 0) goto COND_FAILED_CURLY_START;
2491       expand_string_message = string_sprintf("missing 2nd string in {} "
2492         "after \"%s\"", name);
2493       return NULL;
2494       }
2495     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2496         honour_dollar, resetok);
2497     if (sub[i] == NULL) return NULL;
2498     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2499
2500     /* Convert to numerical if required; we know that the names of all the
2501     conditions that compare numbers do not start with a letter. This just saves
2502     checking for them individually. */
2503
2504     if (!isalpha(name[0]) && yield != NULL)
2505       {
2506       if (sub[i][0] == 0)
2507         {
2508         num[i] = 0;
2509         DEBUG(D_expand)
2510           debug_printf("empty string cast to zero for numerical comparison\n");
2511         }
2512       else
2513         {
2514         num[i] = expanded_string_integer(sub[i], FALSE);
2515         if (expand_string_message != NULL) return NULL;
2516         }
2517       }
2518     }
2519
2520   /* Result not required */
2521
2522   if (yield == NULL) return s;
2523
2524   /* Do an appropriate comparison */
2525
2526   switch(cond_type)
2527     {
2528     case ECOND_NUM_E:
2529     case ECOND_NUM_EE:
2530     tempcond = (num[0] == num[1]);
2531     break;
2532
2533     case ECOND_NUM_G:
2534     tempcond = (num[0] > num[1]);
2535     break;
2536
2537     case ECOND_NUM_GE:
2538     tempcond = (num[0] >= num[1]);
2539     break;
2540
2541     case ECOND_NUM_L:
2542     tempcond = (num[0] < num[1]);
2543     break;
2544
2545     case ECOND_NUM_LE:
2546     tempcond = (num[0] <= num[1]);
2547     break;
2548
2549     case ECOND_STR_LT:
2550     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2551     break;
2552
2553     case ECOND_STR_LTI:
2554     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2555     break;
2556
2557     case ECOND_STR_LE:
2558     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2559     break;
2560
2561     case ECOND_STR_LEI:
2562     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2563     break;
2564
2565     case ECOND_STR_EQ:
2566     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2567     break;
2568
2569     case ECOND_STR_EQI:
2570     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2571     break;
2572
2573     case ECOND_STR_GT:
2574     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2575     break;
2576
2577     case ECOND_STR_GTI:
2578     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2579     break;
2580
2581     case ECOND_STR_GE:
2582     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2583     break;
2584
2585     case ECOND_STR_GEI:
2586     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2587     break;
2588
2589     case ECOND_MATCH:   /* Regular expression match */
2590     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2591       NULL);
2592     if (re == NULL)
2593       {
2594       expand_string_message = string_sprintf("regular expression error in "
2595         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2596       return NULL;
2597       }
2598     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2599     break;
2600
2601     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2602     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2603     goto MATCHED_SOMETHING;
2604
2605     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2606     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2607       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2608     goto MATCHED_SOMETHING;
2609
2610     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2611     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2612       {
2613       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2614         sub[0]);
2615       return NULL;
2616       }
2617     else
2618       {
2619       unsigned int *nullcache = NULL;
2620       check_host_block cb;
2621
2622       cb.host_name = US"";
2623       cb.host_address = sub[0];
2624
2625       /* If the host address starts off ::ffff: it is an IPv6 address in
2626       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2627       addresses. */
2628
2629       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2630         cb.host_address + 7 : cb.host_address;
2631
2632       rc = match_check_list(
2633              &sub[1],                   /* the list */
2634              0,                         /* separator character */
2635              &hostlist_anchor,          /* anchor pointer */
2636              &nullcache,                /* cache pointer */
2637              check_host,                /* function for testing */
2638              &cb,                       /* argument for function */
2639              MCL_HOST,                  /* type of check */
2640              sub[0],                    /* text for debugging */
2641              NULL);                     /* where to pass back data */
2642       }
2643     goto MATCHED_SOMETHING;
2644
2645     case ECOND_MATCH_LOCAL_PART:
2646     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2647       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2648     /* Fall through */
2649     /* VVVVVVVVVVVV */
2650     MATCHED_SOMETHING:
2651     switch(rc)
2652       {
2653       case OK:
2654       tempcond = TRUE;
2655       break;
2656
2657       case FAIL:
2658       tempcond = FALSE;
2659       break;
2660
2661       case DEFER:
2662       expand_string_message = string_sprintf("unable to complete match "
2663         "against \"%s\": %s", sub[1], search_error_message);
2664       return NULL;
2665       }
2666
2667     break;
2668
2669     /* Various "encrypted" comparisons. If the second string starts with
2670     "{" then an encryption type is given. Default to crypt() or crypt16()
2671     (build-time choice). */
2672     /* }-for-text-editors */
2673
2674     case ECOND_CRYPTEQ:
2675     #ifndef SUPPORT_CRYPTEQ
2676     goto COND_FAILED_NOT_COMPILED;
2677     #else
2678     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2679       {
2680       int sublen = Ustrlen(sub[1]+5);
2681       md5 base;
2682       uschar digest[16];
2683
2684       md5_start(&base);
2685       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2686
2687       /* If the length that we are comparing against is 24, the MD5 digest
2688       is expressed as a base64 string. This is the way LDAP does it. However,
2689       some other software uses a straightforward hex representation. We assume
2690       this if the length is 32. Other lengths fail. */
2691
2692       if (sublen == 24)
2693         {
2694         uschar *coded = b64encode((uschar *)digest, 16);
2695         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2696           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2697         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2698         }
2699       else if (sublen == 32)
2700         {
2701         int i;
2702         uschar coded[36];
2703         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2704         coded[32] = 0;
2705         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2706           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2707         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2708         }
2709       else
2710         {
2711         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2712           "fail\n  crypted=%s\n", sub[1]+5);
2713         tempcond = FALSE;
2714         }
2715       }
2716
2717     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2718       {
2719       int sublen = Ustrlen(sub[1]+6);
2720       sha1 base;
2721       uschar digest[20];
2722
2723       sha1_start(&base);
2724       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2725
2726       /* If the length that we are comparing against is 28, assume the SHA1
2727       digest is expressed as a base64 string. If the length is 40, assume a
2728       straightforward hex representation. Other lengths fail. */
2729
2730       if (sublen == 28)
2731         {
2732         uschar *coded = b64encode((uschar *)digest, 20);
2733         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2734           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2735         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2736         }
2737       else if (sublen == 40)
2738         {
2739         int i;
2740         uschar coded[44];
2741         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2742         coded[40] = 0;
2743         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2744           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2745         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2746         }
2747       else
2748         {
2749         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2750           "fail\n  crypted=%s\n", sub[1]+6);
2751         tempcond = FALSE;
2752         }
2753       }
2754
2755     else   /* {crypt} or {crypt16} and non-{ at start */
2756            /* }-for-text-editors */
2757       {
2758       int which = 0;
2759       uschar *coded;
2760
2761       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2762         {
2763         sub[1] += 7;
2764         which = 1;
2765         }
2766       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2767         {
2768         sub[1] += 9;
2769         which = 2;
2770         }
2771       else if (sub[1][0] == '{')                /* }-for-text-editors */
2772         {
2773         expand_string_message = string_sprintf("unknown encryption mechanism "
2774           "in \"%s\"", sub[1]);
2775         return NULL;
2776         }
2777
2778       switch(which)
2779         {
2780         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2781         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2782         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2783         }
2784
2785       #define STR(s) # s
2786       #define XSTR(s) STR(s)
2787       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2788         "  subject=%s\n  crypted=%s\n",
2789         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2790         coded, sub[1]);
2791       #undef STR
2792       #undef XSTR
2793
2794       /* If the encrypted string contains fewer than two characters (for the
2795       salt), force failure. Otherwise we get false positives: with an empty
2796       string the yield of crypt() is an empty string! */
2797
2798       if (coded)
2799         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2800       else if (errno == EINVAL)
2801         tempcond = FALSE;
2802       else
2803         {
2804         expand_string_message = string_sprintf("crypt error: %s\n",
2805           US strerror(errno));
2806         return NULL;
2807         }
2808       }
2809     break;
2810     #endif  /* SUPPORT_CRYPTEQ */
2811
2812     case ECOND_INLIST:
2813     case ECOND_INLISTI:
2814       {
2815       const uschar * list = sub[1];
2816       int sep = 0;
2817       uschar *save_iterate_item = iterate_item;
2818       int (*compare)(const uschar *, const uschar *);
2819
2820       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2821
2822       tempcond = FALSE;
2823       compare = cond_type == ECOND_INLISTI
2824         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2825
2826       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2827         if (compare(sub[0], iterate_item) == 0)
2828           {
2829           tempcond = TRUE;
2830           break;
2831           }
2832       iterate_item = save_iterate_item;
2833       }
2834
2835     }   /* Switch for comparison conditions */
2836
2837   *yield = tempcond == testfor;
2838   return s;    /* End of comparison conditions */
2839
2840
2841   /* and/or: computes logical and/or of several conditions */
2842
2843   case ECOND_AND:
2844   case ECOND_OR:
2845   subcondptr = (yield == NULL)? NULL : &tempcond;
2846   combined_cond = (cond_type == ECOND_AND);
2847
2848   while (isspace(*s)) s++;
2849   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2850
2851   for (;;)
2852     {
2853     while (isspace(*s)) s++;
2854     /* {-for-text-editors */
2855     if (*s == '}') break;
2856     if (*s != '{')                                      /* }-for-text-editors */
2857       {
2858       expand_string_message = string_sprintf("each subcondition "
2859         "inside an \"%s{...}\" condition must be in its own {}", name);
2860       return NULL;
2861       }
2862
2863     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2864       {
2865       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2866         expand_string_message, name);
2867       return NULL;
2868       }
2869     while (isspace(*s)) s++;
2870
2871     /* {-for-text-editors */
2872     if (*s++ != '}')
2873       {
2874       /* {-for-text-editors */
2875       expand_string_message = string_sprintf("missing } at end of condition "
2876         "inside \"%s\" group", name);
2877       return NULL;
2878       }
2879
2880     if (yield != NULL)
2881       {
2882       if (cond_type == ECOND_AND)
2883         {
2884         combined_cond &= tempcond;
2885         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2886         }                                       /* evaluate any more */
2887       else
2888         {
2889         combined_cond |= tempcond;
2890         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2891         }                                       /* evaluate any more */
2892       }
2893     }
2894
2895   if (yield != NULL) *yield = (combined_cond == testfor);
2896   return ++s;
2897
2898
2899   /* forall/forany: iterates a condition with different values */
2900
2901   case ECOND_FORALL:
2902   case ECOND_FORANY:
2903     {
2904     const uschar * list;
2905     int sep = 0;
2906     uschar *save_iterate_item = iterate_item;
2907
2908     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2909
2910     while (isspace(*s)) s++;
2911     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2912     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2913     if (sub[0] == NULL) return NULL;
2914     /* {-for-text-editors */
2915     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2916
2917     while (isspace(*s)) s++;
2918     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2919
2920     sub[1] = s;
2921
2922     /* Call eval_condition once, with result discarded (as if scanning a
2923     "false" part). This allows us to find the end of the condition, because if
2924     the list it empty, we won't actually evaluate the condition for real. */
2925
2926     if (!(s = eval_condition(sub[1], resetok, NULL)))
2927       {
2928       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2929         expand_string_message, name);
2930       return NULL;
2931       }
2932     while (isspace(*s)) s++;
2933
2934     /* {-for-text-editors */
2935     if (*s++ != '}')
2936       {
2937       /* {-for-text-editors */
2938       expand_string_message = string_sprintf("missing } at end of condition "
2939         "inside \"%s\"", name);
2940       return NULL;
2941       }
2942
2943     if (yield != NULL) *yield = !testfor;
2944     list = sub[0];
2945     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2946       {
2947       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2948       if (!eval_condition(sub[1], resetok, &tempcond))
2949         {
2950         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2951           expand_string_message, name);
2952         iterate_item = save_iterate_item;
2953         return NULL;
2954         }
2955       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2956         tempcond? "true":"false");
2957
2958       if (yield != NULL) *yield = (tempcond == testfor);
2959       if (tempcond == (cond_type == ECOND_FORANY)) break;
2960       }
2961
2962     iterate_item = save_iterate_item;
2963     return s;
2964     }
2965
2966
2967   /* The bool{} expansion condition maps a string to boolean.
2968   The values supported should match those supported by the ACL condition
2969   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2970   of true/false.  Note that Router "condition" rules have a different
2971   interpretation, where general data can be used and only a few values
2972   map to FALSE.
2973   Note that readconf.c boolean matching, for boolean configuration options,
2974   only matches true/yes/false/no.
2975   The bool_lax{} condition matches the Router logic, which is much more
2976   liberal. */
2977   case ECOND_BOOL:
2978   case ECOND_BOOL_LAX:
2979     {
2980     uschar *sub_arg[1];
2981     uschar *t, *t2;
2982     uschar *ourname;
2983     size_t len;
2984     BOOL boolvalue = FALSE;
2985     while (isspace(*s)) s++;
2986     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2987     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
2988     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
2989       {
2990       case 1: expand_string_message = string_sprintf(
2991                   "too few arguments or bracketing error for %s",
2992                   ourname);
2993       /*FALLTHROUGH*/
2994       case 2:
2995       case 3: return NULL;
2996       }
2997     t = sub_arg[0];
2998     while (isspace(*t)) t++;
2999     len = Ustrlen(t);
3000     if (len)
3001       {
3002       /* trailing whitespace: seems like a good idea to ignore it too */
3003       t2 = t + len - 1;
3004       while (isspace(*t2)) t2--;
3005       if (t2 != (t + len))
3006         {
3007         *++t2 = '\0';
3008         len = t2 - t;
3009         }
3010       }
3011     DEBUG(D_expand)
3012       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3013     /* logic for the lax case from expand_check_condition(), which also does
3014     expands, and the logic is both short and stable enough that there should
3015     be no maintenance burden from replicating it. */
3016     if (len == 0)
3017       boolvalue = FALSE;
3018     else if (*t == '-'
3019              ? Ustrspn(t+1, "0123456789") == len-1
3020              : Ustrspn(t,   "0123456789") == len)
3021       {
3022       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3023       /* expand_check_condition only does a literal string "0" check */
3024       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3025         boolvalue = TRUE;
3026       }
3027     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3028       boolvalue = TRUE;
3029     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3030       boolvalue = FALSE;
3031     else if (cond_type == ECOND_BOOL_LAX)
3032       boolvalue = TRUE;
3033     else
3034       {
3035       expand_string_message = string_sprintf("unrecognised boolean "
3036        "value \"%s\"", t);
3037       return NULL;
3038       }
3039     if (yield != NULL) *yield = (boolvalue == testfor);
3040     return s;
3041     }
3042
3043   /* Unknown condition */
3044
3045   default:
3046   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3047   return NULL;
3048   }   /* End switch on condition type */
3049
3050 /* Missing braces at start and end of data */
3051
3052 COND_FAILED_CURLY_START:
3053 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3054 return NULL;
3055
3056 COND_FAILED_CURLY_END:
3057 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3058   name);
3059 return NULL;
3060
3061 /* A condition requires code that is not compiled */
3062
3063 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3064     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3065     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3066 COND_FAILED_NOT_COMPILED:
3067 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3068   name);
3069 return NULL;
3070 #endif
3071 }
3072
3073
3074
3075
3076 /*************************************************
3077 *          Save numerical variables              *
3078 *************************************************/
3079
3080 /* This function is called from items such as "if" that want to preserve and
3081 restore the numbered variables.
3082
3083 Arguments:
3084   save_expand_string    points to an array of pointers to set
3085   save_expand_nlength   points to an array of ints for the lengths
3086
3087 Returns:                the value of expand max to save
3088 */
3089
3090 static int
3091 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3092 {
3093 int i;
3094 for (i = 0; i <= expand_nmax; i++)
3095   {
3096   save_expand_nstring[i] = expand_nstring[i];
3097   save_expand_nlength[i] = expand_nlength[i];
3098   }
3099 return expand_nmax;
3100 }
3101
3102
3103
3104 /*************************************************
3105 *           Restore numerical variables          *
3106 *************************************************/
3107
3108 /* This function restored saved values of numerical strings.
3109
3110 Arguments:
3111   save_expand_nmax      the number of strings to restore
3112   save_expand_string    points to an array of pointers
3113   save_expand_nlength   points to an array of ints
3114
3115 Returns:                nothing
3116 */
3117
3118 static void
3119 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3120   int *save_expand_nlength)
3121 {
3122 int i;
3123 expand_nmax = save_expand_nmax;
3124 for (i = 0; i <= expand_nmax; i++)
3125   {
3126   expand_nstring[i] = save_expand_nstring[i];
3127   expand_nlength[i] = save_expand_nlength[i];
3128   }
3129 }
3130
3131
3132
3133
3134
3135 /*************************************************
3136 *            Handle yes/no substrings            *
3137 *************************************************/
3138
3139 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3140 alternative substrings that depend on whether or not the condition was true,
3141 or the lookup or extraction succeeded. The substrings always have to be
3142 expanded, to check their syntax, but "skipping" is set when the result is not
3143 needed - this avoids unnecessary nested lookups.
3144
3145 Arguments:
3146   skipping       TRUE if we were skipping when this item was reached
3147   yes            TRUE if the first string is to be used, else use the second
3148   save_lookup    a value to put back into lookup_value before the 2nd expansion
3149   sptr           points to the input string pointer
3150   yieldptr       points to the output string pointer
3151   sizeptr        points to the output string size
3152   ptrptr         points to the output string pointer
3153   type           "lookup", "if", "extract", "run", "env", "listextract" or
3154                  "certextract" for error message
3155   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3156                 the store.
3157
3158 Returns:         0 OK; lookup_value has been reset to save_lookup
3159                  1 expansion failed
3160                  2 expansion failed because of bracketing error
3161 */
3162
3163 static int
3164 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3165   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3166 {
3167 int rc = 0;
3168 const uschar *s = *sptr;    /* Local value */
3169 uschar *sub1, *sub2;
3170
3171 /* If there are no following strings, we substitute the contents of $value for
3172 lookups and for extractions in the success case. For the ${if item, the string
3173 "true" is substituted. In the fail case, nothing is substituted for all three
3174 items. */
3175
3176 while (isspace(*s)) s++;
3177 if (*s == '}')
3178   {
3179   if (type[0] == 'i')
3180     {
3181     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
3182     }
3183   else
3184     {
3185     if (yes && lookup_value)
3186       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
3187         Ustrlen(lookup_value));
3188     lookup_value = save_lookup;
3189     }
3190   s++;
3191   goto RETURN;
3192   }
3193
3194 /* The first following string must be braced. */
3195
3196 if (*s++ != '{') goto FAILED_CURLY;
3197
3198 /* Expand the first substring. Forced failures are noticed only if we actually
3199 want this string. Set skipping in the call in the fail case (this will always
3200 be the case if we were already skipping). */
3201
3202 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3203 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3204 expand_string_forcedfail = FALSE;
3205 if (*s++ != '}') goto FAILED_CURLY;
3206
3207 /* If we want the first string, add it to the output */
3208
3209 if (yes)
3210   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
3211
3212 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3213 $value to what it was at the start of the item, so that it has this value
3214 during the second string expansion. For the call from "if" or "run" to this
3215 function, save_lookup is set to lookup_value, so that this statement does
3216 nothing. */
3217
3218 lookup_value = save_lookup;
3219
3220 /* There now follows either another substring, or "fail", or nothing. This
3221 time, forced failures are noticed only if we want the second string. We must
3222 set skipping in the nested call if we don't want this string, or if we were
3223 already skipping. */
3224
3225 while (isspace(*s)) s++;
3226 if (*s == '{')
3227   {
3228   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3229   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3230   expand_string_forcedfail = FALSE;
3231   if (*s++ != '}') goto FAILED_CURLY;
3232
3233   /* If we want the second string, add it to the output */
3234
3235   if (!yes)
3236     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
3237   }
3238
3239 /* If there is no second string, but the word "fail" is present when the use of
3240 the second string is wanted, set a flag indicating it was a forced failure
3241 rather than a syntactic error. Swallow the terminating } in case this is nested
3242 inside another lookup or if or extract. */
3243
3244 else if (*s != '}')
3245   {
3246   uschar name[256];
3247   /* deconst cast ok here as source is s anyway */
3248   s = US read_name(name, sizeof(name), s, US"_");
3249   if (Ustrcmp(name, "fail") == 0)
3250     {
3251     if (!yes && !skipping)
3252       {
3253       while (isspace(*s)) s++;
3254       if (*s++ != '}') goto FAILED_CURLY;
3255       expand_string_message =
3256         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3257       expand_string_forcedfail = TRUE;
3258       goto FAILED;
3259       }
3260     }
3261   else
3262     {
3263     expand_string_message =
3264       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3265     goto FAILED;
3266     }
3267   }
3268
3269 /* All we have to do now is to check on the final closing brace. */
3270
3271 while (isspace(*s)) s++;
3272 if (*s++ == '}') goto RETURN;
3273
3274 /* Get here if there is a bracketing failure */
3275
3276 FAILED_CURLY:
3277 rc++;
3278
3279 /* Get here for other failures */
3280
3281 FAILED:
3282 rc++;
3283
3284 /* Update the input pointer value before returning */
3285
3286 RETURN:
3287 *sptr = s;
3288 return rc;
3289 }
3290
3291
3292
3293
3294 /*************************************************
3295 *    Handle MD5 or SHA-1 computation for HMAC    *
3296 *************************************************/
3297
3298 /* These are some wrapping functions that enable the HMAC code to be a bit
3299 cleaner. A good compiler will spot the tail recursion.
3300
3301 Arguments:
3302   type         HMAC_MD5 or HMAC_SHA1
3303   remaining    are as for the cryptographic hash functions
3304
3305 Returns:       nothing
3306 */
3307
3308 static void
3309 chash_start(int type, void *base)
3310 {
3311 if (type == HMAC_MD5)
3312   md5_start((md5 *)base);
3313 else
3314   sha1_start((sha1 *)base);
3315 }
3316
3317 static void
3318 chash_mid(int type, void *base, uschar *string)
3319 {
3320 if (type == HMAC_MD5)
3321   md5_mid((md5 *)base, string);
3322 else
3323   sha1_mid((sha1 *)base, string);
3324 }
3325
3326 static void
3327 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3328 {
3329 if (type == HMAC_MD5)
3330   md5_end((md5 *)base, string, length, digest);
3331 else
3332   sha1_end((sha1 *)base, string, length, digest);
3333 }
3334
3335
3336
3337
3338
3339 /********************************************************
3340 * prvs: Get last three digits of days since Jan 1, 1970 *
3341 ********************************************************/
3342
3343 /* This is needed to implement the "prvs" BATV reverse
3344    path signing scheme
3345
3346 Argument: integer "days" offset to add or substract to
3347           or from the current number of days.
3348
3349 Returns:  pointer to string containing the last three
3350           digits of the number of days since Jan 1, 1970,
3351           modified by the offset argument, NULL if there
3352           was an error in the conversion.
3353
3354 */
3355
3356 static uschar *
3357 prvs_daystamp(int day_offset)
3358 {
3359 uschar *days = store_get(32);                /* Need at least 24 for cases */
3360 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3361   (time(NULL) + day_offset*86400)/86400);
3362 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3363 }
3364
3365
3366
3367 /********************************************************
3368 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3369 ********************************************************/
3370
3371 /* This is needed to implement the "prvs" BATV reverse
3372    path signing scheme
3373
3374 Arguments:
3375   address RFC2821 Address to use
3376       key The key to use (must be less than 64 characters
3377           in size)
3378   key_num Single-digit key number to use. Defaults to
3379           '0' when NULL.
3380
3381 Returns:  pointer to string containing the first three
3382           bytes of the final hash in hex format, NULL if
3383           there was an error in the process.
3384 */
3385
3386 static uschar *
3387 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3388 {
3389 uschar *hash_source, *p;
3390 int size = 0,offset = 0,i;
3391 sha1 sha1_base;
3392 void *use_base = &sha1_base;
3393 uschar innerhash[20];
3394 uschar finalhash[20];
3395 uschar innerkey[64];
3396 uschar outerkey[64];
3397 uschar *finalhash_hex = store_get(40);
3398
3399 if (key_num == NULL)
3400   key_num = US"0";
3401
3402 if (Ustrlen(key) > 64)
3403   return NULL;
3404
3405 hash_source = string_cat(NULL,&size,&offset,key_num,1);
3406 string_cat(hash_source,&size,&offset,daystamp,3);
3407 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
3408 hash_source[offset] = '\0';
3409
3410 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3411
3412 memset(innerkey, 0x36, 64);
3413 memset(outerkey, 0x5c, 64);
3414
3415 for (i = 0; i < Ustrlen(key); i++)
3416   {
3417   innerkey[i] ^= key[i];
3418   outerkey[i] ^= key[i];
3419   }
3420
3421 chash_start(HMAC_SHA1, use_base);
3422 chash_mid(HMAC_SHA1, use_base, innerkey);
3423 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
3424
3425 chash_start(HMAC_SHA1, use_base);
3426 chash_mid(HMAC_SHA1, use_base, outerkey);
3427 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
3428
3429 p = finalhash_hex;
3430 for (i = 0; i < 3; i++)
3431   {
3432   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3433   *p++ = hex_digits[finalhash[i] & 0x0f];
3434   }
3435 *p = '\0';
3436
3437 return finalhash_hex;
3438 }
3439
3440
3441
3442
3443 /*************************************************
3444 *        Join a file onto the output string      *
3445 *************************************************/
3446
3447 /* This is used for readfile/readsock and after a run expansion.
3448 It joins the contents of a file onto the output string, globally replacing
3449 newlines with a given string (optionally).
3450
3451 Arguments:
3452   f            the FILE
3453   yield        pointer to the expandable string
3454   sizep        pointer to the current size
3455   ptrp         pointer to the current position
3456   eol          newline replacement string, or NULL
3457
3458 Returns:       new value of string pointer
3459 */
3460
3461 static uschar *
3462 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3463 {
3464 int eollen = eol ? Ustrlen(eol) : 0;
3465 uschar buffer[1024];
3466
3467 while (Ufgets(buffer, sizeof(buffer), f))
3468   {
3469   int len = Ustrlen(buffer);
3470   if (eol && buffer[len-1] == '\n') len--;
3471   yield = string_cat(yield, sizep, ptrp, buffer, len);
3472   if (buffer[len] != 0)
3473     yield = string_cat(yield, sizep, ptrp, eol, eollen);
3474   }
3475
3476 if (yield) yield[*ptrp] = 0;
3477
3478 return yield;
3479 }
3480
3481
3482
3483
3484 /*************************************************
3485 *          Evaluate numeric expression           *
3486 *************************************************/
3487
3488 /* This is a set of mutually recursive functions that evaluate an arithmetic
3489 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3490 these functions that is called from elsewhere is eval_expr, whose interface is:
3491
3492 Arguments:
3493   sptr        pointer to the pointer to the string - gets updated
3494   decimal     TRUE if numbers are to be assumed decimal
3495   error       pointer to where to put an error message - must be NULL on input
3496   endket      TRUE if ')' must terminate - FALSE for external call
3497
3498 Returns:      on success: the value of the expression, with *error still NULL
3499               on failure: an undefined value, with *error = a message
3500 */
3501
3502 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3503
3504
3505 static int_eximarith_t
3506 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3507 {
3508 uschar *s = *sptr;
3509 int_eximarith_t x = eval_op_or(&s, decimal, error);
3510 if (*error == NULL)
3511   {
3512   if (endket)
3513     {
3514     if (*s != ')')
3515       *error = US"expecting closing parenthesis";
3516     else
3517       while (isspace(*(++s)));
3518     }
3519   else if (*s != 0) *error = US"expecting operator";
3520   }
3521 *sptr = s;
3522 return x;
3523 }
3524
3525
3526 static int_eximarith_t
3527 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3528 {
3529 register int c;
3530 int_eximarith_t n;
3531 uschar *s = *sptr;
3532 while (isspace(*s)) s++;
3533 c = *s;
3534 if (isdigit(c))
3535   {
3536   int count;
3537   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3538   s += count;
3539   switch (tolower(*s))
3540     {
3541     default: break;
3542     case 'k': n *= 1024; s++; break;
3543     case 'm': n *= 1024*1024; s++; break;
3544     case 'g': n *= 1024*1024*1024; s++; break;
3545     }
3546   while (isspace (*s)) s++;
3547   }
3548 else if (c == '(')
3549   {
3550   s++;
3551   n = eval_expr(&s, decimal, error, 1);
3552   }
3553 else
3554   {
3555   *error = US"expecting number or opening parenthesis";
3556   n = 0;
3557   }
3558 *sptr = s;
3559 return n;
3560 }
3561
3562
3563 static int_eximarith_t
3564 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3565 {
3566 uschar *s = *sptr;
3567 int_eximarith_t x;
3568 while (isspace(*s)) s++;
3569 if (*s == '+' || *s == '-' || *s == '~')
3570   {
3571   int op = *s++;
3572   x = eval_op_unary(&s, decimal, error);
3573   if (op == '-') x = -x;
3574     else if (op == '~') x = ~x;
3575   }
3576 else
3577   {
3578   x = eval_number(&s, decimal, error);
3579   }
3580 *sptr = s;
3581 return x;
3582 }
3583
3584
3585 static int_eximarith_t
3586 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3587 {
3588 uschar *s = *sptr;
3589 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3590 if (*error == NULL)
3591   {
3592   while (*s == '*' || *s == '/' || *s == '%')
3593     {
3594     int op = *s++;
3595     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3596     if (*error != NULL) break;
3597     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3598      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3599      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3600      * -N*M is INT_MIN will yielf INT_MIN.
3601      * Since we don't support floating point, this is somewhat simpler.
3602      * Ideally, we'd return an error, but since we overflow for all other
3603      * arithmetic, consistency suggests otherwise, but what's the correct value
3604      * to use?  There is none.
3605      * The C standard guarantees overflow for unsigned arithmetic but signed
3606      * overflow invokes undefined behaviour; in practice, this is overflow
3607      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3608      * that long/longlong larger than int are available, or we could just work
3609      * with larger types.  We should consider whether to guarantee 32bit eval
3610      * and 64-bit working variables, with errors returned.  For now ...
3611      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3612      * can just let the other invalid results occur otherwise, as they have
3613      * until now.  For this one case, we can coerce.
3614      */
3615     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3616       {
3617       DEBUG(D_expand)
3618         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3619             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3620       x = EXIM_ARITH_MAX;
3621       continue;
3622       }
3623     if (op == '*')
3624       x *= y;
3625     else
3626       {
3627       if (y == 0)
3628         {
3629         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3630         x = 0;
3631         break;
3632         }
3633       if (op == '/')
3634         x /= y;
3635       else
3636         x %= y;
3637       }
3638     }
3639   }
3640 *sptr = s;
3641 return x;
3642 }
3643
3644
3645 static int_eximarith_t
3646 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3647 {
3648 uschar *s = *sptr;
3649 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3650 if (*error == NULL)
3651   {
3652   while (*s == '+' || *s == '-')
3653     {
3654     int op = *s++;
3655     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3656     if (*error != NULL) break;
3657     if (op == '+') x += y; else x -= y;
3658     }
3659   }
3660 *sptr = s;
3661 return x;
3662 }
3663
3664
3665 static int_eximarith_t
3666 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3667 {
3668 uschar *s = *sptr;
3669 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3670 if (*error == NULL)
3671   {
3672   while ((*s == '<' || *s == '>') && s[1] == s[0])
3673     {
3674     int_eximarith_t y;
3675     int op = *s++;
3676     s++;
3677     y = eval_op_sum(&s, decimal, error);
3678     if (*error != NULL) break;
3679     if (op == '<') x <<= y; else x >>= y;
3680     }
3681   }
3682 *sptr = s;
3683 return x;
3684 }
3685
3686
3687 static int_eximarith_t
3688 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3689 {
3690 uschar *s = *sptr;
3691 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3692 if (*error == NULL)
3693   {
3694   while (*s == '&')
3695     {
3696     int_eximarith_t y;
3697     s++;
3698     y = eval_op_shift(&s, decimal, error);
3699     if (*error != NULL) break;
3700     x &= y;
3701     }
3702   }
3703 *sptr = s;
3704 return x;
3705 }
3706
3707
3708 static int_eximarith_t
3709 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3710 {
3711 uschar *s = *sptr;
3712 int_eximarith_t x = eval_op_and(&s, decimal, error);
3713 if (*error == NULL)
3714   {
3715   while (*s == '^')
3716     {
3717     int_eximarith_t y;
3718     s++;
3719     y = eval_op_and(&s, decimal, error);
3720     if (*error != NULL) break;
3721     x ^= y;
3722     }
3723   }
3724 *sptr = s;
3725 return x;
3726 }
3727
3728
3729 static int_eximarith_t
3730 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3731 {
3732 uschar *s = *sptr;
3733 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3734 if (*error == NULL)
3735   {
3736   while (*s == '|')
3737     {
3738     int_eximarith_t y;
3739     s++;
3740     y = eval_op_xor(&s, decimal, error);
3741     if (*error != NULL) break;
3742     x |= y;
3743     }
3744   }
3745 *sptr = s;
3746 return x;
3747 }
3748
3749
3750
3751 /*************************************************
3752 *                 Expand string                  *
3753 *************************************************/
3754
3755 /* Returns either an unchanged string, or the expanded string in stacking pool
3756 store. Interpreted sequences are:
3757
3758    \...                    normal escaping rules
3759    $name                   substitutes the variable
3760    ${name}                 ditto
3761    ${op:string}            operates on the expanded string value
3762    ${item{arg1}{arg2}...}  expands the args and then does the business
3763                              some literal args are not enclosed in {}
3764
3765 There are now far too many operators and item types to make it worth listing
3766 them here in detail any more.
3767
3768 We use an internal routine recursively to handle embedded substrings. The
3769 external function follows. The yield is NULL if the expansion failed, and there
3770 are two cases: if something collapsed syntactically, or if "fail" was given
3771 as the action on a lookup failure. These can be distinguised by looking at the
3772 variable expand_string_forcedfail, which is TRUE in the latter case.
3773
3774 The skipping flag is set true when expanding a substring that isn't actually
3775 going to be used (after "if" or "lookup") and it prevents lookups from
3776 happening lower down.
3777
3778 Store usage: At start, a store block of the length of the input plus 64
3779 is obtained. This is expanded as necessary by string_cat(), which might have to
3780 get a new block, or might be able to expand the original. At the end of the
3781 function we can release any store above that portion of the yield block that
3782 was actually used. In many cases this will be optimal.
3783
3784 However: if the first item in the expansion is a variable name or header name,
3785 we reset the store before processing it; if the result is in fresh store, we
3786 use that without copying. This is helpful for expanding strings like
3787 $message_headers which can get very long.
3788
3789 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3790 since resetting the store at the end of the expansion will free store that was
3791 allocated by the plugin code as well as the slop after the expanded string. So
3792 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3793 and, given the acl condition, ${if }. This is an unfortunate consequence of
3794 string expansion becoming too powerful.
3795
3796 Arguments:
3797   string         the string to be expanded
3798   ket_ends       true if expansion is to stop at }
3799   left           if not NULL, a pointer to the first character after the
3800                  expansion is placed here (typically used with ket_ends)
3801   skipping       TRUE for recursive calls when the value isn't actually going
3802                  to be used (to allow for optimisation)
3803   honour_dollar  TRUE if $ is to be expanded,
3804                  FALSE if it's just another character
3805   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3806                  the store.
3807
3808 Returns:         NULL if expansion fails:
3809                    expand_string_forcedfail is set TRUE if failure was forced
3810                    expand_string_message contains a textual error message
3811                  a pointer to the expanded string on success
3812 */
3813
3814 static uschar *
3815 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3816   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3817 {
3818 int ptr = 0;
3819 int size = Ustrlen(string)+ 64;
3820 int item_type;
3821 uschar *yield = store_get(size);
3822 const uschar *s = string;
3823 uschar *save_expand_nstring[EXPAND_MAXN+1];
3824 int save_expand_nlength[EXPAND_MAXN+1];
3825 BOOL resetok = TRUE;
3826
3827 expand_string_forcedfail = FALSE;
3828 expand_string_message = US"";
3829
3830 while (*s != 0)
3831   {
3832   uschar *value;
3833   uschar name[256];
3834
3835   /* \ escapes the next character, which must exist, or else
3836   the expansion fails. There's a special escape, \N, which causes
3837   copying of the subject verbatim up to the next \N. Otherwise,
3838   the escapes are the standard set. */
3839
3840   if (*s == '\\')
3841     {
3842     if (s[1] == 0)
3843       {
3844       expand_string_message = US"\\ at end of string";
3845       goto EXPAND_FAILED;
3846       }
3847
3848     if (s[1] == 'N')
3849       {
3850       const uschar * t = s + 2;
3851       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3852       yield = string_cat(yield, &size, &ptr, t, s - t);
3853       if (*s != 0) s += 2;
3854       }
3855
3856     else
3857       {
3858       uschar ch[1];
3859       ch[0] = string_interpret_escape(&s);
3860       s++;
3861       yield = string_cat(yield, &size, &ptr, ch, 1);
3862       }
3863
3864     continue;
3865     }
3866
3867   /*{*/
3868   /* Anything other than $ is just copied verbatim, unless we are
3869   looking for a terminating } character. */
3870
3871   /*{*/
3872   if (ket_ends && *s == '}') break;
3873
3874   if (*s != '$' || !honour_dollar)
3875     {
3876     yield = string_cat(yield, &size, &ptr, s++, 1);
3877     continue;
3878     }
3879
3880   /* No { after the $ - must be a plain name or a number for string
3881   match variable. There has to be a fudge for variables that are the
3882   names of header fields preceded by "$header_" because header field
3883   names can contain any printing characters except space and colon.
3884   For those that don't like typing this much, "$h_" is a synonym for
3885   "$header_". A non-existent header yields a NULL value; nothing is
3886   inserted. */  /*}*/
3887
3888   if (isalpha((*(++s))))
3889     {
3890     int len;
3891     int newsize = 0;
3892
3893     s = read_name(name, sizeof(name), s, US"_");
3894
3895     /* If this is the first thing to be expanded, release the pre-allocated
3896     buffer. */
3897
3898     if (ptr == 0 && yield != NULL)
3899       {
3900       if (resetok) store_reset(yield);
3901       yield = NULL;
3902       size = 0;
3903       }
3904
3905     /* Header */
3906
3907     if (Ustrncmp(name, "h_", 2) == 0 ||
3908         Ustrncmp(name, "rh_", 3) == 0 ||
3909         Ustrncmp(name, "bh_", 3) == 0 ||
3910         Ustrncmp(name, "header_", 7) == 0 ||
3911         Ustrncmp(name, "rheader_", 8) == 0 ||
3912         Ustrncmp(name, "bheader_", 8) == 0)
3913       {
3914       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3915       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3916       s = read_header_name(name, sizeof(name), s);
3917       value = find_header(name, FALSE, &newsize, want_raw, charset);
3918
3919       /* If we didn't find the header, and the header contains a closing brace
3920       character, this may be a user error where the terminating colon
3921       has been omitted. Set a flag to adjust the error message in this case.
3922       But there is no error here - nothing gets inserted. */
3923
3924       if (value == NULL)
3925         {
3926         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3927         continue;
3928         }
3929       }
3930
3931     /* Variable */
3932
3933     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3934       {
3935       expand_string_message =
3936         string_sprintf("unknown variable name \"%s\"", name);
3937         check_variable_error_message(name);
3938       goto EXPAND_FAILED;
3939       }
3940
3941     /* If the data is known to be in a new buffer, newsize will be set to the
3942     size of that buffer. If this is the first thing in an expansion string,
3943     yield will be NULL; just point it at the new store instead of copying. Many
3944     expansion strings contain just one reference, so this is a useful
3945     optimization, especially for humungous headers. */
3946
3947     len = Ustrlen(value);
3948     if (yield == NULL && newsize != 0)
3949       {
3950       yield = value;
3951       size = newsize;
3952       ptr = len;
3953       }
3954     else yield = string_cat(yield, &size, &ptr, value, len);
3955
3956     continue;
3957     }
3958
3959   if (isdigit(*s))
3960     {
3961     int n;
3962     s = read_cnumber(&n, s);
3963     if (n >= 0 && n <= expand_nmax)
3964       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3965         expand_nlength[n]);
3966     continue;
3967     }
3968
3969   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
3970
3971   if (*s != '{')                                                        /*}*/
3972     {
3973     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
3974     goto EXPAND_FAILED;
3975     }
3976
3977   /* After { there can be various things, but they all start with
3978   an initial word, except for a number for a string match variable. */
3979
3980   if (isdigit((*(++s))))
3981     {
3982     int n;
3983     s = read_cnumber(&n, s);            /*{*/
3984     if (*s++ != '}')
3985       {                                 /*{*/
3986       expand_string_message = US"} expected after number";
3987       goto EXPAND_FAILED;
3988       }
3989     if (n >= 0 && n <= expand_nmax)
3990       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3991         expand_nlength[n]);
3992     continue;
3993     }
3994
3995   if (!isalpha(*s))
3996     {
3997     expand_string_message = US"letter or digit expected after ${";      /*}*/
3998     goto EXPAND_FAILED;
3999     }
4000
4001   /* Allow "-" in names to cater for substrings with negative
4002   arguments. Since we are checking for known names after { this is
4003   OK. */
4004
4005   s = read_name(name, sizeof(name), s, US"_-");
4006   item_type = chop_match(name, item_table, nelem(item_table));
4007
4008   switch(item_type)
4009     {
4010     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4011     If the ACL returns accept or reject we return content set by "message ="
4012     There is currently no limit on recursion; this would have us call
4013     acl_check_internal() directly and get a current level from somewhere.
4014     See also the acl expansion condition ECOND_ACL and the traditional
4015     acl modifier ACLC_ACL.
4016     Assume that the function has side-effects on the store that must be preserved.
4017     */
4018
4019     case EITEM_ACL:
4020       /* ${acl {name} {arg1}{arg2}...} */
4021       {
4022       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4023       uschar *user_msg;
4024
4025       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4026                       &resetok))
4027         {
4028         case 1: goto EXPAND_FAILED_CURLY;
4029         case 2:
4030         case 3: goto EXPAND_FAILED;
4031         }
4032       if (skipping) continue;
4033
4034       resetok = FALSE;
4035       switch(eval_acl(sub, nelem(sub), &user_msg))
4036         {
4037         case OK:
4038         case FAIL:
4039           DEBUG(D_expand)
4040             debug_printf("acl expansion yield: %s\n", user_msg);
4041           if (user_msg)
4042             yield = string_cat(yield, &size, &ptr, user_msg, Ustrlen(user_msg));
4043           continue;
4044
4045         case DEFER:
4046           expand_string_forcedfail = TRUE;
4047         default:
4048           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4049           goto EXPAND_FAILED;
4050         }
4051       }
4052
4053     /* Handle conditionals - preserve the values of the numerical expansion
4054     variables in case they get changed by a regular expression match in the
4055     condition. If not, they retain their external settings. At the end
4056     of this "if" section, they get restored to their previous values. */
4057
4058     case EITEM_IF:
4059       {
4060       BOOL cond = FALSE;
4061       const uschar *next_s;
4062       int save_expand_nmax =
4063         save_expand_strings(save_expand_nstring, save_expand_nlength);
4064
4065       while (isspace(*s)) s++;
4066       next_s = eval_condition(s, &resetok, skipping? NULL : &cond);
4067       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4068
4069       DEBUG(D_expand)
4070         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
4071           cond? "true" : "false");
4072
4073       s = next_s;
4074
4075       /* The handling of "yes" and "no" result strings is now in a separate
4076       function that is also used by ${lookup} and ${extract} and ${run}. */
4077
4078       switch(process_yesno(
4079                skipping,                     /* were previously skipping */
4080                cond,                         /* success/failure indicator */
4081                lookup_value,                 /* value to reset for string2 */
4082                &s,                           /* input pointer */
4083                &yield,                       /* output pointer */
4084                &size,                        /* output size */
4085                &ptr,                         /* output current point */
4086                US"if",                       /* condition type */
4087                &resetok))
4088         {
4089         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4090         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4091         }
4092
4093       /* Restore external setting of expansion variables for continuation
4094       at this level. */
4095
4096       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4097         save_expand_nlength);
4098       continue;
4099       }
4100
4101 #ifdef SUPPORT_I18N
4102     case EITEM_IMAPFOLDER:
4103       {                         /* ${imapfolder {name}{sep]{specials}} */
4104       uschar *sub_arg[3];
4105       uschar *encoded;
4106
4107       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4108                       &resetok))
4109         {
4110         case 1: goto EXPAND_FAILED_CURLY;
4111         case 2:
4112         case 3: goto EXPAND_FAILED;
4113         }
4114
4115       if (sub_arg[1] == NULL)           /* One argument */
4116         {
4117         sub_arg[1] = US"/";             /* default separator */
4118         sub_arg[2] = NULL;
4119         }
4120       else if (Ustrlen(sub_arg[1]) != 1)
4121         {
4122         expand_string_message =
4123           string_sprintf(
4124                 "IMAP folder separator must be one character, found \"%s\"",
4125                 sub_arg[1]);
4126         goto EXPAND_FAILED;
4127         }
4128
4129       if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4130                           sub_arg[1][0], sub_arg[2], &expand_string_message)))
4131         goto EXPAND_FAILED;
4132       if (!skipping)
4133         yield = string_cat(yield, &size, &ptr, encoded, Ustrlen(encoded));
4134       continue;
4135       }
4136 #endif
4137
4138     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4139     expanding an internal string that isn't actually going to be used. All we
4140     need to do is check the syntax, so don't do a lookup at all. Preserve the
4141     values of the numerical expansion variables in case they get changed by a
4142     partial lookup. If not, they retain their external settings. At the end
4143     of this "lookup" section, they get restored to their previous values. */
4144
4145     case EITEM_LOOKUP:
4146       {
4147       int stype, partial, affixlen, starflags;
4148       int expand_setup = 0;
4149       int nameptr = 0;
4150       uschar *key, *filename;
4151       const uschar *affix;
4152       uschar *save_lookup_value = lookup_value;
4153       int save_expand_nmax =
4154         save_expand_strings(save_expand_nstring, save_expand_nlength);
4155
4156       if ((expand_forbid & RDO_LOOKUP) != 0)
4157         {
4158         expand_string_message = US"lookup expansions are not permitted";
4159         goto EXPAND_FAILED;
4160         }
4161
4162       /* Get the key we are to look up for single-key+file style lookups.
4163       Otherwise set the key NULL pro-tem. */
4164
4165       while (isspace(*s)) s++;
4166       if (*s == '{')                                    /*}*/
4167         {
4168         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4169         if (key == NULL) goto EXPAND_FAILED;            /*{*/
4170         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4171         while (isspace(*s)) s++;
4172         }
4173       else key = NULL;
4174
4175       /* Find out the type of database */
4176
4177       if (!isalpha(*s))
4178         {
4179         expand_string_message = US"missing lookup type";
4180         goto EXPAND_FAILED;
4181         }
4182
4183       /* The type is a string that may contain special characters of various
4184       kinds. Allow everything except space or { to appear; the actual content
4185       is checked by search_findtype_partial. */         /*}*/
4186
4187       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4188         {
4189         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4190         s++;
4191         }
4192       name[nameptr] = 0;
4193       while (isspace(*s)) s++;
4194
4195       /* Now check for the individual search type and any partial or default
4196       options. Only those types that are actually in the binary are valid. */
4197
4198       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4199         &starflags);
4200       if (stype < 0)
4201         {
4202         expand_string_message = search_error_message;
4203         goto EXPAND_FAILED;
4204         }
4205
4206       /* Check that a key was provided for those lookup types that need it,
4207       and was not supplied for those that use the query style. */
4208
4209       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4210         {
4211         if (key == NULL)
4212           {
4213           expand_string_message = string_sprintf("missing {key} for single-"
4214             "key \"%s\" lookup", name);
4215           goto EXPAND_FAILED;
4216           }
4217         }
4218       else
4219         {
4220         if (key != NULL)
4221           {
4222           expand_string_message = string_sprintf("a single key was given for "
4223             "lookup type \"%s\", which is not a single-key lookup type", name);
4224           goto EXPAND_FAILED;
4225           }
4226         }
4227
4228       /* Get the next string in brackets and expand it. It is the file name for
4229       single-key+file lookups, and the whole query otherwise. In the case of
4230       queries that also require a file name (e.g. sqlite), the file name comes
4231       first. */
4232
4233       if (*s != '{') goto EXPAND_FAILED_CURLY;
4234       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4235       if (filename == NULL) goto EXPAND_FAILED;
4236       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4237       while (isspace(*s)) s++;
4238
4239       /* If this isn't a single-key+file lookup, re-arrange the variables
4240       to be appropriate for the search_ functions. For query-style lookups,
4241       there is just a "key", and no file name. For the special query-style +
4242       file types, the query (i.e. "key") starts with a file name. */
4243
4244       if (key == NULL)
4245         {
4246         while (isspace(*filename)) filename++;
4247         key = filename;
4248
4249         if (mac_islookup(stype, lookup_querystyle))
4250           {
4251           filename = NULL;
4252           }
4253         else
4254           {
4255           if (*filename != '/')
4256             {
4257             expand_string_message = string_sprintf(
4258               "absolute file name expected for \"%s\" lookup", name);
4259             goto EXPAND_FAILED;
4260             }
4261           while (*key != 0 && !isspace(*key)) key++;
4262           if (*key != 0) *key++ = 0;
4263           }
4264         }
4265
4266       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4267       the entry was not found. Note that there is no search_close() function.
4268       Files are left open in case of re-use. At suitable places in higher logic,
4269       search_tidyup() is called to tidy all open files. This can save opening
4270       the same file several times. However, files may also get closed when
4271       others are opened, if too many are open at once. The rule is that a
4272       handle should not be used after a second search_open().
4273
4274       Request that a partial search sets up $1 and maybe $2 by passing
4275       expand_setup containing zero. If its value changes, reset expand_nmax,
4276       since new variables will have been set. Note that at the end of this
4277       "lookup" section, the old numeric variables are restored. */
4278
4279       if (skipping)
4280         lookup_value = NULL;
4281       else
4282         {
4283         void *handle = search_open(filename, stype, 0, NULL, NULL);
4284         if (handle == NULL)
4285           {
4286           expand_string_message = search_error_message;
4287           goto EXPAND_FAILED;
4288           }
4289         lookup_value = search_find(handle, filename, key, partial, affix,
4290           affixlen, starflags, &expand_setup);
4291         if (search_find_defer)
4292           {
4293           expand_string_message =
4294             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4295               string_printing2(key, FALSE), search_error_message);
4296           goto EXPAND_FAILED;
4297           }
4298         if (expand_setup > 0) expand_nmax = expand_setup;
4299         }
4300
4301       /* The handling of "yes" and "no" result strings is now in a separate
4302       function that is also used by ${if} and ${extract}. */
4303
4304       switch(process_yesno(
4305                skipping,                     /* were previously skipping */
4306                lookup_value != NULL,         /* success/failure indicator */
4307                save_lookup_value,            /* value to reset for string2 */
4308                &s,                           /* input pointer */
4309                &yield,                       /* output pointer */
4310                &size,                        /* output size */
4311                &ptr,                         /* output current point */
4312                US"lookup",                   /* condition type */
4313                &resetok))
4314         {
4315         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4316         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4317         }
4318
4319       /* Restore external setting of expansion variables for carrying on
4320       at this level, and continue. */
4321
4322       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4323         save_expand_nlength);
4324       continue;
4325       }
4326
4327     /* If Perl support is configured, handle calling embedded perl subroutines,
4328     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4329     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4330     arguments (defined below). */
4331
4332     #define EXIM_PERL_MAX_ARGS 8
4333
4334     case EITEM_PERL:
4335     #ifndef EXIM_PERL
4336     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4337       "is not included in this binary";
4338     goto EXPAND_FAILED;
4339
4340     #else   /* EXIM_PERL */
4341       {
4342       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4343       uschar *new_yield;
4344
4345       if ((expand_forbid & RDO_PERL) != 0)
4346         {
4347         expand_string_message = US"Perl calls are not permitted";
4348         goto EXPAND_FAILED;
4349         }
4350
4351       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4352            US"perl", &resetok))
4353         {
4354         case 1: goto EXPAND_FAILED_CURLY;
4355         case 2:
4356         case 3: goto EXPAND_FAILED;
4357         }
4358
4359       /* If skipping, we don't actually do anything */
4360
4361       if (skipping) continue;
4362
4363       /* Start the interpreter if necessary */
4364
4365       if (!opt_perl_started)
4366         {
4367         uschar *initerror;
4368         if (opt_perl_startup == NULL)
4369           {
4370           expand_string_message = US"A setting of perl_startup is needed when "
4371             "using the Perl interpreter";
4372           goto EXPAND_FAILED;
4373           }
4374         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4375         initerror = init_perl(opt_perl_startup);
4376         if (initerror != NULL)
4377           {
4378           expand_string_message =
4379             string_sprintf("error in perl_startup code: %s\n", initerror);
4380           goto EXPAND_FAILED;
4381           }
4382         opt_perl_started = TRUE;
4383         }
4384
4385       /* Call the function */
4386
4387       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4388       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4389         sub_arg[0], sub_arg + 1);
4390
4391       /* NULL yield indicates failure; if the message pointer has been set to
4392       NULL, the yield was undef, indicating a forced failure. Otherwise the
4393       message will indicate some kind of Perl error. */
4394
4395       if (new_yield == NULL)
4396         {
4397         if (expand_string_message == NULL)
4398           {
4399           expand_string_message =
4400             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4401               "failure", sub_arg[0]);
4402           expand_string_forcedfail = TRUE;
4403           }
4404         goto EXPAND_FAILED;
4405         }
4406
4407       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4408       set during a callback from Perl. */
4409
4410       expand_string_forcedfail = FALSE;
4411       yield = new_yield;
4412       continue;
4413       }
4414     #endif /* EXIM_PERL */
4415
4416     /* Transform email address to "prvs" scheme to use
4417        as BATV-signed return path */
4418
4419     case EITEM_PRVS:
4420       {
4421       uschar *sub_arg[3];
4422       uschar *p,*domain;
4423
4424       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4425         {
4426         case 1: goto EXPAND_FAILED_CURLY;
4427         case 2:
4428         case 3: goto EXPAND_FAILED;
4429         }
4430
4431       /* If skipping, we don't actually do anything */
4432       if (skipping) continue;
4433
4434       /* sub_arg[0] is the address */
4435       domain = Ustrrchr(sub_arg[0],'@');
4436       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4437         {
4438         expand_string_message = US"prvs first argument must be a qualified email address";
4439         goto EXPAND_FAILED;
4440         }
4441
4442       /* Calculate the hash. The second argument must be a single-digit
4443       key number, or unset. */
4444
4445       if (sub_arg[2] != NULL &&
4446           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4447         {
4448         expand_string_message = US"prvs second argument must be a single digit";
4449         goto EXPAND_FAILED;
4450         }
4451
4452       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4453       if (p == NULL)
4454         {
4455         expand_string_message = US"prvs hmac-sha1 conversion failed";
4456         goto EXPAND_FAILED;
4457         }
4458
4459       /* Now separate the domain from the local part */
4460       *domain++ = '\0';
4461
4462       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
4463       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
4464       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
4465       string_cat(yield,&size,&ptr,p,6);
4466       string_cat(yield,&size,&ptr,US"=",1);
4467       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4468       string_cat(yield,&size,&ptr,US"@",1);
4469       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
4470
4471       continue;
4472       }
4473
4474     /* Check a prvs-encoded address for validity */
4475
4476     case EITEM_PRVSCHECK:
4477       {
4478       uschar *sub_arg[3];
4479       int mysize = 0, myptr = 0;
4480       const pcre *re;
4481       uschar *p;
4482
4483       /* TF: Ugliness: We want to expand parameter 1 first, then set
4484          up expansion variables that are used in the expansion of
4485          parameter 2. So we clone the string for the first
4486          expansion, where we only expand parameter 1.
4487
4488          PH: Actually, that isn't necessary. The read_subs() function is
4489          designed to work this way for the ${if and ${lookup expansions. I've
4490          tidied the code.
4491       */
4492
4493       /* Reset expansion variables */
4494       prvscheck_result = NULL;
4495       prvscheck_address = NULL;
4496       prvscheck_keynum = NULL;
4497
4498       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4499         {
4500         case 1: goto EXPAND_FAILED_CURLY;
4501         case 2:
4502         case 3: goto EXPAND_FAILED;
4503         }
4504
4505       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4506                               TRUE,FALSE);
4507
4508       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4509         {
4510         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4511         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4512         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4513         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4514         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4515
4516         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4517         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4518         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4519         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4520         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4521
4522         /* Set up expansion variables */
4523         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
4524         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
4525         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
4526         prvscheck_address[myptr] = '\0';
4527         prvscheck_keynum = string_copy(key_num);
4528
4529         /* Now expand the second argument */
4530         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4531           {
4532           case 1: goto EXPAND_FAILED_CURLY;
4533           case 2:
4534           case 3: goto EXPAND_FAILED;
4535           }
4536
4537         /* Now we have the key and can check the address. */
4538
4539         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4540           daystamp);
4541
4542         if (p == NULL)
4543           {
4544           expand_string_message = US"hmac-sha1 conversion failed";
4545           goto EXPAND_FAILED;
4546           }
4547
4548         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4549         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4550
4551         if (Ustrcmp(p,hash) == 0)
4552           {
4553           /* Success, valid BATV address. Now check the expiry date. */
4554           uschar *now = prvs_daystamp(0);
4555           unsigned int inow = 0,iexpire = 1;
4556
4557           (void)sscanf(CS now,"%u",&inow);
4558           (void)sscanf(CS daystamp,"%u",&iexpire);
4559
4560           /* When "iexpire" is < 7, a "flip" has occured.
4561              Adjust "inow" accordingly. */
4562           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4563
4564           if (iexpire >= inow)
4565             {
4566             prvscheck_result = US"1";
4567             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4568             }
4569             else
4570             {
4571             prvscheck_result = NULL;
4572             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4573             }
4574           }
4575         else
4576           {
4577           prvscheck_result = NULL;
4578           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4579           }
4580
4581         /* Now expand the final argument. We leave this till now so that
4582         it can include $prvscheck_result. */
4583
4584         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4585           {
4586           case 1: goto EXPAND_FAILED_CURLY;
4587           case 2:
4588           case 3: goto EXPAND_FAILED;
4589           }
4590
4591         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
4592           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
4593         else
4594           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
4595
4596         /* Reset the "internal" variables afterwards, because they are in
4597         dynamic store that will be reclaimed if the expansion succeeded. */
4598
4599         prvscheck_address = NULL;
4600         prvscheck_keynum = NULL;
4601         }
4602       else
4603         {
4604         /* Does not look like a prvs encoded address, return the empty string.
4605            We need to make sure all subs are expanded first, so as to skip over
4606            the entire item. */
4607
4608         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4609           {
4610           case 1: goto EXPAND_FAILED_CURLY;
4611           case 2:
4612           case 3: goto EXPAND_FAILED;
4613           }
4614         }
4615
4616       continue;
4617       }
4618
4619     /* Handle "readfile" to insert an entire file */
4620
4621     case EITEM_READFILE:
4622       {
4623       FILE *f;
4624       uschar *sub_arg[2];
4625
4626       if ((expand_forbid & RDO_READFILE) != 0)
4627         {
4628         expand_string_message = US"file insertions are not permitted";
4629         goto EXPAND_FAILED;
4630         }
4631
4632       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4633         {
4634         case 1: goto EXPAND_FAILED_CURLY;
4635         case 2:
4636         case 3: goto EXPAND_FAILED;
4637         }
4638
4639       /* If skipping, we don't actually do anything */
4640
4641       if (skipping) continue;
4642
4643       /* Open the file and read it */
4644
4645       f = Ufopen(sub_arg[0], "rb");
4646       if (f == NULL)
4647         {
4648         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4649         goto EXPAND_FAILED;
4650         }
4651
4652       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4653       (void)fclose(f);
4654       continue;
4655       }
4656
4657     /* Handle "readsocket" to insert data from a Unix domain socket */
4658
4659     case EITEM_READSOCK:
4660       {
4661       int fd;
4662       int timeout = 5;
4663       int save_ptr = ptr;
4664       FILE *f;
4665       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4666       uschar *arg;
4667       uschar *sub_arg[4];
4668
4669       if ((expand_forbid & RDO_READSOCK) != 0)
4670         {
4671         expand_string_message = US"socket insertions are not permitted";
4672         goto EXPAND_FAILED;
4673         }
4674
4675       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4676       because there may be a string for expansion on failure. */
4677
4678       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4679         {
4680         case 1: goto EXPAND_FAILED_CURLY;
4681         case 2:                             /* Won't occur: no end check */
4682         case 3: goto EXPAND_FAILED;
4683         }
4684
4685       /* Sort out timeout, if given */
4686
4687       if (sub_arg[2] != NULL)
4688         {
4689         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4690         if (timeout < 0)
4691           {
4692           expand_string_message = string_sprintf("bad time value %s",
4693             sub_arg[2]);
4694           goto EXPAND_FAILED;
4695           }
4696         }
4697       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4698
4699       /* If skipping, we don't actually do anything. Otherwise, arrange to
4700       connect to either an IP or a Unix socket. */
4701
4702       if (!skipping)
4703         {
4704         /* Handle an IP (internet) domain */
4705
4706         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4707           {
4708           int port;
4709           uschar *server_name = sub_arg[0] + 5;
4710           uschar *port_name = Ustrrchr(server_name, ':');
4711
4712           /* Sort out the port */
4713
4714           if (port_name == NULL)
4715             {
4716             expand_string_message =
4717               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4718             goto EXPAND_FAILED;
4719             }
4720           *port_name++ = 0;           /* Terminate server name */
4721
4722           if (isdigit(*port_name))
4723             {
4724             uschar *end;
4725             port = Ustrtol(port_name, &end, 0);
4726             if (end != port_name + Ustrlen(port_name))
4727               {
4728               expand_string_message =
4729                 string_sprintf("invalid port number %s", port_name);
4730               goto EXPAND_FAILED;
4731               }
4732             }
4733           else
4734             {
4735             struct servent *service_info = getservbyname(CS port_name, "tcp");
4736             if (service_info == NULL)
4737               {
4738               expand_string_message = string_sprintf("unknown port \"%s\"",
4739                 port_name);
4740               goto EXPAND_FAILED;
4741               }
4742             port = ntohs(service_info->s_port);
4743             }
4744
4745           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4746                   timeout, NULL, &expand_string_message)) < 0)
4747               goto SOCK_FAIL;
4748           }
4749
4750         /* Handle a Unix domain socket */
4751
4752         else
4753           {
4754           int rc;
4755           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4756             {
4757             expand_string_message = string_sprintf("failed to create socket: %s",
4758               strerror(errno));
4759             goto SOCK_FAIL;
4760             }
4761
4762           sockun.sun_family = AF_UNIX;
4763           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4764             sub_arg[0]);
4765
4766           sigalrm_seen = FALSE;
4767           alarm(timeout);
4768           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4769           alarm(0);
4770           if (sigalrm_seen)
4771             {
4772             expand_string_message = US "socket connect timed out";
4773             goto SOCK_FAIL;
4774             }
4775           if (rc < 0)
4776             {
4777             expand_string_message = string_sprintf("failed to connect to socket "
4778               "%s: %s", sub_arg[0], strerror(errno));
4779             goto SOCK_FAIL;
4780             }
4781           }
4782
4783         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4784
4785         /* Allow sequencing of test actions */
4786         if (running_in_test_harness) millisleep(100);
4787
4788         /* Write the request string, if not empty */
4789
4790         if (sub_arg[1][0] != 0)
4791           {
4792           int len = Ustrlen(sub_arg[1]);
4793           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4794             sub_arg[1]);
4795           if (write(fd, sub_arg[1], len) != len)
4796             {
4797             expand_string_message = string_sprintf("request write to socket "
4798               "failed: %s", strerror(errno));
4799             goto SOCK_FAIL;
4800             }
4801           }
4802
4803         /* Shut down the sending side of the socket. This helps some servers to
4804         recognise that it is their turn to do some work. Just in case some
4805         system doesn't have this function, make it conditional. */
4806
4807         #ifdef SHUT_WR
4808         shutdown(fd, SHUT_WR);
4809         #endif
4810
4811         if (running_in_test_harness) millisleep(100);
4812
4813         /* Now we need to read from the socket, under a timeout. The function
4814         that reads a file can be used. */
4815
4816         f = fdopen(fd, "rb");
4817         sigalrm_seen = FALSE;
4818         alarm(timeout);
4819         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4820         alarm(0);
4821         (void)fclose(f);
4822
4823         /* After a timeout, we restore the pointer in the result, that is,
4824         make sure we add nothing from the socket. */
4825
4826         if (sigalrm_seen)
4827           {
4828           ptr = save_ptr;
4829           expand_string_message = US "socket read timed out";
4830           goto SOCK_FAIL;
4831           }
4832         }
4833
4834       /* The whole thing has worked (or we were skipping). If there is a
4835       failure string following, we need to skip it. */
4836
4837       if (*s == '{')
4838         {
4839         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4840           goto EXPAND_FAILED;
4841         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4842         while (isspace(*s)) s++;
4843         }
4844       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4845       continue;
4846
4847       /* Come here on failure to create socket, connect socket, write to the
4848       socket, or timeout on reading. If another substring follows, expand and
4849       use it. Otherwise, those conditions give expand errors. */
4850
4851       SOCK_FAIL:
4852       if (*s != '{') goto EXPAND_FAILED;
4853       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4854       arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok);
4855       if (arg == NULL) goto EXPAND_FAILED;
4856       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4857       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4858       while (isspace(*s)) s++;
4859       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4860       continue;
4861       }
4862
4863     /* Handle "run" to execute a program. */
4864
4865     case EITEM_RUN:
4866       {
4867       FILE *f;
4868       uschar *arg;
4869       const uschar **argv;
4870       pid_t pid;
4871       int fd_in, fd_out;
4872       int lsize = 0, lptr = 0;
4873
4874       if ((expand_forbid & RDO_RUN) != 0)
4875         {
4876         expand_string_message = US"running a command is not permitted";
4877         goto EXPAND_FAILED;
4878         }
4879
4880       while (isspace(*s)) s++;
4881       if (*s != '{') goto EXPAND_FAILED_CURLY;
4882       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4883       if (arg == NULL) goto EXPAND_FAILED;
4884       while (isspace(*s)) s++;
4885       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4886
4887       if (skipping)   /* Just pretend it worked when we're skipping */
4888         {
4889         runrc = 0;
4890         }
4891       else
4892         {
4893         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4894             arg,                                /* raw command */
4895             FALSE,                              /* don't expand the arguments */
4896             0,                                  /* not relevant when... */
4897             NULL,                               /* no transporting address */
4898             US"${run} expansion",               /* for error messages */
4899             &expand_string_message))            /* where to put error message */
4900           goto EXPAND_FAILED;
4901
4902         /* Create the child process, making it a group leader. */
4903
4904         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
4905           {
4906           expand_string_message =
4907             string_sprintf("couldn't create child process: %s", strerror(errno));
4908           goto EXPAND_FAILED;
4909           }
4910
4911         /* Nothing is written to the standard input. */
4912
4913         (void)close(fd_in);
4914
4915         /* Read the pipe to get the command's output into $value (which is kept
4916         in lookup_value). Read during execution, so that if the output exceeds
4917         the OS pipe buffer limit, we don't block forever. Remember to not release
4918         memory just allocated for $value. */
4919
4920         resetok = FALSE;
4921         f = fdopen(fd_out, "rb");
4922         sigalrm_seen = FALSE;
4923         alarm(60);
4924         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
4925         alarm(0);
4926         (void)fclose(f);
4927
4928         /* Wait for the process to finish, applying the timeout, and inspect its
4929         return code for serious disasters. Simple non-zero returns are passed on.
4930         */
4931
4932         if (sigalrm_seen == TRUE || (runrc = child_close(pid, 30)) < 0)
4933           {
4934           if (sigalrm_seen == TRUE || runrc == -256)
4935             {
4936             expand_string_message = string_sprintf("command timed out");
4937             killpg(pid, SIGKILL);       /* Kill the whole process group */
4938             }
4939
4940           else if (runrc == -257)
4941             expand_string_message = string_sprintf("wait() failed: %s",
4942               strerror(errno));
4943
4944           else
4945             expand_string_message = string_sprintf("command killed by signal %d",
4946               -runrc);
4947
4948           goto EXPAND_FAILED;
4949           }
4950         }
4951
4952       /* Process the yes/no strings; $value may be useful in both cases */
4953
4954       switch(process_yesno(
4955                skipping,                     /* were previously skipping */
4956                runrc == 0,                   /* success/failure indicator */
4957                lookup_value,                 /* value to reset for string2 */
4958                &s,                           /* input pointer */
4959                &yield,                       /* output pointer */
4960                &size,                        /* output size */
4961                &ptr,                         /* output current point */
4962                US"run",                      /* condition type */
4963                &resetok))
4964         {
4965         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4966         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4967         }
4968
4969       continue;
4970       }
4971
4972     /* Handle character translation for "tr" */
4973
4974     case EITEM_TR:
4975       {
4976       int oldptr = ptr;
4977       int o2m;
4978       uschar *sub[3];
4979
4980       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
4981         {
4982         case 1: goto EXPAND_FAILED_CURLY;
4983         case 2:
4984         case 3: goto EXPAND_FAILED;
4985         }
4986
4987       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4988       o2m = Ustrlen(sub[2]) - 1;
4989
4990       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4991         {
4992         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4993         if (m != NULL)
4994           {
4995           int o = m - sub[1];
4996           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4997           }
4998         }
4999
5000       continue;
5001       }
5002
5003     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5004     expanded arguments. */
5005
5006     case EITEM_HASH:
5007     case EITEM_LENGTH:
5008     case EITEM_NHASH:
5009     case EITEM_SUBSTR:
5010       {
5011       int i;
5012       int len;
5013       uschar *ret;
5014       int val[2] = { 0, -1 };
5015       uschar *sub[3];
5016
5017       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5018       Ensure that sub[2] is set in the ${length } case. */
5019
5020       sub[2] = NULL;
5021       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5022              TRUE, name, &resetok))
5023         {
5024         case 1: goto EXPAND_FAILED_CURLY;
5025         case 2:
5026         case 3: goto EXPAND_FAILED;
5027         }
5028
5029       /* Juggle the arguments if there are only two of them: always move the
5030       string to the last position and make ${length{n}{str}} equivalent to
5031       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5032
5033       if (sub[2] == NULL)
5034         {
5035         sub[2] = sub[1];
5036         sub[1] = NULL;
5037         if (item_type == EITEM_LENGTH)
5038           {
5039           sub[1] = sub[0];
5040           sub[0] = NULL;
5041           }
5042         }
5043
5044       for (i = 0; i < 2; i++)
5045         {
5046         if (sub[i] == NULL) continue;
5047         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5048         if (*ret != 0 || (i != 0 && val[i] < 0))
5049           {
5050           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5051             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5052           goto EXPAND_FAILED;
5053           }
5054         }
5055
5056       ret =
5057         (item_type == EITEM_HASH)?
5058           compute_hash(sub[2], val[0], val[1], &len) :
5059         (item_type == EITEM_NHASH)?
5060           compute_nhash(sub[2], val[0], val[1], &len) :
5061           extract_substr(sub[2], val[0], val[1], &len);
5062
5063       if (ret == NULL) goto EXPAND_FAILED;
5064       yield = string_cat(yield, &size, &ptr, ret, len);
5065       continue;
5066       }
5067
5068     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5069     This code originally contributed by Steve Haslam. It currently supports
5070     the use of MD5 and SHA-1 hashes.
5071
5072     We need some workspace that is large enough to handle all the supported
5073     hash types. Use macros to set the sizes rather than be too elaborate. */
5074
5075     #define MAX_HASHLEN      20
5076     #define MAX_HASHBLOCKLEN 64
5077
5078     case EITEM_HMAC:
5079       {
5080       uschar *sub[3];
5081       md5 md5_base;
5082       sha1 sha1_base;
5083       void *use_base;
5084       int type, i;
5085       int hashlen;      /* Number of octets for the hash algorithm's output */
5086       int hashblocklen; /* Number of octets the hash algorithm processes */
5087       uschar *keyptr, *p;
5088       unsigned int keylen;
5089
5090       uschar keyhash[MAX_HASHLEN];
5091       uschar innerhash[MAX_HASHLEN];
5092       uschar finalhash[MAX_HASHLEN];
5093       uschar finalhash_hex[2*MAX_HASHLEN];
5094       uschar innerkey[MAX_HASHBLOCKLEN];
5095       uschar outerkey[MAX_HASHBLOCKLEN];
5096
5097       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5098         {
5099         case 1: goto EXPAND_FAILED_CURLY;
5100         case 2:
5101         case 3: goto EXPAND_FAILED;
5102         }
5103
5104       if (Ustrcmp(sub[0], "md5") == 0)
5105         {
5106         type = HMAC_MD5;
5107         use_base = &md5_base;
5108         hashlen = 16;
5109         hashblocklen = 64;
5110         }
5111       else if (Ustrcmp(sub[0], "sha1") == 0)
5112         {
5113         type = HMAC_SHA1;
5114         use_base = &sha1_base;
5115         hashlen = 20;
5116         hashblocklen = 64;
5117         }
5118       else
5119         {
5120         expand_string_message =
5121           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5122         goto EXPAND_FAILED;
5123         }
5124
5125       keyptr = sub[1];
5126       keylen = Ustrlen(keyptr);
5127
5128       /* If the key is longer than the hash block length, then hash the key
5129       first */
5130
5131       if (keylen > hashblocklen)
5132         {
5133         chash_start(type, use_base);
5134         chash_end(type, use_base, keyptr, keylen, keyhash);
5135         keyptr = keyhash;
5136         keylen = hashlen;
5137         }
5138
5139       /* Now make the inner and outer key values */
5140
5141       memset(innerkey, 0x36, hashblocklen);
5142       memset(outerkey, 0x5c, hashblocklen);
5143
5144       for (i = 0; i < keylen; i++)
5145         {
5146         innerkey[i] ^= keyptr[i];
5147         outerkey[i] ^= keyptr[i];
5148         }
5149
5150       /* Now do the hashes */
5151
5152       chash_start(type, use_base);
5153       chash_mid(type, use_base, innerkey);
5154       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5155
5156       chash_start(type, use_base);
5157       chash_mid(type, use_base, outerkey);
5158       chash_end(type, use_base, innerhash, hashlen, finalhash);
5159
5160       /* Encode the final hash as a hex string */
5161
5162       p = finalhash_hex;
5163       for (i = 0; i < hashlen; i++)
5164         {
5165         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5166         *p++ = hex_digits[finalhash[i] & 0x0f];
5167         }
5168
5169       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
5170         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
5171
5172       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
5173       }
5174
5175     continue;
5176
5177     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5178     We have to save the numerical variables and restore them afterwards. */
5179
5180     case EITEM_SG:
5181       {
5182       const pcre *re;
5183       int moffset, moffsetextra, slen;
5184       int roffset;
5185       int emptyopt;
5186       const uschar *rerror;
5187       uschar *subject;
5188       uschar *sub[3];
5189       int save_expand_nmax =
5190         save_expand_strings(save_expand_nstring, save_expand_nlength);
5191
5192       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5193         {
5194         case 1: goto EXPAND_FAILED_CURLY;
5195         case 2:
5196         case 3: goto EXPAND_FAILED;
5197         }
5198
5199       /* Compile the regular expression */
5200
5201       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5202         NULL);
5203
5204       if (re == NULL)
5205         {
5206         expand_string_message = string_sprintf("regular expression error in "
5207           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5208         goto EXPAND_FAILED;
5209         }
5210
5211       /* Now run a loop to do the substitutions as often as necessary. It ends
5212       when there are no more matches. Take care over matches of the null string;
5213       do the same thing as Perl does. */
5214
5215       subject = sub[0];
5216       slen = Ustrlen(sub[0]);
5217       moffset = moffsetextra = 0;
5218       emptyopt = 0;
5219
5220       for (;;)
5221         {
5222         int ovector[3*(EXPAND_MAXN+1)];
5223         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5224           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5225         int nn;
5226         uschar *insert;
5227
5228         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5229         is not necessarily the end. We want to repeat the match from one
5230         character further along, but leaving the basic offset the same (for
5231         copying below). We can't be at the end of the string - that was checked
5232         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5233         finished; copy the remaining string and end the loop. */
5234
5235         if (n < 0)
5236           {
5237           if (emptyopt != 0)
5238             {
5239             moffsetextra = 1;
5240             emptyopt = 0;
5241             continue;
5242             }
5243           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
5244           break;
5245           }
5246
5247         /* Match - set up for expanding the replacement. */
5248
5249         if (n == 0) n = EXPAND_MAXN + 1;
5250         expand_nmax = 0;
5251         for (nn = 0; nn < n*2; nn += 2)
5252           {
5253           expand_nstring[expand_nmax] = subject + ovector[nn];
5254           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5255           }
5256         expand_nmax--;
5257
5258         /* Copy the characters before the match, plus the expanded insertion. */
5259
5260         yield = string_cat(yield, &size, &ptr, subject + moffset,
5261           ovector[0] - moffset);
5262         insert = expand_string(sub[2]);
5263         if (insert == NULL) goto EXPAND_FAILED;
5264         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
5265
5266         moffset = ovector[1];
5267         moffsetextra = 0;
5268         emptyopt = 0;
5269
5270         /* If we have matched an empty string, first check to see if we are at
5271         the end of the subject. If so, the loop is over. Otherwise, mimic
5272         what Perl's /g options does. This turns out to be rather cunning. First
5273         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5274         string at the same point. If this fails (picked up above) we advance to
5275         the next character. */
5276
5277         if (ovector[0] == ovector[1])
5278           {
5279           if (ovector[0] == slen) break;
5280           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5281           }
5282         }
5283
5284       /* All done - restore numerical variables. */
5285
5286       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5287         save_expand_nlength);
5288       continue;
5289       }
5290
5291     /* Handle keyed and numbered substring extraction. If the first argument
5292     consists entirely of digits, then a numerical extraction is assumed. */
5293
5294     case EITEM_EXTRACT:
5295       {
5296       int i;
5297       int j = 2;
5298       int field_number = 1;
5299       BOOL field_number_set = FALSE;
5300       uschar *save_lookup_value = lookup_value;
5301       uschar *sub[3];
5302       int save_expand_nmax =
5303         save_expand_strings(save_expand_nstring, save_expand_nlength);
5304
5305       /* Read the arguments */
5306
5307       for (i = 0; i < j; i++)
5308         {
5309         while (isspace(*s)) s++;
5310         if (*s == '{')                                          /*}*/
5311           {
5312           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5313           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5314           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5315
5316           /* After removal of leading and trailing white space, the first
5317           argument must not be empty; if it consists entirely of digits
5318           (optionally preceded by a minus sign), this is a numerical
5319           extraction, and we expect 3 arguments. */
5320
5321           if (i == 0)
5322             {
5323             int len;
5324             int x = 0;
5325             uschar *p = sub[0];
5326
5327             while (isspace(*p)) p++;
5328             sub[0] = p;
5329
5330             len = Ustrlen(p);
5331             while (len > 0 && isspace(p[len-1])) len--;
5332             p[len] = 0;
5333
5334             if (!skipping)
5335               {
5336               if (*p == 0)
5337                 {
5338                 expand_string_message = US"first argument of \"extract\" must "
5339                   "not be empty";
5340                 goto EXPAND_FAILED;
5341                 }
5342
5343               if (*p == '-')
5344                 {
5345                 field_number = -1;
5346                 p++;
5347                 }
5348               while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5349               if (*p == 0)
5350                 {
5351                 field_number *= x;
5352                 j = 3;               /* Need 3 args */
5353                 field_number_set = TRUE;
5354                 }
5355               }
5356             }
5357           }
5358         else goto EXPAND_FAILED_CURLY;
5359         }
5360
5361       /* Extract either the numbered or the keyed substring into $value. If
5362       skipping, just pretend the extraction failed. */
5363
5364       lookup_value = skipping? NULL : field_number_set?
5365         expand_gettokened(field_number, sub[1], sub[2]) :
5366         expand_getkeyed(sub[0], sub[1]);
5367
5368       /* If no string follows, $value gets substituted; otherwise there can
5369       be yes/no strings, as for lookup or if. */
5370
5371       switch(process_yesno(
5372                skipping,                     /* were previously skipping */
5373                lookup_value != NULL,         /* success/failure indicator */
5374                save_lookup_value,            /* value to reset for string2 */
5375                &s,                           /* input pointer */
5376                &yield,                       /* output pointer */
5377                &size,                        /* output size */
5378                &ptr,                         /* output current point */
5379                US"extract",                  /* condition type */
5380                &resetok))
5381         {
5382         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5383         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5384         }
5385
5386       /* All done - restore numerical variables. */
5387
5388       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5389         save_expand_nlength);
5390
5391       continue;
5392       }
5393
5394     /* return the Nth item from a list */
5395
5396     case EITEM_LISTEXTRACT:
5397       {
5398       int i;
5399       int field_number = 1;
5400       uschar *save_lookup_value = lookup_value;
5401       uschar *sub[2];
5402       int save_expand_nmax =
5403         save_expand_strings(save_expand_nstring, save_expand_nlength);
5404
5405       /* Read the field & list arguments */
5406
5407       for (i = 0; i < 2; i++)
5408         {
5409         while (isspace(*s)) s++;
5410         if (*s != '{')                                  /*}*/
5411           goto EXPAND_FAILED_CURLY;
5412
5413         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5414         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5415         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5416
5417         /* After removal of leading and trailing white space, the first
5418         argument must be numeric and nonempty. */
5419
5420         if (i == 0)
5421           {
5422           int len;
5423           int x = 0;
5424           uschar *p = sub[0];
5425
5426           while (isspace(*p)) p++;
5427           sub[0] = p;
5428
5429           len = Ustrlen(p);
5430           while (len > 0 && isspace(p[len-1])) len--;
5431           p[len] = 0;
5432
5433           if (!*p && !skipping)
5434             {
5435             expand_string_message = US"first argument of \"listextract\" must "
5436               "not be empty";
5437             goto EXPAND_FAILED;
5438             }
5439
5440           if (*p == '-')
5441             {
5442             field_number = -1;
5443             p++;
5444             }
5445           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5446           if (*p)
5447             {
5448             expand_string_message = US"first argument of \"listextract\" must "
5449               "be numeric";
5450             goto EXPAND_FAILED;
5451             }
5452           field_number *= x;
5453           }
5454         }
5455
5456       /* Extract the numbered element into $value. If
5457       skipping, just pretend the extraction failed. */
5458
5459       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5460
5461       /* If no string follows, $value gets substituted; otherwise there can
5462       be yes/no strings, as for lookup or if. */
5463
5464       switch(process_yesno(
5465                skipping,                     /* were previously skipping */
5466                lookup_value != NULL,         /* success/failure indicator */
5467                save_lookup_value,            /* value to reset for string2 */
5468                &s,                           /* input pointer */
5469                &yield,                       /* output pointer */
5470                &size,                        /* output size */
5471                &ptr,                         /* output current point */
5472                US"listextract",              /* condition type */
5473                &resetok))
5474         {
5475         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5476         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5477         }
5478
5479       /* All done - restore numerical variables. */
5480
5481       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5482         save_expand_nlength);
5483
5484       continue;
5485       }
5486
5487 #ifdef SUPPORT_TLS
5488     case EITEM_CERTEXTRACT:
5489       {
5490       uschar *save_lookup_value = lookup_value;
5491       uschar *sub[2];
5492       int save_expand_nmax =
5493         save_expand_strings(save_expand_nstring, save_expand_nlength);
5494
5495       /* Read the field argument */
5496       while (isspace(*s)) s++;
5497       if (*s != '{')                                    /*}*/
5498         goto EXPAND_FAILED_CURLY;
5499       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5500       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5501       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5502       /* strip spaces fore & aft */
5503       {
5504       int len;
5505       uschar *p = sub[0];
5506
5507       while (isspace(*p)) p++;
5508       sub[0] = p;
5509
5510       len = Ustrlen(p);
5511       while (len > 0 && isspace(p[len-1])) len--;
5512       p[len] = 0;
5513       }
5514
5515       /* inspect the cert argument */
5516       while (isspace(*s)) s++;
5517       if (*s != '{')                                    /*}*/
5518         goto EXPAND_FAILED_CURLY;
5519       if (*++s != '$')
5520         {
5521         expand_string_message = US"second argument of \"certextract\" must "
5522           "be a certificate variable";
5523         goto EXPAND_FAILED;
5524         }
5525       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5526       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5527       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5528
5529       if (skipping)
5530         lookup_value = NULL;
5531       else
5532         {
5533         lookup_value = expand_getcertele(sub[0], sub[1]);
5534         if (*expand_string_message) goto EXPAND_FAILED;
5535         }
5536       switch(process_yesno(
5537                skipping,                     /* were previously skipping */
5538                lookup_value != NULL,         /* success/failure indicator */
5539                save_lookup_value,            /* value to reset for string2 */
5540                &s,                           /* input pointer */
5541                &yield,                       /* output pointer */
5542                &size,                        /* output size */
5543                &ptr,                         /* output current point */
5544                US"certextract",              /* condition type */
5545                &resetok))
5546         {
5547         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5548         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5549         }
5550
5551       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5552         save_expand_nlength);
5553       continue;
5554       }
5555 #endif  /*SUPPORT_TLS*/
5556
5557     /* Handle list operations */
5558
5559     case EITEM_FILTER:
5560     case EITEM_MAP:
5561     case EITEM_REDUCE:
5562       {
5563       int sep = 0;
5564       int save_ptr = ptr;
5565       uschar outsep[2] = { '\0', '\0' };
5566       const uschar *list, *expr, *temp;
5567       uschar *save_iterate_item = iterate_item;
5568       uschar *save_lookup_value = lookup_value;
5569
5570       while (isspace(*s)) s++;
5571       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5572
5573       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5574       if (list == NULL) goto EXPAND_FAILED;
5575       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5576
5577       if (item_type == EITEM_REDUCE)
5578         {
5579         uschar * t;
5580         while (isspace(*s)) s++;
5581         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5582         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5583         if (!t) goto EXPAND_FAILED;
5584         lookup_value = t;
5585         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5586         }
5587
5588       while (isspace(*s)) s++;
5589       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5590
5591       expr = s;
5592
5593       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5594       if scanning a "false" part). This allows us to find the end of the
5595       condition, because if the list is empty, we won't actually evaluate the
5596       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5597       the normal internal expansion function. */
5598
5599       if (item_type == EITEM_FILTER)
5600         {
5601         temp = eval_condition(expr, &resetok, NULL);
5602         if (temp != NULL) s = temp;
5603         }
5604       else
5605         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5606
5607       if (temp == NULL)
5608         {
5609         expand_string_message = string_sprintf("%s inside \"%s\" item",
5610           expand_string_message, name);
5611         goto EXPAND_FAILED;
5612         }
5613
5614       while (isspace(*s)) s++;
5615       if (*s++ != '}')
5616         {                                               /*{*/
5617         expand_string_message = string_sprintf("missing } at end of condition "
5618           "or expression inside \"%s\"", name);
5619         goto EXPAND_FAILED;
5620         }
5621
5622       while (isspace(*s)) s++;                          /*{*/
5623       if (*s++ != '}')
5624         {                                               /*{*/
5625         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5626           name);
5627         goto EXPAND_FAILED;
5628         }
5629
5630       /* If we are skipping, we can now just move on to the next item. When
5631       processing for real, we perform the iteration. */
5632
5633       if (skipping) continue;
5634       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5635         {
5636         *outsep = (uschar)sep;      /* Separator as a string */
5637
5638         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5639
5640         if (item_type == EITEM_FILTER)
5641           {
5642           BOOL condresult;
5643           if (eval_condition(expr, &resetok, &condresult) == NULL)
5644             {
5645             iterate_item = save_iterate_item;
5646             lookup_value = save_lookup_value;
5647             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5648               expand_string_message, name);
5649             goto EXPAND_FAILED;
5650             }
5651           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5652             condresult? "true":"false");
5653           if (condresult)
5654             temp = iterate_item;    /* TRUE => include this item */
5655           else
5656             continue;               /* FALSE => skip this item */
5657           }
5658
5659         /* EITEM_MAP and EITEM_REDUCE */
5660
5661         else
5662           {
5663           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5664           temp = t;
5665           if (temp == NULL)
5666             {
5667             iterate_item = save_iterate_item;
5668             expand_string_message = string_sprintf("%s inside \"%s\" item",
5669               expand_string_message, name);
5670             goto EXPAND_FAILED;
5671             }
5672           if (item_type == EITEM_REDUCE)
5673             {
5674             lookup_value = t;         /* Update the value of $value */
5675             continue;                 /* and continue the iteration */
5676             }
5677           }
5678
5679         /* We reach here for FILTER if the condition is true, always for MAP,
5680         and never for REDUCE. The value in "temp" is to be added to the output
5681         list that is being created, ensuring that any occurrences of the
5682         separator character are doubled. Unless we are dealing with the first
5683         item of the output list, add in a space if the new item begins with the
5684         separator character, or is an empty string. */
5685
5686         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5687           yield = string_cat(yield, &size, &ptr, US" ", 1);
5688
5689         /* Add the string in "temp" to the output list that we are building,
5690         This is done in chunks by searching for the separator character. */
5691
5692         for (;;)
5693           {
5694           size_t seglen = Ustrcspn(temp, outsep);
5695             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
5696
5697           /* If we got to the end of the string we output one character
5698           too many; backup and end the loop. Otherwise arrange to double the
5699           separator. */
5700
5701           if (temp[seglen] == '\0') { ptr--; break; }
5702           yield = string_cat(yield, &size, &ptr, outsep, 1);
5703           temp += seglen + 1;
5704           }
5705
5706         /* Output a separator after the string: we will remove the redundant
5707         final one at the end. */
5708
5709         yield = string_cat(yield, &size, &ptr, outsep, 1);
5710         }   /* End of iteration over the list loop */
5711
5712       /* REDUCE has generated no output above: output the final value of
5713       $value. */
5714
5715       if (item_type == EITEM_REDUCE)
5716         {
5717         yield = string_cat(yield, &size, &ptr, lookup_value,
5718           Ustrlen(lookup_value));
5719         lookup_value = save_lookup_value;  /* Restore $value */
5720         }
5721
5722       /* FILTER and MAP generate lists: if they have generated anything, remove
5723       the redundant final separator. Even though an empty item at the end of a
5724       list does not count, this is tidier. */
5725
5726       else if (ptr != save_ptr) ptr--;
5727
5728       /* Restore preserved $item */
5729
5730       iterate_item = save_iterate_item;
5731       continue;
5732       }
5733
5734     case EITEM_SORT:
5735       {
5736       int sep = 0;
5737       const uschar *srclist, *cmp, *xtract;
5738       uschar *srcitem;
5739       const uschar *dstlist = NULL, *dstkeylist = NULL;
5740       uschar * tmp;
5741       uschar *save_iterate_item = iterate_item;
5742
5743       while (isspace(*s)) s++;
5744       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5745
5746       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5747       if (!srclist) goto EXPAND_FAILED;
5748       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5749
5750       while (isspace(*s)) s++;
5751       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5752
5753       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5754       if (!cmp) goto EXPAND_FAILED;
5755       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5756
5757       while (isspace(*s)) s++;
5758       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
5759
5760       xtract = s;
5761       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5762       if (!tmp) goto EXPAND_FAILED;
5763       xtract = string_copyn(xtract, s - xtract);
5764
5765       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5766                                                         /*{*/
5767       if (*s++ != '}')
5768         {                                               /*{*/
5769         expand_string_message = US"missing } at end of \"sort\"";
5770         goto EXPAND_FAILED;
5771         }
5772
5773       if (skipping) continue;
5774
5775       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5776         {
5777         uschar * dstitem;
5778         uschar * newlist = NULL;
5779         uschar * newkeylist = NULL;
5780         uschar * srcfield;
5781
5782         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5783
5784         /* extract field for comparisons */
5785         iterate_item = srcitem;
5786         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5787                                           TRUE, &resetok))
5788            || !*srcfield)
5789           {
5790           expand_string_message = string_sprintf(
5791               "field-extract in sort: \"%s\"", xtract);
5792           goto EXPAND_FAILED;
5793           }
5794
5795         /* Insertion sort */
5796
5797         /* copy output list until new-item < list-item */
5798         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5799           {
5800           uschar * dstfield;
5801           uschar * expr;
5802           BOOL before;
5803
5804           /* field for comparison */
5805           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5806             goto sort_mismatch;
5807
5808           /* build and run condition string */
5809           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5810
5811           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
5812           if (!eval_condition(expr, &resetok, &before))
5813             {
5814             expand_string_message = string_sprintf("comparison in sort: %s",
5815                 expr);
5816             goto EXPAND_FAILED;
5817             }
5818
5819           if (before)
5820             {
5821             /* New-item sorts before this dst-item.  Append new-item,
5822             then dst-item, then remainder of dst list. */
5823
5824             newlist = string_append_listele(newlist, sep, srcitem);
5825             newkeylist = string_append_listele(newkeylist, sep, srcfield);
5826             srcitem = NULL;
5827
5828             newlist = string_append_listele(newlist, sep, dstitem);
5829             newkeylist = string_append_listele(newkeylist, sep, dstfield);
5830
5831             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5832               {
5833               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5834                 goto sort_mismatch;
5835               newlist = string_append_listele(newlist, sep, dstitem);
5836               newkeylist = string_append_listele(newkeylist, sep, dstfield);
5837               }
5838
5839             break;
5840             }
5841
5842           newlist = string_append_listele(newlist, sep, dstitem);
5843           newkeylist = string_append_listele(newkeylist, sep, dstfield);
5844           }
5845
5846         /* If we ran out of dstlist without consuming srcitem, append it */
5847         if (srcitem)
5848           {
5849           newlist = string_append_listele(newlist, sep, srcitem);
5850           newkeylist = string_append_listele(newkeylist, sep, srcfield);
5851           }
5852
5853         dstlist = newlist;
5854         dstkeylist = newkeylist;
5855
5856         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
5857         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
5858         }
5859
5860       if (dstlist)
5861         yield = string_cat(yield, &size, &ptr, dstlist, Ustrlen(dstlist));
5862
5863       /* Restore preserved $item */
5864       iterate_item = save_iterate_item;
5865       continue;
5866
5867       sort_mismatch:
5868         expand_string_message = US"Internal error in sort (list mismatch)";
5869         goto EXPAND_FAILED;
5870       }
5871
5872
5873     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
5874     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
5875     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
5876     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
5877
5878     #define EXPAND_DLFUNC_MAX_ARGS 8
5879
5880     case EITEM_DLFUNC:
5881 #ifndef EXPAND_DLFUNC
5882       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
5883         "is not included in this binary";
5884       goto EXPAND_FAILED;
5885
5886 #else   /* EXPAND_DLFUNC */
5887       {
5888       tree_node *t;
5889       exim_dlfunc_t *func;
5890       uschar *result;
5891       int status, argc;
5892       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
5893
5894       if ((expand_forbid & RDO_DLFUNC) != 0)
5895         {
5896         expand_string_message =
5897           US"dynamically-loaded functions are not permitted";
5898         goto EXPAND_FAILED;
5899         }
5900
5901       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
5902            TRUE, US"dlfunc", &resetok))
5903         {
5904         case 1: goto EXPAND_FAILED_CURLY;
5905         case 2:
5906         case 3: goto EXPAND_FAILED;
5907         }
5908
5909       /* If skipping, we don't actually do anything */
5910
5911       if (skipping) continue;
5912
5913       /* Look up the dynamically loaded object handle in the tree. If it isn't
5914       found, dlopen() the file and put the handle in the tree for next time. */
5915
5916       t = tree_search(dlobj_anchor, argv[0]);
5917       if (t == NULL)
5918         {
5919         void *handle = dlopen(CS argv[0], RTLD_LAZY);
5920         if (handle == NULL)
5921           {
5922           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
5923             argv[0], dlerror());
5924           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5925           goto EXPAND_FAILED;
5926           }
5927         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
5928         Ustrcpy(t->name, argv[0]);
5929         t->data.ptr = handle;
5930         (void)tree_insertnode(&dlobj_anchor, t);
5931         }
5932
5933       /* Having obtained the dynamically loaded object handle, look up the
5934       function pointer. */
5935
5936       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
5937       if (func == NULL)
5938         {
5939         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
5940           "%s", argv[1], argv[0], dlerror());
5941         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
5942         goto EXPAND_FAILED;
5943         }
5944
5945       /* Call the function and work out what to do with the result. If it
5946       returns OK, we have a replacement string; if it returns DEFER then
5947       expansion has failed in a non-forced manner; if it returns FAIL then
5948       failure was forced; if it returns ERROR or any other value there's a
5949       problem, so panic slightly. In any case, assume that the function has
5950       side-effects on the store that must be preserved. */
5951
5952       resetok = FALSE;
5953       result = NULL;
5954       for (argc = 0; argv[argc] != NULL; argc++);
5955       status = func(&result, argc - 2, &argv[2]);
5956       if(status == OK)
5957         {
5958         if (result == NULL) result = US"";
5959         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
5960         continue;
5961         }
5962       else
5963         {
5964         expand_string_message = result == NULL ? US"(no message)" : result;
5965         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
5966           else if(status != FAIL)
5967             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
5968               argv[0], argv[1], status, expand_string_message);
5969         goto EXPAND_FAILED;
5970         }
5971       }
5972 #endif /* EXPAND_DLFUNC */
5973
5974     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
5975       {
5976       uschar * key;
5977       uschar *save_lookup_value = lookup_value;
5978
5979       while (isspace(*s)) s++;
5980       if (*s != '{')                                    /*}*/
5981         goto EXPAND_FAILED;
5982
5983       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5984       if (!key) goto EXPAND_FAILED;                     /*{*/
5985       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
5986
5987       lookup_value = US getenv(CS key);
5988
5989       switch(process_yesno(
5990                skipping,                     /* were previously skipping */
5991                lookup_value != NULL,         /* success/failure indicator */
5992                save_lookup_value,            /* value to reset for string2 */
5993                &s,                           /* input pointer */
5994                &yield,                       /* output pointer */
5995                &size,                        /* output size */
5996                &ptr,                         /* output current point */
5997                US"env",                      /* condition type */
5998                &resetok))
5999         {
6000         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6001         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6002         }
6003       continue;
6004       }
6005     }   /* EITEM_* switch */
6006
6007   /* Control reaches here if the name is not recognized as one of the more
6008   complicated expansion items. Check for the "operator" syntax (name terminated
6009   by a colon). Some of the operators have arguments, separated by _ from the
6010   name. */
6011
6012   if (*s == ':')
6013     {
6014     int c;
6015     uschar *arg = NULL;
6016     uschar *sub;
6017     var_entry *vp = NULL;
6018
6019     /* Owing to an historical mis-design, an underscore may be part of the
6020     operator name, or it may introduce arguments.  We therefore first scan the
6021     table of names that contain underscores. If there is no match, we cut off
6022     the arguments and then scan the main table. */
6023
6024     if ((c = chop_match(name, op_table_underscore,
6025                         nelem(op_table_underscore))) < 0)
6026       {
6027       arg = Ustrchr(name, '_');
6028       if (arg != NULL) *arg = 0;
6029       c = chop_match(name, op_table_main, nelem(op_table_main));
6030       if (c >= 0) c += nelem(op_table_underscore);
6031       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6032       }
6033
6034     /* Deal specially with operators that might take a certificate variable
6035     as we do not want to do the usual expansion. For most, expand the string.*/
6036     switch(c)
6037       {
6038 #ifdef SUPPORT_TLS
6039       case EOP_MD5:
6040       case EOP_SHA1:
6041       case EOP_SHA256:
6042       case EOP_BASE64:
6043         if (s[1] == '$')
6044           {
6045           const uschar * s1 = s;
6046           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6047                   FALSE, &resetok);
6048           if (!sub)       goto EXPAND_FAILED;           /*{*/
6049           if (*s1 != '}') goto EXPAND_FAILED_CURLY;
6050           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6051             {
6052             s = s1+1;
6053             break;
6054             }
6055           vp = NULL;
6056           }
6057         /*FALLTHROUGH*/
6058 #endif
6059       default:
6060         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6061         if (!sub) goto EXPAND_FAILED;
6062         s++;
6063         break;
6064       }
6065
6066     /* If we are skipping, we don't need to perform the operation at all.
6067     This matters for operations like "mask", because the data may not be
6068     in the correct format when skipping. For example, the expression may test
6069     for the existence of $sender_host_address before trying to mask it. For
6070     other operations, doing them may not fail, but it is a waste of time. */
6071
6072     if (skipping && c >= 0) continue;
6073
6074     /* Otherwise, switch on the operator type */
6075
6076     switch(c)
6077       {
6078       case EOP_BASE62:
6079         {
6080         uschar *t;
6081         unsigned long int n = Ustrtoul(sub, &t, 10);
6082         if (*t != 0)
6083           {
6084           expand_string_message = string_sprintf("argument for base62 "
6085             "operator is \"%s\", which is not a decimal number", sub);
6086           goto EXPAND_FAILED;
6087           }
6088         t = string_base62(n);
6089         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6090         continue;
6091         }
6092
6093       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6094
6095       case EOP_BASE62D:
6096         {
6097         uschar buf[16];
6098         uschar *tt = sub;
6099         unsigned long int n = 0;
6100         while (*tt != 0)
6101           {
6102           uschar *t = Ustrchr(base62_chars, *tt++);
6103           if (t == NULL)
6104             {
6105             expand_string_message = string_sprintf("argument for base62d "
6106               "operator is \"%s\", which is not a base %d number", sub,
6107               BASE_62);
6108             goto EXPAND_FAILED;
6109             }
6110           n = n * BASE_62 + (t - base62_chars);
6111           }
6112         (void)sprintf(CS buf, "%ld", n);
6113         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
6114         continue;
6115         }
6116
6117       case EOP_EXPAND:
6118         {
6119         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6120         if (expanded == NULL)
6121           {
6122           expand_string_message =
6123             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6124               expand_string_message);
6125           goto EXPAND_FAILED;
6126           }
6127         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
6128         continue;
6129         }
6130
6131       case EOP_LC:
6132         {
6133         int count = 0;
6134         uschar *t = sub - 1;
6135         while (*(++t) != 0) { *t = tolower(*t); count++; }
6136         yield = string_cat(yield, &size, &ptr, sub, count);
6137         continue;
6138         }
6139
6140       case EOP_UC:
6141         {
6142         int count = 0;
6143         uschar *t = sub - 1;
6144         while (*(++t) != 0) { *t = toupper(*t); count++; }
6145         yield = string_cat(yield, &size, &ptr, sub, count);
6146         continue;
6147         }
6148
6149       case EOP_MD5:
6150 #ifdef SUPPORT_TLS
6151         if (vp && *(void **)vp->value)
6152           {
6153           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6154           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6155           }
6156         else
6157 #endif
6158           {
6159           md5 base;
6160           uschar digest[16];
6161           int j;
6162           char st[33];
6163           md5_start(&base);
6164           md5_end(&base, sub, Ustrlen(sub), digest);
6165           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6166           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6167           }
6168         continue;
6169
6170       case EOP_SHA1:
6171 #ifdef SUPPORT_TLS
6172         if (vp && *(void **)vp->value)
6173           {
6174           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6175           yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6176           }
6177         else
6178 #endif
6179           {
6180           sha1 base;
6181           uschar digest[20];
6182           int j;
6183           char st[41];
6184           sha1_start(&base);
6185           sha1_end(&base, sub, Ustrlen(sub), digest);
6186           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6187           yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
6188           }
6189         continue;
6190
6191       case EOP_SHA256:
6192 #ifdef SUPPORT_TLS
6193         if (vp && *(void **)vp->value)
6194           {
6195           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6196           yield = string_cat(yield, &size, &ptr, cp, (int)Ustrlen(cp));
6197           }
6198         else
6199 #endif
6200           expand_string_message = US"sha256 only supported for certificates";
6201         continue;
6202
6203       /* Convert hex encoding to base64 encoding */
6204
6205       case EOP_HEX2B64:
6206         {
6207         int c = 0;
6208         int b = -1;
6209         uschar *in = sub;
6210         uschar *out = sub;
6211         uschar *enc;
6212
6213         for (enc = sub; *enc != 0; enc++)
6214           {
6215           if (!isxdigit(*enc))
6216             {
6217             expand_string_message = string_sprintf("\"%s\" is not a hex "
6218               "string", sub);
6219             goto EXPAND_FAILED;
6220             }
6221           c++;
6222           }
6223
6224         if ((c & 1) != 0)
6225           {
6226           expand_string_message = string_sprintf("\"%s\" contains an odd "
6227             "number of characters", sub);
6228           goto EXPAND_FAILED;
6229           }
6230
6231         while ((c = *in++) != 0)
6232           {
6233           if (isdigit(c)) c -= '0';
6234           else c = toupper(c) - 'A' + 10;
6235           if (b == -1)
6236             {
6237             b = c << 4;
6238             }
6239           else
6240             {
6241             *out++ = b | c;
6242             b = -1;
6243             }
6244           }
6245
6246         enc = b64encode(sub, out - sub);
6247         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
6248         continue;
6249         }
6250
6251       /* Convert octets outside 0x21..0x7E to \xXX form */
6252
6253       case EOP_HEXQUOTE:
6254         {
6255         uschar *t = sub - 1;
6256         while (*(++t) != 0)
6257           {
6258           if (*t < 0x21 || 0x7E < *t)
6259             yield = string_cat(yield, &size, &ptr,
6260               string_sprintf("\\x%02x", *t), 4);
6261           else
6262             yield = string_cat(yield, &size, &ptr, t, 1);
6263           }
6264         continue;
6265         }
6266
6267       /* count the number of list elements */
6268
6269       case EOP_LISTCOUNT:
6270         {
6271         int cnt = 0;
6272         int sep = 0;
6273         uschar * cp;
6274         uschar buffer[256];
6275
6276         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6277         cp = string_sprintf("%d", cnt);
6278         yield = string_cat(yield, &size, &ptr, cp, Ustrlen(cp));
6279         continue;
6280         }
6281
6282       /* expand a named list given the name */
6283       /* handles nested named lists; requotes as colon-sep list */
6284
6285       case EOP_LISTNAMED:
6286         {
6287         tree_node *t = NULL;
6288         const uschar * list;
6289         int sep = 0;
6290         uschar * item;
6291         uschar * suffix = US"";
6292         BOOL needsep = FALSE;
6293         uschar buffer[256];
6294
6295         if (*sub == '+') sub++;
6296         if (arg == NULL)        /* no-argument version */
6297           {
6298           if (!(t = tree_search(addresslist_anchor, sub)) &&
6299               !(t = tree_search(domainlist_anchor,  sub)) &&
6300               !(t = tree_search(hostlist_anchor,    sub)))
6301             t = tree_search(localpartlist_anchor, sub);
6302           }
6303         else switch(*arg)       /* specific list-type version */
6304           {
6305           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6306           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6307           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6308           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6309           default:
6310             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6311             goto EXPAND_FAILED;
6312           }
6313
6314         if(!t)
6315           {
6316           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6317             sub, !arg?""
6318               : *arg=='a'?"address "
6319               : *arg=='d'?"domain "
6320               : *arg=='h'?"host "
6321               : *arg=='l'?"localpart "
6322               : 0);
6323           goto EXPAND_FAILED;
6324           }
6325
6326         list = ((namedlist_block *)(t->data.ptr))->string;
6327
6328         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6329           {
6330           uschar * buf = US" : ";
6331           if (needsep)
6332             yield = string_cat(yield, &size, &ptr, buf, 3);
6333           else
6334             needsep = TRUE;
6335
6336           if (*item == '+')     /* list item is itself a named list */
6337             {
6338             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6339             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6340             }
6341           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6342             {
6343             char * cp;
6344             char tok[3];
6345             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6346             while ((cp= strpbrk((const char *)item, tok)))
6347               {
6348               yield = string_cat(yield, &size, &ptr, item, cp-(char *)item);
6349               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6350                 {
6351                 yield = string_cat(yield, &size, &ptr, US"::", 2);
6352                 item = (uschar *)cp;
6353                 }
6354               else              /* sep in item; should already be doubled; emit once */
6355                 {
6356                 yield = string_cat(yield, &size, &ptr, (uschar *)tok, 1);
6357                 if (*cp == sep) cp++;
6358                 item = (uschar *)cp;
6359                 }
6360               }
6361             }
6362           yield = string_cat(yield, &size, &ptr, item, Ustrlen(item));
6363           }
6364         continue;
6365         }
6366
6367       /* mask applies a mask to an IP address; for example the result of
6368       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6369
6370       case EOP_MASK:
6371         {
6372         int count;
6373         uschar *endptr;
6374         int binary[4];
6375         int mask, maskoffset;
6376         int type = string_is_ip_address(sub, &maskoffset);
6377         uschar buffer[64];
6378
6379         if (type == 0)
6380           {
6381           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6382            sub);
6383           goto EXPAND_FAILED;
6384           }
6385
6386         if (maskoffset == 0)
6387           {
6388           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6389             sub);
6390           goto EXPAND_FAILED;
6391           }
6392
6393         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6394
6395         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6396           {
6397           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6398             sub);
6399           goto EXPAND_FAILED;
6400           }
6401
6402         /* Convert the address to binary integer(s) and apply the mask */
6403
6404         sub[maskoffset] = 0;
6405         count = host_aton(sub, binary);
6406         host_mask(count, binary, mask);
6407
6408         /* Convert to masked textual format and add to output. */
6409
6410         yield = string_cat(yield, &size, &ptr, buffer,
6411           host_nmtoa(count, binary, mask, buffer, '.'));
6412         continue;
6413         }
6414
6415       case EOP_IPV6NORM:
6416       case EOP_IPV6DENORM:
6417         {
6418         int type = string_is_ip_address(sub, NULL);
6419         int binary[4];
6420         uschar buffer[44];
6421
6422         switch (type)
6423           {
6424           case 6:
6425             (void) host_aton(sub, binary);
6426             break;
6427
6428           case 4:       /* convert to IPv4-mapped IPv6 */
6429             binary[0] = binary[1] = 0;
6430             binary[2] = 0x0000ffff;
6431             (void) host_aton(sub, binary+3);
6432             break;
6433
6434           case 0:
6435             expand_string_message =
6436               string_sprintf("\"%s\" is not an IP address", sub);
6437             goto EXPAND_FAILED;
6438           }
6439
6440         yield = string_cat(yield, &size, &ptr, buffer,
6441                   c == EOP_IPV6NORM
6442                     ? ipv6_nmtoa(binary, buffer)
6443                     : host_nmtoa(4, binary, -1, buffer, ':')
6444                   );
6445         continue;
6446         }
6447
6448       case EOP_ADDRESS:
6449       case EOP_LOCAL_PART:
6450       case EOP_DOMAIN:
6451         {
6452         uschar *error;
6453         int start, end, domain;
6454         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6455           FALSE);
6456         if (t != NULL)
6457           {
6458           if (c != EOP_DOMAIN)
6459             {
6460             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6461             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
6462             }
6463           else if (domain != 0)
6464             {
6465             domain += start;
6466             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
6467             }
6468           }
6469         continue;
6470         }
6471
6472       case EOP_ADDRESSES:
6473         {
6474         uschar outsep[2] = { ':', '\0' };
6475         uschar *address, *error;
6476         int save_ptr = ptr;
6477         int start, end, domain;  /* Not really used */
6478
6479         while (isspace(*sub)) sub++;
6480         if (*sub == '>') { *outsep = *++sub; ++sub; }
6481         parse_allow_group = TRUE;
6482
6483         for (;;)
6484           {
6485           uschar *p = parse_find_address_end(sub, FALSE);
6486           uschar saveend = *p;
6487           *p = '\0';
6488           address = parse_extract_address(sub, &error, &start, &end, &domain,
6489             FALSE);
6490           *p = saveend;
6491
6492           /* Add the address to the output list that we are building. This is
6493           done in chunks by searching for the separator character. At the
6494           start, unless we are dealing with the first address of the output
6495           list, add in a space if the new address begins with the separator
6496           character, or is an empty string. */
6497
6498           if (address != NULL)
6499             {
6500             if (ptr != save_ptr && address[0] == *outsep)
6501               yield = string_cat(yield, &size, &ptr, US" ", 1);
6502
6503             for (;;)
6504               {
6505               size_t seglen = Ustrcspn(address, outsep);
6506               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
6507
6508               /* If we got to the end of the string we output one character
6509               too many. */
6510
6511               if (address[seglen] == '\0') { ptr--; break; }
6512               yield = string_cat(yield, &size, &ptr, outsep, 1);
6513               address += seglen + 1;
6514               }
6515
6516             /* Output a separator after the string: we will remove the
6517             redundant final one at the end. */
6518
6519             yield = string_cat(yield, &size, &ptr, outsep, 1);
6520             }
6521
6522           if (saveend == '\0') break;
6523           sub = p + 1;
6524           }
6525
6526         /* If we have generated anything, remove the redundant final
6527         separator. */
6528
6529         if (ptr != save_ptr) ptr--;
6530         parse_allow_group = FALSE;
6531         continue;
6532         }
6533
6534
6535       /* quote puts a string in quotes if it is empty or contains anything
6536       other than alphamerics, underscore, dot, or hyphen.
6537
6538       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6539       be quoted in order to be a valid local part.
6540
6541       In both cases, newlines and carriage returns are converted into \n and \r
6542       respectively */
6543
6544       case EOP_QUOTE:
6545       case EOP_QUOTE_LOCAL_PART:
6546       if (arg == NULL)
6547         {
6548         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6549         uschar *t = sub - 1;
6550
6551         if (c == EOP_QUOTE)
6552           {
6553           while (!needs_quote && *(++t) != 0)
6554             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6555           }
6556         else  /* EOP_QUOTE_LOCAL_PART */
6557           {
6558           while (!needs_quote && *(++t) != 0)
6559             needs_quote = !isalnum(*t) &&
6560               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6561               (*t != '.' || t == sub || t[1] == 0);
6562           }
6563
6564         if (needs_quote)
6565           {
6566           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6567           t = sub - 1;
6568           while (*(++t) != 0)
6569             {
6570             if (*t == '\n')
6571               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
6572             else if (*t == '\r')
6573               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
6574             else
6575               {
6576               if (*t == '\\' || *t == '"')
6577                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
6578               yield = string_cat(yield, &size, &ptr, t, 1);
6579               }
6580             }
6581           yield = string_cat(yield, &size, &ptr, US"\"", 1);
6582           }
6583         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6584         continue;
6585         }
6586
6587       /* quote_lookuptype does lookup-specific quoting */
6588
6589       else
6590         {
6591         int n;
6592         uschar *opt = Ustrchr(arg, '_');
6593
6594         if (opt != NULL) *opt++ = 0;
6595
6596         n = search_findtype(arg, Ustrlen(arg));
6597         if (n < 0)
6598           {
6599           expand_string_message = search_error_message;
6600           goto EXPAND_FAILED;
6601           }
6602
6603         if (lookup_list[n]->quote != NULL)
6604           sub = (lookup_list[n]->quote)(sub, opt);
6605         else if (opt != NULL) sub = NULL;
6606
6607         if (sub == NULL)
6608           {
6609           expand_string_message = string_sprintf(
6610             "\"%s\" unrecognized after \"${quote_%s\"",
6611             opt, arg);
6612           goto EXPAND_FAILED;
6613           }
6614
6615         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
6616         continue;
6617         }
6618
6619       /* rx quote sticks in \ before any non-alphameric character so that
6620       the insertion works in a regular expression. */
6621
6622       case EOP_RXQUOTE:
6623         {
6624         uschar *t = sub - 1;
6625         while (*(++t) != 0)
6626           {
6627           if (!isalnum(*t))
6628             yield = string_cat(yield, &size, &ptr, US"\\", 1);
6629           yield = string_cat(yield, &size, &ptr, t, 1);
6630           }
6631         continue;
6632         }
6633
6634       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6635       prescribed by the RFC, if there are characters that need to be encoded */
6636
6637       case EOP_RFC2047:
6638         {
6639         uschar buffer[2048];
6640         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6641           buffer, sizeof(buffer), FALSE);
6642         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
6643         continue;
6644         }
6645
6646       /* RFC 2047 decode */
6647
6648       case EOP_RFC2047D:
6649         {
6650         int len;
6651         uschar *error;
6652         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6653           headers_charset, '?', &len, &error);
6654         if (error != NULL)
6655           {
6656           expand_string_message = error;
6657           goto EXPAND_FAILED;
6658           }
6659         yield = string_cat(yield, &size, &ptr, decoded, len);
6660         continue;
6661         }
6662
6663       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6664       underscores */
6665
6666       case EOP_FROM_UTF8:
6667         {
6668         while (*sub != 0)
6669           {
6670           int c;
6671           uschar buff[4];
6672           GETUTF8INC(c, sub);
6673           if (c > 255) c = '_';
6674           buff[0] = c;
6675           yield = string_cat(yield, &size, &ptr, buff, 1);
6676           }
6677         continue;
6678         }
6679
6680           /* replace illegal UTF-8 sequences by replacement character  */
6681
6682       #define UTF8_REPLACEMENT_CHAR US"?"
6683
6684       case EOP_UTF8CLEAN:
6685         {
6686         int seq_len = 0, index = 0;
6687         int bytes_left = 0;
6688         long codepoint = -1;
6689         uschar seq_buff[4];                     /* accumulate utf-8 here */
6690
6691         while (*sub != 0)
6692           {
6693           int complete = 0;
6694           uschar c = *sub++;
6695
6696           if (bytes_left)
6697             {
6698             if ((c & 0xc0) != 0x80)
6699                     /* wrong continuation byte; invalidate all bytes */
6700               complete = 1; /* error */
6701             else
6702               {
6703               codepoint = (codepoint << 6) | (c & 0x3f);
6704               seq_buff[index++] = c;
6705               if (--bytes_left == 0)            /* codepoint complete */
6706                 if(codepoint > 0x10FFFF)        /* is it too large? */
6707                   complete = -1;        /* error (RFC3629 limit) */
6708                 else
6709                   {             /* finished; output utf-8 sequence */
6710                   yield = string_cat(yield, &size, &ptr, seq_buff, seq_len);
6711                   index = 0;
6712                   }
6713               }
6714             }
6715           else  /* no bytes left: new sequence */
6716             {
6717             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
6718               {
6719               yield = string_cat(yield, &size, &ptr, &c, 1);
6720               continue;
6721               }
6722             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
6723               {
6724               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
6725                 complete = -1;
6726               else
6727                 {
6728                   bytes_left = 1;
6729                   codepoint = c & 0x1f;
6730                 }
6731               }
6732             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
6733               {
6734               bytes_left = 2;
6735               codepoint = c & 0x0f;
6736               }
6737             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
6738               {
6739               bytes_left = 3;
6740               codepoint = c & 0x07;
6741               }
6742             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
6743               complete = -1;
6744
6745             seq_buff[index++] = c;
6746             seq_len = bytes_left + 1;
6747             }           /* if(bytes_left) */
6748
6749           if (complete != 0)
6750             {
6751             bytes_left = index = 0;
6752             yield = string_cat(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
6753             }
6754           if ((complete == 1) && ((c & 0x80) == 0))
6755                         /* ASCII character follows incomplete sequence */
6756               yield = string_cat(yield, &size, &ptr, &c, 1);
6757           }
6758         continue;
6759         }
6760
6761 #ifdef SUPPORT_I18N
6762       case EOP_UTF8_DOMAIN_TO_ALABEL:
6763         {
6764         uschar * error = NULL;
6765         uschar * s = string_domain_utf8_to_alabel(sub, &error);
6766         if (error)
6767           {
6768           expand_string_message = string_sprintf(
6769             "error converting utf8 (%s) to alabel: %s",
6770             string_printing(sub), error);
6771           goto EXPAND_FAILED;
6772           }
6773         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6774         continue;
6775         }
6776
6777       case EOP_UTF8_DOMAIN_FROM_ALABEL:
6778         {
6779         uschar * error = NULL;
6780         uschar * s = string_domain_alabel_to_utf8(sub, &error);
6781         if (error)
6782           {
6783           expand_string_message = string_sprintf(
6784             "error converting alabel (%s) to utf8: %s",
6785             string_printing(sub), error);
6786           goto EXPAND_FAILED;
6787           }
6788         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6789         continue;
6790         }
6791
6792       case EOP_UTF8_LOCALPART_TO_ALABEL:
6793         {
6794         uschar * error = NULL;
6795         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
6796         if (error)
6797           {
6798           expand_string_message = string_sprintf(
6799             "error converting utf8 (%s) to alabel: %s",
6800             string_printing(sub), error);
6801           goto EXPAND_FAILED;
6802           }
6803         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6804         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
6805         continue;
6806         }
6807
6808       case EOP_UTF8_LOCALPART_FROM_ALABEL:
6809         {
6810         uschar * error = NULL;
6811         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
6812         if (error)
6813           {
6814           expand_string_message = string_sprintf(
6815             "error converting alabel (%s) to utf8: %s",
6816             string_printing(sub), error);
6817           goto EXPAND_FAILED;
6818           }
6819         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6820         continue;
6821         }
6822 #endif  /* EXPERIMENTAL_INTERNATIONAL */
6823
6824       /* escape turns all non-printing characters into escape sequences. */
6825
6826       case EOP_ESCAPE:
6827         {
6828         const uschar *t = string_printing(sub);
6829         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6830         continue;
6831         }
6832
6833       /* Handle numeric expression evaluation */
6834
6835       case EOP_EVAL:
6836       case EOP_EVAL10:
6837         {
6838         uschar *save_sub = sub;
6839         uschar *error = NULL;
6840         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
6841         if (error != NULL)
6842           {
6843           expand_string_message = string_sprintf("error in expression "
6844             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
6845               save_sub);
6846           goto EXPAND_FAILED;
6847           }
6848         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
6849         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6850         continue;
6851         }
6852
6853       /* Handle time period formating */
6854
6855       case EOP_TIME_EVAL:
6856         {
6857         int n = readconf_readtime(sub, 0, FALSE);
6858         if (n < 0)
6859           {
6860           expand_string_message = string_sprintf("string \"%s\" is not an "
6861             "Exim time interval in \"%s\" operator", sub, name);
6862           goto EXPAND_FAILED;
6863           }
6864         sprintf(CS var_buffer, "%d", n);
6865         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
6866         continue;
6867         }
6868
6869       case EOP_TIME_INTERVAL:
6870         {
6871         int n;
6872         uschar *t = read_number(&n, sub);
6873         if (*t != 0) /* Not A Number*/
6874           {
6875           expand_string_message = string_sprintf("string \"%s\" is not a "
6876             "positive number in \"%s\" operator", sub, name);
6877           goto EXPAND_FAILED;
6878           }
6879         t = readconf_printtime(n);
6880         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
6881         continue;
6882         }
6883
6884       /* Convert string to base64 encoding */
6885
6886       case EOP_STR2B64:
6887       case EOP_BASE64:
6888         {
6889 #ifdef SUPPORT_TLS
6890         uschar * s = vp && *(void **)vp->value
6891           ? tls_cert_der_b64(*(void **)vp->value)
6892           : b64encode(sub, Ustrlen(sub));
6893 #else
6894         uschar * s = b64encode(sub, Ustrlen(sub));
6895 #endif
6896         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6897         continue;
6898         }
6899
6900       case EOP_BASE64D:
6901         {
6902         uschar * s;
6903         int len = b64decode(sub, &s);
6904         if (len < 0)
6905           {
6906           expand_string_message = string_sprintf("string \"%s\" is not "
6907             "well-formed for \"%s\" operator", sub, name);
6908           goto EXPAND_FAILED;
6909           }
6910         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
6911         continue;
6912         }
6913
6914       /* strlen returns the length of the string */
6915
6916       case EOP_STRLEN:
6917         {
6918         uschar buff[24];
6919         (void)sprintf(CS buff, "%d", Ustrlen(sub));
6920         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
6921         continue;
6922         }
6923
6924       /* length_n or l_n takes just the first n characters or the whole string,
6925       whichever is the shorter;
6926
6927       substr_m_n, and s_m_n take n characters from offset m; negative m take
6928       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
6929       takes the rest, either to the right or to the left.
6930
6931       hash_n or h_n makes a hash of length n from the string, yielding n
6932       characters from the set a-z; hash_n_m makes a hash of length n, but
6933       uses m characters from the set a-zA-Z0-9.
6934
6935       nhash_n returns a single number between 0 and n-1 (in text form), while
6936       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
6937       between 0 and n-1 and the second between 0 and m-1. */
6938
6939       case EOP_LENGTH:
6940       case EOP_L:
6941       case EOP_SUBSTR:
6942       case EOP_S:
6943       case EOP_HASH:
6944       case EOP_H:
6945       case EOP_NHASH:
6946       case EOP_NH:
6947         {
6948         int sign = 1;
6949         int value1 = 0;
6950         int value2 = -1;
6951         int *pn;
6952         int len;
6953         uschar *ret;
6954
6955         if (arg == NULL)
6956           {
6957           expand_string_message = string_sprintf("missing values after %s",
6958             name);
6959           goto EXPAND_FAILED;
6960           }
6961
6962         /* "length" has only one argument, effectively being synonymous with
6963         substr_0_n. */
6964
6965         if (c == EOP_LENGTH || c == EOP_L)
6966           {
6967           pn = &value2;
6968           value2 = 0;
6969           }
6970
6971         /* The others have one or two arguments; for "substr" the first may be
6972         negative. The second being negative means "not supplied". */
6973
6974         else
6975           {
6976           pn = &value1;
6977           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
6978           }
6979
6980         /* Read up to two numbers, separated by underscores */
6981
6982         ret = arg;
6983         while (*arg != 0)
6984           {
6985           if (arg != ret && *arg == '_' && pn == &value1)
6986             {
6987             pn = &value2;
6988             value2 = 0;
6989             if (arg[1] != 0) arg++;
6990             }
6991           else if (!isdigit(*arg))
6992             {
6993             expand_string_message =
6994               string_sprintf("non-digit after underscore in \"%s\"", name);
6995             goto EXPAND_FAILED;
6996             }
6997           else *pn = (*pn)*10 + *arg++ - '0';
6998           }
6999         value1 *= sign;
7000
7001         /* Perform the required operation */
7002
7003         ret =
7004           (c == EOP_HASH || c == EOP_H)?
7005              compute_hash(sub, value1, value2, &len) :
7006           (c == EOP_NHASH || c == EOP_NH)?
7007              compute_nhash(sub, value1, value2, &len) :
7008              extract_substr(sub, value1, value2, &len);
7009
7010         if (ret == NULL) goto EXPAND_FAILED;
7011         yield = string_cat(yield, &size, &ptr, ret, len);
7012         continue;
7013         }
7014
7015       /* Stat a path */
7016
7017       case EOP_STAT:
7018         {
7019         uschar *s;
7020         uschar smode[12];
7021         uschar **modetable[3];
7022         int i;
7023         mode_t mode;
7024         struct stat st;
7025
7026         if ((expand_forbid & RDO_EXISTS) != 0)
7027           {
7028           expand_string_message = US"Use of the stat() expansion is not permitted";
7029           goto EXPAND_FAILED;
7030           }
7031
7032         if (stat(CS sub, &st) < 0)
7033           {
7034           expand_string_message = string_sprintf("stat(%s) failed: %s",
7035             sub, strerror(errno));
7036           goto EXPAND_FAILED;
7037           }
7038         mode = st.st_mode;
7039         switch (mode & S_IFMT)
7040           {
7041           case S_IFIFO: smode[0] = 'p'; break;
7042           case S_IFCHR: smode[0] = 'c'; break;
7043           case S_IFDIR: smode[0] = 'd'; break;
7044           case S_IFBLK: smode[0] = 'b'; break;
7045           case S_IFREG: smode[0] = '-'; break;
7046           default: smode[0] = '?'; break;
7047           }
7048
7049         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7050         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7051         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7052
7053         for (i = 0; i < 3; i++)
7054           {
7055           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7056           mode >>= 3;
7057           }
7058
7059         smode[10] = 0;
7060         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7061           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7062           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7063           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7064           (long)st.st_gid, st.st_size, (long)st.st_atime,
7065           (long)st.st_mtime, (long)st.st_ctime);
7066         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7067         continue;
7068         }
7069
7070       /* vaguely random number less than N */
7071
7072       case EOP_RANDINT:
7073         {
7074         int_eximarith_t max;
7075         uschar *s;
7076
7077         max = expanded_string_integer(sub, TRUE);
7078         if (expand_string_message != NULL)
7079           goto EXPAND_FAILED;
7080         s = string_sprintf("%d", vaguely_random_number((int)max));
7081         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
7082         continue;
7083         }
7084
7085       /* Reverse IP, including IPv6 to dotted-nibble */
7086
7087       case EOP_REVERSE_IP:
7088         {
7089         int family, maskptr;
7090         uschar reversed[128];
7091
7092         family = string_is_ip_address(sub, &maskptr);
7093         if (family == 0)
7094           {
7095           expand_string_message = string_sprintf(
7096               "reverse_ip() not given an IP address [%s]", sub);
7097           goto EXPAND_FAILED;
7098           }
7099         invert_address(reversed, sub);
7100         yield = string_cat(yield, &size, &ptr, reversed, Ustrlen(reversed));
7101         continue;
7102         }
7103
7104       /* Unknown operator */
7105
7106       default:
7107       expand_string_message =
7108         string_sprintf("unknown expansion operator \"%s\"", name);
7109       goto EXPAND_FAILED;
7110       }
7111     }
7112
7113   /* Handle a plain name. If this is the first thing in the expansion, release
7114   the pre-allocated buffer. If the result data is known to be in a new buffer,
7115   newsize will be set to the size of that buffer, and we can just point at that
7116   store instead of copying. Many expansion strings contain just one reference,
7117   so this is a useful optimization, especially for humungous headers
7118   ($message_headers). */
7119                                                 /*{*/
7120   if (*s++ == '}')
7121     {
7122     int len;
7123     int newsize = 0;
7124     if (ptr == 0)
7125       {
7126       if (resetok) store_reset(yield);
7127       yield = NULL;
7128       size = 0;
7129       }
7130     value = find_variable(name, FALSE, skipping, &newsize);
7131     if (value == NULL)
7132       {
7133       expand_string_message =
7134         string_sprintf("unknown variable in \"${%s}\"", name);
7135       check_variable_error_message(name);
7136       goto EXPAND_FAILED;
7137       }
7138     len = Ustrlen(value);
7139     if (yield == NULL && newsize != 0)
7140       {
7141       yield = value;
7142       size = newsize;
7143       ptr = len;
7144       }
7145     else yield = string_cat(yield, &size, &ptr, value, len);
7146     continue;
7147     }
7148
7149   /* Else there's something wrong */
7150
7151   expand_string_message =
7152     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7153     "in a variable reference)", name);
7154   goto EXPAND_FAILED;
7155   }
7156
7157 /* If we hit the end of the string when ket_ends is set, there is a missing
7158 terminating brace. */
7159
7160 if (ket_ends && *s == 0)
7161   {
7162   expand_string_message = malformed_header?
7163     US"missing } at end of string - could be header name not terminated by colon"
7164     :
7165     US"missing } at end of string";
7166   goto EXPAND_FAILED;
7167   }
7168
7169 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7170 added to the string. If so, set up an empty string. Add a terminating zero. If
7171 left != NULL, return a pointer to the terminator. */
7172
7173 if (yield == NULL) yield = store_get(1);
7174 yield[ptr] = 0;
7175 if (left != NULL) *left = s;
7176
7177 /* Any stacking store that was used above the final string is no longer needed.
7178 In many cases the final string will be the first one that was got and so there
7179 will be optimal store usage. */
7180
7181 if (resetok) store_reset(yield + ptr + 1);
7182 else if (resetok_p) *resetok_p = FALSE;
7183
7184 DEBUG(D_expand)
7185   {
7186   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
7187     yield);
7188   if (skipping) debug_printf("skipping: result is not used\n");
7189   }
7190 return yield;
7191
7192 /* This is the failure exit: easiest to program with a goto. We still need
7193 to update the pointer to the terminator, for cases of nested calls with "fail".
7194 */
7195
7196 EXPAND_FAILED_CURLY:
7197 expand_string_message = malformed_header?
7198   US"missing or misplaced { or } - could be header name not terminated by colon"
7199   :
7200   US"missing or misplaced { or }";
7201
7202 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7203 that is a bad idea, because expand_string_message is in dynamic store. */
7204
7205 EXPAND_FAILED:
7206 if (left != NULL) *left = s;
7207 DEBUG(D_expand)
7208   {
7209   debug_printf("failed to expand: %s\n", string);
7210   debug_printf("   error message: %s\n", expand_string_message);
7211   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7212   }
7213 if (resetok_p) *resetok_p = resetok;
7214 return NULL;
7215 }
7216
7217
7218 /* This is the external function call. Do a quick check for any expansion
7219 metacharacters, and if there are none, just return the input string.
7220
7221 Argument: the string to be expanded
7222 Returns:  the expanded string, or NULL if expansion failed; if failure was
7223           due to a lookup deferring, search_find_defer will be TRUE
7224 */
7225
7226 uschar *
7227 expand_string(uschar *string)
7228 {
7229 search_find_defer = FALSE;
7230 malformed_header = FALSE;
7231 return (Ustrpbrk(string, "$\\") == NULL)? string :
7232   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7233 }
7234
7235
7236
7237 const uschar *
7238 expand_cstring(const uschar *string)
7239 {
7240 search_find_defer = FALSE;
7241 malformed_header = FALSE;
7242 return (Ustrpbrk(string, "$\\") == NULL)? string :
7243   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7244 }
7245
7246
7247
7248 /*************************************************
7249 *              Expand and copy                   *
7250 *************************************************/
7251
7252 /* Now and again we want to expand a string and be sure that the result is in a
7253 new bit of store. This function does that.
7254 Since we know it has been copied, the de-const cast is safe.
7255
7256 Argument: the string to be expanded
7257 Returns:  the expanded string, always in a new bit of store, or NULL
7258 */
7259
7260 uschar *
7261 expand_string_copy(const uschar *string)
7262 {
7263 const uschar *yield = expand_cstring(string);
7264 if (yield == string) yield = string_copy(string);
7265 return US yield;
7266 }
7267
7268
7269
7270 /*************************************************
7271 *        Expand and interpret as an integer      *
7272 *************************************************/
7273
7274 /* Expand a string, and convert the result into an integer.
7275
7276 Arguments:
7277   string  the string to be expanded
7278   isplus  TRUE if a non-negative number is expected
7279
7280 Returns:  the integer value, or
7281           -1 for an expansion error               ) in both cases, message in
7282           -2 for an integer interpretation error  ) expand_string_message
7283           expand_string_message is set NULL for an OK integer
7284 */
7285
7286 int_eximarith_t
7287 expand_string_integer(uschar *string, BOOL isplus)
7288 {
7289 return expanded_string_integer(expand_string(string), isplus);
7290 }
7291
7292
7293 /*************************************************
7294  *         Interpret string as an integer        *
7295  *************************************************/
7296
7297 /* Convert a string (that has already been expanded) into an integer.
7298
7299 This function is used inside the expansion code.
7300
7301 Arguments:
7302   s       the string to be expanded
7303   isplus  TRUE if a non-negative number is expected
7304
7305 Returns:  the integer value, or
7306           -1 if string is NULL (which implies an expansion error)
7307           -2 for an integer interpretation error
7308           expand_string_message is set NULL for an OK integer
7309 */
7310
7311 static int_eximarith_t
7312 expanded_string_integer(const uschar *s, BOOL isplus)
7313 {
7314 int_eximarith_t value;
7315 uschar *msg = US"invalid integer \"%s\"";
7316 uschar *endptr;
7317
7318 /* If expansion failed, expand_string_message will be set. */
7319
7320 if (s == NULL) return -1;
7321
7322 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7323 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7324 systems, so we set it zero ourselves. */
7325
7326 errno = 0;
7327 expand_string_message = NULL;               /* Indicates no error */
7328
7329 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7330 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7331 the behaviour explicitly.  Stripping leading whitespace is a harmless
7332 noop change since strtol skips it anyway (provided that there is a number
7333 to find at all). */
7334 if (isspace(*s))
7335   {
7336   while (isspace(*s)) ++s;
7337   if (*s == '\0')
7338     {
7339       DEBUG(D_expand)
7340        debug_printf("treating blank string as number 0\n");
7341       return 0;
7342     }
7343   }
7344
7345 value = strtoll(CS s, CSS &endptr, 10);
7346
7347 if (endptr == s)
7348   {
7349   msg = US"integer expected but \"%s\" found";
7350   }
7351 else if (value < 0 && isplus)
7352   {
7353   msg = US"non-negative integer expected but \"%s\" found";
7354   }
7355 else
7356   {
7357   switch (tolower(*endptr))
7358     {
7359     default:
7360       break;
7361     case 'k':
7362       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7363       else value *= 1024;
7364       endptr++;
7365       break;
7366     case 'm':
7367       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7368       else value *= 1024*1024;
7369       endptr++;
7370       break;
7371     case 'g':
7372       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7373       else value *= 1024*1024*1024;
7374       endptr++;
7375       break;
7376     }
7377   if (errno == ERANGE)
7378     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7379   else
7380     {
7381     while (isspace(*endptr)) endptr++;
7382     if (*endptr == 0) return value;
7383     }
7384   }
7385
7386 expand_string_message = string_sprintf(CS msg, s);
7387 return -2;
7388 }
7389
7390
7391 /* These values are usually fixed boolean values, but they are permitted to be
7392 expanded strings.
7393
7394 Arguments:
7395   addr       address being routed
7396   mtype      the module type
7397   mname      the module name
7398   dbg_opt    debug selectors
7399   oname      the option name
7400   bvalue     the router's boolean value
7401   svalue     the router's string value
7402   rvalue     where to put the returned value
7403
7404 Returns:     OK     value placed in rvalue
7405              DEFER  expansion failed
7406 */
7407
7408 int
7409 exp_bool(address_item *addr,
7410   uschar *mtype, uschar *mname, unsigned dbg_opt,
7411   uschar *oname, BOOL bvalue,
7412   uschar *svalue, BOOL *rvalue)
7413 {
7414 uschar *expanded;
7415 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7416
7417 expanded = expand_string(svalue);
7418 if (expanded == NULL)
7419   {
7420   if (expand_string_forcedfail)
7421     {
7422     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7423     *rvalue = bvalue;
7424     return OK;
7425     }
7426   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7427       oname, mname, mtype, expand_string_message);
7428   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7429   return DEFER;
7430   }
7431
7432 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7433   expanded);
7434
7435 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7436   *rvalue = TRUE;
7437 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7438   *rvalue = FALSE;
7439 else
7440   {
7441   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7442     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7443   return DEFER;
7444   }
7445
7446 return OK;
7447 }
7448
7449
7450
7451
7452 /*************************************************
7453 **************************************************
7454 *             Stand-alone test program           *
7455 **************************************************
7456 *************************************************/
7457
7458 #ifdef STAND_ALONE
7459
7460
7461 BOOL
7462 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7463 {
7464 int ovector[3*(EXPAND_MAXN+1)];
7465 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7466   ovector, nelem(ovector));
7467 BOOL yield = n >= 0;
7468 if (n == 0) n = EXPAND_MAXN + 1;
7469 if (yield)
7470   {
7471   int nn;
7472   expand_nmax = (setup < 0)? 0 : setup + 1;
7473   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7474     {
7475     expand_nstring[expand_nmax] = subject + ovector[nn];
7476     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7477     }
7478   expand_nmax--;
7479   }
7480 return yield;
7481 }
7482
7483
7484 int main(int argc, uschar **argv)
7485 {
7486 int i;
7487 uschar buffer[1024];
7488
7489 debug_selector = D_v;
7490 debug_file = stderr;
7491 debug_fd = fileno(debug_file);
7492 big_buffer = malloc(big_buffer_size);
7493
7494 for (i = 1; i < argc; i++)
7495   {
7496   if (argv[i][0] == '+')
7497     {
7498     debug_trace_memory = 2;
7499     argv[i]++;
7500     }
7501   if (isdigit(argv[i][0]))
7502     debug_selector = Ustrtol(argv[i], NULL, 0);
7503   else
7504     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7505         Ustrlen(argv[i]))
7506       {
7507 #ifdef LOOKUP_LDAP
7508       eldap_default_servers = argv[i];
7509 #endif
7510 #ifdef LOOKUP_MYSQL
7511       mysql_servers = argv[i];
7512 #endif
7513 #ifdef LOOKUP_PGSQL
7514       pgsql_servers = argv[i];
7515 #endif
7516 #ifdef LOOKUP_REDIS
7517       redis_servers = argv[i];
7518 #endif
7519       }
7520 #ifdef EXIM_PERL
7521   else opt_perl_startup = argv[i];
7522 #endif
7523   }
7524
7525 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7526
7527 expand_nstring[1] = US"string 1....";
7528 expand_nlength[1] = 8;
7529 expand_nmax = 1;
7530
7531 #ifdef EXIM_PERL
7532 if (opt_perl_startup != NULL)
7533   {
7534   uschar *errstr;
7535   printf("Starting Perl interpreter\n");
7536   errstr = init_perl(opt_perl_startup);
7537   if (errstr != NULL)
7538     {
7539     printf("** error in perl_startup code: %s\n", errstr);
7540     return EXIT_FAILURE;
7541     }
7542   }
7543 #endif /* EXIM_PERL */
7544
7545 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7546   {
7547   void *reset_point = store_get(0);
7548   uschar *yield = expand_string(buffer);
7549   if (yield != NULL)
7550     {
7551     printf("%s\n", yield);
7552     store_reset(reset_point);
7553     }
7554   else
7555     {
7556     if (search_find_defer) printf("search_find deferred\n");
7557     printf("Failed: %s\n", expand_string_message);
7558     if (expand_string_forcedfail) printf("Forced failure\n");
7559     printf("\n");
7560     }
7561   }
7562
7563 search_tidyup();
7564
7565 return 0;
7566 }
7567
7568 #endif
7569
7570 /* vi: aw ai sw=2
7571 */
7572 /* End of expand.c */