b33ebb6df9558821176fc2aafeefed040942d18b
[users/heiko/exim.git] / src / src / verify.c
1 /* $Cambridge: exim/src/src/verify.c,v 1.34 2006/02/21 16:24:19 ph10 Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2006 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10 /* Functions concerned with verifying things. The original code for callout
11 caching was contributed by Kevin Fleming (but I hacked it around a bit). */
12
13
14 #include "exim.h"
15
16
17 /* Structure for caching DNSBL lookups */
18
19 typedef struct dnsbl_cache_block {
20   dns_address *rhs;
21   uschar *text;
22   int rc;
23   BOOL text_set;
24 } dnsbl_cache_block;
25
26
27 /* Anchor for DNSBL cache */
28
29 static tree_node *dnsbl_cache = NULL;
30
31
32
33 /*************************************************
34 *          Retrieve a callout cache record       *
35 *************************************************/
36
37 /* If a record exists, check whether it has expired.
38
39 Arguments:
40   dbm_file          an open hints file
41   key               the record key
42   type              "address" or "domain"
43   positive_expire   expire time for positive records
44   negative_expire   expire time for negative records
45
46 Returns:            the cache record if a non-expired one exists, else NULL
47 */
48
49 static dbdata_callout_cache *
50 get_callout_cache_record(open_db *dbm_file, uschar *key, uschar *type,
51   int positive_expire, int negative_expire)
52 {
53 BOOL negative;
54 int length, expire;
55 time_t now;
56 dbdata_callout_cache *cache_record;
57
58 cache_record = dbfn_read_with_length(dbm_file, key, &length);
59
60 if (cache_record == NULL)
61   {
62   HDEBUG(D_verify) debug_printf("callout cache: no %s record found\n", type);
63   return NULL;
64   }
65
66 /* We treat a record as "negative" if its result field is not positive, or if
67 it is a domain record and the postmaster field is negative. */
68
69 negative = cache_record->result != ccache_accept ||
70   (type[0] == 'd' && cache_record->postmaster_result == ccache_reject);
71 expire = negative? negative_expire : positive_expire;
72 now = time(NULL);
73
74 if (now - cache_record->time_stamp > expire)
75   {
76   HDEBUG(D_verify) debug_printf("callout cache: %s record expired\n", type);
77   return NULL;
78   }
79
80 /* If this is a non-reject domain record, check for the obsolete format version
81 that doesn't have the postmaster and random timestamps, by looking at the
82 length. If so, copy it to a new-style block, replicating the record's
83 timestamp. Then check the additional timestamps. (There's no point wasting
84 effort if connections are rejected.) */
85
86 if (type[0] == 'd' && cache_record->result != ccache_reject)
87   {
88   if (length == sizeof(dbdata_callout_cache_obs))
89     {
90     dbdata_callout_cache *new = store_get(sizeof(dbdata_callout_cache));
91     memcpy(new, cache_record, length);
92     new->postmaster_stamp = new->random_stamp = new->time_stamp;
93     cache_record = new;
94     }
95
96   if (now - cache_record->postmaster_stamp > expire)
97     cache_record->postmaster_result = ccache_unknown;
98
99   if (now - cache_record->random_stamp > expire)
100     cache_record->random_result = ccache_unknown;
101   }
102
103 HDEBUG(D_verify) debug_printf("callout cache: found %s record\n", type);
104 return cache_record;
105 }
106
107
108
109 /*************************************************
110 *      Do callout verification for an address    *
111 *************************************************/
112
113 /* This function is called from verify_address() when the address has routed to
114 a host list, and a callout has been requested. Callouts are expensive; that is
115 why a cache is used to improve the efficiency.
116
117 Arguments:
118   addr              the address that's been routed
119   host_list         the list of hosts to try
120   tf                the transport feedback block
121
122   ifstring          "interface" option from transport, or NULL
123   portstring        "port" option from transport, or NULL
124   protocolstring    "protocol" option from transport, or NULL
125   callout           the per-command callout timeout
126   callout_overall   the overall callout timeout (if < 0 use 4*callout)
127   callout_connect   the callout connection timeout (if < 0 use callout)
128   options           the verification options - these bits are used:
129                       vopt_is_recipient => this is a recipient address
130                       vopt_callout_no_cache => don't use callout cache
131                       vopt_callout_fullpm => if postmaster check, do full one
132                       vopt_callout_random => do the "random" thing
133                       vopt_callout_recipsender => use real sender for recipient
134                       vopt_callout_recippmaster => use postmaster for recipient
135   se_mailfrom         MAIL FROM address for sender verify; NULL => ""
136   pm_mailfrom         if non-NULL, do the postmaster check with this sender
137
138 Returns:            OK/FAIL/DEFER
139 */
140
141 static int
142 do_callout(address_item *addr, host_item *host_list, transport_feedback *tf,
143   int callout, int callout_overall, int callout_connect, int options,
144   uschar *se_mailfrom, uschar *pm_mailfrom)
145 {
146 BOOL is_recipient = (options & vopt_is_recipient) != 0;
147 BOOL callout_no_cache = (options & vopt_callout_no_cache) != 0;
148 BOOL callout_random = (options & vopt_callout_random) != 0;
149
150 int yield = OK;
151 BOOL done = FALSE;
152 uschar *address_key;
153 uschar *from_address;
154 uschar *random_local_part = NULL;
155 uschar *save_deliver_domain = deliver_domain;
156 uschar **failure_ptr = is_recipient?
157   &recipient_verify_failure : &sender_verify_failure;
158 open_db dbblock;
159 open_db *dbm_file = NULL;
160 dbdata_callout_cache new_domain_record;
161 dbdata_callout_cache_address new_address_record;
162 host_item *host;
163 time_t callout_start_time;
164
165 new_domain_record.result = ccache_unknown;
166 new_domain_record.postmaster_result = ccache_unknown;
167 new_domain_record.random_result = ccache_unknown;
168
169 memset(&new_address_record, 0, sizeof(new_address_record));
170
171 /* For a recipient callout, the key used for the address cache record must
172 include the sender address if we are using the real sender in the callout,
173 because that may influence the result of the callout. */
174
175 address_key = addr->address;
176 from_address = US"";
177
178 if (is_recipient)
179   {
180   if ((options & vopt_callout_recipsender) != 0)
181     {
182     address_key = string_sprintf("%s/<%s>", addr->address, sender_address);
183     from_address = sender_address;
184     }
185   else if ((options & vopt_callout_recippmaster) != 0)
186     {
187     address_key = string_sprintf("%s/<postmaster@%s>", addr->address,
188       qualify_domain_sender);
189     from_address = string_sprintf("postmaster@%s", qualify_domain_sender);
190     }
191   }
192
193 /* For a sender callout, we must adjust the key if the mailfrom address is not
194 empty. */
195
196 else
197   {
198   from_address = (se_mailfrom == NULL)? US"" : se_mailfrom;
199   if (from_address[0] != 0)
200     address_key = string_sprintf("%s/<%s>", addr->address, from_address);
201   }
202
203 /* Open the callout cache database, it it exists, for reading only at this
204 stage, unless caching has been disabled. */
205
206 if (callout_no_cache)
207   {
208   HDEBUG(D_verify) debug_printf("callout cache: disabled by no_cache\n");
209   }
210 else if ((dbm_file = dbfn_open(US"callout", O_RDWR, &dbblock, FALSE)) == NULL)
211   {
212   HDEBUG(D_verify) debug_printf("callout cache: not available\n");
213   }
214
215 /* If a cache database is available see if we can avoid the need to do an
216 actual callout by making use of previously-obtained data. */
217
218 if (dbm_file != NULL)
219   {
220   dbdata_callout_cache_address *cache_address_record;
221   dbdata_callout_cache *cache_record = get_callout_cache_record(dbm_file,
222     addr->domain, US"domain",
223     callout_cache_domain_positive_expire,
224     callout_cache_domain_negative_expire);
225
226   /* If an unexpired cache record was found for this domain, see if the callout
227   process can be short-circuited. */
228
229   if (cache_record != NULL)
230     {
231     /* If an early command (up to and including MAIL FROM:<>) was rejected,
232     there is no point carrying on. The callout fails. */
233
234     if (cache_record->result == ccache_reject)
235       {
236       setflag(addr, af_verify_nsfail);
237       HDEBUG(D_verify)
238         debug_printf("callout cache: domain gave initial rejection, or "
239           "does not accept HELO or MAIL FROM:<>\n");
240       setflag(addr, af_verify_nsfail);
241       addr->user_message = US"(result of an earlier callout reused).";
242       yield = FAIL;
243       *failure_ptr = US"mail";
244       goto END_CALLOUT;
245       }
246
247     /* If a previous check on a "random" local part was accepted, we assume
248     that the server does not do any checking on local parts. There is therefore
249     no point in doing the callout, because it will always be successful. If a
250     random check previously failed, arrange not to do it again, but preserve
251     the data in the new record. If a random check is required but hasn't been
252     done, skip the remaining cache processing. */
253
254     if (callout_random) switch(cache_record->random_result)
255       {
256       case ccache_accept:
257       HDEBUG(D_verify)
258         debug_printf("callout cache: domain accepts random addresses\n");
259       goto END_CALLOUT;     /* Default yield is OK */
260
261       case ccache_reject:
262       HDEBUG(D_verify)
263         debug_printf("callout cache: domain rejects random addresses\n");
264       callout_random = FALSE;
265       new_domain_record.random_result = ccache_reject;
266       new_domain_record.random_stamp = cache_record->random_stamp;
267       break;
268
269       default:
270       HDEBUG(D_verify)
271         debug_printf("callout cache: need to check random address handling "
272           "(not cached or cache expired)\n");
273       goto END_CACHE;
274       }
275
276     /* If a postmaster check is requested, but there was a previous failure,
277     there is again no point in carrying on. If a postmaster check is required,
278     but has not been done before, we are going to have to do a callout, so skip
279     remaining cache processing. */
280
281     if (pm_mailfrom != NULL)
282       {
283       if (cache_record->postmaster_result == ccache_reject)
284         {
285         setflag(addr, af_verify_pmfail);
286         HDEBUG(D_verify)
287           debug_printf("callout cache: domain does not accept "
288             "RCPT TO:<postmaster@domain>\n");
289         yield = FAIL;
290         *failure_ptr = US"postmaster";
291         setflag(addr, af_verify_pmfail);
292         addr->user_message = US"(result of earlier verification reused).";
293         goto END_CALLOUT;
294         }
295       if (cache_record->postmaster_result == ccache_unknown)
296         {
297         HDEBUG(D_verify)
298           debug_printf("callout cache: need to check RCPT "
299             "TO:<postmaster@domain> (not cached or cache expired)\n");
300         goto END_CACHE;
301         }
302
303       /* If cache says OK, set pm_mailfrom NULL to prevent a redundant
304       postmaster check if the address itself has to be checked. Also ensure
305       that the value in the cache record is preserved (with its old timestamp).
306       */
307
308       HDEBUG(D_verify) debug_printf("callout cache: domain accepts RCPT "
309         "TO:<postmaster@domain>\n");
310       pm_mailfrom = NULL;
311       new_domain_record.postmaster_result = ccache_accept;
312       new_domain_record.postmaster_stamp = cache_record->postmaster_stamp;
313       }
314     }
315
316   /* We can't give a result based on information about the domain. See if there
317   is an unexpired cache record for this specific address (combined with the
318   sender address if we are doing a recipient callout with a non-empty sender).
319   */
320
321   cache_address_record = (dbdata_callout_cache_address *)
322     get_callout_cache_record(dbm_file,
323       address_key, US"address",
324       callout_cache_positive_expire,
325       callout_cache_negative_expire);
326
327   if (cache_address_record != NULL)
328     {
329     if (cache_address_record->result == ccache_accept)
330       {
331       HDEBUG(D_verify)
332         debug_printf("callout cache: address record is positive\n");
333       }
334     else
335       {
336       HDEBUG(D_verify)
337         debug_printf("callout cache: address record is negative\n");
338       addr->user_message = US"Previous (cached) callout verification failure";
339       *failure_ptr = US"recipient";
340       yield = FAIL;
341       }
342     goto END_CALLOUT;
343     }
344
345   /* Close the cache database while we actually do the callout for real. */
346
347   END_CACHE:
348   dbfn_close(dbm_file);
349   dbm_file = NULL;
350   }
351
352 /* The information wasn't available in the cache, so we have to do a real
353 callout and save the result in the cache for next time, unless no_cache is set,
354 or unless we have a previously cached negative random result. If we are to test
355 with a random local part, ensure that such a local part is available. If not,
356 log the fact, but carry on without randomming. */
357
358 if (callout_random && callout_random_local_part != NULL)
359   {
360   random_local_part = expand_string(callout_random_local_part);
361   if (random_local_part == NULL)
362     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand "
363       "callout_random_local_part: %s", expand_string_message);
364   }
365
366 /* Default the connect and overall callout timeouts if not set, and record the
367 time we are starting so that we can enforce it. */
368
369 if (callout_overall < 0) callout_overall = 4 * callout;
370 if (callout_connect < 0) callout_connect = callout;
371 callout_start_time = time(NULL);
372
373 /* Now make connections to the hosts and do real callouts. The list of hosts
374 is passed in as an argument. */
375
376 for (host = host_list; host != NULL && !done; host = host->next)
377   {
378   smtp_inblock inblock;
379   smtp_outblock outblock;
380   int host_af;
381   int port = 25;
382   BOOL send_quit = TRUE;
383   uschar *helo = US"HELO";
384   uschar *interface = NULL;  /* Outgoing interface to use; NULL => any */
385   uschar inbuffer[4096];
386   uschar outbuffer[1024];
387   uschar responsebuffer[4096];
388
389   clearflag(addr, af_verify_pmfail);  /* postmaster callout flag */
390   clearflag(addr, af_verify_nsfail);  /* null sender callout flag */
391
392   /* Skip this host if we don't have an IP address for it. */
393
394   if (host->address == NULL)
395     {
396     DEBUG(D_verify) debug_printf("no IP address for host name %s: skipping\n",
397       host->name);
398     continue;
399     }
400
401   /* Check the overall callout timeout */
402
403   if (time(NULL) - callout_start_time >= callout_overall)
404     {
405     HDEBUG(D_verify) debug_printf("overall timeout for callout exceeded\n");
406     break;
407     }
408
409   /* Set IPv4 or IPv6 */
410
411   host_af = (Ustrchr(host->address, ':') == NULL)? AF_INET:AF_INET6;
412
413   /* Expand and interpret the interface and port strings. The latter will not
414   be used if there is a host-specific port (e.g. from a manualroute router).
415   This has to be delayed till now, because they may expand differently for
416   different hosts. If there's a failure, log it, but carry on with the
417   defaults. */
418
419   deliver_host = host->name;
420   deliver_host_address = host->address;
421   deliver_domain = addr->domain;
422
423   if (!smtp_get_interface(tf->interface, host_af, addr, NULL, &interface,
424           US"callout") ||
425       !smtp_get_port(tf->port, addr, &port, US"callout"))
426     log_write(0, LOG_MAIN|LOG_PANIC, "<%s>: %s", addr->address,
427       addr->message);
428
429   deliver_host = deliver_host_address = NULL;
430   deliver_domain = save_deliver_domain;
431
432   /* Set HELO string according to the protocol */
433
434   if (Ustrcmp(tf->protocol, "lmtp") == 0) helo = US"LHLO";
435
436   HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", interface, port);
437
438   /* Set up the buffer for reading SMTP response packets. */
439
440   inblock.buffer = inbuffer;
441   inblock.buffersize = sizeof(inbuffer);
442   inblock.ptr = inbuffer;
443   inblock.ptrend = inbuffer;
444
445   /* Set up the buffer for holding SMTP commands while pipelining */
446
447   outblock.buffer = outbuffer;
448   outblock.buffersize = sizeof(outbuffer);
449   outblock.ptr = outbuffer;
450   outblock.cmd_count = 0;
451   outblock.authenticating = FALSE;
452
453   /* Connect to the host; on failure, just loop for the next one, but we
454   set the error for the last one. Use the callout_connect timeout. */
455
456   inblock.sock = outblock.sock =
457     smtp_connect(host, host_af, port, interface, callout_connect, TRUE);
458   if (inblock.sock < 0)
459     {
460     addr->message = string_sprintf("could not connect to %s [%s]: %s",
461         host->name, host->address, strerror(errno));
462     continue;
463     }
464
465   /* Wait for initial response, and then run the initial SMTP commands. The
466   smtp_write_command() function leaves its command in big_buffer. This is
467   used in error responses. Initialize it in case the connection is
468   rejected. */
469
470   Ustrcpy(big_buffer, "initial connection");
471
472   done =
473     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
474       '2', callout) &&
475
476     smtp_write_command(&outblock, FALSE, "%s %s\r\n", helo,
477       smtp_active_hostname) >= 0 &&
478     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
479       '2', callout) &&
480
481     smtp_write_command(&outblock, FALSE, "MAIL FROM:<%s>\r\n",
482       from_address) >= 0 &&
483     smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
484       '2', callout);
485
486   /* If the host gave an initial error, or does not accept HELO or MAIL
487   FROM:<>, arrange to cache this information, but don't record anything for an
488   I/O error or a defer. Do not cache rejections when a non-empty sender has
489   been used, because that blocks the whole domain for all senders. */
490
491   if (!done)
492     {
493     *failure_ptr = US"mail";
494     if (errno == 0 && responsebuffer[0] == '5')
495       {
496       setflag(addr, af_verify_nsfail);
497       if (from_address[0] == 0) new_domain_record.result = ccache_reject;
498       }
499     }
500
501   /* Otherwise, proceed to check a "random" address (if required), then the
502   given address, and the postmaster address (if required). Between each check,
503   issue RSET, because some servers accept only one recipient after MAIL
504   FROM:<>. */
505
506   else
507     {
508     new_domain_record.result = ccache_accept;
509
510     /* Do the random local part check first */
511
512     if (random_local_part != NULL)
513       {
514       uschar randombuffer[1024];
515       BOOL random_ok =
516         smtp_write_command(&outblock, FALSE,
517           "RCPT TO:<%.1000s@%.1000s>\r\n", random_local_part,
518           addr->domain) >= 0 &&
519         smtp_read_response(&inblock, randombuffer,
520           sizeof(randombuffer), '2', callout);
521
522       /* Remember when we last did a random test */
523
524       new_domain_record.random_stamp = time(NULL);
525
526       /* If accepted, we aren't going to do any further tests below. */
527
528       if (random_ok)
529         {
530         new_domain_record.random_result = ccache_accept;
531         }
532
533       /* Otherwise, cache a real negative response, and get back to the right
534       state to send RCPT. Unless there's some problem such as a dropped
535       connection, we expect to succeed, because the commands succeeded above. */
536
537       else if (errno == 0)
538         {
539         if (randombuffer[0] == '5')
540           new_domain_record.random_result = ccache_reject;
541
542         done =
543           smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
544           smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
545             '2', callout) &&
546
547           smtp_write_command(&outblock, FALSE, "MAIL FROM:<%s>\r\n",
548             from_address) >= 0 &&
549           smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
550             '2', callout);
551         }
552       else done = FALSE;    /* Some timeout/connection problem */
553       }                     /* Random check */
554
555     /* If the host is accepting all local parts, as determined by the "random"
556     check, we don't need to waste time doing any further checking. */
557
558     if (new_domain_record.random_result != ccache_accept && done)
559       {
560       /* Get the rcpt_include_affixes flag from the transport if there is one,
561       but assume FALSE if there is not. */
562
563       done =
564         smtp_write_command(&outblock, FALSE, "RCPT TO:<%.1000s>\r\n",
565           transport_rcpt_address(addr,
566             (addr->transport == NULL)? FALSE :
567              addr->transport->rcpt_include_affixes)) >= 0 &&
568         smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
569           '2', callout);
570
571       if (done)
572         new_address_record.result = ccache_accept;
573       else if (errno == 0 && responsebuffer[0] == '5')
574         {
575         *failure_ptr = US"recipient";
576         new_address_record.result = ccache_reject;
577         }
578
579       /* Do postmaster check if requested; if a full check is required, we
580       check for RCPT TO:<postmaster> (no domain) in accordance with RFC 821. */
581
582       if (done && pm_mailfrom != NULL)
583         {
584         done =
585           smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
586           smtp_read_response(&inblock, responsebuffer,
587             sizeof(responsebuffer), '2', callout) &&
588
589           smtp_write_command(&outblock, FALSE,
590             "MAIL FROM:<%s>\r\n", pm_mailfrom) >= 0 &&
591           smtp_read_response(&inblock, responsebuffer,
592             sizeof(responsebuffer), '2', callout) &&
593
594           /* First try using the current domain */
595
596           ((
597           smtp_write_command(&outblock, FALSE,
598             "RCPT TO:<postmaster@%.1000s>\r\n", addr->domain) >= 0 &&
599           smtp_read_response(&inblock, responsebuffer,
600             sizeof(responsebuffer), '2', callout)
601           )
602
603           ||
604
605           /* If that doesn't work, and a full check is requested,
606           try without the domain. */
607
608           (
609           (options & vopt_callout_fullpm) != 0 &&
610           smtp_write_command(&outblock, FALSE,
611             "RCPT TO:<postmaster>\r\n") >= 0 &&
612           smtp_read_response(&inblock, responsebuffer,
613             sizeof(responsebuffer), '2', callout)
614           ));
615
616         /* Sort out the cache record */
617
618         new_domain_record.postmaster_stamp = time(NULL);
619
620         if (done)
621           new_domain_record.postmaster_result = ccache_accept;
622         else if (errno == 0 && responsebuffer[0] == '5')
623           {
624           *failure_ptr = US"postmaster";
625           setflag(addr, af_verify_pmfail);
626           new_domain_record.postmaster_result = ccache_reject;
627           }
628         }
629       }           /* Random not accepted */
630     }             /* MAIL FROM: accepted */
631
632   /* For any failure of the main check, other than a negative response, we just
633   close the connection and carry on. We can identify a negative response by the
634   fact that errno is zero. For I/O errors it will be non-zero
635
636   Set up different error texts for logging and for sending back to the caller
637   as an SMTP response. Log in all cases, using a one-line format. For sender
638   callouts, give a full response to the caller, but for recipient callouts,
639   don't give the IP address because this may be an internal host whose identity
640   is not to be widely broadcast. */
641
642   if (!done)
643     {
644     if (errno == ETIMEDOUT)
645       {
646       HDEBUG(D_verify) debug_printf("SMTP timeout\n");
647       send_quit = FALSE;
648       }
649     else if (errno == 0)
650       {
651       if (*responsebuffer == 0) Ustrcpy(responsebuffer, US"connection dropped");
652
653       addr->message =
654         string_sprintf("response to \"%s\" from %s [%s] was: %s",
655           big_buffer, host->name, host->address,
656           string_printing(responsebuffer));
657
658       addr->user_message = is_recipient?
659         string_sprintf("Callout verification failed:\n%s", responsebuffer)
660         :
661         string_sprintf("Called:   %s\nSent:     %s\nResponse: %s",
662           host->address, big_buffer, responsebuffer);
663
664       /* Hard rejection ends the process */
665
666       if (responsebuffer[0] == '5')   /* Address rejected */
667         {
668         yield = FAIL;
669         done = TRUE;
670         }
671       }
672     }
673
674   /* End the SMTP conversation and close the connection. */
675
676   if (send_quit) (void)smtp_write_command(&outblock, FALSE, "QUIT\r\n");
677   (void)close(inblock.sock);
678   }    /* Loop through all hosts, while !done */
679
680 /* If we get here with done == TRUE, a successful callout happened, and yield
681 will be set OK or FAIL according to the response to the RCPT command.
682 Otherwise, we looped through the hosts but couldn't complete the business.
683 However, there may be domain-specific information to cache in both cases.
684
685 The value of the result field in the new_domain record is ccache_unknown if
686 there was an error before or with MAIL FROM:, and errno was not zero,
687 implying some kind of I/O error. We don't want to write the cache in that case.
688 Otherwise the value is ccache_accept or ccache_reject. */
689
690 if (!callout_no_cache && new_domain_record.result != ccache_unknown)
691   {
692   if ((dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE))
693        == NULL)
694     {
695     HDEBUG(D_verify) debug_printf("callout cache: not available\n");
696     }
697   else
698     {
699     (void)dbfn_write(dbm_file, addr->domain, &new_domain_record,
700       (int)sizeof(dbdata_callout_cache));
701     HDEBUG(D_verify) debug_printf("wrote callout cache domain record:\n"
702       "  result=%d postmaster=%d random=%d\n",
703       new_domain_record.result,
704       new_domain_record.postmaster_result,
705       new_domain_record.random_result);
706     }
707   }
708
709 /* If a definite result was obtained for the callout, cache it unless caching
710 is disabled. */
711
712 if (done)
713   {
714   if (!callout_no_cache && new_address_record.result != ccache_unknown)
715     {
716     if (dbm_file == NULL)
717       dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE);
718     if (dbm_file == NULL)
719       {
720       HDEBUG(D_verify) debug_printf("no callout cache available\n");
721       }
722     else
723       {
724       (void)dbfn_write(dbm_file, address_key, &new_address_record,
725         (int)sizeof(dbdata_callout_cache_address));
726       HDEBUG(D_verify) debug_printf("wrote %s callout cache address record\n",
727         (new_address_record.result == ccache_accept)? "positive" : "negative");
728       }
729     }
730   }    /* done */
731
732 /* Failure to connect to any host, or any response other than 2xx or 5xx is a
733 temporary error. If there was only one host, and a response was received, leave
734 it alone if supplying details. Otherwise, give a generic response. */
735
736 else   /* !done */
737   {
738   uschar *dullmsg = string_sprintf("Could not complete %s verify callout",
739     is_recipient? "recipient" : "sender");
740   yield = DEFER;
741
742   if (host_list->next != NULL || addr->message == NULL) addr->message = dullmsg;
743
744   addr->user_message = (!smtp_return_error_details)? dullmsg :
745     string_sprintf("%s for <%s>.\n"
746       "The mail server(s) for the domain may be temporarily unreachable, or\n"
747       "they may be permanently unreachable from this server. In the latter case,\n%s",
748       dullmsg, addr->address,
749       is_recipient?
750         "the address will never be accepted."
751         :
752         "you need to change the address or create an MX record for its domain\n"
753         "if it is supposed to be generally accessible from the Internet.\n"
754         "Talk to your mail administrator for details.");
755
756   /* Force a specific error code */
757
758   addr->basic_errno = ERRNO_CALLOUTDEFER;
759   }
760
761 /* Come here from within the cache-reading code on fast-track exit. */
762
763 END_CALLOUT:
764 if (dbm_file != NULL) dbfn_close(dbm_file);
765 return yield;
766 }
767
768
769
770 /*************************************************
771 *           Copy error to toplevel address       *
772 *************************************************/
773
774 /* This function is used when a verify fails or defers, to ensure that the
775 failure or defer information is in the original toplevel address. This applies
776 when an address is redirected to a single new address, and the failure or
777 deferral happens to the child address.
778
779 Arguments:
780   vaddr       the verify address item
781   addr        the final address item
782   yield       FAIL or DEFER
783
784 Returns:      the value of YIELD
785 */
786
787 static int
788 copy_error(address_item *vaddr, address_item *addr, int yield)
789 {
790 if (addr != vaddr)
791   {
792   vaddr->message = addr->message;
793   vaddr->user_message = addr->user_message;
794   vaddr->basic_errno = addr->basic_errno;
795   vaddr->more_errno = addr->more_errno;
796   }
797 return yield;
798 }
799
800
801
802
803 /*************************************************
804 *            Verify an email address             *
805 *************************************************/
806
807 /* This function is used both for verification (-bv and at other times) and
808 address testing (-bt), which is indicated by address_test_mode being set.
809
810 Arguments:
811   vaddr            contains the address to verify; the next field in this block
812                      must be NULL
813   f                if not NULL, write the result to this file
814   options          various option bits:
815                      vopt_fake_sender => this sender verify is not for the real
816                        sender (it was verify=sender=xxxx or an address from a
817                        header line) - rewriting must not change sender_address
818                      vopt_is_recipient => this is a recipient address, otherwise
819                        it's a sender address - this affects qualification and
820                        rewriting and messages from callouts
821                      vopt_qualify => qualify an unqualified address; else error
822                      vopt_expn => called from SMTP EXPN command
823                      vopt_success_on_redirect => when a new address is generated
824                        the verification instantly succeeds
825
826                      These ones are used by do_callout() -- the options variable
827                        is passed to it.
828
829                      vopt_callout_fullpm => if postmaster check, do full one
830                      vopt_callout_no_cache => don't use callout cache
831                      vopt_callout_random => do the "random" thing
832                      vopt_callout_recipsender => use real sender for recipient
833                      vopt_callout_recippmaster => use postmaster for recipient
834
835   callout          if > 0, specifies that callout is required, and gives timeout
836                      for individual commands
837   callout_overall  if > 0, gives overall timeout for the callout function;
838                    if < 0, a default is used (see do_callout())
839   callout_connect  the connection timeout for callouts
840   se_mailfrom      when callout is requested to verify a sender, use this
841                      in MAIL FROM; NULL => ""
842   pm_mailfrom      when callout is requested, if non-NULL, do the postmaster
843                      thing and use this as the sender address (may be "")
844
845   routed           if not NULL, set TRUE if routing succeeded, so we can
846                      distinguish between routing failed and callout failed
847
848 Returns:           OK      address verified
849                    FAIL    address failed to verify
850                    DEFER   can't tell at present
851 */
852
853 int
854 verify_address(address_item *vaddr, FILE *f, int options, int callout,
855   int callout_overall, int callout_connect, uschar *se_mailfrom,
856   uschar *pm_mailfrom, BOOL *routed)
857 {
858 BOOL allok = TRUE;
859 BOOL full_info = (f == NULL)? FALSE : (debug_selector != 0);
860 BOOL is_recipient = (options & vopt_is_recipient) != 0;
861 BOOL expn         = (options & vopt_expn) != 0;
862 BOOL success_on_redirect = (options & vopt_success_on_redirect) != 0;
863 int i;
864 int yield = OK;
865 int verify_type = expn? v_expn :
866      address_test_mode? v_none :
867           is_recipient? v_recipient : v_sender;
868 address_item *addr_list;
869 address_item *addr_new = NULL;
870 address_item *addr_remote = NULL;
871 address_item *addr_local = NULL;
872 address_item *addr_succeed = NULL;
873 uschar **failure_ptr = is_recipient?
874   &recipient_verify_failure : &sender_verify_failure;
875 uschar *ko_prefix, *cr;
876 uschar *address = vaddr->address;
877 uschar *save_sender;
878 uschar null_sender[] = { 0 };             /* Ensure writeable memory */
879
880 /* Clear, just in case */
881
882 *failure_ptr = NULL;
883
884 /* Set up a prefix and suffix for error message which allow us to use the same
885 output statements both in EXPN mode (where an SMTP response is needed) and when
886 debugging with an output file. */
887
888 if (expn)
889   {
890   ko_prefix = US"553 ";
891   cr = US"\r";
892   }
893 else ko_prefix = cr = US"";
894
895 /* Add qualify domain if permitted; otherwise an unqualified address fails. */
896
897 if (parse_find_at(address) == NULL)
898   {
899   if ((options & vopt_qualify) == 0)
900     {
901     if (f != NULL)
902       fprintf(f, "%sA domain is required for \"%s\"%s\n", ko_prefix, address,
903         cr);
904     *failure_ptr = US"qualify";
905     return FAIL;
906     }
907   address = rewrite_address_qualify(address, is_recipient);
908   }
909
910 DEBUG(D_verify)
911   {
912   debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
913   debug_printf("%s %s\n", address_test_mode? "Testing" : "Verifying", address);
914   }
915
916 /* Rewrite and report on it. Clear the domain and local part caches - these
917 may have been set by domains and local part tests during an ACL. */
918
919 if (global_rewrite_rules != NULL)
920   {
921   uschar *old = address;
922   address = rewrite_address(address, is_recipient, FALSE,
923     global_rewrite_rules, rewrite_existflags);
924   if (address != old)
925     {
926     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->localpart_cache[i] = 0;
927     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->domain_cache[i] = 0;
928     if (f != NULL && !expn) fprintf(f, "Address rewritten as: %s\n", address);
929     }
930   }
931
932 /* If this is the real sender address, we must update sender_address at
933 this point, because it may be referred to in the routers. */
934
935 if ((options & (vopt_fake_sender|vopt_is_recipient)) == 0)
936   sender_address = address;
937
938 /* If the address was rewritten to <> no verification can be done, and we have
939 to return OK. This rewriting is permitted only for sender addresses; for other
940 addresses, such rewriting fails. */
941
942 if (address[0] == 0) return OK;
943
944 /* Save a copy of the sender address for re-instating if we change it to <>
945 while verifying a sender address (a nice bit of self-reference there). */
946
947 save_sender = sender_address;
948
949 /* Update the address structure with the possibly qualified and rewritten
950 address. Set it up as the starting address on the chain of new addresses. */
951
952 vaddr->address = address;
953 addr_new = vaddr;
954
955 /* We need a loop, because an address can generate new addresses. We must also
956 cope with generated pipes and files at the top level. (See also the code and
957 comment in deliver.c.) However, it is usually the case that the router for
958 user's .forward files has its verify flag turned off.
959
960 If an address generates more than one child, the loop is used only when
961 full_info is set, and this can only be set locally. Remote enquiries just get
962 information about the top level address, not anything that it generated. */
963
964 while (addr_new != NULL)
965   {
966   int rc;
967   address_item *addr = addr_new;
968
969   addr_new = addr->next;
970   addr->next = NULL;
971
972   DEBUG(D_verify)
973     {
974     debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
975     debug_printf("Considering %s\n", addr->address);
976     }
977
978   /* Handle generated pipe, file or reply addresses. We don't get these
979   when handling EXPN, as it does only one level of expansion. */
980
981   if (testflag(addr, af_pfr))
982     {
983     allok = FALSE;
984     if (f != NULL)
985       {
986       BOOL allow;
987
988       if (addr->address[0] == '>')
989         {
990         allow = testflag(addr, af_allow_reply);
991         fprintf(f, "%s -> mail %s", addr->parent->address, addr->address + 1);
992         }
993       else
994         {
995         allow = (addr->address[0] == '|')?
996           testflag(addr, af_allow_pipe) : testflag(addr, af_allow_file);
997         fprintf(f, "%s -> %s", addr->parent->address, addr->address);
998         }
999
1000       if (addr->basic_errno == ERRNO_BADTRANSPORT)
1001         fprintf(f, "\n*** Error in setting up pipe, file, or autoreply:\n"
1002           "%s\n", addr->message);
1003       else if (allow)
1004         fprintf(f, "\n  transport = %s\n", addr->transport->name);
1005       else
1006         fprintf(f, " *** forbidden ***\n");
1007       }
1008     continue;
1009     }
1010
1011   /* Just in case some router parameter refers to it. */
1012
1013   return_path = (addr->p.errors_address != NULL)?
1014     addr->p.errors_address : sender_address;
1015
1016   /* Split the address into domain and local part, handling the %-hack if
1017   necessary, and then route it. While routing a sender address, set
1018   $sender_address to <> because that is what it will be if we were trying to
1019   send a bounce to the sender. */
1020
1021   if (routed != NULL) *routed = FALSE;
1022   if ((rc = deliver_split_address(addr)) == OK)
1023     {
1024     if (!is_recipient) sender_address = null_sender;
1025     rc = route_address(addr, &addr_local, &addr_remote, &addr_new,
1026       &addr_succeed, verify_type);
1027     sender_address = save_sender;     /* Put back the real sender */
1028     }
1029
1030   /* If routing an address succeeded, set the flag that remembers, for use when
1031   an ACL cached a sender verify (in case a callout fails). Then if routing set
1032   up a list of hosts or the transport has a host list, and the callout option
1033   is set, and we aren't in a host checking run, do the callout verification,
1034   and set another flag that notes that a callout happened. */
1035
1036   if (rc == OK)
1037     {
1038     if (routed != NULL) *routed = TRUE;
1039     if (callout > 0)
1040       {
1041       host_item *host_list = addr->host_list;
1042
1043       /* Default, if no remote transport, to NULL for the interface (=> any),
1044       "smtp" for the port, and "smtp" for the protocol. */
1045
1046       transport_feedback tf = { NULL, US"smtp", US"smtp", NULL, FALSE, FALSE };
1047
1048       /* If verification yielded a remote transport, we want to use that
1049       transport's options, so as to mimic what would happen if we were really
1050       sending a message to this address. */
1051
1052       if (addr->transport != NULL && !addr->transport->info->local)
1053         {
1054         (void)(addr->transport->setup)(addr->transport, addr, &tf, 0, 0, NULL);
1055
1056         /* If the transport has hosts and the router does not, or if the
1057         transport is configured to override the router's hosts, we must build a
1058         host list of the transport's hosts, and find the IP addresses */
1059
1060         if (tf.hosts != NULL && (host_list == NULL || tf.hosts_override))
1061           {
1062           uschar *s;
1063           uschar *save_deliver_domain = deliver_domain;
1064           uschar *save_deliver_localpart = deliver_localpart;
1065
1066           host_list = NULL;    /* Ignore the router's hosts */
1067
1068           deliver_domain = addr->domain;
1069           deliver_localpart = addr->local_part;
1070           s = expand_string(tf.hosts);
1071           deliver_domain = save_deliver_domain;
1072           deliver_localpart = save_deliver_localpart;
1073
1074           if (s == NULL)
1075             {
1076             log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand list of hosts "
1077               "\"%s\" in %s transport for callout: %s", tf.hosts,
1078               addr->transport->name, expand_string_message);
1079             }
1080           else
1081             {
1082             uschar *canonical_name;
1083             host_item *host, *nexthost;
1084             host_build_hostlist(&host_list, s, tf.hosts_randomize);
1085
1086             /* Just ignore failures to find a host address. If we don't manage
1087             to find any addresses, the callout will defer. Note that more than
1088             one address may be found for a single host, which will result in
1089             additional host items being inserted into the chain. Hence we must
1090             save the next host first. */
1091
1092             for (host = host_list; host != NULL; host = nexthost)
1093               {
1094               nexthost = host->next;
1095               if (tf.gethostbyname ||
1096                   string_is_ip_address(host->name, NULL) != 0)
1097                 (void)host_find_byname(host, NULL, &canonical_name, TRUE);
1098               else
1099                 {
1100                 int flags = HOST_FIND_BY_A;
1101                 if (tf.qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
1102                 if (tf.search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
1103                 (void)host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
1104                   &canonical_name, NULL);
1105                 }
1106               }
1107             }
1108           }
1109         }
1110
1111       /* Can only do a callout if we have at least one host! If the callout
1112       fails, it will have set ${sender,recipient}_verify_failure. */
1113
1114       if (host_list != NULL)
1115         {
1116         HDEBUG(D_verify) debug_printf("Attempting full verification using callout\n");
1117         if (host_checking && !host_checking_callout)
1118           {
1119           HDEBUG(D_verify)
1120             debug_printf("... callout omitted by default when host testing\n"
1121               "(Use -bhc if you want the callouts to happen.)\n");
1122           }
1123         else
1124           {
1125           rc = do_callout(addr, host_list, &tf, callout, callout_overall,
1126             callout_connect, options, se_mailfrom, pm_mailfrom);
1127           }
1128         }
1129       else
1130         {
1131         HDEBUG(D_verify) debug_printf("Cannot do callout: neither router nor "
1132           "transport provided a host list\n");
1133         }
1134       }
1135     }
1136
1137   /* Otherwise, any failure is a routing failure */
1138
1139   else *failure_ptr = US"route";
1140
1141   /* A router may return REROUTED if it has set up a child address as a result
1142   of a change of domain name (typically from widening). In this case we always
1143   want to continue to verify the new child. */
1144
1145   if (rc == REROUTED) continue;
1146
1147   /* Handle hard failures */
1148
1149   if (rc == FAIL)
1150     {
1151     allok = FALSE;
1152     if (f != NULL)
1153       {
1154       fprintf(f, "%s%s %s", ko_prefix, address,
1155         address_test_mode? "is undeliverable" : "failed to verify");
1156       if (!expn && admin_user)
1157         {
1158         if (addr->basic_errno > 0)
1159           fprintf(f, ": %s", strerror(addr->basic_errno));
1160         if (addr->message != NULL)
1161           fprintf(f, ":\n  %s", addr->message);
1162         }
1163       fprintf(f, "%s\n", cr);
1164       }
1165
1166     if (!full_info) return copy_error(vaddr, addr, FAIL);
1167       else yield = FAIL;
1168     }
1169
1170   /* Soft failure */
1171
1172   else if (rc == DEFER)
1173     {
1174     allok = FALSE;
1175     if (f != NULL)
1176       {
1177       fprintf(f, "%s%s cannot be resolved at this time", ko_prefix, address);
1178       if (!expn && admin_user)
1179         {
1180         if (addr->basic_errno > 0)
1181           fprintf(f, ":\n  %s", strerror(addr->basic_errno));
1182         if (addr->message != NULL)
1183           fprintf(f, ":\n  %s", addr->message);
1184         else if (addr->basic_errno <= 0)
1185           fprintf(f, ":\n  unknown error");
1186         }
1187
1188       fprintf(f, "%s\n", cr);
1189       }
1190     if (!full_info) return copy_error(vaddr, addr, DEFER);
1191       else if (yield == OK) yield = DEFER;
1192     }
1193
1194   /* If we are handling EXPN, we do not want to continue to route beyond
1195   the top level. */
1196
1197   else if (expn)
1198     {
1199     uschar *ok_prefix = US"250-";
1200     if (addr_new == NULL)
1201       {
1202       if (addr_local == NULL && addr_remote == NULL)
1203         fprintf(f, "250 mail to <%s> is discarded\r\n", address);
1204       else
1205         fprintf(f, "250 <%s>\r\n", address);
1206       }
1207     else while (addr_new != NULL)
1208       {
1209       address_item *addr2 = addr_new;
1210       addr_new = addr2->next;
1211       if (addr_new == NULL) ok_prefix = US"250 ";
1212       fprintf(f, "%s<%s>\r\n", ok_prefix, addr2->address);
1213       }
1214     return OK;
1215     }
1216
1217   /* Successful routing other than EXPN. */
1218
1219   else
1220     {
1221     /* Handle successful routing when short info wanted. Otherwise continue for
1222     other (generated) addresses. Short info is the operational case. Full info
1223     can be requested only when debug_selector != 0 and a file is supplied.
1224
1225     There is a conflict between the use of aliasing as an alternate email
1226     address, and as a sort of mailing list. If an alias turns the incoming
1227     address into just one address (e.g. J.Caesar->jc44) you may well want to
1228     carry on verifying the generated address to ensure it is valid when
1229     checking incoming mail. If aliasing generates multiple addresses, you
1230     probably don't want to do this. Exim therefore treats the generation of
1231     just a single new address as a special case, and continues on to verify the
1232     generated address. */
1233
1234     if (!full_info &&                    /* Stop if short info wanted AND */
1235          (((addr_new == NULL ||          /* No new address OR */
1236            addr_new->next != NULL ||     /* More than one new address OR */
1237            testflag(addr_new, af_pfr)))  /* New address is pfr */
1238          ||                              /* OR */
1239          (addr_new != NULL &&            /* At least one new address AND */
1240           success_on_redirect)))         /* success_on_redirect is set */
1241       {
1242       if (f != NULL) fprintf(f, "%s %s\n", address,
1243         address_test_mode? "is deliverable" : "verified");
1244
1245       /* If we have carried on to verify a child address, we want the value
1246       of $address_data to be that of the child */
1247
1248       vaddr->p.address_data = addr->p.address_data;
1249       return OK;
1250       }
1251     }
1252   }     /* Loop for generated addresses */
1253
1254 /* Display the full results of the successful routing, including any generated
1255 addresses. Control gets here only when full_info is set, which requires f not
1256 to be NULL, and this occurs only when a top-level verify is called with the
1257 debugging switch on.
1258
1259 If there are no local and no remote addresses, and there were no pipes, files,
1260 or autoreplies, and there were no errors or deferments, the message is to be
1261 discarded, usually because of the use of :blackhole: in an alias file. */
1262
1263 if (allok && addr_local == NULL && addr_remote == NULL)
1264   fprintf(f, "mail to %s is discarded\n", address);
1265
1266 else for (addr_list = addr_local, i = 0; i < 2; addr_list = addr_remote, i++)
1267   {
1268   while (addr_list != NULL)
1269     {
1270     address_item *addr = addr_list;
1271     address_item *p = addr->parent;
1272     addr_list = addr->next;
1273
1274     fprintf(f, "%s", CS addr->address);
1275 #ifdef EXPERIMENTAL_SRS
1276     if(addr->p.srs_sender)
1277       fprintf(f, "    [srs = %s]", addr->p.srs_sender);
1278 #endif
1279     while (p != NULL)
1280       {
1281       fprintf(f, "\n    <-- %s", p->address);
1282       p = p->parent;
1283       }
1284     fprintf(f, "\n  ");
1285
1286     /* Show router, and transport */
1287
1288     fprintf(f, "router = %s, ", addr->router->name);
1289     fprintf(f, "transport = %s\n", (addr->transport == NULL)? US"unset" :
1290       addr->transport->name);
1291
1292     /* Show any hosts that are set up by a router unless the transport
1293     is going to override them; fiddle a bit to get a nice format. */
1294
1295     if (addr->host_list != NULL && addr->transport != NULL &&
1296         !addr->transport->overrides_hosts)
1297       {
1298       host_item *h;
1299       int maxlen = 0;
1300       int maxaddlen = 0;
1301       for (h = addr->host_list; h != NULL; h = h->next)
1302         {
1303         int len = Ustrlen(h->name);
1304         if (len > maxlen) maxlen = len;
1305         len = (h->address != NULL)? Ustrlen(h->address) : 7;
1306         if (len > maxaddlen) maxaddlen = len;
1307         }
1308       for (h = addr->host_list; h != NULL; h = h->next)
1309         {
1310         int len = Ustrlen(h->name);
1311         fprintf(f, "  host %s ", h->name);
1312         while (len++ < maxlen) fprintf(f, " ");
1313         if (h->address != NULL)
1314           {
1315           fprintf(f, "[%s] ", h->address);
1316           len = Ustrlen(h->address);
1317           }
1318         else if (!addr->transport->info->local)  /* Omit [unknown] for local */
1319           {
1320           fprintf(f, "[unknown] ");
1321           len = 7;
1322           }
1323         else len = -3;
1324         while (len++ < maxaddlen) fprintf(f," ");
1325         if (h->mx >= 0) fprintf(f, "MX=%d", h->mx);
1326         if (h->port != PORT_NONE) fprintf(f, " port=%d", h->port);
1327         if (h->status == hstatus_unusable) fprintf(f, " ** unusable **");
1328         fprintf(f, "\n");
1329         }
1330       }
1331     }
1332   }
1333
1334 /* Will be DEFER or FAIL if any one address has, only for full_info (which is
1335 the -bv or -bt case). */
1336
1337 return yield;
1338 }
1339
1340
1341
1342
1343 /*************************************************
1344 *      Check headers for syntax errors           *
1345 *************************************************/
1346
1347 /* This function checks those header lines that contain addresses, and verifies
1348 that all the addresses therein are syntactially correct.
1349
1350 Arguments:
1351   msgptr     where to put an error message
1352
1353 Returns:     OK
1354              FAIL
1355 */
1356
1357 int
1358 verify_check_headers(uschar **msgptr)
1359 {
1360 header_line *h;
1361 uschar *colon, *s;
1362
1363 for (h = header_list; h != NULL; h = h->next)
1364   {
1365   if (h->type != htype_from &&
1366       h->type != htype_reply_to &&
1367       h->type != htype_sender &&
1368       h->type != htype_to &&
1369       h->type != htype_cc &&
1370       h->type != htype_bcc)
1371     continue;
1372
1373   colon = Ustrchr(h->text, ':');
1374   s = colon + 1;
1375   while (isspace(*s)) s++;
1376
1377   parse_allow_group = TRUE;     /* Allow group syntax */
1378
1379   /* Loop for multiple addresses in the header */
1380
1381   while (*s != 0)
1382     {
1383     uschar *ss = parse_find_address_end(s, FALSE);
1384     uschar *recipient, *errmess;
1385     int terminator = *ss;
1386     int start, end, domain;
1387
1388     /* Temporarily terminate the string at this point, and extract the
1389     operative address within. */
1390
1391     *ss = 0;
1392     recipient = parse_extract_address(s,&errmess,&start,&end,&domain,FALSE);
1393     *ss = terminator;
1394
1395     /* Permit an unqualified address only if the message is local, or if the
1396     sending host is configured to be permitted to send them. */
1397
1398     if (recipient != NULL && domain == 0)
1399       {
1400       if (h->type == htype_from || h->type == htype_sender)
1401         {
1402         if (!allow_unqualified_sender) recipient = NULL;
1403         }
1404       else
1405         {
1406         if (!allow_unqualified_recipient) recipient = NULL;
1407         }
1408       if (recipient == NULL) errmess = US"unqualified address not permitted";
1409       }
1410
1411     /* It's an error if no address could be extracted, except for the special
1412     case of an empty address. */
1413
1414     if (recipient == NULL && Ustrcmp(errmess, "empty address") != 0)
1415       {
1416       uschar *verb = US"is";
1417       uschar *t = ss;
1418       uschar *tt = colon;
1419       int len;
1420
1421       /* Arrange not to include any white space at the end in the
1422       error message or the header name. */
1423
1424       while (t > s && isspace(t[-1])) t--;
1425       while (tt > h->text && isspace(tt[-1])) tt--;
1426
1427       /* Add the address that failed to the error message, since in a
1428       header with very many addresses it is sometimes hard to spot
1429       which one is at fault. However, limit the amount of address to
1430       quote - cases have been seen where, for example, a missing double
1431       quote in a humungous To: header creates an "address" that is longer
1432       than string_sprintf can handle. */
1433
1434       len = t - s;
1435       if (len > 1024)
1436         {
1437         len = 1024;
1438         verb = US"begins";
1439         }
1440
1441       *msgptr = string_printing(
1442         string_sprintf("%s: failing address in \"%.*s:\" header %s: %.*s",
1443           errmess, tt - h->text, h->text, verb, len, s));
1444
1445       return FAIL;
1446       }
1447
1448     /* Advance to the next address */
1449
1450     s = ss + (terminator? 1:0);
1451     while (isspace(*s)) s++;
1452     }   /* Next address */
1453   }     /* Next header */
1454
1455 return OK;
1456 }
1457
1458
1459
1460 /*************************************************
1461 *          Check for blind recipients            *
1462 *************************************************/
1463
1464 /* This function checks that every (envelope) recipient is mentioned in either
1465 the To: or Cc: header lines, thus detecting blind carbon copies.
1466
1467 There are two ways of scanning that could be used: either scan the header lines
1468 and tick off the recipients, or scan the recipients and check the header lines.
1469 The original proposed patch did the former, but I have chosen to do the latter,
1470 because (a) it requires no memory and (b) will use fewer resources when there
1471 are many addresses in To: and/or Cc: and only one or two envelope recipients.
1472
1473 Arguments:   none
1474 Returns:     OK    if there are no blind recipients
1475              FAIL  if there is at least one blind recipient
1476 */
1477
1478 int
1479 verify_check_notblind(void)
1480 {
1481 int i;
1482 for (i = 0; i < recipients_count; i++)
1483   {
1484   header_line *h;
1485   BOOL found = FALSE;
1486   uschar *address = recipients_list[i].address;
1487
1488   for (h = header_list; !found && h != NULL; h = h->next)
1489     {
1490     uschar *colon, *s;
1491
1492     if (h->type != htype_to && h->type != htype_cc) continue;
1493
1494     colon = Ustrchr(h->text, ':');
1495     s = colon + 1;
1496     while (isspace(*s)) s++;
1497
1498     parse_allow_group = TRUE;     /* Allow group syntax */
1499
1500     /* Loop for multiple addresses in the header */
1501
1502     while (*s != 0)
1503       {
1504       uschar *ss = parse_find_address_end(s, FALSE);
1505       uschar *recipient,*errmess;
1506       int terminator = *ss;
1507       int start, end, domain;
1508
1509       /* Temporarily terminate the string at this point, and extract the
1510       operative address within. */
1511
1512       *ss = 0;
1513       recipient = parse_extract_address(s,&errmess,&start,&end,&domain,FALSE);
1514       *ss = terminator;
1515
1516       /* If we found a valid recipient that has a domain, compare it with the
1517       envelope recipient. Local parts are compared case-sensitively, domains
1518       case-insensitively. By comparing from the start with length "domain", we
1519       include the "@" at the end, which ensures that we are comparing the whole
1520       local part of each address. */
1521
1522       if (recipient != NULL && domain != 0)
1523         {
1524         found = Ustrncmp(recipient, address, domain) == 0 &&
1525                 strcmpic(recipient + domain, address + domain) == 0;
1526         if (found) break;
1527         }
1528
1529       /* Advance to the next address */
1530
1531       s = ss + (terminator? 1:0);
1532       while (isspace(*s)) s++;
1533       }   /* Next address */
1534     }     /* Next header (if found is false) */
1535
1536   if (!found) return FAIL;
1537   }       /* Next recipient */
1538
1539 return OK;
1540 }
1541
1542
1543
1544 /*************************************************
1545 *          Find if verified sender               *
1546 *************************************************/
1547
1548 /* Usually, just a single address is verified as the sender of the message.
1549 However, Exim can be made to verify other addresses as well (often related in
1550 some way), and this is useful in some environments. There may therefore be a
1551 chain of such addresses that have previously been tested. This function finds
1552 whether a given address is on the chain.
1553
1554 Arguments:   the address to be verified
1555 Returns:     pointer to an address item, or NULL
1556 */
1557
1558 address_item *
1559 verify_checked_sender(uschar *sender)
1560 {
1561 address_item *addr;
1562 for (addr = sender_verified_list; addr != NULL; addr = addr->next)
1563   if (Ustrcmp(sender, addr->address) == 0) break;
1564 return addr;
1565 }
1566
1567
1568
1569
1570
1571 /*************************************************
1572 *             Get valid header address           *
1573 *************************************************/
1574
1575 /* Scan the originator headers of the message, looking for an address that
1576 verifies successfully. RFC 822 says:
1577
1578     o   The "Sender" field mailbox should be sent  notices  of
1579         any  problems in transport or delivery of the original
1580         messages.  If there is no  "Sender"  field,  then  the
1581         "From" field mailbox should be used.
1582
1583     o   If the "Reply-To" field exists, then the reply  should
1584         go to the addresses indicated in that field and not to
1585         the address(es) indicated in the "From" field.
1586
1587 So we check a Sender field if there is one, else a Reply_to field, else a From
1588 field. As some strange messages may have more than one of these fields,
1589 especially if they are resent- fields, check all of them if there is more than
1590 one.
1591
1592 Arguments:
1593   user_msgptr      points to where to put a user error message
1594   log_msgptr       points to where to put a log error message
1595   callout          timeout for callout check (passed to verify_address())
1596   callout_overall  overall callout timeout (ditto)
1597   callout_connect  connect callout timeout (ditto)
1598   se_mailfrom      mailfrom for verify; NULL => ""
1599   pm_mailfrom      sender for pm callout check (passed to verify_address())
1600   options          callout options (passed to verify_address())
1601   verrno           where to put the address basic_errno
1602
1603 If log_msgptr is set to something without setting user_msgptr, the caller
1604 normally uses log_msgptr for both things.
1605
1606 Returns:           result of the verification attempt: OK, FAIL, or DEFER;
1607                    FAIL is given if no appropriate headers are found
1608 */
1609
1610 int
1611 verify_check_header_address(uschar **user_msgptr, uschar **log_msgptr,
1612   int callout, int callout_overall, int callout_connect, uschar *se_mailfrom,
1613   uschar *pm_mailfrom, int options, int *verrno)
1614 {
1615 static int header_types[] = { htype_sender, htype_reply_to, htype_from };
1616 int yield = FAIL;
1617 int i;
1618
1619 for (i = 0; i < 3; i++)
1620   {
1621   header_line *h;
1622   for (h = header_list; h != NULL; h = h->next)
1623     {
1624     int terminator, new_ok;
1625     uschar *s, *ss, *endname;
1626
1627     if (h->type != header_types[i]) continue;
1628     s = endname = Ustrchr(h->text, ':') + 1;
1629
1630     while (*s != 0)
1631       {
1632       address_item *vaddr;
1633
1634       while (isspace(*s) || *s == ',') s++;
1635       if (*s == 0) break;        /* End of header */
1636
1637       ss = parse_find_address_end(s, FALSE);
1638
1639       /* The terminator is a comma or end of header, but there may be white
1640       space preceding it (including newline for the last address). Move back
1641       past any white space so we can check against any cached envelope sender
1642       address verifications. */
1643
1644       while (isspace(ss[-1])) ss--;
1645       terminator = *ss;
1646       *ss = 0;
1647
1648       HDEBUG(D_verify) debug_printf("verifying %.*s header address %s\n",
1649         (int)(endname - h->text), h->text, s);
1650
1651       /* See if we have already verified this address as an envelope sender,
1652       and if so, use the previous answer. */
1653
1654       vaddr = verify_checked_sender(s);
1655
1656       if (vaddr != NULL &&                   /* Previously checked */
1657            (callout <= 0 ||                  /* No callout needed; OR */
1658             vaddr->special_action > 256))    /* Callout was done */
1659         {
1660         new_ok = vaddr->special_action & 255;
1661         HDEBUG(D_verify) debug_printf("previously checked as envelope sender\n");
1662         *ss = terminator;  /* Restore shortened string */
1663         }
1664
1665       /* Otherwise we run the verification now. We must restore the shortened
1666       string before running the verification, so the headers are correct, in
1667       case there is any rewriting. */
1668
1669       else
1670         {
1671         int start, end, domain;
1672         uschar *address = parse_extract_address(s, log_msgptr, &start,
1673           &end, &domain, FALSE);
1674
1675         *ss = terminator;
1676
1677         /* If verification failed because of a syntax error, fail this
1678         function, and ensure that the failing address gets added to the error
1679         message. */
1680
1681         if (address == NULL)
1682           {
1683           new_ok = FAIL;
1684           if (*log_msgptr != NULL)
1685             {
1686             while (ss > s && isspace(ss[-1])) ss--;
1687             *log_msgptr = string_sprintf("syntax error in '%.*s' header when "
1688               "scanning for sender: %s in \"%.*s\"",
1689               endname - h->text, h->text, *log_msgptr, ss - s, s);
1690             return FAIL;
1691             }
1692           }
1693
1694         /* Else go ahead with the sender verification. But it isn't *the*
1695         sender of the message, so set vopt_fake_sender to stop sender_address
1696         being replaced after rewriting or qualification. */
1697
1698         else
1699           {
1700           vaddr = deliver_make_addr(address, FALSE);
1701           new_ok = verify_address(vaddr, NULL, options | vopt_fake_sender,
1702             callout, callout_overall, callout_connect, se_mailfrom,
1703             pm_mailfrom, NULL);
1704           }
1705         }
1706
1707       /* We now have the result, either newly found, or cached. If we are
1708       giving out error details, set a specific user error. This means that the
1709       last of these will be returned to the user if all three fail. We do not
1710       set a log message - the generic one below will be used. */
1711
1712       if (new_ok != OK)
1713         {
1714         *verrno = vaddr->basic_errno;
1715         if (smtp_return_error_details)
1716           {
1717           *user_msgptr = string_sprintf("Rejected after DATA: "
1718             "could not verify \"%.*s\" header address\n%s: %s",
1719             endname - h->text, h->text, vaddr->address, vaddr->message);
1720           }
1721         }
1722
1723       /* Success or defer */
1724
1725       if (new_ok == OK) return OK;
1726       if (new_ok == DEFER) yield = DEFER;
1727
1728       /* Move on to any more addresses in the header */
1729
1730       s = ss;
1731       }
1732     }
1733   }
1734
1735 if (yield == FAIL && *log_msgptr == NULL)
1736   *log_msgptr = US"there is no valid sender in any header line";
1737
1738 if (yield == DEFER && *log_msgptr == NULL)
1739   *log_msgptr = US"all attempts to verify a sender in a header line deferred";
1740
1741 return yield;
1742 }
1743
1744
1745
1746
1747 /*************************************************
1748 *            Get RFC 1413 identification         *
1749 *************************************************/
1750
1751 /* Attempt to get an id from the sending machine via the RFC 1413 protocol. If
1752 the timeout is set to zero, then the query is not done. There may also be lists
1753 of hosts and nets which are exempt. To guard against malefactors sending
1754 non-printing characters which could, for example, disrupt a message's headers,
1755 make sure the string consists of printing characters only.
1756
1757 Argument:
1758   port    the port to connect to; usually this is IDENT_PORT (113), but when
1759           running in the test harness with -bh a different value is used.
1760
1761 Returns:  nothing
1762
1763 Side effect: any received ident value is put in sender_ident (NULL otherwise)
1764 */
1765
1766 void
1767 verify_get_ident(int port)
1768 {
1769 int sock, host_af, qlen;
1770 int received_sender_port, received_interface_port, n;
1771 uschar *p;
1772 uschar buffer[2048];
1773
1774 /* Default is no ident. Check whether we want to do an ident check for this
1775 host. */
1776
1777 sender_ident = NULL;
1778 if (rfc1413_query_timeout <= 0 || verify_check_host(&rfc1413_hosts) != OK)
1779   return;
1780
1781 DEBUG(D_ident) debug_printf("doing ident callback\n");
1782
1783 /* Set up a connection to the ident port of the remote host. Bind the local end
1784 to the incoming interface address. If the sender host address is an IPv6
1785 address, the incoming interface address will also be IPv6. */
1786
1787 host_af = (Ustrchr(sender_host_address, ':') == NULL)? AF_INET : AF_INET6;
1788 sock = ip_socket(SOCK_STREAM, host_af);
1789 if (sock < 0) return;
1790
1791 if (ip_bind(sock, host_af, interface_address, 0) < 0)
1792   {
1793   DEBUG(D_ident) debug_printf("bind socket for ident failed: %s\n",
1794     strerror(errno));
1795   goto END_OFF;
1796   }
1797
1798 if (ip_connect(sock, host_af, sender_host_address, port, rfc1413_query_timeout)
1799      < 0)
1800   {
1801   if (errno == ETIMEDOUT && (log_extra_selector & LX_ident_timeout) != 0)
1802     {
1803     log_write(0, LOG_MAIN, "ident connection to %s timed out",
1804       sender_host_address);
1805     }
1806   else
1807     {
1808     DEBUG(D_ident) debug_printf("ident connection to %s failed: %s\n",
1809       sender_host_address, strerror(errno));
1810     }
1811   goto END_OFF;
1812   }
1813
1814 /* Construct and send the query. */
1815
1816 sprintf(CS buffer, "%d , %d\r\n", sender_host_port, interface_port);
1817 qlen = Ustrlen(buffer);
1818 if (send(sock, buffer, qlen, 0) < 0)
1819   {
1820   DEBUG(D_ident) debug_printf("ident send failed: %s\n", strerror(errno));
1821   goto END_OFF;
1822   }
1823
1824 /* Read a response line. We put it into the rest of the buffer, using several
1825 recv() calls if necessary. */
1826
1827 p = buffer + qlen;
1828
1829 for (;;)
1830   {
1831   uschar *pp;
1832   int count;
1833   int size = sizeof(buffer) - (p - buffer);
1834
1835   if (size <= 0) goto END_OFF;   /* Buffer filled without seeing \n. */
1836   count = ip_recv(sock, p, size, rfc1413_query_timeout);
1837   if (count <= 0) goto END_OFF;  /* Read error or EOF */
1838
1839   /* Scan what we just read, to see if we have reached the terminating \r\n. Be
1840   generous, and accept a plain \n terminator as well. The only illegal
1841   character is 0. */
1842
1843   for (pp = p; pp < p + count; pp++)
1844     {
1845     if (*pp == 0) goto END_OFF;   /* Zero octet not allowed */
1846     if (*pp == '\n')
1847       {
1848       if (pp[-1] == '\r') pp--;
1849       *pp = 0;
1850       goto GOT_DATA;             /* Break out of both loops */
1851       }
1852     }
1853
1854   /* Reached the end of the data without finding \n. Let the loop continue to
1855   read some more, if there is room. */
1856
1857   p = pp;
1858   }
1859
1860 GOT_DATA:
1861
1862 /* We have received a line of data. Check it carefully. It must start with the
1863 same two port numbers that we sent, followed by data as defined by the RFC. For
1864 example,
1865
1866   12345 , 25 : USERID : UNIX :root
1867
1868 However, the amount of white space may be different to what we sent. In the
1869 "osname" field there may be several sub-fields, comma separated. The data we
1870 actually want to save follows the third colon. Some systems put leading spaces
1871 in it - we discard those. */
1872
1873 if (sscanf(CS buffer + qlen, "%d , %d%n", &received_sender_port,
1874       &received_interface_port, &n) != 2 ||
1875     received_sender_port != sender_host_port ||
1876     received_interface_port != interface_port)
1877   goto END_OFF;
1878
1879 p = buffer + qlen + n;
1880 while(isspace(*p)) p++;
1881 if (*p++ != ':') goto END_OFF;
1882 while(isspace(*p)) p++;
1883 if (Ustrncmp(p, "USERID", 6) != 0) goto END_OFF;
1884 p += 6;
1885 while(isspace(*p)) p++;
1886 if (*p++ != ':') goto END_OFF;
1887 while (*p != 0 && *p != ':') p++;
1888 if (*p++ == 0) goto END_OFF;
1889 while(isspace(*p)) p++;
1890 if (*p == 0) goto END_OFF;
1891
1892 /* The rest of the line is the data we want. We turn it into printing
1893 characters when we save it, so that it cannot mess up the format of any logging
1894 or Received: lines into which it gets inserted. We keep a maximum of 127
1895 characters. */
1896
1897 sender_ident = string_printing(string_copyn(p, 127));
1898 DEBUG(D_ident) debug_printf("sender_ident = %s\n", sender_ident);
1899
1900 END_OFF:
1901 (void)close(sock);
1902 return;
1903 }
1904
1905
1906
1907
1908 /*************************************************
1909 *      Match host to a single host-list item     *
1910 *************************************************/
1911
1912 /* This function compares a host (name or address) against a single item
1913 from a host list. The host name gets looked up if it is needed and is not
1914 already known. The function is called from verify_check_this_host() via
1915 match_check_list(), which is why most of its arguments are in a single block.
1916
1917 Arguments:
1918   arg            the argument block (see below)
1919   ss             the host-list item
1920   valueptr       where to pass back looked up data, or NULL
1921   error          for error message when returning ERROR
1922
1923 The block contains:
1924   host_name      (a) the host name, or
1925                  (b) NULL, implying use sender_host_name and
1926                        sender_host_aliases, looking them up if required, or
1927                  (c) the empty string, meaning that only IP address matches
1928                        are permitted
1929   host_address   the host address
1930   host_ipv4      the IPv4 address taken from an IPv6 one
1931
1932 Returns:         OK      matched
1933                  FAIL    did not match
1934                  DEFER   lookup deferred
1935                  ERROR   (a) failed to find the host name or IP address, or
1936                          (b) unknown lookup type specified, or
1937                          (c) host name encountered when only IP addresses are
1938                                being matched
1939 */
1940
1941 int
1942 check_host(void *arg, uschar *ss, uschar **valueptr, uschar **error)
1943 {
1944 check_host_block *cb = (check_host_block *)arg;
1945 int mlen = -1;
1946 int maskoffset;
1947 BOOL iplookup = FALSE;
1948 BOOL isquery = FALSE;
1949 BOOL isiponly = cb->host_name != NULL && cb->host_name[0] == 0;
1950 uschar *t;
1951 uschar *semicolon;
1952 uschar **aliases;
1953
1954 /* Optimize for the special case when the pattern is "*". */
1955
1956 if (*ss == '*' && ss[1] == 0) return OK;
1957
1958 /* If the pattern is empty, it matches only in the case when there is no host -
1959 this can occur in ACL checking for SMTP input using the -bs option. In this
1960 situation, the host address is the empty string. */
1961
1962 if (cb->host_address[0] == 0) return (*ss == 0)? OK : FAIL;
1963 if (*ss == 0) return FAIL;
1964
1965 /* If the pattern is precisely "@" then match against the primary host name,
1966 provided that host name matching is permitted; if it's "@[]" match against the
1967 local host's IP addresses. */
1968
1969 if (*ss == '@')
1970   {
1971   if (ss[1] == 0)
1972     {
1973     if (isiponly) return ERROR;
1974     ss = primary_hostname;
1975     }
1976   else if (Ustrcmp(ss, "@[]") == 0)
1977     {
1978     ip_address_item *ip;
1979     for (ip = host_find_interfaces(); ip != NULL; ip = ip->next)
1980       if (Ustrcmp(ip->address, cb->host_address) == 0) return OK;
1981     return FAIL;
1982     }
1983   }
1984
1985 /* If the pattern is an IP address, optionally followed by a bitmask count, do
1986 a (possibly masked) comparision with the current IP address. */
1987
1988 if (string_is_ip_address(ss, &maskoffset) != 0)
1989   return (host_is_in_net(cb->host_address, ss, maskoffset)? OK : FAIL);
1990
1991 /* The pattern is not an IP address. A common error that people make is to omit
1992 one component of an IPv4 address, either by accident, or believing that, for
1993 example, 1.2.3/24 is the same as 1.2.3.0/24, or 1.2.3 is the same as 1.2.3.0,
1994 which it isn't. (Those applications that do accept 1.2.3 as an IP address
1995 interpret it as 1.2.0.3 because the final component becomes 16-bit - this is an
1996 ancient specification.) To aid in debugging these cases, we give a specific
1997 error if the pattern contains only digits and dots or contains a slash preceded
1998 only by digits and dots (a slash at the start indicates a file name and of
1999 course slashes may be present in lookups, but not preceded only by digits and
2000 dots). */
2001
2002 for (t = ss; isdigit(*t) || *t == '.'; t++);
2003 if (*t == 0 || (*t == '/' && t != ss))
2004   {
2005   *error = US"malformed IPv4 address or address mask";
2006   return ERROR;
2007   }
2008
2009 /* See if there is a semicolon in the pattern */
2010
2011 semicolon = Ustrchr(ss, ';');
2012
2013 /* If we are doing an IP address only match, then all lookups must be IP
2014 address lookups, even if there is no "net-". */
2015
2016 if (isiponly)
2017   {
2018   iplookup = semicolon != NULL;
2019   }
2020
2021 /* Otherwise, if the item is of the form net[n]-lookup;<file|query> then it is
2022 a lookup on a masked IP network, in textual form. We obey this code even if we
2023 have already set iplookup, so as to skip over the "net-" prefix and to set the
2024 mask length. The net- stuff really only applies to single-key lookups where the
2025 key is implicit. For query-style lookups the key is specified in the query.
2026 From release 4.30, the use of net- for query style is no longer needed, but we
2027 retain it for backward compatibility. */
2028
2029 if (Ustrncmp(ss, "net", 3) == 0 && semicolon != NULL)
2030   {
2031   mlen = 0;
2032   for (t = ss + 3; isdigit(*t); t++) mlen = mlen * 10 + *t - '0';
2033   if (mlen == 0 && t == ss+3) mlen = -1;  /* No mask supplied */
2034   iplookup = (*t++ == '-');
2035   }
2036 else t = ss;
2037
2038 /* Do the IP address lookup if that is indeed what we have */
2039
2040 if (iplookup)
2041   {
2042   int insize;
2043   int search_type;
2044   int incoming[4];
2045   void *handle;
2046   uschar *filename, *key, *result;
2047   uschar buffer[64];
2048
2049   /* Find the search type */
2050
2051   search_type = search_findtype(t, semicolon - t);
2052
2053   if (search_type < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
2054     search_error_message);
2055
2056   /* Adjust parameters for the type of lookup. For a query-style lookup, there
2057   is no file name, and the "key" is just the query. For query-style with a file
2058   name, we have to fish the file off the start of the query. For a single-key
2059   lookup, the key is the current IP address, masked appropriately, and
2060   reconverted to text form, with the mask appended. For IPv6 addresses, specify
2061   dot separators instead of colons. */
2062
2063   if (mac_islookup(search_type, lookup_absfilequery))
2064     {
2065     filename = semicolon + 1;
2066     key = filename;
2067     while (*key != 0 && !isspace(*key)) key++;
2068     filename = string_copyn(filename, key - filename);
2069     while (isspace(*key)) key++;
2070     }
2071   else if (mac_islookup(search_type, lookup_querystyle))
2072     {
2073     filename = NULL;
2074     key = semicolon + 1;
2075     }
2076   else
2077     {
2078     insize = host_aton(cb->host_address, incoming);
2079     host_mask(insize, incoming, mlen);
2080     (void)host_nmtoa(insize, incoming, mlen, buffer, '.');
2081     key = buffer;
2082     filename = semicolon + 1;
2083     }
2084
2085   /* Now do the actual lookup; note that there is no search_close() because
2086   of the caching arrangements. */
2087
2088   handle = search_open(filename, search_type, 0, NULL, NULL);
2089   if (handle == NULL) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
2090     search_error_message);
2091   result = search_find(handle, filename, key, -1, NULL, 0, 0, NULL);
2092   if (valueptr != NULL) *valueptr = result;
2093   return (result != NULL)? OK : search_find_defer? DEFER: FAIL;
2094   }
2095
2096 /* The pattern is not an IP address or network reference of any kind. That is,
2097 it is a host name pattern. If this is an IP only match, there's an error in the
2098 host list. */
2099
2100 if (isiponly)
2101   {
2102   *error = US"cannot match host name in match_ip list";
2103   return ERROR;
2104   }
2105
2106 /* Check the characters of the pattern to see if they comprise only letters,
2107 digits, full stops, and hyphens (the constituents of domain names). Allow
2108 underscores, as they are all too commonly found. Sigh. Also, if
2109 allow_utf8_domains is set, allow top-bit characters. */
2110
2111 for (t = ss; *t != 0; t++)
2112   if (!isalnum(*t) && *t != '.' && *t != '-' && *t != '_' &&
2113       (!allow_utf8_domains || *t < 128)) break;
2114
2115 /* If the pattern is a complete domain name, with no fancy characters, look up
2116 its IP address and match against that. Note that a multi-homed host will add
2117 items to the chain. */
2118
2119 if (*t == 0)
2120   {
2121   int rc;
2122   host_item h;
2123   h.next = NULL;
2124   h.name = ss;
2125   h.address = NULL;
2126   h.mx = MX_NONE;
2127   rc = host_find_byname(&h, NULL, NULL, FALSE);
2128   if (rc == HOST_FOUND || rc == HOST_FOUND_LOCAL)
2129     {
2130     host_item *hh;
2131     for (hh = &h; hh != NULL; hh = hh->next)
2132       {
2133       if (host_is_in_net(hh->address, cb->host_address, 0)) return OK;
2134       }
2135     return FAIL;
2136     }
2137   if (rc == HOST_FIND_AGAIN) return DEFER;
2138   *error = string_sprintf("failed to find IP address for %s", ss);
2139   return ERROR;
2140   }
2141
2142 /* Almost all subsequent comparisons require the host name, and can be done
2143 using the general string matching function. When this function is called for
2144 outgoing hosts, the name is always given explicitly. If it is NULL, it means we
2145 must use sender_host_name and its aliases, looking them up if necessary. */
2146
2147 if (cb->host_name != NULL)   /* Explicit host name given */
2148   return match_check_string(cb->host_name, ss, -1, TRUE, TRUE, TRUE,
2149     valueptr);
2150
2151 /* Host name not given; in principle we need the sender host name and its
2152 aliases. However, for query-style lookups, we do not need the name if the
2153 query does not contain $sender_host_name. From release 4.23, a reference to
2154 $sender_host_name causes it to be looked up, so we don't need to do the lookup
2155 on spec. */
2156
2157 if ((semicolon = Ustrchr(ss, ';')) != NULL)
2158   {
2159   uschar *affix;
2160   int partial, affixlen, starflags, id;
2161
2162   *semicolon = 0;
2163   id = search_findtype_partial(ss, &partial, &affix, &affixlen, &starflags);
2164   *semicolon=';';
2165
2166   if (id < 0)                           /* Unknown lookup type */
2167     {
2168     log_write(0, LOG_MAIN|LOG_PANIC, "%s in host list item \"%s\"",
2169       search_error_message, ss);
2170     return DEFER;
2171     }
2172   isquery = mac_islookup(id, lookup_querystyle|lookup_absfilequery);
2173   }
2174
2175 if (isquery)
2176   {
2177   switch(match_check_string(US"", ss, -1, TRUE, TRUE, TRUE, valueptr))
2178     {
2179     case OK:    return OK;
2180     case DEFER: return DEFER;
2181     default:    return FAIL;
2182     }
2183   }
2184
2185 /* Not a query-style lookup; must ensure the host name is present, and then we
2186 do a check on the name and all its aliases. */
2187
2188 if (sender_host_name == NULL)
2189   {
2190   HDEBUG(D_host_lookup)
2191     debug_printf("sender host name required, to match against %s\n", ss);
2192   if (host_lookup_failed || host_name_lookup() != OK)
2193     {
2194     *error = string_sprintf("failed to find host name for %s",
2195       sender_host_address);;
2196     return ERROR;
2197     }
2198   host_build_sender_fullhost();
2199   }
2200
2201 /* Match on the sender host name, using the general matching function */
2202
2203 switch(match_check_string(sender_host_name, ss, -1, TRUE, TRUE, TRUE,
2204        valueptr))
2205   {
2206   case OK:    return OK;
2207   case DEFER: return DEFER;
2208   }
2209
2210 /* If there are aliases, try matching on them. */
2211
2212 aliases = sender_host_aliases;
2213 while (*aliases != NULL)
2214   {
2215   switch(match_check_string(*aliases++, ss, -1, TRUE, TRUE, TRUE, valueptr))
2216     {
2217     case OK:    return OK;
2218     case DEFER: return DEFER;
2219     }
2220   }
2221 return FAIL;
2222 }
2223
2224
2225
2226
2227 /*************************************************
2228 *    Check a specific host matches a host list   *
2229 *************************************************/
2230
2231 /* This function is passed a host list containing items in a number of
2232 different formats and the identity of a host. Its job is to determine whether
2233 the given host is in the set of hosts defined by the list. The host name is
2234 passed as a pointer so that it can be looked up if needed and not already
2235 known. This is commonly the case when called from verify_check_host() to check
2236 an incoming connection. When called from elsewhere the host name should usually
2237 be set.
2238
2239 This function is now just a front end to match_check_list(), which runs common
2240 code for scanning a list. We pass it the check_host() function to perform a
2241 single test.
2242
2243 Arguments:
2244   listptr              pointer to the host list
2245   cache_bits           pointer to cache for named lists, or NULL
2246   host_name            the host name or NULL, implying use sender_host_name and
2247                          sender_host_aliases, looking them up if required
2248   host_address         the IP address
2249   valueptr             if not NULL, data from a lookup is passed back here
2250
2251 Returns:    OK    if the host is in the defined set
2252             FAIL  if the host is not in the defined set,
2253             DEFER if a data lookup deferred (not a host lookup)
2254
2255 If the host name was needed in order to make a comparison, and could not be
2256 determined from the IP address, the result is FAIL unless the item
2257 "+allow_unknown" was met earlier in the list, in which case OK is returned. */
2258
2259 int
2260 verify_check_this_host(uschar **listptr, unsigned int *cache_bits,
2261   uschar *host_name, uschar *host_address, uschar **valueptr)
2262 {
2263 int rc;
2264 unsigned int *local_cache_bits = cache_bits;
2265 uschar *save_host_address = deliver_host_address;
2266 check_host_block cb;
2267 cb.host_name = host_name;
2268 cb.host_address = host_address;
2269
2270 if (valueptr != NULL) *valueptr = NULL;
2271
2272 /* If the host address starts off ::ffff: it is an IPv6 address in
2273 IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2274 addresses. */
2275
2276 cb.host_ipv4 = (Ustrncmp(host_address, "::ffff:", 7) == 0)?
2277   host_address + 7 : host_address;
2278
2279 /* During the running of the check, put the IP address into $host_address. In
2280 the case of calls from the smtp transport, it will already be there. However,
2281 in other calls (e.g. when testing ignore_target_hosts), it won't. Just to be on
2282 the safe side, any existing setting is preserved, though as I write this
2283 (November 2004) I can't see any cases where it is actually needed. */
2284
2285 deliver_host_address = host_address;
2286 rc = match_check_list(
2287        listptr,                                /* the list */
2288        0,                                      /* separator character */
2289        &hostlist_anchor,                       /* anchor pointer */
2290        &local_cache_bits,                      /* cache pointer */
2291        check_host,                             /* function for testing */
2292        &cb,                                    /* argument for function */
2293        MCL_HOST,                               /* type of check */
2294        (host_address == sender_host_address)?
2295          US"host" : host_address,              /* text for debugging */
2296        valueptr);                              /* where to pass back data */
2297 deliver_host_address = save_host_address;
2298 return rc;
2299 }
2300
2301
2302
2303
2304 /*************************************************
2305 *      Check the remote host matches a list      *
2306 *************************************************/
2307
2308 /* This is a front end to verify_check_this_host(), created because checking
2309 the remote host is a common occurrence. With luck, a good compiler will spot
2310 the tail recursion and optimize it. If there's no host address, this is
2311 command-line SMTP input - check against an empty string for the address.
2312
2313 Arguments:
2314   listptr              pointer to the host list
2315
2316 Returns:               the yield of verify_check_this_host(),
2317                        i.e. OK, FAIL, or DEFER
2318 */
2319
2320 int
2321 verify_check_host(uschar **listptr)
2322 {
2323 return verify_check_this_host(listptr, sender_host_cache, NULL,
2324   (sender_host_address == NULL)? US"" : sender_host_address, NULL);
2325 }
2326
2327
2328
2329
2330
2331 /*************************************************
2332 *    Invert an IP address for a DNS black list   *
2333 *************************************************/
2334
2335 /*
2336 Arguments:
2337   buffer         where to put the answer
2338   address        the address to invert
2339 */
2340
2341 static void
2342 invert_address(uschar *buffer, uschar *address)
2343 {
2344 int bin[4];
2345 uschar *bptr = buffer;
2346
2347 /* If this is an IPv4 address mapped into IPv6 format, adjust the pointer
2348 to the IPv4 part only. */
2349
2350 if (Ustrncmp(address, "::ffff:", 7) == 0) address += 7;
2351
2352 /* Handle IPv4 address: when HAVE_IPV6 is false, the result of host_aton() is
2353 always 1. */
2354
2355 if (host_aton(address, bin) == 1)
2356   {
2357   int i;
2358   int x = bin[0];
2359   for (i = 0; i < 4; i++)
2360     {
2361     sprintf(CS bptr, "%d.", x & 255);
2362     while (*bptr) bptr++;
2363     x >>= 8;
2364     }
2365   }
2366
2367 /* Handle IPv6 address. Actually, as far as I know, there are no IPv6 addresses
2368 in any DNS black lists, and the format in which they will be looked up is
2369 unknown. This is just a guess. */
2370
2371 #if HAVE_IPV6
2372 else
2373   {
2374   int i, j;
2375   for (j = 3; j >= 0; j--)
2376     {
2377     int x = bin[j];
2378     for (i = 0; i < 8; i++)
2379       {
2380       sprintf(CS bptr, "%x.", x & 15);
2381       while (*bptr) bptr++;
2382       x >>= 4;
2383       }
2384     }
2385   }
2386 #endif
2387 }
2388
2389
2390
2391 /*************************************************
2392 *          Perform a single dnsbl lookup         *
2393 *************************************************/
2394
2395 /* This function is called from verify_check_dnsbl() below.
2396
2397 Arguments:
2398   domain         the outer dnsbl domain (for debug message)
2399   keydomain      the current keydomain (for debug message)
2400   query          the domain to be looked up
2401   iplist         the list of matching IP addresses
2402   bitmask        true if bitmask matching is wanted
2403   invert_result  true if result to be inverted
2404   defer_return   what to return for a defer
2405
2406 Returns:         OK if lookup succeeded
2407                  FAIL if not
2408 */
2409
2410 static int
2411 one_check_dnsbl(uschar *domain, uschar *keydomain, uschar *query,
2412   uschar *iplist, BOOL bitmask, BOOL invert_result, int defer_return)
2413 {
2414 dns_answer dnsa;
2415 dns_scan dnss;
2416 tree_node *t;
2417 dnsbl_cache_block *cb;
2418 int old_pool = store_pool;
2419
2420 /* Look for this query in the cache. */
2421
2422 t = tree_search(dnsbl_cache, query);
2423
2424 /* If not cached from a previous lookup, we must do a DNS lookup, and
2425 cache the result in permanent memory. */
2426
2427 if (t == NULL)
2428   {
2429   store_pool = POOL_PERM;
2430
2431   /* Set up a tree entry to cache the lookup */
2432
2433   t = store_get(sizeof(tree_node) + Ustrlen(query));
2434   Ustrcpy(t->name, query);
2435   t->data.ptr = cb = store_get(sizeof(dnsbl_cache_block));
2436   (void)tree_insertnode(&dnsbl_cache, t);
2437
2438   /* Do the DNS loopup . */
2439
2440   HDEBUG(D_dnsbl) debug_printf("new DNS lookup for %s\n", query);
2441   cb->rc = dns_basic_lookup(&dnsa, query, T_A);
2442   cb->text_set = FALSE;
2443   cb->text = NULL;
2444   cb->rhs = NULL;
2445
2446   /* If the lookup succeeded, cache the RHS address. The code allows for
2447   more than one address - this was for complete generality and the possible
2448   use of A6 records. However, A6 records have been reduced to experimental
2449   status (August 2001) and may die out. So they may never get used at all,
2450   let alone in dnsbl records. However, leave the code here, just in case.
2451
2452   Quite apart from one A6 RR generating multiple addresses, there are DNS
2453   lists that return more than one A record, so we must handle multiple
2454   addresses generated in that way as well. */
2455
2456   if (cb->rc == DNS_SUCCEED)
2457     {
2458     dns_record *rr;
2459     dns_address **addrp = &(cb->rhs);
2460     for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
2461          rr != NULL;
2462          rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
2463       {
2464       if (rr->type == T_A)
2465         {
2466         dns_address *da = dns_address_from_rr(&dnsa, rr);
2467         if (da != NULL)
2468           {
2469           *addrp = da;
2470           while (da->next != NULL) da = da->next;
2471           addrp = &(da->next);
2472           }
2473         }
2474       }
2475
2476     /* If we didn't find any A records, change the return code. This can
2477     happen when there is a CNAME record but there are no A records for what
2478     it points to. */
2479
2480     if (cb->rhs == NULL) cb->rc = DNS_NODATA;
2481     }
2482
2483   store_pool = old_pool;
2484   }
2485
2486 /* Previous lookup was cached */
2487
2488 else
2489   {
2490   HDEBUG(D_dnsbl) debug_printf("using result of previous DNS lookup\n");
2491   cb = t->data.ptr;
2492   }
2493
2494 /* We now have the result of the DNS lookup, either newly done, or cached
2495 from a previous call. If the lookup succeeded, check against the address
2496 list if there is one. This may be a positive equality list (introduced by
2497 "="), a negative equality list (introduced by "!="), a positive bitmask
2498 list (introduced by "&"), or a negative bitmask list (introduced by "!&").*/
2499
2500 if (cb->rc == DNS_SUCCEED)
2501   {
2502   dns_address *da = NULL;
2503   uschar *addlist = cb->rhs->address;
2504
2505   /* For A and AAAA records, there may be multiple addresses from multiple
2506   records. For A6 records (currently not expected to be used) there may be
2507   multiple addresses from a single record. */
2508
2509   for (da = cb->rhs->next; da != NULL; da = da->next)
2510     addlist = string_sprintf("%s, %s", addlist, da->address);
2511
2512   HDEBUG(D_dnsbl) debug_printf("DNS lookup for %s succeeded (yielding %s)\n",
2513     query, addlist);
2514
2515   /* Address list check; this can be either for equality, or via a bitmask.
2516   In the latter case, all the bits must match. */
2517
2518   if (iplist != NULL)
2519     {
2520     int ipsep = ',';
2521     uschar ip[46];
2522     uschar *ptr = iplist;
2523
2524     while (string_nextinlist(&ptr, &ipsep, ip, sizeof(ip)) != NULL)
2525       {
2526       /* Handle exact matching */
2527       if (!bitmask)
2528         {
2529         for (da = cb->rhs; da != NULL; da = da->next)
2530           {
2531           if (Ustrcmp(CS da->address, ip) == 0) break;
2532           }
2533         }
2534       /* Handle bitmask matching */
2535       else
2536         {
2537         int address[4];
2538         int mask = 0;
2539
2540         /* At present, all known DNS blocking lists use A records, with
2541         IPv4 addresses on the RHS encoding the information they return. I
2542         wonder if this will linger on as the last vestige of IPv4 when IPv6
2543         is ubiquitous? Anyway, for now we use paranoia code to completely
2544         ignore IPv6 addresses. The default mask is 0, which always matches.
2545         We change this only for IPv4 addresses in the list. */
2546
2547         if (host_aton(ip, address) == 1) mask = address[0];
2548
2549         /* Scan the returned addresses, skipping any that are IPv6 */
2550
2551         for (da = cb->rhs; da != NULL; da = da->next)
2552           {
2553           if (host_aton(da->address, address) != 1) continue;
2554           if ((address[0] & mask) == mask) break;
2555           }
2556         }
2557
2558       /* Break out if a match has been found */
2559
2560       if (da != NULL) break;
2561       }
2562
2563     /* If either
2564
2565        (a) No IP address in a positive list matched, or
2566        (b) An IP address in a negative list did match
2567
2568     then behave as if the DNSBL lookup had not succeeded, i.e. the host is
2569     not on the list. */
2570
2571     if (invert_result != (da == NULL))
2572       {
2573       HDEBUG(D_dnsbl)
2574         {
2575         debug_printf("=> but we are not accepting this block class because\n");
2576         debug_printf("=> there was %s match for %c%s\n",
2577           invert_result? "an exclude":"no", bitmask? '&' : '=', iplist);
2578         }
2579       return FAIL;
2580       }
2581     }
2582
2583   /* Either there was no IP list, or the record matched. Look up a TXT record
2584   if it hasn't previously been done. */
2585
2586   if (!cb->text_set)
2587     {
2588     cb->text_set = TRUE;
2589     if (dns_basic_lookup(&dnsa, query, T_TXT) == DNS_SUCCEED)
2590       {
2591       dns_record *rr;
2592       for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
2593            rr != NULL;
2594            rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
2595         if (rr->type == T_TXT) break;
2596       if (rr != NULL)
2597         {
2598         int len = (rr->data)[0];
2599         if (len > 511) len = 127;
2600         store_pool = POOL_PERM;
2601         cb->text = string_sprintf("%.*s", len, (const uschar *)(rr->data+1));
2602         store_pool = old_pool;
2603         }
2604       }
2605     }
2606
2607   dnslist_value = addlist;
2608   dnslist_text = cb->text;
2609   return OK;
2610   }
2611
2612 /* There was a problem with the DNS lookup */
2613
2614 if (cb->rc != DNS_NOMATCH && cb->rc != DNS_NODATA)
2615   {
2616   log_write(L_dnslist_defer, LOG_MAIN,
2617     "DNS list lookup defer (probably timeout) for %s: %s", query,
2618     (defer_return == OK)?   US"assumed in list" :
2619     (defer_return == FAIL)? US"assumed not in list" :
2620                             US"returned DEFER");
2621   return defer_return;
2622   }
2623
2624 /* No entry was found in the DNS; continue for next domain */
2625
2626 HDEBUG(D_dnsbl)
2627   {
2628   debug_printf("DNS lookup for %s failed\n", query);
2629   debug_printf("=> that means %s is not listed at %s\n",
2630      keydomain, domain);
2631   }
2632
2633 return FAIL;
2634 }
2635
2636
2637
2638
2639 /*************************************************
2640 *        Check host against DNS black lists      *
2641 *************************************************/
2642
2643 /* This function runs checks against a list of DNS black lists, until one
2644 matches. Each item on the list can be of the form
2645
2646   domain=ip-address/key
2647
2648 The domain is the right-most domain that is used for the query, for example,
2649 blackholes.mail-abuse.org. If the IP address is present, there is a match only
2650 if the DNS lookup returns a matching IP address. Several addresses may be
2651 given, comma-separated, for example: x.y.z=127.0.0.1,127.0.0.2.
2652
2653 If no key is given, what is looked up in the domain is the inverted IP address
2654 of the current client host. If a key is given, it is used to construct the
2655 domain for the lookup. For example,
2656
2657   dsn.rfc-ignorant.org/$sender_address_domain
2658
2659 After finding a match in the DNS, the domain is placed in $dnslist_domain, and
2660 then we check for a TXT record for an error message, and if found, save its
2661 value in $dnslist_text. We also cache everything in a tree, to optimize
2662 multiple lookups.
2663
2664 Note: an address for testing RBL is 192.203.178.39
2665 Note: an address for testing DUL is 192.203.178.4
2666 Note: a domain for testing RFCI is example.tld.dsn.rfc-ignorant.org
2667
2668 Arguments:
2669   listptr      the domain/address/data list
2670
2671 Returns:    OK      successful lookup (i.e. the address is on the list), or
2672                       lookup deferred after +include_unknown
2673             FAIL    name not found, or no data found for the given type, or
2674                       lookup deferred after +exclude_unknown (default)
2675             DEFER   lookup failure, if +defer_unknown was set
2676 */
2677
2678 int
2679 verify_check_dnsbl(uschar **listptr)
2680 {
2681 int sep = 0;
2682 int defer_return = FAIL;
2683 BOOL invert_result = FALSE;
2684 uschar *list = *listptr;
2685 uschar *domain;
2686 uschar *s;
2687 uschar buffer[1024];
2688 uschar query[256];         /* DNS domain max length */
2689 uschar revadd[128];        /* Long enough for IPv6 address */
2690
2691 /* Indicate that the inverted IP address is not yet set up */
2692
2693 revadd[0] = 0;
2694
2695 /* In case this is the first time the DNS resolver is being used. */
2696
2697 dns_init(FALSE, FALSE);
2698
2699 /* Loop through all the domains supplied, until something matches */
2700
2701 while ((domain = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
2702   {
2703   int rc;
2704   BOOL frc;
2705   BOOL bitmask = FALSE;
2706   uschar *iplist;
2707   uschar *key;
2708
2709   HDEBUG(D_dnsbl) debug_printf("DNS list check: %s\n", domain);
2710
2711   /* Deal with special values that change the behaviour on defer */
2712
2713   if (domain[0] == '+')
2714     {
2715     if      (strcmpic(domain, US"+include_unknown") == 0) defer_return = OK;
2716     else if (strcmpic(domain, US"+exclude_unknown") == 0) defer_return = FAIL;
2717     else if (strcmpic(domain, US"+defer_unknown") == 0)   defer_return = DEFER;
2718     else
2719       log_write(0, LOG_MAIN|LOG_PANIC, "unknown item in dnslist (ignored): %s",
2720         domain);
2721     continue;
2722     }
2723
2724   /* See if there's explicit data to be looked up */
2725
2726   key = Ustrchr(domain, '/');
2727   if (key != NULL) *key++ = 0;
2728
2729   /* See if there's a list of addresses supplied after the domain name. This is
2730   introduced by an = or a & character; if preceded by ! we invert the result.
2731   */
2732
2733   iplist = Ustrchr(domain, '=');
2734   if (iplist == NULL)
2735     {
2736     bitmask = TRUE;
2737     iplist = Ustrchr(domain, '&');
2738     }
2739
2740   if (iplist != NULL)
2741     {
2742     if (iplist > domain && iplist[-1] == '!')
2743       {
2744       invert_result = TRUE;
2745       iplist[-1] = 0;
2746       }
2747     *iplist++ = 0;
2748     }
2749
2750   /* Check that what we have left is a sensible domain name. There is no reason
2751   why these domains should in fact use the same syntax as hosts and email
2752   domains, but in practice they seem to. However, there is little point in
2753   actually causing an error here, because that would no doubt hold up incoming
2754   mail. Instead, I'll just log it. */
2755
2756   for (s = domain; *s != 0; s++)
2757     {
2758     if (!isalnum(*s) && *s != '-' && *s != '.')
2759       {
2760       log_write(0, LOG_MAIN, "dnslists domain \"%s\" contains "
2761         "strange characters - is this right?", domain);
2762       break;
2763       }
2764     }
2765
2766   /* If there is no key string, construct the query by adding the domain name
2767   onto the inverted host address, and perform a single DNS lookup. */
2768
2769   if (key == NULL)
2770     {
2771     if (sender_host_address == NULL) return FAIL;    /* can never match */
2772     if (revadd[0] == 0) invert_address(revadd, sender_host_address);
2773     frc = string_format(query, sizeof(query), "%s%s", revadd, domain);
2774
2775     if (!frc)
2776       {
2777       log_write(0, LOG_MAIN|LOG_PANIC, "dnslist query is too long "
2778         "(ignored): %s...", query);
2779       continue;
2780       }
2781
2782     rc = one_check_dnsbl(domain, sender_host_address, query, iplist, bitmask,
2783       invert_result, defer_return);
2784
2785     if (rc == OK)
2786       {
2787       dnslist_domain = string_copy(domain);
2788       HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
2789         sender_host_address, domain);
2790       }
2791
2792     if (rc != FAIL) return rc;     /* OK or DEFER */
2793     }
2794
2795   /* If there is a key string, it can be a list of domains or IP addresses to
2796   be concatenated with the main domain. */
2797
2798   else
2799     {
2800     int keysep = 0;
2801     BOOL defer = FALSE;
2802     uschar *keydomain;
2803     uschar keybuffer[256];
2804
2805     while ((keydomain = string_nextinlist(&key, &keysep, keybuffer,
2806             sizeof(keybuffer))) != NULL)
2807       {
2808       if (string_is_ip_address(keydomain, NULL) != 0)
2809         {
2810         uschar keyrevadd[128];
2811         invert_address(keyrevadd, keydomain);
2812         frc = string_format(query, sizeof(query), "%s%s", keyrevadd, domain);
2813         }
2814       else
2815         {
2816         frc = string_format(query, sizeof(query), "%s.%s", keydomain, domain);
2817         }
2818
2819       if (!frc)
2820         {
2821         log_write(0, LOG_MAIN|LOG_PANIC, "dnslist query is too long "
2822           "(ignored): %s...", query);
2823         continue;
2824         }
2825
2826       rc = one_check_dnsbl(domain, keydomain, query, iplist, bitmask,
2827         invert_result, defer_return);
2828
2829       if (rc == OK)
2830         {
2831         dnslist_domain = string_copy(domain);
2832         HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
2833           keydomain, domain);
2834         return OK;
2835         }
2836
2837       /* If the lookup deferred, remember this fact. We keep trying the rest
2838       of the list to see if we get a useful result, and if we don't, we return
2839       DEFER at the end. */
2840
2841       if (rc == DEFER) defer = TRUE;
2842       }    /* continue with next keystring domain/address */
2843
2844     if (defer) return DEFER;
2845     }
2846   }        /* continue with next dnsdb outer domain */
2847
2848 return FAIL;
2849 }
2850
2851 /* End of verify.c */