Change acl expansion-condition syntax to "acl {{name} {arg1}{arg2}...}"
[users/heiko/exim.git] / src / src / verify.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2009 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Functions concerned with verifying things. The original code for callout
9 caching was contributed by Kevin Fleming (but I hacked it around a bit). */
10
11
12 #include "exim.h"
13 #include "transports/smtp.h"
14
15 #define CUTTHROUGH_CMD_TIMEOUT  30      /* timeout for cutthrough-routing calls */
16 #define CUTTHROUGH_DATA_TIMEOUT 60      /* timeout for cutthrough-routing calls */
17 address_item cutthrough_addr;
18 static smtp_outblock ctblock;
19 uschar ctbuffer[8192];
20
21
22 /* Structure for caching DNSBL lookups */
23
24 typedef struct dnsbl_cache_block {
25   dns_address *rhs;
26   uschar *text;
27   int rc;
28   BOOL text_set;
29 } dnsbl_cache_block;
30
31
32 /* Anchor for DNSBL cache */
33
34 static tree_node *dnsbl_cache = NULL;
35
36
37 /* Bits for match_type in one_check_dnsbl() */
38
39 #define MT_NOT 1
40 #define MT_ALL 2
41
42
43
44 /*************************************************
45 *          Retrieve a callout cache record       *
46 *************************************************/
47
48 /* If a record exists, check whether it has expired.
49
50 Arguments:
51   dbm_file          an open hints file
52   key               the record key
53   type              "address" or "domain"
54   positive_expire   expire time for positive records
55   negative_expire   expire time for negative records
56
57 Returns:            the cache record if a non-expired one exists, else NULL
58 */
59
60 static dbdata_callout_cache *
61 get_callout_cache_record(open_db *dbm_file, uschar *key, uschar *type,
62   int positive_expire, int negative_expire)
63 {
64 BOOL negative;
65 int length, expire;
66 time_t now;
67 dbdata_callout_cache *cache_record;
68
69 cache_record = dbfn_read_with_length(dbm_file, key, &length);
70
71 if (cache_record == NULL)
72   {
73   HDEBUG(D_verify) debug_printf("callout cache: no %s record found\n", type);
74   return NULL;
75   }
76
77 /* We treat a record as "negative" if its result field is not positive, or if
78 it is a domain record and the postmaster field is negative. */
79
80 negative = cache_record->result != ccache_accept ||
81   (type[0] == 'd' && cache_record->postmaster_result == ccache_reject);
82 expire = negative? negative_expire : positive_expire;
83 now = time(NULL);
84
85 if (now - cache_record->time_stamp > expire)
86   {
87   HDEBUG(D_verify) debug_printf("callout cache: %s record expired\n", type);
88   return NULL;
89   }
90
91 /* If this is a non-reject domain record, check for the obsolete format version
92 that doesn't have the postmaster and random timestamps, by looking at the
93 length. If so, copy it to a new-style block, replicating the record's
94 timestamp. Then check the additional timestamps. (There's no point wasting
95 effort if connections are rejected.) */
96
97 if (type[0] == 'd' && cache_record->result != ccache_reject)
98   {
99   if (length == sizeof(dbdata_callout_cache_obs))
100     {
101     dbdata_callout_cache *new = store_get(sizeof(dbdata_callout_cache));
102     memcpy(new, cache_record, length);
103     new->postmaster_stamp = new->random_stamp = new->time_stamp;
104     cache_record = new;
105     }
106
107   if (now - cache_record->postmaster_stamp > expire)
108     cache_record->postmaster_result = ccache_unknown;
109
110   if (now - cache_record->random_stamp > expire)
111     cache_record->random_result = ccache_unknown;
112   }
113
114 HDEBUG(D_verify) debug_printf("callout cache: found %s record\n", type);
115 return cache_record;
116 }
117
118
119
120 /*************************************************
121 *      Do callout verification for an address    *
122 *************************************************/
123
124 /* This function is called from verify_address() when the address has routed to
125 a host list, and a callout has been requested. Callouts are expensive; that is
126 why a cache is used to improve the efficiency.
127
128 Arguments:
129   addr              the address that's been routed
130   host_list         the list of hosts to try
131   tf                the transport feedback block
132
133   ifstring          "interface" option from transport, or NULL
134   portstring        "port" option from transport, or NULL
135   protocolstring    "protocol" option from transport, or NULL
136   callout           the per-command callout timeout
137   callout_overall   the overall callout timeout (if < 0 use 4*callout)
138   callout_connect   the callout connection timeout (if < 0 use callout)
139   options           the verification options - these bits are used:
140                       vopt_is_recipient => this is a recipient address
141                       vopt_callout_no_cache => don't use callout cache
142                       vopt_callout_fullpm => if postmaster check, do full one
143                       vopt_callout_random => do the "random" thing
144                       vopt_callout_recipsender => use real sender for recipient
145                       vopt_callout_recippmaster => use postmaster for recipient
146   se_mailfrom         MAIL FROM address for sender verify; NULL => ""
147   pm_mailfrom         if non-NULL, do the postmaster check with this sender
148
149 Returns:            OK/FAIL/DEFER
150 */
151
152 static int
153 do_callout(address_item *addr, host_item *host_list, transport_feedback *tf,
154   int callout, int callout_overall, int callout_connect, int options,
155   uschar *se_mailfrom, uschar *pm_mailfrom)
156 {
157 BOOL is_recipient = (options & vopt_is_recipient) != 0;
158 BOOL callout_no_cache = (options & vopt_callout_no_cache) != 0;
159 BOOL callout_random = (options & vopt_callout_random) != 0;
160
161 int yield = OK;
162 int old_domain_cache_result = ccache_accept;
163 BOOL done = FALSE;
164 uschar *address_key;
165 uschar *from_address;
166 uschar *random_local_part = NULL;
167 uschar *save_deliver_domain = deliver_domain;
168 uschar **failure_ptr = is_recipient?
169   &recipient_verify_failure : &sender_verify_failure;
170 open_db dbblock;
171 open_db *dbm_file = NULL;
172 dbdata_callout_cache new_domain_record;
173 dbdata_callout_cache_address new_address_record;
174 host_item *host;
175 time_t callout_start_time;
176
177 new_domain_record.result = ccache_unknown;
178 new_domain_record.postmaster_result = ccache_unknown;
179 new_domain_record.random_result = ccache_unknown;
180
181 memset(&new_address_record, 0, sizeof(new_address_record));
182
183 /* For a recipient callout, the key used for the address cache record must
184 include the sender address if we are using the real sender in the callout,
185 because that may influence the result of the callout. */
186
187 address_key = addr->address;
188 from_address = US"";
189
190 if (is_recipient)
191   {
192   if ((options & vopt_callout_recipsender) != 0)
193     {
194     address_key = string_sprintf("%s/<%s>", addr->address, sender_address);
195     from_address = sender_address;
196     }
197   else if ((options & vopt_callout_recippmaster) != 0)
198     {
199     address_key = string_sprintf("%s/<postmaster@%s>", addr->address,
200       qualify_domain_sender);
201     from_address = string_sprintf("postmaster@%s", qualify_domain_sender);
202     }
203   }
204
205 /* For a sender callout, we must adjust the key if the mailfrom address is not
206 empty. */
207
208 else
209   {
210   from_address = (se_mailfrom == NULL)? US"" : se_mailfrom;
211   if (from_address[0] != 0)
212     address_key = string_sprintf("%s/<%s>", addr->address, from_address);
213   }
214
215 /* Open the callout cache database, it it exists, for reading only at this
216 stage, unless caching has been disabled. */
217
218 if (callout_no_cache)
219   {
220   HDEBUG(D_verify) debug_printf("callout cache: disabled by no_cache\n");
221   }
222 else if ((dbm_file = dbfn_open(US"callout", O_RDWR, &dbblock, FALSE)) == NULL)
223   {
224   HDEBUG(D_verify) debug_printf("callout cache: not available\n");
225   }
226
227 /* If a cache database is available see if we can avoid the need to do an
228 actual callout by making use of previously-obtained data. */
229
230 if (dbm_file != NULL)
231   {
232   dbdata_callout_cache_address *cache_address_record;
233   dbdata_callout_cache *cache_record = get_callout_cache_record(dbm_file,
234     addr->domain, US"domain",
235     callout_cache_domain_positive_expire,
236     callout_cache_domain_negative_expire);
237
238   /* If an unexpired cache record was found for this domain, see if the callout
239   process can be short-circuited. */
240
241   if (cache_record != NULL)
242     {
243     /* In most cases, if an early command (up to and including MAIL FROM:<>)
244     was rejected, there is no point carrying on. The callout fails. However, if
245     we are doing a recipient verification with use_sender or use_postmaster
246     set, a previous failure of MAIL FROM:<> doesn't count, because this time we
247     will be using a non-empty sender. We have to remember this situation so as
248     not to disturb the cached domain value if this whole verification succeeds
249     (we don't want it turning into "accept"). */
250
251     old_domain_cache_result = cache_record->result;
252
253     if (cache_record->result == ccache_reject ||
254          (*from_address == 0 && cache_record->result == ccache_reject_mfnull))
255       {
256       setflag(addr, af_verify_nsfail);
257       HDEBUG(D_verify)
258         debug_printf("callout cache: domain gave initial rejection, or "
259           "does not accept HELO or MAIL FROM:<>\n");
260       setflag(addr, af_verify_nsfail);
261       addr->user_message = US"(result of an earlier callout reused).";
262       yield = FAIL;
263       *failure_ptr = US"mail";
264       goto END_CALLOUT;
265       }
266
267     /* If a previous check on a "random" local part was accepted, we assume
268     that the server does not do any checking on local parts. There is therefore
269     no point in doing the callout, because it will always be successful. If a
270     random check previously failed, arrange not to do it again, but preserve
271     the data in the new record. If a random check is required but hasn't been
272     done, skip the remaining cache processing. */
273
274     if (callout_random) switch(cache_record->random_result)
275       {
276       case ccache_accept:
277       HDEBUG(D_verify)
278         debug_printf("callout cache: domain accepts random addresses\n");
279       goto END_CALLOUT;     /* Default yield is OK */
280
281       case ccache_reject:
282       HDEBUG(D_verify)
283         debug_printf("callout cache: domain rejects random addresses\n");
284       callout_random = FALSE;
285       new_domain_record.random_result = ccache_reject;
286       new_domain_record.random_stamp = cache_record->random_stamp;
287       break;
288
289       default:
290       HDEBUG(D_verify)
291         debug_printf("callout cache: need to check random address handling "
292           "(not cached or cache expired)\n");
293       goto END_CACHE;
294       }
295
296     /* If a postmaster check is requested, but there was a previous failure,
297     there is again no point in carrying on. If a postmaster check is required,
298     but has not been done before, we are going to have to do a callout, so skip
299     remaining cache processing. */
300
301     if (pm_mailfrom != NULL)
302       {
303       if (cache_record->postmaster_result == ccache_reject)
304         {
305         setflag(addr, af_verify_pmfail);
306         HDEBUG(D_verify)
307           debug_printf("callout cache: domain does not accept "
308             "RCPT TO:<postmaster@domain>\n");
309         yield = FAIL;
310         *failure_ptr = US"postmaster";
311         setflag(addr, af_verify_pmfail);
312         addr->user_message = US"(result of earlier verification reused).";
313         goto END_CALLOUT;
314         }
315       if (cache_record->postmaster_result == ccache_unknown)
316         {
317         HDEBUG(D_verify)
318           debug_printf("callout cache: need to check RCPT "
319             "TO:<postmaster@domain> (not cached or cache expired)\n");
320         goto END_CACHE;
321         }
322
323       /* If cache says OK, set pm_mailfrom NULL to prevent a redundant
324       postmaster check if the address itself has to be checked. Also ensure
325       that the value in the cache record is preserved (with its old timestamp).
326       */
327
328       HDEBUG(D_verify) debug_printf("callout cache: domain accepts RCPT "
329         "TO:<postmaster@domain>\n");
330       pm_mailfrom = NULL;
331       new_domain_record.postmaster_result = ccache_accept;
332       new_domain_record.postmaster_stamp = cache_record->postmaster_stamp;
333       }
334     }
335
336   /* We can't give a result based on information about the domain. See if there
337   is an unexpired cache record for this specific address (combined with the
338   sender address if we are doing a recipient callout with a non-empty sender).
339   */
340
341   cache_address_record = (dbdata_callout_cache_address *)
342     get_callout_cache_record(dbm_file,
343       address_key, US"address",
344       callout_cache_positive_expire,
345       callout_cache_negative_expire);
346
347   if (cache_address_record != NULL)
348     {
349     if (cache_address_record->result == ccache_accept)
350       {
351       HDEBUG(D_verify)
352         debug_printf("callout cache: address record is positive\n");
353       }
354     else
355       {
356       HDEBUG(D_verify)
357         debug_printf("callout cache: address record is negative\n");
358       addr->user_message = US"Previous (cached) callout verification failure";
359       *failure_ptr = US"recipient";
360       yield = FAIL;
361       }
362     goto END_CALLOUT;
363     }
364
365   /* Close the cache database while we actually do the callout for real. */
366
367   END_CACHE:
368   dbfn_close(dbm_file);
369   dbm_file = NULL;
370   }
371
372 if (!addr->transport)
373   {
374   HDEBUG(D_verify) debug_printf("cannot callout via null transport\n");
375   }
376 else
377   {
378   smtp_transport_options_block *ob =
379     (smtp_transport_options_block *)(addr->transport->options_block);
380
381   /* The information wasn't available in the cache, so we have to do a real
382   callout and save the result in the cache for next time, unless no_cache is set,
383   or unless we have a previously cached negative random result. If we are to test
384   with a random local part, ensure that such a local part is available. If not,
385   log the fact, but carry on without randomming. */
386
387   if (callout_random && callout_random_local_part != NULL)
388     {
389     random_local_part = expand_string(callout_random_local_part);
390     if (random_local_part == NULL)
391       log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand "
392         "callout_random_local_part: %s", expand_string_message);
393     }
394
395   /* Default the connect and overall callout timeouts if not set, and record the
396   time we are starting so that we can enforce it. */
397
398   if (callout_overall < 0) callout_overall = 4 * callout;
399   if (callout_connect < 0) callout_connect = callout;
400   callout_start_time = time(NULL);
401
402   /* Before doing a real callout, if this is an SMTP connection, flush the SMTP
403   output because a callout might take some time. When PIPELINING is active and
404   there are many recipients, the total time for doing lots of callouts can add up
405   and cause the client to time out. So in this case we forgo the PIPELINING
406   optimization. */
407
408   if (smtp_out != NULL && !disable_callout_flush) mac_smtp_fflush();
409
410   /* Now make connections to the hosts and do real callouts. The list of hosts
411   is passed in as an argument. */
412
413   for (host = host_list; host != NULL && !done; host = host->next)
414     {
415     smtp_inblock inblock;
416     smtp_outblock outblock;
417     int host_af;
418     int port = 25;
419     BOOL send_quit = TRUE;
420     uschar *active_hostname = smtp_active_hostname;
421     BOOL lmtp;
422     BOOL smtps;
423     BOOL esmtp;
424     BOOL suppress_tls = FALSE;
425     uschar *interface = NULL;  /* Outgoing interface to use; NULL => any */
426     uschar inbuffer[4096];
427     uschar outbuffer[1024];
428     uschar responsebuffer[4096];
429
430     clearflag(addr, af_verify_pmfail);  /* postmaster callout flag */
431     clearflag(addr, af_verify_nsfail);  /* null sender callout flag */
432
433     /* Skip this host if we don't have an IP address for it. */
434
435     if (host->address == NULL)
436       {
437       DEBUG(D_verify) debug_printf("no IP address for host name %s: skipping\n",
438         host->name);
439       continue;
440       }
441
442     /* Check the overall callout timeout */
443
444     if (time(NULL) - callout_start_time >= callout_overall)
445       {
446       HDEBUG(D_verify) debug_printf("overall timeout for callout exceeded\n");
447       break;
448       }
449
450     /* Set IPv4 or IPv6 */
451
452     host_af = (Ustrchr(host->address, ':') == NULL)? AF_INET:AF_INET6;
453
454     /* Expand and interpret the interface and port strings. The latter will not
455     be used if there is a host-specific port (e.g. from a manualroute router).
456     This has to be delayed till now, because they may expand differently for
457     different hosts. If there's a failure, log it, but carry on with the
458     defaults. */
459
460     deliver_host = host->name;
461     deliver_host_address = host->address;
462     deliver_domain = addr->domain;
463
464     if (!smtp_get_interface(tf->interface, host_af, addr, NULL, &interface,
465             US"callout") ||
466         !smtp_get_port(tf->port, addr, &port, US"callout"))
467       log_write(0, LOG_MAIN|LOG_PANIC, "<%s>: %s", addr->address,
468         addr->message);
469
470     /* Set HELO string according to the protocol */
471     lmtp= Ustrcmp(tf->protocol, "lmtp") == 0;
472     smtps= Ustrcmp(tf->protocol, "smtps") == 0;
473
474
475     HDEBUG(D_verify) debug_printf("interface=%s port=%d\n", interface, port);
476
477     /* Set up the buffer for reading SMTP response packets. */
478
479     inblock.buffer = inbuffer;
480     inblock.buffersize = sizeof(inbuffer);
481     inblock.ptr = inbuffer;
482     inblock.ptrend = inbuffer;
483
484     /* Set up the buffer for holding SMTP commands while pipelining */
485
486     outblock.buffer = outbuffer;
487     outblock.buffersize = sizeof(outbuffer);
488     outblock.ptr = outbuffer;
489     outblock.cmd_count = 0;
490     outblock.authenticating = FALSE;
491
492     /* Reset the parameters of a TLS session */
493     tls_out.cipher = tls_out.peerdn = NULL;
494
495     /* Connect to the host; on failure, just loop for the next one, but we
496     set the error for the last one. Use the callout_connect timeout. */
497
498     tls_retry_connection:
499
500     inblock.sock = outblock.sock =
501       smtp_connect(host, host_af, port, interface, callout_connect, TRUE, NULL);
502     /* reconsider DSCP here */
503     if (inblock.sock < 0)
504       {
505       addr->message = string_sprintf("could not connect to %s [%s]: %s",
506           host->name, host->address, strerror(errno));
507       deliver_host = deliver_host_address = NULL;
508       deliver_domain = save_deliver_domain;
509       continue;
510       }
511
512     /* Expand the helo_data string to find the host name to use. */
513
514     if (tf->helo_data != NULL)
515       {
516       uschar *s = expand_string(tf->helo_data);
517       if (s == NULL)
518         log_write(0, LOG_MAIN|LOG_PANIC, "<%s>: failed to expand transport's "
519           "helo_data value for callout: %s", addr->address,
520           expand_string_message);
521       else active_hostname = s;
522       }
523
524     deliver_host = deliver_host_address = NULL;
525     deliver_domain = save_deliver_domain;
526
527     /* Wait for initial response, and send HELO. The smtp_write_command()
528     function leaves its command in big_buffer. This is used in error responses.
529     Initialize it in case the connection is rejected. */
530
531     Ustrcpy(big_buffer, "initial connection");
532
533     /* Unless ssl-on-connect, wait for the initial greeting */
534     smtps_redo_greeting:
535
536     #ifdef SUPPORT_TLS
537     if (!smtps || (smtps && tls_out.active >= 0))
538     #endif
539       if (!(done= smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer), '2', callout)))
540         goto RESPONSE_FAILED;
541     
542     /* Not worth checking greeting line for ESMTP support */
543     if (!(esmtp = verify_check_this_host(&(ob->hosts_avoid_esmtp), NULL,
544       host->name, host->address, NULL) != OK))
545       DEBUG(D_transport)
546         debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
547
548     tls_redo_helo:
549
550     #ifdef SUPPORT_TLS
551     if (smtps  &&  tls_out.active < 0)  /* ssl-on-connect, first pass */
552       {
553       tls_offered = TRUE;
554       ob->tls_tempfail_tryclear = FALSE;
555       }
556       else                              /* all other cases */
557     #endif
558
559       { esmtp_retry:
560
561       if (!(done= smtp_write_command(&outblock, FALSE, "%s %s\r\n",
562         !esmtp? "HELO" : lmtp? "LHLO" : "EHLO", active_hostname) >= 0))
563         goto SEND_FAILED;
564       if (!smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer), '2', callout))
565         {
566         if (errno != 0 || responsebuffer[0] == 0 || lmtp || !esmtp || tls_out.active >= 0)
567           {
568           done= FALSE;
569           goto RESPONSE_FAILED;
570           }
571         #ifdef SUPPORT_TLS
572         tls_offered = FALSE;
573         #endif
574         esmtp = FALSE;
575         goto esmtp_retry;                       /* fallback to HELO */
576         }
577
578       /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
579       #ifdef SUPPORT_TLS
580       if (esmtp && !suppress_tls &&  tls_out.active < 0)
581         {
582           if (regex_STARTTLS == NULL) regex_STARTTLS =
583             regex_must_compile(US"\\n250[\\s\\-]STARTTLS(\\s|\\n|$)", FALSE, TRUE);
584
585           tls_offered = pcre_exec(regex_STARTTLS, NULL, CS responsebuffer,
586                         Ustrlen(responsebuffer), 0, PCRE_EOPT, NULL, 0) >= 0;
587         }
588       else
589         tls_offered = FALSE;
590       #endif
591       }
592
593     /* If TLS is available on this connection attempt to
594     start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
595     send another EHLO - the server may give a different answer in secure mode. We
596     use a separate buffer for reading the response to STARTTLS so that if it is
597     negative, the original EHLO data is available for subsequent analysis, should
598     the client not be required to use TLS. If the response is bad, copy the buffer
599     for error analysis. */
600
601     #ifdef SUPPORT_TLS
602     if (tls_offered &&
603         verify_check_this_host(&(ob->hosts_avoid_tls), NULL, host->name,
604           host->address, NULL) != OK &&
605         verify_check_this_host(&(ob->hosts_verify_avoid_tls), NULL, host->name,
606           host->address, NULL) != OK
607        )
608       {
609       uschar buffer2[4096];
610       if (  !smtps
611          && !(done= smtp_write_command(&outblock, FALSE, "STARTTLS\r\n") >= 0))
612         goto SEND_FAILED;
613
614       /* If there is an I/O error, transmission of this message is deferred. If
615       there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
616       false, we also defer. However, if there is a temporary rejection of STARTTLS
617       and tls_tempfail_tryclear is true, or if there is an outright rejection of
618       STARTTLS, we carry on. This means we will try to send the message in clear,
619       unless the host is in hosts_require_tls (tested below). */
620
621       if (!smtps && !smtp_read_response(&inblock, buffer2, sizeof(buffer2), '2',
622                         ob->command_timeout))
623         {
624         if (errno != 0 || buffer2[0] == 0 ||
625                 (buffer2[0] == '4' && !ob->tls_tempfail_tryclear))
626         {
627         Ustrncpy(responsebuffer, buffer2, sizeof(responsebuffer));
628         done= FALSE;
629         goto RESPONSE_FAILED;
630         }
631         }
632
633        /* STARTTLS accepted or ssl-on-connect: try to negotiate a TLS session. */
634       else
635         {
636         int rc = tls_client_start(inblock.sock, host, addr,
637          NULL,                    /* No DH param */
638          ob->tls_certificate, ob->tls_privatekey,
639          ob->tls_sni,
640          ob->tls_verify_certificates, ob->tls_crl,
641          ob->tls_require_ciphers,     ob->tls_dh_min_bits,
642          callout);
643
644         /* TLS negotiation failed; give an error.  Try in clear on a new connection,
645            if the options permit it for this host. */
646         if (rc != OK)
647           {
648         if (rc == DEFER && ob->tls_tempfail_tryclear && !smtps &&
649            verify_check_this_host(&(ob->hosts_require_tls), NULL, host->name,
650              host->address, NULL) != OK)
651           {
652             (void)close(inblock.sock);
653           log_write(0, LOG_MAIN, "TLS session failure: delivering unencrypted "
654             "to %s [%s] (not in hosts_require_tls)", host->name, host->address);
655           suppress_tls = TRUE;
656           goto tls_retry_connection;
657           }
658         /*save_errno = ERRNO_TLSFAILURE;*/
659         /*message = US"failure while setting up TLS session";*/
660         send_quit = FALSE;
661         done= FALSE;
662         goto TLS_FAILED;
663         }
664
665         /* TLS session is set up.  Copy info for logging. */
666         addr->cipher = tls_out.cipher;
667         addr->peerdn = tls_out.peerdn;
668
669         /* For SMTPS we need to wait for the initial OK response, then do HELO. */
670         if (smtps)
671          goto smtps_redo_greeting;
672
673         /* For STARTTLS we need to redo EHLO */
674         goto tls_redo_helo;
675         }
676       }
677
678     /* If the host is required to use a secure channel, ensure that we have one. */
679     if (tls_out.active < 0)
680       if (verify_check_this_host(&(ob->hosts_require_tls), NULL, host->name,
681         host->address, NULL) == OK)
682         {
683         /*save_errno = ERRNO_TLSREQUIRED;*/
684         log_write(0, LOG_MAIN, "a TLS session is required for %s [%s], but %s",
685           host->name, host->address,
686         tls_offered? "an attempt to start TLS failed" : "the server did not offer TLS support");
687         done= FALSE;
688         goto TLS_FAILED;
689         }
690
691     #endif /*SUPPORT_TLS*/
692
693     done = TRUE; /* so far so good; have response to HELO */
694
695     /*XXX the EHLO response would be analyzed here for IGNOREQUOTA, SIZE, PIPELINING, AUTH */
696     /* If we haven't authenticated, but are required to, give up. */
697
698     /*XXX "filter command specified for this transport" ??? */
699     /* for now, transport_filter by cutthrough-delivery is not supported */
700     /* Need proper integration with the proper transport mechanism. */
701
702
703     SEND_FAILED:
704     RESPONSE_FAILED:
705     TLS_FAILED:
706     ;
707     /* Clear down of the TLS, SMTP and TCP layers on error is handled below.  */
708
709
710     /* Failure to accept HELO is cached; this blocks the whole domain for all
711     senders. I/O errors and defer responses are not cached. */
712
713     if (!done)
714       {
715       *failure_ptr = US"mail";     /* At or before MAIL */
716       if (errno == 0 && responsebuffer[0] == '5')
717         {
718         setflag(addr, af_verify_nsfail);
719         new_domain_record.result = ccache_reject;
720         }
721       }
722
723     /* Send the MAIL command */
724
725     else done =
726       smtp_write_command(&outblock, FALSE, "MAIL FROM:<%s>\r\n",
727         from_address) >= 0 &&
728       smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
729         '2', callout);
730
731     /* If the host does not accept MAIL FROM:<>, arrange to cache this
732     information, but again, don't record anything for an I/O error or a defer. Do
733     not cache rejections of MAIL when a non-empty sender has been used, because
734     that blocks the whole domain for all senders. */
735
736     if (!done)
737       {
738       *failure_ptr = US"mail";     /* At or before MAIL */
739       if (errno == 0 && responsebuffer[0] == '5')
740         {
741         setflag(addr, af_verify_nsfail);
742         if (from_address[0] == 0)
743           new_domain_record.result = ccache_reject_mfnull;
744         }
745       }
746
747     /* Otherwise, proceed to check a "random" address (if required), then the
748     given address, and the postmaster address (if required). Between each check,
749     issue RSET, because some servers accept only one recipient after MAIL
750     FROM:<>.
751
752     Before doing this, set the result in the domain cache record to "accept",
753     unless its previous value was ccache_reject_mfnull. In that case, the domain
754     rejects MAIL FROM:<> and we want to continue to remember that. When that is
755     the case, we have got here only in the case of a recipient verification with
756     a non-null sender. */
757
758     else
759       {
760       new_domain_record.result =
761         (old_domain_cache_result == ccache_reject_mfnull)?
762           ccache_reject_mfnull: ccache_accept;
763
764       /* Do the random local part check first */
765
766       if (random_local_part != NULL)
767         {
768         uschar randombuffer[1024];
769         BOOL random_ok =
770           smtp_write_command(&outblock, FALSE,
771             "RCPT TO:<%.1000s@%.1000s>\r\n", random_local_part,
772             addr->domain) >= 0 &&
773           smtp_read_response(&inblock, randombuffer,
774             sizeof(randombuffer), '2', callout);
775
776         /* Remember when we last did a random test */
777
778         new_domain_record.random_stamp = time(NULL);
779
780         /* If accepted, we aren't going to do any further tests below. */
781
782         if (random_ok)
783           {
784           new_domain_record.random_result = ccache_accept;
785           }
786
787         /* Otherwise, cache a real negative response, and get back to the right
788         state to send RCPT. Unless there's some problem such as a dropped
789         connection, we expect to succeed, because the commands succeeded above. */
790
791         else if (errno == 0)
792           {
793           if (randombuffer[0] == '5')
794             new_domain_record.random_result = ccache_reject;
795
796           done =
797             smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
798             smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
799               '2', callout) &&
800
801             smtp_write_command(&outblock, FALSE, "MAIL FROM:<%s>\r\n",
802               from_address) >= 0 &&
803             smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
804               '2', callout);
805           }
806         else done = FALSE;    /* Some timeout/connection problem */
807         }                     /* Random check */
808
809       /* If the host is accepting all local parts, as determined by the "random"
810       check, we don't need to waste time doing any further checking. */
811
812       if (new_domain_record.random_result != ccache_accept && done)
813         {
814         /* Get the rcpt_include_affixes flag from the transport if there is one,
815         but assume FALSE if there is not. */
816
817         done =
818           smtp_write_command(&outblock, FALSE, "RCPT TO:<%.1000s>\r\n",
819             transport_rcpt_address(addr,
820               (addr->transport == NULL)? FALSE :
821                addr->transport->rcpt_include_affixes)) >= 0 &&
822           smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer),
823             '2', callout);
824
825         if (done)
826           new_address_record.result = ccache_accept;
827         else if (errno == 0 && responsebuffer[0] == '5')
828           {
829           *failure_ptr = US"recipient";
830           new_address_record.result = ccache_reject;
831           }
832
833         /* Do postmaster check if requested; if a full check is required, we
834         check for RCPT TO:<postmaster> (no domain) in accordance with RFC 821. */
835
836         if (done && pm_mailfrom != NULL)
837           {
838           /*XXX not suitable for cutthrough - sequencing problems */
839         cutthrough_delivery= FALSE;
840         HDEBUG(D_acl|D_v) debug_printf("Cutthrough cancelled by presence of postmaster verify\n");
841
842           done =
843             smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0 &&
844             smtp_read_response(&inblock, responsebuffer,
845               sizeof(responsebuffer), '2', callout) &&
846
847             smtp_write_command(&outblock, FALSE,
848               "MAIL FROM:<%s>\r\n", pm_mailfrom) >= 0 &&
849             smtp_read_response(&inblock, responsebuffer,
850               sizeof(responsebuffer), '2', callout) &&
851
852             /* First try using the current domain */
853
854             ((
855             smtp_write_command(&outblock, FALSE,
856               "RCPT TO:<postmaster@%.1000s>\r\n", addr->domain) >= 0 &&
857             smtp_read_response(&inblock, responsebuffer,
858               sizeof(responsebuffer), '2', callout)
859             )
860
861             ||
862
863             /* If that doesn't work, and a full check is requested,
864             try without the domain. */
865
866             (
867             (options & vopt_callout_fullpm) != 0 &&
868             smtp_write_command(&outblock, FALSE,
869               "RCPT TO:<postmaster>\r\n") >= 0 &&
870             smtp_read_response(&inblock, responsebuffer,
871               sizeof(responsebuffer), '2', callout)
872             ));
873
874           /* Sort out the cache record */
875
876           new_domain_record.postmaster_stamp = time(NULL);
877
878           if (done)
879             new_domain_record.postmaster_result = ccache_accept;
880           else if (errno == 0 && responsebuffer[0] == '5')
881             {
882             *failure_ptr = US"postmaster";
883             setflag(addr, af_verify_pmfail);
884             new_domain_record.postmaster_result = ccache_reject;
885             }
886           }
887         }           /* Random not accepted */
888       }             /* MAIL FROM: accepted */
889
890     /* For any failure of the main check, other than a negative response, we just
891     close the connection and carry on. We can identify a negative response by the
892     fact that errno is zero. For I/O errors it will be non-zero
893
894     Set up different error texts for logging and for sending back to the caller
895     as an SMTP response. Log in all cases, using a one-line format. For sender
896     callouts, give a full response to the caller, but for recipient callouts,
897     don't give the IP address because this may be an internal host whose identity
898     is not to be widely broadcast. */
899
900     if (!done)
901       {
902       if (errno == ETIMEDOUT)
903         {
904         HDEBUG(D_verify) debug_printf("SMTP timeout\n");
905         send_quit = FALSE;
906         }
907       else if (errno == 0)
908         {
909         if (*responsebuffer == 0) Ustrcpy(responsebuffer, US"connection dropped");
910
911         addr->message =
912           string_sprintf("response to \"%s\" from %s [%s] was: %s",
913             big_buffer, host->name, host->address,
914             string_printing(responsebuffer));
915
916         addr->user_message = is_recipient?
917           string_sprintf("Callout verification failed:\n%s", responsebuffer)
918           :
919           string_sprintf("Called:   %s\nSent:     %s\nResponse: %s",
920             host->address, big_buffer, responsebuffer);
921
922         /* Hard rejection ends the process */
923
924         if (responsebuffer[0] == '5')   /* Address rejected */
925           {
926           yield = FAIL;
927           done = TRUE;
928           }
929         }
930       }
931
932     /* End the SMTP conversation and close the connection. */
933
934     /* Cutthrough - on a successfull connect and recipient-verify with use-sender
935     and we have no cutthrough conn so far
936     here is where we want to leave the conn open */
937     if (  cutthrough_delivery
938        && done
939        && yield == OK
940        && (options & (vopt_callout_recipsender|vopt_callout_recippmaster)) == vopt_callout_recipsender
941        && !random_local_part
942        && !pm_mailfrom
943        && cutthrough_fd < 0
944        )
945       {
946       cutthrough_fd= outblock.sock;     /* We assume no buffer in use in the outblock */
947       cutthrough_addr = *addr;          /* Save the address_item for later logging */
948       cutthrough_addr.host_used = store_get(sizeof(host_item));
949       cutthrough_addr.host_used->name =    host->name;
950       cutthrough_addr.host_used->address = host->address;
951       cutthrough_addr.host_used->port =    port;
952       if (addr->parent)
953         *(cutthrough_addr.parent = store_get(sizeof(address_item)))= *addr->parent;
954       ctblock.buffer = ctbuffer;
955       ctblock.buffersize = sizeof(ctbuffer);
956       ctblock.ptr = ctbuffer;
957       /* ctblock.cmd_count = 0; ctblock.authenticating = FALSE; */
958       ctblock.sock = cutthrough_fd;
959       }
960     else
961       {
962       /* Ensure no cutthrough on multiple address verifies */
963       if (options & vopt_callout_recipsender)
964         cancel_cutthrough_connection("multiple verify calls");
965       if (send_quit) (void)smtp_write_command(&outblock, FALSE, "QUIT\r\n");
966
967       #ifdef SUPPORT_TLS
968       tls_close(FALSE, TRUE);
969       #endif
970       (void)close(inblock.sock);
971       }
972
973     }    /* Loop through all hosts, while !done */
974   }
975
976 /* If we get here with done == TRUE, a successful callout happened, and yield
977 will be set OK or FAIL according to the response to the RCPT command.
978 Otherwise, we looped through the hosts but couldn't complete the business.
979 However, there may be domain-specific information to cache in both cases.
980
981 The value of the result field in the new_domain record is ccache_unknown if
982 there was an error before or with MAIL FROM:, and errno was not zero,
983 implying some kind of I/O error. We don't want to write the cache in that case.
984 Otherwise the value is ccache_accept, ccache_reject, or ccache_reject_mfnull. */
985
986 if (!callout_no_cache && new_domain_record.result != ccache_unknown)
987   {
988   if ((dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE))
989        == NULL)
990     {
991     HDEBUG(D_verify) debug_printf("callout cache: not available\n");
992     }
993   else
994     {
995     (void)dbfn_write(dbm_file, addr->domain, &new_domain_record,
996       (int)sizeof(dbdata_callout_cache));
997     HDEBUG(D_verify) debug_printf("wrote callout cache domain record:\n"
998       "  result=%d postmaster=%d random=%d\n",
999       new_domain_record.result,
1000       new_domain_record.postmaster_result,
1001       new_domain_record.random_result);
1002     }
1003   }
1004
1005 /* If a definite result was obtained for the callout, cache it unless caching
1006 is disabled. */
1007
1008 if (done)
1009   {
1010   if (!callout_no_cache && new_address_record.result != ccache_unknown)
1011     {
1012     if (dbm_file == NULL)
1013       dbm_file = dbfn_open(US"callout", O_RDWR|O_CREAT, &dbblock, FALSE);
1014     if (dbm_file == NULL)
1015       {
1016       HDEBUG(D_verify) debug_printf("no callout cache available\n");
1017       }
1018     else
1019       {
1020       (void)dbfn_write(dbm_file, address_key, &new_address_record,
1021         (int)sizeof(dbdata_callout_cache_address));
1022       HDEBUG(D_verify) debug_printf("wrote %s callout cache address record\n",
1023         (new_address_record.result == ccache_accept)? "positive" : "negative");
1024       }
1025     }
1026   }    /* done */
1027
1028 /* Failure to connect to any host, or any response other than 2xx or 5xx is a
1029 temporary error. If there was only one host, and a response was received, leave
1030 it alone if supplying details. Otherwise, give a generic response. */
1031
1032 else   /* !done */
1033   {
1034   uschar *dullmsg = string_sprintf("Could not complete %s verify callout",
1035     is_recipient? "recipient" : "sender");
1036   yield = DEFER;
1037
1038   if (host_list->next != NULL || addr->message == NULL) addr->message = dullmsg;
1039
1040   addr->user_message = (!smtp_return_error_details)? dullmsg :
1041     string_sprintf("%s for <%s>.\n"
1042       "The mail server(s) for the domain may be temporarily unreachable, or\n"
1043       "they may be permanently unreachable from this server. In the latter case,\n%s",
1044       dullmsg, addr->address,
1045       is_recipient?
1046         "the address will never be accepted."
1047         :
1048         "you need to change the address or create an MX record for its domain\n"
1049         "if it is supposed to be generally accessible from the Internet.\n"
1050         "Talk to your mail administrator for details.");
1051
1052   /* Force a specific error code */
1053
1054   addr->basic_errno = ERRNO_CALLOUTDEFER;
1055   }
1056
1057 /* Come here from within the cache-reading code on fast-track exit. */
1058
1059 END_CALLOUT:
1060 if (dbm_file != NULL) dbfn_close(dbm_file);
1061 return yield;
1062 }
1063
1064
1065
1066 /* Called after recipient-acl to get a cutthrough connection open when
1067    one was requested and a recipient-verify wasn't subsequently done.
1068 */
1069 void
1070 open_cutthrough_connection( address_item * addr )
1071 {
1072 address_item addr2;
1073
1074 /* Use a recipient-verify-callout to set up the cutthrough connection. */
1075 /* We must use a copy of the address for verification, because it might
1076 get rewritten. */
1077
1078 addr2 = *addr;
1079 HDEBUG(D_acl) debug_printf("----------- start cutthrough setup ------------\n");
1080 (void) verify_address(&addr2, NULL,
1081         vopt_is_recipient | vopt_callout_recipsender | vopt_callout_no_cache,
1082         CUTTHROUGH_CMD_TIMEOUT, -1, -1,
1083         NULL, NULL, NULL);
1084 HDEBUG(D_acl) debug_printf("----------- end cutthrough setup ------------\n");
1085 return;
1086 }
1087
1088
1089
1090 /* Send given number of bytes from the buffer */
1091 static BOOL
1092 cutthrough_send(int n)
1093 {
1094 if(cutthrough_fd < 0)
1095   return TRUE;
1096
1097 if(
1098 #ifdef SUPPORT_TLS
1099    (tls_out.active == cutthrough_fd) ? tls_write(FALSE, ctblock.buffer, n) :
1100 #endif
1101    send(cutthrough_fd, ctblock.buffer, n, 0) > 0
1102   )
1103 {
1104   transport_count += n;
1105   ctblock.ptr= ctblock.buffer;
1106   return TRUE;
1107 }
1108
1109 HDEBUG(D_transport|D_acl) debug_printf("cutthrough_send failed: %s\n", strerror(errno));
1110 return FALSE;
1111 }
1112
1113
1114
1115 static BOOL
1116 _cutthrough_puts(uschar * cp, int n)
1117 {
1118 while(n--)
1119  {
1120  if(ctblock.ptr >= ctblock.buffer+ctblock.buffersize)
1121    if(!cutthrough_send(ctblock.buffersize))
1122      return FALSE;
1123
1124  *ctblock.ptr++ = *cp++;
1125  }
1126 return TRUE;
1127 }
1128
1129 /* Buffered output of counted data block.   Return boolean success */
1130 BOOL
1131 cutthrough_puts(uschar * cp, int n)
1132 {
1133 if (cutthrough_fd < 0)       return TRUE;
1134 if (_cutthrough_puts(cp, n)) return TRUE;
1135 cancel_cutthrough_connection("transmit failed");
1136 return FALSE;
1137 }
1138
1139
1140 static BOOL
1141 _cutthrough_flush_send( void )
1142 {
1143 int n= ctblock.ptr-ctblock.buffer;
1144
1145 if(n>0)
1146   if(!cutthrough_send(n))
1147     return FALSE;
1148 return TRUE;
1149 }
1150
1151
1152 /* Send out any bufferred output.  Return boolean success. */
1153 BOOL
1154 cutthrough_flush_send( void )
1155 {
1156 if (_cutthrough_flush_send()) return TRUE;
1157 cancel_cutthrough_connection("transmit failed");
1158 return FALSE;
1159 }
1160
1161
1162 BOOL
1163 cutthrough_put_nl( void )
1164 {
1165 return cutthrough_puts(US"\r\n", 2);
1166 }
1167
1168
1169 /* Get and check response from cutthrough target */
1170 static uschar
1171 cutthrough_response(char expect, uschar ** copy)
1172 {
1173 smtp_inblock inblock;
1174 uschar inbuffer[4096];
1175 uschar responsebuffer[4096];
1176
1177 inblock.buffer = inbuffer;
1178 inblock.buffersize = sizeof(inbuffer);
1179 inblock.ptr = inbuffer;
1180 inblock.ptrend = inbuffer;
1181 inblock.sock = cutthrough_fd;
1182 /* this relies on (inblock.sock == tls_out.active) */
1183 if(!smtp_read_response(&inblock, responsebuffer, sizeof(responsebuffer), expect, CUTTHROUGH_DATA_TIMEOUT))
1184   cancel_cutthrough_connection("target timeout on read");
1185
1186 if(copy != NULL)
1187   {
1188   uschar * cp;
1189   *copy= cp= string_copy(responsebuffer);
1190   /* Trim the trailing end of line */
1191   cp += Ustrlen(responsebuffer);
1192   if(cp > *copy  &&  cp[-1] == '\n') *--cp = '\0';
1193   if(cp > *copy  &&  cp[-1] == '\r') *--cp = '\0';
1194   }
1195
1196 return responsebuffer[0];
1197 }
1198
1199
1200 /* Negotiate dataphase with the cutthrough target, returning success boolean */
1201 BOOL
1202 cutthrough_predata( void )
1203 {
1204 if(cutthrough_fd < 0)
1205   return FALSE;
1206
1207 HDEBUG(D_transport|D_acl|D_v) debug_printf("  SMTP>> DATA\n");
1208 cutthrough_puts(US"DATA\r\n", 6);
1209 cutthrough_flush_send();
1210
1211 /* Assume nothing buffered.  If it was it gets ignored. */
1212 return cutthrough_response('3', NULL) == '3';
1213 }
1214
1215
1216 /* Buffered send of headers.  Return success boolean. */
1217 /* Expands newlines to wire format (CR,NL).           */
1218 /* Also sends header-terminating blank line.          */
1219 BOOL
1220 cutthrough_headers_send( void )
1221 {
1222 header_line * h;
1223 uschar * cp1, * cp2;
1224
1225 if(cutthrough_fd < 0)
1226   return FALSE;
1227
1228 for(h= header_list; h != NULL; h= h->next)
1229   if(h->type != htype_old  &&  h->text != NULL)
1230     for (cp1 = h->text; *cp1 && (cp2 = Ustrchr(cp1, '\n')); cp1 = cp2+1)
1231       if(  !cutthrough_puts(cp1, cp2-cp1)
1232         || !cutthrough_put_nl())
1233         return FALSE;
1234
1235 HDEBUG(D_transport|D_acl|D_v) debug_printf("  SMTP>>(nl)\n");
1236 return cutthrough_put_nl();
1237 }
1238
1239
1240 static void
1241 close_cutthrough_connection( const char * why )
1242 {
1243 if(cutthrough_fd >= 0)
1244   {
1245   /* We could be sending this after a bunch of data, but that is ok as
1246      the only way to cancel the transfer in dataphase is to drop the tcp
1247      conn before the final dot.
1248   */
1249   ctblock.ptr = ctbuffer;
1250   HDEBUG(D_transport|D_acl|D_v) debug_printf("  SMTP>> QUIT\n");
1251   _cutthrough_puts(US"QUIT\r\n", 6);    /* avoid recursion */
1252   _cutthrough_flush_send();
1253   /* No wait for response */
1254
1255   #ifdef SUPPORT_TLS
1256   tls_close(FALSE, TRUE);
1257   #endif
1258   (void)close(cutthrough_fd);
1259   cutthrough_fd= -1;
1260   HDEBUG(D_acl) debug_printf("----------- cutthrough shutdown (%s) ------------\n", why);
1261   }
1262 ctblock.ptr = ctbuffer;
1263 }
1264
1265 void
1266 cancel_cutthrough_connection( const char * why )
1267 {
1268 close_cutthrough_connection(why);
1269 cutthrough_delivery= FALSE;
1270 }
1271
1272
1273
1274
1275 /* Have senders final-dot.  Send one to cutthrough target, and grab the response.
1276    Log an OK response as a transmission.
1277    Close the connection.
1278    Return smtp response-class digit.
1279 */
1280 uschar *
1281 cutthrough_finaldot( void )
1282 {
1283 HDEBUG(D_transport|D_acl|D_v) debug_printf("  SMTP>> .\n");
1284
1285 /* Assume data finshed with new-line */
1286 if(!cutthrough_puts(US".", 1) || !cutthrough_put_nl() || !cutthrough_flush_send())
1287   return cutthrough_addr.message;
1288
1289 switch(cutthrough_response('2', &cutthrough_addr.message))
1290   {
1291   case '2':
1292     delivery_log(LOG_MAIN, &cutthrough_addr, (int)'>', NULL);
1293     close_cutthrough_connection("delivered");
1294     break;
1295
1296   case '4':
1297     delivery_log(LOG_MAIN, &cutthrough_addr, 0, US"tmp-reject from cutthrough after DATA:");
1298     break;
1299
1300   case '5':
1301     delivery_log(LOG_MAIN|LOG_REJECT, &cutthrough_addr, 0, US"rejected after DATA:");
1302     break;
1303
1304   default:
1305     break;
1306   }
1307   return cutthrough_addr.message;
1308 }
1309
1310
1311
1312 /*************************************************
1313 *           Copy error to toplevel address       *
1314 *************************************************/
1315
1316 /* This function is used when a verify fails or defers, to ensure that the
1317 failure or defer information is in the original toplevel address. This applies
1318 when an address is redirected to a single new address, and the failure or
1319 deferral happens to the child address.
1320
1321 Arguments:
1322   vaddr       the verify address item
1323   addr        the final address item
1324   yield       FAIL or DEFER
1325
1326 Returns:      the value of YIELD
1327 */
1328
1329 static int
1330 copy_error(address_item *vaddr, address_item *addr, int yield)
1331 {
1332 if (addr != vaddr)
1333   {
1334   vaddr->message = addr->message;
1335   vaddr->user_message = addr->user_message;
1336   vaddr->basic_errno = addr->basic_errno;
1337   vaddr->more_errno = addr->more_errno;
1338   vaddr->p.address_data = addr->p.address_data;
1339   copyflag(vaddr, addr, af_pass_message);
1340   }
1341 return yield;
1342 }
1343
1344
1345
1346
1347 /**************************************************
1348 * printf that automatically handles TLS if needed *
1349 ***************************************************/
1350
1351 /* This function is used by verify_address() as a substitute for all fprintf()
1352 calls; a direct fprintf() will not produce output in a TLS SMTP session, such
1353 as a response to an EXPN command.  smtp_in.c makes smtp_printf available but
1354 that assumes that we always use the smtp_out FILE* when not using TLS or the
1355 ssl buffer when we are.  Instead we take a FILE* parameter and check to see if
1356 that is smtp_out; if so, smtp_printf() with TLS support, otherwise regular
1357 fprintf().
1358
1359 Arguments:
1360   f           the candidate FILE* to write to
1361   format      format string
1362   ...         optional arguments
1363
1364 Returns:
1365               nothing
1366 */
1367
1368 static void PRINTF_FUNCTION(2,3)
1369 respond_printf(FILE *f, const char *format, ...)
1370 {
1371 va_list ap;
1372
1373 va_start(ap, format);
1374 if (smtp_out && (f == smtp_out))
1375   smtp_vprintf(format, ap);
1376 else
1377   vfprintf(f, format, ap);
1378 va_end(ap);
1379 }
1380
1381
1382
1383 /*************************************************
1384 *            Verify an email address             *
1385 *************************************************/
1386
1387 /* This function is used both for verification (-bv and at other times) and
1388 address testing (-bt), which is indicated by address_test_mode being set.
1389
1390 Arguments:
1391   vaddr            contains the address to verify; the next field in this block
1392                      must be NULL
1393   f                if not NULL, write the result to this file
1394   options          various option bits:
1395                      vopt_fake_sender => this sender verify is not for the real
1396                        sender (it was verify=sender=xxxx or an address from a
1397                        header line) - rewriting must not change sender_address
1398                      vopt_is_recipient => this is a recipient address, otherwise
1399                        it's a sender address - this affects qualification and
1400                        rewriting and messages from callouts
1401                      vopt_qualify => qualify an unqualified address; else error
1402                      vopt_expn => called from SMTP EXPN command
1403                      vopt_success_on_redirect => when a new address is generated
1404                        the verification instantly succeeds
1405
1406                      These ones are used by do_callout() -- the options variable
1407                        is passed to it.
1408
1409                      vopt_callout_fullpm => if postmaster check, do full one
1410                      vopt_callout_no_cache => don't use callout cache
1411                      vopt_callout_random => do the "random" thing
1412                      vopt_callout_recipsender => use real sender for recipient
1413                      vopt_callout_recippmaster => use postmaster for recipient
1414
1415   callout          if > 0, specifies that callout is required, and gives timeout
1416                      for individual commands
1417   callout_overall  if > 0, gives overall timeout for the callout function;
1418                    if < 0, a default is used (see do_callout())
1419   callout_connect  the connection timeout for callouts
1420   se_mailfrom      when callout is requested to verify a sender, use this
1421                      in MAIL FROM; NULL => ""
1422   pm_mailfrom      when callout is requested, if non-NULL, do the postmaster
1423                      thing and use this as the sender address (may be "")
1424
1425   routed           if not NULL, set TRUE if routing succeeded, so we can
1426                      distinguish between routing failed and callout failed
1427
1428 Returns:           OK      address verified
1429                    FAIL    address failed to verify
1430                    DEFER   can't tell at present
1431 */
1432
1433 int
1434 verify_address(address_item *vaddr, FILE *f, int options, int callout,
1435   int callout_overall, int callout_connect, uschar *se_mailfrom,
1436   uschar *pm_mailfrom, BOOL *routed)
1437 {
1438 BOOL allok = TRUE;
1439 BOOL full_info = (f == NULL)? FALSE : (debug_selector != 0);
1440 BOOL is_recipient = (options & vopt_is_recipient) != 0;
1441 BOOL expn         = (options & vopt_expn) != 0;
1442 BOOL success_on_redirect = (options & vopt_success_on_redirect) != 0;
1443 int i;
1444 int yield = OK;
1445 int verify_type = expn? v_expn :
1446      address_test_mode? v_none :
1447           is_recipient? v_recipient : v_sender;
1448 address_item *addr_list;
1449 address_item *addr_new = NULL;
1450 address_item *addr_remote = NULL;
1451 address_item *addr_local = NULL;
1452 address_item *addr_succeed = NULL;
1453 uschar **failure_ptr = is_recipient?
1454   &recipient_verify_failure : &sender_verify_failure;
1455 uschar *ko_prefix, *cr;
1456 uschar *address = vaddr->address;
1457 uschar *save_sender;
1458 uschar null_sender[] = { 0 };             /* Ensure writeable memory */
1459
1460 /* Clear, just in case */
1461
1462 *failure_ptr = NULL;
1463
1464 /* Set up a prefix and suffix for error message which allow us to use the same
1465 output statements both in EXPN mode (where an SMTP response is needed) and when
1466 debugging with an output file. */
1467
1468 if (expn)
1469   {
1470   ko_prefix = US"553 ";
1471   cr = US"\r";
1472   }
1473 else ko_prefix = cr = US"";
1474
1475 /* Add qualify domain if permitted; otherwise an unqualified address fails. */
1476
1477 if (parse_find_at(address) == NULL)
1478   {
1479   if ((options & vopt_qualify) == 0)
1480     {
1481     if (f != NULL)
1482       respond_printf(f, "%sA domain is required for \"%s\"%s\n",
1483         ko_prefix, address, cr);
1484     *failure_ptr = US"qualify";
1485     return FAIL;
1486     }
1487   address = rewrite_address_qualify(address, is_recipient);
1488   }
1489
1490 DEBUG(D_verify)
1491   {
1492   debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
1493   debug_printf("%s %s\n", address_test_mode? "Testing" : "Verifying", address);
1494   }
1495
1496 /* Rewrite and report on it. Clear the domain and local part caches - these
1497 may have been set by domains and local part tests during an ACL. */
1498
1499 if (global_rewrite_rules != NULL)
1500   {
1501   uschar *old = address;
1502   address = rewrite_address(address, is_recipient, FALSE,
1503     global_rewrite_rules, rewrite_existflags);
1504   if (address != old)
1505     {
1506     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->localpart_cache[i] = 0;
1507     for (i = 0; i < (MAX_NAMED_LIST * 2)/32; i++) vaddr->domain_cache[i] = 0;
1508     if (f != NULL && !expn) fprintf(f, "Address rewritten as: %s\n", address);
1509     }
1510   }
1511
1512 /* If this is the real sender address, we must update sender_address at
1513 this point, because it may be referred to in the routers. */
1514
1515 if ((options & (vopt_fake_sender|vopt_is_recipient)) == 0)
1516   sender_address = address;
1517
1518 /* If the address was rewritten to <> no verification can be done, and we have
1519 to return OK. This rewriting is permitted only for sender addresses; for other
1520 addresses, such rewriting fails. */
1521
1522 if (address[0] == 0) return OK;
1523
1524 /* Flip the legacy TLS-related variables over to the outbound set in case
1525 they're used in the context of a transport used by verification. Reset them
1526 at exit from this routine. */
1527
1528 modify_variable(US"tls_bits",                 &tls_out.bits);
1529 modify_variable(US"tls_certificate_verified", &tls_out.certificate_verified);
1530 modify_variable(US"tls_cipher",               &tls_out.cipher);
1531 modify_variable(US"tls_peerdn",               &tls_out.peerdn);
1532 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
1533 modify_variable(US"tls_sni",                  &tls_out.sni);
1534 #endif
1535
1536 /* Save a copy of the sender address for re-instating if we change it to <>
1537 while verifying a sender address (a nice bit of self-reference there). */
1538
1539 save_sender = sender_address;
1540
1541 /* Update the address structure with the possibly qualified and rewritten
1542 address. Set it up as the starting address on the chain of new addresses. */
1543
1544 vaddr->address = address;
1545 addr_new = vaddr;
1546
1547 /* We need a loop, because an address can generate new addresses. We must also
1548 cope with generated pipes and files at the top level. (See also the code and
1549 comment in deliver.c.) However, it is usually the case that the router for
1550 user's .forward files has its verify flag turned off.
1551
1552 If an address generates more than one child, the loop is used only when
1553 full_info is set, and this can only be set locally. Remote enquiries just get
1554 information about the top level address, not anything that it generated. */
1555
1556 while (addr_new != NULL)
1557   {
1558   int rc;
1559   address_item *addr = addr_new;
1560
1561   addr_new = addr->next;
1562   addr->next = NULL;
1563
1564   DEBUG(D_verify)
1565     {
1566     debug_printf(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>\n");
1567     debug_printf("Considering %s\n", addr->address);
1568     }
1569
1570   /* Handle generated pipe, file or reply addresses. We don't get these
1571   when handling EXPN, as it does only one level of expansion. */
1572
1573   if (testflag(addr, af_pfr))
1574     {
1575     allok = FALSE;
1576     if (f != NULL)
1577       {
1578       BOOL allow;
1579
1580       if (addr->address[0] == '>')
1581         {
1582         allow = testflag(addr, af_allow_reply);
1583         fprintf(f, "%s -> mail %s", addr->parent->address, addr->address + 1);
1584         }
1585       else
1586         {
1587         allow = (addr->address[0] == '|')?
1588           testflag(addr, af_allow_pipe) : testflag(addr, af_allow_file);
1589         fprintf(f, "%s -> %s", addr->parent->address, addr->address);
1590         }
1591
1592       if (addr->basic_errno == ERRNO_BADTRANSPORT)
1593         fprintf(f, "\n*** Error in setting up pipe, file, or autoreply:\n"
1594           "%s\n", addr->message);
1595       else if (allow)
1596         fprintf(f, "\n  transport = %s\n", addr->transport->name);
1597       else
1598         fprintf(f, " *** forbidden ***\n");
1599       }
1600     continue;
1601     }
1602
1603   /* Just in case some router parameter refers to it. */
1604
1605   return_path = (addr->p.errors_address != NULL)?
1606     addr->p.errors_address : sender_address;
1607
1608   /* Split the address into domain and local part, handling the %-hack if
1609   necessary, and then route it. While routing a sender address, set
1610   $sender_address to <> because that is what it will be if we were trying to
1611   send a bounce to the sender. */
1612
1613   if (routed != NULL) *routed = FALSE;
1614   if ((rc = deliver_split_address(addr)) == OK)
1615     {
1616     if (!is_recipient) sender_address = null_sender;
1617     rc = route_address(addr, &addr_local, &addr_remote, &addr_new,
1618       &addr_succeed, verify_type);
1619     sender_address = save_sender;     /* Put back the real sender */
1620     }
1621
1622   /* If routing an address succeeded, set the flag that remembers, for use when
1623   an ACL cached a sender verify (in case a callout fails). Then if routing set
1624   up a list of hosts or the transport has a host list, and the callout option
1625   is set, and we aren't in a host checking run, do the callout verification,
1626   and set another flag that notes that a callout happened. */
1627
1628   if (rc == OK)
1629     {
1630     if (routed != NULL) *routed = TRUE;
1631     if (callout > 0)
1632       {
1633       host_item *host_list = addr->host_list;
1634
1635       /* Make up some data for use in the case where there is no remote
1636       transport. */
1637
1638       transport_feedback tf = {
1639         NULL,                       /* interface (=> any) */
1640         US"smtp",                   /* port */
1641         US"smtp",                   /* protocol */
1642         NULL,                       /* hosts */
1643         US"$smtp_active_hostname",  /* helo_data */
1644         FALSE,                      /* hosts_override */
1645         FALSE,                      /* hosts_randomize */
1646         FALSE,                      /* gethostbyname */
1647         TRUE,                       /* qualify_single */
1648         FALSE                       /* search_parents */
1649         };
1650
1651       /* If verification yielded a remote transport, we want to use that
1652       transport's options, so as to mimic what would happen if we were really
1653       sending a message to this address. */
1654
1655       if (addr->transport != NULL && !addr->transport->info->local)
1656         {
1657         (void)(addr->transport->setup)(addr->transport, addr, &tf, 0, 0, NULL);
1658
1659         /* If the transport has hosts and the router does not, or if the
1660         transport is configured to override the router's hosts, we must build a
1661         host list of the transport's hosts, and find the IP addresses */
1662
1663         if (tf.hosts != NULL && (host_list == NULL || tf.hosts_override))
1664           {
1665           uschar *s;
1666           uschar *save_deliver_domain = deliver_domain;
1667           uschar *save_deliver_localpart = deliver_localpart;
1668
1669           host_list = NULL;    /* Ignore the router's hosts */
1670
1671           deliver_domain = addr->domain;
1672           deliver_localpart = addr->local_part;
1673           s = expand_string(tf.hosts);
1674           deliver_domain = save_deliver_domain;
1675           deliver_localpart = save_deliver_localpart;
1676
1677           if (s == NULL)
1678             {
1679             log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand list of hosts "
1680               "\"%s\" in %s transport for callout: %s", tf.hosts,
1681               addr->transport->name, expand_string_message);
1682             }
1683           else
1684             {
1685             int flags;
1686             uschar *canonical_name;
1687             host_item *host, *nexthost;
1688             host_build_hostlist(&host_list, s, tf.hosts_randomize);
1689
1690             /* Just ignore failures to find a host address. If we don't manage
1691             to find any addresses, the callout will defer. Note that more than
1692             one address may be found for a single host, which will result in
1693             additional host items being inserted into the chain. Hence we must
1694             save the next host first. */
1695
1696             flags = HOST_FIND_BY_A;
1697             if (tf.qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
1698             if (tf.search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
1699
1700             for (host = host_list; host != NULL; host = nexthost)
1701               {
1702               nexthost = host->next;
1703               if (tf.gethostbyname ||
1704                   string_is_ip_address(host->name, NULL) != 0)
1705                 (void)host_find_byname(host, NULL, flags, &canonical_name, TRUE);
1706               else
1707                 (void)host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
1708                   &canonical_name, NULL);
1709               }
1710             }
1711           }
1712         }
1713
1714       /* Can only do a callout if we have at least one host! If the callout
1715       fails, it will have set ${sender,recipient}_verify_failure. */
1716
1717       if (host_list != NULL)
1718         {
1719         HDEBUG(D_verify) debug_printf("Attempting full verification using callout\n");
1720         if (host_checking && !host_checking_callout)
1721           {
1722           HDEBUG(D_verify)
1723             debug_printf("... callout omitted by default when host testing\n"
1724               "(Use -bhc if you want the callouts to happen.)\n");
1725           }
1726         else
1727           {
1728 #ifdef SUPPORT_TLS
1729           deliver_set_expansions(addr);
1730 #endif
1731           rc = do_callout(addr, host_list, &tf, callout, callout_overall,
1732             callout_connect, options, se_mailfrom, pm_mailfrom);
1733           }
1734         }
1735       else
1736         {
1737         HDEBUG(D_verify) debug_printf("Cannot do callout: neither router nor "
1738           "transport provided a host list\n");
1739         }
1740       }
1741     }
1742
1743   /* Otherwise, any failure is a routing failure */
1744
1745   else *failure_ptr = US"route";
1746
1747   /* A router may return REROUTED if it has set up a child address as a result
1748   of a change of domain name (typically from widening). In this case we always
1749   want to continue to verify the new child. */
1750
1751   if (rc == REROUTED) continue;
1752
1753   /* Handle hard failures */
1754
1755   if (rc == FAIL)
1756     {
1757     allok = FALSE;
1758     if (f != NULL)
1759       {
1760       address_item *p = addr->parent;
1761
1762       respond_printf(f, "%s%s %s", ko_prefix,
1763         full_info? addr->address : address,
1764         address_test_mode? "is undeliverable" : "failed to verify");
1765       if (!expn && admin_user)
1766         {
1767         if (addr->basic_errno > 0)
1768           respond_printf(f, ": %s", strerror(addr->basic_errno));
1769         if (addr->message != NULL)
1770           respond_printf(f, ": %s", addr->message);
1771         }
1772
1773       /* Show parents iff doing full info */
1774
1775       if (full_info) while (p != NULL)
1776         {
1777         respond_printf(f, "%s\n    <-- %s", cr, p->address);
1778         p = p->parent;
1779         }
1780       respond_printf(f, "%s\n", cr);
1781       }
1782     cancel_cutthrough_connection("routing hard fail");
1783
1784     if (!full_info)
1785     {
1786       yield = copy_error(vaddr, addr, FAIL);
1787       goto out;
1788     }
1789     else yield = FAIL;
1790     }
1791
1792   /* Soft failure */
1793
1794   else if (rc == DEFER)
1795     {
1796     allok = FALSE;
1797     if (f != NULL)
1798       {
1799       address_item *p = addr->parent;
1800       respond_printf(f, "%s%s cannot be resolved at this time", ko_prefix,
1801         full_info? addr->address : address);
1802       if (!expn && admin_user)
1803         {
1804         if (addr->basic_errno > 0)
1805           respond_printf(f, ": %s", strerror(addr->basic_errno));
1806         if (addr->message != NULL)
1807           respond_printf(f, ": %s", addr->message);
1808         else if (addr->basic_errno <= 0)
1809           respond_printf(f, ": unknown error");
1810         }
1811
1812       /* Show parents iff doing full info */
1813
1814       if (full_info) while (p != NULL)
1815         {
1816         respond_printf(f, "%s\n    <-- %s", cr, p->address);
1817         p = p->parent;
1818         }
1819       respond_printf(f, "%s\n", cr);
1820       }
1821     cancel_cutthrough_connection("routing soft fail");
1822
1823     if (!full_info)
1824       {
1825       yield = copy_error(vaddr, addr, DEFER);
1826       goto out;
1827       }
1828     else if (yield == OK) yield = DEFER;
1829     }
1830
1831   /* If we are handling EXPN, we do not want to continue to route beyond
1832   the top level (whose address is in "address"). */
1833
1834   else if (expn)
1835     {
1836     uschar *ok_prefix = US"250-";
1837     if (addr_new == NULL)
1838       {
1839       if (addr_local == NULL && addr_remote == NULL)
1840         respond_printf(f, "250 mail to <%s> is discarded\r\n", address);
1841       else
1842         respond_printf(f, "250 <%s>\r\n", address);
1843       }
1844     else while (addr_new != NULL)
1845       {
1846       address_item *addr2 = addr_new;
1847       addr_new = addr2->next;
1848       if (addr_new == NULL) ok_prefix = US"250 ";
1849       respond_printf(f, "%s<%s>\r\n", ok_prefix, addr2->address);
1850       }
1851     yield = OK;
1852     goto out;
1853     }
1854
1855   /* Successful routing other than EXPN. */
1856
1857   else
1858     {
1859     /* Handle successful routing when short info wanted. Otherwise continue for
1860     other (generated) addresses. Short info is the operational case. Full info
1861     can be requested only when debug_selector != 0 and a file is supplied.
1862
1863     There is a conflict between the use of aliasing as an alternate email
1864     address, and as a sort of mailing list. If an alias turns the incoming
1865     address into just one address (e.g. J.Caesar->jc44) you may well want to
1866     carry on verifying the generated address to ensure it is valid when
1867     checking incoming mail. If aliasing generates multiple addresses, you
1868     probably don't want to do this. Exim therefore treats the generation of
1869     just a single new address as a special case, and continues on to verify the
1870     generated address. */
1871
1872     if (!full_info &&                    /* Stop if short info wanted AND */
1873          (((addr_new == NULL ||          /* No new address OR */
1874            addr_new->next != NULL ||     /* More than one new address OR */
1875            testflag(addr_new, af_pfr)))  /* New address is pfr */
1876          ||                              /* OR */
1877          (addr_new != NULL &&            /* At least one new address AND */
1878           success_on_redirect)))         /* success_on_redirect is set */
1879       {
1880       if (f != NULL) fprintf(f, "%s %s\n", address,
1881         address_test_mode? "is deliverable" : "verified");
1882
1883       /* If we have carried on to verify a child address, we want the value
1884       of $address_data to be that of the child */
1885
1886       vaddr->p.address_data = addr->p.address_data;
1887       yield = OK;
1888       goto out;
1889       }
1890     }
1891   }     /* Loop for generated addresses */
1892
1893 /* Display the full results of the successful routing, including any generated
1894 addresses. Control gets here only when full_info is set, which requires f not
1895 to be NULL, and this occurs only when a top-level verify is called with the
1896 debugging switch on.
1897
1898 If there are no local and no remote addresses, and there were no pipes, files,
1899 or autoreplies, and there were no errors or deferments, the message is to be
1900 discarded, usually because of the use of :blackhole: in an alias file. */
1901
1902 if (allok && addr_local == NULL && addr_remote == NULL)
1903   {
1904   fprintf(f, "mail to %s is discarded\n", address);
1905   goto out;
1906   }
1907
1908 for (addr_list = addr_local, i = 0; i < 2; addr_list = addr_remote, i++)
1909   {
1910   while (addr_list != NULL)
1911     {
1912     address_item *addr = addr_list;
1913     address_item *p = addr->parent;
1914     addr_list = addr->next;
1915
1916     fprintf(f, "%s", CS addr->address);
1917 #ifdef EXPERIMENTAL_SRS
1918     if(addr->p.srs_sender)
1919       fprintf(f, "    [srs = %s]", addr->p.srs_sender);
1920 #endif
1921
1922     /* If the address is a duplicate, show something about it. */
1923
1924     if (!testflag(addr, af_pfr))
1925       {
1926       tree_node *tnode;
1927       if ((tnode = tree_search(tree_duplicates, addr->unique)) != NULL)
1928         fprintf(f, "   [duplicate, would not be delivered]");
1929       else tree_add_duplicate(addr->unique, addr);
1930       }
1931
1932     /* Now show its parents */
1933
1934     while (p != NULL)
1935       {
1936       fprintf(f, "\n    <-- %s", p->address);
1937       p = p->parent;
1938       }
1939     fprintf(f, "\n  ");
1940
1941     /* Show router, and transport */
1942
1943     fprintf(f, "router = %s, ", addr->router->name);
1944     fprintf(f, "transport = %s\n", (addr->transport == NULL)? US"unset" :
1945       addr->transport->name);
1946
1947     /* Show any hosts that are set up by a router unless the transport
1948     is going to override them; fiddle a bit to get a nice format. */
1949
1950     if (addr->host_list != NULL && addr->transport != NULL &&
1951         !addr->transport->overrides_hosts)
1952       {
1953       host_item *h;
1954       int maxlen = 0;
1955       int maxaddlen = 0;
1956       for (h = addr->host_list; h != NULL; h = h->next)
1957         {
1958         int len = Ustrlen(h->name);
1959         if (len > maxlen) maxlen = len;
1960         len = (h->address != NULL)? Ustrlen(h->address) : 7;
1961         if (len > maxaddlen) maxaddlen = len;
1962         }
1963       for (h = addr->host_list; h != NULL; h = h->next)
1964         {
1965         int len = Ustrlen(h->name);
1966         fprintf(f, "  host %s ", h->name);
1967         while (len++ < maxlen) fprintf(f, " ");
1968         if (h->address != NULL)
1969           {
1970           fprintf(f, "[%s] ", h->address);
1971           len = Ustrlen(h->address);
1972           }
1973         else if (!addr->transport->info->local)  /* Omit [unknown] for local */
1974           {
1975           fprintf(f, "[unknown] ");
1976           len = 7;
1977           }
1978         else len = -3;
1979         while (len++ < maxaddlen) fprintf(f," ");
1980         if (h->mx >= 0) fprintf(f, "MX=%d", h->mx);
1981         if (h->port != PORT_NONE) fprintf(f, " port=%d", h->port);
1982         if (h->status == hstatus_unusable) fprintf(f, " ** unusable **");
1983         fprintf(f, "\n");
1984         }
1985       }
1986     }
1987   }
1988
1989 /* Yield will be DEFER or FAIL if any one address has, only for full_info (which is
1990 the -bv or -bt case). */
1991
1992 out:
1993
1994 modify_variable(US"tls_bits",                 &tls_in.bits);
1995 modify_variable(US"tls_certificate_verified", &tls_in.certificate_verified);
1996 modify_variable(US"tls_cipher",               &tls_in.cipher);
1997 modify_variable(US"tls_peerdn",               &tls_in.peerdn);
1998 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
1999 modify_variable(US"tls_sni",                  &tls_in.sni);
2000 #endif
2001
2002 return yield;
2003 }
2004
2005
2006
2007
2008 /*************************************************
2009 *      Check headers for syntax errors           *
2010 *************************************************/
2011
2012 /* This function checks those header lines that contain addresses, and verifies
2013 that all the addresses therein are syntactially correct.
2014
2015 Arguments:
2016   msgptr     where to put an error message
2017
2018 Returns:     OK
2019              FAIL
2020 */
2021
2022 int
2023 verify_check_headers(uschar **msgptr)
2024 {
2025 header_line *h;
2026 uschar *colon, *s;
2027 int yield = OK;
2028
2029 for (h = header_list; h != NULL && yield == OK; h = h->next)
2030   {
2031   if (h->type != htype_from &&
2032       h->type != htype_reply_to &&
2033       h->type != htype_sender &&
2034       h->type != htype_to &&
2035       h->type != htype_cc &&
2036       h->type != htype_bcc)
2037     continue;
2038
2039   colon = Ustrchr(h->text, ':');
2040   s = colon + 1;
2041   while (isspace(*s)) s++;
2042
2043   /* Loop for multiple addresses in the header, enabling group syntax. Note
2044   that we have to reset this after the header has been scanned. */
2045
2046   parse_allow_group = TRUE;
2047
2048   while (*s != 0)
2049     {
2050     uschar *ss = parse_find_address_end(s, FALSE);
2051     uschar *recipient, *errmess;
2052     int terminator = *ss;
2053     int start, end, domain;
2054
2055     /* Temporarily terminate the string at this point, and extract the
2056     operative address within, allowing group syntax. */
2057
2058     *ss = 0;
2059     recipient = parse_extract_address(s,&errmess,&start,&end,&domain,FALSE);
2060     *ss = terminator;
2061
2062     /* Permit an unqualified address only if the message is local, or if the
2063     sending host is configured to be permitted to send them. */
2064
2065     if (recipient != NULL && domain == 0)
2066       {
2067       if (h->type == htype_from || h->type == htype_sender)
2068         {
2069         if (!allow_unqualified_sender) recipient = NULL;
2070         }
2071       else
2072         {
2073         if (!allow_unqualified_recipient) recipient = NULL;
2074         }
2075       if (recipient == NULL) errmess = US"unqualified address not permitted";
2076       }
2077
2078     /* It's an error if no address could be extracted, except for the special
2079     case of an empty address. */
2080
2081     if (recipient == NULL && Ustrcmp(errmess, "empty address") != 0)
2082       {
2083       uschar *verb = US"is";
2084       uschar *t = ss;
2085       uschar *tt = colon;
2086       int len;
2087
2088       /* Arrange not to include any white space at the end in the
2089       error message or the header name. */
2090
2091       while (t > s && isspace(t[-1])) t--;
2092       while (tt > h->text && isspace(tt[-1])) tt--;
2093
2094       /* Add the address that failed to the error message, since in a
2095       header with very many addresses it is sometimes hard to spot
2096       which one is at fault. However, limit the amount of address to
2097       quote - cases have been seen where, for example, a missing double
2098       quote in a humungous To: header creates an "address" that is longer
2099       than string_sprintf can handle. */
2100
2101       len = t - s;
2102       if (len > 1024)
2103         {
2104         len = 1024;
2105         verb = US"begins";
2106         }
2107
2108       *msgptr = string_printing(
2109         string_sprintf("%s: failing address in \"%.*s:\" header %s: %.*s",
2110           errmess, tt - h->text, h->text, verb, len, s));
2111
2112       yield = FAIL;
2113       break;          /* Out of address loop */
2114       }
2115
2116     /* Advance to the next address */
2117
2118     s = ss + (terminator? 1:0);
2119     while (isspace(*s)) s++;
2120     }   /* Next address */
2121
2122   parse_allow_group = FALSE;
2123   parse_found_group = FALSE;
2124   }     /* Next header unless yield has been set FALSE */
2125
2126 return yield;
2127 }
2128
2129
2130
2131 /*************************************************
2132 *          Check for blind recipients            *
2133 *************************************************/
2134
2135 /* This function checks that every (envelope) recipient is mentioned in either
2136 the To: or Cc: header lines, thus detecting blind carbon copies.
2137
2138 There are two ways of scanning that could be used: either scan the header lines
2139 and tick off the recipients, or scan the recipients and check the header lines.
2140 The original proposed patch did the former, but I have chosen to do the latter,
2141 because (a) it requires no memory and (b) will use fewer resources when there
2142 are many addresses in To: and/or Cc: and only one or two envelope recipients.
2143
2144 Arguments:   none
2145 Returns:     OK    if there are no blind recipients
2146              FAIL  if there is at least one blind recipient
2147 */
2148
2149 int
2150 verify_check_notblind(void)
2151 {
2152 int i;
2153 for (i = 0; i < recipients_count; i++)
2154   {
2155   header_line *h;
2156   BOOL found = FALSE;
2157   uschar *address = recipients_list[i].address;
2158
2159   for (h = header_list; !found && h != NULL; h = h->next)
2160     {
2161     uschar *colon, *s;
2162
2163     if (h->type != htype_to && h->type != htype_cc) continue;
2164
2165     colon = Ustrchr(h->text, ':');
2166     s = colon + 1;
2167     while (isspace(*s)) s++;
2168
2169     /* Loop for multiple addresses in the header, enabling group syntax. Note
2170     that we have to reset this after the header has been scanned. */
2171
2172     parse_allow_group = TRUE;
2173
2174     while (*s != 0)
2175       {
2176       uschar *ss = parse_find_address_end(s, FALSE);
2177       uschar *recipient,*errmess;
2178       int terminator = *ss;
2179       int start, end, domain;
2180
2181       /* Temporarily terminate the string at this point, and extract the
2182       operative address within, allowing group syntax. */
2183
2184       *ss = 0;
2185       recipient = parse_extract_address(s,&errmess,&start,&end,&domain,FALSE);
2186       *ss = terminator;
2187
2188       /* If we found a valid recipient that has a domain, compare it with the
2189       envelope recipient. Local parts are compared case-sensitively, domains
2190       case-insensitively. By comparing from the start with length "domain", we
2191       include the "@" at the end, which ensures that we are comparing the whole
2192       local part of each address. */
2193
2194       if (recipient != NULL && domain != 0)
2195         {
2196         found = Ustrncmp(recipient, address, domain) == 0 &&
2197                 strcmpic(recipient + domain, address + domain) == 0;
2198         if (found) break;
2199         }
2200
2201       /* Advance to the next address */
2202
2203       s = ss + (terminator? 1:0);
2204       while (isspace(*s)) s++;
2205       }   /* Next address */
2206
2207     parse_allow_group = FALSE;
2208     parse_found_group = FALSE;
2209     }     /* Next header (if found is false) */
2210
2211   if (!found) return FAIL;
2212   }       /* Next recipient */
2213
2214 return OK;
2215 }
2216
2217
2218
2219 /*************************************************
2220 *          Find if verified sender               *
2221 *************************************************/
2222
2223 /* Usually, just a single address is verified as the sender of the message.
2224 However, Exim can be made to verify other addresses as well (often related in
2225 some way), and this is useful in some environments. There may therefore be a
2226 chain of such addresses that have previously been tested. This function finds
2227 whether a given address is on the chain.
2228
2229 Arguments:   the address to be verified
2230 Returns:     pointer to an address item, or NULL
2231 */
2232
2233 address_item *
2234 verify_checked_sender(uschar *sender)
2235 {
2236 address_item *addr;
2237 for (addr = sender_verified_list; addr != NULL; addr = addr->next)
2238   if (Ustrcmp(sender, addr->address) == 0) break;
2239 return addr;
2240 }
2241
2242
2243
2244
2245
2246 /*************************************************
2247 *             Get valid header address           *
2248 *************************************************/
2249
2250 /* Scan the originator headers of the message, looking for an address that
2251 verifies successfully. RFC 822 says:
2252
2253     o   The "Sender" field mailbox should be sent  notices  of
2254         any  problems in transport or delivery of the original
2255         messages.  If there is no  "Sender"  field,  then  the
2256         "From" field mailbox should be used.
2257
2258     o   If the "Reply-To" field exists, then the reply  should
2259         go to the addresses indicated in that field and not to
2260         the address(es) indicated in the "From" field.
2261
2262 So we check a Sender field if there is one, else a Reply_to field, else a From
2263 field. As some strange messages may have more than one of these fields,
2264 especially if they are resent- fields, check all of them if there is more than
2265 one.
2266
2267 Arguments:
2268   user_msgptr      points to where to put a user error message
2269   log_msgptr       points to where to put a log error message
2270   callout          timeout for callout check (passed to verify_address())
2271   callout_overall  overall callout timeout (ditto)
2272   callout_connect  connect callout timeout (ditto)
2273   se_mailfrom      mailfrom for verify; NULL => ""
2274   pm_mailfrom      sender for pm callout check (passed to verify_address())
2275   options          callout options (passed to verify_address())
2276   verrno           where to put the address basic_errno
2277
2278 If log_msgptr is set to something without setting user_msgptr, the caller
2279 normally uses log_msgptr for both things.
2280
2281 Returns:           result of the verification attempt: OK, FAIL, or DEFER;
2282                    FAIL is given if no appropriate headers are found
2283 */
2284
2285 int
2286 verify_check_header_address(uschar **user_msgptr, uschar **log_msgptr,
2287   int callout, int callout_overall, int callout_connect, uschar *se_mailfrom,
2288   uschar *pm_mailfrom, int options, int *verrno)
2289 {
2290 static int header_types[] = { htype_sender, htype_reply_to, htype_from };
2291 BOOL done = FALSE;
2292 int yield = FAIL;
2293 int i;
2294
2295 for (i = 0; i < 3 && !done; i++)
2296   {
2297   header_line *h;
2298   for (h = header_list; h != NULL && !done; h = h->next)
2299     {
2300     int terminator, new_ok;
2301     uschar *s, *ss, *endname;
2302
2303     if (h->type != header_types[i]) continue;
2304     s = endname = Ustrchr(h->text, ':') + 1;
2305
2306     /* Scan the addresses in the header, enabling group syntax. Note that we
2307     have to reset this after the header has been scanned. */
2308
2309     parse_allow_group = TRUE;
2310
2311     while (*s != 0)
2312       {
2313       address_item *vaddr;
2314
2315       while (isspace(*s) || *s == ',') s++;
2316       if (*s == 0) break;        /* End of header */
2317
2318       ss = parse_find_address_end(s, FALSE);
2319
2320       /* The terminator is a comma or end of header, but there may be white
2321       space preceding it (including newline for the last address). Move back
2322       past any white space so we can check against any cached envelope sender
2323       address verifications. */
2324
2325       while (isspace(ss[-1])) ss--;
2326       terminator = *ss;
2327       *ss = 0;
2328
2329       HDEBUG(D_verify) debug_printf("verifying %.*s header address %s\n",
2330         (int)(endname - h->text), h->text, s);
2331
2332       /* See if we have already verified this address as an envelope sender,
2333       and if so, use the previous answer. */
2334
2335       vaddr = verify_checked_sender(s);
2336
2337       if (vaddr != NULL &&                   /* Previously checked */
2338            (callout <= 0 ||                  /* No callout needed; OR */
2339             vaddr->special_action > 256))    /* Callout was done */
2340         {
2341         new_ok = vaddr->special_action & 255;
2342         HDEBUG(D_verify) debug_printf("previously checked as envelope sender\n");
2343         *ss = terminator;  /* Restore shortened string */
2344         }
2345
2346       /* Otherwise we run the verification now. We must restore the shortened
2347       string before running the verification, so the headers are correct, in
2348       case there is any rewriting. */
2349
2350       else
2351         {
2352         int start, end, domain;
2353         uschar *address = parse_extract_address(s, log_msgptr, &start, &end,
2354           &domain, FALSE);
2355
2356         *ss = terminator;
2357
2358         /* If we found an empty address, just carry on with the next one, but
2359         kill the message. */
2360
2361         if (address == NULL && Ustrcmp(*log_msgptr, "empty address") == 0)
2362           {
2363           *log_msgptr = NULL;
2364           s = ss;
2365           continue;
2366           }
2367
2368         /* If verification failed because of a syntax error, fail this
2369         function, and ensure that the failing address gets added to the error
2370         message. */
2371
2372         if (address == NULL)
2373           {
2374           new_ok = FAIL;
2375           while (ss > s && isspace(ss[-1])) ss--;
2376           *log_msgptr = string_sprintf("syntax error in '%.*s' header when "
2377             "scanning for sender: %s in \"%.*s\"",
2378             endname - h->text, h->text, *log_msgptr, ss - s, s);
2379           yield = FAIL;
2380           done = TRUE;
2381           break;
2382           }
2383
2384         /* Else go ahead with the sender verification. But it isn't *the*
2385         sender of the message, so set vopt_fake_sender to stop sender_address
2386         being replaced after rewriting or qualification. */
2387
2388         else
2389           {
2390           vaddr = deliver_make_addr(address, FALSE);
2391           new_ok = verify_address(vaddr, NULL, options | vopt_fake_sender,
2392             callout, callout_overall, callout_connect, se_mailfrom,
2393             pm_mailfrom, NULL);
2394           }
2395         }
2396
2397       /* We now have the result, either newly found, or cached. If we are
2398       giving out error details, set a specific user error. This means that the
2399       last of these will be returned to the user if all three fail. We do not
2400       set a log message - the generic one below will be used. */
2401
2402       if (new_ok != OK)
2403         {
2404         *verrno = vaddr->basic_errno;
2405         if (smtp_return_error_details)
2406           {
2407           *user_msgptr = string_sprintf("Rejected after DATA: "
2408             "could not verify \"%.*s\" header address\n%s: %s",
2409             endname - h->text, h->text, vaddr->address, vaddr->message);
2410           }
2411         }
2412
2413       /* Success or defer */
2414
2415       if (new_ok == OK)
2416         {
2417         yield = OK;
2418         done = TRUE;
2419         break;
2420         }
2421
2422       if (new_ok == DEFER) yield = DEFER;
2423
2424       /* Move on to any more addresses in the header */
2425
2426       s = ss;
2427       }     /* Next address */
2428
2429     parse_allow_group = FALSE;
2430     parse_found_group = FALSE;
2431     }       /* Next header, unless done */
2432   }         /* Next header type unless done */
2433
2434 if (yield == FAIL && *log_msgptr == NULL)
2435   *log_msgptr = US"there is no valid sender in any header line";
2436
2437 if (yield == DEFER && *log_msgptr == NULL)
2438   *log_msgptr = US"all attempts to verify a sender in a header line deferred";
2439
2440 return yield;
2441 }
2442
2443
2444
2445
2446 /*************************************************
2447 *            Get RFC 1413 identification         *
2448 *************************************************/
2449
2450 /* Attempt to get an id from the sending machine via the RFC 1413 protocol. If
2451 the timeout is set to zero, then the query is not done. There may also be lists
2452 of hosts and nets which are exempt. To guard against malefactors sending
2453 non-printing characters which could, for example, disrupt a message's headers,
2454 make sure the string consists of printing characters only.
2455
2456 Argument:
2457   port    the port to connect to; usually this is IDENT_PORT (113), but when
2458           running in the test harness with -bh a different value is used.
2459
2460 Returns:  nothing
2461
2462 Side effect: any received ident value is put in sender_ident (NULL otherwise)
2463 */
2464
2465 void
2466 verify_get_ident(int port)
2467 {
2468 int sock, host_af, qlen;
2469 int received_sender_port, received_interface_port, n;
2470 uschar *p;
2471 uschar buffer[2048];
2472
2473 /* Default is no ident. Check whether we want to do an ident check for this
2474 host. */
2475
2476 sender_ident = NULL;
2477 if (rfc1413_query_timeout <= 0 || verify_check_host(&rfc1413_hosts) != OK)
2478   return;
2479
2480 DEBUG(D_ident) debug_printf("doing ident callback\n");
2481
2482 /* Set up a connection to the ident port of the remote host. Bind the local end
2483 to the incoming interface address. If the sender host address is an IPv6
2484 address, the incoming interface address will also be IPv6. */
2485
2486 host_af = (Ustrchr(sender_host_address, ':') == NULL)? AF_INET : AF_INET6;
2487 sock = ip_socket(SOCK_STREAM, host_af);
2488 if (sock < 0) return;
2489
2490 if (ip_bind(sock, host_af, interface_address, 0) < 0)
2491   {
2492   DEBUG(D_ident) debug_printf("bind socket for ident failed: %s\n",
2493     strerror(errno));
2494   goto END_OFF;
2495   }
2496
2497 if (ip_connect(sock, host_af, sender_host_address, port, rfc1413_query_timeout)
2498      < 0)
2499   {
2500   if (errno == ETIMEDOUT && (log_extra_selector & LX_ident_timeout) != 0)
2501     {
2502     log_write(0, LOG_MAIN, "ident connection to %s timed out",
2503       sender_host_address);
2504     }
2505   else
2506     {
2507     DEBUG(D_ident) debug_printf("ident connection to %s failed: %s\n",
2508       sender_host_address, strerror(errno));
2509     }
2510   goto END_OFF;
2511   }
2512
2513 /* Construct and send the query. */
2514
2515 sprintf(CS buffer, "%d , %d\r\n", sender_host_port, interface_port);
2516 qlen = Ustrlen(buffer);
2517 if (send(sock, buffer, qlen, 0) < 0)
2518   {
2519   DEBUG(D_ident) debug_printf("ident send failed: %s\n", strerror(errno));
2520   goto END_OFF;
2521   }
2522
2523 /* Read a response line. We put it into the rest of the buffer, using several
2524 recv() calls if necessary. */
2525
2526 p = buffer + qlen;
2527
2528 for (;;)
2529   {
2530   uschar *pp;
2531   int count;
2532   int size = sizeof(buffer) - (p - buffer);
2533
2534   if (size <= 0) goto END_OFF;   /* Buffer filled without seeing \n. */
2535   count = ip_recv(sock, p, size, rfc1413_query_timeout);
2536   if (count <= 0) goto END_OFF;  /* Read error or EOF */
2537
2538   /* Scan what we just read, to see if we have reached the terminating \r\n. Be
2539   generous, and accept a plain \n terminator as well. The only illegal
2540   character is 0. */
2541
2542   for (pp = p; pp < p + count; pp++)
2543     {
2544     if (*pp == 0) goto END_OFF;   /* Zero octet not allowed */
2545     if (*pp == '\n')
2546       {
2547       if (pp[-1] == '\r') pp--;
2548       *pp = 0;
2549       goto GOT_DATA;             /* Break out of both loops */
2550       }
2551     }
2552
2553   /* Reached the end of the data without finding \n. Let the loop continue to
2554   read some more, if there is room. */
2555
2556   p = pp;
2557   }
2558
2559 GOT_DATA:
2560
2561 /* We have received a line of data. Check it carefully. It must start with the
2562 same two port numbers that we sent, followed by data as defined by the RFC. For
2563 example,
2564
2565   12345 , 25 : USERID : UNIX :root
2566
2567 However, the amount of white space may be different to what we sent. In the
2568 "osname" field there may be several sub-fields, comma separated. The data we
2569 actually want to save follows the third colon. Some systems put leading spaces
2570 in it - we discard those. */
2571
2572 if (sscanf(CS buffer + qlen, "%d , %d%n", &received_sender_port,
2573       &received_interface_port, &n) != 2 ||
2574     received_sender_port != sender_host_port ||
2575     received_interface_port != interface_port)
2576   goto END_OFF;
2577
2578 p = buffer + qlen + n;
2579 while(isspace(*p)) p++;
2580 if (*p++ != ':') goto END_OFF;
2581 while(isspace(*p)) p++;
2582 if (Ustrncmp(p, "USERID", 6) != 0) goto END_OFF;
2583 p += 6;
2584 while(isspace(*p)) p++;
2585 if (*p++ != ':') goto END_OFF;
2586 while (*p != 0 && *p != ':') p++;
2587 if (*p++ == 0) goto END_OFF;
2588 while(isspace(*p)) p++;
2589 if (*p == 0) goto END_OFF;
2590
2591 /* The rest of the line is the data we want. We turn it into printing
2592 characters when we save it, so that it cannot mess up the format of any logging
2593 or Received: lines into which it gets inserted. We keep a maximum of 127
2594 characters. */
2595
2596 sender_ident = string_printing(string_copyn(p, 127));
2597 DEBUG(D_ident) debug_printf("sender_ident = %s\n", sender_ident);
2598
2599 END_OFF:
2600 (void)close(sock);
2601 return;
2602 }
2603
2604
2605
2606
2607 /*************************************************
2608 *      Match host to a single host-list item     *
2609 *************************************************/
2610
2611 /* This function compares a host (name or address) against a single item
2612 from a host list. The host name gets looked up if it is needed and is not
2613 already known. The function is called from verify_check_this_host() via
2614 match_check_list(), which is why most of its arguments are in a single block.
2615
2616 Arguments:
2617   arg            the argument block (see below)
2618   ss             the host-list item
2619   valueptr       where to pass back looked up data, or NULL
2620   error          for error message when returning ERROR
2621
2622 The block contains:
2623   host_name      (a) the host name, or
2624                  (b) NULL, implying use sender_host_name and
2625                        sender_host_aliases, looking them up if required, or
2626                  (c) the empty string, meaning that only IP address matches
2627                        are permitted
2628   host_address   the host address
2629   host_ipv4      the IPv4 address taken from an IPv6 one
2630
2631 Returns:         OK      matched
2632                  FAIL    did not match
2633                  DEFER   lookup deferred
2634                  ERROR   (a) failed to find the host name or IP address, or
2635                          (b) unknown lookup type specified, or
2636                          (c) host name encountered when only IP addresses are
2637                                being matched
2638 */
2639
2640 int
2641 check_host(void *arg, uschar *ss, uschar **valueptr, uschar **error)
2642 {
2643 check_host_block *cb = (check_host_block *)arg;
2644 int mlen = -1;
2645 int maskoffset;
2646 BOOL iplookup = FALSE;
2647 BOOL isquery = FALSE;
2648 BOOL isiponly = cb->host_name != NULL && cb->host_name[0] == 0;
2649 uschar *t;
2650 uschar *semicolon;
2651 uschar **aliases;
2652
2653 /* Optimize for the special case when the pattern is "*". */
2654
2655 if (*ss == '*' && ss[1] == 0) return OK;
2656
2657 /* If the pattern is empty, it matches only in the case when there is no host -
2658 this can occur in ACL checking for SMTP input using the -bs option. In this
2659 situation, the host address is the empty string. */
2660
2661 if (cb->host_address[0] == 0) return (*ss == 0)? OK : FAIL;
2662 if (*ss == 0) return FAIL;
2663
2664 /* If the pattern is precisely "@" then match against the primary host name,
2665 provided that host name matching is permitted; if it's "@[]" match against the
2666 local host's IP addresses. */
2667
2668 if (*ss == '@')
2669   {
2670   if (ss[1] == 0)
2671     {
2672     if (isiponly) return ERROR;
2673     ss = primary_hostname;
2674     }
2675   else if (Ustrcmp(ss, "@[]") == 0)
2676     {
2677     ip_address_item *ip;
2678     for (ip = host_find_interfaces(); ip != NULL; ip = ip->next)
2679       if (Ustrcmp(ip->address, cb->host_address) == 0) return OK;
2680     return FAIL;
2681     }
2682   }
2683
2684 /* If the pattern is an IP address, optionally followed by a bitmask count, do
2685 a (possibly masked) comparision with the current IP address. */
2686
2687 if (string_is_ip_address(ss, &maskoffset) != 0)
2688   return (host_is_in_net(cb->host_address, ss, maskoffset)? OK : FAIL);
2689
2690 /* The pattern is not an IP address. A common error that people make is to omit
2691 one component of an IPv4 address, either by accident, or believing that, for
2692 example, 1.2.3/24 is the same as 1.2.3.0/24, or 1.2.3 is the same as 1.2.3.0,
2693 which it isn't. (Those applications that do accept 1.2.3 as an IP address
2694 interpret it as 1.2.0.3 because the final component becomes 16-bit - this is an
2695 ancient specification.) To aid in debugging these cases, we give a specific
2696 error if the pattern contains only digits and dots or contains a slash preceded
2697 only by digits and dots (a slash at the start indicates a file name and of
2698 course slashes may be present in lookups, but not preceded only by digits and
2699 dots). */
2700
2701 for (t = ss; isdigit(*t) || *t == '.'; t++);
2702 if (*t == 0 || (*t == '/' && t != ss))
2703   {
2704   *error = US"malformed IPv4 address or address mask";
2705   return ERROR;
2706   }
2707
2708 /* See if there is a semicolon in the pattern */
2709
2710 semicolon = Ustrchr(ss, ';');
2711
2712 /* If we are doing an IP address only match, then all lookups must be IP
2713 address lookups, even if there is no "net-". */
2714
2715 if (isiponly)
2716   {
2717   iplookup = semicolon != NULL;
2718   }
2719
2720 /* Otherwise, if the item is of the form net[n]-lookup;<file|query> then it is
2721 a lookup on a masked IP network, in textual form. We obey this code even if we
2722 have already set iplookup, so as to skip over the "net-" prefix and to set the
2723 mask length. The net- stuff really only applies to single-key lookups where the
2724 key is implicit. For query-style lookups the key is specified in the query.
2725 From release 4.30, the use of net- for query style is no longer needed, but we
2726 retain it for backward compatibility. */
2727
2728 if (Ustrncmp(ss, "net", 3) == 0 && semicolon != NULL)
2729   {
2730   mlen = 0;
2731   for (t = ss + 3; isdigit(*t); t++) mlen = mlen * 10 + *t - '0';
2732   if (mlen == 0 && t == ss+3) mlen = -1;  /* No mask supplied */
2733   iplookup = (*t++ == '-');
2734   }
2735 else t = ss;
2736
2737 /* Do the IP address lookup if that is indeed what we have */
2738
2739 if (iplookup)
2740   {
2741   int insize;
2742   int search_type;
2743   int incoming[4];
2744   void *handle;
2745   uschar *filename, *key, *result;
2746   uschar buffer[64];
2747
2748   /* Find the search type */
2749
2750   search_type = search_findtype(t, semicolon - t);
2751
2752   if (search_type < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
2753     search_error_message);
2754
2755   /* Adjust parameters for the type of lookup. For a query-style lookup, there
2756   is no file name, and the "key" is just the query. For query-style with a file
2757   name, we have to fish the file off the start of the query. For a single-key
2758   lookup, the key is the current IP address, masked appropriately, and
2759   reconverted to text form, with the mask appended. For IPv6 addresses, specify
2760   dot separators instead of colons, except when the lookup type is "iplsearch".
2761   */
2762
2763   if (mac_islookup(search_type, lookup_absfilequery))
2764     {
2765     filename = semicolon + 1;
2766     key = filename;
2767     while (*key != 0 && !isspace(*key)) key++;
2768     filename = string_copyn(filename, key - filename);
2769     while (isspace(*key)) key++;
2770     }
2771   else if (mac_islookup(search_type, lookup_querystyle))
2772     {
2773     filename = NULL;
2774     key = semicolon + 1;
2775     }
2776   else   /* Single-key style */
2777     {
2778     int sep = (Ustrcmp(lookup_list[search_type]->name, "iplsearch") == 0)?
2779       ':' : '.';
2780     insize = host_aton(cb->host_address, incoming);
2781     host_mask(insize, incoming, mlen);
2782     (void)host_nmtoa(insize, incoming, mlen, buffer, sep);
2783     key = buffer;
2784     filename = semicolon + 1;
2785     }
2786
2787   /* Now do the actual lookup; note that there is no search_close() because
2788   of the caching arrangements. */
2789
2790   handle = search_open(filename, search_type, 0, NULL, NULL);
2791   if (handle == NULL) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
2792     search_error_message);
2793   result = search_find(handle, filename, key, -1, NULL, 0, 0, NULL);
2794   if (valueptr != NULL) *valueptr = result;
2795   return (result != NULL)? OK : search_find_defer? DEFER: FAIL;
2796   }
2797
2798 /* The pattern is not an IP address or network reference of any kind. That is,
2799 it is a host name pattern. If this is an IP only match, there's an error in the
2800 host list. */
2801
2802 if (isiponly)
2803   {
2804   *error = US"cannot match host name in match_ip list";
2805   return ERROR;
2806   }
2807
2808 /* Check the characters of the pattern to see if they comprise only letters,
2809 digits, full stops, and hyphens (the constituents of domain names). Allow
2810 underscores, as they are all too commonly found. Sigh. Also, if
2811 allow_utf8_domains is set, allow top-bit characters. */
2812
2813 for (t = ss; *t != 0; t++)
2814   if (!isalnum(*t) && *t != '.' && *t != '-' && *t != '_' &&
2815       (!allow_utf8_domains || *t < 128)) break;
2816
2817 /* If the pattern is a complete domain name, with no fancy characters, look up
2818 its IP address and match against that. Note that a multi-homed host will add
2819 items to the chain. */
2820
2821 if (*t == 0)
2822   {
2823   int rc;
2824   host_item h;
2825   h.next = NULL;
2826   h.name = ss;
2827   h.address = NULL;
2828   h.mx = MX_NONE;
2829
2830   rc = host_find_byname(&h, NULL, HOST_FIND_QUALIFY_SINGLE, NULL, FALSE);
2831   if (rc == HOST_FOUND || rc == HOST_FOUND_LOCAL)
2832     {
2833     host_item *hh;
2834     for (hh = &h; hh != NULL; hh = hh->next)
2835       {
2836       if (host_is_in_net(hh->address, cb->host_address, 0)) return OK;
2837       }
2838     return FAIL;
2839     }
2840   if (rc == HOST_FIND_AGAIN) return DEFER;
2841   *error = string_sprintf("failed to find IP address for %s", ss);
2842   return ERROR;
2843   }
2844
2845 /* Almost all subsequent comparisons require the host name, and can be done
2846 using the general string matching function. When this function is called for
2847 outgoing hosts, the name is always given explicitly. If it is NULL, it means we
2848 must use sender_host_name and its aliases, looking them up if necessary. */
2849
2850 if (cb->host_name != NULL)   /* Explicit host name given */
2851   return match_check_string(cb->host_name, ss, -1, TRUE, TRUE, TRUE,
2852     valueptr);
2853
2854 /* Host name not given; in principle we need the sender host name and its
2855 aliases. However, for query-style lookups, we do not need the name if the
2856 query does not contain $sender_host_name. From release 4.23, a reference to
2857 $sender_host_name causes it to be looked up, so we don't need to do the lookup
2858 on spec. */
2859
2860 if ((semicolon = Ustrchr(ss, ';')) != NULL)
2861   {
2862   uschar *affix;
2863   int partial, affixlen, starflags, id;
2864
2865   *semicolon = 0;
2866   id = search_findtype_partial(ss, &partial, &affix, &affixlen, &starflags);
2867   *semicolon=';';
2868
2869   if (id < 0)                           /* Unknown lookup type */
2870     {
2871     log_write(0, LOG_MAIN|LOG_PANIC, "%s in host list item \"%s\"",
2872       search_error_message, ss);
2873     return DEFER;
2874     }
2875   isquery = mac_islookup(id, lookup_querystyle|lookup_absfilequery);
2876   }
2877
2878 if (isquery)
2879   {
2880   switch(match_check_string(US"", ss, -1, TRUE, TRUE, TRUE, valueptr))
2881     {
2882     case OK:    return OK;
2883     case DEFER: return DEFER;
2884     default:    return FAIL;
2885     }
2886   }
2887
2888 /* Not a query-style lookup; must ensure the host name is present, and then we
2889 do a check on the name and all its aliases. */
2890
2891 if (sender_host_name == NULL)
2892   {
2893   HDEBUG(D_host_lookup)
2894     debug_printf("sender host name required, to match against %s\n", ss);
2895   if (host_lookup_failed || host_name_lookup() != OK)
2896     {
2897     *error = string_sprintf("failed to find host name for %s",
2898       sender_host_address);;
2899     return ERROR;
2900     }
2901   host_build_sender_fullhost();
2902   }
2903
2904 /* Match on the sender host name, using the general matching function */
2905
2906 switch(match_check_string(sender_host_name, ss, -1, TRUE, TRUE, TRUE,
2907        valueptr))
2908   {
2909   case OK:    return OK;
2910   case DEFER: return DEFER;
2911   }
2912
2913 /* If there are aliases, try matching on them. */
2914
2915 aliases = sender_host_aliases;
2916 while (*aliases != NULL)
2917   {
2918   switch(match_check_string(*aliases++, ss, -1, TRUE, TRUE, TRUE, valueptr))
2919     {
2920     case OK:    return OK;
2921     case DEFER: return DEFER;
2922     }
2923   }
2924 return FAIL;
2925 }
2926
2927
2928
2929
2930 /*************************************************
2931 *    Check a specific host matches a host list   *
2932 *************************************************/
2933
2934 /* This function is passed a host list containing items in a number of
2935 different formats and the identity of a host. Its job is to determine whether
2936 the given host is in the set of hosts defined by the list. The host name is
2937 passed as a pointer so that it can be looked up if needed and not already
2938 known. This is commonly the case when called from verify_check_host() to check
2939 an incoming connection. When called from elsewhere the host name should usually
2940 be set.
2941
2942 This function is now just a front end to match_check_list(), which runs common
2943 code for scanning a list. We pass it the check_host() function to perform a
2944 single test.
2945
2946 Arguments:
2947   listptr              pointer to the host list
2948   cache_bits           pointer to cache for named lists, or NULL
2949   host_name            the host name or NULL, implying use sender_host_name and
2950                          sender_host_aliases, looking them up if required
2951   host_address         the IP address
2952   valueptr             if not NULL, data from a lookup is passed back here
2953
2954 Returns:    OK    if the host is in the defined set
2955             FAIL  if the host is not in the defined set,
2956             DEFER if a data lookup deferred (not a host lookup)
2957
2958 If the host name was needed in order to make a comparison, and could not be
2959 determined from the IP address, the result is FAIL unless the item
2960 "+allow_unknown" was met earlier in the list, in which case OK is returned. */
2961
2962 int
2963 verify_check_this_host(uschar **listptr, unsigned int *cache_bits,
2964   uschar *host_name, uschar *host_address, uschar **valueptr)
2965 {
2966 int rc;
2967 unsigned int *local_cache_bits = cache_bits;
2968 uschar *save_host_address = deliver_host_address;
2969 check_host_block cb;
2970 cb.host_name = host_name;
2971 cb.host_address = host_address;
2972
2973 if (valueptr != NULL) *valueptr = NULL;
2974
2975 /* If the host address starts off ::ffff: it is an IPv6 address in
2976 IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2977 addresses. */
2978
2979 cb.host_ipv4 = (Ustrncmp(host_address, "::ffff:", 7) == 0)?
2980   host_address + 7 : host_address;
2981
2982 /* During the running of the check, put the IP address into $host_address. In
2983 the case of calls from the smtp transport, it will already be there. However,
2984 in other calls (e.g. when testing ignore_target_hosts), it won't. Just to be on
2985 the safe side, any existing setting is preserved, though as I write this
2986 (November 2004) I can't see any cases where it is actually needed. */
2987
2988 deliver_host_address = host_address;
2989 rc = match_check_list(
2990        listptr,                                /* the list */
2991        0,                                      /* separator character */
2992        &hostlist_anchor,                       /* anchor pointer */
2993        &local_cache_bits,                      /* cache pointer */
2994        check_host,                             /* function for testing */
2995        &cb,                                    /* argument for function */
2996        MCL_HOST,                               /* type of check */
2997        (host_address == sender_host_address)?
2998          US"host" : host_address,              /* text for debugging */
2999        valueptr);                              /* where to pass back data */
3000 deliver_host_address = save_host_address;
3001 return rc;
3002 }
3003
3004
3005
3006
3007 /*************************************************
3008 *      Check the remote host matches a list      *
3009 *************************************************/
3010
3011 /* This is a front end to verify_check_this_host(), created because checking
3012 the remote host is a common occurrence. With luck, a good compiler will spot
3013 the tail recursion and optimize it. If there's no host address, this is
3014 command-line SMTP input - check against an empty string for the address.
3015
3016 Arguments:
3017   listptr              pointer to the host list
3018
3019 Returns:               the yield of verify_check_this_host(),
3020                        i.e. OK, FAIL, or DEFER
3021 */
3022
3023 int
3024 verify_check_host(uschar **listptr)
3025 {
3026 return verify_check_this_host(listptr, sender_host_cache, NULL,
3027   (sender_host_address == NULL)? US"" : sender_host_address, NULL);
3028 }
3029
3030
3031
3032
3033
3034 /*************************************************
3035 *              Invert an IP address              *
3036 *************************************************/
3037
3038 /* Originally just used for DNS xBL lists, now also used for the
3039 reverse_ip expansion operator.
3040
3041 Arguments:
3042   buffer         where to put the answer
3043   address        the address to invert
3044 */
3045
3046 void
3047 invert_address(uschar *buffer, uschar *address)
3048 {
3049 int bin[4];
3050 uschar *bptr = buffer;
3051
3052 /* If this is an IPv4 address mapped into IPv6 format, adjust the pointer
3053 to the IPv4 part only. */
3054
3055 if (Ustrncmp(address, "::ffff:", 7) == 0) address += 7;
3056
3057 /* Handle IPv4 address: when HAVE_IPV6 is false, the result of host_aton() is
3058 always 1. */
3059
3060 if (host_aton(address, bin) == 1)
3061   {
3062   int i;
3063   int x = bin[0];
3064   for (i = 0; i < 4; i++)
3065     {
3066     sprintf(CS bptr, "%d.", x & 255);
3067     while (*bptr) bptr++;
3068     x >>= 8;
3069     }
3070   }
3071
3072 /* Handle IPv6 address. Actually, as far as I know, there are no IPv6 addresses
3073 in any DNS black lists, and the format in which they will be looked up is
3074 unknown. This is just a guess. */
3075
3076 #if HAVE_IPV6
3077 else
3078   {
3079   int i, j;
3080   for (j = 3; j >= 0; j--)
3081     {
3082     int x = bin[j];
3083     for (i = 0; i < 8; i++)
3084       {
3085       sprintf(CS bptr, "%x.", x & 15);
3086       while (*bptr) bptr++;
3087       x >>= 4;
3088       }
3089     }
3090   }
3091 #endif
3092
3093 /* Remove trailing period -- this is needed so that both arbitrary
3094 dnsbl keydomains and inverted addresses may be combined with the
3095 same format string, "%s.%s" */
3096
3097 *(--bptr) = 0;
3098 }
3099
3100
3101
3102 /*************************************************
3103 *          Perform a single dnsbl lookup         *
3104 *************************************************/
3105
3106 /* This function is called from verify_check_dnsbl() below. It is also called
3107 recursively from within itself when domain and domain_txt are different
3108 pointers, in order to get the TXT record from the alternate domain.
3109
3110 Arguments:
3111   domain         the outer dnsbl domain
3112   domain_txt     alternate domain to lookup TXT record on success; when the
3113                    same domain is to be used, domain_txt == domain (that is,
3114                    the pointers must be identical, not just the text)
3115   keydomain      the current keydomain (for debug message)
3116   prepend        subdomain to lookup (like keydomain, but
3117                    reversed if IP address)
3118   iplist         the list of matching IP addresses, or NULL for "any"
3119   bitmask        true if bitmask matching is wanted
3120   match_type     condition for 'succeed' result
3121                    0 => Any RR in iplist     (=)
3122                    1 => No RR in iplist      (!=)
3123                    2 => All RRs in iplist    (==)
3124                    3 => Some RRs not in iplist (!==)
3125                    the two bits are defined as MT_NOT and MT_ALL
3126   defer_return   what to return for a defer
3127
3128 Returns:         OK if lookup succeeded
3129                  FAIL if not
3130 */
3131
3132 static int
3133 one_check_dnsbl(uschar *domain, uschar *domain_txt, uschar *keydomain,
3134   uschar *prepend, uschar *iplist, BOOL bitmask, int match_type,
3135   int defer_return)
3136 {
3137 dns_answer dnsa;
3138 dns_scan dnss;
3139 tree_node *t;
3140 dnsbl_cache_block *cb;
3141 int old_pool = store_pool;
3142 uschar query[256];         /* DNS domain max length */
3143
3144 /* Construct the specific query domainname */
3145
3146 if (!string_format(query, sizeof(query), "%s.%s", prepend, domain))
3147   {
3148   log_write(0, LOG_MAIN|LOG_PANIC, "dnslist query is too long "
3149     "(ignored): %s...", query);
3150   return FAIL;
3151   }
3152
3153 /* Look for this query in the cache. */
3154
3155 t = tree_search(dnsbl_cache, query);
3156
3157 /* If not cached from a previous lookup, we must do a DNS lookup, and
3158 cache the result in permanent memory. */
3159
3160 if (t == NULL)
3161   {
3162   store_pool = POOL_PERM;
3163
3164   /* Set up a tree entry to cache the lookup */
3165
3166   t = store_get(sizeof(tree_node) + Ustrlen(query));
3167   Ustrcpy(t->name, query);
3168   t->data.ptr = cb = store_get(sizeof(dnsbl_cache_block));
3169   (void)tree_insertnode(&dnsbl_cache, t);
3170
3171   /* Do the DNS loopup . */
3172
3173   HDEBUG(D_dnsbl) debug_printf("new DNS lookup for %s\n", query);
3174   cb->rc = dns_basic_lookup(&dnsa, query, T_A);
3175   cb->text_set = FALSE;
3176   cb->text = NULL;
3177   cb->rhs = NULL;
3178
3179   /* If the lookup succeeded, cache the RHS address. The code allows for
3180   more than one address - this was for complete generality and the possible
3181   use of A6 records. However, A6 records have been reduced to experimental
3182   status (August 2001) and may die out. So they may never get used at all,
3183   let alone in dnsbl records. However, leave the code here, just in case.
3184
3185   Quite apart from one A6 RR generating multiple addresses, there are DNS
3186   lists that return more than one A record, so we must handle multiple
3187   addresses generated in that way as well. */
3188
3189   if (cb->rc == DNS_SUCCEED)
3190     {
3191     dns_record *rr;
3192     dns_address **addrp = &(cb->rhs);
3193     for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
3194          rr != NULL;
3195          rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
3196       {
3197       if (rr->type == T_A)
3198         {
3199         dns_address *da = dns_address_from_rr(&dnsa, rr);
3200         if (da != NULL)
3201           {
3202           *addrp = da;
3203           while (da->next != NULL) da = da->next;
3204           addrp = &(da->next);
3205           }
3206         }
3207       }
3208
3209     /* If we didn't find any A records, change the return code. This can
3210     happen when there is a CNAME record but there are no A records for what
3211     it points to. */
3212
3213     if (cb->rhs == NULL) cb->rc = DNS_NODATA;
3214     }
3215
3216   store_pool = old_pool;
3217   }
3218
3219 /* Previous lookup was cached */
3220
3221 else
3222   {
3223   HDEBUG(D_dnsbl) debug_printf("using result of previous DNS lookup\n");
3224   cb = t->data.ptr;
3225   }
3226
3227 /* We now have the result of the DNS lookup, either newly done, or cached
3228 from a previous call. If the lookup succeeded, check against the address
3229 list if there is one. This may be a positive equality list (introduced by
3230 "="), a negative equality list (introduced by "!="), a positive bitmask
3231 list (introduced by "&"), or a negative bitmask list (introduced by "!&").*/
3232
3233 if (cb->rc == DNS_SUCCEED)
3234   {
3235   dns_address *da = NULL;
3236   uschar *addlist = cb->rhs->address;
3237
3238   /* For A and AAAA records, there may be multiple addresses from multiple
3239   records. For A6 records (currently not expected to be used) there may be
3240   multiple addresses from a single record. */
3241
3242   for (da = cb->rhs->next; da != NULL; da = da->next)
3243     addlist = string_sprintf("%s, %s", addlist, da->address);
3244
3245   HDEBUG(D_dnsbl) debug_printf("DNS lookup for %s succeeded (yielding %s)\n",
3246     query, addlist);
3247
3248   /* Address list check; this can be either for equality, or via a bitmask.
3249   In the latter case, all the bits must match. */
3250
3251   if (iplist != NULL)
3252     {
3253     for (da = cb->rhs; da != NULL; da = da->next)
3254       {
3255       int ipsep = ',';
3256       uschar ip[46];
3257       uschar *ptr = iplist;
3258       uschar *res;
3259
3260       /* Handle exact matching */
3261
3262       if (!bitmask)
3263         {
3264         while ((res = string_nextinlist(&ptr, &ipsep, ip, sizeof(ip))) != NULL)
3265           {
3266           if (Ustrcmp(CS da->address, ip) == 0) break;
3267           }
3268         }
3269
3270       /* Handle bitmask matching */
3271
3272       else
3273         {
3274         int address[4];
3275         int mask = 0;
3276
3277         /* At present, all known DNS blocking lists use A records, with
3278         IPv4 addresses on the RHS encoding the information they return. I
3279         wonder if this will linger on as the last vestige of IPv4 when IPv6
3280         is ubiquitous? Anyway, for now we use paranoia code to completely
3281         ignore IPv6 addresses. The default mask is 0, which always matches.
3282         We change this only for IPv4 addresses in the list. */
3283
3284         if (host_aton(da->address, address) == 1) mask = address[0];
3285
3286         /* Scan the returned addresses, skipping any that are IPv6 */
3287
3288         while ((res = string_nextinlist(&ptr, &ipsep, ip, sizeof(ip))) != NULL)
3289           {
3290           if (host_aton(ip, address) != 1) continue;
3291           if ((address[0] & mask) == address[0]) break;
3292           }
3293         }
3294
3295       /* If either
3296
3297          (a) An IP address in an any ('=') list matched, or
3298          (b) No IP address in an all ('==') list matched
3299
3300       then we're done searching. */
3301
3302       if (((match_type & MT_ALL) != 0) == (res == NULL)) break;
3303       }
3304
3305     /* If da == NULL, either
3306
3307        (a) No IP address in an any ('=') list matched, or
3308        (b) An IP address in an all ('==') list didn't match
3309
3310     so behave as if the DNSBL lookup had not succeeded, i.e. the host is not on
3311     the list. */
3312
3313     if ((match_type == MT_NOT || match_type == MT_ALL) != (da == NULL))
3314       {
3315       HDEBUG(D_dnsbl)
3316         {
3317         uschar *res = NULL;
3318         switch(match_type)
3319           {
3320           case 0:
3321           res = US"was no match";
3322           break;
3323           case MT_NOT:
3324           res = US"was an exclude match";
3325           break;
3326           case MT_ALL:
3327           res = US"was an IP address that did not match";
3328           break;
3329           case MT_NOT|MT_ALL:
3330           res = US"were no IP addresses that did not match";
3331           break;
3332           }
3333         debug_printf("=> but we are not accepting this block class because\n");
3334         debug_printf("=> there %s for %s%c%s\n",
3335           res,
3336           ((match_type & MT_ALL) == 0)? "" : "=",
3337           bitmask? '&' : '=', iplist);
3338         }
3339       return FAIL;
3340       }
3341     }
3342
3343   /* Either there was no IP list, or the record matched, implying that the
3344   domain is on the list. We now want to find a corresponding TXT record. If an
3345   alternate domain is specified for the TXT record, call this function
3346   recursively to look that up; this has the side effect of re-checking that
3347   there is indeed an A record at the alternate domain. */
3348
3349   if (domain_txt != domain)
3350     return one_check_dnsbl(domain_txt, domain_txt, keydomain, prepend, NULL,
3351       FALSE, match_type, defer_return);
3352
3353   /* If there is no alternate domain, look up a TXT record in the main domain
3354   if it has not previously been cached. */
3355
3356   if (!cb->text_set)
3357     {
3358     cb->text_set = TRUE;
3359     if (dns_basic_lookup(&dnsa, query, T_TXT) == DNS_SUCCEED)
3360       {
3361       dns_record *rr;
3362       for (rr = dns_next_rr(&dnsa, &dnss, RESET_ANSWERS);
3363            rr != NULL;
3364            rr = dns_next_rr(&dnsa, &dnss, RESET_NEXT))
3365         if (rr->type == T_TXT) break;
3366       if (rr != NULL)
3367         {
3368         int len = (rr->data)[0];
3369         if (len > 511) len = 127;
3370         store_pool = POOL_PERM;
3371         cb->text = string_sprintf("%.*s", len, (const uschar *)(rr->data+1));
3372         store_pool = old_pool;
3373         }
3374       }
3375     }
3376
3377   dnslist_value = addlist;
3378   dnslist_text = cb->text;
3379   return OK;
3380   }
3381
3382 /* There was a problem with the DNS lookup */
3383
3384 if (cb->rc != DNS_NOMATCH && cb->rc != DNS_NODATA)
3385   {
3386   log_write(L_dnslist_defer, LOG_MAIN,
3387     "DNS list lookup defer (probably timeout) for %s: %s", query,
3388     (defer_return == OK)?   US"assumed in list" :
3389     (defer_return == FAIL)? US"assumed not in list" :
3390                             US"returned DEFER");
3391   return defer_return;
3392   }
3393
3394 /* No entry was found in the DNS; continue for next domain */
3395
3396 HDEBUG(D_dnsbl)
3397   {
3398   debug_printf("DNS lookup for %s failed\n", query);
3399   debug_printf("=> that means %s is not listed at %s\n",
3400      keydomain, domain);
3401   }
3402
3403 return FAIL;
3404 }
3405
3406
3407
3408
3409 /*************************************************
3410 *        Check host against DNS black lists      *
3411 *************************************************/
3412
3413 /* This function runs checks against a list of DNS black lists, until one
3414 matches. Each item on the list can be of the form
3415
3416   domain=ip-address/key
3417
3418 The domain is the right-most domain that is used for the query, for example,
3419 blackholes.mail-abuse.org. If the IP address is present, there is a match only
3420 if the DNS lookup returns a matching IP address. Several addresses may be
3421 given, comma-separated, for example: x.y.z=127.0.0.1,127.0.0.2.
3422
3423 If no key is given, what is looked up in the domain is the inverted IP address
3424 of the current client host. If a key is given, it is used to construct the
3425 domain for the lookup. For example:
3426
3427   dsn.rfc-ignorant.org/$sender_address_domain
3428
3429 After finding a match in the DNS, the domain is placed in $dnslist_domain, and
3430 then we check for a TXT record for an error message, and if found, save its
3431 value in $dnslist_text. We also cache everything in a tree, to optimize
3432 multiple lookups.
3433
3434 The TXT record is normally looked up in the same domain as the A record, but
3435 when many lists are combined in a single DNS domain, this will not be a very
3436 specific message. It is possible to specify a different domain for looking up
3437 TXT records; this is given before the main domain, comma-separated. For
3438 example:
3439
3440   dnslists = http.dnsbl.sorbs.net,dnsbl.sorbs.net=127.0.0.2 : \
3441              socks.dnsbl.sorbs.net,dnsbl.sorbs.net=127.0.0.3
3442
3443 The caching ensures that only one lookup in dnsbl.sorbs.net is done.
3444
3445 Note: an address for testing RBL is 192.203.178.39
3446 Note: an address for testing DUL is 192.203.178.4
3447 Note: a domain for testing RFCI is example.tld.dsn.rfc-ignorant.org
3448
3449 Arguments:
3450   listptr      the domain/address/data list
3451
3452 Returns:    OK      successful lookup (i.e. the address is on the list), or
3453                       lookup deferred after +include_unknown
3454             FAIL    name not found, or no data found for the given type, or
3455                       lookup deferred after +exclude_unknown (default)
3456             DEFER   lookup failure, if +defer_unknown was set
3457 */
3458
3459 int
3460 verify_check_dnsbl(uschar **listptr)
3461 {
3462 int sep = 0;
3463 int defer_return = FAIL;
3464 uschar *list = *listptr;
3465 uschar *domain;
3466 uschar *s;
3467 uschar buffer[1024];
3468 uschar revadd[128];        /* Long enough for IPv6 address */
3469
3470 /* Indicate that the inverted IP address is not yet set up */
3471
3472 revadd[0] = 0;
3473
3474 /* In case this is the first time the DNS resolver is being used. */
3475
3476 dns_init(FALSE, FALSE);
3477
3478 /* Loop through all the domains supplied, until something matches */
3479
3480 while ((domain = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
3481   {
3482   int rc;
3483   BOOL bitmask = FALSE;
3484   int match_type = 0;
3485   uschar *domain_txt;
3486   uschar *comma;
3487   uschar *iplist;
3488   uschar *key;
3489
3490   HDEBUG(D_dnsbl) debug_printf("DNS list check: %s\n", domain);
3491
3492   /* Deal with special values that change the behaviour on defer */
3493
3494   if (domain[0] == '+')
3495     {
3496     if      (strcmpic(domain, US"+include_unknown") == 0) defer_return = OK;
3497     else if (strcmpic(domain, US"+exclude_unknown") == 0) defer_return = FAIL;
3498     else if (strcmpic(domain, US"+defer_unknown") == 0)   defer_return = DEFER;
3499     else
3500       log_write(0, LOG_MAIN|LOG_PANIC, "unknown item in dnslist (ignored): %s",
3501         domain);
3502     continue;
3503     }
3504
3505   /* See if there's explicit data to be looked up */
3506
3507   key = Ustrchr(domain, '/');
3508   if (key != NULL) *key++ = 0;
3509
3510   /* See if there's a list of addresses supplied after the domain name. This is
3511   introduced by an = or a & character; if preceded by = we require all matches
3512   and if preceded by ! we invert the result. */
3513
3514   iplist = Ustrchr(domain, '=');
3515   if (iplist == NULL)
3516     {
3517     bitmask = TRUE;
3518     iplist = Ustrchr(domain, '&');
3519     }
3520
3521   if (iplist != NULL)                          /* Found either = or & */
3522     {
3523     if (iplist > domain && iplist[-1] == '!')  /* Handle preceding ! */
3524       {
3525       match_type |= MT_NOT;
3526       iplist[-1] = 0;
3527       }
3528
3529     *iplist++ = 0;                             /* Terminate domain, move on */
3530
3531     /* If we found = (bitmask == FALSE), check for == or =& */
3532
3533     if (!bitmask && (*iplist == '=' || *iplist == '&'))
3534       {
3535       bitmask = *iplist++ == '&';
3536       match_type |= MT_ALL;
3537       }
3538     }
3539
3540   /* If there is a comma in the domain, it indicates that a second domain for
3541   looking up TXT records is provided, before the main domain. Otherwise we must
3542   set domain_txt == domain. */
3543
3544   domain_txt = domain;
3545   comma = Ustrchr(domain, ',');
3546   if (comma != NULL)
3547     {
3548     *comma++ = 0;
3549     domain = comma;
3550     }
3551
3552   /* Check that what we have left is a sensible domain name. There is no reason
3553   why these domains should in fact use the same syntax as hosts and email
3554   domains, but in practice they seem to. However, there is little point in
3555   actually causing an error here, because that would no doubt hold up incoming
3556   mail. Instead, I'll just log it. */
3557
3558   for (s = domain; *s != 0; s++)
3559     {
3560     if (!isalnum(*s) && *s != '-' && *s != '.' && *s != '_')
3561       {
3562       log_write(0, LOG_MAIN, "dnslists domain \"%s\" contains "
3563         "strange characters - is this right?", domain);
3564       break;
3565       }
3566     }
3567
3568   /* Check the alternate domain if present */
3569
3570   if (domain_txt != domain) for (s = domain_txt; *s != 0; s++)
3571     {
3572     if (!isalnum(*s) && *s != '-' && *s != '.' && *s != '_')
3573       {
3574       log_write(0, LOG_MAIN, "dnslists domain \"%s\" contains "
3575         "strange characters - is this right?", domain_txt);
3576       break;
3577       }
3578     }
3579
3580   /* If there is no key string, construct the query by adding the domain name
3581   onto the inverted host address, and perform a single DNS lookup. */
3582
3583   if (key == NULL)
3584     {
3585     if (sender_host_address == NULL) return FAIL;    /* can never match */
3586     if (revadd[0] == 0) invert_address(revadd, sender_host_address);
3587     rc = one_check_dnsbl(domain, domain_txt, sender_host_address, revadd,
3588       iplist, bitmask, match_type, defer_return);
3589     if (rc == OK)
3590       {
3591       dnslist_domain = string_copy(domain_txt);
3592       dnslist_matched = string_copy(sender_host_address);
3593       HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
3594         sender_host_address, dnslist_domain);
3595       }
3596     if (rc != FAIL) return rc;     /* OK or DEFER */
3597     }
3598
3599   /* If there is a key string, it can be a list of domains or IP addresses to
3600   be concatenated with the main domain. */
3601
3602   else
3603     {
3604     int keysep = 0;
3605     BOOL defer = FALSE;
3606     uschar *keydomain;
3607     uschar keybuffer[256];
3608     uschar keyrevadd[128];
3609
3610     while ((keydomain = string_nextinlist(&key, &keysep, keybuffer,
3611             sizeof(keybuffer))) != NULL)
3612       {
3613       uschar *prepend = keydomain;
3614
3615       if (string_is_ip_address(keydomain, NULL) != 0)
3616         {
3617         invert_address(keyrevadd, keydomain);
3618         prepend = keyrevadd;
3619         }
3620
3621       rc = one_check_dnsbl(domain, domain_txt, keydomain, prepend, iplist,
3622         bitmask, match_type, defer_return);
3623
3624       if (rc == OK)
3625         {
3626         dnslist_domain = string_copy(domain_txt);
3627         dnslist_matched = string_copy(keydomain);
3628         HDEBUG(D_dnsbl) debug_printf("=> that means %s is listed at %s\n",
3629           keydomain, dnslist_domain);
3630         return OK;
3631         }
3632
3633       /* If the lookup deferred, remember this fact. We keep trying the rest
3634       of the list to see if we get a useful result, and if we don't, we return
3635       DEFER at the end. */
3636
3637       if (rc == DEFER) defer = TRUE;
3638       }    /* continue with next keystring domain/address */
3639
3640     if (defer) return DEFER;
3641     }
3642   }        /* continue with next dnsdb outer domain */
3643
3644 return FAIL;
3645 }
3646
3647 /* End of verify.c */