cdc914f5e13c31a6789b5d4f0327d427410b1235
[users/heiko/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"authresults",
107   US"certextract",
108   US"dlfunc",
109   US"env",
110   US"extract",
111   US"filter",
112   US"hash",
113   US"hmac",
114   US"if",
115 #ifdef SUPPORT_I18N
116   US"imapfolder",
117 #endif
118   US"length",
119   US"listextract",
120   US"listquote",
121   US"lookup",
122   US"map",
123   US"nhash",
124   US"perl",
125   US"prvs",
126   US"prvscheck",
127   US"readfile",
128   US"readsocket",
129   US"reduce",
130   US"run",
131   US"sg",
132   US"sort",
133 #ifdef EXPERIMENTAL_SRS_NATIVE
134   US"srs_encode",
135 #endif
136   US"substr",
137   US"tr" };
138
139 enum {
140   EITEM_ACL,
141   EITEM_AUTHRESULTS,
142   EITEM_CERTEXTRACT,
143   EITEM_DLFUNC,
144   EITEM_ENV,
145   EITEM_EXTRACT,
146   EITEM_FILTER,
147   EITEM_HASH,
148   EITEM_HMAC,
149   EITEM_IF,
150 #ifdef SUPPORT_I18N
151   EITEM_IMAPFOLDER,
152 #endif
153   EITEM_LENGTH,
154   EITEM_LISTEXTRACT,
155   EITEM_LISTQUOTE,
156   EITEM_LOOKUP,
157   EITEM_MAP,
158   EITEM_NHASH,
159   EITEM_PERL,
160   EITEM_PRVS,
161   EITEM_PRVSCHECK,
162   EITEM_READFILE,
163   EITEM_READSOCK,
164   EITEM_REDUCE,
165   EITEM_RUN,
166   EITEM_SG,
167   EITEM_SORT,
168 #ifdef EXPERIMENTAL_SRS_NATIVE
169   EITEM_SRS_ENCODE,
170 #endif
171   EITEM_SUBSTR,
172   EITEM_TR };
173
174 /* Tables of operator names, and corresponding switch numbers. The names must be
175 in alphabetical order. There are two tables, because underscore is used in some
176 cases to introduce arguments, whereas for other it is part of the name. This is
177 an historical mis-design. */
178
179 static uschar *op_table_underscore[] = {
180   US"from_utf8",
181   US"local_part",
182   US"quote_local_part",
183   US"reverse_ip",
184   US"time_eval",
185   US"time_interval"
186 #ifdef SUPPORT_I18N
187  ,US"utf8_domain_from_alabel",
188   US"utf8_domain_to_alabel",
189   US"utf8_localpart_from_alabel",
190   US"utf8_localpart_to_alabel"
191 #endif
192   };
193
194 enum {
195   EOP_FROM_UTF8,
196   EOP_LOCAL_PART,
197   EOP_QUOTE_LOCAL_PART,
198   EOP_REVERSE_IP,
199   EOP_TIME_EVAL,
200   EOP_TIME_INTERVAL
201 #ifdef SUPPORT_I18N
202  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
203   EOP_UTF8_DOMAIN_TO_ALABEL,
204   EOP_UTF8_LOCALPART_FROM_ALABEL,
205   EOP_UTF8_LOCALPART_TO_ALABEL
206 #endif
207   };
208
209 static uschar *op_table_main[] = {
210   US"address",
211   US"addresses",
212   US"base32",
213   US"base32d",
214   US"base62",
215   US"base62d",
216   US"base64",
217   US"base64d",
218   US"bless",
219   US"domain",
220   US"escape",
221   US"escape8bit",
222   US"eval",
223   US"eval10",
224   US"expand",
225   US"h",
226   US"hash",
227   US"hex2b64",
228   US"hexquote",
229   US"ipv6denorm",
230   US"ipv6norm",
231   US"l",
232   US"lc",
233   US"length",
234   US"listcount",
235   US"listnamed",
236   US"mask",
237   US"md5",
238   US"nh",
239   US"nhash",
240   US"quote",
241   US"randint",
242   US"rfc2047",
243   US"rfc2047d",
244   US"rxquote",
245   US"s",
246   US"sha1",
247   US"sha2",
248   US"sha256",
249   US"sha3",
250   US"stat",
251   US"str2b64",
252   US"strlen",
253   US"substr",
254   US"uc",
255   US"utf8clean" };
256
257 enum {
258   EOP_ADDRESS =  nelem(op_table_underscore),
259   EOP_ADDRESSES,
260   EOP_BASE32,
261   EOP_BASE32D,
262   EOP_BASE62,
263   EOP_BASE62D,
264   EOP_BASE64,
265   EOP_BASE64D,
266   EOP_BLESS,
267   EOP_DOMAIN,
268   EOP_ESCAPE,
269   EOP_ESCAPE8BIT,
270   EOP_EVAL,
271   EOP_EVAL10,
272   EOP_EXPAND,
273   EOP_H,
274   EOP_HASH,
275   EOP_HEX2B64,
276   EOP_HEXQUOTE,
277   EOP_IPV6DENORM,
278   EOP_IPV6NORM,
279   EOP_L,
280   EOP_LC,
281   EOP_LENGTH,
282   EOP_LISTCOUNT,
283   EOP_LISTNAMED,
284   EOP_MASK,
285   EOP_MD5,
286   EOP_NH,
287   EOP_NHASH,
288   EOP_QUOTE,
289   EOP_RANDINT,
290   EOP_RFC2047,
291   EOP_RFC2047D,
292   EOP_RXQUOTE,
293   EOP_S,
294   EOP_SHA1,
295   EOP_SHA2,
296   EOP_SHA256,
297   EOP_SHA3,
298   EOP_STAT,
299   EOP_STR2B64,
300   EOP_STRLEN,
301   EOP_SUBSTR,
302   EOP_UC,
303   EOP_UTF8CLEAN };
304
305
306 /* Table of condition names, and corresponding switch numbers. The names must
307 be in alphabetical order. */
308
309 static uschar *cond_table[] = {
310   US"<",
311   US"<=",
312   US"=",
313   US"==",     /* Backward compatibility */
314   US">",
315   US">=",
316   US"acl",
317   US"and",
318   US"bool",
319   US"bool_lax",
320   US"crypteq",
321   US"def",
322   US"eq",
323   US"eqi",
324   US"exists",
325   US"first_delivery",
326   US"forall",
327   US"forall_json",
328   US"forall_jsons",
329   US"forany",
330   US"forany_json",
331   US"forany_jsons",
332   US"ge",
333   US"gei",
334   US"gt",
335   US"gti",
336 #ifdef EXPERIMENTAL_SRS_NATIVE
337   US"inbound_srs",
338 #endif
339   US"inlist",
340   US"inlisti",
341   US"isip",
342   US"isip4",
343   US"isip6",
344   US"ldapauth",
345   US"le",
346   US"lei",
347   US"lt",
348   US"lti",
349   US"match",
350   US"match_address",
351   US"match_domain",
352   US"match_ip",
353   US"match_local_part",
354   US"or",
355   US"pam",
356   US"pwcheck",
357   US"queue_running",
358   US"radius",
359   US"saslauthd"
360 };
361
362 enum {
363   ECOND_NUM_L,
364   ECOND_NUM_LE,
365   ECOND_NUM_E,
366   ECOND_NUM_EE,
367   ECOND_NUM_G,
368   ECOND_NUM_GE,
369   ECOND_ACL,
370   ECOND_AND,
371   ECOND_BOOL,
372   ECOND_BOOL_LAX,
373   ECOND_CRYPTEQ,
374   ECOND_DEF,
375   ECOND_STR_EQ,
376   ECOND_STR_EQI,
377   ECOND_EXISTS,
378   ECOND_FIRST_DELIVERY,
379   ECOND_FORALL,
380   ECOND_FORALL_JSON,
381   ECOND_FORALL_JSONS,
382   ECOND_FORANY,
383   ECOND_FORANY_JSON,
384   ECOND_FORANY_JSONS,
385   ECOND_STR_GE,
386   ECOND_STR_GEI,
387   ECOND_STR_GT,
388   ECOND_STR_GTI,
389 #ifdef EXPERIMENTAL_SRS_NATIVE
390   ECOND_INBOUND_SRS,
391 #endif
392   ECOND_INLIST,
393   ECOND_INLISTI,
394   ECOND_ISIP,
395   ECOND_ISIP4,
396   ECOND_ISIP6,
397   ECOND_LDAPAUTH,
398   ECOND_STR_LE,
399   ECOND_STR_LEI,
400   ECOND_STR_LT,
401   ECOND_STR_LTI,
402   ECOND_MATCH,
403   ECOND_MATCH_ADDRESS,
404   ECOND_MATCH_DOMAIN,
405   ECOND_MATCH_IP,
406   ECOND_MATCH_LOCAL_PART,
407   ECOND_OR,
408   ECOND_PAM,
409   ECOND_PWCHECK,
410   ECOND_QUEUE_RUNNING,
411   ECOND_RADIUS,
412   ECOND_SASLAUTHD
413 };
414
415
416 /* Types of table entry */
417
418 enum vtypes {
419   vtype_int,            /* value is address of int */
420   vtype_filter_int,     /* ditto, but recognized only when filtering */
421   vtype_ino,            /* value is address of ino_t (not always an int) */
422   vtype_uid,            /* value is address of uid_t (not always an int) */
423   vtype_gid,            /* value is address of gid_t (not always an int) */
424   vtype_bool,           /* value is address of bool */
425   vtype_stringptr,      /* value is address of pointer to string */
426   vtype_msgbody,        /* as stringptr, but read when first required */
427   vtype_msgbody_end,    /* ditto, the end of the message */
428   vtype_msgheaders,     /* the message's headers, processed */
429   vtype_msgheaders_raw, /* the message's headers, unprocessed */
430   vtype_localpart,      /* extract local part from string */
431   vtype_domain,         /* extract domain from string */
432   vtype_string_func,    /* value is string returned by given function */
433   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
434   vtype_tode,           /* value not used; generate tod in epoch format */
435   vtype_todel,          /* value not used; generate tod in epoch/usec format */
436   vtype_todf,           /* value not used; generate full tod */
437   vtype_todl,           /* value not used; generate log tod */
438   vtype_todlf,          /* value not used; generate log file datestamp tod */
439   vtype_todzone,        /* value not used; generate time zone only */
440   vtype_todzulu,        /* value not used; generate zulu tod */
441   vtype_reply,          /* value not used; get reply from headers */
442   vtype_pid,            /* value not used; result is pid */
443   vtype_host_lookup,    /* value not used; get host name */
444   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
445   vtype_pspace,         /* partition space; value is T/F for spool/log */
446   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
447   vtype_cert            /* SSL certificate */
448   #ifndef DISABLE_DKIM
449   ,vtype_dkim           /* Lookup of value in DKIM signature */
450   #endif
451 };
452
453 /* Type for main variable table */
454
455 typedef struct {
456   const char *name;
457   enum vtypes type;
458   void       *value;
459 } var_entry;
460
461 /* Type for entries pointing to address/length pairs. Not currently
462 in use. */
463
464 typedef struct {
465   uschar **address;
466   int  *length;
467 } alblock;
468
469 static uschar * fn_recipients(void);
470 typedef uschar * stringptr_fn_t(void);
471 static uschar * fn_queue_size(void);
472
473 /* This table must be kept in alphabetical order. */
474
475 static var_entry var_table[] = {
476   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
477      they will be confused with user-creatable ACL variables. */
478   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
479   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
480   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
481   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
482   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
483   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
484   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
485   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
486   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
487   { "acl_narg",            vtype_int,         &acl_narg },
488   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
489   { "address_data",        vtype_stringptr,   &deliver_address_data },
490   { "address_file",        vtype_stringptr,   &address_file },
491   { "address_pipe",        vtype_stringptr,   &address_pipe },
492 #ifdef EXPERIMENTAL_ARC
493   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
494   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
495   { "arc_state",           vtype_stringptr,   &arc_state },
496   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
497 #endif
498   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
499   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
500   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
501   { "authentication_failed",vtype_int,        &authentication_failed },
502 #ifdef WITH_CONTENT_SCAN
503   { "av_failed",           vtype_int,         &av_failed },
504 #endif
505 #ifdef EXPERIMENTAL_BRIGHTMAIL
506   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
507   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
508   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
509   { "bmi_deliver",         vtype_int,         &bmi_deliver },
510 #endif
511   { "body_linecount",      vtype_int,         &body_linecount },
512   { "body_zerocount",      vtype_int,         &body_zerocount },
513   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
514   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
515   { "caller_gid",          vtype_gid,         &real_gid },
516   { "caller_uid",          vtype_uid,         &real_uid },
517   { "callout_address",     vtype_stringptr,   &callout_address },
518   { "compile_date",        vtype_stringptr,   &version_date },
519   { "compile_number",      vtype_stringptr,   &version_cnumber },
520   { "config_dir",          vtype_stringptr,   &config_main_directory },
521   { "config_file",         vtype_stringptr,   &config_main_filename },
522   { "csa_status",          vtype_stringptr,   &csa_status },
523 #ifdef EXPERIMENTAL_DCC
524   { "dcc_header",          vtype_stringptr,   &dcc_header },
525   { "dcc_result",          vtype_stringptr,   &dcc_result },
526 #endif
527 #ifndef DISABLE_DKIM
528   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
529   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
530   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
531   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
532   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
533   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
534   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
535   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
536   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
537   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
538   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
539   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
540   { "dkim_key_length",     vtype_int,         &dkim_key_length },
541   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
542   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
543   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
544   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
545   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
546   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
547   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
548   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
549 #endif
550 #ifdef SUPPORT_DMARC
551   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
552   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
553   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
554   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
555 #endif
556   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
557   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
558   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
559   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
560   { "domain",              vtype_stringptr,   &deliver_domain },
561   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
562 #ifndef DISABLE_EVENT
563   { "event_data",          vtype_stringptr,   &event_data },
564
565   /*XXX want to use generic vars for as many of these as possible*/
566   { "event_defer_errno",   vtype_int,         &event_defer_errno },
567
568   { "event_name",          vtype_stringptr,   &event_name },
569 #endif
570   { "exim_gid",            vtype_gid,         &exim_gid },
571   { "exim_path",           vtype_stringptr,   &exim_path },
572   { "exim_uid",            vtype_uid,         &exim_uid },
573   { "exim_version",        vtype_stringptr,   &version_string },
574   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
575   { "home",                vtype_stringptr,   &deliver_home },
576   { "host",                vtype_stringptr,   &deliver_host },
577   { "host_address",        vtype_stringptr,   &deliver_host_address },
578   { "host_data",           vtype_stringptr,   &host_data },
579   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
580   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
581   { "host_port",           vtype_int,         &deliver_host_port },
582   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
583   { "inode",               vtype_ino,         &deliver_inode },
584   { "interface_address",   vtype_stringptr,   &interface_address },
585   { "interface_port",      vtype_int,         &interface_port },
586   { "item",                vtype_stringptr,   &iterate_item },
587   #ifdef LOOKUP_LDAP
588   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
589   #endif
590   { "load_average",        vtype_load_avg,    NULL },
591   { "local_part",          vtype_stringptr,   &deliver_localpart },
592   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
593   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
594   { "local_part_prefix_v", vtype_stringptr,   &deliver_localpart_prefix_v },
595   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
596   { "local_part_suffix_v", vtype_stringptr,   &deliver_localpart_suffix_v },
597   { "local_part_verified", vtype_stringptr,   &deliver_localpart_verified },
598 #ifdef HAVE_LOCAL_SCAN
599   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
600 #endif
601   { "local_user_gid",      vtype_gid,         &local_user_gid },
602   { "local_user_uid",      vtype_uid,         &local_user_uid },
603   { "localhost_number",    vtype_int,         &host_number },
604   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
605   { "log_space",           vtype_pspace,      (void *)FALSE },
606   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
607   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
608 #ifdef WITH_CONTENT_SCAN
609   { "malware_name",        vtype_stringptr,   &malware_name },
610 #endif
611   { "max_received_linelength", vtype_int,     &max_received_linelength },
612   { "message_age",         vtype_int,         &message_age },
613   { "message_body",        vtype_msgbody,     &message_body },
614   { "message_body_end",    vtype_msgbody_end, &message_body_end },
615   { "message_body_size",   vtype_int,         &message_body_size },
616   { "message_exim_id",     vtype_stringptr,   &message_id },
617   { "message_headers",     vtype_msgheaders,  NULL },
618   { "message_headers_raw", vtype_msgheaders_raw, NULL },
619   { "message_id",          vtype_stringptr,   &message_id },
620   { "message_linecount",   vtype_int,         &message_linecount },
621   { "message_size",        vtype_int,         &message_size },
622 #ifdef SUPPORT_I18N
623   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
624 #endif
625 #ifdef WITH_CONTENT_SCAN
626   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
627   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
628   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
629   { "mime_charset",        vtype_stringptr,   &mime_charset },
630   { "mime_content_description", vtype_stringptr, &mime_content_description },
631   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
632   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
633   { "mime_content_size",   vtype_int,         &mime_content_size },
634   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
635   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
636   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
637   { "mime_filename",       vtype_stringptr,   &mime_filename },
638   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
639   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
640   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
641   { "mime_part_count",     vtype_int,         &mime_part_count },
642 #endif
643   { "n0",                  vtype_filter_int,  &filter_n[0] },
644   { "n1",                  vtype_filter_int,  &filter_n[1] },
645   { "n2",                  vtype_filter_int,  &filter_n[2] },
646   { "n3",                  vtype_filter_int,  &filter_n[3] },
647   { "n4",                  vtype_filter_int,  &filter_n[4] },
648   { "n5",                  vtype_filter_int,  &filter_n[5] },
649   { "n6",                  vtype_filter_int,  &filter_n[6] },
650   { "n7",                  vtype_filter_int,  &filter_n[7] },
651   { "n8",                  vtype_filter_int,  &filter_n[8] },
652   { "n9",                  vtype_filter_int,  &filter_n[9] },
653   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
654   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
655   { "originator_gid",      vtype_gid,         &originator_gid },
656   { "originator_uid",      vtype_uid,         &originator_uid },
657   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
658   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
659   { "pid",                 vtype_pid,         NULL },
660 #ifndef DISABLE_PRDR
661   { "prdr_requested",      vtype_bool,        &prdr_requested },
662 #endif
663   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
664 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
665   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
666   { "proxy_external_port", vtype_int,         &proxy_external_port },
667   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
668   { "proxy_local_port",    vtype_int,         &proxy_local_port },
669   { "proxy_session",       vtype_bool,        &proxy_session },
670 #endif
671   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
672   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
673   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
674   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
675   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
676   { "queue_name",          vtype_stringptr,   &queue_name },
677   { "queue_size",          vtype_string_func, &fn_queue_size },
678   { "rcpt_count",          vtype_int,         &rcpt_count },
679   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
680   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
681   { "received_count",      vtype_int,         &received_count },
682   { "received_for",        vtype_stringptr,   &received_for },
683   { "received_ip_address", vtype_stringptr,   &interface_address },
684   { "received_port",       vtype_int,         &interface_port },
685   { "received_protocol",   vtype_stringptr,   &received_protocol },
686   { "received_time",       vtype_int,         &received_time.tv_sec },
687   { "recipient_data",      vtype_stringptr,   &recipient_data },
688   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
689   { "recipients",          vtype_string_func, (void *) &fn_recipients },
690   { "recipients_count",    vtype_int,         &recipients_count },
691 #ifdef WITH_CONTENT_SCAN
692   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
693 #endif
694   { "reply_address",       vtype_reply,       NULL },
695   { "return_path",         vtype_stringptr,   &return_path },
696   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
697   { "router_name",         vtype_stringptr,   &router_name },
698   { "runrc",               vtype_int,         &runrc },
699   { "self_hostname",       vtype_stringptr,   &self_hostname },
700   { "sender_address",      vtype_stringptr,   &sender_address },
701   { "sender_address_data", vtype_stringptr,   &sender_address_data },
702   { "sender_address_domain", vtype_domain,    &sender_address },
703   { "sender_address_local_part", vtype_localpart, &sender_address },
704   { "sender_data",         vtype_stringptr,   &sender_data },
705   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
706   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
707   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
708   { "sender_host_address", vtype_stringptr,   &sender_host_address },
709   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
710   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
711   { "sender_host_name",    vtype_host_lookup, NULL },
712   { "sender_host_port",    vtype_int,         &sender_host_port },
713   { "sender_ident",        vtype_stringptr,   &sender_ident },
714   { "sender_rate",         vtype_stringptr,   &sender_rate },
715   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
716   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
717   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
718   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
719   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
720   { "sending_port",        vtype_int,         &sending_port },
721   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
722   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
723   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
724   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
725   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
726   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
727   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
728   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
729   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
730   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
731   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
732   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
733   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
734   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
735   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
736   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
737 #ifdef WITH_CONTENT_SCAN
738   { "spam_action",         vtype_stringptr,   &spam_action },
739   { "spam_bar",            vtype_stringptr,   &spam_bar },
740   { "spam_report",         vtype_stringptr,   &spam_report },
741   { "spam_score",          vtype_stringptr,   &spam_score },
742   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
743 #endif
744 #ifdef SUPPORT_SPF
745   { "spf_guess",           vtype_stringptr,   &spf_guess },
746   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
747   { "spf_received",        vtype_stringptr,   &spf_received },
748   { "spf_result",          vtype_stringptr,   &spf_result },
749   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
750   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
751 #endif
752   { "spool_directory",     vtype_stringptr,   &spool_directory },
753   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
754   { "spool_space",         vtype_pspace,      (void *)TRUE },
755 #ifdef EXPERIMENTAL_SRS
756   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
757   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
758   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
759   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
760 #endif
761 #if defined(EXPERIMENTAL_SRS) || defined(EXPERIMENTAL_SRS_NATIVE)
762   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
763 #endif
764 #ifdef EXPERIMENTAL_SRS
765   { "srs_status",          vtype_stringptr,   &srs_status },
766 #endif
767   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
768
769   /* The non-(in,out) variables are now deprecated */
770   { "tls_bits",            vtype_int,         &tls_in.bits },
771   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
772   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
773
774   { "tls_in_bits",         vtype_int,         &tls_in.bits },
775   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
776   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
777   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
778   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
779   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
780   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
781   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
782 #ifdef EXPERIMENTAL_TLS_RESUME
783   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
784 #endif
785 #ifndef DISABLE_TLS
786   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
787 #endif
788   { "tls_in_ver",          vtype_stringptr,   &tls_in.ver },
789   { "tls_out_bits",        vtype_int,         &tls_out.bits },
790   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
791   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
792   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
793 #ifdef SUPPORT_DANE
794   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
795 #endif
796   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
797   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
798   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
799   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
800 #ifdef EXPERIMENTAL_TLS_RESUME
801   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
802 #endif
803 #ifndef DISABLE_TLS
804   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
805 #endif
806 #ifdef SUPPORT_DANE
807   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
808 #endif
809   { "tls_out_ver",         vtype_stringptr,   &tls_out.ver },
810
811   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
812 #ifndef DISABLE_TLS
813   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
814 #endif
815
816   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
817   { "tod_epoch",           vtype_tode,        NULL },
818   { "tod_epoch_l",         vtype_todel,       NULL },
819   { "tod_full",            vtype_todf,        NULL },
820   { "tod_log",             vtype_todl,        NULL },
821   { "tod_logfile",         vtype_todlf,       NULL },
822   { "tod_zone",            vtype_todzone,     NULL },
823   { "tod_zulu",            vtype_todzulu,     NULL },
824   { "transport_name",      vtype_stringptr,   &transport_name },
825   { "value",               vtype_stringptr,   &lookup_value },
826   { "verify_mode",         vtype_stringptr,   &verify_mode },
827   { "version_number",      vtype_stringptr,   &version_string },
828   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
829   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
830   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
831   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
832   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
833   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
834 };
835
836 static int var_table_size = nelem(var_table);
837 static uschar var_buffer[256];
838 static BOOL malformed_header;
839
840 /* For textual hashes */
841
842 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
843                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
844                                "0123456789";
845
846 enum { HMAC_MD5, HMAC_SHA1 };
847
848 /* For numeric hashes */
849
850 static unsigned int prime[] = {
851   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
852  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
853  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
854
855 /* For printing modes in symbolic form */
856
857 static uschar *mtable_normal[] =
858   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
859
860 static uschar *mtable_setid[] =
861   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
862
863 static uschar *mtable_sticky[] =
864   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
865
866 /* flags for find_header() */
867 #define FH_EXISTS_ONLY  BIT(0)
868 #define FH_WANT_RAW     BIT(1)
869 #define FH_WANT_LIST    BIT(2)
870
871
872 /*************************************************
873 *           Tables for UTF-8 support             *
874 *************************************************/
875
876 /* Table of the number of extra characters, indexed by the first character
877 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
878 0x3d. */
879
880 static uschar utf8_table1[] = {
881   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
882   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
883   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
884   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
885
886 /* These are the masks for the data bits in the first byte of a character,
887 indexed by the number of additional bytes. */
888
889 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
890
891 /* Get the next UTF-8 character, advancing the pointer. */
892
893 #define GETUTF8INC(c, ptr) \
894   c = *ptr++; \
895   if ((c & 0xc0) == 0xc0) \
896     { \
897     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
898     int s = 6*a; \
899     c = (c & utf8_table2[a]) << s; \
900     while (a-- > 0) \
901       { \
902       s -= 6; \
903       c |= (*ptr++ & 0x3f) << s; \
904       } \
905     }
906
907
908
909 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
910
911 /*************************************************
912 *           Binary chop search on a table        *
913 *************************************************/
914
915 /* This is used for matching expansion items and operators.
916
917 Arguments:
918   name        the name that is being sought
919   table       the table to search
920   table_size  the number of items in the table
921
922 Returns:      the offset in the table, or -1
923 */
924
925 static int
926 chop_match(uschar *name, uschar **table, int table_size)
927 {
928 uschar **bot = table;
929 uschar **top = table + table_size;
930
931 while (top > bot)
932   {
933   uschar **mid = bot + (top - bot)/2;
934   int c = Ustrcmp(name, *mid);
935   if (c == 0) return mid - table;
936   if (c > 0) bot = mid + 1; else top = mid;
937   }
938
939 return -1;
940 }
941
942
943
944 /*************************************************
945 *          Check a condition string              *
946 *************************************************/
947
948 /* This function is called to expand a string, and test the result for a "true"
949 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
950 forced fail or lookup defer.
951
952 We used to release all store used, but this is not not safe due
953 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
954 is reasonably careful to release what it can.
955
956 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
957
958 Arguments:
959   condition     the condition string
960   m1            text to be incorporated in panic error
961   m2            ditto
962
963 Returns:        TRUE if condition is met, FALSE if not
964 */
965
966 BOOL
967 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
968 {
969 uschar * ss = expand_string(condition);
970 if (!ss)
971   {
972   if (!f.expand_string_forcedfail && !f.search_find_defer)
973     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
974       "for %s %s: %s", condition, m1, m2, expand_string_message);
975   return FALSE;
976   }
977 return *ss && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
978   strcmpic(ss, US"false") != 0;
979 }
980
981
982
983
984 /*************************************************
985 *        Pseudo-random number generation         *
986 *************************************************/
987
988 /* Pseudo-random number generation.  The result is not "expected" to be
989 cryptographically strong but not so weak that someone will shoot themselves
990 in the foot using it as a nonce in some email header scheme or whatever
991 weirdness they'll twist this into.  The result should ideally handle fork().
992
993 However, if we're stuck unable to provide this, then we'll fall back to
994 appallingly bad randomness.
995
996 If DISABLE_TLS is not defined then this will not be used except as an emergency
997 fallback.
998
999 Arguments:
1000   max       range maximum
1001 Returns     a random number in range [0, max-1]
1002 */
1003
1004 #ifndef DISABLE_TLS
1005 # define vaguely_random_number vaguely_random_number_fallback
1006 #endif
1007 int
1008 vaguely_random_number(int max)
1009 {
1010 #ifndef DISABLE_TLS
1011 # undef vaguely_random_number
1012 #endif
1013 static pid_t pid = 0;
1014 pid_t p2;
1015
1016 if ((p2 = getpid()) != pid)
1017   {
1018   if (pid != 0)
1019     {
1020
1021 #ifdef HAVE_ARC4RANDOM
1022     /* cryptographically strong randomness, common on *BSD platforms, not
1023     so much elsewhere.  Alas. */
1024 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1025     arc4random_stir();
1026 # endif
1027 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1028 # ifdef HAVE_SRANDOMDEV
1029     /* uses random(4) for seeding */
1030     srandomdev();
1031 # else
1032     {
1033     struct timeval tv;
1034     gettimeofday(&tv, NULL);
1035     srandom(tv.tv_sec | tv.tv_usec | getpid());
1036     }
1037 # endif
1038 #else
1039     /* Poor randomness and no seeding here */
1040 #endif
1041
1042     }
1043   pid = p2;
1044   }
1045
1046 #ifdef HAVE_ARC4RANDOM
1047 return arc4random() % max;
1048 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1049 return random() % max;
1050 #else
1051 /* This one returns a 16-bit number, definitely not crypto-strong */
1052 return random_number(max);
1053 #endif
1054 }
1055
1056
1057
1058
1059 /*************************************************
1060 *             Pick out a name from a string      *
1061 *************************************************/
1062
1063 /* If the name is too long, it is silently truncated.
1064
1065 Arguments:
1066   name      points to a buffer into which to put the name
1067   max       is the length of the buffer
1068   s         points to the first alphabetic character of the name
1069   extras    chars other than alphanumerics to permit
1070
1071 Returns:    pointer to the first character after the name
1072
1073 Note: The test for *s != 0 in the while loop is necessary because
1074 Ustrchr() yields non-NULL if the character is zero (which is not something
1075 I expected). */
1076
1077 static const uschar *
1078 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1079 {
1080 int ptr = 0;
1081 while (*s && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1082   {
1083   if (ptr < max-1) name[ptr++] = *s;
1084   s++;
1085   }
1086 name[ptr] = 0;
1087 return s;
1088 }
1089
1090
1091
1092 /*************************************************
1093 *     Pick out the rest of a header name         *
1094 *************************************************/
1095
1096 /* A variable name starting $header_ (or just $h_ for those who like
1097 abbreviations) might not be the complete header name because headers can
1098 contain any printing characters in their names, except ':'. This function is
1099 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1100 on the end, if the name was terminated by white space.
1101
1102 Arguments:
1103   name      points to a buffer in which the name read so far exists
1104   max       is the length of the buffer
1105   s         points to the first character after the name so far, i.e. the
1106             first non-alphameric character after $header_xxxxx
1107
1108 Returns:    a pointer to the first character after the header name
1109 */
1110
1111 static const uschar *
1112 read_header_name(uschar *name, int max, const uschar *s)
1113 {
1114 int prelen = Ustrchr(name, '_') - name + 1;
1115 int ptr = Ustrlen(name) - prelen;
1116 if (ptr > 0) memmove(name, name+prelen, ptr);
1117 while (mac_isgraph(*s) && *s != ':')
1118   {
1119   if (ptr < max-1) name[ptr++] = *s;
1120   s++;
1121   }
1122 if (*s == ':') s++;
1123 name[ptr++] = ':';
1124 name[ptr] = 0;
1125 return s;
1126 }
1127
1128
1129
1130 /*************************************************
1131 *           Pick out a number from a string      *
1132 *************************************************/
1133
1134 /* Arguments:
1135   n     points to an integer into which to put the number
1136   s     points to the first digit of the number
1137
1138 Returns:  a pointer to the character after the last digit
1139 */
1140 /*XXX consider expanding to int_eximarith_t.  But the test for
1141 "overbig numbers" in 0002 still needs to overflow it. */
1142
1143 static uschar *
1144 read_number(int *n, uschar *s)
1145 {
1146 *n = 0;
1147 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1148 return s;
1149 }
1150
1151 static const uschar *
1152 read_cnumber(int *n, const uschar *s)
1153 {
1154 *n = 0;
1155 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1156 return s;
1157 }
1158
1159
1160
1161 /*************************************************
1162 *        Extract keyed subfield from a string    *
1163 *************************************************/
1164
1165 /* The yield is in dynamic store; NULL means that the key was not found.
1166
1167 Arguments:
1168   key       points to the name of the key
1169   s         points to the string from which to extract the subfield
1170
1171 Returns:    NULL if the subfield was not found, or
1172             a pointer to the subfield's data
1173 */
1174
1175 static uschar *
1176 expand_getkeyed(uschar * key, const uschar * s)
1177 {
1178 int length = Ustrlen(key);
1179 Uskip_whitespace(&s);
1180
1181 /* Loop to search for the key */
1182
1183 while (*s)
1184   {
1185   int dkeylength;
1186   uschar * data;
1187   const uschar * dkey = s;
1188
1189   while (*s && *s != '=' && !isspace(*s)) s++;
1190   dkeylength = s - dkey;
1191   if (Uskip_whitespace(&s) == '=') while (isspace(*++s));
1192
1193   data = string_dequote(&s);
1194   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1195     return data;
1196
1197   Uskip_whitespace(&s);
1198   }
1199
1200 return NULL;
1201 }
1202
1203
1204
1205 static var_entry *
1206 find_var_ent(uschar * name)
1207 {
1208 int first = 0;
1209 int last = var_table_size;
1210
1211 while (last > first)
1212   {
1213   int middle = (first + last)/2;
1214   int c = Ustrcmp(name, var_table[middle].name);
1215
1216   if (c > 0) { first = middle + 1; continue; }
1217   if (c < 0) { last = middle; continue; }
1218   return &var_table[middle];
1219   }
1220 return NULL;
1221 }
1222
1223 /*************************************************
1224 *   Extract numbered subfield from string        *
1225 *************************************************/
1226
1227 /* Extracts a numbered field from a string that is divided by tokens - for
1228 example a line from /etc/passwd is divided by colon characters.  First field is
1229 numbered one.  Negative arguments count from the right. Zero returns the whole
1230 string. Returns NULL if there are insufficient tokens in the string
1231
1232 ***WARNING***
1233 Modifies final argument - this is a dynamically generated string, so that's OK.
1234
1235 Arguments:
1236   field       number of field to be extracted,
1237                 first field = 1, whole string = 0, last field = -1
1238   separators  characters that are used to break string into tokens
1239   s           points to the string from which to extract the subfield
1240
1241 Returns:      NULL if the field was not found,
1242               a pointer to the field's data inside s (modified to add 0)
1243 */
1244
1245 static uschar *
1246 expand_gettokened (int field, uschar *separators, uschar *s)
1247 {
1248 int sep = 1;
1249 int count;
1250 uschar *ss = s;
1251 uschar *fieldtext = NULL;
1252
1253 if (field == 0) return s;
1254
1255 /* Break the line up into fields in place; for field > 0 we stop when we have
1256 done the number of fields we want. For field < 0 we continue till the end of
1257 the string, counting the number of fields. */
1258
1259 count = (field > 0)? field : INT_MAX;
1260
1261 while (count-- > 0)
1262   {
1263   size_t len;
1264
1265   /* Previous field was the last one in the string. For a positive field
1266   number, this means there are not enough fields. For a negative field number,
1267   check that there are enough, and scan back to find the one that is wanted. */
1268
1269   if (sep == 0)
1270     {
1271     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1272     if ((-field) == (INT_MAX - count - 1)) return s;
1273     while (field++ < 0)
1274       {
1275       ss--;
1276       while (ss[-1] != 0) ss--;
1277       }
1278     fieldtext = ss;
1279     break;
1280     }
1281
1282   /* Previous field was not last in the string; save its start and put a
1283   zero at its end. */
1284
1285   fieldtext = ss;
1286   len = Ustrcspn(ss, separators);
1287   sep = ss[len];
1288   ss[len] = 0;
1289   ss += len + 1;
1290   }
1291
1292 return fieldtext;
1293 }
1294
1295
1296 static uschar *
1297 expand_getlistele(int field, const uschar * list)
1298 {
1299 const uschar * tlist = list;
1300 int sep = 0;
1301 uschar dummy;
1302
1303 if (field < 0)
1304   {
1305   for (field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1306   sep = 0;
1307   }
1308 if (field == 0) return NULL;
1309 while (--field > 0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1310 return string_nextinlist(&list, &sep, NULL, 0);
1311 }
1312
1313
1314 /* Certificate fields, by name.  Worry about by-OID later */
1315 /* Names are chosen to not have common prefixes */
1316
1317 #ifndef DISABLE_TLS
1318 typedef struct
1319 {
1320 uschar * name;
1321 int      namelen;
1322 uschar * (*getfn)(void * cert, uschar * mod);
1323 } certfield;
1324 static certfield certfields[] =
1325 {                       /* linear search; no special order */
1326   { US"version",         7,  &tls_cert_version },
1327   { US"serial_number",   13, &tls_cert_serial_number },
1328   { US"subject",         7,  &tls_cert_subject },
1329   { US"notbefore",       9,  &tls_cert_not_before },
1330   { US"notafter",        8,  &tls_cert_not_after },
1331   { US"issuer",          6,  &tls_cert_issuer },
1332   { US"signature",       9,  &tls_cert_signature },
1333   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1334   { US"subj_altname",    12, &tls_cert_subject_altname },
1335   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1336   { US"crl_uri",         7,  &tls_cert_crl_uri },
1337 };
1338
1339 static uschar *
1340 expand_getcertele(uschar * field, uschar * certvar)
1341 {
1342 var_entry * vp;
1343
1344 if (!(vp = find_var_ent(certvar)))
1345   {
1346   expand_string_message =
1347     string_sprintf("no variable named \"%s\"", certvar);
1348   return NULL;          /* Unknown variable name */
1349   }
1350 /* NB this stops us passing certs around in variable.  Might
1351 want to do that in future */
1352 if (vp->type != vtype_cert)
1353   {
1354   expand_string_message =
1355     string_sprintf("\"%s\" is not a certificate", certvar);
1356   return NULL;          /* Unknown variable name */
1357   }
1358 if (!*(void **)vp->value)
1359   return NULL;
1360
1361 if (*field >= '0' && *field <= '9')
1362   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1363
1364 for (certfield * cp = certfields;
1365      cp < certfields + nelem(certfields);
1366      cp++)
1367   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1368     {
1369     uschar * modifier = *(field += cp->namelen) == ','
1370       ? ++field : NULL;
1371     return (*cp->getfn)( *(void **)vp->value, modifier );
1372     }
1373
1374 expand_string_message =
1375   string_sprintf("bad field selector \"%s\" for certextract", field);
1376 return NULL;
1377 }
1378 #endif  /*DISABLE_TLS*/
1379
1380 /*************************************************
1381 *        Extract a substring from a string       *
1382 *************************************************/
1383
1384 /* Perform the ${substr or ${length expansion operations.
1385
1386 Arguments:
1387   subject     the input string
1388   value1      the offset from the start of the input string to the start of
1389                 the output string; if negative, count from the right.
1390   value2      the length of the output string, or negative (-1) for unset
1391                 if value1 is positive, unset means "all after"
1392                 if value1 is negative, unset means "all before"
1393   len         set to the length of the returned string
1394
1395 Returns:      pointer to the output string, or NULL if there is an error
1396 */
1397
1398 static uschar *
1399 extract_substr(uschar *subject, int value1, int value2, int *len)
1400 {
1401 int sublen = Ustrlen(subject);
1402
1403 if (value1 < 0)    /* count from right */
1404   {
1405   value1 += sublen;
1406
1407   /* If the position is before the start, skip to the start, and adjust the
1408   length. If the length ends up negative, the substring is null because nothing
1409   can precede. This falls out naturally when the length is unset, meaning "all
1410   to the left". */
1411
1412   if (value1 < 0)
1413     {
1414     value2 += value1;
1415     if (value2 < 0) value2 = 0;
1416     value1 = 0;
1417     }
1418
1419   /* Otherwise an unset length => characters before value1 */
1420
1421   else if (value2 < 0)
1422     {
1423     value2 = value1;
1424     value1 = 0;
1425     }
1426   }
1427
1428 /* For a non-negative offset, if the starting position is past the end of the
1429 string, the result will be the null string. Otherwise, an unset length means
1430 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1431
1432 else
1433   {
1434   if (value1 > sublen)
1435     {
1436     value1 = sublen;
1437     value2 = 0;
1438     }
1439   else if (value2 < 0) value2 = sublen;
1440   }
1441
1442 /* Cut the length down to the maximum possible for the offset value, and get
1443 the required characters. */
1444
1445 if (value1 + value2 > sublen) value2 = sublen - value1;
1446 *len = value2;
1447 return subject + value1;
1448 }
1449
1450
1451
1452
1453 /*************************************************
1454 *            Old-style hash of a string          *
1455 *************************************************/
1456
1457 /* Perform the ${hash expansion operation.
1458
1459 Arguments:
1460   subject     the input string (an expanded substring)
1461   value1      the length of the output string; if greater or equal to the
1462                 length of the input string, the input string is returned
1463   value2      the number of hash characters to use, or 26 if negative
1464   len         set to the length of the returned string
1465
1466 Returns:      pointer to the output string, or NULL if there is an error
1467 */
1468
1469 static uschar *
1470 compute_hash(uschar *subject, int value1, int value2, int *len)
1471 {
1472 int sublen = Ustrlen(subject);
1473
1474 if (value2 < 0) value2 = 26;
1475 else if (value2 > Ustrlen(hashcodes))
1476   {
1477   expand_string_message =
1478     string_sprintf("hash count \"%d\" too big", value2);
1479   return NULL;
1480   }
1481
1482 /* Calculate the hash text. We know it is shorter than the original string, so
1483 can safely place it in subject[] (we know that subject is always itself an
1484 expanded substring). */
1485
1486 if (value1 < sublen)
1487   {
1488   int c;
1489   int i = 0;
1490   int j = value1;
1491   while ((c = (subject[j])) != 0)
1492     {
1493     int shift = (c + j++) & 7;
1494     subject[i] ^= (c << shift) | (c >> (8-shift));
1495     if (++i >= value1) i = 0;
1496     }
1497   for (i = 0; i < value1; i++)
1498     subject[i] = hashcodes[(subject[i]) % value2];
1499   }
1500 else value1 = sublen;
1501
1502 *len = value1;
1503 return subject;
1504 }
1505
1506
1507
1508
1509 /*************************************************
1510 *             Numeric hash of a string           *
1511 *************************************************/
1512
1513 /* Perform the ${nhash expansion operation. The first characters of the
1514 string are treated as most important, and get the highest prime numbers.
1515
1516 Arguments:
1517   subject     the input string
1518   value1      the maximum value of the first part of the result
1519   value2      the maximum value of the second part of the result,
1520                 or negative to produce only a one-part result
1521   len         set to the length of the returned string
1522
1523 Returns:  pointer to the output string, or NULL if there is an error.
1524 */
1525
1526 static uschar *
1527 compute_nhash (uschar *subject, int value1, int value2, int *len)
1528 {
1529 uschar *s = subject;
1530 int i = 0;
1531 unsigned long int total = 0; /* no overflow */
1532
1533 while (*s != 0)
1534   {
1535   if (i == 0) i = nelem(prime) - 1;
1536   total += prime[i--] * (unsigned int)(*s++);
1537   }
1538
1539 /* If value2 is unset, just compute one number */
1540
1541 if (value2 < 0)
1542   s = string_sprintf("%lu", total % value1);
1543
1544 /* Otherwise do a div/mod hash */
1545
1546 else
1547   {
1548   total = total % (value1 * value2);
1549   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1550   }
1551
1552 *len = Ustrlen(s);
1553 return s;
1554 }
1555
1556
1557
1558
1559
1560 /*************************************************
1561 *     Find the value of a header or headers      *
1562 *************************************************/
1563
1564 /* Multiple instances of the same header get concatenated, and this function
1565 can also return a concatenation of all the header lines. When concatenating
1566 specific headers that contain lists of addresses, a comma is inserted between
1567 them. Otherwise we use a straight concatenation. Because some messages can have
1568 pathologically large number of lines, there is a limit on the length that is
1569 returned.
1570
1571 Arguments:
1572   name          the name of the header, without the leading $header_ or $h_,
1573                 or NULL if a concatenation of all headers is required
1574   newsize       return the size of memory block that was obtained; may be NULL
1575                 if exists_only is TRUE
1576   flags         FH_EXISTS_ONLY
1577                   set if called from a def: test; don't need to build a string;
1578                   just return a string that is not "" and not "0" if the header
1579                   exists
1580                 FH_WANT_RAW
1581                   set if called for $rh_ or $rheader_ items; no processing,
1582                   other than concatenating, will be done on the header. Also used
1583                   for $message_headers_raw.
1584                 FH_WANT_LIST
1585                   Double colon chars in the content, and replace newline with
1586                   colon between each element when concatenating; returning a
1587                   colon-sep list (elements might contain newlines)
1588   charset       name of charset to translate MIME words to; used only if
1589                 want_raw is false; if NULL, no translation is done (this is
1590                 used for $bh_ and $bheader_)
1591
1592 Returns:        NULL if the header does not exist, else a pointer to a new
1593                 store block
1594 */
1595
1596 static uschar *
1597 find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
1598 {
1599 BOOL found = !name;
1600 int len = name ? Ustrlen(name) : 0;
1601 BOOL comma = FALSE;
1602 gstring * g = NULL;
1603
1604 for (header_line * h = header_list; h; h = h->next)
1605   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1606     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1607       {
1608       uschar * s, * t;
1609       size_t inc;
1610
1611       if (flags & FH_EXISTS_ONLY)
1612         return US"1";  /* don't need actual string */
1613
1614       found = TRUE;
1615       s = h->text + len;                /* text to insert */
1616       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1617         Uskip_whitespace(&s);           /* remove leading white space */
1618       t = h->text + h->slen;            /* end-point */
1619
1620       /* Unless wanted raw, remove trailing whitespace, including the
1621       newline. */
1622
1623       if (flags & FH_WANT_LIST)
1624         while (t > s && t[-1] == '\n') t--;
1625       else if (!(flags & FH_WANT_RAW))
1626         {
1627         while (t > s && isspace(t[-1])) t--;
1628
1629         /* Set comma if handling a single header and it's one of those
1630         that contains an address list, except when asked for raw headers. Only
1631         need to do this once. */
1632
1633         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1634         }
1635
1636       /* Trim the header roughly if we're approaching limits */
1637       inc = t - s;
1638       if (gstring_length(g) + inc > header_insert_maxlen)
1639         inc = header_insert_maxlen - gstring_length(g);
1640
1641       /* For raw just copy the data; for a list, add the data as a colon-sep
1642       list-element; for comma-list add as an unchecked comma,newline sep
1643       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1644       stripped trailing WS above including the newline). We ignore the potential
1645       expansion due to colon-doubling, just leaving the loop if the limit is met
1646       or exceeded. */
1647
1648       if (flags & FH_WANT_LIST)
1649         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1650       else if (flags & FH_WANT_RAW)
1651         g = string_catn(g, s, (unsigned)inc);
1652       else if (inc > 0)
1653         g = string_append2_listele_n(g, comma ? US",\n" : US"\n",
1654           s, (unsigned)inc);
1655
1656       if (gstring_length(g) >= header_insert_maxlen) break;
1657       }
1658
1659 if (!found) return NULL;        /* No header found */
1660 if (!g) return US"";
1661
1662 /* That's all we do for raw header expansion. */
1663
1664 *newsize = g->size;
1665 if (flags & FH_WANT_RAW)
1666   return string_from_gstring(g);
1667
1668 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1669 The rfc2047_decode2() function can return an error with decoded data if the
1670 charset translation fails. If decoding fails, it returns NULL. */
1671
1672 else
1673   {
1674   uschar * error, * decoded = rfc2047_decode2(string_from_gstring(g),
1675     check_rfc2047_length, charset, '?', NULL, newsize, &error);
1676   if (error)
1677     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1678       "    input was: %s\n", error, g->s);
1679   return decoded ? decoded : string_from_gstring(g);
1680   }
1681 }
1682
1683
1684
1685
1686 /* Append a "local" element to an Authentication-Results: header
1687 if this was a non-smtp message.
1688 */
1689
1690 static gstring *
1691 authres_local(gstring * g, const uschar * sysname)
1692 {
1693 if (!f.authentication_local)
1694   return g;
1695 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1696 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1697 return g;
1698 }
1699
1700
1701 /* Append an "iprev" element to an Authentication-Results: header
1702 if we have attempted to get the calling host's name.
1703 */
1704
1705 static gstring *
1706 authres_iprev(gstring * g)
1707 {
1708 if (sender_host_name)
1709   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1710 else if (host_lookup_deferred)
1711   g = string_catn(g, US";\n\tiprev=temperror", 19);
1712 else if (host_lookup_failed)
1713   g = string_catn(g, US";\n\tiprev=fail", 13);
1714 else
1715   return g;
1716
1717 if (sender_host_address)
1718   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1719 return g;
1720 }
1721
1722
1723
1724 /*************************************************
1725 *               Return list of recipients        *
1726 *************************************************/
1727 /* A recipients list is available only during system message filtering,
1728 during ACL processing after DATA, and while expanding pipe commands
1729 generated from a system filter, but not elsewhere. */
1730
1731 static uschar *
1732 fn_recipients(void)
1733 {
1734 uschar * s;
1735 gstring * g = NULL;
1736
1737 if (!f.enable_dollar_recipients) return NULL;
1738
1739 for (int i = 0; i < recipients_count; i++)
1740   {
1741   s = recipients_list[i].address;
1742   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1743   }
1744 return g ? g->s : NULL;
1745 }
1746
1747
1748 /*************************************************
1749 *               Return size of queue             *
1750 *************************************************/
1751 /* Ask the daemon for the queue size */
1752
1753 static uschar *
1754 fn_queue_size(void)
1755 {
1756 struct sockaddr_un sa_un = {.sun_family = AF_UNIX};
1757 uschar buf[16];
1758 int fd;
1759 ssize_t len;
1760 const uschar * where;
1761 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1762 uschar * sname;
1763 #endif
1764 fd_set fds;
1765 struct timeval tv;
1766
1767 if ((fd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
1768   {
1769   DEBUG(D_expand) debug_printf(" socket: %s\n", strerror(errno));
1770   return NULL;
1771   }
1772
1773 #ifdef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1774 sa_un.sun_path[0] = 0;  /* Abstract local socket addr - Linux-specific? */
1775 len = offsetof(struct sockaddr_un, sun_path) + 1
1776   + snprintf(sa_un.sun_path+1, sizeof(sa_un.sun_path)-1, "exim_%d", getpid());
1777 #else
1778 sname = string_sprintf("%s/p_%d", spool_directory, getpid());
1779 len = offsetof(struct sockaddr_un, sun_path)
1780   + snprintf(sa_un.sun_path, sizeof(sa_un.sun_path), "%s", sname);
1781 #endif
1782
1783 if (bind(fd, (const struct sockaddr *)&sa_un, len) < 0)
1784   { where = US"bind"; goto bad; }
1785
1786 #ifdef notdef
1787 debug_printf("local addr '%s%s'\n",
1788   *sa_un.sun_path ? "" : "@",
1789   sa_un.sun_path + (*sa_un.sun_path ? 0 : 1));
1790 #endif
1791
1792 #ifdef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1793 sa_un.sun_path[0] = 0;  /* Abstract local socket addr - Linux-specific? */
1794 len = offsetof(struct sockaddr_un, sun_path) + 1
1795   + snprintf(sa_un.sun_path+1, sizeof(sa_un.sun_path)-1, "%s",
1796               expand_string(notifier_socket));
1797 #else
1798 len = offsetof(struct sockaddr_un, sun_path)
1799   + snprintf(sa_un.sun_path, sizeof(sa_un.sun_path), "%s",
1800               expand_string(notifier_socket));
1801 #endif
1802
1803 if (connect(fd, (const struct sockaddr *)&sa_un, len) < 0)
1804   { where = US"connect"; goto bad2; }
1805
1806 buf[0] = NOTIFY_QUEUE_SIZE_REQ;
1807 if (send(fd, buf, 1, 0) < 0) { where = US"send"; goto bad; }
1808
1809 FD_ZERO(&fds); FD_SET(fd, &fds);
1810 tv.tv_sec = 2; tv.tv_usec = 0;
1811 if (select(fd + 1, (SELECT_ARG2_TYPE *)&fds, NULL, NULL, &tv) != 1)
1812   {
1813   DEBUG(D_expand) debug_printf("no daemon response; using local evaluation\n");
1814   len = snprintf(CS buf, sizeof(buf), "%u", queue_count_cached());
1815   }
1816 else if ((len = recv(fd, buf, sizeof(buf), 0)) < 0)
1817   { where = US"recv"; goto bad2; }
1818
1819 close(fd);
1820 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1821 Uunlink(sname);
1822 #endif
1823 return string_copyn(buf, len);
1824
1825 bad2:
1826 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1827   Uunlink(sname);
1828 #endif
1829 bad:
1830   close(fd);
1831   DEBUG(D_expand) debug_printf(" %s: %s\n", where, strerror(errno));
1832   return NULL;
1833 }
1834
1835
1836 /*************************************************
1837 *               Find value of a variable         *
1838 *************************************************/
1839
1840 /* The table of variables is kept in alphabetic order, so we can search it
1841 using a binary chop. The "choplen" variable is nothing to do with the binary
1842 chop.
1843
1844 Arguments:
1845   name          the name of the variable being sought
1846   exists_only   TRUE if this is a def: test; passed on to find_header()
1847   skipping      TRUE => skip any processing evaluation; this is not the same as
1848                   exists_only because def: may test for values that are first
1849                   evaluated here
1850   newsize       pointer to an int which is initially zero; if the answer is in
1851                 a new memory buffer, *newsize is set to its size
1852
1853 Returns:        NULL if the variable does not exist, or
1854                 a pointer to the variable's contents, or
1855                 something non-NULL if exists_only is TRUE
1856 */
1857
1858 static uschar *
1859 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1860 {
1861 var_entry * vp;
1862 uschar *s, *domain;
1863 uschar **ss;
1864 void * val;
1865
1866 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1867 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1868 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1869 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1870 (this gave backwards compatibility at the changeover). There may be built-in
1871 variables whose names start acl_ but they should never start in this way. This
1872 slightly messy specification is a consequence of the history, needless to say.
1873
1874 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1875 set, in which case give an error. */
1876
1877 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1878      !isalpha(name[5]))
1879   {
1880   tree_node * node =
1881     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1882   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1883   }
1884 else if (Ustrncmp(name, "r_", 2) == 0)
1885   {
1886   tree_node * node = tree_search(router_var, name + 2);
1887   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1888   }
1889
1890 /* Handle $auth<n> variables. */
1891
1892 if (Ustrncmp(name, "auth", 4) == 0)
1893   {
1894   uschar *endptr;
1895   int n = Ustrtoul(name + 4, &endptr, 10);
1896   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1897     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1898   }
1899 else if (Ustrncmp(name, "regex", 5) == 0)
1900   {
1901   uschar *endptr;
1902   int n = Ustrtoul(name + 5, &endptr, 10);
1903   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1904     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1905   }
1906
1907 /* For all other variables, search the table */
1908
1909 if (!(vp = find_var_ent(name)))
1910   return NULL;          /* Unknown variable name */
1911
1912 /* Found an existing variable. If in skipping state, the value isn't needed,
1913 and we want to avoid processing (such as looking up the host name). */
1914
1915 if (skipping)
1916   return US"";
1917
1918 val = vp->value;
1919 switch (vp->type)
1920   {
1921   case vtype_filter_int:
1922     if (!f.filter_running) return NULL;
1923     /* Fall through */
1924     /* VVVVVVVVVVVV */
1925   case vtype_int:
1926     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1927     return var_buffer;
1928
1929   case vtype_ino:
1930     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1931     return var_buffer;
1932
1933   case vtype_gid:
1934     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1935     return var_buffer;
1936
1937   case vtype_uid:
1938     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1939     return var_buffer;
1940
1941   case vtype_bool:
1942     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1943     return var_buffer;
1944
1945   case vtype_stringptr:                      /* Pointer to string */
1946     return (s = *((uschar **)(val))) ? s : US"";
1947
1948   case vtype_pid:
1949     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1950     return var_buffer;
1951
1952   case vtype_load_avg:
1953     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1954     return var_buffer;
1955
1956   case vtype_host_lookup:                    /* Lookup if not done so */
1957     if (  !sender_host_name && sender_host_address
1958        && !host_lookup_failed && host_name_lookup() == OK)
1959       host_build_sender_fullhost();
1960     return sender_host_name ? sender_host_name : US"";
1961
1962   case vtype_localpart:                      /* Get local part from address */
1963     if (!(s = *((uschar **)(val)))) return US"";
1964     if (!(domain = Ustrrchr(s, '@'))) return s;
1965     if (domain - s > sizeof(var_buffer) - 1)
1966       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1967           " in string expansion", sizeof(var_buffer));
1968     return string_copyn(s, domain - s);
1969
1970   case vtype_domain:                         /* Get domain from address */
1971     if (!(s = *((uschar **)(val)))) return US"";
1972     domain = Ustrrchr(s, '@');
1973     return domain ? domain + 1 : US"";
1974
1975   case vtype_msgheaders:
1976     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
1977
1978   case vtype_msgheaders_raw:
1979     return find_header(NULL, newsize,
1980                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
1981
1982   case vtype_msgbody:                        /* Pointer to msgbody string */
1983   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1984     ss = (uschar **)(val);
1985     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1986       {
1987       uschar *body;
1988       off_t start_offset = SPOOL_DATA_START_OFFSET;
1989       int len = message_body_visible;
1990       if (len > message_size) len = message_size;
1991       *ss = body = store_malloc(len+1);
1992       body[0] = 0;
1993       if (vp->type == vtype_msgbody_end)
1994         {
1995         struct stat statbuf;
1996         if (fstat(deliver_datafile, &statbuf) == 0)
1997           {
1998           start_offset = statbuf.st_size - len;
1999           if (start_offset < SPOOL_DATA_START_OFFSET)
2000             start_offset = SPOOL_DATA_START_OFFSET;
2001           }
2002         }
2003       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
2004         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
2005           strerror(errno));
2006       len = read(deliver_datafile, body, len);
2007       if (len > 0)
2008         {
2009         body[len] = 0;
2010         if (message_body_newlines)   /* Separate loops for efficiency */
2011           while (len > 0)
2012             { if (body[--len] == 0) body[len] = ' '; }
2013         else
2014           while (len > 0)
2015             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
2016         }
2017       }
2018     return *ss ? *ss : US"";
2019
2020   case vtype_todbsdin:                       /* BSD inbox time of day */
2021     return tod_stamp(tod_bsdin);
2022
2023   case vtype_tode:                           /* Unix epoch time of day */
2024     return tod_stamp(tod_epoch);
2025
2026   case vtype_todel:                          /* Unix epoch/usec time of day */
2027     return tod_stamp(tod_epoch_l);
2028
2029   case vtype_todf:                           /* Full time of day */
2030     return tod_stamp(tod_full);
2031
2032   case vtype_todl:                           /* Log format time of day */
2033     return tod_stamp(tod_log_bare);            /* (without timezone) */
2034
2035   case vtype_todzone:                        /* Time zone offset only */
2036     return tod_stamp(tod_zone);
2037
2038   case vtype_todzulu:                        /* Zulu time */
2039     return tod_stamp(tod_zulu);
2040
2041   case vtype_todlf:                          /* Log file datestamp tod */
2042     return tod_stamp(tod_log_datestamp_daily);
2043
2044   case vtype_reply:                          /* Get reply address */
2045     s = find_header(US"reply-to:", newsize,
2046                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2047                 headers_charset);
2048     if (s) Uskip_whitespace(&s);
2049     if (!s || !*s)
2050       {
2051       *newsize = 0;                            /* For the *s==0 case */
2052       s = find_header(US"from:", newsize,
2053                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2054                 headers_charset);
2055       }
2056     if (s)
2057       {
2058       uschar *t;
2059       Uskip_whitespace(&s);
2060       for (t = s; *t; t++) if (*t == '\n') *t = ' ';
2061       while (t > s && isspace(t[-1])) t--;
2062       *t = 0;
2063       }
2064     return s ? s : US"";
2065
2066   case vtype_string_func:
2067     {
2068     stringptr_fn_t * fn = (stringptr_fn_t *) val;
2069     return fn();
2070     }
2071
2072   case vtype_pspace:
2073     {
2074     int inodes;
2075     sprintf(CS var_buffer, PR_EXIM_ARITH,
2076       receive_statvfs(val == (void *)TRUE, &inodes));
2077     }
2078   return var_buffer;
2079
2080   case vtype_pinodes:
2081     {
2082     int inodes;
2083     (void) receive_statvfs(val == (void *)TRUE, &inodes);
2084     sprintf(CS var_buffer, "%d", inodes);
2085     }
2086   return var_buffer;
2087
2088   case vtype_cert:
2089     return *(void **)val ? US"<cert>" : US"";
2090
2091 #ifndef DISABLE_DKIM
2092   case vtype_dkim:
2093     return dkim_exim_expand_query((int)(long)val);
2094 #endif
2095
2096   }
2097
2098 return NULL;  /* Unknown variable. Silences static checkers. */
2099 }
2100
2101
2102
2103
2104 void
2105 modify_variable(uschar *name, void * value)
2106 {
2107 var_entry * vp;
2108 if ((vp = find_var_ent(name))) vp->value = value;
2109 return;          /* Unknown variable name, fail silently */
2110 }
2111
2112
2113
2114
2115
2116
2117 /*************************************************
2118 *           Read and expand substrings           *
2119 *************************************************/
2120
2121 /* This function is called to read and expand argument substrings for various
2122 expansion items. Some have a minimum requirement that is less than the maximum;
2123 in these cases, the first non-present one is set to NULL.
2124
2125 Arguments:
2126   sub        points to vector of pointers to set
2127   n          maximum number of substrings
2128   m          minimum required
2129   sptr       points to current string pointer
2130   skipping   the skipping flag
2131   check_end  if TRUE, check for final '}'
2132   name       name of item, for error message
2133   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2134              the store.
2135
2136 Returns:     0 OK; string pointer updated
2137              1 curly bracketing error (too few arguments)
2138              2 too many arguments (only if check_end is set); message set
2139              3 other error (expansion failure)
2140 */
2141
2142 static int
2143 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
2144   BOOL check_end, uschar *name, BOOL *resetok)
2145 {
2146 const uschar *s = *sptr;
2147
2148 Uskip_whitespace(&s);
2149 for (int i = 0; i < n; i++)
2150   {
2151   if (*s != '{')
2152     {
2153     if (i < m)
2154       {
2155       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2156         "(min is %d)", name, m);
2157       return 1;
2158       }
2159     sub[i] = NULL;
2160     break;
2161     }
2162   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2163     return 3;
2164   if (*s++ != '}') return 1;
2165   Uskip_whitespace(&s);
2166   }
2167 if (check_end && *s++ != '}')
2168   {
2169   if (s[-1] == '{')
2170     {
2171     expand_string_message = string_sprintf("Too many arguments for '%s' "
2172       "(max is %d)", name, n);
2173     return 2;
2174     }
2175   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2176   return 1;
2177   }
2178
2179 *sptr = s;
2180 return 0;
2181 }
2182
2183
2184
2185
2186 /*************************************************
2187 *     Elaborate message for bad variable         *
2188 *************************************************/
2189
2190 /* For the "unknown variable" message, take a look at the variable's name, and
2191 give additional information about possible ACL variables. The extra information
2192 is added on to expand_string_message.
2193
2194 Argument:   the name of the variable
2195 Returns:    nothing
2196 */
2197
2198 static void
2199 check_variable_error_message(uschar *name)
2200 {
2201 if (Ustrncmp(name, "acl_", 4) == 0)
2202   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2203     (name[4] == 'c' || name[4] == 'm')?
2204       (isalpha(name[5])?
2205         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2206         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2207       ) :
2208       US"user-defined ACL variables must start acl_c or acl_m");
2209 }
2210
2211
2212
2213 /*
2214 Load args from sub array to globals, and call acl_check().
2215 Sub array will be corrupted on return.
2216
2217 Returns:       OK         access is granted by an ACCEPT verb
2218                DISCARD    access is (apparently) granted by a DISCARD verb
2219                FAIL       access is denied
2220                FAIL_DROP  access is denied; drop the connection
2221                DEFER      can't tell at the moment
2222                ERROR      disaster
2223 */
2224 static int
2225 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2226 {
2227 int i;
2228 int sav_narg = acl_narg;
2229 int ret;
2230 uschar * dummy_logmsg;
2231 extern int acl_where;
2232
2233 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2234 for (i = 0; i < nsub && sub[i+1]; i++)
2235   {
2236   uschar * tmp = acl_arg[i];
2237   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2238   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2239   }
2240 acl_narg = i;
2241 while (i < nsub)
2242   {
2243   sub[i+1] = acl_arg[i];
2244   acl_arg[i++] = NULL;
2245   }
2246
2247 DEBUG(D_expand)
2248   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2249     sub[0],
2250     acl_narg>0 ? acl_arg[0] : US"<none>",
2251     acl_narg>1 ? " +more"   : "");
2252
2253 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2254
2255 for (i = 0; i < nsub; i++)
2256   acl_arg[i] = sub[i+1];        /* restore old args */
2257 acl_narg = sav_narg;
2258
2259 return ret;
2260 }
2261
2262
2263
2264
2265 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2266 The given string is modified on return.  Leading whitespace is skipped while
2267 looking for the opening wrap character, then the rest is scanned for the trailing
2268 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2269
2270 A nul is written over the trailing wrap, and a pointer to the char after the
2271 leading wrap is returned.
2272
2273 Arguments:
2274   s     String for de-wrapping
2275   wrap  Two-char string, the first being the opener, second the closer wrapping
2276         character
2277 Return:
2278   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2279 */
2280
2281 static uschar *
2282 dewrap(uschar * s, const uschar * wrap)
2283 {
2284 uschar * p = s;
2285 unsigned depth = 0;
2286 BOOL quotesmode = wrap[0] == wrap[1];
2287
2288 if (Uskip_whitespace(&p) == *wrap)
2289   {
2290   s = ++p;
2291   wrap++;
2292   while (*p)
2293     {
2294     if (*p == '\\') p++;
2295     else if (!quotesmode && *p == wrap[-1]) depth++;
2296     else if (*p == *wrap)
2297       if (depth == 0)
2298         {
2299         *p = '\0';
2300         return s;
2301         }
2302       else
2303         depth--;
2304     p++;
2305     }
2306   }
2307 expand_string_message = string_sprintf("missing '%c'", *wrap);
2308 return NULL;
2309 }
2310
2311
2312 /* Pull off the leading array or object element, returning
2313 a copy in an allocated string.  Update the list pointer.
2314
2315 The element may itself be an abject or array.
2316 Return NULL when the list is empty.
2317 */
2318
2319 static uschar *
2320 json_nextinlist(const uschar ** list)
2321 {
2322 unsigned array_depth = 0, object_depth = 0;
2323 const uschar * s = *list, * item;
2324
2325 skip_whitespace(&s);
2326
2327 for (item = s;
2328      *s && (*s != ',' || array_depth != 0 || object_depth != 0);
2329      s++)
2330   switch (*s)
2331     {
2332     case '[': array_depth++; break;
2333     case ']': array_depth--; break;
2334     case '{': object_depth++; break;
2335     case '}': object_depth--; break;
2336     }
2337 *list = *s ? s+1 : s;
2338 if (item == s) return NULL;
2339 item = string_copyn(item, s - item);
2340 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2341 return US item;
2342 }
2343
2344
2345
2346 /************************************************/
2347 /*  Return offset in ops table, or -1 if not found.
2348 Repoint to just after the operator in the string.
2349
2350 Argument:
2351  ss     string representation of operator
2352  opname split-out operator name
2353 */
2354
2355 static int
2356 identify_operator(const uschar ** ss, uschar ** opname)
2357 {
2358 const uschar * s = *ss;
2359 uschar name[256];
2360
2361 /* Numeric comparisons are symbolic */
2362
2363 if (*s == '=' || *s == '>' || *s == '<')
2364   {
2365   int p = 0;
2366   name[p++] = *s++;
2367   if (*s == '=')
2368     {
2369     name[p++] = '=';
2370     s++;
2371     }
2372   name[p] = 0;
2373   }
2374
2375 /* All other conditions are named */
2376
2377 else
2378   s = read_name(name, sizeof(name), s, US"_");
2379 *ss = s;
2380
2381 /* If we haven't read a name, it means some non-alpha character is first. */
2382
2383 if (!name[0])
2384   {
2385   expand_string_message = string_sprintf("condition name expected, "
2386     "but found \"%.16s\"", s);
2387   return -1;
2388   }
2389 if (opname)
2390   *opname = string_copy(name);
2391
2392 return chop_match(name, cond_table, nelem(cond_table));
2393 }
2394
2395
2396 /*************************************************
2397 *    Handle MD5 or SHA-1 computation for HMAC    *
2398 *************************************************/
2399
2400 /* These are some wrapping functions that enable the HMAC code to be a bit
2401 cleaner. A good compiler will spot the tail recursion.
2402
2403 Arguments:
2404   type         HMAC_MD5 or HMAC_SHA1
2405   remaining    are as for the cryptographic hash functions
2406
2407 Returns:       nothing
2408 */
2409
2410 static void
2411 chash_start(int type, void * base)
2412 {
2413 if (type == HMAC_MD5)
2414   md5_start((md5 *)base);
2415 else
2416   sha1_start((hctx *)base);
2417 }
2418
2419 static void
2420 chash_mid(int type, void * base, const uschar * string)
2421 {
2422 if (type == HMAC_MD5)
2423   md5_mid((md5 *)base, string);
2424 else
2425   sha1_mid((hctx *)base, string);
2426 }
2427
2428 static void
2429 chash_end(int type, void * base, const uschar * string, int length,
2430   uschar * digest)
2431 {
2432 if (type == HMAC_MD5)
2433   md5_end((md5 *)base, string, length, digest);
2434 else
2435   sha1_end((hctx *)base, string, length, digest);
2436 }
2437
2438
2439
2440
2441 /* Do an hmac_md5.  The result is _not_ nul-terminated, and is sized as
2442 the smaller of a full hmac_md5 result (16 bytes) or the supplied output buffer.
2443
2444 Arguments:
2445         key     encoding key, nul-terminated
2446         src     data to be hashed, nul-terminated
2447         buf     output buffer
2448         len     size of output buffer
2449 */
2450
2451 static void
2452 hmac_md5(const uschar * key, const uschar * src, uschar * buf, unsigned len)
2453 {
2454 md5 md5_base;
2455 const uschar * keyptr;
2456 uschar * p;
2457 unsigned int keylen;
2458
2459 #define MD5_HASHLEN      16
2460 #define MD5_HASHBLOCKLEN 64
2461
2462 uschar keyhash[MD5_HASHLEN];
2463 uschar innerhash[MD5_HASHLEN];
2464 uschar finalhash[MD5_HASHLEN];
2465 uschar innerkey[MD5_HASHBLOCKLEN];
2466 uschar outerkey[MD5_HASHBLOCKLEN];
2467
2468 keyptr = key;
2469 keylen = Ustrlen(keyptr);
2470
2471 /* If the key is longer than the hash block length, then hash the key
2472 first */
2473
2474 if (keylen > MD5_HASHBLOCKLEN)
2475   {
2476   chash_start(HMAC_MD5, &md5_base);
2477   chash_end(HMAC_MD5, &md5_base, keyptr, keylen, keyhash);
2478   keyptr = keyhash;
2479   keylen = MD5_HASHLEN;
2480   }
2481
2482 /* Now make the inner and outer key values */
2483
2484 memset(innerkey, 0x36, MD5_HASHBLOCKLEN);
2485 memset(outerkey, 0x5c, MD5_HASHBLOCKLEN);
2486
2487 for (int i = 0; i < keylen; i++)
2488   {
2489   innerkey[i] ^= keyptr[i];
2490   outerkey[i] ^= keyptr[i];
2491   }
2492
2493 /* Now do the hashes */
2494
2495 chash_start(HMAC_MD5, &md5_base);
2496 chash_mid(HMAC_MD5, &md5_base, innerkey);
2497 chash_end(HMAC_MD5, &md5_base, src, Ustrlen(src), innerhash);
2498
2499 chash_start(HMAC_MD5, &md5_base);
2500 chash_mid(HMAC_MD5, &md5_base, outerkey);
2501 chash_end(HMAC_MD5, &md5_base, innerhash, MD5_HASHLEN, finalhash);
2502
2503 /* Encode the final hash as a hex string, limited by output buffer size */
2504
2505 p = buf;
2506 for (int i = 0, j = len; i < MD5_HASHLEN; i++)
2507   {
2508   if (j-- <= 0) break;
2509   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2510   if (j-- <= 0) break;
2511   *p++ = hex_digits[finalhash[i] & 0x0f];
2512   }
2513 return;
2514 }
2515
2516
2517 /*************************************************
2518 *        Read and evaluate a condition           *
2519 *************************************************/
2520
2521 /*
2522 Arguments:
2523   s        points to the start of the condition text
2524   resetok  points to a BOOL which is written false if it is unsafe to
2525            free memory. Certain condition types (acl) may have side-effect
2526            allocation which must be preserved.
2527   yield    points to a BOOL to hold the result of the condition test;
2528            if NULL, we are just reading through a condition that is
2529            part of an "or" combination to check syntax, or in a state
2530            where the answer isn't required
2531
2532 Returns:   a pointer to the first character after the condition, or
2533            NULL after an error
2534 */
2535
2536 static const uschar *
2537 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2538 {
2539 BOOL testfor = TRUE;
2540 BOOL tempcond, combined_cond;
2541 BOOL *subcondptr;
2542 BOOL sub2_honour_dollar = TRUE;
2543 BOOL is_forany, is_json, is_jsons;
2544 int rc, cond_type, roffset;
2545 int_eximarith_t num[2];
2546 struct stat statbuf;
2547 uschar * opname;
2548 uschar name[256];
2549 const uschar *sub[10];
2550
2551 const pcre *re;
2552 const uschar *rerror;
2553
2554 for (;;)
2555   if (Uskip_whitespace(&s) == '!') { testfor = !testfor; s++; } else break;
2556
2557 switch(cond_type = identify_operator(&s, &opname))
2558   {
2559   /* def: tests for a non-empty variable, or for the existence of a header. If
2560   yield == NULL we are in a skipping state, and don't care about the answer. */
2561
2562   case ECOND_DEF:
2563     {
2564     uschar * t;
2565
2566     if (*s != ':')
2567       {
2568       expand_string_message = US"\":\" expected after \"def\"";
2569       return NULL;
2570       }
2571
2572     s = read_name(name, sizeof(name), s+1, US"_");
2573
2574     /* Test for a header's existence. If the name contains a closing brace
2575     character, this may be a user error where the terminating colon has been
2576     omitted. Set a flag to adjust a subsequent error message in this case. */
2577
2578     if (  ( *(t = name) == 'h'
2579           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2580           )
2581        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2582        )
2583       {
2584       s = read_header_name(name, sizeof(name), s);
2585       /* {-for-text-editors */
2586       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2587       if (yield) *yield =
2588         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2589       }
2590
2591     /* Test for a variable's having a non-empty value. A non-existent variable
2592     causes an expansion failure. */
2593
2594     else
2595       {
2596       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2597         {
2598         expand_string_message = name[0]
2599           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2600           : US"variable name omitted after \"def:\"";
2601         check_variable_error_message(name);
2602         return NULL;
2603         }
2604       if (yield) *yield = (t[0] != 0) == testfor;
2605       }
2606
2607     return s;
2608     }
2609
2610
2611   /* first_delivery tests for first delivery attempt */
2612
2613   case ECOND_FIRST_DELIVERY:
2614   if (yield) *yield = f.deliver_firsttime == testfor;
2615   return s;
2616
2617
2618   /* queue_running tests for any process started by a queue runner */
2619
2620   case ECOND_QUEUE_RUNNING:
2621   if (yield) *yield = (queue_run_pid != (pid_t)0) == testfor;
2622   return s;
2623
2624
2625   /* exists:  tests for file existence
2626        isip:  tests for any IP address
2627       isip4:  tests for an IPv4 address
2628       isip6:  tests for an IPv6 address
2629         pam:  does PAM authentication
2630      radius:  does RADIUS authentication
2631    ldapauth:  does LDAP authentication
2632     pwcheck:  does Cyrus SASL pwcheck authentication
2633   */
2634
2635   case ECOND_EXISTS:
2636   case ECOND_ISIP:
2637   case ECOND_ISIP4:
2638   case ECOND_ISIP6:
2639   case ECOND_PAM:
2640   case ECOND_RADIUS:
2641   case ECOND_LDAPAUTH:
2642   case ECOND_PWCHECK:
2643
2644   if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START; /* }-for-text-editors */
2645
2646   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2647   if (!sub[0]) return NULL;
2648   /* {-for-text-editors */
2649   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2650
2651   if (!yield) return s;   /* No need to run the test if skipping */
2652
2653   switch(cond_type)
2654     {
2655     case ECOND_EXISTS:
2656     if ((expand_forbid & RDO_EXISTS) != 0)
2657       {
2658       expand_string_message = US"File existence tests are not permitted";
2659       return NULL;
2660       }
2661     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2662     break;
2663
2664     case ECOND_ISIP:
2665     case ECOND_ISIP4:
2666     case ECOND_ISIP6:
2667     rc = string_is_ip_address(sub[0], NULL);
2668     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2669              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2670     break;
2671
2672     /* Various authentication tests - all optionally compiled */
2673
2674     case ECOND_PAM:
2675     #ifdef SUPPORT_PAM
2676     rc = auth_call_pam(sub[0], &expand_string_message);
2677     goto END_AUTH;
2678     #else
2679     goto COND_FAILED_NOT_COMPILED;
2680     #endif  /* SUPPORT_PAM */
2681
2682     case ECOND_RADIUS:
2683     #ifdef RADIUS_CONFIG_FILE
2684     rc = auth_call_radius(sub[0], &expand_string_message);
2685     goto END_AUTH;
2686     #else
2687     goto COND_FAILED_NOT_COMPILED;
2688     #endif  /* RADIUS_CONFIG_FILE */
2689
2690     case ECOND_LDAPAUTH:
2691     #ifdef LOOKUP_LDAP
2692       {
2693       /* Just to keep the interface the same */
2694       BOOL do_cache;
2695       int old_pool = store_pool;
2696       store_pool = POOL_SEARCH;
2697       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2698         &expand_string_message, &do_cache);
2699       store_pool = old_pool;
2700       }
2701     goto END_AUTH;
2702     #else
2703     goto COND_FAILED_NOT_COMPILED;
2704     #endif  /* LOOKUP_LDAP */
2705
2706     case ECOND_PWCHECK:
2707     #ifdef CYRUS_PWCHECK_SOCKET
2708     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2709     goto END_AUTH;
2710     #else
2711     goto COND_FAILED_NOT_COMPILED;
2712     #endif  /* CYRUS_PWCHECK_SOCKET */
2713
2714     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2715         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2716     END_AUTH:
2717     if (rc == ERROR || rc == DEFER) return NULL;
2718     *yield = (rc == OK) == testfor;
2719     #endif
2720     }
2721   return s;
2722
2723
2724   /* call ACL (in a conditional context).  Accept true, deny false.
2725   Defer is a forced-fail.  Anything set by message= goes to $value.
2726   Up to ten parameters are used; we use the braces round the name+args
2727   like the saslauthd condition does, to permit a variable number of args.
2728   See also the expansion-item version EITEM_ACL and the traditional
2729   acl modifier ACLC_ACL.
2730   Since the ACL may allocate new global variables, tell our caller to not
2731   reclaim memory.
2732   */
2733
2734   case ECOND_ACL:
2735     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2736     {
2737     uschar *sub[10];
2738     uschar *user_msg;
2739     BOOL cond = FALSE;
2740
2741     Uskip_whitespace(&s);
2742     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2743
2744     switch(read_subs(sub, nelem(sub), 1,
2745       &s, yield == NULL, TRUE, name, resetok))
2746       {
2747       case 1: expand_string_message = US"too few arguments or bracketing "
2748         "error for acl";
2749       case 2:
2750       case 3: return NULL;
2751       }
2752
2753     if (yield)
2754       {
2755       int rc;
2756       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2757       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2758         {
2759         case OK:
2760           cond = TRUE;
2761         case FAIL:
2762           lookup_value = NULL;
2763           if (user_msg)
2764             lookup_value = string_copy(user_msg);
2765           *yield = cond == testfor;
2766           break;
2767
2768         case DEFER:
2769           f.expand_string_forcedfail = TRUE;
2770           /*FALLTHROUGH*/
2771         default:
2772           expand_string_message = string_sprintf("%s from acl \"%s\"",
2773             rc_names[rc], sub[0]);
2774           return NULL;
2775         }
2776       }
2777     return s;
2778     }
2779
2780
2781   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2782
2783      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2784
2785   However, the last two are optional. That is why the whole set is enclosed
2786   in their own set of braces. */
2787
2788   case ECOND_SASLAUTHD:
2789 #ifndef CYRUS_SASLAUTHD_SOCKET
2790     goto COND_FAILED_NOT_COMPILED;
2791 #else
2792     {
2793     uschar *sub[4];
2794     Uskip_whitespace(&s);
2795     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2796     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, name,
2797                     resetok))
2798       {
2799       case 1: expand_string_message = US"too few arguments or bracketing "
2800         "error for saslauthd";
2801       case 2:
2802       case 3: return NULL;
2803       }
2804     if (!sub[2]) sub[3] = NULL;  /* realm if no service */
2805     if (yield)
2806       {
2807       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2808         &expand_string_message);
2809       if (rc == ERROR || rc == DEFER) return NULL;
2810       *yield = (rc == OK) == testfor;
2811       }
2812     return s;
2813     }
2814 #endif /* CYRUS_SASLAUTHD_SOCKET */
2815
2816
2817   /* symbolic operators for numeric and string comparison, and a number of
2818   other operators, all requiring two arguments.
2819
2820   crypteq:           encrypts plaintext and compares against an encrypted text,
2821                        using crypt(), crypt16(), MD5 or SHA-1
2822   inlist/inlisti:    checks if first argument is in the list of the second
2823   match:             does a regular expression match and sets up the numerical
2824                        variables if it succeeds
2825   match_address:     matches in an address list
2826   match_domain:      matches in a domain list
2827   match_ip:          matches a host list that is restricted to IP addresses
2828   match_local_part:  matches in a local part list
2829   */
2830
2831   case ECOND_MATCH_ADDRESS:
2832   case ECOND_MATCH_DOMAIN:
2833   case ECOND_MATCH_IP:
2834   case ECOND_MATCH_LOCAL_PART:
2835 #ifndef EXPAND_LISTMATCH_RHS
2836     sub2_honour_dollar = FALSE;
2837 #endif
2838     /* FALLTHROUGH */
2839
2840   case ECOND_CRYPTEQ:
2841   case ECOND_INLIST:
2842   case ECOND_INLISTI:
2843   case ECOND_MATCH:
2844
2845   case ECOND_NUM_L:     /* Numerical comparisons */
2846   case ECOND_NUM_LE:
2847   case ECOND_NUM_E:
2848   case ECOND_NUM_EE:
2849   case ECOND_NUM_G:
2850   case ECOND_NUM_GE:
2851
2852   case ECOND_STR_LT:    /* String comparisons */
2853   case ECOND_STR_LTI:
2854   case ECOND_STR_LE:
2855   case ECOND_STR_LEI:
2856   case ECOND_STR_EQ:
2857   case ECOND_STR_EQI:
2858   case ECOND_STR_GT:
2859   case ECOND_STR_GTI:
2860   case ECOND_STR_GE:
2861   case ECOND_STR_GEI:
2862
2863   for (int i = 0; i < 2; i++)
2864     {
2865     /* Sometimes, we don't expand substrings; too many insecure configurations
2866     created using match_address{}{} and friends, where the second param
2867     includes information from untrustworthy sources. */
2868     BOOL honour_dollar = TRUE;
2869     if ((i > 0) && !sub2_honour_dollar)
2870       honour_dollar = FALSE;
2871
2872     if (Uskip_whitespace(&s) != '{')
2873       {
2874       if (i == 0) goto COND_FAILED_CURLY_START;
2875       expand_string_message = string_sprintf("missing 2nd string in {} "
2876         "after \"%s\"", opname);
2877       return NULL;
2878       }
2879     if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2880         honour_dollar, resetok)))
2881       return NULL;
2882     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2883       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2884                         " for security reasons\n");
2885     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2886
2887     /* Convert to numerical if required; we know that the names of all the
2888     conditions that compare numbers do not start with a letter. This just saves
2889     checking for them individually. */
2890
2891     if (!isalpha(opname[0]) && yield)
2892       if (sub[i][0] == 0)
2893         {
2894         num[i] = 0;
2895         DEBUG(D_expand)
2896           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2897         }
2898       else
2899         {
2900         num[i] = expanded_string_integer(sub[i], FALSE);
2901         if (expand_string_message) return NULL;
2902         }
2903     }
2904
2905   /* Result not required */
2906
2907   if (!yield) return s;
2908
2909   /* Do an appropriate comparison */
2910
2911   switch(cond_type)
2912     {
2913     case ECOND_NUM_E:
2914     case ECOND_NUM_EE:
2915     tempcond = (num[0] == num[1]);
2916     break;
2917
2918     case ECOND_NUM_G:
2919     tempcond = (num[0] > num[1]);
2920     break;
2921
2922     case ECOND_NUM_GE:
2923     tempcond = (num[0] >= num[1]);
2924     break;
2925
2926     case ECOND_NUM_L:
2927     tempcond = (num[0] < num[1]);
2928     break;
2929
2930     case ECOND_NUM_LE:
2931     tempcond = (num[0] <= num[1]);
2932     break;
2933
2934     case ECOND_STR_LT:
2935     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2936     break;
2937
2938     case ECOND_STR_LTI:
2939     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2940     break;
2941
2942     case ECOND_STR_LE:
2943     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2944     break;
2945
2946     case ECOND_STR_LEI:
2947     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2948     break;
2949
2950     case ECOND_STR_EQ:
2951     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2952     break;
2953
2954     case ECOND_STR_EQI:
2955     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2956     break;
2957
2958     case ECOND_STR_GT:
2959     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2960     break;
2961
2962     case ECOND_STR_GTI:
2963     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2964     break;
2965
2966     case ECOND_STR_GE:
2967     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2968     break;
2969
2970     case ECOND_STR_GEI:
2971     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2972     break;
2973
2974     case ECOND_MATCH:   /* Regular expression match */
2975     if (!(re = pcre_compile(CS sub[1], PCRE_COPT, CCSS &rerror,
2976                             &roffset, NULL)))
2977       {
2978       expand_string_message = string_sprintf("regular expression error in "
2979         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2980       return NULL;
2981       }
2982     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2983     break;
2984
2985     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2986     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2987     goto MATCHED_SOMETHING;
2988
2989     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2990     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2991       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2992     goto MATCHED_SOMETHING;
2993
2994     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2995     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2996       {
2997       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2998         sub[0]);
2999       return NULL;
3000       }
3001     else
3002       {
3003       unsigned int *nullcache = NULL;
3004       check_host_block cb;
3005
3006       cb.host_name = US"";
3007       cb.host_address = sub[0];
3008
3009       /* If the host address starts off ::ffff: it is an IPv6 address in
3010       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
3011       addresses. */
3012
3013       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
3014         cb.host_address + 7 : cb.host_address;
3015
3016       rc = match_check_list(
3017              &sub[1],                   /* the list */
3018              0,                         /* separator character */
3019              &hostlist_anchor,          /* anchor pointer */
3020              &nullcache,                /* cache pointer */
3021              check_host,                /* function for testing */
3022              &cb,                       /* argument for function */
3023              MCL_HOST,                  /* type of check */
3024              sub[0],                    /* text for debugging */
3025              NULL);                     /* where to pass back data */
3026       }
3027     goto MATCHED_SOMETHING;
3028
3029     case ECOND_MATCH_LOCAL_PART:
3030     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
3031       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
3032     /* Fall through */
3033     /* VVVVVVVVVVVV */
3034     MATCHED_SOMETHING:
3035     switch(rc)
3036       {
3037       case OK:
3038       tempcond = TRUE;
3039       break;
3040
3041       case FAIL:
3042       tempcond = FALSE;
3043       break;
3044
3045       case DEFER:
3046       expand_string_message = string_sprintf("unable to complete match "
3047         "against \"%s\": %s", sub[1], search_error_message);
3048       return NULL;
3049       }
3050
3051     break;
3052
3053     /* Various "encrypted" comparisons. If the second string starts with
3054     "{" then an encryption type is given. Default to crypt() or crypt16()
3055     (build-time choice). */
3056     /* }-for-text-editors */
3057
3058     case ECOND_CRYPTEQ:
3059     #ifndef SUPPORT_CRYPTEQ
3060     goto COND_FAILED_NOT_COMPILED;
3061     #else
3062     if (strncmpic(sub[1], US"{md5}", 5) == 0)
3063       {
3064       int sublen = Ustrlen(sub[1]+5);
3065       md5 base;
3066       uschar digest[16];
3067
3068       md5_start(&base);
3069       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
3070
3071       /* If the length that we are comparing against is 24, the MD5 digest
3072       is expressed as a base64 string. This is the way LDAP does it. However,
3073       some other software uses a straightforward hex representation. We assume
3074       this if the length is 32. Other lengths fail. */
3075
3076       if (sublen == 24)
3077         {
3078         uschar *coded = b64encode(CUS digest, 16);
3079         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
3080           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3081         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
3082         }
3083       else if (sublen == 32)
3084         {
3085         uschar coded[36];
3086         for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3087         coded[32] = 0;
3088         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
3089           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3090         tempcond = (strcmpic(coded, sub[1]+5) == 0);
3091         }
3092       else
3093         {
3094         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
3095           "fail\n  crypted=%s\n", sub[1]+5);
3096         tempcond = FALSE;
3097         }
3098       }
3099
3100     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
3101       {
3102       int sublen = Ustrlen(sub[1]+6);
3103       hctx h;
3104       uschar digest[20];
3105
3106       sha1_start(&h);
3107       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
3108
3109       /* If the length that we are comparing against is 28, assume the SHA1
3110       digest is expressed as a base64 string. If the length is 40, assume a
3111       straightforward hex representation. Other lengths fail. */
3112
3113       if (sublen == 28)
3114         {
3115         uschar *coded = b64encode(CUS digest, 20);
3116         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
3117           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3118         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
3119         }
3120       else if (sublen == 40)
3121         {
3122         uschar coded[44];
3123         for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3124         coded[40] = 0;
3125         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
3126           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3127         tempcond = (strcmpic(coded, sub[1]+6) == 0);
3128         }
3129       else
3130         {
3131         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
3132           "fail\n  crypted=%s\n", sub[1]+6);
3133         tempcond = FALSE;
3134         }
3135       }
3136
3137     else   /* {crypt} or {crypt16} and non-{ at start */
3138            /* }-for-text-editors */
3139       {
3140       int which = 0;
3141       uschar *coded;
3142
3143       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
3144         {
3145         sub[1] += 7;
3146         which = 1;
3147         }
3148       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
3149         {
3150         sub[1] += 9;
3151         which = 2;
3152         }
3153       else if (sub[1][0] == '{')                /* }-for-text-editors */
3154         {
3155         expand_string_message = string_sprintf("unknown encryption mechanism "
3156           "in \"%s\"", sub[1]);
3157         return NULL;
3158         }
3159
3160       switch(which)
3161         {
3162         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
3163         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
3164         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
3165         }
3166
3167       #define STR(s) # s
3168       #define XSTR(s) STR(s)
3169       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
3170         "  subject=%s\n  crypted=%s\n",
3171         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
3172         coded, sub[1]);
3173       #undef STR
3174       #undef XSTR
3175
3176       /* If the encrypted string contains fewer than two characters (for the
3177       salt), force failure. Otherwise we get false positives: with an empty
3178       string the yield of crypt() is an empty string! */
3179
3180       if (coded)
3181         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
3182       else if (errno == EINVAL)
3183         tempcond = FALSE;
3184       else
3185         {
3186         expand_string_message = string_sprintf("crypt error: %s\n",
3187           US strerror(errno));
3188         return NULL;
3189         }
3190       }
3191     break;
3192     #endif  /* SUPPORT_CRYPTEQ */
3193
3194     case ECOND_INLIST:
3195     case ECOND_INLISTI:
3196       {
3197       const uschar * list = sub[1];
3198       int sep = 0;
3199       uschar *save_iterate_item = iterate_item;
3200       int (*compare)(const uschar *, const uschar *);
3201
3202       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
3203
3204       tempcond = FALSE;
3205       compare = cond_type == ECOND_INLISTI
3206         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
3207
3208       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
3209         {
3210         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
3211         if (compare(sub[0], iterate_item) == 0)
3212           {
3213           tempcond = TRUE;
3214           break;
3215           }
3216         }
3217       iterate_item = save_iterate_item;
3218       }
3219
3220     }   /* Switch for comparison conditions */
3221
3222   *yield = tempcond == testfor;
3223   return s;    /* End of comparison conditions */
3224
3225
3226   /* and/or: computes logical and/or of several conditions */
3227
3228   case ECOND_AND:
3229   case ECOND_OR:
3230   subcondptr = (yield == NULL) ? NULL : &tempcond;
3231   combined_cond = (cond_type == ECOND_AND);
3232
3233   Uskip_whitespace(&s);
3234   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3235
3236   for (;;)
3237     {
3238     /* {-for-text-editors */
3239     if (Uskip_whitespace(&s) == '}') break;
3240     if (*s != '{')                                      /* }-for-text-editors */
3241       {
3242       expand_string_message = string_sprintf("each subcondition "
3243         "inside an \"%s{...}\" condition must be in its own {}", opname);
3244       return NULL;
3245       }
3246
3247     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3248       {
3249       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3250         expand_string_message, opname);
3251       return NULL;
3252       }
3253     Uskip_whitespace(&s);
3254
3255     /* {-for-text-editors */
3256     if (*s++ != '}')
3257       {
3258       /* {-for-text-editors */
3259       expand_string_message = string_sprintf("missing } at end of condition "
3260         "inside \"%s\" group", opname);
3261       return NULL;
3262       }
3263
3264     if (yield)
3265       if (cond_type == ECOND_AND)
3266         {
3267         combined_cond &= tempcond;
3268         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3269         }                                       /* evaluate any more */
3270       else
3271         {
3272         combined_cond |= tempcond;
3273         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3274         }                                       /* evaluate any more */
3275     }
3276
3277   if (yield) *yield = (combined_cond == testfor);
3278   return ++s;
3279
3280
3281   /* forall/forany: iterates a condition with different values */
3282
3283   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3284   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3285   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3286   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3287   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3288   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3289
3290   FORMANY:
3291     {
3292     const uschar * list;
3293     int sep = 0;
3294     uschar *save_iterate_item = iterate_item;
3295
3296     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3297
3298     Uskip_whitespace(&s);
3299     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3300     if (!(sub[0] = expand_string_internal(s, TRUE, &s, yield == NULL, TRUE, resetok)))
3301       return NULL;
3302     /* {-for-text-editors */
3303     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3304
3305     Uskip_whitespace(&s);
3306     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3307
3308     sub[1] = s;
3309
3310     /* Call eval_condition once, with result discarded (as if scanning a
3311     "false" part). This allows us to find the end of the condition, because if
3312     the list it empty, we won't actually evaluate the condition for real. */
3313
3314     if (!(s = eval_condition(sub[1], resetok, NULL)))
3315       {
3316       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3317         expand_string_message, opname);
3318       return NULL;
3319       }
3320     Uskip_whitespace(&s);
3321
3322     /* {-for-text-editors */
3323     if (*s++ != '}')
3324       {
3325       /* {-for-text-editors */
3326       expand_string_message = string_sprintf("missing } at end of condition "
3327         "inside \"%s\"", opname);
3328       return NULL;
3329       }
3330
3331     if (yield) *yield = !testfor;
3332     list = sub[0];
3333     if (is_json) list = dewrap(string_copy(list), US"[]");
3334     while ((iterate_item = is_json
3335       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3336       {
3337       if (is_jsons)
3338         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3339           {
3340           expand_string_message =
3341             string_sprintf("%s wrapping string result for extract jsons",
3342               expand_string_message);
3343           iterate_item = save_iterate_item;
3344           return NULL;
3345           }
3346
3347       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3348       if (!eval_condition(sub[1], resetok, &tempcond))
3349         {
3350         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3351           expand_string_message, opname);
3352         iterate_item = save_iterate_item;
3353         return NULL;
3354         }
3355       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3356         tempcond? "true":"false");
3357
3358       if (yield) *yield = (tempcond == testfor);
3359       if (tempcond == is_forany) break;
3360       }
3361
3362     iterate_item = save_iterate_item;
3363     return s;
3364     }
3365
3366
3367   /* The bool{} expansion condition maps a string to boolean.
3368   The values supported should match those supported by the ACL condition
3369   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3370   of true/false.  Note that Router "condition" rules have a different
3371   interpretation, where general data can be used and only a few values
3372   map to FALSE.
3373   Note that readconf.c boolean matching, for boolean configuration options,
3374   only matches true/yes/false/no.
3375   The bool_lax{} condition matches the Router logic, which is much more
3376   liberal. */
3377   case ECOND_BOOL:
3378   case ECOND_BOOL_LAX:
3379     {
3380     uschar *sub_arg[1];
3381     uschar *t, *t2;
3382     uschar *ourname;
3383     size_t len;
3384     BOOL boolvalue = FALSE;
3385
3386     if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3387     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3388     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3389       {
3390       case 1: expand_string_message = string_sprintf(
3391                   "too few arguments or bracketing error for %s",
3392                   ourname);
3393       /*FALLTHROUGH*/
3394       case 2:
3395       case 3: return NULL;
3396       }
3397     t = sub_arg[0];
3398     Uskip_whitespace(&t);
3399     if ((len = Ustrlen(t)))
3400       {
3401       /* trailing whitespace: seems like a good idea to ignore it too */
3402       t2 = t + len - 1;
3403       while (isspace(*t2)) t2--;
3404       if (t2 != (t + len))
3405         {
3406         *++t2 = '\0';
3407         len = t2 - t;
3408         }
3409       }
3410     DEBUG(D_expand)
3411       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3412     /* logic for the lax case from expand_check_condition(), which also does
3413     expands, and the logic is both short and stable enough that there should
3414     be no maintenance burden from replicating it. */
3415     if (len == 0)
3416       boolvalue = FALSE;
3417     else if (*t == '-'
3418              ? Ustrspn(t+1, "0123456789") == len-1
3419              : Ustrspn(t,   "0123456789") == len)
3420       {
3421       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3422       /* expand_check_condition only does a literal string "0" check */
3423       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3424         boolvalue = TRUE;
3425       }
3426     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3427       boolvalue = TRUE;
3428     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3429       boolvalue = FALSE;
3430     else if (cond_type == ECOND_BOOL_LAX)
3431       boolvalue = TRUE;
3432     else
3433       {
3434       expand_string_message = string_sprintf("unrecognised boolean "
3435        "value \"%s\"", t);
3436       return NULL;
3437       }
3438     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3439         boolvalue? "true":"false");
3440     if (yield) *yield = (boolvalue == testfor);
3441     return s;
3442     }
3443
3444 #ifdef EXPERIMENTAL_SRS_NATIVE
3445   case ECOND_INBOUND_SRS:
3446     /* ${if inbound_srs {local_part}{secret}  {yes}{no}} */
3447     {
3448     uschar * sub[2];
3449     const pcre * re;
3450     int ovec[3*(4+1)];
3451     int n;
3452     uschar cksum[4];
3453     BOOL boolvalue = FALSE;
3454
3455     switch(read_subs(sub, 2, 2, CUSS &s, yield == NULL, FALSE, name, resetok))
3456       {
3457       case 1: expand_string_message = US"too few arguments or bracketing "
3458         "error for inbound_srs";
3459       case 2:
3460       case 3: return NULL;
3461       }
3462
3463     /* Match the given local_part against the SRS-encoded pattern */
3464
3465     re = regex_must_compile(US"^(?i)SRS0=([^=]+)=([A-Z2-7]+)=([^=]*)=(.*)$",
3466                             TRUE, FALSE);
3467     if (pcre_exec(re, NULL, CS sub[0], Ustrlen(sub[0]), 0, PCRE_EOPT,
3468                   ovec, nelem(ovec)) < 0)
3469       {
3470       DEBUG(D_expand) debug_printf("no match for SRS'd local-part pattern\n");
3471       goto srs_result;
3472       }
3473
3474     /* Side-effect: record the decoded recipient */
3475
3476     srs_recipient = string_sprintf("%.*S@%.*S",                 /* lowercased */
3477                       ovec[9]-ovec[8], sub[0] + ovec[8],        /* substring 4 */
3478                       ovec[7]-ovec[6], sub[0] + ovec[6]);       /* substring 3 */
3479
3480     /* If a zero-length secret was given, we're done.  Otherwise carry on
3481     and validate the given SRS local_part againt our secret. */
3482
3483     if (!*sub[1])
3484       {
3485       boolvalue = TRUE;
3486       goto srs_result;
3487       }
3488
3489     /* check the timestamp */
3490       {
3491       struct timeval now;
3492       uschar * ss = sub[0] + ovec[4];   /* substring 2, the timestamp */
3493       long d;
3494
3495       gettimeofday(&now, NULL);
3496       now.tv_sec /= 86400;              /* days since epoch */
3497
3498       /* Decode substring 2 from base32 to a number */
3499
3500       for (d = 0, n = ovec[5]-ovec[4]; n; n--)
3501         {
3502         uschar * t = Ustrchr(base32_chars, *ss++);
3503         d = d * 32 + (t - base32_chars);
3504         }
3505
3506       if (((now.tv_sec - d) & 0x3ff) > 10)      /* days since SRS generated */
3507         {
3508         DEBUG(D_expand) debug_printf("SRS too old\n");
3509         goto srs_result;
3510         }
3511       }
3512
3513     /* check length of substring 1, the offered checksum */
3514
3515     if (ovec[3]-ovec[2] != 4)
3516       {
3517       DEBUG(D_expand) debug_printf("SRS checksum wrong size\n");
3518       goto srs_result;
3519       }
3520
3521     /* Hash the address with our secret, and compare that computed checksum
3522     with the one extracted from the arg */
3523
3524     hmac_md5(sub[1], srs_recipient, cksum, sizeof(cksum));
3525     if (Ustrncmp(cksum, sub[0] + ovec[2], 4) != 0)
3526       {
3527       DEBUG(D_expand) debug_printf("SRS checksum mismatch\n");
3528       goto srs_result;
3529       }
3530     boolvalue = TRUE;
3531
3532 srs_result:
3533     if (yield) *yield = (boolvalue == testfor);
3534     return s;
3535     }
3536 #endif /*EXPERIMENTAL_SRS_NATIVE*/
3537
3538   /* Unknown condition */
3539
3540   default:
3541     if (!expand_string_message || !*expand_string_message)
3542       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3543     return NULL;
3544   }   /* End switch on condition type */
3545
3546 /* Missing braces at start and end of data */
3547
3548 COND_FAILED_CURLY_START:
3549 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3550 return NULL;
3551
3552 COND_FAILED_CURLY_END:
3553 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3554   opname);
3555 return NULL;
3556
3557 /* A condition requires code that is not compiled */
3558
3559 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3560     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3561     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3562 COND_FAILED_NOT_COMPILED:
3563 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3564   opname);
3565 return NULL;
3566 #endif
3567 }
3568
3569
3570
3571
3572 /*************************************************
3573 *          Save numerical variables              *
3574 *************************************************/
3575
3576 /* This function is called from items such as "if" that want to preserve and
3577 restore the numbered variables.
3578
3579 Arguments:
3580   save_expand_string    points to an array of pointers to set
3581   save_expand_nlength   points to an array of ints for the lengths
3582
3583 Returns:                the value of expand max to save
3584 */
3585
3586 static int
3587 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3588 {
3589 for (int i = 0; i <= expand_nmax; i++)
3590   {
3591   save_expand_nstring[i] = expand_nstring[i];
3592   save_expand_nlength[i] = expand_nlength[i];
3593   }
3594 return expand_nmax;
3595 }
3596
3597
3598
3599 /*************************************************
3600 *           Restore numerical variables          *
3601 *************************************************/
3602
3603 /* This function restored saved values of numerical strings.
3604
3605 Arguments:
3606   save_expand_nmax      the number of strings to restore
3607   save_expand_string    points to an array of pointers
3608   save_expand_nlength   points to an array of ints
3609
3610 Returns:                nothing
3611 */
3612
3613 static void
3614 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3615   int *save_expand_nlength)
3616 {
3617 expand_nmax = save_expand_nmax;
3618 for (int i = 0; i <= expand_nmax; i++)
3619   {
3620   expand_nstring[i] = save_expand_nstring[i];
3621   expand_nlength[i] = save_expand_nlength[i];
3622   }
3623 }
3624
3625
3626
3627
3628
3629 /*************************************************
3630 *            Handle yes/no substrings            *
3631 *************************************************/
3632
3633 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3634 alternative substrings that depend on whether or not the condition was true,
3635 or the lookup or extraction succeeded. The substrings always have to be
3636 expanded, to check their syntax, but "skipping" is set when the result is not
3637 needed - this avoids unnecessary nested lookups.
3638
3639 Arguments:
3640   skipping       TRUE if we were skipping when this item was reached
3641   yes            TRUE if the first string is to be used, else use the second
3642   save_lookup    a value to put back into lookup_value before the 2nd expansion
3643   sptr           points to the input string pointer
3644   yieldptr       points to the output growable-string pointer
3645   type           "lookup", "if", "extract", "run", "env", "listextract" or
3646                  "certextract" for error message
3647   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3648                 the store.
3649
3650 Returns:         0 OK; lookup_value has been reset to save_lookup
3651                  1 expansion failed
3652                  2 expansion failed because of bracketing error
3653 */
3654
3655 static int
3656 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3657   gstring ** yieldptr, uschar *type, BOOL *resetok)
3658 {
3659 int rc = 0;
3660 const uschar *s = *sptr;    /* Local value */
3661 uschar *sub1, *sub2;
3662 const uschar * errwhere;
3663
3664 /* If there are no following strings, we substitute the contents of $value for
3665 lookups and for extractions in the success case. For the ${if item, the string
3666 "true" is substituted. In the fail case, nothing is substituted for all three
3667 items. */
3668
3669 if (skip_whitespace(&s) == '}')
3670   {
3671   if (type[0] == 'i')
3672     {
3673     if (yes && !skipping)
3674       *yieldptr = string_catn(*yieldptr, US"true", 4);
3675     }
3676   else
3677     {
3678     if (yes && lookup_value && !skipping)
3679       *yieldptr = string_cat(*yieldptr, lookup_value);
3680     lookup_value = save_lookup;
3681     }
3682   s++;
3683   goto RETURN;
3684   }
3685
3686 /* The first following string must be braced. */
3687
3688 if (*s++ != '{')
3689   {
3690   errwhere = US"'yes' part did not start with '{'";
3691   goto FAILED_CURLY;
3692   }
3693
3694 /* Expand the first substring. Forced failures are noticed only if we actually
3695 want this string. Set skipping in the call in the fail case (this will always
3696 be the case if we were already skipping). */
3697
3698 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3699 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3700 f.expand_string_forcedfail = FALSE;
3701 if (*s++ != '}')
3702   {
3703   errwhere = US"'yes' part did not end with '}'";
3704   goto FAILED_CURLY;
3705   }
3706
3707 /* If we want the first string, add it to the output */
3708
3709 if (yes)
3710   *yieldptr = string_cat(*yieldptr, sub1);
3711
3712 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3713 $value to what it was at the start of the item, so that it has this value
3714 during the second string expansion. For the call from "if" or "run" to this
3715 function, save_lookup is set to lookup_value, so that this statement does
3716 nothing. */
3717
3718 lookup_value = save_lookup;
3719
3720 /* There now follows either another substring, or "fail", or nothing. This
3721 time, forced failures are noticed only if we want the second string. We must
3722 set skipping in the nested call if we don't want this string, or if we were
3723 already skipping. */
3724
3725 if (skip_whitespace(&s) == '{')
3726   {
3727   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3728   if (sub2 == NULL && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3729   f.expand_string_forcedfail = FALSE;
3730   if (*s++ != '}')
3731     {
3732     errwhere = US"'no' part did not start with '{'";
3733     goto FAILED_CURLY;
3734     }
3735
3736   /* If we want the second string, add it to the output */
3737
3738   if (!yes)
3739     *yieldptr = string_cat(*yieldptr, sub2);
3740   }
3741
3742 /* If there is no second string, but the word "fail" is present when the use of
3743 the second string is wanted, set a flag indicating it was a forced failure
3744 rather than a syntactic error. Swallow the terminating } in case this is nested
3745 inside another lookup or if or extract. */
3746
3747 else if (*s != '}')
3748   {
3749   uschar name[256];
3750   /* deconst cast ok here as source is s anyway */
3751   s = US read_name(name, sizeof(name), s, US"_");
3752   if (Ustrcmp(name, "fail") == 0)
3753     {
3754     if (!yes && !skipping)
3755       {
3756       Uskip_whitespace(&s);
3757       if (*s++ != '}')
3758         {
3759         errwhere = US"did not close with '}' after forcedfail";
3760         goto FAILED_CURLY;
3761         }
3762       expand_string_message =
3763         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3764       f.expand_string_forcedfail = TRUE;
3765       goto FAILED;
3766       }
3767     }
3768   else
3769     {
3770     expand_string_message =
3771       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3772     goto FAILED;
3773     }
3774   }
3775
3776 /* All we have to do now is to check on the final closing brace. */
3777
3778 skip_whitespace(&s);
3779 if (*s++ != '}')
3780   {
3781   errwhere = US"did not close with '}'";
3782   goto FAILED_CURLY;
3783   }
3784
3785
3786 RETURN:
3787 /* Update the input pointer value before returning */
3788 *sptr = s;
3789 return rc;
3790
3791 FAILED_CURLY:
3792   /* Get here if there is a bracketing failure */
3793   expand_string_message = string_sprintf(
3794     "curly-bracket problem in conditional yes/no parsing: %s\n"
3795     " remaining string is '%s'", errwhere, --s);
3796   rc = 2;
3797   goto RETURN;
3798
3799 FAILED:
3800   /* Get here for other failures */
3801   rc = 1;
3802   goto RETURN;
3803 }
3804
3805
3806
3807
3808 /********************************************************
3809 * prvs: Get last three digits of days since Jan 1, 1970 *
3810 ********************************************************/
3811
3812 /* This is needed to implement the "prvs" BATV reverse
3813    path signing scheme
3814
3815 Argument: integer "days" offset to add or substract to
3816           or from the current number of days.
3817
3818 Returns:  pointer to string containing the last three
3819           digits of the number of days since Jan 1, 1970,
3820           modified by the offset argument, NULL if there
3821           was an error in the conversion.
3822
3823 */
3824
3825 static uschar *
3826 prvs_daystamp(int day_offset)
3827 {
3828 uschar *days = store_get(32, FALSE);         /* Need at least 24 for cases */
3829 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3830   (time(NULL) + day_offset*86400)/86400);
3831 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3832 }
3833
3834
3835
3836 /********************************************************
3837 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3838 ********************************************************/
3839
3840 /* This is needed to implement the "prvs" BATV reverse
3841    path signing scheme
3842
3843 Arguments:
3844   address RFC2821 Address to use
3845       key The key to use (must be less than 64 characters
3846           in size)
3847   key_num Single-digit key number to use. Defaults to
3848           '0' when NULL.
3849
3850 Returns:  pointer to string containing the first three
3851           bytes of the final hash in hex format, NULL if
3852           there was an error in the process.
3853 */
3854
3855 static uschar *
3856 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3857 {
3858 gstring * hash_source;
3859 uschar * p;
3860 hctx h;
3861 uschar innerhash[20];
3862 uschar finalhash[20];
3863 uschar innerkey[64];
3864 uschar outerkey[64];
3865 uschar *finalhash_hex;
3866
3867 if (!key_num)
3868   key_num = US"0";
3869
3870 if (Ustrlen(key) > 64)
3871   return NULL;
3872
3873 hash_source = string_catn(NULL, key_num, 1);
3874 hash_source = string_catn(hash_source, daystamp, 3);
3875 hash_source = string_cat(hash_source, address);
3876 (void) string_from_gstring(hash_source);
3877
3878 DEBUG(D_expand)
3879   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3880
3881 memset(innerkey, 0x36, 64);
3882 memset(outerkey, 0x5c, 64);
3883
3884 for (int i = 0; i < Ustrlen(key); i++)
3885   {
3886   innerkey[i] ^= key[i];
3887   outerkey[i] ^= key[i];
3888   }
3889
3890 chash_start(HMAC_SHA1, &h);
3891 chash_mid(HMAC_SHA1, &h, innerkey);
3892 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3893
3894 chash_start(HMAC_SHA1, &h);
3895 chash_mid(HMAC_SHA1, &h, outerkey);
3896 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3897
3898 /* Hashing is deemed sufficient to de-taint any input data */
3899
3900 p = finalhash_hex = store_get(40, FALSE);
3901 for (int i = 0; i < 3; i++)
3902   {
3903   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3904   *p++ = hex_digits[finalhash[i] & 0x0f];
3905   }
3906 *p = '\0';
3907
3908 return finalhash_hex;
3909 }
3910
3911
3912
3913
3914 /*************************************************
3915 *        Join a file onto the output string      *
3916 *************************************************/
3917
3918 /* This is used for readfile/readsock and after a run expansion.
3919 It joins the contents of a file onto the output string, globally replacing
3920 newlines with a given string (optionally).
3921
3922 Arguments:
3923   f            the FILE
3924   yield        pointer to the expandable string struct
3925   eol          newline replacement string, or NULL
3926
3927 Returns:       new pointer for expandable string, terminated if non-null
3928 */
3929
3930 static gstring *
3931 cat_file(FILE *f, gstring *yield, uschar *eol)
3932 {
3933 uschar buffer[1024];
3934
3935 while (Ufgets(buffer, sizeof(buffer), f))
3936   {
3937   int len = Ustrlen(buffer);
3938   if (eol && buffer[len-1] == '\n') len--;
3939   yield = string_catn(yield, buffer, len);
3940   if (eol && buffer[len])
3941     yield = string_cat(yield, eol);
3942   }
3943
3944 (void) string_from_gstring(yield);
3945 return yield;
3946 }
3947
3948
3949 #ifndef DISABLE_TLS
3950 static gstring *
3951 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
3952 {
3953 int rc;
3954 uschar buffer[1024];
3955
3956 /*XXX could we read direct into a pre-grown string? */
3957
3958 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
3959   for (uschar * s = buffer; rc--; s++)
3960     yield = eol && *s == '\n'
3961       ? string_cat(yield, eol) : string_catn(yield, s, 1);
3962
3963 /* We assume that all errors, and any returns of zero bytes,
3964 are actually EOF. */
3965
3966 (void) string_from_gstring(yield);
3967 return yield;
3968 }
3969 #endif
3970
3971
3972 /*************************************************
3973 *          Evaluate numeric expression           *
3974 *************************************************/
3975
3976 /* This is a set of mutually recursive functions that evaluate an arithmetic
3977 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3978 these functions that is called from elsewhere is eval_expr, whose interface is:
3979
3980 Arguments:
3981   sptr        pointer to the pointer to the string - gets updated
3982   decimal     TRUE if numbers are to be assumed decimal
3983   error       pointer to where to put an error message - must be NULL on input
3984   endket      TRUE if ')' must terminate - FALSE for external call
3985
3986 Returns:      on success: the value of the expression, with *error still NULL
3987               on failure: an undefined value, with *error = a message
3988 */
3989
3990 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3991
3992
3993 static int_eximarith_t
3994 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3995 {
3996 uschar *s = *sptr;
3997 int_eximarith_t x = eval_op_or(&s, decimal, error);
3998
3999 if (!*error)
4000   if (endket)
4001     if (*s != ')')
4002       *error = US"expecting closing parenthesis";
4003     else
4004       while (isspace(*++s));
4005   else if (*s)
4006     *error = US"expecting operator";
4007 *sptr = s;
4008 return x;
4009 }
4010
4011
4012 static int_eximarith_t
4013 eval_number(uschar **sptr, BOOL decimal, uschar **error)
4014 {
4015 int c;
4016 int_eximarith_t n;
4017 uschar *s = *sptr;
4018
4019 if (isdigit((c = Uskip_whitespace(&s))))
4020   {
4021   int count;
4022   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
4023   s += count;
4024   switch (tolower(*s))
4025     {
4026     default: break;
4027     case 'k': n *= 1024; s++; break;
4028     case 'm': n *= 1024*1024; s++; break;
4029     case 'g': n *= 1024*1024*1024; s++; break;
4030     }
4031   Uskip_whitespace(&s);
4032   }
4033 else if (c == '(')
4034   {
4035   s++;
4036   n = eval_expr(&s, decimal, error, 1);
4037   }
4038 else
4039   {
4040   *error = US"expecting number or opening parenthesis";
4041   n = 0;
4042   }
4043 *sptr = s;
4044 return n;
4045 }
4046
4047
4048 static int_eximarith_t
4049 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
4050 {
4051 uschar *s = *sptr;
4052 int_eximarith_t x;
4053 Uskip_whitespace(&s);
4054 if (*s == '+' || *s == '-' || *s == '~')
4055   {
4056   int op = *s++;
4057   x = eval_op_unary(&s, decimal, error);
4058   if (op == '-') x = -x;
4059     else if (op == '~') x = ~x;
4060   }
4061 else
4062   x = eval_number(&s, decimal, error);
4063
4064 *sptr = s;
4065 return x;
4066 }
4067
4068
4069 static int_eximarith_t
4070 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
4071 {
4072 uschar *s = *sptr;
4073 int_eximarith_t x = eval_op_unary(&s, decimal, error);
4074 if (!*error)
4075   {
4076   while (*s == '*' || *s == '/' || *s == '%')
4077     {
4078     int op = *s++;
4079     int_eximarith_t y = eval_op_unary(&s, decimal, error);
4080     if (*error) break;
4081     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
4082      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
4083      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
4084      * -N*M is INT_MIN will yield INT_MIN.
4085      * Since we don't support floating point, this is somewhat simpler.
4086      * Ideally, we'd return an error, but since we overflow for all other
4087      * arithmetic, consistency suggests otherwise, but what's the correct value
4088      * to use?  There is none.
4089      * The C standard guarantees overflow for unsigned arithmetic but signed
4090      * overflow invokes undefined behaviour; in practice, this is overflow
4091      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
4092      * that long/longlong larger than int are available, or we could just work
4093      * with larger types.  We should consider whether to guarantee 32bit eval
4094      * and 64-bit working variables, with errors returned.  For now ...
4095      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
4096      * can just let the other invalid results occur otherwise, as they have
4097      * until now.  For this one case, we can coerce.
4098      */
4099     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
4100       {
4101       DEBUG(D_expand)
4102         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
4103             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
4104       x = EXIM_ARITH_MAX;
4105       continue;
4106       }
4107     if (op == '*')
4108       x *= y;
4109     else
4110       {
4111       if (y == 0)
4112         {
4113         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
4114         x = 0;
4115         break;
4116         }
4117       if (op == '/')
4118         x /= y;
4119       else
4120         x %= y;
4121       }
4122     }
4123   }
4124 *sptr = s;
4125 return x;
4126 }
4127
4128
4129 static int_eximarith_t
4130 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
4131 {
4132 uschar *s = *sptr;
4133 int_eximarith_t x = eval_op_mult(&s, decimal, error);
4134 if (!*error)
4135   {
4136   while (*s == '+' || *s == '-')
4137     {
4138     int op = *s++;
4139     int_eximarith_t y = eval_op_mult(&s, decimal, error);
4140     if (*error) break;
4141     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
4142        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
4143       {                 /* over-conservative check */
4144       *error = op == '+'
4145         ? US"overflow in sum" : US"overflow in difference";
4146       break;
4147       }
4148     if (op == '+') x += y; else x -= y;
4149     }
4150   }
4151 *sptr = s;
4152 return x;
4153 }
4154
4155
4156 static int_eximarith_t
4157 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
4158 {
4159 uschar *s = *sptr;
4160 int_eximarith_t x = eval_op_sum(&s, decimal, error);
4161 if (!*error)
4162   {
4163   while ((*s == '<' || *s == '>') && s[1] == s[0])
4164     {
4165     int_eximarith_t y;
4166     int op = *s++;
4167     s++;
4168     y = eval_op_sum(&s, decimal, error);
4169     if (*error) break;
4170     if (op == '<') x <<= y; else x >>= y;
4171     }
4172   }
4173 *sptr = s;
4174 return x;
4175 }
4176
4177
4178 static int_eximarith_t
4179 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
4180 {
4181 uschar *s = *sptr;
4182 int_eximarith_t x = eval_op_shift(&s, decimal, error);
4183 if (!*error)
4184   {
4185   while (*s == '&')
4186     {
4187     int_eximarith_t y;
4188     s++;
4189     y = eval_op_shift(&s, decimal, error);
4190     if (*error) break;
4191     x &= y;
4192     }
4193   }
4194 *sptr = s;
4195 return x;
4196 }
4197
4198
4199 static int_eximarith_t
4200 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
4201 {
4202 uschar *s = *sptr;
4203 int_eximarith_t x = eval_op_and(&s, decimal, error);
4204 if (!*error)
4205   {
4206   while (*s == '^')
4207     {
4208     int_eximarith_t y;
4209     s++;
4210     y = eval_op_and(&s, decimal, error);
4211     if (*error) break;
4212     x ^= y;
4213     }
4214   }
4215 *sptr = s;
4216 return x;
4217 }
4218
4219
4220 static int_eximarith_t
4221 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
4222 {
4223 uschar *s = *sptr;
4224 int_eximarith_t x = eval_op_xor(&s, decimal, error);
4225 if (!*error)
4226   {
4227   while (*s == '|')
4228     {
4229     int_eximarith_t y;
4230     s++;
4231     y = eval_op_xor(&s, decimal, error);
4232     if (*error) break;
4233     x |= y;
4234     }
4235   }
4236 *sptr = s;
4237 return x;
4238 }
4239
4240
4241
4242 /************************************************/
4243 /* Comparison operation for sort expansion.  We need to avoid
4244 re-expanding the fields being compared, so need a custom routine.
4245
4246 Arguments:
4247  cond_type              Comparison operator code
4248  leftarg, rightarg      Arguments for comparison
4249
4250 Return true iff (leftarg compare rightarg)
4251 */
4252
4253 static BOOL
4254 sortsbefore(int cond_type, BOOL alpha_cond,
4255   const uschar * leftarg, const uschar * rightarg)
4256 {
4257 int_eximarith_t l_num, r_num;
4258
4259 if (!alpha_cond)
4260   {
4261   l_num = expanded_string_integer(leftarg, FALSE);
4262   if (expand_string_message) return FALSE;
4263   r_num = expanded_string_integer(rightarg, FALSE);
4264   if (expand_string_message) return FALSE;
4265
4266   switch (cond_type)
4267     {
4268     case ECOND_NUM_G:   return l_num >  r_num;
4269     case ECOND_NUM_GE:  return l_num >= r_num;
4270     case ECOND_NUM_L:   return l_num <  r_num;
4271     case ECOND_NUM_LE:  return l_num <= r_num;
4272     default: break;
4273     }
4274   }
4275 else
4276   switch (cond_type)
4277     {
4278     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4279     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4280     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4281     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4282     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4283     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4284     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4285     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4286     default: break;
4287     }
4288 return FALSE;   /* should not happen */
4289 }
4290
4291
4292 /*************************************************
4293 *                 Expand string                  *
4294 *************************************************/
4295
4296 /* Returns either an unchanged string, or the expanded string in stacking pool
4297 store. Interpreted sequences are:
4298
4299    \...                    normal escaping rules
4300    $name                   substitutes the variable
4301    ${name}                 ditto
4302    ${op:string}            operates on the expanded string value
4303    ${item{arg1}{arg2}...}  expands the args and then does the business
4304                              some literal args are not enclosed in {}
4305
4306 There are now far too many operators and item types to make it worth listing
4307 them here in detail any more.
4308
4309 We use an internal routine recursively to handle embedded substrings. The
4310 external function follows. The yield is NULL if the expansion failed, and there
4311 are two cases: if something collapsed syntactically, or if "fail" was given
4312 as the action on a lookup failure. These can be distinguished by looking at the
4313 variable expand_string_forcedfail, which is TRUE in the latter case.
4314
4315 The skipping flag is set true when expanding a substring that isn't actually
4316 going to be used (after "if" or "lookup") and it prevents lookups from
4317 happening lower down.
4318
4319 Store usage: At start, a store block of the length of the input plus 64
4320 is obtained. This is expanded as necessary by string_cat(), which might have to
4321 get a new block, or might be able to expand the original. At the end of the
4322 function we can release any store above that portion of the yield block that
4323 was actually used. In many cases this will be optimal.
4324
4325 However: if the first item in the expansion is a variable name or header name,
4326 we reset the store before processing it; if the result is in fresh store, we
4327 use that without copying. This is helpful for expanding strings like
4328 $message_headers which can get very long.
4329
4330 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4331 since resetting the store at the end of the expansion will free store that was
4332 allocated by the plugin code as well as the slop after the expanded string. So
4333 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4334 and, given the acl condition, ${if }. This is an unfortunate consequence of
4335 string expansion becoming too powerful.
4336
4337 Arguments:
4338   string         the string to be expanded
4339   ket_ends       true if expansion is to stop at }
4340   left           if not NULL, a pointer to the first character after the
4341                  expansion is placed here (typically used with ket_ends)
4342   skipping       TRUE for recursive calls when the value isn't actually going
4343                  to be used (to allow for optimisation)
4344   honour_dollar  TRUE if $ is to be expanded,
4345                  FALSE if it's just another character
4346   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4347                  the store.
4348
4349 Returns:         NULL if expansion fails:
4350                    expand_string_forcedfail is set TRUE if failure was forced
4351                    expand_string_message contains a textual error message
4352                  a pointer to the expanded string on success
4353 */
4354
4355 static uschar *
4356 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
4357   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
4358 {
4359 rmark reset_point = store_mark();
4360 gstring * yield = string_get(Ustrlen(string) + 64);
4361 int item_type;
4362 const uschar *s = string;
4363 uschar *save_expand_nstring[EXPAND_MAXN+1];
4364 int save_expand_nlength[EXPAND_MAXN+1];
4365 BOOL resetok = TRUE;
4366
4367 expand_level++;
4368 DEBUG(D_expand)
4369   DEBUG(D_noutf8)
4370     debug_printf_indent("/%s: %s\n",
4371       skipping ? "---scanning" : "considering", string);
4372   else
4373     debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
4374       skipping
4375       ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
4376       : "considering",
4377       string);
4378
4379 f.expand_string_forcedfail = FALSE;
4380 expand_string_message = US"";
4381
4382 if (is_tainted(string))
4383   {
4384   expand_string_message =
4385     string_sprintf("attempt to expand tainted string '%s'", s);
4386   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4387   goto EXPAND_FAILED;
4388   }
4389
4390 while (*s != 0)
4391   {
4392   uschar *value;
4393   uschar name[256];
4394
4395   /* \ escapes the next character, which must exist, or else
4396   the expansion fails. There's a special escape, \N, which causes
4397   copying of the subject verbatim up to the next \N. Otherwise,
4398   the escapes are the standard set. */
4399
4400   if (*s == '\\')
4401     {
4402     if (s[1] == 0)
4403       {
4404       expand_string_message = US"\\ at end of string";
4405       goto EXPAND_FAILED;
4406       }
4407
4408     if (s[1] == 'N')
4409       {
4410       const uschar * t = s + 2;
4411       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
4412       yield = string_catn(yield, t, s - t);
4413       if (*s != 0) s += 2;
4414       }
4415
4416     else
4417       {
4418       uschar ch[1];
4419       ch[0] = string_interpret_escape(&s);
4420       s++;
4421       yield = string_catn(yield, ch, 1);
4422       }
4423
4424     continue;
4425     }
4426
4427   /*{*/
4428   /* Anything other than $ is just copied verbatim, unless we are
4429   looking for a terminating } character. */
4430
4431   /*{*/
4432   if (ket_ends && *s == '}') break;
4433
4434   if (*s != '$' || !honour_dollar)
4435     {
4436     yield = string_catn(yield, s++, 1);
4437     continue;
4438     }
4439
4440   /* No { after the $ - must be a plain name or a number for string
4441   match variable. There has to be a fudge for variables that are the
4442   names of header fields preceded by "$header_" because header field
4443   names can contain any printing characters except space and colon.
4444   For those that don't like typing this much, "$h_" is a synonym for
4445   "$header_". A non-existent header yields a NULL value; nothing is
4446   inserted. */  /*}*/
4447
4448   if (isalpha((*(++s))))
4449     {
4450     int len;
4451     int newsize = 0;
4452     gstring * g = NULL;
4453     uschar * t;
4454
4455     s = read_name(name, sizeof(name), s, US"_");
4456
4457     /* If this is the first thing to be expanded, release the pre-allocated
4458     buffer. */
4459
4460     if (!yield)
4461       g = store_get(sizeof(gstring), FALSE);
4462     else if (yield->ptr == 0)
4463       {
4464       if (resetok) reset_point = store_reset(reset_point);
4465       yield = NULL;
4466       reset_point = store_mark();
4467       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
4468       }
4469
4470     /* Header */
4471
4472     if (  ( *(t = name) == 'h'
4473           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4474           )
4475        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4476        )
4477       {
4478       unsigned flags = *name == 'r' ? FH_WANT_RAW
4479                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4480                       : 0;
4481       uschar * charset = *name == 'b' ? NULL : headers_charset;
4482
4483       s = read_header_name(name, sizeof(name), s);
4484       value = find_header(name, &newsize, flags, charset);
4485
4486       /* If we didn't find the header, and the header contains a closing brace
4487       character, this may be a user error where the terminating colon
4488       has been omitted. Set a flag to adjust the error message in this case.
4489       But there is no error here - nothing gets inserted. */
4490
4491       if (!value)
4492         {
4493         if (Ustrchr(name, '}')) malformed_header = TRUE;
4494         continue;
4495         }
4496       }
4497
4498     /* Variable */
4499
4500     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
4501       {
4502       expand_string_message =
4503         string_sprintf("unknown variable name \"%s\"", name);
4504         check_variable_error_message(name);
4505       goto EXPAND_FAILED;
4506       }
4507
4508     /* If the data is known to be in a new buffer, newsize will be set to the
4509     size of that buffer. If this is the first thing in an expansion string,
4510     yield will be NULL; just point it at the new store instead of copying. Many
4511     expansion strings contain just one reference, so this is a useful
4512     optimization, especially for humungous headers.  We need to use a gstring
4513     structure that is not allocated after that new-buffer, else a later store
4514     reset in the middle of the buffer will make it inaccessible. */
4515
4516     len = Ustrlen(value);
4517     if (!yield && newsize != 0)
4518       {
4519       yield = g;
4520       yield->size = newsize;
4521       yield->ptr = len;
4522       yield->s = value;
4523       }
4524     else
4525       yield = string_catn(yield, value, len);
4526
4527     continue;
4528     }
4529
4530   if (isdigit(*s))
4531     {
4532     int n;
4533     s = read_cnumber(&n, s);
4534     if (n >= 0 && n <= expand_nmax)
4535       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4536     continue;
4537     }
4538
4539   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4540
4541   if (*s != '{')                                                        /*}*/
4542     {
4543     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4544     goto EXPAND_FAILED;
4545     }
4546
4547   /* After { there can be various things, but they all start with
4548   an initial word, except for a number for a string match variable. */
4549
4550   if (isdigit((*(++s))))
4551     {
4552     int n;
4553     s = read_cnumber(&n, s);            /*{*/
4554     if (*s++ != '}')
4555       {                                 /*{*/
4556       expand_string_message = US"} expected after number";
4557       goto EXPAND_FAILED;
4558       }
4559     if (n >= 0 && n <= expand_nmax)
4560       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4561     continue;
4562     }
4563
4564   if (!isalpha(*s))
4565     {
4566     expand_string_message = US"letter or digit expected after ${";      /*}*/
4567     goto EXPAND_FAILED;
4568     }
4569
4570   /* Allow "-" in names to cater for substrings with negative
4571   arguments. Since we are checking for known names after { this is
4572   OK. */
4573
4574   s = read_name(name, sizeof(name), s, US"_-");
4575   item_type = chop_match(name, item_table, nelem(item_table));
4576
4577   switch(item_type)
4578     {
4579     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4580     If the ACL returns accept or reject we return content set by "message ="
4581     There is currently no limit on recursion; this would have us call
4582     acl_check_internal() directly and get a current level from somewhere.
4583     See also the acl expansion condition ECOND_ACL and the traditional
4584     acl modifier ACLC_ACL.
4585     Assume that the function has side-effects on the store that must be preserved.
4586     */
4587
4588     case EITEM_ACL:
4589       /* ${acl {name} {arg1}{arg2}...} */
4590       {
4591       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4592       uschar *user_msg;
4593       int rc;
4594
4595       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, name,
4596                       &resetok))
4597         {
4598         case 1: goto EXPAND_FAILED_CURLY;
4599         case 2:
4600         case 3: goto EXPAND_FAILED;
4601         }
4602       if (skipping) continue;
4603
4604       resetok = FALSE;
4605       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4606         {
4607         case OK:
4608         case FAIL:
4609           DEBUG(D_expand)
4610             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4611           if (user_msg)
4612             yield = string_cat(yield, user_msg);
4613           continue;
4614
4615         case DEFER:
4616           f.expand_string_forcedfail = TRUE;
4617           /*FALLTHROUGH*/
4618         default:
4619           expand_string_message = string_sprintf("%s from acl \"%s\"",
4620             rc_names[rc], sub[0]);
4621           goto EXPAND_FAILED;
4622         }
4623       }
4624
4625     case EITEM_AUTHRESULTS:
4626       /* ${authresults {mysystemname}} */
4627       {
4628       uschar *sub_arg[1];
4629
4630       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4631                       &resetok))
4632         {
4633         case 1: goto EXPAND_FAILED_CURLY;
4634         case 2:
4635         case 3: goto EXPAND_FAILED;
4636         }
4637
4638       yield = string_append(yield, 3,
4639                         US"Authentication-Results: ", sub_arg[0], US"; none");
4640       yield->ptr -= 6;
4641
4642       yield = authres_local(yield, sub_arg[0]);
4643       yield = authres_iprev(yield);
4644       yield = authres_smtpauth(yield);
4645 #ifdef SUPPORT_SPF
4646       yield = authres_spf(yield);
4647 #endif
4648 #ifndef DISABLE_DKIM
4649       yield = authres_dkim(yield);
4650 #endif
4651 #ifdef SUPPORT_DMARC
4652       yield = authres_dmarc(yield);
4653 #endif
4654 #ifdef EXPERIMENTAL_ARC
4655       yield = authres_arc(yield);
4656 #endif
4657       continue;
4658       }
4659
4660     /* Handle conditionals - preserve the values of the numerical expansion
4661     variables in case they get changed by a regular expression match in the
4662     condition. If not, they retain their external settings. At the end
4663     of this "if" section, they get restored to their previous values. */
4664
4665     case EITEM_IF:
4666       {
4667       BOOL cond = FALSE;
4668       const uschar *next_s;
4669       int save_expand_nmax =
4670         save_expand_strings(save_expand_nstring, save_expand_nlength);
4671
4672       Uskip_whitespace(&s);
4673       if (!(next_s = eval_condition(s, &resetok, skipping ? NULL : &cond)))
4674         goto EXPAND_FAILED;  /* message already set */
4675
4676       DEBUG(D_expand)
4677         DEBUG(D_noutf8)
4678           {
4679           debug_printf_indent("|--condition: %.*s\n", (int)(next_s - s), s);
4680           debug_printf_indent("|-----result: %s\n", cond ? "true" : "false");
4681           }
4682         else
4683           {
4684           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4685             "condition: %.*s\n",
4686             (int)(next_s - s), s);
4687           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4688             UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4689             "result: %s\n",
4690             cond ? "true" : "false");
4691           }
4692
4693       s = next_s;
4694
4695       /* The handling of "yes" and "no" result strings is now in a separate
4696       function that is also used by ${lookup} and ${extract} and ${run}. */
4697
4698       switch(process_yesno(
4699                skipping,                     /* were previously skipping */
4700                cond,                         /* success/failure indicator */
4701                lookup_value,                 /* value to reset for string2 */
4702                &s,                           /* input pointer */
4703                &yield,                       /* output pointer */
4704                US"if",                       /* condition type */
4705                &resetok))
4706         {
4707         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4708         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4709         }
4710
4711       /* Restore external setting of expansion variables for continuation
4712       at this level. */
4713
4714       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4715         save_expand_nlength);
4716       continue;
4717       }
4718
4719 #ifdef SUPPORT_I18N
4720     case EITEM_IMAPFOLDER:
4721       {                         /* ${imapfolder {name}{sep]{specials}} */
4722       uschar *sub_arg[3];
4723       uschar *encoded;
4724
4725       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4726                       &resetok))
4727         {
4728         case 1: goto EXPAND_FAILED_CURLY;
4729         case 2:
4730         case 3: goto EXPAND_FAILED;
4731         }
4732
4733       if (!sub_arg[1])                  /* One argument */
4734         {
4735         sub_arg[1] = US"/";             /* default separator */
4736         sub_arg[2] = NULL;
4737         }
4738       else if (Ustrlen(sub_arg[1]) != 1)
4739         {
4740         expand_string_message =
4741           string_sprintf(
4742                 "IMAP folder separator must be one character, found \"%s\"",
4743                 sub_arg[1]);
4744         goto EXPAND_FAILED;
4745         }
4746
4747       if (!skipping)
4748         {
4749         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4750                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4751           goto EXPAND_FAILED;
4752         yield = string_cat(yield, encoded);
4753         }
4754       continue;
4755       }
4756 #endif
4757
4758     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4759     expanding an internal string that isn't actually going to be used. All we
4760     need to do is check the syntax, so don't do a lookup at all. Preserve the
4761     values of the numerical expansion variables in case they get changed by a
4762     partial lookup. If not, they retain their external settings. At the end
4763     of this "lookup" section, they get restored to their previous values. */
4764
4765     case EITEM_LOOKUP:
4766       {
4767       int stype, partial, affixlen, starflags;
4768       int expand_setup = 0;
4769       int nameptr = 0;
4770       uschar *key, *filename;
4771       const uschar * affix, * opts;
4772       uschar *save_lookup_value = lookup_value;
4773       int save_expand_nmax =
4774         save_expand_strings(save_expand_nstring, save_expand_nlength);
4775
4776       if ((expand_forbid & RDO_LOOKUP) != 0)
4777         {
4778         expand_string_message = US"lookup expansions are not permitted";
4779         goto EXPAND_FAILED;
4780         }
4781
4782       /* Get the key we are to look up for single-key+file style lookups.
4783       Otherwise set the key NULL pro-tem. */
4784
4785       if (Uskip_whitespace(&s) == '{')                                  /*}*/
4786         {
4787         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4788         if (!key) goto EXPAND_FAILED;                   /*{{*/
4789         if (*s++ != '}')
4790           {
4791           expand_string_message = US"missing '}' after lookup key";
4792           goto EXPAND_FAILED_CURLY;
4793           }
4794         Uskip_whitespace(&s);
4795         }
4796       else key = NULL;
4797
4798       /* Find out the type of database */
4799
4800       if (!isalpha(*s))
4801         {
4802         expand_string_message = US"missing lookup type";
4803         goto EXPAND_FAILED;
4804         }
4805
4806       /* The type is a string that may contain special characters of various
4807       kinds. Allow everything except space or { to appear; the actual content
4808       is checked by search_findtype_partial. */         /*}*/
4809
4810       while (*s && *s != '{' && !isspace(*s))           /*}*/
4811         {
4812         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4813         s++;
4814         }
4815       name[nameptr] = '\0';
4816       Uskip_whitespace(&s);
4817
4818       /* Now check for the individual search type and any partial or default
4819       options. Only those types that are actually in the binary are valid. */
4820
4821       if ((stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4822           &starflags, &opts)) < 0)
4823         {
4824         expand_string_message = search_error_message;
4825         goto EXPAND_FAILED;
4826         }
4827
4828       /* Check that a key was provided for those lookup types that need it,
4829       and was not supplied for those that use the query style. */
4830
4831       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4832         {
4833         if (!key)
4834           {
4835           expand_string_message = string_sprintf("missing {key} for single-"
4836             "key \"%s\" lookup", name);
4837           goto EXPAND_FAILED;
4838           }
4839         }
4840       else
4841         {
4842         if (key)
4843           {
4844           expand_string_message = string_sprintf("a single key was given for "
4845             "lookup type \"%s\", which is not a single-key lookup type", name);
4846           goto EXPAND_FAILED;
4847           }
4848         }
4849
4850       /* Get the next string in brackets and expand it. It is the file name for
4851       single-key+file lookups, and the whole query otherwise. In the case of
4852       queries that also require a file name (e.g. sqlite), the file name comes
4853       first. */
4854
4855       if (*s != '{')
4856         {
4857         expand_string_message = US"missing '{' for lookup file-or-query arg";
4858         goto EXPAND_FAILED_CURLY;
4859         }
4860       if (!(filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
4861         goto EXPAND_FAILED;
4862       if (*s++ != '}')
4863         {
4864         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4865         goto EXPAND_FAILED_CURLY;
4866         }
4867       Uskip_whitespace(&s);
4868
4869       /* If this isn't a single-key+file lookup, re-arrange the variables
4870       to be appropriate for the search_ functions. For query-style lookups,
4871       there is just a "key", and no file name. For the special query-style +
4872       file types, the query (i.e. "key") starts with a file name. */
4873
4874       if (!key)
4875         {
4876         Uskip_whitespace(&filename);
4877         key = filename;
4878
4879         if (mac_islookup(stype, lookup_querystyle))
4880           filename = NULL;
4881         else
4882           if (*filename == '/')
4883             {
4884             while (*key && !isspace(*key)) key++;
4885             if (*key) *key++ = '\0';
4886             }
4887           else
4888             filename = NULL;
4889         }
4890
4891       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4892       the entry was not found. Note that there is no search_close() function.
4893       Files are left open in case of re-use. At suitable places in higher logic,
4894       search_tidyup() is called to tidy all open files. This can save opening
4895       the same file several times. However, files may also get closed when
4896       others are opened, if too many are open at once. The rule is that a
4897       handle should not be used after a second search_open().
4898
4899       Request that a partial search sets up $1 and maybe $2 by passing
4900       expand_setup containing zero. If its value changes, reset expand_nmax,
4901       since new variables will have been set. Note that at the end of this
4902       "lookup" section, the old numeric variables are restored. */
4903
4904       if (skipping)
4905         lookup_value = NULL;
4906       else
4907         {
4908         void *handle = search_open(filename, stype, 0, NULL, NULL);
4909         if (!handle)
4910           {
4911           expand_string_message = search_error_message;
4912           goto EXPAND_FAILED;
4913           }
4914         lookup_value = search_find(handle, filename, key, partial, affix,
4915           affixlen, starflags, &expand_setup, opts);
4916         if (f.search_find_defer)
4917           {
4918           expand_string_message =
4919             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4920               string_printing2(key, FALSE), search_error_message);
4921           goto EXPAND_FAILED;
4922           }
4923         if (expand_setup > 0) expand_nmax = expand_setup;
4924         }
4925
4926       /* The handling of "yes" and "no" result strings is now in a separate
4927       function that is also used by ${if} and ${extract}. */
4928
4929       switch(process_yesno(
4930                skipping,                     /* were previously skipping */
4931                lookup_value != NULL,         /* success/failure indicator */
4932                save_lookup_value,            /* value to reset for string2 */
4933                &s,                           /* input pointer */
4934                &yield,                       /* output pointer */
4935                US"lookup",                   /* condition type */
4936                &resetok))
4937         {
4938         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4939         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4940         }
4941
4942       /* Restore external setting of expansion variables for carrying on
4943       at this level, and continue. */
4944
4945       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4946         save_expand_nlength);
4947       continue;
4948       }
4949
4950     /* If Perl support is configured, handle calling embedded perl subroutines,
4951     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4952     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4953     arguments (defined below). */
4954
4955     #define EXIM_PERL_MAX_ARGS 8
4956
4957     case EITEM_PERL:
4958     #ifndef EXIM_PERL
4959     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4960       "is not included in this binary";
4961     goto EXPAND_FAILED;
4962
4963     #else   /* EXIM_PERL */
4964       {
4965       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4966       gstring *new_yield;
4967
4968       if ((expand_forbid & RDO_PERL) != 0)
4969         {
4970         expand_string_message = US"Perl calls are not permitted";
4971         goto EXPAND_FAILED;
4972         }
4973
4974       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4975            name, &resetok))
4976         {
4977         case 1: goto EXPAND_FAILED_CURLY;
4978         case 2:
4979         case 3: goto EXPAND_FAILED;
4980         }
4981
4982       /* If skipping, we don't actually do anything */
4983
4984       if (skipping) continue;
4985
4986       /* Start the interpreter if necessary */
4987
4988       if (!opt_perl_started)
4989         {
4990         uschar *initerror;
4991         if (!opt_perl_startup)
4992           {
4993           expand_string_message = US"A setting of perl_startup is needed when "
4994             "using the Perl interpreter";
4995           goto EXPAND_FAILED;
4996           }
4997         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4998         if ((initerror = init_perl(opt_perl_startup)))
4999           {
5000           expand_string_message =
5001             string_sprintf("error in perl_startup code: %s\n", initerror);
5002           goto EXPAND_FAILED;
5003           }
5004         opt_perl_started = TRUE;
5005         }
5006
5007       /* Call the function */
5008
5009       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
5010       new_yield = call_perl_cat(yield, &expand_string_message,
5011         sub_arg[0], sub_arg + 1);
5012
5013       /* NULL yield indicates failure; if the message pointer has been set to
5014       NULL, the yield was undef, indicating a forced failure. Otherwise the
5015       message will indicate some kind of Perl error. */
5016
5017       if (!new_yield)
5018         {
5019         if (!expand_string_message)
5020           {
5021           expand_string_message =
5022             string_sprintf("Perl subroutine \"%s\" returned undef to force "
5023               "failure", sub_arg[0]);
5024           f.expand_string_forcedfail = TRUE;
5025           }
5026         goto EXPAND_FAILED;
5027         }
5028
5029       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
5030       set during a callback from Perl. */
5031
5032       f.expand_string_forcedfail = FALSE;
5033       yield = new_yield;
5034       continue;
5035       }
5036     #endif /* EXIM_PERL */
5037
5038     /* Transform email address to "prvs" scheme to use
5039        as BATV-signed return path */
5040
5041     case EITEM_PRVS:
5042       {
5043       uschar *sub_arg[3];
5044       uschar *p,*domain;
5045
5046       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, name, &resetok))
5047         {
5048         case 1: goto EXPAND_FAILED_CURLY;
5049         case 2:
5050         case 3: goto EXPAND_FAILED;
5051         }
5052
5053       /* If skipping, we don't actually do anything */
5054       if (skipping) continue;
5055
5056       /* sub_arg[0] is the address */
5057       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
5058          || domain == sub_arg[0] || Ustrlen(domain) == 1)
5059         {
5060         expand_string_message = US"prvs first argument must be a qualified email address";
5061         goto EXPAND_FAILED;
5062         }
5063
5064       /* Calculate the hash. The third argument must be a single-digit
5065       key number, or unset. */
5066
5067       if (  sub_arg[2]
5068          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
5069         {
5070         expand_string_message = US"prvs third argument must be a single digit";
5071         goto EXPAND_FAILED;
5072         }
5073
5074       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
5075       if (!p)
5076         {
5077         expand_string_message = US"prvs hmac-sha1 conversion failed";
5078         goto EXPAND_FAILED;
5079         }
5080
5081       /* Now separate the domain from the local part */
5082       *domain++ = '\0';
5083
5084       yield = string_catn(yield, US"prvs=", 5);
5085       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
5086       yield = string_catn(yield, prvs_daystamp(7), 3);
5087       yield = string_catn(yield, p, 6);
5088       yield = string_catn(yield, US"=", 1);
5089       yield = string_cat (yield, sub_arg[0]);
5090       yield = string_catn(yield, US"@", 1);
5091       yield = string_cat (yield, domain);
5092
5093       continue;
5094       }
5095
5096     /* Check a prvs-encoded address for validity */
5097
5098     case EITEM_PRVSCHECK:
5099       {
5100       uschar *sub_arg[3];
5101       gstring * g;
5102       const pcre *re;
5103       uschar *p;
5104
5105       /* TF: Ugliness: We want to expand parameter 1 first, then set
5106          up expansion variables that are used in the expansion of
5107          parameter 2. So we clone the string for the first
5108          expansion, where we only expand parameter 1.
5109
5110          PH: Actually, that isn't necessary. The read_subs() function is
5111          designed to work this way for the ${if and ${lookup expansions. I've
5112          tidied the code.
5113       */
5114
5115       /* Reset expansion variables */
5116       prvscheck_result = NULL;
5117       prvscheck_address = NULL;
5118       prvscheck_keynum = NULL;
5119
5120       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, name, &resetok))
5121         {
5122         case 1: goto EXPAND_FAILED_CURLY;
5123         case 2:
5124         case 3: goto EXPAND_FAILED;
5125         }
5126
5127       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
5128                               TRUE,FALSE);
5129
5130       if (regex_match_and_setup(re,sub_arg[0],0,-1))
5131         {
5132         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
5133         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
5134         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
5135         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
5136         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
5137
5138         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
5139         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
5140         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
5141         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
5142         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
5143
5144         /* Set up expansion variables */
5145         g = string_cat (NULL, local_part);
5146         g = string_catn(g, US"@", 1);
5147         g = string_cat (g, domain);
5148         prvscheck_address = string_from_gstring(g);
5149         prvscheck_keynum = string_copy(key_num);
5150
5151         /* Now expand the second argument */
5152         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, name, &resetok))
5153           {
5154           case 1: goto EXPAND_FAILED_CURLY;
5155           case 2:
5156           case 3: goto EXPAND_FAILED;
5157           }
5158
5159         /* Now we have the key and can check the address. */
5160
5161         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
5162           daystamp);
5163
5164         if (!p)
5165           {
5166           expand_string_message = US"hmac-sha1 conversion failed";
5167           goto EXPAND_FAILED;
5168           }
5169
5170         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
5171         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
5172
5173         if (Ustrcmp(p,hash) == 0)
5174           {
5175           /* Success, valid BATV address. Now check the expiry date. */
5176           uschar *now = prvs_daystamp(0);
5177           unsigned int inow = 0,iexpire = 1;
5178
5179           (void)sscanf(CS now,"%u",&inow);
5180           (void)sscanf(CS daystamp,"%u",&iexpire);
5181
5182           /* When "iexpire" is < 7, a "flip" has occurred.
5183              Adjust "inow" accordingly. */
5184           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
5185
5186           if (iexpire >= inow)
5187             {
5188             prvscheck_result = US"1";
5189             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
5190             }
5191           else
5192             {
5193             prvscheck_result = NULL;
5194             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
5195             }
5196           }
5197         else
5198           {
5199           prvscheck_result = NULL;
5200           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
5201           }
5202
5203         /* Now expand the final argument. We leave this till now so that
5204         it can include $prvscheck_result. */
5205
5206         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, name, &resetok))
5207           {
5208           case 1: goto EXPAND_FAILED_CURLY;
5209           case 2:
5210           case 3: goto EXPAND_FAILED;
5211           }
5212
5213         yield = string_cat(yield,
5214           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
5215
5216         /* Reset the "internal" variables afterwards, because they are in
5217         dynamic store that will be reclaimed if the expansion succeeded. */
5218
5219         prvscheck_address = NULL;
5220         prvscheck_keynum = NULL;
5221         }
5222       else
5223         /* Does not look like a prvs encoded address, return the empty string.
5224            We need to make sure all subs are expanded first, so as to skip over
5225            the entire item. */
5226
5227         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, name, &resetok))
5228           {
5229           case 1: goto EXPAND_FAILED_CURLY;
5230           case 2:
5231           case 3: goto EXPAND_FAILED;
5232           }
5233
5234       continue;
5235       }
5236
5237     /* Handle "readfile" to insert an entire file */
5238
5239     case EITEM_READFILE:
5240       {
5241       FILE *f;
5242       uschar *sub_arg[2];
5243
5244       if ((expand_forbid & RDO_READFILE) != 0)
5245         {
5246         expand_string_message = US"file insertions are not permitted";
5247         goto EXPAND_FAILED;
5248         }
5249
5250       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, name, &resetok))
5251         {
5252         case 1: goto EXPAND_FAILED_CURLY;
5253         case 2:
5254         case 3: goto EXPAND_FAILED;
5255         }
5256
5257       /* If skipping, we don't actually do anything */
5258
5259       if (skipping) continue;
5260
5261       /* Open the file and read it */
5262
5263       if (!(f = Ufopen(sub_arg[0], "rb")))
5264         {
5265         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
5266         goto EXPAND_FAILED;
5267         }
5268
5269       yield = cat_file(f, yield, sub_arg[1]);
5270       (void)fclose(f);
5271       continue;
5272       }
5273
5274     /* Handle "readsocket" to insert data from a socket, either
5275     Inet or Unix domain */
5276
5277     case EITEM_READSOCK:
5278       {
5279       client_conn_ctx cctx;
5280       int timeout = 5;
5281       int save_ptr = gstring_length(yield);
5282       FILE * fp = NULL;
5283       uschar * arg;
5284       uschar * sub_arg[4];
5285       uschar * server_name = NULL;
5286       host_item host;
5287       BOOL do_shutdown = TRUE;
5288       BOOL do_tls = FALSE;      /* Only set under ! DISABLE_TLS */
5289       blob reqstr;
5290
5291       if (expand_forbid & RDO_READSOCK)
5292         {
5293         expand_string_message = US"socket insertions are not permitted";
5294         goto EXPAND_FAILED;
5295         }
5296
5297       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5298       because there may be a string for expansion on failure. */
5299
5300       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, name, &resetok))
5301         {
5302         case 1: goto EXPAND_FAILED_CURLY;
5303         case 2:                             /* Won't occur: no end check */
5304         case 3: goto EXPAND_FAILED;
5305         }
5306
5307       /* Grab the request string, if any */
5308
5309       reqstr.data = sub_arg[1];
5310       reqstr.len = Ustrlen(sub_arg[1]);
5311
5312       /* Sort out timeout, if given.  The second arg is a list with the first element
5313       being a time value.  Any more are options of form "name=value".  Currently the
5314       only options recognised are "shutdown" and "tls". */
5315
5316       if (sub_arg[2])
5317         {
5318         const uschar * list = sub_arg[2];
5319         uschar * item;
5320         int sep = 0;
5321
5322         if (  !(item = string_nextinlist(&list, &sep, NULL, 0))
5323            || !*item
5324            || (timeout = readconf_readtime(item, 0, FALSE)) < 0)
5325           {
5326           expand_string_message = string_sprintf("bad time value %s", item);
5327           goto EXPAND_FAILED;
5328           }
5329
5330         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5331           if (Ustrncmp(item, US"shutdown=", 9) == 0)
5332             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
5333 #ifndef DISABLE_TLS
5334           else if (Ustrncmp(item, US"tls=", 4) == 0)
5335             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
5336 #endif
5337         }
5338       else
5339         sub_arg[3] = NULL;                     /* No eol if no timeout */
5340
5341       /* If skipping, we don't actually do anything. Otherwise, arrange to
5342       connect to either an IP or a Unix socket. */
5343
5344       if (!skipping)
5345         {
5346         /* Handle an IP (internet) domain */
5347
5348         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
5349           {
5350           int port;
5351           uschar * port_name;
5352
5353           server_name = sub_arg[0] + 5;
5354           port_name = Ustrrchr(server_name, ':');
5355
5356           /* Sort out the port */
5357
5358           if (!port_name)
5359             {
5360             expand_string_message =
5361               string_sprintf("missing port for readsocket %s", sub_arg[0]);
5362             goto EXPAND_FAILED;
5363             }
5364           *port_name++ = 0;           /* Terminate server name */
5365
5366           if (isdigit(*port_name))
5367             {
5368             uschar *end;
5369             port = Ustrtol(port_name, &end, 0);
5370             if (end != port_name + Ustrlen(port_name))
5371               {
5372               expand_string_message =
5373                 string_sprintf("invalid port number %s", port_name);
5374               goto EXPAND_FAILED;
5375               }
5376             }
5377           else
5378             {
5379             struct servent *service_info = getservbyname(CS port_name, "tcp");
5380             if (!service_info)
5381               {
5382               expand_string_message = string_sprintf("unknown port \"%s\"",
5383                 port_name);
5384               goto EXPAND_FAILED;
5385               }
5386             port = ntohs(service_info->s_port);
5387             }
5388
5389           /*XXX we trust that the request is idempotent for TFO.  Hmm. */
5390           cctx.sock = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
5391                   timeout, &host, &expand_string_message,
5392                   do_tls ? NULL : &reqstr);
5393           callout_address = NULL;
5394           if (cctx.sock < 0)
5395             goto SOCK_FAIL;
5396           if (!do_tls)
5397             reqstr.len = 0;
5398           }
5399
5400         /* Handle a Unix domain socket */
5401
5402         else
5403           {
5404           struct sockaddr_un sockun;         /* don't call this "sun" ! */
5405           int rc;
5406
5407           if ((cctx.sock = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
5408             {
5409             expand_string_message = string_sprintf("failed to create socket: %s",
5410               strerror(errno));
5411             goto SOCK_FAIL;
5412             }
5413
5414           sockun.sun_family = AF_UNIX;
5415           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
5416             sub_arg[0]);
5417           server_name = US sockun.sun_path;
5418
5419           sigalrm_seen = FALSE;
5420           ALARM(timeout);
5421           rc = connect(cctx.sock, (struct sockaddr *)(&sockun), sizeof(sockun));
5422           ALARM_CLR(0);
5423           if (sigalrm_seen)
5424             {
5425             expand_string_message = US "socket connect timed out";
5426             goto SOCK_FAIL;
5427             }
5428           if (rc < 0)
5429             {
5430             expand_string_message = string_sprintf("failed to connect to socket "
5431               "%s: %s", sub_arg[0], strerror(errno));
5432             goto SOCK_FAIL;
5433             }
5434           host.name = server_name;
5435           host.address = US"";
5436           }
5437
5438         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
5439
5440 #ifndef DISABLE_TLS
5441         if (do_tls)
5442           {
5443           smtp_connect_args conn_args = {.host = &host };
5444           tls_support tls_dummy = {.sni=NULL};
5445           uschar * errstr;
5446
5447           if (!tls_client_start(&cctx, &conn_args, NULL, &tls_dummy, &errstr))
5448             {
5449             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
5450             goto SOCK_FAIL;
5451             }
5452           }
5453 #endif
5454
5455         /* Allow sequencing of test actions */
5456         testharness_pause_ms(100);
5457
5458         /* Write the request string, if not empty or already done */
5459
5460         if (reqstr.len)
5461           {
5462           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
5463             reqstr.data);
5464           if ( (
5465 #ifndef DISABLE_TLS
5466               do_tls ? tls_write(cctx.tls_ctx, reqstr.data, reqstr.len, FALSE) :
5467 #endif
5468                         write(cctx.sock, reqstr.data, reqstr.len)) != reqstr.len)
5469             {
5470             expand_string_message = string_sprintf("request write to socket "
5471               "failed: %s", strerror(errno));
5472             goto SOCK_FAIL;
5473             }
5474           }
5475
5476         /* Shut down the sending side of the socket. This helps some servers to
5477         recognise that it is their turn to do some work. Just in case some
5478         system doesn't have this function, make it conditional. */
5479
5480 #ifdef SHUT_WR
5481         if (!do_tls && do_shutdown) shutdown(cctx.sock, SHUT_WR);
5482 #endif
5483
5484         testharness_pause_ms(100);
5485
5486         /* Now we need to read from the socket, under a timeout. The function
5487         that reads a file can be used. */
5488
5489         if (!do_tls)
5490           fp = fdopen(cctx.sock, "rb");
5491         sigalrm_seen = FALSE;
5492         ALARM(timeout);
5493         yield =
5494 #ifndef DISABLE_TLS
5495           do_tls ? cat_file_tls(cctx.tls_ctx, yield, sub_arg[3]) :
5496 #endif
5497                     cat_file(fp, yield, sub_arg[3]);
5498         ALARM_CLR(0);
5499
5500 #ifndef DISABLE_TLS
5501         if (do_tls)
5502           {
5503           tls_close(cctx.tls_ctx, TRUE);
5504           close(cctx.sock);
5505           }
5506         else
5507 #endif
5508           (void)fclose(fp);
5509
5510         /* After a timeout, we restore the pointer in the result, that is,
5511         make sure we add nothing from the socket. */
5512
5513         if (sigalrm_seen)
5514           {
5515           if (yield) yield->ptr = save_ptr;
5516           expand_string_message = US "socket read timed out";
5517           goto SOCK_FAIL;
5518           }
5519         }
5520
5521       /* The whole thing has worked (or we were skipping). If there is a
5522       failure string following, we need to skip it. */
5523
5524       if (*s == '{')
5525         {
5526         if (!expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok))
5527           goto EXPAND_FAILED;
5528         if (*s++ != '}')
5529           {
5530           expand_string_message = US"missing '}' closing failstring for readsocket";
5531           goto EXPAND_FAILED_CURLY;
5532           }
5533         Uskip_whitespace(&s);
5534         }
5535
5536     READSOCK_DONE:
5537       if (*s++ != '}')
5538         {
5539         expand_string_message = US"missing '}' closing readsocket";
5540         goto EXPAND_FAILED_CURLY;
5541         }
5542       continue;
5543
5544       /* Come here on failure to create socket, connect socket, write to the
5545       socket, or timeout on reading. If another substring follows, expand and
5546       use it. Otherwise, those conditions give expand errors. */
5547
5548     SOCK_FAIL:
5549       if (*s != '{') goto EXPAND_FAILED;
5550       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5551       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
5552         goto EXPAND_FAILED;
5553       yield = string_cat(yield, arg);
5554       if (*s++ != '}')
5555         {
5556         expand_string_message = US"missing '}' closing failstring for readsocket";
5557         goto EXPAND_FAILED_CURLY;
5558         }
5559       Uskip_whitespace(&s);
5560       goto READSOCK_DONE;
5561       }
5562
5563     /* Handle "run" to execute a program. */
5564
5565     case EITEM_RUN:
5566       {
5567       FILE *f;
5568       uschar *arg;
5569       const uschar **argv;
5570       pid_t pid;
5571       int fd_in, fd_out;
5572
5573       if ((expand_forbid & RDO_RUN) != 0)
5574         {
5575         expand_string_message = US"running a command is not permitted";
5576         goto EXPAND_FAILED;
5577         }
5578
5579       Uskip_whitespace(&s);
5580       if (*s != '{')
5581         {
5582         expand_string_message = US"missing '{' for command arg of run";
5583         goto EXPAND_FAILED_CURLY;
5584         }
5585       if (!(arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
5586         goto EXPAND_FAILED;
5587       Uskip_whitespace(&s);
5588       if (*s++ != '}')
5589         {
5590         expand_string_message = US"missing '}' closing command arg of run";
5591         goto EXPAND_FAILED_CURLY;
5592         }
5593
5594       if (skipping)   /* Just pretend it worked when we're skipping */
5595         {
5596         runrc = 0;
5597         lookup_value = NULL;
5598         }
5599       else
5600         {
5601         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5602             arg,                                /* raw command */
5603             FALSE,                              /* don't expand the arguments */
5604             0,                                  /* not relevant when... */
5605             NULL,                               /* no transporting address */
5606             US"${run} expansion",               /* for error messages */
5607             &expand_string_message))            /* where to put error message */
5608           goto EXPAND_FAILED;
5609
5610         /* Create the child process, making it a group leader. */
5611
5612         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE,
5613                               US"expand-run")) < 0)
5614           {
5615           expand_string_message =
5616             string_sprintf("couldn't create child process: %s", strerror(errno));
5617           goto EXPAND_FAILED;
5618           }
5619
5620         /* Nothing is written to the standard input. */
5621
5622         (void)close(fd_in);
5623
5624         /* Read the pipe to get the command's output into $value (which is kept
5625         in lookup_value). Read during execution, so that if the output exceeds
5626         the OS pipe buffer limit, we don't block forever. Remember to not release
5627         memory just allocated for $value. */
5628
5629         resetok = FALSE;
5630         f = fdopen(fd_out, "rb");
5631         sigalrm_seen = FALSE;
5632         ALARM(60);
5633         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5634         ALARM_CLR(0);
5635         (void)fclose(f);
5636
5637         /* Wait for the process to finish, applying the timeout, and inspect its
5638         return code for serious disasters. Simple non-zero returns are passed on.
5639         */
5640
5641         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5642           {
5643           if (sigalrm_seen || runrc == -256)
5644             {
5645             expand_string_message = US"command timed out";
5646             killpg(pid, SIGKILL);       /* Kill the whole process group */
5647             }
5648
5649           else if (runrc == -257)
5650             expand_string_message = string_sprintf("wait() failed: %s",
5651               strerror(errno));
5652
5653           else
5654             expand_string_message = string_sprintf("command killed by signal %d",
5655               -runrc);
5656
5657           goto EXPAND_FAILED;
5658           }
5659         }
5660
5661       /* Process the yes/no strings; $value may be useful in both cases */
5662
5663       switch(process_yesno(
5664                skipping,                     /* were previously skipping */
5665                runrc == 0,                   /* success/failure indicator */
5666                lookup_value,                 /* value to reset for string2 */
5667                &s,                           /* input pointer */
5668                &yield,                       /* output pointer */
5669                US"run",                      /* condition type */
5670                &resetok))
5671         {
5672         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5673         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5674         }
5675
5676       continue;
5677       }
5678
5679     /* Handle character translation for "tr" */
5680
5681     case EITEM_TR:
5682       {
5683       int oldptr = gstring_length(yield);
5684       int o2m;
5685       uschar *sub[3];
5686
5687       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5688         {
5689         case 1: goto EXPAND_FAILED_CURLY;
5690         case 2:
5691         case 3: goto EXPAND_FAILED;
5692         }
5693
5694       yield = string_cat(yield, sub[0]);
5695       o2m = Ustrlen(sub[2]) - 1;
5696
5697       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5698         {
5699         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5700         if (m)
5701           {
5702           int o = m - sub[1];
5703           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5704           }
5705         }
5706
5707       continue;
5708       }
5709
5710     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5711     expanded arguments. */
5712
5713     case EITEM_HASH:
5714     case EITEM_LENGTH:
5715     case EITEM_NHASH:
5716     case EITEM_SUBSTR:
5717       {
5718       int len;
5719       uschar *ret;
5720       int val[2] = { 0, -1 };
5721       uschar *sub[3];
5722
5723       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5724       Ensure that sub[2] is set in the ${length } case. */
5725
5726       sub[2] = NULL;
5727       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5728              TRUE, name, &resetok))
5729         {
5730         case 1: goto EXPAND_FAILED_CURLY;
5731         case 2:
5732         case 3: goto EXPAND_FAILED;
5733         }
5734
5735       /* Juggle the arguments if there are only two of them: always move the
5736       string to the last position and make ${length{n}{str}} equivalent to
5737       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5738
5739       if (!sub[2])
5740         {
5741         sub[2] = sub[1];
5742         sub[1] = NULL;
5743         if (item_type == EITEM_LENGTH)
5744           {
5745           sub[1] = sub[0];
5746           sub[0] = NULL;
5747           }
5748         }
5749
5750       for (int i = 0; i < 2; i++) if (sub[i])
5751         {
5752         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5753         if (*ret != 0 || (i != 0 && val[i] < 0))
5754           {
5755           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5756             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5757           goto EXPAND_FAILED;
5758           }
5759         }
5760
5761       ret =
5762         item_type == EITEM_HASH
5763         ?  compute_hash(sub[2], val[0], val[1], &len)
5764         : item_type == EITEM_NHASH
5765         ? compute_nhash(sub[2], val[0], val[1], &len)
5766         : extract_substr(sub[2], val[0], val[1], &len);
5767       if (!ret)
5768         goto EXPAND_FAILED;
5769       yield = string_catn(yield, ret, len);
5770       continue;
5771       }
5772
5773     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5774     This code originally contributed by Steve Haslam. It currently supports
5775     the use of MD5 and SHA-1 hashes.
5776
5777     We need some workspace that is large enough to handle all the supported
5778     hash types. Use macros to set the sizes rather than be too elaborate. */
5779
5780     #define MAX_HASHLEN      20
5781     #define MAX_HASHBLOCKLEN 64
5782
5783     case EITEM_HMAC:
5784       {
5785       uschar *sub[3];
5786       md5 md5_base;
5787       hctx sha1_ctx;
5788       void *use_base;
5789       int type;
5790       int hashlen;      /* Number of octets for the hash algorithm's output */
5791       int hashblocklen; /* Number of octets the hash algorithm processes */
5792       uschar *keyptr, *p;
5793       unsigned int keylen;
5794
5795       uschar keyhash[MAX_HASHLEN];
5796       uschar innerhash[MAX_HASHLEN];
5797       uschar finalhash[MAX_HASHLEN];
5798       uschar finalhash_hex[2*MAX_HASHLEN];
5799       uschar innerkey[MAX_HASHBLOCKLEN];
5800       uschar outerkey[MAX_HASHBLOCKLEN];
5801
5802       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5803         {
5804         case 1: goto EXPAND_FAILED_CURLY;
5805         case 2:
5806         case 3: goto EXPAND_FAILED;
5807         }
5808
5809       if (!skipping)
5810         {
5811         if (Ustrcmp(sub[0], "md5") == 0)
5812           {
5813           type = HMAC_MD5;
5814           use_base = &md5_base;
5815           hashlen = 16;
5816           hashblocklen = 64;
5817           }
5818         else if (Ustrcmp(sub[0], "sha1") == 0)
5819           {
5820           type = HMAC_SHA1;
5821           use_base = &sha1_ctx;
5822           hashlen = 20;
5823           hashblocklen = 64;
5824           }
5825         else
5826           {
5827           expand_string_message =
5828             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5829           goto EXPAND_FAILED;
5830           }
5831
5832         keyptr = sub[1];
5833         keylen = Ustrlen(keyptr);
5834
5835         /* If the key is longer than the hash block length, then hash the key
5836         first */
5837
5838         if (keylen > hashblocklen)
5839           {
5840           chash_start(type, use_base);
5841           chash_end(type, use_base, keyptr, keylen, keyhash);
5842           keyptr = keyhash;
5843           keylen = hashlen;
5844           }
5845
5846         /* Now make the inner and outer key values */
5847
5848         memset(innerkey, 0x36, hashblocklen);
5849         memset(outerkey, 0x5c, hashblocklen);
5850
5851         for (int i = 0; i < keylen; i++)
5852           {
5853           innerkey[i] ^= keyptr[i];
5854           outerkey[i] ^= keyptr[i];
5855           }
5856
5857         /* Now do the hashes */
5858
5859         chash_start(type, use_base);
5860         chash_mid(type, use_base, innerkey);
5861         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5862
5863         chash_start(type, use_base);
5864         chash_mid(type, use_base, outerkey);
5865         chash_end(type, use_base, innerhash, hashlen, finalhash);
5866
5867         /* Encode the final hash as a hex string */
5868
5869         p = finalhash_hex;
5870         for (int i = 0; i < hashlen; i++)
5871           {
5872           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5873           *p++ = hex_digits[finalhash[i] & 0x0f];
5874           }
5875
5876         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5877           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5878
5879         yield = string_catn(yield, finalhash_hex, hashlen*2);
5880         }
5881       continue;
5882       }
5883
5884     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5885     We have to save the numerical variables and restore them afterwards. */
5886
5887     case EITEM_SG:
5888       {
5889       const pcre *re;
5890       int moffset, moffsetextra, slen;
5891       int roffset;
5892       int emptyopt;
5893       const uschar *rerror;
5894       uschar *subject;
5895       uschar *sub[3];
5896       int save_expand_nmax =
5897         save_expand_strings(save_expand_nstring, save_expand_nlength);
5898
5899       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5900         {
5901         case 1: goto EXPAND_FAILED_CURLY;
5902         case 2:
5903         case 3: goto EXPAND_FAILED;
5904         }
5905
5906       /* Compile the regular expression */
5907
5908       if (!(re = pcre_compile(CS sub[1], PCRE_COPT, CCSS &rerror,
5909                               &roffset, NULL)))
5910         {
5911         expand_string_message = string_sprintf("regular expression error in "
5912           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5913         goto EXPAND_FAILED;
5914         }
5915
5916       /* Now run a loop to do the substitutions as often as necessary. It ends
5917       when there are no more matches. Take care over matches of the null string;
5918       do the same thing as Perl does. */
5919
5920       subject = sub[0];
5921       slen = Ustrlen(sub[0]);
5922       moffset = moffsetextra = 0;
5923       emptyopt = 0;
5924
5925       for (;;)
5926         {
5927         int ovector[3*(EXPAND_MAXN+1)];
5928         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5929           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5930         uschar *insert;
5931
5932         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5933         is not necessarily the end. We want to repeat the match from one
5934         character further along, but leaving the basic offset the same (for
5935         copying below). We can't be at the end of the string - that was checked
5936         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5937         finished; copy the remaining string and end the loop. */
5938
5939         if (n < 0)
5940           {
5941           if (emptyopt != 0)
5942             {
5943             moffsetextra = 1;
5944             emptyopt = 0;
5945             continue;
5946             }
5947           yield = string_catn(yield, subject+moffset, slen-moffset);
5948           break;
5949           }
5950
5951         /* Match - set up for expanding the replacement. */
5952
5953         if (n == 0) n = EXPAND_MAXN + 1;
5954         expand_nmax = 0;
5955         for (int nn = 0; nn < n*2; nn += 2)
5956           {
5957           expand_nstring[expand_nmax] = subject + ovector[nn];
5958           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5959           }
5960         expand_nmax--;
5961
5962         /* Copy the characters before the match, plus the expanded insertion. */
5963
5964         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5965         if (!(insert = expand_string(sub[2])))
5966           goto EXPAND_FAILED;
5967         yield = string_cat(yield, insert);
5968
5969         moffset = ovector[1];
5970         moffsetextra = 0;
5971         emptyopt = 0;
5972
5973         /* If we have matched an empty string, first check to see if we are at
5974         the end of the subject. If so, the loop is over. Otherwise, mimic
5975         what Perl's /g options does. This turns out to be rather cunning. First
5976         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5977         string at the same point. If this fails (picked up above) we advance to
5978         the next character. */
5979
5980         if (ovector[0] == ovector[1])
5981           {
5982           if (ovector[0] == slen) break;
5983           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5984           }
5985         }
5986
5987       /* All done - restore numerical variables. */
5988
5989       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5990         save_expand_nlength);
5991       continue;
5992       }
5993
5994     /* Handle keyed and numbered substring extraction. If the first argument
5995     consists entirely of digits, then a numerical extraction is assumed. */
5996
5997     case EITEM_EXTRACT:
5998       {
5999       int field_number = 1;
6000       BOOL field_number_set = FALSE;
6001       uschar *save_lookup_value = lookup_value;
6002       uschar *sub[3];
6003       int save_expand_nmax =
6004         save_expand_strings(save_expand_nstring, save_expand_nlength);
6005
6006       /* On reflection the original behaviour of extract-json for a string
6007       result, leaving it quoted, was a mistake.  But it was already published,
6008       hence the addition of jsons.  In a future major version, make json
6009       work like josons, and withdraw jsons. */
6010
6011       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
6012
6013       /* Check for a format-variant specifier */
6014
6015       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6016         if (Ustrncmp(s, "json", 4) == 0)
6017           if (*(s += 4) == 's')
6018             {fmt = extract_jsons; s++;}
6019           else
6020             fmt = extract_json;
6021
6022       /* While skipping we cannot rely on the data for expansions being
6023       available (eg. $item) hence cannot decide on numeric vs. keyed.
6024       Read a maximum of 5 arguments (including the yes/no) */
6025
6026       if (skipping)
6027         {
6028         for (int j = 5; j > 0 && *s == '{'; j--)                /*'}'*/
6029           {
6030           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
6031             goto EXPAND_FAILED;                                 /*'{'*/
6032           if (*s++ != '}')
6033             {
6034             expand_string_message = US"missing '{' for arg of extract";
6035             goto EXPAND_FAILED_CURLY;
6036             }
6037           Uskip_whitespace(&s);
6038           }
6039         if (  Ustrncmp(s, "fail", 4) == 0                       /*'{'*/
6040            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
6041            )
6042           {
6043           s += 4;
6044           Uskip_whitespace(&s);
6045           }                                                     /*'{'*/
6046         if (*s != '}')
6047           {
6048           expand_string_message = US"missing '}' closing extract";
6049           goto EXPAND_FAILED_CURLY;
6050           }
6051         }
6052
6053       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
6054         {
6055         if (Uskip_whitespace(&s) == '{')                                                /*'}'*/
6056           {
6057           if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
6058             goto EXPAND_FAILED;                                 /*'{'*/
6059           if (*s++ != '}')
6060             {
6061             expand_string_message = string_sprintf(
6062               "missing '}' closing arg %d of extract", i+1);
6063             goto EXPAND_FAILED_CURLY;
6064             }
6065
6066           /* After removal of leading and trailing white space, the first
6067           argument must not be empty; if it consists entirely of digits
6068           (optionally preceded by a minus sign), this is a numerical
6069           extraction, and we expect 3 arguments (normal) or 2 (json). */
6070
6071           if (i == 0)
6072             {
6073             int len;
6074             int x = 0;
6075             uschar *p = sub[0];
6076
6077             Uskip_whitespace(&p);
6078             sub[0] = p;
6079
6080             len = Ustrlen(p);
6081             while (len > 0 && isspace(p[len-1])) len--;
6082             p[len] = 0;
6083
6084             if (*p == 0)
6085               {
6086               expand_string_message = US"first argument of \"extract\" must "
6087                 "not be empty";
6088               goto EXPAND_FAILED;
6089               }
6090
6091             if (*p == '-')
6092               {
6093               field_number = -1;
6094               p++;
6095               }
6096             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
6097             if (*p == 0)
6098               {
6099               field_number *= x;
6100               if (fmt == extract_basic) j = 3;               /* Need 3 args */
6101               field_number_set = TRUE;
6102               }
6103             }
6104           }
6105         else
6106           {
6107           expand_string_message = string_sprintf(
6108             "missing '{' for arg %d of extract", i+1);
6109           goto EXPAND_FAILED_CURLY;
6110           }
6111         }
6112
6113       /* Extract either the numbered or the keyed substring into $value. If
6114       skipping, just pretend the extraction failed. */
6115
6116       if (skipping)
6117         lookup_value = NULL;
6118       else switch (fmt)
6119         {
6120         case extract_basic:
6121           lookup_value = field_number_set
6122             ? expand_gettokened(field_number, sub[1], sub[2])
6123             : expand_getkeyed(sub[0], sub[1]);
6124           break;
6125
6126         case extract_json:
6127         case extract_jsons:
6128           {
6129           uschar * s, * item;
6130           const uschar * list;
6131
6132           /* Array: Bracket-enclosed and comma-separated.
6133           Object: Brace-enclosed, comma-sep list of name:value pairs */
6134
6135           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
6136             {
6137             expand_string_message =
6138               string_sprintf("%s wrapping %s for extract json",
6139                 expand_string_message,
6140                 field_number_set ? "array" : "object");
6141             goto EXPAND_FAILED_CURLY;
6142             }
6143
6144           list = s;
6145           if (field_number_set)
6146             {
6147             if (field_number <= 0)
6148               {
6149               expand_string_message = US"first argument of \"extract\" must "
6150                 "be greater than zero";
6151               goto EXPAND_FAILED;
6152               }
6153             while (field_number > 0 && (item = json_nextinlist(&list)))
6154               field_number--;
6155             if ((lookup_value = s = item))
6156               {
6157               while (*s) s++;
6158               while (--s >= lookup_value && isspace(*s)) *s = '\0';
6159               }
6160             }
6161           else
6162             {
6163             lookup_value = NULL;
6164             while ((item = json_nextinlist(&list)))
6165               {
6166               /* Item is:  string name-sep value.  string is quoted.
6167               Dequote the string and compare with the search key. */
6168
6169               if (!(item = dewrap(item, US"\"\"")))
6170                 {
6171                 expand_string_message =
6172                   string_sprintf("%s wrapping string key for extract json",
6173                     expand_string_message);
6174                 goto EXPAND_FAILED_CURLY;
6175                 }
6176               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
6177                 {
6178                 s = item + Ustrlen(item) + 1;
6179                 if (Uskip_whitespace(&s) != ':')
6180                   {
6181                   expand_string_message =
6182                     US"missing object value-separator for extract json";
6183                   goto EXPAND_FAILED_CURLY;
6184                   }
6185                 s++;
6186                 Uskip_whitespace(&s);
6187                 lookup_value = s;
6188                 break;
6189                 }
6190               }
6191             }
6192           }
6193
6194           if (  fmt == extract_jsons
6195              && lookup_value
6196              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
6197             {
6198             expand_string_message =
6199               string_sprintf("%s wrapping string result for extract jsons",
6200                 expand_string_message);
6201             goto EXPAND_FAILED_CURLY;
6202             }
6203           break;        /* json/s */
6204         }
6205
6206       /* If no string follows, $value gets substituted; otherwise there can
6207       be yes/no strings, as for lookup or if. */
6208
6209       switch(process_yesno(
6210                skipping,                     /* were previously skipping */
6211                lookup_value != NULL,         /* success/failure indicator */
6212                save_lookup_value,            /* value to reset for string2 */
6213                &s,                           /* input pointer */
6214                &yield,                       /* output pointer */
6215                US"extract",                  /* condition type */
6216                &resetok))
6217         {
6218         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6219         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6220         }
6221
6222       /* All done - restore numerical variables. */
6223
6224       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6225         save_expand_nlength);
6226
6227       continue;
6228       }
6229
6230     /* return the Nth item from a list */
6231
6232     case EITEM_LISTEXTRACT:
6233       {
6234       int field_number = 1;
6235       uschar *save_lookup_value = lookup_value;
6236       uschar *sub[2];
6237       int save_expand_nmax =
6238         save_expand_strings(save_expand_nstring, save_expand_nlength);
6239
6240       /* Read the field & list arguments */
6241
6242       for (int i = 0; i < 2; i++)
6243         {
6244         if (Uskip_whitespace(&s) != '{')                                        /*'}'*/
6245           {
6246           expand_string_message = string_sprintf(
6247             "missing '{' for arg %d of listextract", i+1);
6248           goto EXPAND_FAILED_CURLY;
6249           }
6250
6251         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6252         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
6253         if (*s++ != '}')
6254           {
6255           expand_string_message = string_sprintf(
6256             "missing '}' closing arg %d of listextract", i+1);
6257           goto EXPAND_FAILED_CURLY;
6258           }
6259
6260         /* After removal of leading and trailing white space, the first
6261         argument must be numeric and nonempty. */
6262
6263         if (i == 0)
6264           {
6265           int len;
6266           int x = 0;
6267           uschar *p = sub[0];
6268
6269           Uskip_whitespace(&p);
6270           sub[0] = p;
6271
6272           len = Ustrlen(p);
6273           while (len > 0 && isspace(p[len-1])) len--;
6274           p[len] = 0;
6275
6276           if (!*p && !skipping)
6277             {
6278             expand_string_message = US"first argument of \"listextract\" must "
6279               "not be empty";
6280             goto EXPAND_FAILED;
6281             }
6282
6283           if (*p == '-')
6284             {
6285             field_number = -1;
6286             p++;
6287             }
6288           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6289           if (*p)
6290             {
6291             expand_string_message = US"first argument of \"listextract\" must "
6292               "be numeric";
6293             goto EXPAND_FAILED;
6294             }
6295           field_number *= x;
6296           }
6297         }
6298
6299       /* Extract the numbered element into $value. If
6300       skipping, just pretend the extraction failed. */
6301
6302       lookup_value = skipping ? NULL : expand_getlistele(field_number, sub[1]);
6303
6304       /* If no string follows, $value gets substituted; otherwise there can
6305       be yes/no strings, as for lookup or if. */
6306
6307       switch(process_yesno(
6308                skipping,                     /* were previously skipping */
6309                lookup_value != NULL,         /* success/failure indicator */
6310                save_lookup_value,            /* value to reset for string2 */
6311                &s,                           /* input pointer */
6312                &yield,                       /* output pointer */
6313                US"listextract",              /* condition type */
6314                &resetok))
6315         {
6316         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6317         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6318         }
6319
6320       /* All done - restore numerical variables. */
6321
6322       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6323         save_expand_nlength);
6324
6325       continue;
6326       }
6327
6328     case EITEM_LISTQUOTE:
6329       {
6330       uschar * sub[2];
6331       switch(read_subs(sub, 2, 2, &s, skipping, TRUE, name, &resetok))
6332         {
6333         case 1: goto EXPAND_FAILED_CURLY;
6334         case 2:
6335         case 3: goto EXPAND_FAILED;
6336         }
6337       for (uschar sep = *sub[0], c; c = *sub[1]; sub[1]++)
6338         {
6339         if (c == sep) yield = string_catn(yield, sub[1], 1);
6340         yield = string_catn(yield, sub[1], 1);
6341         }
6342       continue;
6343       }
6344
6345 #ifndef DISABLE_TLS
6346     case EITEM_CERTEXTRACT:
6347       {
6348       uschar *save_lookup_value = lookup_value;
6349       uschar *sub[2];
6350       int save_expand_nmax =
6351         save_expand_strings(save_expand_nstring, save_expand_nlength);
6352
6353       /* Read the field argument */
6354       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6355         {
6356         expand_string_message = US"missing '{' for field arg of certextract";
6357         goto EXPAND_FAILED_CURLY;
6358         }
6359       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6360       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
6361       if (*s++ != '}')
6362         {
6363         expand_string_message = US"missing '}' closing field arg of certextract";
6364         goto EXPAND_FAILED_CURLY;
6365         }
6366       /* strip spaces fore & aft */
6367       {
6368       int len;
6369       uschar *p = sub[0];
6370
6371       Uskip_whitespace(&p);
6372       sub[0] = p;
6373
6374       len = Ustrlen(p);
6375       while (len > 0 && isspace(p[len-1])) len--;
6376       p[len] = 0;
6377       }
6378
6379       /* inspect the cert argument */
6380       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6381         {
6382         expand_string_message = US"missing '{' for cert variable arg of certextract";
6383         goto EXPAND_FAILED_CURLY;
6384         }
6385       if (*++s != '$')
6386         {
6387         expand_string_message = US"second argument of \"certextract\" must "
6388           "be a certificate variable";
6389         goto EXPAND_FAILED;
6390         }
6391       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
6392       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
6393       if (*s++ != '}')
6394         {
6395         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6396         goto EXPAND_FAILED_CURLY;
6397         }
6398
6399       if (skipping)
6400         lookup_value = NULL;
6401       else
6402         {
6403         lookup_value = expand_getcertele(sub[0], sub[1]);
6404         if (*expand_string_message) goto EXPAND_FAILED;
6405         }
6406       switch(process_yesno(
6407                skipping,                     /* were previously skipping */
6408                lookup_value != NULL,         /* success/failure indicator */
6409                save_lookup_value,            /* value to reset for string2 */
6410                &s,                           /* input pointer */
6411                &yield,                       /* output pointer */
6412                US"certextract",              /* condition type */
6413                &resetok))
6414         {
6415         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6416         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6417         }
6418
6419       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6420         save_expand_nlength);
6421       continue;
6422       }
6423 #endif  /*DISABLE_TLS*/
6424
6425     /* Handle list operations */
6426
6427     case EITEM_FILTER:
6428     case EITEM_MAP:
6429     case EITEM_REDUCE:
6430       {
6431       int sep = 0;
6432       int save_ptr = gstring_length(yield);
6433       uschar outsep[2] = { '\0', '\0' };
6434       const uschar *list, *expr, *temp;
6435       uschar *save_iterate_item = iterate_item;
6436       uschar *save_lookup_value = lookup_value;
6437
6438       Uskip_whitespace(&s);
6439       if (*s++ != '{')
6440         {
6441         expand_string_message =
6442           string_sprintf("missing '{' for first arg of %s", name);
6443         goto EXPAND_FAILED_CURLY;
6444         }
6445
6446       if (!(list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok)))
6447         goto EXPAND_FAILED;
6448       if (*s++ != '}')
6449         {
6450         expand_string_message =
6451           string_sprintf("missing '}' closing first arg of %s", name);
6452         goto EXPAND_FAILED_CURLY;
6453         }
6454
6455       if (item_type == EITEM_REDUCE)
6456         {
6457         uschar * t;
6458         Uskip_whitespace(&s);
6459         if (*s++ != '{')
6460           {
6461           expand_string_message = US"missing '{' for second arg of reduce";
6462           goto EXPAND_FAILED_CURLY;
6463           }
6464         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6465         if (!t) goto EXPAND_FAILED;
6466         lookup_value = t;
6467         if (*s++ != '}')
6468           {
6469           expand_string_message = US"missing '}' closing second arg of reduce";
6470           goto EXPAND_FAILED_CURLY;
6471           }
6472         }
6473
6474       Uskip_whitespace(&s);
6475       if (*s++ != '{')
6476         {
6477         expand_string_message =
6478           string_sprintf("missing '{' for last arg of %s", name);
6479         goto EXPAND_FAILED_CURLY;
6480         }
6481
6482       expr = s;
6483
6484       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6485       if scanning a "false" part). This allows us to find the end of the
6486       condition, because if the list is empty, we won't actually evaluate the
6487       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6488       the normal internal expansion function. */
6489
6490       if (item_type == EITEM_FILTER)
6491         {
6492         if ((temp = eval_condition(expr, &resetok, NULL)))
6493           s = temp;
6494         }
6495       else
6496         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6497
6498       if (!temp)
6499         {
6500         expand_string_message = string_sprintf("%s inside \"%s\" item",
6501           expand_string_message, name);
6502         goto EXPAND_FAILED;
6503         }
6504
6505       Uskip_whitespace(&s);
6506       if (*s++ != '}')
6507         {                                               /*{*/
6508         expand_string_message = string_sprintf("missing } at end of condition "
6509           "or expression inside \"%s\"; could be an unquoted } in the content",
6510           name);
6511         goto EXPAND_FAILED;
6512         }
6513
6514       Uskip_whitespace(&s);                             /*{*/
6515       if (*s++ != '}')
6516         {                                               /*{*/
6517         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6518           name);
6519         goto EXPAND_FAILED;
6520         }
6521
6522       /* If we are skipping, we can now just move on to the next item. When
6523       processing for real, we perform the iteration. */
6524
6525       if (skipping) continue;
6526       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6527         {
6528         *outsep = (uschar)sep;      /* Separator as a string */
6529
6530         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6531                           name, iterate_item, lookup_value);
6532
6533         if (item_type == EITEM_FILTER)
6534           {
6535           BOOL condresult;
6536           if (!eval_condition(expr, &resetok, &condresult))
6537             {
6538             iterate_item = save_iterate_item;
6539             lookup_value = save_lookup_value;
6540             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6541               expand_string_message, name);
6542             goto EXPAND_FAILED;
6543             }
6544           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6545             condresult? "true":"false");
6546           if (condresult)
6547             temp = iterate_item;    /* TRUE => include this item */
6548           else
6549             continue;               /* FALSE => skip this item */
6550           }
6551
6552         /* EITEM_MAP and EITEM_REDUCE */
6553
6554         else
6555           {
6556           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
6557           temp = t;
6558           if (!temp)
6559             {
6560             iterate_item = save_iterate_item;
6561             expand_string_message = string_sprintf("%s inside \"%s\" item",
6562               expand_string_message, name);
6563             goto EXPAND_FAILED;
6564             }
6565           if (item_type == EITEM_REDUCE)
6566             {
6567             lookup_value = t;         /* Update the value of $value */
6568             continue;                 /* and continue the iteration */
6569             }
6570           }
6571
6572         /* We reach here for FILTER if the condition is true, always for MAP,
6573         and never for REDUCE. The value in "temp" is to be added to the output
6574         list that is being created, ensuring that any occurrences of the
6575         separator character are doubled. Unless we are dealing with the first
6576         item of the output list, add in a space if the new item begins with the
6577         separator character, or is an empty string. */
6578
6579         if (  yield && yield->ptr != save_ptr
6580            && (temp[0] == *outsep || temp[0] == 0))
6581           yield = string_catn(yield, US" ", 1);
6582
6583         /* Add the string in "temp" to the output list that we are building,
6584         This is done in chunks by searching for the separator character. */
6585
6586         for (;;)
6587           {
6588           size_t seglen = Ustrcspn(temp, outsep);
6589
6590           yield = string_catn(yield, temp, seglen + 1);
6591
6592           /* If we got to the end of the string we output one character
6593           too many; backup and end the loop. Otherwise arrange to double the
6594           separator. */
6595
6596           if (temp[seglen] == '\0') { yield->ptr--; break; }
6597           yield = string_catn(yield, outsep, 1);
6598           temp += seglen + 1;
6599           }
6600
6601         /* Output a separator after the string: we will remove the redundant
6602         final one at the end. */
6603
6604         yield = string_catn(yield, outsep, 1);
6605         }   /* End of iteration over the list loop */
6606
6607       /* REDUCE has generated no output above: output the final value of
6608       $value. */
6609
6610       if (item_type == EITEM_REDUCE)
6611         {
6612         yield = string_cat(yield, lookup_value);
6613         lookup_value = save_lookup_value;  /* Restore $value */
6614         }
6615
6616       /* FILTER and MAP generate lists: if they have generated anything, remove
6617       the redundant final separator. Even though an empty item at the end of a
6618       list does not count, this is tidier. */
6619
6620       else if (yield && yield->ptr != save_ptr) yield->ptr--;
6621
6622       /* Restore preserved $item */
6623
6624       iterate_item = save_iterate_item;
6625       continue;
6626       }
6627
6628     case EITEM_SORT:
6629       {
6630       int cond_type;
6631       int sep = 0;
6632       const uschar *srclist, *cmp, *xtract;
6633       uschar * opname, * srcitem;
6634       const uschar *dstlist = NULL, *dstkeylist = NULL;
6635       uschar * tmp;
6636       uschar *save_iterate_item = iterate_item;
6637
6638       Uskip_whitespace(&s);
6639       if (*s++ != '{')
6640         {
6641         expand_string_message = US"missing '{' for list arg of sort";
6642         goto EXPAND_FAILED_CURLY;
6643         }
6644
6645       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6646       if (!srclist) goto EXPAND_FAILED;
6647       if (*s++ != '}')
6648         {
6649         expand_string_message = US"missing '}' closing list arg of sort";
6650         goto EXPAND_FAILED_CURLY;
6651         }
6652
6653       Uskip_whitespace(&s);
6654       if (*s++ != '{')
6655         {
6656         expand_string_message = US"missing '{' for comparator arg of sort";
6657         goto EXPAND_FAILED_CURLY;
6658         }
6659
6660       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
6661       if (!cmp) goto EXPAND_FAILED;
6662       if (*s++ != '}')
6663         {
6664         expand_string_message = US"missing '}' closing comparator arg of sort";
6665         goto EXPAND_FAILED_CURLY;
6666         }
6667
6668       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6669         {
6670         if (!expand_string_message)
6671           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6672         goto EXPAND_FAILED;
6673         }
6674       switch(cond_type)
6675         {
6676         case ECOND_NUM_L: case ECOND_NUM_LE:
6677         case ECOND_NUM_G: case ECOND_NUM_GE:
6678         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6679         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6680           break;
6681
6682         default:
6683           expand_string_message = US"comparator not handled for sort";
6684           goto EXPAND_FAILED;
6685         }
6686
6687       Uskip_whitespace(&s);
6688       if (*s++ != '{')
6689         {
6690         expand_string_message = US"missing '{' for extractor arg of sort";
6691         goto EXPAND_FAILED_CURLY;
6692         }
6693
6694       xtract = s;
6695       if (!(tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok)))
6696         goto EXPAND_FAILED;
6697       xtract = string_copyn(xtract, s - xtract);
6698
6699       if (*s++ != '}')
6700         {
6701         expand_string_message = US"missing '}' closing extractor arg of sort";
6702         goto EXPAND_FAILED_CURLY;
6703         }
6704                                                         /*{*/
6705       if (*s++ != '}')
6706         {                                               /*{*/
6707         expand_string_message = US"missing } at end of \"sort\"";
6708         goto EXPAND_FAILED;
6709         }
6710
6711       if (skipping) continue;
6712
6713       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6714         {
6715         uschar * srcfield, * dstitem;
6716         gstring * newlist = NULL;
6717         gstring * newkeylist = NULL;
6718
6719         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6720
6721         /* extract field for comparisons */
6722         iterate_item = srcitem;
6723         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
6724                                           TRUE, &resetok))
6725            || !*srcfield)
6726           {
6727           expand_string_message = string_sprintf(
6728               "field-extract in sort: \"%s\"", xtract);
6729           goto EXPAND_FAILED;
6730           }
6731
6732         /* Insertion sort */
6733
6734         /* copy output list until new-item < list-item */
6735         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6736           {
6737           uschar * dstfield;
6738
6739           /* field for comparison */
6740           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6741             goto sort_mismatch;
6742
6743           /* String-comparator names start with a letter; numeric names do not */
6744
6745           if (sortsbefore(cond_type, isalpha(opname[0]),
6746               srcfield, dstfield))
6747             {
6748             /* New-item sorts before this dst-item.  Append new-item,
6749             then dst-item, then remainder of dst list. */
6750
6751             newlist = string_append_listele(newlist, sep, srcitem);
6752             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6753             srcitem = NULL;
6754
6755             newlist = string_append_listele(newlist, sep, dstitem);
6756             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6757
6758 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6759             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6760               {
6761               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6762                 goto sort_mismatch;
6763               newlist = string_append_listele(newlist, sep, dstitem);
6764               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6765               }
6766
6767             break;
6768             }
6769
6770           newlist = string_append_listele(newlist, sep, dstitem);
6771           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6772           }
6773
6774         /* If we ran out of dstlist without consuming srcitem, append it */
6775         if (srcitem)
6776           {
6777           newlist = string_append_listele(newlist, sep, srcitem);
6778           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6779           }
6780
6781         dstlist = newlist->s;
6782         dstkeylist = newkeylist->s;
6783
6784         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6785         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6786         }
6787
6788       if (dstlist)
6789         yield = string_cat(yield, dstlist);
6790
6791       /* Restore preserved $item */
6792       iterate_item = save_iterate_item;
6793       continue;
6794
6795       sort_mismatch:
6796         expand_string_message = US"Internal error in sort (list mismatch)";
6797         goto EXPAND_FAILED;
6798       }
6799
6800
6801     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6802     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6803     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6804     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6805
6806     #define EXPAND_DLFUNC_MAX_ARGS 8
6807
6808     case EITEM_DLFUNC:
6809 #ifndef EXPAND_DLFUNC
6810       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6811         "is not included in this binary";
6812       goto EXPAND_FAILED;
6813
6814 #else   /* EXPAND_DLFUNC */
6815       {
6816       tree_node *t;
6817       exim_dlfunc_t *func;
6818       uschar *result;
6819       int status, argc;
6820       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6821
6822       if ((expand_forbid & RDO_DLFUNC) != 0)
6823         {
6824         expand_string_message =
6825           US"dynamically-loaded functions are not permitted";
6826         goto EXPAND_FAILED;
6827         }
6828
6829       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6830            TRUE, name, &resetok))
6831         {
6832         case 1: goto EXPAND_FAILED_CURLY;
6833         case 2:
6834         case 3: goto EXPAND_FAILED;
6835         }
6836
6837       /* If skipping, we don't actually do anything */
6838
6839       if (skipping) continue;
6840
6841       /* Look up the dynamically loaded object handle in the tree. If it isn't
6842       found, dlopen() the file and put the handle in the tree for next time. */
6843
6844       if (!(t = tree_search(dlobj_anchor, argv[0])))
6845         {
6846         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6847         if (!handle)
6848           {
6849           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6850             argv[0], dlerror());
6851           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6852           goto EXPAND_FAILED;
6853           }
6854         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), is_tainted(argv[0]));
6855         Ustrcpy(t->name, argv[0]);
6856         t->data.ptr = handle;
6857         (void)tree_insertnode(&dlobj_anchor, t);
6858         }
6859
6860       /* Having obtained the dynamically loaded object handle, look up the
6861       function pointer. */
6862
6863       if (!(func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1])))
6864         {
6865         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6866           "%s", argv[1], argv[0], dlerror());
6867         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6868         goto EXPAND_FAILED;
6869         }
6870
6871       /* Call the function and work out what to do with the result. If it
6872       returns OK, we have a replacement string; if it returns DEFER then
6873       expansion has failed in a non-forced manner; if it returns FAIL then
6874       failure was forced; if it returns ERROR or any other value there's a
6875       problem, so panic slightly. In any case, assume that the function has
6876       side-effects on the store that must be preserved. */
6877
6878       resetok = FALSE;
6879       result = NULL;
6880       for (argc = 0; argv[argc]; argc++);
6881       status = func(&result, argc - 2, &argv[2]);
6882       if(status == OK)
6883         {
6884         if (!result) result = US"";
6885         yield = string_cat(yield, result);
6886         continue;
6887         }
6888       else
6889         {
6890         expand_string_message = result ? result : US"(no message)";
6891         if (status == FAIL_FORCED)
6892           f.expand_string_forcedfail = TRUE;
6893         else if (status != FAIL)
6894           log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6895               argv[0], argv[1], status, expand_string_message);
6896         goto EXPAND_FAILED;
6897         }
6898       }
6899 #endif /* EXPAND_DLFUNC */
6900
6901     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6902       {
6903       uschar * key;
6904       uschar *save_lookup_value = lookup_value;
6905
6906       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6907         goto EXPAND_FAILED;
6908
6909       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6910       if (!key) goto EXPAND_FAILED;                     /*{*/
6911       if (*s++ != '}')
6912         {
6913         expand_string_message = US"missing '{' for name arg of env";
6914         goto EXPAND_FAILED_CURLY;
6915         }
6916
6917       lookup_value = US getenv(CS key);
6918
6919       switch(process_yesno(
6920                skipping,                     /* were previously skipping */
6921                lookup_value != NULL,         /* success/failure indicator */
6922                save_lookup_value,            /* value to reset for string2 */
6923                &s,                           /* input pointer */
6924                &yield,                       /* output pointer */
6925                US"env",                      /* condition type */
6926                &resetok))
6927         {
6928         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6929         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6930         }
6931       continue;
6932       }
6933
6934 #ifdef EXPERIMENTAL_SRS_NATIVE
6935     case EITEM_SRS_ENCODE:
6936       /* ${srs_encode {secret} {return_path} {orig_domain}} */
6937       {
6938       uschar * sub[3];
6939       uschar cksum[4];
6940
6941       switch (read_subs(sub, 3, 3, CUSS &s, skipping, TRUE, name, &resetok))
6942         {
6943         case 1: goto EXPAND_FAILED_CURLY;
6944         case 2:
6945         case 3: goto EXPAND_FAILED;
6946         }
6947
6948       yield = string_catn(yield, US"SRS0=", 5);
6949
6950       /* ${l_4:${hmac{md5}{SRS_SECRET}{${lc:$return_path}}}}= */
6951       hmac_md5(sub[0], string_copylc(sub[1]), cksum, sizeof(cksum));
6952       yield = string_catn(yield, cksum, sizeof(cksum));
6953       yield = string_catn(yield, US"=", 1);
6954
6955       /* ${base32:${eval:$tod_epoch/86400&0x3ff}}= */
6956         {
6957         struct timeval now;
6958         unsigned long i;
6959         gstring * g = NULL;
6960
6961         gettimeofday(&now, NULL);
6962         for (unsigned long i = (now.tv_sec / 86400) & 0x3ff; i; i >>= 5)
6963           g = string_catn(g, &base32_chars[i & 0x1f], 1);
6964         if (g) while (g->ptr > 0)
6965           yield = string_catn(yield, &g->s[--g->ptr], 1);
6966         }
6967       yield = string_catn(yield, US"=", 1);
6968
6969       /* ${domain:$return_path}=${local_part:$return_path} */
6970         {
6971         int start, end, domain;
6972         uschar * t = parse_extract_address(sub[1], &expand_string_message,
6973                                           &start, &end, &domain, FALSE);
6974         if (!t)
6975           goto EXPAND_FAILED;
6976
6977         if (domain > 0) yield = string_cat(yield, t + domain);
6978         yield = string_catn(yield, US"=", 1);
6979         yield = domain > 0
6980           ? string_catn(yield, t, domain - 1) : string_cat(yield, t);
6981         }
6982
6983       /* @$original_domain */
6984       yield = string_catn(yield, US"@", 1);
6985       yield = string_cat(yield, sub[2]);
6986       continue;
6987       }
6988 #endif /*EXPERIMENTAL_SRS_NATIVE*/
6989     }   /* EITEM_* switch */
6990
6991   /* Control reaches here if the name is not recognized as one of the more
6992   complicated expansion items. Check for the "operator" syntax (name terminated
6993   by a colon). Some of the operators have arguments, separated by _ from the
6994   name. */
6995
6996   if (*s == ':')
6997     {
6998     int c;
6999     uschar *arg = NULL;
7000     uschar *sub;
7001 #ifndef DISABLE_TLS
7002     var_entry *vp = NULL;
7003 #endif
7004
7005     /* Owing to an historical mis-design, an underscore may be part of the
7006     operator name, or it may introduce arguments.  We therefore first scan the
7007     table of names that contain underscores. If there is no match, we cut off
7008     the arguments and then scan the main table. */
7009
7010     if ((c = chop_match(name, op_table_underscore,
7011                         nelem(op_table_underscore))) < 0)
7012       {
7013       if ((arg = Ustrchr(name, '_')))
7014         *arg = 0;
7015       if ((c = chop_match(name, op_table_main, nelem(op_table_main))) >= 0)
7016         c += nelem(op_table_underscore);
7017       if (arg) *arg++ = '_';            /* Put back for error messages */
7018       }
7019
7020     /* Deal specially with operators that might take a certificate variable
7021     as we do not want to do the usual expansion. For most, expand the string.*/
7022     switch(c)
7023       {
7024 #ifndef DISABLE_TLS
7025       case EOP_MD5:
7026       case EOP_SHA1:
7027       case EOP_SHA256:
7028       case EOP_BASE64:
7029         if (s[1] == '$')
7030           {
7031           const uschar * s1 = s;
7032           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
7033                   FALSE, &resetok);
7034           if (!sub)       goto EXPAND_FAILED;           /*{*/
7035           if (*s1 != '}')
7036             {
7037             expand_string_message =
7038               string_sprintf("missing '}' closing cert arg of %s", name);
7039             goto EXPAND_FAILED_CURLY;
7040             }
7041           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
7042             {
7043             s = s1+1;
7044             break;
7045             }
7046           vp = NULL;
7047           }
7048         /*FALLTHROUGH*/
7049 #endif
7050       default:
7051         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
7052         if (!sub) goto EXPAND_FAILED;
7053         s++;
7054         break;
7055       }
7056
7057     /* If we are skipping, we don't need to perform the operation at all.
7058     This matters for operations like "mask", because the data may not be
7059     in the correct format when skipping. For example, the expression may test
7060     for the existence of $sender_host_address before trying to mask it. For
7061     other operations, doing them may not fail, but it is a waste of time. */
7062
7063     if (skipping && c >= 0) continue;
7064
7065     /* Otherwise, switch on the operator type */
7066
7067     switch(c)
7068       {
7069       case EOP_BASE32:
7070         {
7071         uschar *t;
7072         unsigned long int n = Ustrtoul(sub, &t, 10);
7073         gstring * g = NULL;
7074
7075         if (*t != 0)
7076           {
7077           expand_string_message = string_sprintf("argument for base32 "
7078             "operator is \"%s\", which is not a decimal number", sub);
7079           goto EXPAND_FAILED;
7080           }
7081         for ( ; n; n >>= 5)
7082           g = string_catn(g, &base32_chars[n & 0x1f], 1);
7083
7084         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
7085         continue;
7086         }
7087
7088       case EOP_BASE32D:
7089         {
7090         uschar *tt = sub;
7091         unsigned long int n = 0;
7092         while (*tt)
7093           {
7094           uschar * t = Ustrchr(base32_chars, *tt++);
7095           if (!t)
7096             {
7097             expand_string_message = string_sprintf("argument for base32d "
7098               "operator is \"%s\", which is not a base 32 number", sub);
7099             goto EXPAND_FAILED;
7100             }
7101           n = n * 32 + (t - base32_chars);
7102           }
7103         yield = string_fmt_append(yield, "%ld", n);
7104         continue;
7105         }
7106
7107       case EOP_BASE62:
7108         {
7109         uschar *t;
7110         unsigned long int n = Ustrtoul(sub, &t, 10);
7111         if (*t != 0)
7112           {
7113           expand_string_message = string_sprintf("argument for base62 "
7114             "operator is \"%s\", which is not a decimal number", sub);
7115           goto EXPAND_FAILED;
7116           }
7117         yield = string_cat(yield, string_base62(n));
7118         continue;
7119         }
7120
7121       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
7122
7123       case EOP_BASE62D:
7124         {
7125         uschar *tt = sub;
7126         unsigned long int n = 0;
7127         while (*tt != 0)
7128           {
7129           uschar *t = Ustrchr(base62_chars, *tt++);
7130           if (!t)
7131             {
7132             expand_string_message = string_sprintf("argument for base62d "
7133               "operator is \"%s\", which is not a base %d number", sub,
7134               BASE_62);
7135             goto EXPAND_FAILED;
7136             }
7137           n = n * BASE_62 + (t - base62_chars);
7138           }
7139         yield = string_fmt_append(yield, "%ld", n);
7140         continue;
7141         }
7142
7143       case EOP_BLESS:
7144         /* This is purely for the convenience of the test harness.  Do not enable
7145         it otherwise as it defeats the taint-checking security. */
7146
7147         if (f.running_in_test_harness)
7148           yield = string_cat(yield, is_tainted(sub)
7149                                     ? string_copy_taint(sub, FALSE) : sub);
7150         else
7151           {
7152           DEBUG(D_expand) debug_printf_indent("bless operator not supported\n");
7153           yield = string_cat(yield, sub);
7154           }
7155         continue;
7156
7157       case EOP_EXPAND:
7158         {
7159         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
7160         if (!expanded)
7161           {
7162           expand_string_message =
7163             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
7164               expand_string_message);
7165           goto EXPAND_FAILED;
7166           }
7167         yield = string_cat(yield, expanded);
7168         continue;
7169         }
7170
7171       case EOP_LC:
7172         {
7173         int count = 0;
7174         uschar *t = sub - 1;
7175         while (*(++t) != 0) { *t = tolower(*t); count++; }
7176         yield = string_catn(yield, sub, count);
7177         continue;
7178         }
7179
7180       case EOP_UC:
7181         {
7182         int count = 0;
7183         uschar *t = sub - 1;
7184         while (*(++t) != 0) { *t = toupper(*t); count++; }
7185         yield = string_catn(yield, sub, count);
7186         continue;
7187         }
7188
7189       case EOP_MD5:
7190 #ifndef DISABLE_TLS
7191         if (vp && *(void **)vp->value)
7192           {
7193           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
7194           yield = string_cat(yield, cp);
7195           }
7196         else
7197 #endif
7198           {
7199           md5 base;
7200           uschar digest[16];
7201           md5_start(&base);
7202           md5_end(&base, sub, Ustrlen(sub), digest);
7203           for (int j = 0; j < 16; j++)
7204             yield = string_fmt_append(yield, "%02x", digest[j]);
7205           }
7206         continue;
7207
7208       case EOP_SHA1:
7209 #ifndef DISABLE_TLS
7210         if (vp && *(void **)vp->value)
7211           {
7212           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
7213           yield = string_cat(yield, cp);
7214           }
7215         else
7216 #endif
7217           {
7218           hctx h;
7219           uschar digest[20];
7220           sha1_start(&h);
7221           sha1_end(&h, sub, Ustrlen(sub), digest);
7222           for (int j = 0; j < 20; j++)
7223             yield = string_fmt_append(yield, "%02X", digest[j]);
7224           }
7225         continue;
7226
7227       case EOP_SHA2:
7228       case EOP_SHA256:
7229 #ifdef EXIM_HAVE_SHA2
7230         if (vp && *(void **)vp->value)
7231           if (c == EOP_SHA256)
7232             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
7233           else
7234             expand_string_message = US"sha2_N not supported with certificates";
7235         else
7236           {
7237           hctx h;
7238           blob b;
7239           hashmethod m = !arg ? HASH_SHA2_256
7240             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
7241             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
7242             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
7243             : HASH_BADTYPE;
7244
7245           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7246             {
7247             expand_string_message = US"unrecognised sha2 variant";
7248             goto EXPAND_FAILED;
7249             }
7250
7251           exim_sha_update(&h, sub, Ustrlen(sub));
7252           exim_sha_finish(&h, &b);
7253           while (b.len-- > 0)
7254             yield = string_fmt_append(yield, "%02X", *b.data++);
7255           }
7256 #else
7257           expand_string_message = US"sha256 only supported with TLS";
7258 #endif
7259         continue;
7260
7261       case EOP_SHA3:
7262 #ifdef EXIM_HAVE_SHA3
7263         {
7264         hctx h;
7265         blob b;
7266         hashmethod m = !arg ? HASH_SHA3_256
7267           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
7268           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
7269           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
7270           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
7271           : HASH_BADTYPE;
7272
7273         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7274           {
7275           expand_string_message = US"unrecognised sha3 variant";
7276           goto EXPAND_FAILED;
7277           }
7278
7279         exim_sha_update(&h, sub, Ustrlen(sub));
7280         exim_sha_finish(&h, &b);
7281         while (b.len-- > 0)
7282           yield = string_fmt_append(yield, "%02X", *b.data++);
7283         }
7284         continue;
7285 #else
7286         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
7287         goto EXPAND_FAILED;
7288 #endif
7289
7290       /* Convert hex encoding to base64 encoding */
7291
7292       case EOP_HEX2B64:
7293         {
7294         int c = 0;
7295         int b = -1;
7296         uschar *in = sub;
7297         uschar *out = sub;
7298         uschar *enc;
7299
7300         for (enc = sub; *enc; enc++)
7301           {
7302           if (!isxdigit(*enc))
7303             {
7304             expand_string_message = string_sprintf("\"%s\" is not a hex "
7305               "string", sub);
7306             goto EXPAND_FAILED;
7307             }
7308           c++;
7309           }
7310
7311         if ((c & 1) != 0)
7312           {
7313           expand_string_message = string_sprintf("\"%s\" contains an odd "
7314             "number of characters", sub);
7315           goto EXPAND_FAILED;
7316           }
7317
7318         while ((c = *in++) != 0)
7319           {
7320           if (isdigit(c)) c -= '0';
7321           else c = toupper(c) - 'A' + 10;
7322           if (b == -1)
7323             b = c << 4;
7324           else
7325             {
7326             *out++ = b | c;
7327             b = -1;
7328             }
7329           }
7330
7331         enc = b64encode(CUS sub, out - sub);
7332         yield = string_cat(yield, enc);
7333         continue;
7334         }
7335
7336       /* Convert octets outside 0x21..0x7E to \xXX form */
7337
7338       case EOP_HEXQUOTE:
7339         {
7340         uschar *t = sub - 1;
7341         while (*(++t) != 0)
7342           {
7343           if (*t < 0x21 || 0x7E < *t)
7344             yield = string_fmt_append(yield, "\\x%02x", *t);
7345           else
7346             yield = string_catn(yield, t, 1);
7347           }
7348         continue;
7349         }
7350
7351       /* count the number of list elements */
7352
7353       case EOP_LISTCOUNT:
7354         {
7355         int cnt = 0;
7356         int sep = 0;
7357         uschar buffer[256];
7358
7359         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer))) cnt++;
7360         yield = string_fmt_append(yield, "%d", cnt);
7361         continue;
7362         }
7363
7364       /* expand a named list given the name */
7365       /* handles nested named lists; requotes as colon-sep list */
7366
7367       case EOP_LISTNAMED:
7368         {
7369         tree_node *t = NULL;
7370         const uschar * list;
7371         int sep = 0;
7372         uschar * item;
7373         uschar * suffix = US"";
7374         BOOL needsep = FALSE;
7375         uschar buffer[256];
7376
7377         if (*sub == '+') sub++;
7378         if (!arg)               /* no-argument version */
7379           {
7380           if (!(t = tree_search(addresslist_anchor, sub)) &&
7381               !(t = tree_search(domainlist_anchor,  sub)) &&
7382               !(t = tree_search(hostlist_anchor,    sub)))
7383             t = tree_search(localpartlist_anchor, sub);
7384           }
7385         else switch(*arg)       /* specific list-type version */
7386           {
7387           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
7388           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
7389           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
7390           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
7391           default:
7392             expand_string_message = US"bad suffix on \"list\" operator";
7393             goto EXPAND_FAILED;
7394           }
7395
7396         if(!t)
7397           {
7398           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
7399             sub, !arg?""
7400               : *arg=='a'?"address "
7401               : *arg=='d'?"domain "
7402               : *arg=='h'?"host "
7403               : *arg=='l'?"localpart "
7404               : 0);
7405           goto EXPAND_FAILED;
7406           }
7407
7408         list = ((namedlist_block *)(t->data.ptr))->string;
7409
7410         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
7411           {
7412           uschar * buf = US" : ";
7413           if (needsep)
7414             yield = string_catn(yield, buf, 3);
7415           else
7416             needsep = TRUE;
7417
7418           if (*item == '+')     /* list item is itself a named list */
7419             {
7420             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
7421             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
7422             }
7423           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
7424             {
7425             char * cp;
7426             char tok[3];
7427             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
7428             while ((cp= strpbrk(CCS item, tok)))
7429               {
7430               yield = string_catn(yield, item, cp - CS item);
7431               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
7432                 {
7433                 yield = string_catn(yield, US"::", 2);
7434                 item = US cp;
7435                 }
7436               else              /* sep in item; should already be doubled; emit once */
7437                 {
7438                 yield = string_catn(yield, US tok, 1);
7439                 if (*cp == sep) cp++;
7440                 item = US cp;
7441                 }
7442               }
7443             }
7444           yield = string_cat(yield, item);
7445           }
7446         continue;
7447         }
7448
7449       /* quote a list-item for the given list-separator */
7450
7451       /* mask applies a mask to an IP address; for example the result of
7452       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7453
7454       case EOP_MASK:
7455         {
7456         int count;
7457         uschar *endptr;
7458         int binary[4];
7459         int mask, maskoffset;
7460         int type = string_is_ip_address(sub, &maskoffset);
7461         uschar buffer[64];
7462
7463         if (type == 0)
7464           {
7465           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7466            sub);
7467           goto EXPAND_FAILED;
7468           }
7469
7470         if (maskoffset == 0)
7471           {
7472           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7473             sub);
7474           goto EXPAND_FAILED;
7475           }
7476
7477         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7478
7479         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
7480           {
7481           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7482             sub);
7483           goto EXPAND_FAILED;
7484           }
7485
7486         /* Convert the address to binary integer(s) and apply the mask */
7487
7488         sub[maskoffset] = 0;
7489         count = host_aton(sub, binary);
7490         host_mask(count, binary, mask);
7491
7492         /* Convert to masked textual format and add to output. */
7493
7494         yield = string_catn(yield, buffer,
7495           host_nmtoa(count, binary, mask, buffer, '.'));
7496         continue;
7497         }
7498
7499       case EOP_IPV6NORM:
7500       case EOP_IPV6DENORM:
7501         {
7502         int type = string_is_ip_address(sub, NULL);
7503         int binary[4];
7504         uschar buffer[44];
7505
7506         switch (type)
7507           {
7508           case 6:
7509             (void) host_aton(sub, binary);
7510             break;
7511
7512           case 4:       /* convert to IPv4-mapped IPv6 */
7513             binary[0] = binary[1] = 0;
7514             binary[2] = 0x0000ffff;
7515             (void) host_aton(sub, binary+3);
7516             break;
7517
7518           case 0:
7519             expand_string_message =
7520               string_sprintf("\"%s\" is not an IP address", sub);
7521             goto EXPAND_FAILED;
7522           }
7523
7524         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7525                     ? ipv6_nmtoa(binary, buffer)
7526                     : host_nmtoa(4, binary, -1, buffer, ':')
7527                   );
7528         continue;
7529         }
7530
7531       case EOP_ADDRESS:
7532       case EOP_LOCAL_PART:
7533       case EOP_DOMAIN:
7534         {
7535         uschar * error;
7536         int start, end, domain;
7537         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7538           FALSE);
7539         if (t)
7540           if (c != EOP_DOMAIN)
7541             yield = c == EOP_LOCAL_PART && domain > 0
7542               ? string_catn(yield, t, domain - 1)
7543               : string_cat(yield, t);
7544           else if (domain > 0)
7545             yield = string_cat(yield, t + domain);
7546         continue;
7547         }
7548
7549       case EOP_ADDRESSES:
7550         {
7551         uschar outsep[2] = { ':', '\0' };
7552         uschar *address, *error;
7553         int save_ptr = gstring_length(yield);
7554         int start, end, domain;  /* Not really used */
7555
7556         if (Uskip_whitespace(&sub) == '>')
7557           if (*outsep = *++sub) ++sub;
7558           else
7559             {
7560             expand_string_message = string_sprintf("output separator "
7561               "missing in expanding ${addresses:%s}", --sub);
7562             goto EXPAND_FAILED;
7563             }
7564         f.parse_allow_group = TRUE;
7565
7566         for (;;)
7567           {
7568           uschar * p = parse_find_address_end(sub, FALSE);
7569           uschar saveend = *p;
7570           *p = '\0';
7571           address = parse_extract_address(sub, &error, &start, &end, &domain,
7572             FALSE);
7573           *p = saveend;
7574
7575           /* Add the address to the output list that we are building. This is
7576           done in chunks by searching for the separator character. At the
7577           start, unless we are dealing with the first address of the output
7578           list, add in a space if the new address begins with the separator
7579           character, or is an empty string. */
7580
7581           if (address)
7582             {
7583             if (yield && yield->ptr != save_ptr && address[0] == *outsep)
7584               yield = string_catn(yield, US" ", 1);
7585
7586             for (;;)
7587               {
7588               size_t seglen = Ustrcspn(address, outsep);
7589               yield = string_catn(yield, address, seglen + 1);
7590
7591               /* If we got to the end of the string we output one character
7592               too many. */
7593
7594               if (address[seglen] == '\0') { yield->ptr--; break; }
7595               yield = string_catn(yield, outsep, 1);
7596               address += seglen + 1;
7597               }
7598
7599             /* Output a separator after the string: we will remove the
7600             redundant final one at the end. */
7601
7602             yield = string_catn(yield, outsep, 1);
7603             }
7604
7605           if (saveend == '\0') break;
7606           sub = p + 1;
7607           }
7608
7609         /* If we have generated anything, remove the redundant final
7610         separator. */
7611
7612         if (yield && yield->ptr != save_ptr) yield->ptr--;
7613         f.parse_allow_group = FALSE;
7614         continue;
7615         }
7616
7617
7618       /* quote puts a string in quotes if it is empty or contains anything
7619       other than alphamerics, underscore, dot, or hyphen.
7620
7621       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7622       be quoted in order to be a valid local part.
7623
7624       In both cases, newlines and carriage returns are converted into \n and \r
7625       respectively */
7626
7627       case EOP_QUOTE:
7628       case EOP_QUOTE_LOCAL_PART:
7629       if (!arg)
7630         {
7631         BOOL needs_quote = (!*sub);      /* TRUE for empty string */
7632         uschar *t = sub - 1;
7633
7634         if (c == EOP_QUOTE)
7635           {
7636           while (!needs_quote && *(++t) != 0)
7637             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7638           }
7639         else  /* EOP_QUOTE_LOCAL_PART */
7640           {
7641           while (!needs_quote && *(++t) != 0)
7642             needs_quote = !isalnum(*t) &&
7643               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
7644               (*t != '.' || t == sub || t[1] == 0);
7645           }
7646
7647         if (needs_quote)
7648           {
7649           yield = string_catn(yield, US"\"", 1);
7650           t = sub - 1;
7651           while (*(++t) != 0)
7652             {
7653             if (*t == '\n')
7654               yield = string_catn(yield, US"\\n", 2);
7655             else if (*t == '\r')
7656               yield = string_catn(yield, US"\\r", 2);
7657             else
7658               {
7659               if (*t == '\\' || *t == '"')
7660                 yield = string_catn(yield, US"\\", 1);
7661               yield = string_catn(yield, t, 1);
7662               }
7663             }
7664           yield = string_catn(yield, US"\"", 1);
7665           }
7666         else yield = string_cat(yield, sub);
7667         continue;
7668         }
7669
7670       /* quote_lookuptype does lookup-specific quoting */
7671
7672       else
7673         {
7674         int n;
7675         uschar *opt = Ustrchr(arg, '_');
7676
7677         if (opt) *opt++ = 0;
7678
7679         if ((n = search_findtype(arg, Ustrlen(arg))) < 0)
7680           {
7681           expand_string_message = search_error_message;
7682           goto EXPAND_FAILED;
7683           }
7684
7685         if (lookup_list[n]->quote)
7686           sub = (lookup_list[n]->quote)(sub, opt);
7687         else if (opt)
7688           sub = NULL;
7689
7690         if (!sub)
7691           {
7692           expand_string_message = string_sprintf(
7693             "\"%s\" unrecognized after \"${quote_%s\"",
7694             opt, arg);
7695           goto EXPAND_FAILED;
7696           }
7697
7698         yield = string_cat(yield, sub);
7699         continue;
7700         }
7701
7702       /* rx quote sticks in \ before any non-alphameric character so that
7703       the insertion works in a regular expression. */
7704
7705       case EOP_RXQUOTE:
7706         {
7707         uschar *t = sub - 1;
7708         while (*(++t) != 0)
7709           {
7710           if (!isalnum(*t))
7711             yield = string_catn(yield, US"\\", 1);
7712           yield = string_catn(yield, t, 1);
7713           }
7714         continue;
7715         }
7716
7717       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7718       prescribed by the RFC, if there are characters that need to be encoded */
7719
7720       case EOP_RFC2047:
7721         {
7722         uschar buffer[2048];
7723         yield = string_cat(yield,
7724                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7725                               buffer, sizeof(buffer), FALSE));
7726         continue;
7727         }
7728
7729       /* RFC 2047 decode */
7730
7731       case EOP_RFC2047D:
7732         {
7733         int len;
7734         uschar *error;
7735         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7736           headers_charset, '?', &len, &error);
7737         if (error)
7738           {
7739           expand_string_message = error;
7740           goto EXPAND_FAILED;
7741           }
7742         yield = string_catn(yield, decoded, len);
7743         continue;
7744         }
7745
7746       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7747       underscores */
7748
7749       case EOP_FROM_UTF8:
7750         {
7751         uschar * buff = store_get(4, is_tainted(sub));
7752         while (*sub)
7753           {
7754           int c;
7755           GETUTF8INC(c, sub);
7756           if (c > 255) c = '_';
7757           buff[0] = c;
7758           yield = string_catn(yield, buff, 1);
7759           }
7760         continue;
7761         }
7762
7763       /* replace illegal UTF-8 sequences by replacement character  */
7764
7765       #define UTF8_REPLACEMENT_CHAR US"?"
7766
7767       case EOP_UTF8CLEAN:
7768         {
7769         int seq_len = 0, index = 0;
7770         int bytes_left = 0;
7771         long codepoint = -1;
7772         int complete;
7773         uschar seq_buff[4];                     /* accumulate utf-8 here */
7774
7775         /* Manually track tainting, as we deal in individual chars below */
7776
7777         if (is_tainted(sub))
7778           if (yield->s && yield->ptr)
7779             gstring_rebuffer(yield);
7780           else
7781             yield->s = store_get(yield->size = Ustrlen(sub), TRUE);
7782
7783         /* Check the UTF-8, byte-by-byte */
7784
7785         while (*sub)
7786           {
7787           complete = 0;
7788           uschar c = *sub++;
7789
7790           if (bytes_left)
7791             {
7792             if ((c & 0xc0) != 0x80)
7793                     /* wrong continuation byte; invalidate all bytes */
7794               complete = 1; /* error */
7795             else
7796               {
7797               codepoint = (codepoint << 6) | (c & 0x3f);
7798               seq_buff[index++] = c;
7799               if (--bytes_left == 0)            /* codepoint complete */
7800                 if(codepoint > 0x10FFFF)        /* is it too large? */
7801                   complete = -1;        /* error (RFC3629 limit) */
7802                 else
7803                   {             /* finished; output utf-8 sequence */
7804                   yield = string_catn(yield, seq_buff, seq_len);
7805                   index = 0;
7806                   }
7807               }
7808             }
7809           else  /* no bytes left: new sequence */
7810             {
7811             if(!(c & 0x80))     /* 1-byte sequence, US-ASCII, keep it */
7812               {
7813               yield = string_catn(yield, &c, 1);
7814               continue;
7815               }
7816             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7817               {
7818               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7819                 complete = -1;
7820               else
7821                 {
7822                   bytes_left = 1;
7823                   codepoint = c & 0x1f;
7824                 }
7825               }
7826             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7827               {
7828               bytes_left = 2;
7829               codepoint = c & 0x0f;
7830               }
7831             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7832               {
7833               bytes_left = 3;
7834               codepoint = c & 0x07;
7835               }
7836             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7837               complete = -1;
7838
7839             seq_buff[index++] = c;
7840             seq_len = bytes_left + 1;
7841             }           /* if(bytes_left) */
7842
7843           if (complete != 0)
7844             {
7845             bytes_left = index = 0;
7846             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7847             }
7848           if ((complete == 1) && ((c & 0x80) == 0))
7849                         /* ASCII character follows incomplete sequence */
7850               yield = string_catn(yield, &c, 1);
7851           }
7852         /* If given a sequence truncated mid-character, we also want to report ?
7853         * Eg, ${length_1:フィル} is one byte, not one character, so we expect
7854         * ${utf8clean:${length_1:フィル}} to yield '?' */
7855         if (bytes_left != 0)
7856           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7857
7858         continue;
7859         }
7860
7861 #ifdef SUPPORT_I18N
7862       case EOP_UTF8_DOMAIN_TO_ALABEL:
7863         {
7864         uschar * error = NULL;
7865         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7866         if (error)
7867           {
7868           expand_string_message = string_sprintf(
7869             "error converting utf8 (%s) to alabel: %s",
7870             string_printing(sub), error);
7871           goto EXPAND_FAILED;
7872           }
7873         yield = string_cat(yield, s);
7874         continue;
7875         }
7876
7877       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7878         {
7879         uschar * error = NULL;
7880         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7881         if (error)
7882           {
7883           expand_string_message = string_sprintf(
7884             "error converting alabel (%s) to utf8: %s",
7885             string_printing(sub), error);
7886           goto EXPAND_FAILED;
7887           }
7888         yield = string_cat(yield, s);
7889         continue;
7890         }
7891
7892       case EOP_UTF8_LOCALPART_TO_ALABEL:
7893         {
7894         uschar * error = NULL;
7895         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7896         if (error)
7897           {
7898           expand_string_message = string_sprintf(
7899             "error converting utf8 (%s) to alabel: %s",
7900             string_printing(sub), error);
7901           goto EXPAND_FAILED;
7902           }
7903         yield = string_cat(yield, s);
7904         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7905         continue;
7906         }
7907
7908       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7909         {
7910         uschar * error = NULL;
7911         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7912         if (error)
7913           {
7914           expand_string_message = string_sprintf(
7915             "error converting alabel (%s) to utf8: %s",
7916             string_printing(sub), error);
7917           goto EXPAND_FAILED;
7918           }
7919         yield = string_cat(yield, s);
7920         continue;
7921         }
7922 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7923
7924       /* escape turns all non-printing characters into escape sequences. */
7925
7926       case EOP_ESCAPE:
7927         {
7928         const uschar * t = string_printing(sub);
7929         yield = string_cat(yield, t);
7930         continue;
7931         }
7932
7933       case EOP_ESCAPE8BIT:
7934         {
7935         uschar c;
7936
7937         for (const uschar * s = sub; (c = *s); s++)
7938           yield = c < 127 && c != '\\'
7939             ? string_catn(yield, s, 1)
7940             : string_fmt_append(yield, "\\%03o", c);
7941         continue;
7942         }
7943
7944       /* Handle numeric expression evaluation */
7945
7946       case EOP_EVAL:
7947       case EOP_EVAL10:
7948         {
7949         uschar *save_sub = sub;
7950         uschar *error = NULL;
7951         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7952         if (error)
7953           {
7954           expand_string_message = string_sprintf("error in expression "
7955             "evaluation: %s (after processing \"%.*s\")", error,
7956             (int)(sub-save_sub), save_sub);
7957           goto EXPAND_FAILED;
7958           }
7959         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
7960         continue;
7961         }
7962
7963       /* Handle time period formatting */
7964
7965       case EOP_TIME_EVAL:
7966         {
7967         int n = readconf_readtime(sub, 0, FALSE);
7968         if (n < 0)
7969           {
7970           expand_string_message = string_sprintf("string \"%s\" is not an "
7971             "Exim time interval in \"%s\" operator", sub, name);
7972           goto EXPAND_FAILED;
7973           }
7974         yield = string_fmt_append(yield, "%d", n);
7975         continue;
7976         }
7977
7978       case EOP_TIME_INTERVAL:
7979         {
7980         int n;
7981         uschar *t = read_number(&n, sub);
7982         if (*t != 0) /* Not A Number*/
7983           {
7984           expand_string_message = string_sprintf("string \"%s\" is not a "
7985             "positive number in \"%s\" operator", sub, name);
7986           goto EXPAND_FAILED;
7987           }
7988         t = readconf_printtime(n);
7989         yield = string_cat(yield, t);
7990         continue;
7991         }
7992
7993       /* Convert string to base64 encoding */
7994
7995       case EOP_STR2B64:
7996       case EOP_BASE64:
7997         {
7998 #ifndef DISABLE_TLS
7999         uschar * s = vp && *(void **)vp->value
8000           ? tls_cert_der_b64(*(void **)vp->value)
8001           : b64encode(CUS sub, Ustrlen(sub));
8002 #else
8003         uschar * s = b64encode(CUS sub, Ustrlen(sub));
8004 #endif
8005         yield = string_cat(yield, s);
8006         continue;
8007         }
8008
8009       case EOP_BASE64D:
8010         {
8011         uschar * s;
8012         int len = b64decode(sub, &s);
8013         if (len < 0)
8014           {
8015           expand_string_message = string_sprintf("string \"%s\" is not "
8016             "well-formed for \"%s\" operator", sub, name);
8017           goto EXPAND_FAILED;
8018           }
8019         yield = string_cat(yield, s);
8020         continue;
8021         }
8022
8023       /* strlen returns the length of the string */
8024
8025       case EOP_STRLEN:
8026         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
8027         continue;
8028
8029       /* length_n or l_n takes just the first n characters or the whole string,
8030       whichever is the shorter;
8031
8032       substr_m_n, and s_m_n take n characters from offset m; negative m take
8033       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
8034       takes the rest, either to the right or to the left.
8035
8036       hash_n or h_n makes a hash of length n from the string, yielding n
8037       characters from the set a-z; hash_n_m makes a hash of length n, but
8038       uses m characters from the set a-zA-Z0-9.
8039
8040       nhash_n returns a single number between 0 and n-1 (in text form), while
8041       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
8042       between 0 and n-1 and the second between 0 and m-1. */
8043
8044       case EOP_LENGTH:
8045       case EOP_L:
8046       case EOP_SUBSTR:
8047       case EOP_S:
8048       case EOP_HASH:
8049       case EOP_H:
8050       case EOP_NHASH:
8051       case EOP_NH:
8052         {
8053         int sign = 1;
8054         int value1 = 0;
8055         int value2 = -1;
8056         int *pn;
8057         int len;
8058         uschar *ret;
8059
8060         if (!arg)
8061           {
8062           expand_string_message = string_sprintf("missing values after %s",
8063             name);
8064           goto EXPAND_FAILED;
8065           }
8066
8067         /* "length" has only one argument, effectively being synonymous with
8068         substr_0_n. */
8069
8070         if (c == EOP_LENGTH || c == EOP_L)
8071           {
8072           pn = &value2;
8073           value2 = 0;
8074           }
8075
8076         /* The others have one or two arguments; for "substr" the first may be
8077         negative. The second being negative means "not supplied". */
8078
8079         else
8080           {
8081           pn = &value1;
8082           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
8083           }
8084
8085         /* Read up to two numbers, separated by underscores */
8086
8087         ret = arg;
8088         while (*arg != 0)
8089           {
8090           if (arg != ret && *arg == '_' && pn == &value1)
8091             {
8092             pn = &value2;
8093             value2 = 0;
8094             if (arg[1] != 0) arg++;
8095             }
8096           else if (!isdigit(*arg))
8097             {
8098             expand_string_message =
8099               string_sprintf("non-digit after underscore in \"%s\"", name);
8100             goto EXPAND_FAILED;
8101             }
8102           else *pn = (*pn)*10 + *arg++ - '0';
8103           }
8104         value1 *= sign;
8105
8106         /* Perform the required operation */
8107
8108         ret = c == EOP_HASH || c == EOP_H
8109           ? compute_hash(sub, value1, value2, &len)
8110           : c == EOP_NHASH || c == EOP_NH
8111           ? compute_nhash(sub, value1, value2, &len)
8112           : extract_substr(sub, value1, value2, &len);
8113         if (!ret) goto EXPAND_FAILED;
8114
8115         yield = string_catn(yield, ret, len);
8116         continue;
8117         }
8118
8119       /* Stat a path */
8120
8121       case EOP_STAT:
8122         {
8123         uschar smode[12];
8124         uschar **modetable[3];
8125         mode_t mode;
8126         struct stat st;
8127
8128         if (expand_forbid & RDO_EXISTS)
8129           {
8130           expand_string_message = US"Use of the stat() expansion is not permitted";
8131           goto EXPAND_FAILED;
8132           }
8133
8134         if (stat(CS sub, &st) < 0)
8135           {
8136           expand_string_message = string_sprintf("stat(%s) failed: %s",
8137             sub, strerror(errno));
8138           goto EXPAND_FAILED;
8139           }
8140         mode = st.st_mode;
8141         switch (mode & S_IFMT)
8142           {
8143           case S_IFIFO: smode[0] = 'p'; break;
8144           case S_IFCHR: smode[0] = 'c'; break;
8145           case S_IFDIR: smode[0] = 'd'; break;
8146           case S_IFBLK: smode[0] = 'b'; break;
8147           case S_IFREG: smode[0] = '-'; break;
8148           default: smode[0] = '?'; break;
8149           }
8150
8151         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
8152         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
8153         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
8154
8155         for (int i = 0; i < 3; i++)
8156           {
8157           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
8158           mode >>= 3;
8159           }
8160
8161         smode[10] = 0;
8162         yield = string_fmt_append(yield,
8163           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
8164           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
8165           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
8166           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
8167           (long)st.st_gid, st.st_size, (long)st.st_atime,
8168           (long)st.st_mtime, (long)st.st_ctime);
8169         continue;
8170         }
8171
8172       /* vaguely random number less than N */
8173
8174       case EOP_RANDINT:
8175         {
8176         int_eximarith_t max = expanded_string_integer(sub, TRUE);
8177
8178         if (expand_string_message)
8179           goto EXPAND_FAILED;
8180         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
8181         continue;
8182         }
8183
8184       /* Reverse IP, including IPv6 to dotted-nibble */
8185
8186       case EOP_REVERSE_IP:
8187         {
8188         int family, maskptr;
8189         uschar reversed[128];
8190
8191         family = string_is_ip_address(sub, &maskptr);
8192         if (family == 0)
8193           {
8194           expand_string_message = string_sprintf(
8195               "reverse_ip() not given an IP address [%s]", sub);
8196           goto EXPAND_FAILED;
8197           }
8198         invert_address(reversed, sub);
8199         yield = string_cat(yield, reversed);
8200         continue;
8201         }
8202
8203       /* Unknown operator */
8204
8205       default:
8206         expand_string_message =
8207           string_sprintf("unknown expansion operator \"%s\"", name);
8208         goto EXPAND_FAILED;
8209       }
8210     }
8211
8212   /* Handle a plain name. If this is the first thing in the expansion, release
8213   the pre-allocated buffer. If the result data is known to be in a new buffer,
8214   newsize will be set to the size of that buffer, and we can just point at that
8215   store instead of copying. Many expansion strings contain just one reference,
8216   so this is a useful optimization, especially for humungous headers
8217   ($message_headers). */
8218                                                 /*{*/
8219   if (*s++ == '}')
8220     {
8221     int len;
8222     int newsize = 0;
8223     gstring * g = NULL;
8224
8225     if (!yield)
8226       g = store_get(sizeof(gstring), FALSE);
8227     else if (yield->ptr == 0)
8228       {
8229       if (resetok) reset_point = store_reset(reset_point);
8230       yield = NULL;
8231       reset_point = store_mark();
8232       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
8233       }
8234     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
8235       {
8236       expand_string_message =
8237         string_sprintf("unknown variable in \"${%s}\"", name);
8238       check_variable_error_message(name);
8239       goto EXPAND_FAILED;
8240       }
8241     len = Ustrlen(value);
8242     if (!yield && newsize)
8243       {
8244       yield = g;
8245       yield->size = newsize;
8246       yield->ptr = len;
8247       yield->s = value;
8248       }
8249     else
8250       yield = string_catn(yield, value, len);
8251     continue;
8252     }
8253
8254   /* Else there's something wrong */
8255
8256   expand_string_message =
8257     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
8258     "in a variable reference)", name);
8259   goto EXPAND_FAILED;
8260   }
8261
8262 /* If we hit the end of the string when ket_ends is set, there is a missing
8263 terminating brace. */
8264
8265 if (ket_ends && *s == 0)
8266   {
8267   expand_string_message = malformed_header
8268     ? US"missing } at end of string - could be header name not terminated by colon"
8269     : US"missing } at end of string";
8270   goto EXPAND_FAILED;
8271   }
8272
8273 /* Expansion succeeded; yield may still be NULL here if nothing was actually
8274 added to the string. If so, set up an empty string. Add a terminating zero. If
8275 left != NULL, return a pointer to the terminator. */
8276
8277 if (!yield)
8278   yield = string_get(1);
8279 (void) string_from_gstring(yield);
8280 if (left) *left = s;
8281
8282 /* Any stacking store that was used above the final string is no longer needed.
8283 In many cases the final string will be the first one that was got and so there
8284 will be optimal store usage. */
8285
8286 if (resetok) gstring_release_unused(yield);
8287 else if (resetok_p) *resetok_p = FALSE;
8288
8289 DEBUG(D_expand)
8290   {
8291   BOOL tainted = is_tainted(yield->s);
8292   DEBUG(D_noutf8)
8293     {
8294     debug_printf_indent("|--expanding: %.*s\n", (int)(s - string), string);
8295     debug_printf_indent("%sresult: %s\n",
8296       skipping ? "|-----" : "\\_____", yield->s);
8297     if (tainted)
8298       debug_printf_indent("%s     \\__(tainted)\n",
8299         skipping ? "|     " : "      ");
8300     if (skipping)
8301       debug_printf_indent("\\___skipping: result is not used\n");
8302     }
8303   else
8304     {
8305     debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
8306       "expanding: %.*s\n",
8307       (int)(s - string), string);
8308     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8309       "result: %s\n",
8310       skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8311       yield->s);
8312     if (tainted)
8313       debug_printf_indent("%s(tainted)\n",
8314         skipping
8315         ? UTF8_VERT "             " : "           " UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ);
8316     if (skipping)
8317       debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8318         "skipping: result is not used\n");
8319     }
8320   }
8321 expand_level--;
8322 return yield->s;
8323
8324 /* This is the failure exit: easiest to program with a goto. We still need
8325 to update the pointer to the terminator, for cases of nested calls with "fail".
8326 */
8327
8328 EXPAND_FAILED_CURLY:
8329 if (malformed_header)
8330   expand_string_message =
8331     US"missing or misplaced { or } - could be header name not terminated by colon";
8332
8333 else if (!expand_string_message || !*expand_string_message)
8334   expand_string_message = US"missing or misplaced { or }";
8335
8336 /* At one point, Exim reset the store to yield (if yield was not NULL), but
8337 that is a bad idea, because expand_string_message is in dynamic store. */
8338
8339 EXPAND_FAILED:
8340 if (left) *left = s;
8341 DEBUG(D_expand)
8342   DEBUG(D_noutf8)
8343     {
8344     debug_printf_indent("|failed to expand: %s\n", string);
8345     debug_printf_indent("%serror message: %s\n",
8346       f.expand_string_forcedfail ? "|---" : "\\___", expand_string_message);
8347     if (f.expand_string_forcedfail)
8348       debug_printf_indent("\\failure was forced\n");
8349     }
8350   else
8351     {
8352     debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
8353       string);
8354     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8355       "error message: %s\n",
8356       f.expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8357       expand_string_message);
8358     if (f.expand_string_forcedfail)
8359       debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
8360     }
8361 if (resetok_p && !resetok) *resetok_p = FALSE;
8362 expand_level--;
8363 return NULL;
8364 }
8365
8366
8367 /* This is the external function call. Do a quick check for any expansion
8368 metacharacters, and if there are none, just return the input string.
8369
8370 Argument: the string to be expanded
8371 Returns:  the expanded string, or NULL if expansion failed; if failure was
8372           due to a lookup deferring, search_find_defer will be TRUE
8373 */
8374
8375 const uschar *
8376 expand_cstring(const uschar * string)
8377 {
8378 if (Ustrpbrk(string, "$\\") != NULL)
8379   {
8380   int old_pool = store_pool;
8381   uschar * s;
8382
8383   f.search_find_defer = FALSE;
8384   malformed_header = FALSE;
8385   store_pool = POOL_MAIN;
8386     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
8387   store_pool = old_pool;
8388   return s;
8389   }
8390 return string;
8391 }
8392
8393
8394 uschar *
8395 expand_string(uschar * string)
8396 {
8397 return US expand_cstring(CUS string);
8398 }
8399
8400
8401
8402
8403
8404 /*************************************************
8405 *              Expand and copy                   *
8406 *************************************************/
8407
8408 /* Now and again we want to expand a string and be sure that the result is in a
8409 new bit of store. This function does that.
8410 Since we know it has been copied, the de-const cast is safe.
8411
8412 Argument: the string to be expanded
8413 Returns:  the expanded string, always in a new bit of store, or NULL
8414 */
8415
8416 uschar *
8417 expand_string_copy(const uschar *string)
8418 {
8419 const uschar *yield = expand_cstring(string);
8420 if (yield == string) yield = string_copy(string);
8421 return US yield;
8422 }
8423
8424
8425
8426 /*************************************************
8427 *        Expand and interpret as an integer      *
8428 *************************************************/
8429
8430 /* Expand a string, and convert the result into an integer.
8431
8432 Arguments:
8433   string  the string to be expanded
8434   isplus  TRUE if a non-negative number is expected
8435
8436 Returns:  the integer value, or
8437           -1 for an expansion error               ) in both cases, message in
8438           -2 for an integer interpretation error  ) expand_string_message
8439           expand_string_message is set NULL for an OK integer
8440 */
8441
8442 int_eximarith_t
8443 expand_string_integer(uschar *string, BOOL isplus)
8444 {
8445 return expanded_string_integer(expand_string(string), isplus);
8446 }
8447
8448
8449 /*************************************************
8450  *         Interpret string as an integer        *
8451  *************************************************/
8452
8453 /* Convert a string (that has already been expanded) into an integer.
8454
8455 This function is used inside the expansion code.
8456
8457 Arguments:
8458   s       the string to be expanded
8459   isplus  TRUE if a non-negative number is expected
8460
8461 Returns:  the integer value, or
8462           -1 if string is NULL (which implies an expansion error)
8463           -2 for an integer interpretation error
8464           expand_string_message is set NULL for an OK integer
8465 */
8466
8467 static int_eximarith_t
8468 expanded_string_integer(const uschar *s, BOOL isplus)
8469 {
8470 int_eximarith_t value;
8471 uschar *msg = US"invalid integer \"%s\"";
8472 uschar *endptr;
8473
8474 /* If expansion failed, expand_string_message will be set. */
8475
8476 if (!s) return -1;
8477
8478 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8479 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8480 systems, so we set it zero ourselves. */
8481
8482 errno = 0;
8483 expand_string_message = NULL;               /* Indicates no error */
8484
8485 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8486 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8487 the behaviour explicitly.  Stripping leading whitespace is a harmless
8488 noop change since strtol skips it anyway (provided that there is a number
8489 to find at all). */
8490 if (isspace(*s))
8491   if (Uskip_whitespace(&s) == '\0')
8492     {
8493       DEBUG(D_expand)
8494        debug_printf_indent("treating blank string as number 0\n");
8495       return 0;
8496     }
8497
8498 value = strtoll(CS s, CSS &endptr, 10);
8499
8500 if (endptr == s)
8501   msg = US"integer expected but \"%s\" found";
8502 else if (value < 0 && isplus)
8503   msg = US"non-negative integer expected but \"%s\" found";
8504 else
8505   {
8506   switch (tolower(*endptr))
8507     {
8508     default:
8509       break;
8510     case 'k':
8511       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8512       else value *= 1024;
8513       endptr++;
8514       break;
8515     case 'm':
8516       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8517       else value *= 1024*1024;
8518       endptr++;
8519       break;
8520     case 'g':
8521       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8522       else value *= 1024*1024*1024;
8523       endptr++;
8524       break;
8525     }
8526   if (errno == ERANGE)
8527     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8528   else
8529     if (Uskip_whitespace(&endptr) == 0) return value;
8530   }
8531
8532 expand_string_message = string_sprintf(CS msg, s);
8533 return -2;
8534 }
8535
8536
8537 /* These values are usually fixed boolean values, but they are permitted to be
8538 expanded strings.
8539
8540 Arguments:
8541   addr       address being routed
8542   mtype      the module type
8543   mname      the module name
8544   dbg_opt    debug selectors
8545   oname      the option name
8546   bvalue     the router's boolean value
8547   svalue     the router's string value
8548   rvalue     where to put the returned value
8549
8550 Returns:     OK     value placed in rvalue
8551              DEFER  expansion failed
8552 */
8553
8554 int
8555 exp_bool(address_item *addr,
8556   uschar *mtype, uschar *mname, unsigned dbg_opt,
8557   uschar *oname, BOOL bvalue,
8558   uschar *svalue, BOOL *rvalue)
8559 {
8560 uschar *expanded;
8561 if (!svalue) { *rvalue = bvalue; return OK; }
8562
8563 if (!(expanded = expand_string(svalue)))
8564   {
8565   if (f.expand_string_forcedfail)
8566     {
8567     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8568     *rvalue = bvalue;
8569     return OK;
8570     }
8571   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8572       oname, mname, mtype, expand_string_message);
8573   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8574   return DEFER;
8575   }
8576
8577 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8578   expanded);
8579
8580 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8581   *rvalue = TRUE;
8582 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8583   *rvalue = FALSE;
8584 else
8585   {
8586   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8587     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8588   return DEFER;
8589   }
8590
8591 return OK;
8592 }
8593
8594
8595
8596 /* Avoid potentially exposing a password in a string about to be logged */
8597
8598 uschar *
8599 expand_hide_passwords(uschar * s)
8600 {
8601 return (  (  Ustrstr(s, "failed to expand") != NULL
8602           || Ustrstr(s, "expansion of ")    != NULL
8603           )
8604        && (  Ustrstr(s, "mysql")   != NULL
8605           || Ustrstr(s, "pgsql")   != NULL
8606           || Ustrstr(s, "redis")   != NULL
8607           || Ustrstr(s, "sqlite")  != NULL
8608           || Ustrstr(s, "ldap:")   != NULL
8609           || Ustrstr(s, "ldaps:")  != NULL
8610           || Ustrstr(s, "ldapi:")  != NULL
8611           || Ustrstr(s, "ldapdn:") != NULL
8612           || Ustrstr(s, "ldapm:")  != NULL
8613        )  )
8614   ? US"Temporary internal error" : s;
8615 }
8616
8617
8618 /* Read given named file into big_buffer.  Use for keying material etc.
8619 The content will have an ascii NUL appended.
8620
8621 Arguments:
8622  filename       as it says
8623
8624 Return:  pointer to buffer, or NULL on error.
8625 */
8626
8627 uschar *
8628 expand_file_big_buffer(const uschar * filename)
8629 {
8630 int fd, off = 0, len;
8631
8632 if ((fd = exim_open2(CS filename, O_RDONLY)) < 0)
8633   {
8634   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8635              filename);
8636   return NULL;
8637   }
8638
8639 do
8640   {
8641   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8642     {
8643     (void) close(fd);
8644     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8645     return NULL;
8646     }
8647   off += len;
8648   }
8649 while (len > 0);
8650
8651 (void) close(fd);
8652 big_buffer[off] = '\0';
8653 return big_buffer;
8654 }
8655
8656
8657
8658 /*************************************************
8659 * Error-checking for testsuite                   *
8660 *************************************************/
8661 typedef struct {
8662   uschar *      region_start;
8663   uschar *      region_end;
8664   const uschar *var_name;
8665   const uschar *var_data;
8666 } err_ctx;
8667
8668 static void
8669 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8670 {
8671 err_ctx * e = ctx;
8672 if (var_data >= e->region_start  &&  var_data < e->region_end)
8673   {
8674   e->var_name = CUS var_name;
8675   e->var_data = CUS var_data;
8676   }
8677 }
8678
8679 void
8680 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8681 {
8682 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8683               .var_name = NULL, .var_data = NULL };
8684
8685 /* check acl_ variables */
8686 tree_walk(acl_var_c, assert_variable_notin, &e);
8687 tree_walk(acl_var_m, assert_variable_notin, &e);
8688
8689 /* check auth<n> variables */
8690 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8691   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
8692
8693 /* check regex<n> variables */
8694 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8695   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
8696
8697 /* check known-name variables */
8698 for (var_entry * v = var_table; v < var_table + var_table_size; v++)
8699   if (v->type == vtype_stringptr)
8700     assert_variable_notin(US v->name, *(USS v->value), &e);
8701
8702 /* check dns and address trees */
8703 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8704 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8705 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8706 tree_walk(tree_unusable,      assert_variable_notin, &e);
8707
8708 if (e.var_name)
8709   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8710     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8711     e.var_name, filename, linenumber, e.var_data);
8712 }
8713
8714
8715
8716 /*************************************************
8717 **************************************************
8718 *             Stand-alone test program           *
8719 **************************************************
8720 *************************************************/
8721
8722 #ifdef STAND_ALONE
8723
8724
8725 BOOL
8726 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
8727 {
8728 int ovector[3*(EXPAND_MAXN+1)];
8729 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8730   ovector, nelem(ovector));
8731 BOOL yield = n >= 0;
8732 if (n == 0) n = EXPAND_MAXN + 1;
8733 if (yield)
8734   {
8735   expand_nmax = setup < 0 ? 0 : setup + 1;
8736   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8737     {
8738     expand_nstring[expand_nmax] = subject + ovector[nn];
8739     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
8740     }
8741   expand_nmax--;
8742   }
8743 return yield;
8744 }
8745
8746
8747 int main(int argc, uschar **argv)
8748 {
8749 uschar buffer[1024];
8750
8751 debug_selector = D_v;
8752 debug_file = stderr;
8753 debug_fd = fileno(debug_file);
8754 big_buffer = malloc(big_buffer_size);
8755
8756 for (int i = 1; i < argc; i++)
8757   {
8758   if (argv[i][0] == '+')
8759     {
8760     debug_trace_memory = 2;
8761     argv[i]++;
8762     }
8763   if (isdigit(argv[i][0]))
8764     debug_selector = Ustrtol(argv[i], NULL, 0);
8765   else
8766     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8767         Ustrlen(argv[i]))
8768       {
8769 #ifdef LOOKUP_LDAP
8770       eldap_default_servers = argv[i];
8771 #endif
8772 #ifdef LOOKUP_MYSQL
8773       mysql_servers = argv[i];
8774 #endif
8775 #ifdef LOOKUP_PGSQL
8776       pgsql_servers = argv[i];
8777 #endif
8778 #ifdef LOOKUP_REDIS
8779       redis_servers = argv[i];
8780 #endif
8781       }
8782 #ifdef EXIM_PERL
8783   else opt_perl_startup = argv[i];
8784 #endif
8785   }
8786
8787 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8788
8789 expand_nstring[1] = US"string 1....";
8790 expand_nlength[1] = 8;
8791 expand_nmax = 1;
8792
8793 #ifdef EXIM_PERL
8794 if (opt_perl_startup != NULL)
8795   {
8796   uschar *errstr;
8797   printf("Starting Perl interpreter\n");
8798   errstr = init_perl(opt_perl_startup);
8799   if (errstr != NULL)
8800     {
8801     printf("** error in perl_startup code: %s\n", errstr);
8802     return EXIT_FAILURE;
8803     }
8804   }
8805 #endif /* EXIM_PERL */
8806
8807 /* Thie deliberately regards the input as untainted, so that it can be
8808 expanded; only reasonable since this is a test for string-expansions. */
8809
8810 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8811   {
8812   rmark reset_point = store_mark();
8813   uschar *yield = expand_string(buffer);
8814   if (yield)
8815     printf("%s\n", yield);
8816   else
8817     {
8818     if (f.search_find_defer) printf("search_find deferred\n");
8819     printf("Failed: %s\n", expand_string_message);
8820     if (f.expand_string_forcedfail) printf("Forced failure\n");
8821     printf("\n");
8822     }
8823   store_reset(reset_point);
8824   }
8825
8826 search_tidyup();
8827
8828 return 0;
8829 }
8830
8831 #endif
8832
8833 /* vi: aw ai sw=2
8834 */
8835 /* End of expand.c */