fc203ac59853c728981385cb0385a385ef13e331
[users/heiko/exim.git] / src / src / expand.c
1 /* $Cambridge: exim/src/src/expand.c,v 1.95 2008/05/22 10:56:27 fanf2 Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2007 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 /* Recursively called function */
17
18 static uschar *expand_string_internal(uschar *, BOOL, uschar **, BOOL);
19
20 #ifdef STAND_ALONE
21 #ifndef SUPPORT_CRYPTEQ
22 #define SUPPORT_CRYPTEQ
23 #endif
24 #endif
25
26 #ifdef LOOKUP_LDAP
27 #include "lookups/ldap.h"
28 #endif
29
30 #ifdef SUPPORT_CRYPTEQ
31 #ifdef CRYPT_H
32 #include <crypt.h>
33 #endif
34 #ifndef HAVE_CRYPT16
35 extern char* crypt16(char*, char*);
36 #endif
37 #endif
38
39 /* The handling of crypt16() is a mess. I will record below the analysis of the
40 mess that was sent to me. We decided, however, to make changing this very low
41 priority, because in practice people are moving away from the crypt()
42 algorithms nowadays, so it doesn't seem worth it.
43
44 <quote>
45 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
46 the first 8 characters of the password using a 20-round version of crypt
47 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
48 or an empty block if the password is less than 9 characters, using a
49 20-round version of crypt and the same salt as was used for the first
50 block.  Charaters after the first 16 are ignored.  It always generates
51 a 16-byte hash, which is expressed together with the salt as a string
52 of 24 base 64 digits.  Here are some links to peruse:
53
54         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
55         http://seclists.org/bugtraq/1999/Mar/0076.html
56
57 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
58 and OSF/1.  This is the same as the standard crypt if given a password
59 of 8 characters or less.  If given more, it first does the same as crypt
60 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
61 using as salt the first two base 64 digits from the first hash block.
62 If the password is more than 16 characters then it crypts the 17th to 24th
63 characters using as salt the first two base 64 digits from the second hash
64 block.  And so on: I've seen references to it cutting off the password at
65 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
66
67         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
68         http://seclists.org/bugtraq/1999/Mar/0109.html
69         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
70              TET1_html/sec.c222.html#no_id_208
71
72 Exim has something it calls "crypt16".  It will either use a native
73 crypt16 or its own implementation.  A native crypt16 will presumably
74 be the one that I called "crypt16" above.  The internal "crypt16"
75 function, however, is a two-block-maximum implementation of what I called
76 "bigcrypt".  The documentation matches the internal code.
77
78 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
79 that crypt16 and bigcrypt were different things.
80
81 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
82 to whatever it is using under that name.  This unfortunately sets a
83 precedent for using "{crypt16}" to identify two incompatible algorithms
84 whose output can't be distinguished.  With "{crypt16}" thus rendered
85 ambiguous, I suggest you deprecate it and invent two new identifiers
86 for the two algorithms.
87
88 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
89 of the password separately means they can be cracked separately, so
90 the double-length hash only doubles the cracking effort instead of
91 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
92 bcrypt ({CRYPT}$2a$).
93 </quote>
94 */
95
96
97
98
99 /*************************************************
100 *            Local statics and tables            *
101 *************************************************/
102
103 /* Table of item names, and corresponding switch numbers. The names must be in
104 alphabetical order. */
105
106 static uschar *item_table[] = {
107   US"dlfunc",
108   US"extract",
109   US"filter",
110   US"hash",
111   US"hmac",
112   US"if",
113   US"length",
114   US"lookup",
115   US"map",
116   US"nhash",
117   US"perl",
118   US"prvs",
119   US"prvscheck",
120   US"readfile",
121   US"readsocket",
122   US"reduce",
123   US"run",
124   US"sg",
125   US"substr",
126   US"tr" };
127
128 enum {
129   EITEM_DLFUNC,
130   EITEM_EXTRACT,
131   EITEM_FILTER,
132   EITEM_HASH,
133   EITEM_HMAC,
134   EITEM_IF,
135   EITEM_LENGTH,
136   EITEM_LOOKUP,
137   EITEM_MAP,
138   EITEM_NHASH,
139   EITEM_PERL,
140   EITEM_PRVS,
141   EITEM_PRVSCHECK,
142   EITEM_READFILE,
143   EITEM_READSOCK,
144   EITEM_REDUCE,
145   EITEM_RUN,
146   EITEM_SG,
147   EITEM_SUBSTR,
148   EITEM_TR };
149
150 /* Tables of operator names, and corresponding switch numbers. The names must be
151 in alphabetical order. There are two tables, because underscore is used in some
152 cases to introduce arguments, whereas for other it is part of the name. This is
153 an historical mis-design. */
154
155 static uschar *op_table_underscore[] = {
156   US"from_utf8",
157   US"local_part",
158   US"quote_local_part",
159   US"time_eval",
160   US"time_interval"};
161
162 enum {
163   EOP_FROM_UTF8,
164   EOP_LOCAL_PART,
165   EOP_QUOTE_LOCAL_PART,
166   EOP_TIME_EVAL,
167   EOP_TIME_INTERVAL };
168
169 static uschar *op_table_main[] = {
170   US"address",
171   US"addresses",
172   US"base62",
173   US"base62d",
174   US"domain",
175   US"escape",
176   US"eval",
177   US"eval10",
178   US"expand",
179   US"h",
180   US"hash",
181   US"hex2b64",
182   US"l",
183   US"lc",
184   US"length",
185   US"mask",
186   US"md5",
187   US"nh",
188   US"nhash",
189   US"quote",
190   US"rfc2047",
191   US"rfc2047d",
192   US"rxquote",
193   US"s",
194   US"sha1",
195   US"stat",
196   US"str2b64",
197   US"strlen",
198   US"substr",
199   US"uc" };
200
201 enum {
202   EOP_ADDRESS =  sizeof(op_table_underscore)/sizeof(uschar *),
203   EOP_ADDRESSES,
204   EOP_BASE62,
205   EOP_BASE62D,
206   EOP_DOMAIN,
207   EOP_ESCAPE,
208   EOP_EVAL,
209   EOP_EVAL10,
210   EOP_EXPAND,
211   EOP_H,
212   EOP_HASH,
213   EOP_HEX2B64,
214   EOP_L,
215   EOP_LC,
216   EOP_LENGTH,
217   EOP_MASK,
218   EOP_MD5,
219   EOP_NH,
220   EOP_NHASH,
221   EOP_QUOTE,
222   EOP_RFC2047,
223   EOP_RFC2047D,
224   EOP_RXQUOTE,
225   EOP_S,
226   EOP_SHA1,
227   EOP_STAT,
228   EOP_STR2B64,
229   EOP_STRLEN,
230   EOP_SUBSTR,
231   EOP_UC };
232
233
234 /* Table of condition names, and corresponding switch numbers. The names must
235 be in alphabetical order. */
236
237 static uschar *cond_table[] = {
238   US"<",
239   US"<=",
240   US"=",
241   US"==",     /* Backward compatibility */
242   US">",
243   US">=",
244   US"and",
245   US"crypteq",
246   US"def",
247   US"eq",
248   US"eqi",
249   US"exists",
250   US"first_delivery",
251   US"forall",
252   US"forany",
253   US"ge",
254   US"gei",
255   US"gt",
256   US"gti",
257   US"isip",
258   US"isip4",
259   US"isip6",
260   US"ldapauth",
261   US"le",
262   US"lei",
263   US"lt",
264   US"lti",
265   US"match",
266   US"match_address",
267   US"match_domain",
268   US"match_ip",
269   US"match_local_part",
270   US"or",
271   US"pam",
272   US"pwcheck",
273   US"queue_running",
274   US"radius",
275   US"saslauthd"
276 };
277
278 enum {
279   ECOND_NUM_L,
280   ECOND_NUM_LE,
281   ECOND_NUM_E,
282   ECOND_NUM_EE,
283   ECOND_NUM_G,
284   ECOND_NUM_GE,
285   ECOND_AND,
286   ECOND_CRYPTEQ,
287   ECOND_DEF,
288   ECOND_STR_EQ,
289   ECOND_STR_EQI,
290   ECOND_EXISTS,
291   ECOND_FIRST_DELIVERY,
292   ECOND_FORALL,
293   ECOND_FORANY,
294   ECOND_STR_GE,
295   ECOND_STR_GEI,
296   ECOND_STR_GT,
297   ECOND_STR_GTI,
298   ECOND_ISIP,
299   ECOND_ISIP4,
300   ECOND_ISIP6,
301   ECOND_LDAPAUTH,
302   ECOND_STR_LE,
303   ECOND_STR_LEI,
304   ECOND_STR_LT,
305   ECOND_STR_LTI,
306   ECOND_MATCH,
307   ECOND_MATCH_ADDRESS,
308   ECOND_MATCH_DOMAIN,
309   ECOND_MATCH_IP,
310   ECOND_MATCH_LOCAL_PART,
311   ECOND_OR,
312   ECOND_PAM,
313   ECOND_PWCHECK,
314   ECOND_QUEUE_RUNNING,
315   ECOND_RADIUS,
316   ECOND_SASLAUTHD
317 };
318
319
320 /* Type for main variable table */
321
322 typedef struct {
323   char *name;
324   int   type;
325   void *value;
326 } var_entry;
327
328 /* Type for entries pointing to address/length pairs. Not currently
329 in use. */
330
331 typedef struct {
332   uschar **address;
333   int  *length;
334 } alblock;
335
336 /* Types of table entry */
337
338 enum {
339   vtype_int,            /* value is address of int */
340   vtype_filter_int,     /* ditto, but recognized only when filtering */
341   vtype_ino,            /* value is address of ino_t (not always an int) */
342   vtype_uid,            /* value is address of uid_t (not always an int) */
343   vtype_gid,            /* value is address of gid_t (not always an int) */
344   vtype_stringptr,      /* value is address of pointer to string */
345   vtype_msgbody,        /* as stringptr, but read when first required */
346   vtype_msgbody_end,    /* ditto, the end of the message */
347   vtype_msgheaders,     /* the message's headers, processed */
348   vtype_msgheaders_raw, /* the message's headers, unprocessed */
349   vtype_localpart,      /* extract local part from string */
350   vtype_domain,         /* extract domain from string */
351   vtype_recipients,     /* extract recipients from recipients list */
352                         /* (available only in system filters, ACLs, and */
353                         /* local_scan()) */
354   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
355   vtype_tode,           /* value not used; generate tod in epoch format */
356   vtype_todf,           /* value not used; generate full tod */
357   vtype_todl,           /* value not used; generate log tod */
358   vtype_todlf,          /* value not used; generate log file datestamp tod */
359   vtype_todzone,        /* value not used; generate time zone only */
360   vtype_todzulu,        /* value not used; generate zulu tod */
361   vtype_reply,          /* value not used; get reply from headers */
362   vtype_pid,            /* value not used; result is pid */
363   vtype_host_lookup,    /* value not used; get host name */
364   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
365   vtype_pspace,         /* partition space; value is T/F for spool/log */
366   vtype_pinodes         /* partition inodes; value is T/F for spool/log */
367 #ifdef EXPERIMENTAL_DOMAINKEYS
368  ,vtype_dk_verify       /* Serve request out of DomainKeys verification structure */
369 #endif
370   };
371
372 /* This table must be kept in alphabetical order. */
373
374 static var_entry var_table[] = {
375   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
376      they will be confused with user-creatable ACL variables. */
377   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
378   { "address_data",        vtype_stringptr,   &deliver_address_data },
379   { "address_file",        vtype_stringptr,   &address_file },
380   { "address_pipe",        vtype_stringptr,   &address_pipe },
381   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
382   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
383   { "authentication_failed",vtype_int,        &authentication_failed },
384 #ifdef EXPERIMENTAL_BRIGHTMAIL
385   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
386   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
387   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
388   { "bmi_deliver",         vtype_int,         &bmi_deliver },
389 #endif
390   { "body_linecount",      vtype_int,         &body_linecount },
391   { "body_zerocount",      vtype_int,         &body_zerocount },
392   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
393   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
394   { "caller_gid",          vtype_gid,         &real_gid },
395   { "caller_uid",          vtype_uid,         &real_uid },
396   { "compile_date",        vtype_stringptr,   &version_date },
397   { "compile_number",      vtype_stringptr,   &version_cnumber },
398   { "csa_status",          vtype_stringptr,   &csa_status },
399 #ifdef EXPERIMENTAL_DCC
400   { "dcc_header",          vtype_stringptr,   &dcc_header },
401   { "dcc_result",          vtype_stringptr,   &dcc_result },
402 #endif
403 #ifdef WITH_OLD_DEMIME
404   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
405   { "demime_reason",       vtype_stringptr,   &demime_reason },
406 #endif
407 #ifdef EXPERIMENTAL_DOMAINKEYS
408   { "dk_domain",           vtype_stringptr,   &dk_signing_domain },
409   { "dk_is_signed",        vtype_dk_verify,   NULL },
410   { "dk_result",           vtype_dk_verify,   NULL },
411   { "dk_selector",         vtype_stringptr,   &dk_signing_selector },
412   { "dk_sender",           vtype_dk_verify,   NULL },
413   { "dk_sender_domain",    vtype_dk_verify,   NULL },
414   { "dk_sender_local_part",vtype_dk_verify,   NULL },
415   { "dk_sender_source",    vtype_dk_verify,   NULL },
416   { "dk_signsall",         vtype_dk_verify,   NULL },
417   { "dk_status",           vtype_dk_verify,   NULL },
418   { "dk_testing",          vtype_dk_verify,   NULL },
419 #endif
420 #ifdef EXPERIMENTAL_DKIM
421   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
422   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
423 #endif
424   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
425   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
426   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
427   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
428   { "domain",              vtype_stringptr,   &deliver_domain },
429   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
430   { "exim_gid",            vtype_gid,         &exim_gid },
431   { "exim_path",           vtype_stringptr,   &exim_path },
432   { "exim_uid",            vtype_uid,         &exim_uid },
433 #ifdef WITH_OLD_DEMIME
434   { "found_extension",     vtype_stringptr,   &found_extension },
435 #endif
436   { "home",                vtype_stringptr,   &deliver_home },
437   { "host",                vtype_stringptr,   &deliver_host },
438   { "host_address",        vtype_stringptr,   &deliver_host_address },
439   { "host_data",           vtype_stringptr,   &host_data },
440   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
441   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
442   { "inode",               vtype_ino,         &deliver_inode },
443   { "interface_address",   vtype_stringptr,   &interface_address },
444   { "interface_port",      vtype_int,         &interface_port },
445   { "item",                vtype_stringptr,   &iterate_item },
446   #ifdef LOOKUP_LDAP
447   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
448   #endif
449   { "load_average",        vtype_load_avg,    NULL },
450   { "local_part",          vtype_stringptr,   &deliver_localpart },
451   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
452   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
453   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
454   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
455   { "local_user_gid",      vtype_gid,         &local_user_gid },
456   { "local_user_uid",      vtype_uid,         &local_user_uid },
457   { "localhost_number",    vtype_int,         &host_number },
458   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
459   { "log_space",           vtype_pspace,      (void *)FALSE },
460   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
461 #ifdef WITH_CONTENT_SCAN
462   { "malware_name",        vtype_stringptr,   &malware_name },
463 #endif
464   { "max_received_linelength", vtype_int,     &max_received_linelength },
465   { "message_age",         vtype_int,         &message_age },
466   { "message_body",        vtype_msgbody,     &message_body },
467   { "message_body_end",    vtype_msgbody_end, &message_body_end },
468   { "message_body_size",   vtype_int,         &message_body_size },
469   { "message_exim_id",     vtype_stringptr,   &message_id },
470   { "message_headers",     vtype_msgheaders,  NULL },
471   { "message_headers_raw", vtype_msgheaders_raw, NULL },
472   { "message_id",          vtype_stringptr,   &message_id },
473   { "message_linecount",   vtype_int,         &message_linecount },
474   { "message_size",        vtype_int,         &message_size },
475 #ifdef WITH_CONTENT_SCAN
476   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
477   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
478   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
479   { "mime_charset",        vtype_stringptr,   &mime_charset },
480   { "mime_content_description", vtype_stringptr, &mime_content_description },
481   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
482   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
483   { "mime_content_size",   vtype_int,         &mime_content_size },
484   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
485   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
486   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
487   { "mime_filename",       vtype_stringptr,   &mime_filename },
488   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
489   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
490   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
491   { "mime_part_count",     vtype_int,         &mime_part_count },
492 #endif
493   { "n0",                  vtype_filter_int,  &filter_n[0] },
494   { "n1",                  vtype_filter_int,  &filter_n[1] },
495   { "n2",                  vtype_filter_int,  &filter_n[2] },
496   { "n3",                  vtype_filter_int,  &filter_n[3] },
497   { "n4",                  vtype_filter_int,  &filter_n[4] },
498   { "n5",                  vtype_filter_int,  &filter_n[5] },
499   { "n6",                  vtype_filter_int,  &filter_n[6] },
500   { "n7",                  vtype_filter_int,  &filter_n[7] },
501   { "n8",                  vtype_filter_int,  &filter_n[8] },
502   { "n9",                  vtype_filter_int,  &filter_n[9] },
503   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
504   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
505   { "originator_gid",      vtype_gid,         &originator_gid },
506   { "originator_uid",      vtype_uid,         &originator_uid },
507   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
508   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
509   { "pid",                 vtype_pid,         NULL },
510   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
511   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
512   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
513   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
514   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
515   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
516   { "rcpt_count",          vtype_int,         &rcpt_count },
517   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
518   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
519   { "received_count",      vtype_int,         &received_count },
520   { "received_for",        vtype_stringptr,   &received_for },
521   { "received_ip_address", vtype_stringptr,   &interface_address },
522   { "received_port",       vtype_int,         &interface_port },
523   { "received_protocol",   vtype_stringptr,   &received_protocol },
524   { "received_time",       vtype_int,         &received_time },
525   { "recipient_data",      vtype_stringptr,   &recipient_data },
526   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
527   { "recipients",          vtype_recipients,  NULL },
528   { "recipients_count",    vtype_int,         &recipients_count },
529 #ifdef WITH_CONTENT_SCAN
530   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
531 #endif
532   { "reply_address",       vtype_reply,       NULL },
533   { "return_path",         vtype_stringptr,   &return_path },
534   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
535   { "runrc",               vtype_int,         &runrc },
536   { "self_hostname",       vtype_stringptr,   &self_hostname },
537   { "sender_address",      vtype_stringptr,   &sender_address },
538   { "sender_address_data", vtype_stringptr,   &sender_address_data },
539   { "sender_address_domain", vtype_domain,    &sender_address },
540   { "sender_address_local_part", vtype_localpart, &sender_address },
541   { "sender_data",         vtype_stringptr,   &sender_data },
542   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
543   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
544   { "sender_host_address", vtype_stringptr,   &sender_host_address },
545   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
546   { "sender_host_name",    vtype_host_lookup, NULL },
547   { "sender_host_port",    vtype_int,         &sender_host_port },
548   { "sender_ident",        vtype_stringptr,   &sender_ident },
549   { "sender_rate",         vtype_stringptr,   &sender_rate },
550   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
551   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
552   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
553   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
554   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
555   { "sending_port",        vtype_int,         &sending_port },
556   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
557   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
558   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
559   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
560   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
561   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
562   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
563   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
564   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
565   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
566   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
567   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
568   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
569   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
570   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
571 #ifdef WITH_CONTENT_SCAN
572   { "spam_bar",            vtype_stringptr,   &spam_bar },
573   { "spam_report",         vtype_stringptr,   &spam_report },
574   { "spam_score",          vtype_stringptr,   &spam_score },
575   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
576 #endif
577 #ifdef EXPERIMENTAL_SPF
578   { "spf_guess",           vtype_stringptr,   &spf_guess },
579   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
580   { "spf_received",        vtype_stringptr,   &spf_received },
581   { "spf_result",          vtype_stringptr,   &spf_result },
582   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
583 #endif
584   { "spool_directory",     vtype_stringptr,   &spool_directory },
585   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
586   { "spool_space",         vtype_pspace,      (void *)TRUE },
587 #ifdef EXPERIMENTAL_SRS
588   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
589   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
590   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
591   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
592   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
593   { "srs_status",          vtype_stringptr,   &srs_status },
594 #endif
595   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
596   { "tls_certificate_verified", vtype_int,    &tls_certificate_verified },
597   { "tls_cipher",          vtype_stringptr,   &tls_cipher },
598   { "tls_peerdn",          vtype_stringptr,   &tls_peerdn },
599   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
600   { "tod_epoch",           vtype_tode,        NULL },
601   { "tod_full",            vtype_todf,        NULL },
602   { "tod_log",             vtype_todl,        NULL },
603   { "tod_logfile",         vtype_todlf,       NULL },
604   { "tod_zone",            vtype_todzone,     NULL },
605   { "tod_zulu",            vtype_todzulu,     NULL },
606   { "value",               vtype_stringptr,   &lookup_value },
607   { "version_number",      vtype_stringptr,   &version_string },
608   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
609   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
610   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
611   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
612   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
613   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
614 };
615
616 static int var_table_size = sizeof(var_table)/sizeof(var_entry);
617 static uschar var_buffer[256];
618 static BOOL malformed_header;
619
620 /* For textual hashes */
621
622 static char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
623                          "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
624                          "0123456789";
625
626 enum { HMAC_MD5, HMAC_SHA1 };
627
628 /* For numeric hashes */
629
630 static unsigned int prime[] = {
631   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
632  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
633  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
634
635 /* For printing modes in symbolic form */
636
637 static uschar *mtable_normal[] =
638   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
639
640 static uschar *mtable_setid[] =
641   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
642
643 static uschar *mtable_sticky[] =
644   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
645
646
647
648 /*************************************************
649 *           Tables for UTF-8 support             *
650 *************************************************/
651
652 /* Table of the number of extra characters, indexed by the first character
653 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
654 0x3d. */
655
656 static uschar utf8_table1[] = {
657   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
658   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
659   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
660   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
661
662 /* These are the masks for the data bits in the first byte of a character,
663 indexed by the number of additional bytes. */
664
665 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
666
667 /* Get the next UTF-8 character, advancing the pointer. */
668
669 #define GETUTF8INC(c, ptr) \
670   c = *ptr++; \
671   if ((c & 0xc0) == 0xc0) \
672     { \
673     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
674     int s = 6*a; \
675     c = (c & utf8_table2[a]) << s; \
676     while (a-- > 0) \
677       { \
678       s -= 6; \
679       c |= (*ptr++ & 0x3f) << s; \
680       } \
681     }
682
683
684 /*************************************************
685 *           Binary chop search on a table        *
686 *************************************************/
687
688 /* This is used for matching expansion items and operators.
689
690 Arguments:
691   name        the name that is being sought
692   table       the table to search
693   table_size  the number of items in the table
694
695 Returns:      the offset in the table, or -1
696 */
697
698 static int
699 chop_match(uschar *name, uschar **table, int table_size)
700 {
701 uschar **bot = table;
702 uschar **top = table + table_size;
703
704 while (top > bot)
705   {
706   uschar **mid = bot + (top - bot)/2;
707   int c = Ustrcmp(name, *mid);
708   if (c == 0) return mid - table;
709   if (c > 0) bot = mid + 1; else top = mid;
710   }
711
712 return -1;
713 }
714
715
716
717 /*************************************************
718 *          Check a condition string              *
719 *************************************************/
720
721 /* This function is called to expand a string, and test the result for a "true"
722 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
723 forced fail or lookup defer. All store used by the function can be released on
724 exit.
725
726 Arguments:
727   condition     the condition string
728   m1            text to be incorporated in panic error
729   m2            ditto
730
731 Returns:        TRUE if condition is met, FALSE if not
732 */
733
734 BOOL
735 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
736 {
737 int rc;
738 void *reset_point = store_get(0);
739 uschar *ss = expand_string(condition);
740 if (ss == NULL)
741   {
742   if (!expand_string_forcedfail && !search_find_defer)
743     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
744       "for %s %s: %s", condition, m1, m2, expand_string_message);
745   return FALSE;
746   }
747 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
748   strcmpic(ss, US"false") != 0;
749 store_reset(reset_point);
750 return rc;
751 }
752
753
754
755 /*************************************************
756 *             Pick out a name from a string      *
757 *************************************************/
758
759 /* If the name is too long, it is silently truncated.
760
761 Arguments:
762   name      points to a buffer into which to put the name
763   max       is the length of the buffer
764   s         points to the first alphabetic character of the name
765   extras    chars other than alphanumerics to permit
766
767 Returns:    pointer to the first character after the name
768
769 Note: The test for *s != 0 in the while loop is necessary because
770 Ustrchr() yields non-NULL if the character is zero (which is not something
771 I expected). */
772
773 static uschar *
774 read_name(uschar *name, int max, uschar *s, uschar *extras)
775 {
776 int ptr = 0;
777 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
778   {
779   if (ptr < max-1) name[ptr++] = *s;
780   s++;
781   }
782 name[ptr] = 0;
783 return s;
784 }
785
786
787
788 /*************************************************
789 *     Pick out the rest of a header name         *
790 *************************************************/
791
792 /* A variable name starting $header_ (or just $h_ for those who like
793 abbreviations) might not be the complete header name because headers can
794 contain any printing characters in their names, except ':'. This function is
795 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
796 on the end, if the name was terminated by white space.
797
798 Arguments:
799   name      points to a buffer in which the name read so far exists
800   max       is the length of the buffer
801   s         points to the first character after the name so far, i.e. the
802             first non-alphameric character after $header_xxxxx
803
804 Returns:    a pointer to the first character after the header name
805 */
806
807 static uschar *
808 read_header_name(uschar *name, int max, uschar *s)
809 {
810 int prelen = Ustrchr(name, '_') - name + 1;
811 int ptr = Ustrlen(name) - prelen;
812 if (ptr > 0) memmove(name, name+prelen, ptr);
813 while (mac_isgraph(*s) && *s != ':')
814   {
815   if (ptr < max-1) name[ptr++] = *s;
816   s++;
817   }
818 if (*s == ':') s++;
819 name[ptr++] = ':';
820 name[ptr] = 0;
821 return s;
822 }
823
824
825
826 /*************************************************
827 *           Pick out a number from a string      *
828 *************************************************/
829
830 /* Arguments:
831   n     points to an integer into which to put the number
832   s     points to the first digit of the number
833
834 Returns:  a pointer to the character after the last digit
835 */
836
837 static uschar *
838 read_number(int *n, uschar *s)
839 {
840 *n = 0;
841 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
842 return s;
843 }
844
845
846
847 /*************************************************
848 *        Extract keyed subfield from a string    *
849 *************************************************/
850
851 /* The yield is in dynamic store; NULL means that the key was not found.
852
853 Arguments:
854   key       points to the name of the key
855   s         points to the string from which to extract the subfield
856
857 Returns:    NULL if the subfield was not found, or
858             a pointer to the subfield's data
859 */
860
861 static uschar *
862 expand_getkeyed(uschar *key, uschar *s)
863 {
864 int length = Ustrlen(key);
865 while (isspace(*s)) s++;
866
867 /* Loop to search for the key */
868
869 while (*s != 0)
870   {
871   int dkeylength;
872   uschar *data;
873   uschar *dkey = s;
874
875   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
876   dkeylength = s - dkey;
877   while (isspace(*s)) s++;
878   if (*s == '=') while (isspace((*(++s))));
879
880   data = string_dequote(&s);
881   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
882     return data;
883
884   while (isspace(*s)) s++;
885   }
886
887 return NULL;
888 }
889
890
891
892
893 /*************************************************
894 *   Extract numbered subfield from string        *
895 *************************************************/
896
897 /* Extracts a numbered field from a string that is divided by tokens - for
898 example a line from /etc/passwd is divided by colon characters.  First field is
899 numbered one.  Negative arguments count from the right. Zero returns the whole
900 string. Returns NULL if there are insufficient tokens in the string
901
902 ***WARNING***
903 Modifies final argument - this is a dynamically generated string, so that's OK.
904
905 Arguments:
906   field       number of field to be extracted,
907                 first field = 1, whole string = 0, last field = -1
908   separators  characters that are used to break string into tokens
909   s           points to the string from which to extract the subfield
910
911 Returns:      NULL if the field was not found,
912               a pointer to the field's data inside s (modified to add 0)
913 */
914
915 static uschar *
916 expand_gettokened (int field, uschar *separators, uschar *s)
917 {
918 int sep = 1;
919 int count;
920 uschar *ss = s;
921 uschar *fieldtext = NULL;
922
923 if (field == 0) return s;
924
925 /* Break the line up into fields in place; for field > 0 we stop when we have
926 done the number of fields we want. For field < 0 we continue till the end of
927 the string, counting the number of fields. */
928
929 count = (field > 0)? field : INT_MAX;
930
931 while (count-- > 0)
932   {
933   size_t len;
934
935   /* Previous field was the last one in the string. For a positive field
936   number, this means there are not enough fields. For a negative field number,
937   check that there are enough, and scan back to find the one that is wanted. */
938
939   if (sep == 0)
940     {
941     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
942     if ((-field) == (INT_MAX - count - 1)) return s;
943     while (field++ < 0)
944       {
945       ss--;
946       while (ss[-1] != 0) ss--;
947       }
948     fieldtext = ss;
949     break;
950     }
951
952   /* Previous field was not last in the string; save its start and put a
953   zero at its end. */
954
955   fieldtext = ss;
956   len = Ustrcspn(ss, separators);
957   sep = ss[len];
958   ss[len] = 0;
959   ss += len + 1;
960   }
961
962 return fieldtext;
963 }
964
965
966
967 /*************************************************
968 *        Extract a substring from a string       *
969 *************************************************/
970
971 /* Perform the ${substr or ${length expansion operations.
972
973 Arguments:
974   subject     the input string
975   value1      the offset from the start of the input string to the start of
976                 the output string; if negative, count from the right.
977   value2      the length of the output string, or negative (-1) for unset
978                 if value1 is positive, unset means "all after"
979                 if value1 is negative, unset means "all before"
980   len         set to the length of the returned string
981
982 Returns:      pointer to the output string, or NULL if there is an error
983 */
984
985 static uschar *
986 extract_substr(uschar *subject, int value1, int value2, int *len)
987 {
988 int sublen = Ustrlen(subject);
989
990 if (value1 < 0)    /* count from right */
991   {
992   value1 += sublen;
993
994   /* If the position is before the start, skip to the start, and adjust the
995   length. If the length ends up negative, the substring is null because nothing
996   can precede. This falls out naturally when the length is unset, meaning "all
997   to the left". */
998
999   if (value1 < 0)
1000     {
1001     value2 += value1;
1002     if (value2 < 0) value2 = 0;
1003     value1 = 0;
1004     }
1005
1006   /* Otherwise an unset length => characters before value1 */
1007
1008   else if (value2 < 0)
1009     {
1010     value2 = value1;
1011     value1 = 0;
1012     }
1013   }
1014
1015 /* For a non-negative offset, if the starting position is past the end of the
1016 string, the result will be the null string. Otherwise, an unset length means
1017 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1018
1019 else
1020   {
1021   if (value1 > sublen)
1022     {
1023     value1 = sublen;
1024     value2 = 0;
1025     }
1026   else if (value2 < 0) value2 = sublen;
1027   }
1028
1029 /* Cut the length down to the maximum possible for the offset value, and get
1030 the required characters. */
1031
1032 if (value1 + value2 > sublen) value2 = sublen - value1;
1033 *len = value2;
1034 return subject + value1;
1035 }
1036
1037
1038
1039
1040 /*************************************************
1041 *            Old-style hash of a string          *
1042 *************************************************/
1043
1044 /* Perform the ${hash expansion operation.
1045
1046 Arguments:
1047   subject     the input string (an expanded substring)
1048   value1      the length of the output string; if greater or equal to the
1049                 length of the input string, the input string is returned
1050   value2      the number of hash characters to use, or 26 if negative
1051   len         set to the length of the returned string
1052
1053 Returns:      pointer to the output string, or NULL if there is an error
1054 */
1055
1056 static uschar *
1057 compute_hash(uschar *subject, int value1, int value2, int *len)
1058 {
1059 int sublen = Ustrlen(subject);
1060
1061 if (value2 < 0) value2 = 26;
1062 else if (value2 > Ustrlen(hashcodes))
1063   {
1064   expand_string_message =
1065     string_sprintf("hash count \"%d\" too big", value2);
1066   return NULL;
1067   }
1068
1069 /* Calculate the hash text. We know it is shorter than the original string, so
1070 can safely place it in subject[] (we know that subject is always itself an
1071 expanded substring). */
1072
1073 if (value1 < sublen)
1074   {
1075   int c;
1076   int i = 0;
1077   int j = value1;
1078   while ((c = (subject[j])) != 0)
1079     {
1080     int shift = (c + j++) & 7;
1081     subject[i] ^= (c << shift) | (c >> (8-shift));
1082     if (++i >= value1) i = 0;
1083     }
1084   for (i = 0; i < value1; i++)
1085     subject[i] = hashcodes[(subject[i]) % value2];
1086   }
1087 else value1 = sublen;
1088
1089 *len = value1;
1090 return subject;
1091 }
1092
1093
1094
1095
1096 /*************************************************
1097 *             Numeric hash of a string           *
1098 *************************************************/
1099
1100 /* Perform the ${nhash expansion operation. The first characters of the
1101 string are treated as most important, and get the highest prime numbers.
1102
1103 Arguments:
1104   subject     the input string
1105   value1      the maximum value of the first part of the result
1106   value2      the maximum value of the second part of the result,
1107                 or negative to produce only a one-part result
1108   len         set to the length of the returned string
1109
1110 Returns:  pointer to the output string, or NULL if there is an error.
1111 */
1112
1113 static uschar *
1114 compute_nhash (uschar *subject, int value1, int value2, int *len)
1115 {
1116 uschar *s = subject;
1117 int i = 0;
1118 unsigned long int total = 0; /* no overflow */
1119
1120 while (*s != 0)
1121   {
1122   if (i == 0) i = sizeof(prime)/sizeof(int) - 1;
1123   total += prime[i--] * (unsigned int)(*s++);
1124   }
1125
1126 /* If value2 is unset, just compute one number */
1127
1128 if (value2 < 0)
1129   {
1130   s = string_sprintf("%d", total % value1);
1131   }
1132
1133 /* Otherwise do a div/mod hash */
1134
1135 else
1136   {
1137   total = total % (value1 * value2);
1138   s = string_sprintf("%d/%d", total/value2, total % value2);
1139   }
1140
1141 *len = Ustrlen(s);
1142 return s;
1143 }
1144
1145
1146
1147
1148
1149 /*************************************************
1150 *     Find the value of a header or headers      *
1151 *************************************************/
1152
1153 /* Multiple instances of the same header get concatenated, and this function
1154 can also return a concatenation of all the header lines. When concatenating
1155 specific headers that contain lists of addresses, a comma is inserted between
1156 them. Otherwise we use a straight concatenation. Because some messages can have
1157 pathologically large number of lines, there is a limit on the length that is
1158 returned. Also, to avoid massive store use which would result from using
1159 string_cat() as it copies and extends strings, we do a preliminary pass to find
1160 out exactly how much store will be needed. On "normal" messages this will be
1161 pretty trivial.
1162
1163 Arguments:
1164   name          the name of the header, without the leading $header_ or $h_,
1165                 or NULL if a concatenation of all headers is required
1166   exists_only   TRUE if called from a def: test; don't need to build a string;
1167                 just return a string that is not "" and not "0" if the header
1168                 exists
1169   newsize       return the size of memory block that was obtained; may be NULL
1170                 if exists_only is TRUE
1171   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1172                 other than concatenating, will be done on the header. Also used
1173                 for $message_headers_raw.
1174   charset       name of charset to translate MIME words to; used only if
1175                 want_raw is false; if NULL, no translation is done (this is
1176                 used for $bh_ and $bheader_)
1177
1178 Returns:        NULL if the header does not exist, else a pointer to a new
1179                 store block
1180 */
1181
1182 static uschar *
1183 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1184   uschar *charset)
1185 {
1186 BOOL found = name == NULL;
1187 int comma = 0;
1188 int len = found? 0 : Ustrlen(name);
1189 int i;
1190 uschar *yield = NULL;
1191 uschar *ptr = NULL;
1192
1193 /* Loop for two passes - saves code repetition */
1194
1195 for (i = 0; i < 2; i++)
1196   {
1197   int size = 0;
1198   header_line *h;
1199
1200   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1201     {
1202     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1203       {
1204       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1205         {
1206         int ilen;
1207         uschar *t;
1208
1209         if (exists_only) return US"1";      /* don't need actual string */
1210         found = TRUE;
1211         t = h->text + len;                  /* text to insert */
1212         if (!want_raw)                      /* unless wanted raw, */
1213           while (isspace(*t)) t++;          /* remove leading white space */
1214         ilen = h->slen - (t - h->text);     /* length to insert */
1215
1216         /* Unless wanted raw, remove trailing whitespace, including the
1217         newline. */
1218
1219         if (!want_raw)
1220           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1221
1222         /* Set comma = 1 if handling a single header and it's one of those
1223         that contains an address list, except when asked for raw headers. Only
1224         need to do this once. */
1225
1226         if (!want_raw && name != NULL && comma == 0 &&
1227             Ustrchr("BCFRST", h->type) != NULL)
1228           comma = 1;
1229
1230         /* First pass - compute total store needed; second pass - compute
1231         total store used, including this header. */
1232
1233         size += ilen + comma + 1;  /* +1 for the newline */
1234
1235         /* Second pass - concatentate the data, up to a maximum. Note that
1236         the loop stops when size hits the limit. */
1237
1238         if (i != 0)
1239           {
1240           if (size > header_insert_maxlen)
1241             {
1242             ilen -= size - header_insert_maxlen - 1;
1243             comma = 0;
1244             }
1245           Ustrncpy(ptr, t, ilen);
1246           ptr += ilen;
1247
1248           /* For a non-raw header, put in the comma if needed, then add
1249           back the newline we removed above, provided there was some text in
1250           the header. */
1251
1252           if (!want_raw && ilen > 0)
1253             {
1254             if (comma != 0) *ptr++ = ',';
1255             *ptr++ = '\n';
1256             }
1257           }
1258         }
1259       }
1260     }
1261
1262   /* At end of first pass, return NULL if no header found. Then truncate size
1263   if necessary, and get the buffer to hold the data, returning the buffer size.
1264   */
1265
1266   if (i == 0)
1267     {
1268     if (!found) return NULL;
1269     if (size > header_insert_maxlen) size = header_insert_maxlen;
1270     *newsize = size + 1;
1271     ptr = yield = store_get(*newsize);
1272     }
1273   }
1274
1275 /* That's all we do for raw header expansion. */
1276
1277 if (want_raw)
1278   {
1279   *ptr = 0;
1280   }
1281
1282 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1283 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1284 function can return an error with decoded data if the charset translation
1285 fails. If decoding fails, it returns NULL. */
1286
1287 else
1288   {
1289   uschar *decoded, *error;
1290   if (ptr > yield && ptr[-1] == '\n') ptr--;
1291   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1292   *ptr = 0;
1293   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1294     newsize, &error);
1295   if (error != NULL)
1296     {
1297     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1298       "    input was: %s\n", error, yield);
1299     }
1300   if (decoded != NULL) yield = decoded;
1301   }
1302
1303 return yield;
1304 }
1305
1306
1307
1308
1309 /*************************************************
1310 *               Find value of a variable         *
1311 *************************************************/
1312
1313 /* The table of variables is kept in alphabetic order, so we can search it
1314 using a binary chop. The "choplen" variable is nothing to do with the binary
1315 chop.
1316
1317 Arguments:
1318   name          the name of the variable being sought
1319   exists_only   TRUE if this is a def: test; passed on to find_header()
1320   skipping      TRUE => skip any processing evaluation; this is not the same as
1321                   exists_only because def: may test for values that are first
1322                   evaluated here
1323   newsize       pointer to an int which is initially zero; if the answer is in
1324                 a new memory buffer, *newsize is set to its size
1325
1326 Returns:        NULL if the variable does not exist, or
1327                 a pointer to the variable's contents, or
1328                 something non-NULL if exists_only is TRUE
1329 */
1330
1331 static uschar *
1332 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1333 {
1334 int first = 0;
1335 int last = var_table_size;
1336
1337 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1338 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1339 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1340 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1341 (this gave backwards compatibility at the changeover). There may be built-in
1342 variables whose names start acl_ but they should never start in this way. This
1343 slightly messy specification is a consequence of the history, needless to say.
1344
1345 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1346 set, in which case give an error. */
1347
1348 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1349      !isalpha(name[5]))
1350   {
1351   tree_node *node =
1352     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1353   return (node == NULL)? (strict_acl_vars? NULL : US"") : node->data.ptr;
1354   }
1355
1356 /* Handle $auth<n> variables. */
1357
1358 if (Ustrncmp(name, "auth", 4) == 0)
1359   {
1360   uschar *endptr;
1361   int n = Ustrtoul(name + 4, &endptr, 10);
1362   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1363     return (auth_vars[n-1] == NULL)? US"" : auth_vars[n-1];
1364   }
1365
1366 /* For all other variables, search the table */
1367
1368 while (last > first)
1369   {
1370   uschar *s, *domain;
1371   uschar **ss;
1372   int middle = (first + last)/2;
1373   int c = Ustrcmp(name, var_table[middle].name);
1374
1375   if (c > 0) { first = middle + 1; continue; }
1376   if (c < 0) { last = middle; continue; }
1377
1378   /* Found an existing variable. If in skipping state, the value isn't needed,
1379   and we want to avoid processing (such as looking up the host name). */
1380
1381   if (skipping) return US"";
1382
1383   switch (var_table[middle].type)
1384     {
1385 #ifdef EXPERIMENTAL_DOMAINKEYS
1386
1387     case vtype_dk_verify:
1388     if (dk_verify_block == NULL) return US"";
1389     s = NULL;
1390     if (Ustrcmp(var_table[middle].name, "dk_result") == 0)
1391       s = dk_verify_block->result_string;
1392     if (Ustrcmp(var_table[middle].name, "dk_sender") == 0)
1393       s = dk_verify_block->address;
1394     if (Ustrcmp(var_table[middle].name, "dk_sender_domain") == 0)
1395       s = dk_verify_block->domain;
1396     if (Ustrcmp(var_table[middle].name, "dk_sender_local_part") == 0)
1397       s = dk_verify_block->local_part;
1398
1399     if (Ustrcmp(var_table[middle].name, "dk_sender_source") == 0)
1400       switch(dk_verify_block->address_source) {
1401         case DK_EXIM_ADDRESS_NONE: s = US"0"; break;
1402         case DK_EXIM_ADDRESS_FROM_FROM: s = US"from"; break;
1403         case DK_EXIM_ADDRESS_FROM_SENDER: s = US"sender"; break;
1404       }
1405
1406     if (Ustrcmp(var_table[middle].name, "dk_status") == 0)
1407       switch(dk_verify_block->result) {
1408         case DK_EXIM_RESULT_ERR: s = US"error"; break;
1409         case DK_EXIM_RESULT_BAD_FORMAT: s = US"bad format"; break;
1410         case DK_EXIM_RESULT_NO_KEY: s = US"no key"; break;
1411         case DK_EXIM_RESULT_NO_SIGNATURE: s = US"no signature"; break;
1412         case DK_EXIM_RESULT_REVOKED: s = US"revoked"; break;
1413         case DK_EXIM_RESULT_NON_PARTICIPANT: s = US"non-participant"; break;
1414         case DK_EXIM_RESULT_GOOD: s = US"good"; break;
1415         case DK_EXIM_RESULT_BAD: s = US"bad"; break;
1416       }
1417
1418     if (Ustrcmp(var_table[middle].name, "dk_signsall") == 0)
1419       s = (dk_verify_block->signsall)? US"1" : US"0";
1420
1421     if (Ustrcmp(var_table[middle].name, "dk_testing") == 0)
1422       s = (dk_verify_block->testing)? US"1" : US"0";
1423
1424     if (Ustrcmp(var_table[middle].name, "dk_is_signed") == 0)
1425       s = (dk_verify_block->is_signed)? US"1" : US"0";
1426
1427     return (s == NULL)? US"" : s;
1428 #endif
1429
1430     case vtype_filter_int:
1431     if (!filter_running) return NULL;
1432     /* Fall through */
1433     /* VVVVVVVVVVVV */
1434     case vtype_int:
1435     sprintf(CS var_buffer, "%d", *(int *)(var_table[middle].value)); /* Integer */
1436     return var_buffer;
1437
1438     case vtype_ino:
1439     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(var_table[middle].value))); /* Inode */
1440     return var_buffer;
1441
1442     case vtype_gid:
1443     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(var_table[middle].value))); /* gid */
1444     return var_buffer;
1445
1446     case vtype_uid:
1447     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(var_table[middle].value))); /* uid */
1448     return var_buffer;
1449
1450     case vtype_stringptr:                      /* Pointer to string */
1451     s = *((uschar **)(var_table[middle].value));
1452     return (s == NULL)? US"" : s;
1453
1454     case vtype_pid:
1455     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1456     return var_buffer;
1457
1458     case vtype_load_avg:
1459     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1460     return var_buffer;
1461
1462     case vtype_host_lookup:                    /* Lookup if not done so */
1463     if (sender_host_name == NULL && sender_host_address != NULL &&
1464         !host_lookup_failed && host_name_lookup() == OK)
1465       host_build_sender_fullhost();
1466     return (sender_host_name == NULL)? US"" : sender_host_name;
1467
1468     case vtype_localpart:                      /* Get local part from address */
1469     s = *((uschar **)(var_table[middle].value));
1470     if (s == NULL) return US"";
1471     domain = Ustrrchr(s, '@');
1472     if (domain == NULL) return s;
1473     if (domain - s > sizeof(var_buffer) - 1)
1474       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than %d in "
1475         "string expansion", sizeof(var_buffer));
1476     Ustrncpy(var_buffer, s, domain - s);
1477     var_buffer[domain - s] = 0;
1478     return var_buffer;
1479
1480     case vtype_domain:                         /* Get domain from address */
1481     s = *((uschar **)(var_table[middle].value));
1482     if (s == NULL) return US"";
1483     domain = Ustrrchr(s, '@');
1484     return (domain == NULL)? US"" : domain + 1;
1485
1486     case vtype_msgheaders:
1487     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1488
1489     case vtype_msgheaders_raw:
1490     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1491
1492     case vtype_msgbody:                        /* Pointer to msgbody string */
1493     case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1494     ss = (uschar **)(var_table[middle].value);
1495     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1496       {
1497       uschar *body;
1498       off_t start_offset = SPOOL_DATA_START_OFFSET;
1499       int len = message_body_visible;
1500       if (len > message_size) len = message_size;
1501       *ss = body = store_malloc(len+1);
1502       body[0] = 0;
1503       if (var_table[middle].type == vtype_msgbody_end)
1504         {
1505         struct stat statbuf;
1506         if (fstat(deliver_datafile, &statbuf) == 0)
1507           {
1508           start_offset = statbuf.st_size - len;
1509           if (start_offset < SPOOL_DATA_START_OFFSET)
1510             start_offset = SPOOL_DATA_START_OFFSET;
1511           }
1512         }
1513       lseek(deliver_datafile, start_offset, SEEK_SET);
1514       len = read(deliver_datafile, body, len);
1515       if (len > 0)
1516         {
1517         body[len] = 0;
1518         if (message_body_newlines)   /* Separate loops for efficiency */
1519           {
1520           while (len > 0)
1521             { if (body[--len] == 0) body[len] = ' '; }
1522           }
1523         else
1524           {
1525           while (len > 0)
1526             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1527           }
1528         }
1529       }
1530     return (*ss == NULL)? US"" : *ss;
1531
1532     case vtype_todbsdin:                       /* BSD inbox time of day */
1533     return tod_stamp(tod_bsdin);
1534
1535     case vtype_tode:                           /* Unix epoch time of day */
1536     return tod_stamp(tod_epoch);
1537
1538     case vtype_todf:                           /* Full time of day */
1539     return tod_stamp(tod_full);
1540
1541     case vtype_todl:                           /* Log format time of day */
1542     return tod_stamp(tod_log_bare);            /* (without timezone) */
1543
1544     case vtype_todzone:                        /* Time zone offset only */
1545     return tod_stamp(tod_zone);
1546
1547     case vtype_todzulu:                        /* Zulu time */
1548     return tod_stamp(tod_zulu);
1549
1550     case vtype_todlf:                          /* Log file datestamp tod */
1551     return tod_stamp(tod_log_datestamp);
1552
1553     case vtype_reply:                          /* Get reply address */
1554     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1555       headers_charset);
1556     if (s != NULL) while (isspace(*s)) s++;
1557     if (s == NULL || *s == 0)
1558       {
1559       *newsize = 0;                            /* For the *s==0 case */
1560       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1561       }
1562     if (s != NULL)
1563       {
1564       uschar *t;
1565       while (isspace(*s)) s++;
1566       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1567       while (t > s && isspace(t[-1])) t--;
1568       *t = 0;
1569       }
1570     return (s == NULL)? US"" : s;
1571
1572     /* A recipients list is available only during system message filtering,
1573     during ACL processing after DATA, and while expanding pipe commands
1574     generated from a system filter, but not elsewhere. */
1575
1576     case vtype_recipients:
1577     if (!enable_dollar_recipients) return NULL; else
1578       {
1579       int size = 128;
1580       int ptr = 0;
1581       int i;
1582       s = store_get(size);
1583       for (i = 0; i < recipients_count; i++)
1584         {
1585         if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1586         s = string_cat(s, &size, &ptr, recipients_list[i].address,
1587           Ustrlen(recipients_list[i].address));
1588         }
1589       s[ptr] = 0;     /* string_cat() leaves room */
1590       }
1591     return s;
1592
1593     case vtype_pspace:
1594       {
1595       int inodes;
1596       sprintf(CS var_buffer, "%d",
1597         receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes));
1598       }
1599     return var_buffer;
1600
1601     case vtype_pinodes:
1602       {
1603       int inodes;
1604       (void) receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes);
1605       sprintf(CS var_buffer, "%d", inodes);
1606       }
1607     return var_buffer;
1608     }
1609   }
1610
1611 return NULL;          /* Unknown variable name */
1612 }
1613
1614
1615
1616
1617 /*************************************************
1618 *           Read and expand substrings           *
1619 *************************************************/
1620
1621 /* This function is called to read and expand argument substrings for various
1622 expansion items. Some have a minimum requirement that is less than the maximum;
1623 in these cases, the first non-present one is set to NULL.
1624
1625 Arguments:
1626   sub        points to vector of pointers to set
1627   n          maximum number of substrings
1628   m          minimum required
1629   sptr       points to current string pointer
1630   skipping   the skipping flag
1631   check_end  if TRUE, check for final '}'
1632   name       name of item, for error message
1633
1634 Returns:     0 OK; string pointer updated
1635              1 curly bracketing error (too few arguments)
1636              2 too many arguments (only if check_end is set); message set
1637              3 other error (expansion failure)
1638 */
1639
1640 static int
1641 read_subs(uschar **sub, int n, int m, uschar **sptr, BOOL skipping,
1642   BOOL check_end, uschar *name)
1643 {
1644 int i;
1645 uschar *s = *sptr;
1646
1647 while (isspace(*s)) s++;
1648 for (i = 0; i < n; i++)
1649   {
1650   if (*s != '{')
1651     {
1652     if (i < m) return 1;
1653     sub[i] = NULL;
1654     break;
1655     }
1656   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
1657   if (sub[i] == NULL) return 3;
1658   if (*s++ != '}') return 1;
1659   while (isspace(*s)) s++;
1660   }
1661 if (check_end && *s++ != '}')
1662   {
1663   if (s[-1] == '{')
1664     {
1665     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
1666       "(max is %d)", name, n);
1667     return 2;
1668     }
1669   return 1;
1670   }
1671
1672 *sptr = s;
1673 return 0;
1674 }
1675
1676
1677
1678
1679 /*************************************************
1680 *     Elaborate message for bad variable         *
1681 *************************************************/
1682
1683 /* For the "unknown variable" message, take a look at the variable's name, and
1684 give additional information about possible ACL variables. The extra information
1685 is added on to expand_string_message.
1686
1687 Argument:   the name of the variable
1688 Returns:    nothing
1689 */
1690
1691 static void
1692 check_variable_error_message(uschar *name)
1693 {
1694 if (Ustrncmp(name, "acl_", 4) == 0)
1695   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
1696     (name[4] == 'c' || name[4] == 'm')?
1697       (isalpha(name[5])?
1698         US"6th character of a user-defined ACL variable must be a digit or underscore" :
1699         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
1700       ) :
1701       US"user-defined ACL variables must start acl_c or acl_m");
1702 }
1703
1704
1705
1706 /*************************************************
1707 *        Read and evaluate a condition           *
1708 *************************************************/
1709
1710 /*
1711 Arguments:
1712   s        points to the start of the condition text
1713   yield    points to a BOOL to hold the result of the condition test;
1714            if NULL, we are just reading through a condition that is
1715            part of an "or" combination to check syntax, or in a state
1716            where the answer isn't required
1717
1718 Returns:   a pointer to the first character after the condition, or
1719            NULL after an error
1720 */
1721
1722 static uschar *
1723 eval_condition(uschar *s, BOOL *yield)
1724 {
1725 BOOL testfor = TRUE;
1726 BOOL tempcond, combined_cond;
1727 BOOL *subcondptr;
1728 int i, rc, cond_type, roffset;
1729 int num[2];
1730 struct stat statbuf;
1731 uschar name[256];
1732 uschar *sub[4];
1733
1734 const pcre *re;
1735 const uschar *rerror;
1736
1737 for (;;)
1738   {
1739   while (isspace(*s)) s++;
1740   if (*s == '!') { testfor = !testfor; s++; } else break;
1741   }
1742
1743 /* Numeric comparisons are symbolic */
1744
1745 if (*s == '=' || *s == '>' || *s == '<')
1746   {
1747   int p = 0;
1748   name[p++] = *s++;
1749   if (*s == '=')
1750     {
1751     name[p++] = '=';
1752     s++;
1753     }
1754   name[p] = 0;
1755   }
1756
1757 /* All other conditions are named */
1758
1759 else s = read_name(name, 256, s, US"_");
1760
1761 /* If we haven't read a name, it means some non-alpha character is first. */
1762
1763 if (name[0] == 0)
1764   {
1765   expand_string_message = string_sprintf("condition name expected, "
1766     "but found \"%.16s\"", s);
1767   return NULL;
1768   }
1769
1770 /* Find which condition we are dealing with, and switch on it */
1771
1772 cond_type = chop_match(name, cond_table, sizeof(cond_table)/sizeof(uschar *));
1773 switch(cond_type)
1774   {
1775   /* def: tests for a non-empty variable, or for the existence of a header. If
1776   yield == NULL we are in a skipping state, and don't care about the answer. */
1777
1778   case ECOND_DEF:
1779   if (*s != ':')
1780     {
1781     expand_string_message = US"\":\" expected after \"def\"";
1782     return NULL;
1783     }
1784
1785   s = read_name(name, 256, s+1, US"_");
1786
1787   /* Test for a header's existence. If the name contains a closing brace
1788   character, this may be a user error where the terminating colon has been
1789   omitted. Set a flag to adjust a subsequent error message in this case. */
1790
1791   if (Ustrncmp(name, "h_", 2) == 0 ||
1792       Ustrncmp(name, "rh_", 3) == 0 ||
1793       Ustrncmp(name, "bh_", 3) == 0 ||
1794       Ustrncmp(name, "header_", 7) == 0 ||
1795       Ustrncmp(name, "rheader_", 8) == 0 ||
1796       Ustrncmp(name, "bheader_", 8) == 0)
1797     {
1798     s = read_header_name(name, 256, s);
1799     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
1800     if (yield != NULL) *yield =
1801       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
1802     }
1803
1804   /* Test for a variable's having a non-empty value. A non-existent variable
1805   causes an expansion failure. */
1806
1807   else
1808     {
1809     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
1810     if (value == NULL)
1811       {
1812       expand_string_message = (name[0] == 0)?
1813         string_sprintf("variable name omitted after \"def:\"") :
1814         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
1815       check_variable_error_message(name);
1816       return NULL;
1817       }
1818     if (yield != NULL) *yield = (value[0] != 0) == testfor;
1819     }
1820
1821   return s;
1822
1823
1824   /* first_delivery tests for first delivery attempt */
1825
1826   case ECOND_FIRST_DELIVERY:
1827   if (yield != NULL) *yield = deliver_firsttime == testfor;
1828   return s;
1829
1830
1831   /* queue_running tests for any process started by a queue runner */
1832
1833   case ECOND_QUEUE_RUNNING:
1834   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
1835   return s;
1836
1837
1838   /* exists:  tests for file existence
1839        isip:  tests for any IP address
1840       isip4:  tests for an IPv4 address
1841       isip6:  tests for an IPv6 address
1842         pam:  does PAM authentication
1843      radius:  does RADIUS authentication
1844    ldapauth:  does LDAP authentication
1845     pwcheck:  does Cyrus SASL pwcheck authentication
1846   */
1847
1848   case ECOND_EXISTS:
1849   case ECOND_ISIP:
1850   case ECOND_ISIP4:
1851   case ECOND_ISIP6:
1852   case ECOND_PAM:
1853   case ECOND_RADIUS:
1854   case ECOND_LDAPAUTH:
1855   case ECOND_PWCHECK:
1856
1857   while (isspace(*s)) s++;
1858   if (*s != '{') goto COND_FAILED_CURLY_START;
1859
1860   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1861   if (sub[0] == NULL) return NULL;
1862   if (*s++ != '}') goto COND_FAILED_CURLY_END;
1863
1864   if (yield == NULL) return s;   /* No need to run the test if skipping */
1865
1866   switch(cond_type)
1867     {
1868     case ECOND_EXISTS:
1869     if ((expand_forbid & RDO_EXISTS) != 0)
1870       {
1871       expand_string_message = US"File existence tests are not permitted";
1872       return NULL;
1873       }
1874     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
1875     break;
1876
1877     case ECOND_ISIP:
1878     case ECOND_ISIP4:
1879     case ECOND_ISIP6:
1880     rc = string_is_ip_address(sub[0], NULL);
1881     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
1882              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
1883     break;
1884
1885     /* Various authentication tests - all optionally compiled */
1886
1887     case ECOND_PAM:
1888     #ifdef SUPPORT_PAM
1889     rc = auth_call_pam(sub[0], &expand_string_message);
1890     goto END_AUTH;
1891     #else
1892     goto COND_FAILED_NOT_COMPILED;
1893     #endif  /* SUPPORT_PAM */
1894
1895     case ECOND_RADIUS:
1896     #ifdef RADIUS_CONFIG_FILE
1897     rc = auth_call_radius(sub[0], &expand_string_message);
1898     goto END_AUTH;
1899     #else
1900     goto COND_FAILED_NOT_COMPILED;
1901     #endif  /* RADIUS_CONFIG_FILE */
1902
1903     case ECOND_LDAPAUTH:
1904     #ifdef LOOKUP_LDAP
1905       {
1906       /* Just to keep the interface the same */
1907       BOOL do_cache;
1908       int old_pool = store_pool;
1909       store_pool = POOL_SEARCH;
1910       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
1911         &expand_string_message, &do_cache);
1912       store_pool = old_pool;
1913       }
1914     goto END_AUTH;
1915     #else
1916     goto COND_FAILED_NOT_COMPILED;
1917     #endif  /* LOOKUP_LDAP */
1918
1919     case ECOND_PWCHECK:
1920     #ifdef CYRUS_PWCHECK_SOCKET
1921     rc = auth_call_pwcheck(sub[0], &expand_string_message);
1922     goto END_AUTH;
1923     #else
1924     goto COND_FAILED_NOT_COMPILED;
1925     #endif  /* CYRUS_PWCHECK_SOCKET */
1926
1927     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
1928         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
1929     END_AUTH:
1930     if (rc == ERROR || rc == DEFER) return NULL;
1931     *yield = (rc == OK) == testfor;
1932     #endif
1933     }
1934   return s;
1935
1936
1937   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
1938
1939      ${if saslauthd {{username}{password}{service}{realm}}  {yes}[no}}
1940
1941   However, the last two are optional. That is why the whole set is enclosed
1942   in their own set or braces. */
1943
1944   case ECOND_SASLAUTHD:
1945   #ifndef CYRUS_SASLAUTHD_SOCKET
1946   goto COND_FAILED_NOT_COMPILED;
1947   #else
1948   while (isspace(*s)) s++;
1949   if (*s++ != '{') goto COND_FAILED_CURLY_START;
1950   switch(read_subs(sub, 4, 2, &s, yield == NULL, TRUE, US"saslauthd"))
1951     {
1952     case 1: expand_string_message = US"too few arguments or bracketing "
1953       "error for saslauthd";
1954     case 2:
1955     case 3: return NULL;
1956     }
1957   if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
1958   if (yield != NULL)
1959     {
1960     int rc;
1961     rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
1962       &expand_string_message);
1963     if (rc == ERROR || rc == DEFER) return NULL;
1964     *yield = (rc == OK) == testfor;
1965     }
1966   return s;
1967   #endif /* CYRUS_SASLAUTHD_SOCKET */
1968
1969
1970   /* symbolic operators for numeric and string comparison, and a number of
1971   other operators, all requiring two arguments.
1972
1973   match:             does a regular expression match and sets up the numerical
1974                        variables if it succeeds
1975   match_address:     matches in an address list
1976   match_domain:      matches in a domain list
1977   match_ip:          matches a host list that is restricted to IP addresses
1978   match_local_part:  matches in a local part list
1979   crypteq:           encrypts plaintext and compares against an encrypted text,
1980                        using crypt(), crypt16(), MD5 or SHA-1
1981   */
1982
1983   case ECOND_MATCH:
1984   case ECOND_MATCH_ADDRESS:
1985   case ECOND_MATCH_DOMAIN:
1986   case ECOND_MATCH_IP:
1987   case ECOND_MATCH_LOCAL_PART:
1988   case ECOND_CRYPTEQ:
1989
1990   case ECOND_NUM_L:     /* Numerical comparisons */
1991   case ECOND_NUM_LE:
1992   case ECOND_NUM_E:
1993   case ECOND_NUM_EE:
1994   case ECOND_NUM_G:
1995   case ECOND_NUM_GE:
1996
1997   case ECOND_STR_LT:    /* String comparisons */
1998   case ECOND_STR_LTI:
1999   case ECOND_STR_LE:
2000   case ECOND_STR_LEI:
2001   case ECOND_STR_EQ:
2002   case ECOND_STR_EQI:
2003   case ECOND_STR_GT:
2004   case ECOND_STR_GTI:
2005   case ECOND_STR_GE:
2006   case ECOND_STR_GEI:
2007
2008   for (i = 0; i < 2; i++)
2009     {
2010     while (isspace(*s)) s++;
2011     if (*s != '{')
2012       {
2013       if (i == 0) goto COND_FAILED_CURLY_START;
2014       expand_string_message = string_sprintf("missing 2nd string in {} "
2015         "after \"%s\"", name);
2016       return NULL;
2017       }
2018     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
2019     if (sub[i] == NULL) return NULL;
2020     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2021
2022     /* Convert to numerical if required; we know that the names of all the
2023     conditions that compare numbers do not start with a letter. This just saves
2024     checking for them individually. */
2025
2026     if (!isalpha(name[0]) && yield != NULL)
2027       {
2028       if (sub[i][0] == 0)
2029         {
2030         num[i] = 0;
2031         DEBUG(D_expand)
2032           debug_printf("empty string cast to zero for numerical comparison\n");
2033         }
2034       else
2035         {
2036         num[i] = expand_string_integer(sub[i], FALSE);
2037         if (expand_string_message != NULL) return NULL;
2038         }
2039       }
2040     }
2041
2042   /* Result not required */
2043
2044   if (yield == NULL) return s;
2045
2046   /* Do an appropriate comparison */
2047
2048   switch(cond_type)
2049     {
2050     case ECOND_NUM_E:
2051     case ECOND_NUM_EE:
2052     *yield = (num[0] == num[1]) == testfor;
2053     break;
2054
2055     case ECOND_NUM_G:
2056     *yield = (num[0] > num[1]) == testfor;
2057     break;
2058
2059     case ECOND_NUM_GE:
2060     *yield = (num[0] >= num[1]) == testfor;
2061     break;
2062
2063     case ECOND_NUM_L:
2064     *yield = (num[0] < num[1]) == testfor;
2065     break;
2066
2067     case ECOND_NUM_LE:
2068     *yield = (num[0] <= num[1]) == testfor;
2069     break;
2070
2071     case ECOND_STR_LT:
2072     *yield = (Ustrcmp(sub[0], sub[1]) < 0) == testfor;
2073     break;
2074
2075     case ECOND_STR_LTI:
2076     *yield = (strcmpic(sub[0], sub[1]) < 0) == testfor;
2077     break;
2078
2079     case ECOND_STR_LE:
2080     *yield = (Ustrcmp(sub[0], sub[1]) <= 0) == testfor;
2081     break;
2082
2083     case ECOND_STR_LEI:
2084     *yield = (strcmpic(sub[0], sub[1]) <= 0) == testfor;
2085     break;
2086
2087     case ECOND_STR_EQ:
2088     *yield = (Ustrcmp(sub[0], sub[1]) == 0) == testfor;
2089     break;
2090
2091     case ECOND_STR_EQI:
2092     *yield = (strcmpic(sub[0], sub[1]) == 0) == testfor;
2093     break;
2094
2095     case ECOND_STR_GT:
2096     *yield = (Ustrcmp(sub[0], sub[1]) > 0) == testfor;
2097     break;
2098
2099     case ECOND_STR_GTI:
2100     *yield = (strcmpic(sub[0], sub[1]) > 0) == testfor;
2101     break;
2102
2103     case ECOND_STR_GE:
2104     *yield = (Ustrcmp(sub[0], sub[1]) >= 0) == testfor;
2105     break;
2106
2107     case ECOND_STR_GEI:
2108     *yield = (strcmpic(sub[0], sub[1]) >= 0) == testfor;
2109     break;
2110
2111     case ECOND_MATCH:   /* Regular expression match */
2112     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2113       NULL);
2114     if (re == NULL)
2115       {
2116       expand_string_message = string_sprintf("regular expression error in "
2117         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2118       return NULL;
2119       }
2120     *yield = regex_match_and_setup(re, sub[0], 0, -1) == testfor;
2121     break;
2122
2123     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2124     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2125     goto MATCHED_SOMETHING;
2126
2127     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2128     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2129       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2130     goto MATCHED_SOMETHING;
2131
2132     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2133     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2134       {
2135       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2136         sub[0]);
2137       return NULL;
2138       }
2139     else
2140       {
2141       unsigned int *nullcache = NULL;
2142       check_host_block cb;
2143
2144       cb.host_name = US"";
2145       cb.host_address = sub[0];
2146
2147       /* If the host address starts off ::ffff: it is an IPv6 address in
2148       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2149       addresses. */
2150
2151       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2152         cb.host_address + 7 : cb.host_address;
2153
2154       rc = match_check_list(
2155              &sub[1],                   /* the list */
2156              0,                         /* separator character */
2157              &hostlist_anchor,          /* anchor pointer */
2158              &nullcache,                /* cache pointer */
2159              check_host,                /* function for testing */
2160              &cb,                       /* argument for function */
2161              MCL_HOST,                  /* type of check */
2162              sub[0],                    /* text for debugging */
2163              NULL);                     /* where to pass back data */
2164       }
2165     goto MATCHED_SOMETHING;
2166
2167     case ECOND_MATCH_LOCAL_PART:
2168     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2169       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2170     /* Fall through */
2171     /* VVVVVVVVVVVV */
2172     MATCHED_SOMETHING:
2173     switch(rc)
2174       {
2175       case OK:
2176       *yield = testfor;
2177       break;
2178
2179       case FAIL:
2180       *yield = !testfor;
2181       break;
2182
2183       case DEFER:
2184       expand_string_message = string_sprintf("unable to complete match "
2185         "against \"%s\": %s", sub[1], search_error_message);
2186       return NULL;
2187       }
2188
2189     break;
2190
2191     /* Various "encrypted" comparisons. If the second string starts with
2192     "{" then an encryption type is given. Default to crypt() or crypt16()
2193     (build-time choice). */
2194
2195     case ECOND_CRYPTEQ:
2196     #ifndef SUPPORT_CRYPTEQ
2197     goto COND_FAILED_NOT_COMPILED;
2198     #else
2199     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2200       {
2201       int sublen = Ustrlen(sub[1]+5);
2202       md5 base;
2203       uschar digest[16];
2204
2205       md5_start(&base);
2206       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2207
2208       /* If the length that we are comparing against is 24, the MD5 digest
2209       is expressed as a base64 string. This is the way LDAP does it. However,
2210       some other software uses a straightforward hex representation. We assume
2211       this if the length is 32. Other lengths fail. */
2212
2213       if (sublen == 24)
2214         {
2215         uschar *coded = auth_b64encode((uschar *)digest, 16);
2216         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2217           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2218         *yield = (Ustrcmp(coded, sub[1]+5) == 0) == testfor;
2219         }
2220       else if (sublen == 32)
2221         {
2222         int i;
2223         uschar coded[36];
2224         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2225         coded[32] = 0;
2226         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2227           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2228         *yield = (strcmpic(coded, sub[1]+5) == 0) == testfor;
2229         }
2230       else
2231         {
2232         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2233           "fail\n  crypted=%s\n", sub[1]+5);
2234         *yield = !testfor;
2235         }
2236       }
2237
2238     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2239       {
2240       int sublen = Ustrlen(sub[1]+6);
2241       sha1 base;
2242       uschar digest[20];
2243
2244       sha1_start(&base);
2245       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2246
2247       /* If the length that we are comparing against is 28, assume the SHA1
2248       digest is expressed as a base64 string. If the length is 40, assume a
2249       straightforward hex representation. Other lengths fail. */
2250
2251       if (sublen == 28)
2252         {
2253         uschar *coded = auth_b64encode((uschar *)digest, 20);
2254         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2255           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2256         *yield = (Ustrcmp(coded, sub[1]+6) == 0) == testfor;
2257         }
2258       else if (sublen == 40)
2259         {
2260         int i;
2261         uschar coded[44];
2262         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2263         coded[40] = 0;
2264         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2265           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2266         *yield = (strcmpic(coded, sub[1]+6) == 0) == testfor;
2267         }
2268       else
2269         {
2270         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2271           "fail\n  crypted=%s\n", sub[1]+6);
2272         *yield = !testfor;
2273         }
2274       }
2275
2276     else   /* {crypt} or {crypt16} and non-{ at start */
2277       {
2278       int which = 0;
2279       uschar *coded;
2280
2281       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2282         {
2283         sub[1] += 7;
2284         which = 1;
2285         }
2286       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2287         {
2288         sub[1] += 9;
2289         which = 2;
2290         }
2291       else if (sub[1][0] == '{')
2292         {
2293         expand_string_message = string_sprintf("unknown encryption mechanism "
2294           "in \"%s\"", sub[1]);
2295         return NULL;
2296         }
2297
2298       switch(which)
2299         {
2300         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2301         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2302         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2303         }
2304
2305       #define STR(s) # s
2306       #define XSTR(s) STR(s)
2307       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2308         "  subject=%s\n  crypted=%s\n",
2309         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2310         coded, sub[1]);
2311       #undef STR
2312       #undef XSTR
2313
2314       /* If the encrypted string contains fewer than two characters (for the
2315       salt), force failure. Otherwise we get false positives: with an empty
2316       string the yield of crypt() is an empty string! */
2317
2318       *yield = (Ustrlen(sub[1]) < 2)? !testfor :
2319         (Ustrcmp(coded, sub[1]) == 0) == testfor;
2320       }
2321     break;
2322     #endif  /* SUPPORT_CRYPTEQ */
2323     }   /* Switch for comparison conditions */
2324
2325   return s;    /* End of comparison conditions */
2326
2327
2328   /* and/or: computes logical and/or of several conditions */
2329
2330   case ECOND_AND:
2331   case ECOND_OR:
2332   subcondptr = (yield == NULL)? NULL : &tempcond;
2333   combined_cond = (cond_type == ECOND_AND);
2334
2335   while (isspace(*s)) s++;
2336   if (*s++ != '{') goto COND_FAILED_CURLY_START;
2337
2338   for (;;)
2339     {
2340     while (isspace(*s)) s++;
2341     if (*s == '}') break;
2342     if (*s != '{')
2343       {
2344       expand_string_message = string_sprintf("each subcondition "
2345         "inside an \"%s{...}\" condition must be in its own {}", name);
2346       return NULL;
2347       }
2348
2349     s = eval_condition(s+1, subcondptr);
2350     if (s == NULL)
2351       {
2352       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2353         expand_string_message, name);
2354       return NULL;
2355       }
2356     while (isspace(*s)) s++;
2357
2358     if (*s++ != '}')
2359       {
2360       expand_string_message = string_sprintf("missing } at end of condition "
2361         "inside \"%s\" group", name);
2362       return NULL;
2363       }
2364
2365     if (yield != NULL)
2366       {
2367       if (cond_type == ECOND_AND)
2368         {
2369         combined_cond &= tempcond;
2370         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2371         }                                       /* evaluate any more */
2372       else
2373         {
2374         combined_cond |= tempcond;
2375         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2376         }                                       /* evaluate any more */
2377       }
2378     }
2379
2380   if (yield != NULL) *yield = (combined_cond == testfor);
2381   return ++s;
2382
2383
2384   /* forall/forany: iterates a condition with different values */
2385
2386   case ECOND_FORALL:
2387   case ECOND_FORANY:
2388     {
2389     int sep = 0;
2390     uschar *save_iterate_item = iterate_item;
2391
2392     while (isspace(*s)) s++;
2393     if (*s++ != '{') goto COND_FAILED_CURLY_START;
2394     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL));
2395     if (sub[0] == NULL) return NULL;
2396     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2397
2398     while (isspace(*s)) s++;
2399     if (*s++ != '{') goto COND_FAILED_CURLY_START;
2400
2401     sub[1] = s;
2402
2403     /* Call eval_condition once, with result discarded (as if scanning a
2404     "false" part). This allows us to find the end of the condition, because if
2405     the list it empty, we won't actually evaluate the condition for real. */
2406
2407     s = eval_condition(sub[1], NULL);
2408     if (s == NULL)
2409       {
2410       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2411         expand_string_message, name);
2412       return NULL;
2413       }
2414     while (isspace(*s)) s++;
2415
2416     if (*s++ != '}')
2417       {
2418       expand_string_message = string_sprintf("missing } at end of condition "
2419         "inside \"%s\"", name);
2420       return NULL;
2421       }
2422
2423     if (yield != NULL) *yield = !testfor;
2424     while ((iterate_item = string_nextinlist(&sub[0], &sep, NULL, 0)) != NULL)
2425       {
2426       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2427       if (eval_condition(sub[1], &tempcond) == NULL)
2428         {
2429         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2430           expand_string_message, name);
2431         iterate_item = save_iterate_item;
2432         return NULL;
2433         }
2434       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2435         tempcond? "true":"false");
2436
2437       if (yield != NULL) *yield = (tempcond == testfor);
2438       if (tempcond == (cond_type == ECOND_FORANY)) break;
2439       }
2440
2441     iterate_item = save_iterate_item;
2442     return s;
2443     }
2444
2445
2446   /* Unknown condition */
2447
2448   default:
2449   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
2450   return NULL;
2451   }   /* End switch on condition type */
2452
2453 /* Missing braces at start and end of data */
2454
2455 COND_FAILED_CURLY_START:
2456 expand_string_message = string_sprintf("missing { after \"%s\"", name);
2457 return NULL;
2458
2459 COND_FAILED_CURLY_END:
2460 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
2461   name);
2462 return NULL;
2463
2464 /* A condition requires code that is not compiled */
2465
2466 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
2467     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
2468     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
2469 COND_FAILED_NOT_COMPILED:
2470 expand_string_message = string_sprintf("support for \"%s\" not compiled",
2471   name);
2472 return NULL;
2473 #endif
2474 }
2475
2476
2477
2478
2479 /*************************************************
2480 *          Save numerical variables              *
2481 *************************************************/
2482
2483 /* This function is called from items such as "if" that want to preserve and
2484 restore the numbered variables.
2485
2486 Arguments:
2487   save_expand_string    points to an array of pointers to set
2488   save_expand_nlength   points to an array of ints for the lengths
2489
2490 Returns:                the value of expand max to save
2491 */
2492
2493 static int
2494 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
2495 {
2496 int i;
2497 for (i = 0; i <= expand_nmax; i++)
2498   {
2499   save_expand_nstring[i] = expand_nstring[i];
2500   save_expand_nlength[i] = expand_nlength[i];
2501   }
2502 return expand_nmax;
2503 }
2504
2505
2506
2507 /*************************************************
2508 *           Restore numerical variables          *
2509 *************************************************/
2510
2511 /* This function restored saved values of numerical strings.
2512
2513 Arguments:
2514   save_expand_nmax      the number of strings to restore
2515   save_expand_string    points to an array of pointers
2516   save_expand_nlength   points to an array of ints
2517
2518 Returns:                nothing
2519 */
2520
2521 static void
2522 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
2523   int *save_expand_nlength)
2524 {
2525 int i;
2526 expand_nmax = save_expand_nmax;
2527 for (i = 0; i <= expand_nmax; i++)
2528   {
2529   expand_nstring[i] = save_expand_nstring[i];
2530   expand_nlength[i] = save_expand_nlength[i];
2531   }
2532 }
2533
2534
2535
2536
2537
2538 /*************************************************
2539 *            Handle yes/no substrings            *
2540 *************************************************/
2541
2542 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
2543 alternative substrings that depend on whether or not the condition was true,
2544 or the lookup or extraction succeeded. The substrings always have to be
2545 expanded, to check their syntax, but "skipping" is set when the result is not
2546 needed - this avoids unnecessary nested lookups.
2547
2548 Arguments:
2549   skipping       TRUE if we were skipping when this item was reached
2550   yes            TRUE if the first string is to be used, else use the second
2551   save_lookup    a value to put back into lookup_value before the 2nd expansion
2552   sptr           points to the input string pointer
2553   yieldptr       points to the output string pointer
2554   sizeptr        points to the output string size
2555   ptrptr         points to the output string pointer
2556   type           "lookup" or "if" or "extract" or "run", for error message
2557
2558 Returns:         0 OK; lookup_value has been reset to save_lookup
2559                  1 expansion failed
2560                  2 expansion failed because of bracketing error
2561 */
2562
2563 static int
2564 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, uschar **sptr,
2565   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type)
2566 {
2567 int rc = 0;
2568 uschar *s = *sptr;    /* Local value */
2569 uschar *sub1, *sub2;
2570
2571 /* If there are no following strings, we substitute the contents of $value for
2572 lookups and for extractions in the success case. For the ${if item, the string
2573 "true" is substituted. In the fail case, nothing is substituted for all three
2574 items. */
2575
2576 while (isspace(*s)) s++;
2577 if (*s == '}')
2578   {
2579   if (type[0] == 'i')
2580     {
2581     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
2582     }
2583   else
2584     {
2585     if (yes && lookup_value != NULL)
2586       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
2587         Ustrlen(lookup_value));
2588     lookup_value = save_lookup;
2589     }
2590   s++;
2591   goto RETURN;
2592   }
2593
2594 /* The first following string must be braced. */
2595
2596 if (*s++ != '{') goto FAILED_CURLY;
2597
2598 /* Expand the first substring. Forced failures are noticed only if we actually
2599 want this string. Set skipping in the call in the fail case (this will always
2600 be the case if we were already skipping). */
2601
2602 sub1 = expand_string_internal(s, TRUE, &s, !yes);
2603 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
2604 expand_string_forcedfail = FALSE;
2605 if (*s++ != '}') goto FAILED_CURLY;
2606
2607 /* If we want the first string, add it to the output */
2608
2609 if (yes)
2610   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
2611
2612 /* If this is called from a lookup or an extract, we want to restore $value to
2613 what it was at the start of the item, so that it has this value during the
2614 second string expansion. For the call from "if" or "run" to this function,
2615 save_lookup is set to lookup_value, so that this statement does nothing. */
2616
2617 lookup_value = save_lookup;
2618
2619 /* There now follows either another substring, or "fail", or nothing. This
2620 time, forced failures are noticed only if we want the second string. We must
2621 set skipping in the nested call if we don't want this string, or if we were
2622 already skipping. */
2623
2624 while (isspace(*s)) s++;
2625 if (*s == '{')
2626   {
2627   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping);
2628   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
2629   expand_string_forcedfail = FALSE;
2630   if (*s++ != '}') goto FAILED_CURLY;
2631
2632   /* If we want the second string, add it to the output */
2633
2634   if (!yes)
2635     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
2636   }
2637
2638 /* If there is no second string, but the word "fail" is present when the use of
2639 the second string is wanted, set a flag indicating it was a forced failure
2640 rather than a syntactic error. Swallow the terminating } in case this is nested
2641 inside another lookup or if or extract. */
2642
2643 else if (*s != '}')
2644   {
2645   uschar name[256];
2646   s = read_name(name, sizeof(name), s, US"_");
2647   if (Ustrcmp(name, "fail") == 0)
2648     {
2649     if (!yes && !skipping)
2650       {
2651       while (isspace(*s)) s++;
2652       if (*s++ != '}') goto FAILED_CURLY;
2653       expand_string_message =
2654         string_sprintf("\"%s\" failed and \"fail\" requested", type);
2655       expand_string_forcedfail = TRUE;
2656       goto FAILED;
2657       }
2658     }
2659   else
2660     {
2661     expand_string_message =
2662       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
2663     goto FAILED;
2664     }
2665   }
2666
2667 /* All we have to do now is to check on the final closing brace. */
2668
2669 while (isspace(*s)) s++;
2670 if (*s++ == '}') goto RETURN;
2671
2672 /* Get here if there is a bracketing failure */
2673
2674 FAILED_CURLY:
2675 rc++;
2676
2677 /* Get here for other failures */
2678
2679 FAILED:
2680 rc++;
2681
2682 /* Update the input pointer value before returning */
2683
2684 RETURN:
2685 *sptr = s;
2686 return rc;
2687 }
2688
2689
2690
2691
2692 /*************************************************
2693 *    Handle MD5 or SHA-1 computation for HMAC    *
2694 *************************************************/
2695
2696 /* These are some wrapping functions that enable the HMAC code to be a bit
2697 cleaner. A good compiler will spot the tail recursion.
2698
2699 Arguments:
2700   type         HMAC_MD5 or HMAC_SHA1
2701   remaining    are as for the cryptographic hash functions
2702
2703 Returns:       nothing
2704 */
2705
2706 static void
2707 chash_start(int type, void *base)
2708 {
2709 if (type == HMAC_MD5)
2710   md5_start((md5 *)base);
2711 else
2712   sha1_start((sha1 *)base);
2713 }
2714
2715 static void
2716 chash_mid(int type, void *base, uschar *string)
2717 {
2718 if (type == HMAC_MD5)
2719   md5_mid((md5 *)base, string);
2720 else
2721   sha1_mid((sha1 *)base, string);
2722 }
2723
2724 static void
2725 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
2726 {
2727 if (type == HMAC_MD5)
2728   md5_end((md5 *)base, string, length, digest);
2729 else
2730   sha1_end((sha1 *)base, string, length, digest);
2731 }
2732
2733
2734
2735
2736
2737 /********************************************************
2738 * prvs: Get last three digits of days since Jan 1, 1970 *
2739 ********************************************************/
2740
2741 /* This is needed to implement the "prvs" BATV reverse
2742    path signing scheme
2743
2744 Argument: integer "days" offset to add or substract to
2745           or from the current number of days.
2746
2747 Returns:  pointer to string containing the last three
2748           digits of the number of days since Jan 1, 1970,
2749           modified by the offset argument, NULL if there
2750           was an error in the conversion.
2751
2752 */
2753
2754 static uschar *
2755 prvs_daystamp(int day_offset)
2756 {
2757 uschar *days = store_get(32);                /* Need at least 24 for cases */
2758 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
2759   (time(NULL) + day_offset*86400)/86400);
2760 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
2761 }
2762
2763
2764
2765 /********************************************************
2766 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
2767 ********************************************************/
2768
2769 /* This is needed to implement the "prvs" BATV reverse
2770    path signing scheme
2771
2772 Arguments:
2773   address RFC2821 Address to use
2774       key The key to use (must be less than 64 characters
2775           in size)
2776   key_num Single-digit key number to use. Defaults to
2777           '0' when NULL.
2778
2779 Returns:  pointer to string containing the first three
2780           bytes of the final hash in hex format, NULL if
2781           there was an error in the process.
2782 */
2783
2784 static uschar *
2785 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
2786 {
2787 uschar *hash_source, *p;
2788 int size = 0,offset = 0,i;
2789 sha1 sha1_base;
2790 void *use_base = &sha1_base;
2791 uschar innerhash[20];
2792 uschar finalhash[20];
2793 uschar innerkey[64];
2794 uschar outerkey[64];
2795 uschar *finalhash_hex = store_get(40);
2796
2797 if (key_num == NULL)
2798   key_num = US"0";
2799
2800 if (Ustrlen(key) > 64)
2801   return NULL;
2802
2803 hash_source = string_cat(NULL,&size,&offset,key_num,1);
2804 string_cat(hash_source,&size,&offset,daystamp,3);
2805 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
2806 hash_source[offset] = '\0';
2807
2808 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
2809
2810 memset(innerkey, 0x36, 64);
2811 memset(outerkey, 0x5c, 64);
2812
2813 for (i = 0; i < Ustrlen(key); i++)
2814   {
2815   innerkey[i] ^= key[i];
2816   outerkey[i] ^= key[i];
2817   }
2818
2819 chash_start(HMAC_SHA1, use_base);
2820 chash_mid(HMAC_SHA1, use_base, innerkey);
2821 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
2822
2823 chash_start(HMAC_SHA1, use_base);
2824 chash_mid(HMAC_SHA1, use_base, outerkey);
2825 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
2826
2827 p = finalhash_hex;
2828 for (i = 0; i < 3; i++)
2829   {
2830   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2831   *p++ = hex_digits[finalhash[i] & 0x0f];
2832   }
2833 *p = '\0';
2834
2835 return finalhash_hex;
2836 }
2837
2838
2839
2840
2841 /*************************************************
2842 *        Join a file onto the output string      *
2843 *************************************************/
2844
2845 /* This is used for readfile and after a run expansion. It joins the contents
2846 of a file onto the output string, globally replacing newlines with a given
2847 string (optionally). The file is closed at the end.
2848
2849 Arguments:
2850   f            the FILE
2851   yield        pointer to the expandable string
2852   sizep        pointer to the current size
2853   ptrp         pointer to the current position
2854   eol          newline replacement string, or NULL
2855
2856 Returns:       new value of string pointer
2857 */
2858
2859 static uschar *
2860 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
2861 {
2862 int eollen;
2863 uschar buffer[1024];
2864
2865 eollen = (eol == NULL)? 0 : Ustrlen(eol);
2866
2867 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
2868   {
2869   int len = Ustrlen(buffer);
2870   if (eol != NULL && buffer[len-1] == '\n') len--;
2871   yield = string_cat(yield, sizep, ptrp, buffer, len);
2872   if (buffer[len] != 0)
2873     yield = string_cat(yield, sizep, ptrp, eol, eollen);
2874   }
2875
2876 if (yield != NULL) yield[*ptrp] = 0;
2877
2878 return yield;
2879 }
2880
2881
2882
2883
2884 /*************************************************
2885 *          Evaluate numeric expression           *
2886 *************************************************/
2887
2888 /* This is a set of mutually recursive functions that evaluate an arithmetic
2889 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
2890 these functions that is called from elsewhere is eval_expr, whose interface is:
2891
2892 Arguments:
2893   sptr        pointer to the pointer to the string - gets updated
2894   decimal     TRUE if numbers are to be assumed decimal
2895   error       pointer to where to put an error message - must be NULL on input
2896   endket      TRUE if ')' must terminate - FALSE for external call
2897
2898 Returns:      on success: the value of the expression, with *error still NULL
2899               on failure: an undefined value, with *error = a message
2900 */
2901
2902 static int eval_op_or(uschar **, BOOL, uschar **);
2903
2904
2905 static int
2906 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
2907 {
2908 uschar *s = *sptr;
2909 int x = eval_op_or(&s, decimal, error);
2910 if (*error == NULL)
2911   {
2912   if (endket)
2913     {
2914     if (*s != ')')
2915       *error = US"expecting closing parenthesis";
2916     else
2917       while (isspace(*(++s)));
2918     }
2919   else if (*s != 0) *error = US"expecting operator";
2920   }
2921 *sptr = s;
2922 return x;
2923 }
2924
2925
2926 static int
2927 eval_number(uschar **sptr, BOOL decimal, uschar **error)
2928 {
2929 register int c;
2930 int n;
2931 uschar *s = *sptr;
2932 while (isspace(*s)) s++;
2933 c = *s;
2934 if (isdigit(c))
2935   {
2936   int count;
2937   (void)sscanf(CS s, (decimal? "%d%n" : "%i%n"), &n, &count);
2938   s += count;
2939   if (tolower(*s) == 'k') { n *= 1024; s++; }
2940     else if (tolower(*s) == 'm') { n *= 1024*1024; s++; }
2941   while (isspace (*s)) s++;
2942   }
2943 else if (c == '(')
2944   {
2945   s++;
2946   n = eval_expr(&s, decimal, error, 1);
2947   }
2948 else
2949   {
2950   *error = US"expecting number or opening parenthesis";
2951   n = 0;
2952   }
2953 *sptr = s;
2954 return n;
2955 }
2956
2957
2958 static int eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
2959 {
2960 uschar *s = *sptr;
2961 int x;
2962 while (isspace(*s)) s++;
2963 if (*s == '+' || *s == '-' || *s == '~')
2964   {
2965   int op = *s++;
2966   x = eval_op_unary(&s, decimal, error);
2967   if (op == '-') x = -x;
2968     else if (op == '~') x = ~x;
2969   }
2970 else
2971   {
2972   x = eval_number(&s, decimal, error);
2973   }
2974 *sptr = s;
2975 return x;
2976 }
2977
2978
2979 static int eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
2980 {
2981 uschar *s = *sptr;
2982 int x = eval_op_unary(&s, decimal, error);
2983 if (*error == NULL)
2984   {
2985   while (*s == '*' || *s == '/' || *s == '%')
2986     {
2987     int op = *s++;
2988     int y = eval_op_unary(&s, decimal, error);
2989     if (*error != NULL) break;
2990     if (op == '*') x *= y;
2991       else if (op == '/') x /= y;
2992       else x %= y;
2993     }
2994   }
2995 *sptr = s;
2996 return x;
2997 }
2998
2999
3000 static int eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3001 {
3002 uschar *s = *sptr;
3003 int x = eval_op_mult(&s, decimal, error);
3004 if (*error == NULL)
3005   {
3006   while (*s == '+' || *s == '-')
3007     {
3008     int op = *s++;
3009     int y = eval_op_mult(&s, decimal, error);
3010     if (*error != NULL) break;
3011     if (op == '+') x += y; else x -= y;
3012     }
3013   }
3014 *sptr = s;
3015 return x;
3016 }
3017
3018
3019 static int eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3020 {
3021 uschar *s = *sptr;
3022 int x = eval_op_sum(&s, decimal, error);
3023 if (*error == NULL)
3024   {
3025   while ((*s == '<' || *s == '>') && s[1] == s[0])
3026     {
3027     int y;
3028     int op = *s++;
3029     s++;
3030     y = eval_op_sum(&s, decimal, error);
3031     if (*error != NULL) break;
3032     if (op == '<') x <<= y; else x >>= y;
3033     }
3034   }
3035 *sptr = s;
3036 return x;
3037 }
3038
3039
3040 static int eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3041 {
3042 uschar *s = *sptr;
3043 int x = eval_op_shift(&s, decimal, error);
3044 if (*error == NULL)
3045   {
3046   while (*s == '&')
3047     {
3048     int y;
3049     s++;
3050     y = eval_op_shift(&s, decimal, error);
3051     if (*error != NULL) break;
3052     x &= y;
3053     }
3054   }
3055 *sptr = s;
3056 return x;
3057 }
3058
3059
3060 static int eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3061 {
3062 uschar *s = *sptr;
3063 int x = eval_op_and(&s, decimal, error);
3064 if (*error == NULL)
3065   {
3066   while (*s == '^')
3067     {
3068     int y;
3069     s++;
3070     y = eval_op_and(&s, decimal, error);
3071     if (*error != NULL) break;
3072     x ^= y;
3073     }
3074   }
3075 *sptr = s;
3076 return x;
3077 }
3078
3079
3080 static int eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3081 {
3082 uschar *s = *sptr;
3083 int x = eval_op_xor(&s, decimal, error);
3084 if (*error == NULL)
3085   {
3086   while (*s == '|')
3087     {
3088     int y;
3089     s++;
3090     y = eval_op_xor(&s, decimal, error);
3091     if (*error != NULL) break;
3092     x |= y;
3093     }
3094   }
3095 *sptr = s;
3096 return x;
3097 }
3098
3099
3100
3101 /*************************************************
3102 *                 Expand string                  *
3103 *************************************************/
3104
3105 /* Returns either an unchanged string, or the expanded string in stacking pool
3106 store. Interpreted sequences are:
3107
3108    \...                    normal escaping rules
3109    $name                   substitutes the variable
3110    ${name}                 ditto
3111    ${op:string}            operates on the expanded string value
3112    ${item{arg1}{arg2}...}  expands the args and then does the business
3113                              some literal args are not enclosed in {}
3114
3115 There are now far too many operators and item types to make it worth listing
3116 them here in detail any more.
3117
3118 We use an internal routine recursively to handle embedded substrings. The
3119 external function follows. The yield is NULL if the expansion failed, and there
3120 are two cases: if something collapsed syntactically, or if "fail" was given
3121 as the action on a lookup failure. These can be distinguised by looking at the
3122 variable expand_string_forcedfail, which is TRUE in the latter case.
3123
3124 The skipping flag is set true when expanding a substring that isn't actually
3125 going to be used (after "if" or "lookup") and it prevents lookups from
3126 happening lower down.
3127
3128 Store usage: At start, a store block of the length of the input plus 64
3129 is obtained. This is expanded as necessary by string_cat(), which might have to
3130 get a new block, or might be able to expand the original. At the end of the
3131 function we can release any store above that portion of the yield block that
3132 was actually used. In many cases this will be optimal.
3133
3134 However: if the first item in the expansion is a variable name or header name,
3135 we reset the store before processing it; if the result is in fresh store, we
3136 use that without copying. This is helpful for expanding strings like
3137 $message_headers which can get very long.
3138
3139 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3140 since resetting the store at the end of the expansion will free store that was
3141 allocated by the plugin code as well as the slop after the expanded string. So
3142 we skip any resets if ${dlfunc has been used. This is an unfortunate
3143 consequence of string expansion becoming too powerful.
3144
3145 Arguments:
3146   string         the string to be expanded
3147   ket_ends       true if expansion is to stop at }
3148   left           if not NULL, a pointer to the first character after the
3149                  expansion is placed here (typically used with ket_ends)
3150   skipping       TRUE for recursive calls when the value isn't actually going
3151                  to be used (to allow for optimisation)
3152
3153 Returns:         NULL if expansion fails:
3154                    expand_string_forcedfail is set TRUE if failure was forced
3155                    expand_string_message contains a textual error message
3156                  a pointer to the expanded string on success
3157 */
3158
3159 static uschar *
3160 expand_string_internal(uschar *string, BOOL ket_ends, uschar **left,
3161   BOOL skipping)
3162 {
3163 int ptr = 0;
3164 int size = Ustrlen(string)+ 64;
3165 int item_type;
3166 uschar *yield = store_get(size);
3167 uschar *s = string;
3168 uschar *save_expand_nstring[EXPAND_MAXN+1];
3169 int save_expand_nlength[EXPAND_MAXN+1];
3170 BOOL resetok = TRUE;
3171
3172 expand_string_forcedfail = FALSE;
3173 expand_string_message = US"";
3174
3175 while (*s != 0)
3176   {
3177   uschar *value;
3178   uschar name[256];
3179
3180   /* \ escapes the next character, which must exist, or else
3181   the expansion fails. There's a special escape, \N, which causes
3182   copying of the subject verbatim up to the next \N. Otherwise,
3183   the escapes are the standard set. */
3184
3185   if (*s == '\\')
3186     {
3187     if (s[1] == 0)
3188       {
3189       expand_string_message = US"\\ at end of string";
3190       goto EXPAND_FAILED;
3191       }
3192
3193     if (s[1] == 'N')
3194       {
3195       uschar *t = s + 2;
3196       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3197       yield = string_cat(yield, &size, &ptr, t, s - t);
3198       if (*s != 0) s += 2;
3199       }
3200
3201     else
3202       {
3203       uschar ch[1];
3204       ch[0] = string_interpret_escape(&s);
3205       s++;
3206       yield = string_cat(yield, &size, &ptr, ch, 1);
3207       }
3208
3209     continue;
3210     }
3211
3212   /* Anything other than $ is just copied verbatim, unless we are
3213   looking for a terminating } character. */
3214
3215   if (ket_ends && *s == '}') break;
3216
3217   if (*s != '$')
3218     {
3219     yield = string_cat(yield, &size, &ptr, s++, 1);
3220     continue;
3221     }
3222
3223   /* No { after the $ - must be a plain name or a number for string
3224   match variable. There has to be a fudge for variables that are the
3225   names of header fields preceded by "$header_" because header field
3226   names can contain any printing characters except space and colon.
3227   For those that don't like typing this much, "$h_" is a synonym for
3228   "$header_". A non-existent header yields a NULL value; nothing is
3229   inserted. */
3230
3231   if (isalpha((*(++s))))
3232     {
3233     int len;
3234     int newsize = 0;
3235
3236     s = read_name(name, sizeof(name), s, US"_");
3237
3238     /* If this is the first thing to be expanded, release the pre-allocated
3239     buffer. */
3240
3241     if (ptr == 0 && yield != NULL)
3242       {
3243       if (resetok) store_reset(yield);
3244       yield = NULL;
3245       size = 0;
3246       }
3247
3248     /* Header */
3249
3250     if (Ustrncmp(name, "h_", 2) == 0 ||
3251         Ustrncmp(name, "rh_", 3) == 0 ||
3252         Ustrncmp(name, "bh_", 3) == 0 ||
3253         Ustrncmp(name, "header_", 7) == 0 ||
3254         Ustrncmp(name, "rheader_", 8) == 0 ||
3255         Ustrncmp(name, "bheader_", 8) == 0)
3256       {
3257       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3258       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3259       s = read_header_name(name, sizeof(name), s);
3260       value = find_header(name, FALSE, &newsize, want_raw, charset);
3261
3262       /* If we didn't find the header, and the header contains a closing brace
3263       character, this may be a user error where the terminating colon
3264       has been omitted. Set a flag to adjust the error message in this case.
3265       But there is no error here - nothing gets inserted. */
3266
3267       if (value == NULL)
3268         {
3269         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3270         continue;
3271         }
3272       }
3273
3274     /* Variable */
3275
3276     else
3277       {
3278       value = find_variable(name, FALSE, skipping, &newsize);
3279       if (value == NULL)
3280         {
3281         expand_string_message =
3282           string_sprintf("unknown variable name \"%s\"", name);
3283           check_variable_error_message(name);
3284         goto EXPAND_FAILED;
3285         }
3286       }
3287
3288     /* If the data is known to be in a new buffer, newsize will be set to the
3289     size of that buffer. If this is the first thing in an expansion string,
3290     yield will be NULL; just point it at the new store instead of copying. Many
3291     expansion strings contain just one reference, so this is a useful
3292     optimization, especially for humungous headers. */
3293
3294     len = Ustrlen(value);
3295     if (yield == NULL && newsize != 0)
3296       {
3297       yield = value;
3298       size = newsize;
3299       ptr = len;
3300       }
3301     else yield = string_cat(yield, &size, &ptr, value, len);
3302
3303     continue;
3304     }
3305
3306   if (isdigit(*s))
3307     {
3308     int n;
3309     s = read_number(&n, s);
3310     if (n >= 0 && n <= expand_nmax)
3311       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3312         expand_nlength[n]);
3313     continue;
3314     }
3315
3316   /* Otherwise, if there's no '{' after $ it's an error. */
3317
3318   if (*s != '{')
3319     {
3320     expand_string_message = US"$ not followed by letter, digit, or {";
3321     goto EXPAND_FAILED;
3322     }
3323
3324   /* After { there can be various things, but they all start with
3325   an initial word, except for a number for a string match variable. */
3326
3327   if (isdigit((*(++s))))
3328     {
3329     int n;
3330     s = read_number(&n, s);
3331     if (*s++ != '}')
3332       {
3333       expand_string_message = US"} expected after number";
3334       goto EXPAND_FAILED;
3335       }
3336     if (n >= 0 && n <= expand_nmax)
3337       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3338         expand_nlength[n]);
3339     continue;
3340     }
3341
3342   if (!isalpha(*s))
3343     {
3344     expand_string_message = US"letter or digit expected after ${";
3345     goto EXPAND_FAILED;
3346     }
3347
3348   /* Allow "-" in names to cater for substrings with negative
3349   arguments. Since we are checking for known names after { this is
3350   OK. */
3351
3352   s = read_name(name, sizeof(name), s, US"_-");
3353   item_type = chop_match(name, item_table, sizeof(item_table)/sizeof(uschar *));
3354
3355   switch(item_type)
3356     {
3357     /* Handle conditionals - preserve the values of the numerical expansion
3358     variables in case they get changed by a regular expression match in the
3359     condition. If not, they retain their external settings. At the end
3360     of this "if" section, they get restored to their previous values. */
3361
3362     case EITEM_IF:
3363       {
3364       BOOL cond = FALSE;
3365       uschar *next_s;
3366       int save_expand_nmax =
3367         save_expand_strings(save_expand_nstring, save_expand_nlength);
3368
3369       while (isspace(*s)) s++;
3370       next_s = eval_condition(s, skipping? NULL : &cond);
3371       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
3372
3373       DEBUG(D_expand)
3374         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
3375           cond? "true" : "false");
3376
3377       s = next_s;
3378
3379       /* The handling of "yes" and "no" result strings is now in a separate
3380       function that is also used by ${lookup} and ${extract} and ${run}. */
3381
3382       switch(process_yesno(
3383                skipping,                     /* were previously skipping */
3384                cond,                         /* success/failure indicator */
3385                lookup_value,                 /* value to reset for string2 */
3386                &s,                           /* input pointer */
3387                &yield,                       /* output pointer */
3388                &size,                        /* output size */
3389                &ptr,                         /* output current point */
3390                US"if"))                      /* condition type */
3391         {
3392         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3393         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3394         }
3395
3396       /* Restore external setting of expansion variables for continuation
3397       at this level. */
3398
3399       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3400         save_expand_nlength);
3401       continue;
3402       }
3403
3404     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
3405     expanding an internal string that isn't actually going to be used. All we
3406     need to do is check the syntax, so don't do a lookup at all. Preserve the
3407     values of the numerical expansion variables in case they get changed by a
3408     partial lookup. If not, they retain their external settings. At the end
3409     of this "lookup" section, they get restored to their previous values. */
3410
3411     case EITEM_LOOKUP:
3412       {
3413       int stype, partial, affixlen, starflags;
3414       int expand_setup = 0;
3415       int nameptr = 0;
3416       uschar *key, *filename, *affix;
3417       uschar *save_lookup_value = lookup_value;
3418       int save_expand_nmax =
3419         save_expand_strings(save_expand_nstring, save_expand_nlength);
3420
3421       if ((expand_forbid & RDO_LOOKUP) != 0)
3422         {
3423         expand_string_message = US"lookup expansions are not permitted";
3424         goto EXPAND_FAILED;
3425         }
3426
3427       /* Get the key we are to look up for single-key+file style lookups.
3428       Otherwise set the key NULL pro-tem. */
3429
3430       while (isspace(*s)) s++;
3431       if (*s == '{')
3432         {
3433         key = expand_string_internal(s+1, TRUE, &s, skipping);
3434         if (key == NULL) goto EXPAND_FAILED;
3435         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3436         while (isspace(*s)) s++;
3437         }
3438       else key = NULL;
3439
3440       /* Find out the type of database */
3441
3442       if (!isalpha(*s))
3443         {
3444         expand_string_message = US"missing lookup type";
3445         goto EXPAND_FAILED;
3446         }
3447
3448       /* The type is a string that may contain special characters of various
3449       kinds. Allow everything except space or { to appear; the actual content
3450       is checked by search_findtype_partial. */
3451
3452       while (*s != 0 && *s != '{' && !isspace(*s))
3453         {
3454         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
3455         s++;
3456         }
3457       name[nameptr] = 0;
3458       while (isspace(*s)) s++;
3459
3460       /* Now check for the individual search type and any partial or default
3461       options. Only those types that are actually in the binary are valid. */
3462
3463       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
3464         &starflags);
3465       if (stype < 0)
3466         {
3467         expand_string_message = search_error_message;
3468         goto EXPAND_FAILED;
3469         }
3470
3471       /* Check that a key was provided for those lookup types that need it,
3472       and was not supplied for those that use the query style. */
3473
3474       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
3475         {
3476         if (key == NULL)
3477           {
3478           expand_string_message = string_sprintf("missing {key} for single-"
3479             "key \"%s\" lookup", name);
3480           goto EXPAND_FAILED;
3481           }
3482         }
3483       else
3484         {
3485         if (key != NULL)
3486           {
3487           expand_string_message = string_sprintf("a single key was given for "
3488             "lookup type \"%s\", which is not a single-key lookup type", name);
3489           goto EXPAND_FAILED;
3490           }
3491         }
3492
3493       /* Get the next string in brackets and expand it. It is the file name for
3494       single-key+file lookups, and the whole query otherwise. In the case of
3495       queries that also require a file name (e.g. sqlite), the file name comes
3496       first. */
3497
3498       if (*s != '{') goto EXPAND_FAILED_CURLY;
3499       filename = expand_string_internal(s+1, TRUE, &s, skipping);
3500       if (filename == NULL) goto EXPAND_FAILED;
3501       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3502       while (isspace(*s)) s++;
3503
3504       /* If this isn't a single-key+file lookup, re-arrange the variables
3505       to be appropriate for the search_ functions. For query-style lookups,
3506       there is just a "key", and no file name. For the special query-style +
3507       file types, the query (i.e. "key") starts with a file name. */
3508
3509       if (key == NULL)
3510         {
3511         while (isspace(*filename)) filename++;
3512         key = filename;
3513
3514         if (mac_islookup(stype, lookup_querystyle))
3515           {
3516           filename = NULL;
3517           }
3518         else
3519           {
3520           if (*filename != '/')
3521             {
3522             expand_string_message = string_sprintf(
3523               "absolute file name expected for \"%s\" lookup", name);
3524             goto EXPAND_FAILED;
3525             }
3526           while (*key != 0 && !isspace(*key)) key++;
3527           if (*key != 0) *key++ = 0;
3528           }
3529         }
3530
3531       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
3532       the entry was not found. Note that there is no search_close() function.
3533       Files are left open in case of re-use. At suitable places in higher logic,
3534       search_tidyup() is called to tidy all open files. This can save opening
3535       the same file several times. However, files may also get closed when
3536       others are opened, if too many are open at once. The rule is that a
3537       handle should not be used after a second search_open().
3538
3539       Request that a partial search sets up $1 and maybe $2 by passing
3540       expand_setup containing zero. If its value changes, reset expand_nmax,
3541       since new variables will have been set. Note that at the end of this
3542       "lookup" section, the old numeric variables are restored. */
3543
3544       if (skipping)
3545         lookup_value = NULL;
3546       else
3547         {
3548         void *handle = search_open(filename, stype, 0, NULL, NULL);
3549         if (handle == NULL)
3550           {
3551           expand_string_message = search_error_message;
3552           goto EXPAND_FAILED;
3553           }
3554         lookup_value = search_find(handle, filename, key, partial, affix,
3555           affixlen, starflags, &expand_setup);
3556         if (search_find_defer)
3557           {
3558           expand_string_message =
3559             string_sprintf("lookup of \"%s\" gave DEFER: %s", key,
3560               search_error_message);
3561           goto EXPAND_FAILED;
3562           }
3563         if (expand_setup > 0) expand_nmax = expand_setup;
3564         }
3565
3566       /* The handling of "yes" and "no" result strings is now in a separate
3567       function that is also used by ${if} and ${extract}. */
3568
3569       switch(process_yesno(
3570                skipping,                     /* were previously skipping */
3571                lookup_value != NULL,         /* success/failure indicator */
3572                save_lookup_value,            /* value to reset for string2 */
3573                &s,                           /* input pointer */
3574                &yield,                       /* output pointer */
3575                &size,                        /* output size */
3576                &ptr,                         /* output current point */
3577                US"lookup"))                  /* condition type */
3578         {
3579         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3580         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3581         }
3582
3583       /* Restore external setting of expansion variables for carrying on
3584       at this level, and continue. */
3585
3586       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3587         save_expand_nlength);
3588       continue;
3589       }
3590
3591     /* If Perl support is configured, handle calling embedded perl subroutines,
3592     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
3593     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
3594     arguments (defined below). */
3595
3596     #define EXIM_PERL_MAX_ARGS 8
3597
3598     case EITEM_PERL:
3599     #ifndef EXIM_PERL
3600     expand_string_message = US"\"${perl\" encountered, but this facility "
3601       "is not included in this binary";
3602     goto EXPAND_FAILED;
3603
3604     #else   /* EXIM_PERL */
3605       {
3606       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
3607       uschar *new_yield;
3608
3609       if ((expand_forbid & RDO_PERL) != 0)
3610         {
3611         expand_string_message = US"Perl calls are not permitted";
3612         goto EXPAND_FAILED;
3613         }
3614
3615       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
3616            US"perl"))
3617         {
3618         case 1: goto EXPAND_FAILED_CURLY;
3619         case 2:
3620         case 3: goto EXPAND_FAILED;
3621         }
3622
3623       /* If skipping, we don't actually do anything */
3624
3625       if (skipping) continue;
3626
3627       /* Start the interpreter if necessary */
3628
3629       if (!opt_perl_started)
3630         {
3631         uschar *initerror;
3632         if (opt_perl_startup == NULL)
3633           {
3634           expand_string_message = US"A setting of perl_startup is needed when "
3635             "using the Perl interpreter";
3636           goto EXPAND_FAILED;
3637           }
3638         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3639         initerror = init_perl(opt_perl_startup);
3640         if (initerror != NULL)
3641           {
3642           expand_string_message =
3643             string_sprintf("error in perl_startup code: %s\n", initerror);
3644           goto EXPAND_FAILED;
3645           }
3646         opt_perl_started = TRUE;
3647         }
3648
3649       /* Call the function */
3650
3651       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
3652       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
3653         sub_arg[0], sub_arg + 1);
3654
3655       /* NULL yield indicates failure; if the message pointer has been set to
3656       NULL, the yield was undef, indicating a forced failure. Otherwise the
3657       message will indicate some kind of Perl error. */
3658
3659       if (new_yield == NULL)
3660         {
3661         if (expand_string_message == NULL)
3662           {
3663           expand_string_message =
3664             string_sprintf("Perl subroutine \"%s\" returned undef to force "
3665               "failure", sub_arg[0]);
3666           expand_string_forcedfail = TRUE;
3667           }
3668         goto EXPAND_FAILED;
3669         }
3670
3671       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
3672       set during a callback from Perl. */
3673
3674       expand_string_forcedfail = FALSE;
3675       yield = new_yield;
3676       continue;
3677       }
3678     #endif /* EXIM_PERL */
3679
3680     /* Transform email address to "prvs" scheme to use
3681        as BATV-signed return path */
3682
3683     case EITEM_PRVS:
3684       {
3685       uschar *sub_arg[3];
3686       uschar *p,*domain;
3687
3688       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs"))
3689         {
3690         case 1: goto EXPAND_FAILED_CURLY;
3691         case 2:
3692         case 3: goto EXPAND_FAILED;
3693         }
3694
3695       /* If skipping, we don't actually do anything */
3696       if (skipping) continue;
3697
3698       /* sub_arg[0] is the address */
3699       domain = Ustrrchr(sub_arg[0],'@');
3700       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
3701         {
3702         expand_string_message = US"prvs first argument must be a qualified email address";
3703         goto EXPAND_FAILED;
3704         }
3705
3706       /* Calculate the hash. The second argument must be a single-digit
3707       key number, or unset. */
3708
3709       if (sub_arg[2] != NULL &&
3710           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
3711         {
3712         expand_string_message = US"prvs second argument must be a single digit";
3713         goto EXPAND_FAILED;
3714         }
3715
3716       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
3717       if (p == NULL)
3718         {
3719         expand_string_message = US"prvs hmac-sha1 conversion failed";
3720         goto EXPAND_FAILED;
3721         }
3722
3723       /* Now separate the domain from the local part */
3724       *domain++ = '\0';
3725
3726       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
3727       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
3728       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
3729       string_cat(yield,&size,&ptr,p,6);
3730       string_cat(yield,&size,&ptr,US"=",1);
3731       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3732       string_cat(yield,&size,&ptr,US"@",1);
3733       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
3734
3735       continue;
3736       }
3737
3738     /* Check a prvs-encoded address for validity */
3739
3740     case EITEM_PRVSCHECK:
3741       {
3742       uschar *sub_arg[3];
3743       int mysize = 0, myptr = 0;
3744       const pcre *re;
3745       uschar *p;
3746
3747       /* TF: Ugliness: We want to expand parameter 1 first, then set
3748          up expansion variables that are used in the expansion of
3749          parameter 2. So we clone the string for the first
3750          expansion, where we only expand parameter 1.
3751
3752          PH: Actually, that isn't necessary. The read_subs() function is
3753          designed to work this way for the ${if and ${lookup expansions. I've
3754          tidied the code.
3755       */
3756
3757       /* Reset expansion variables */
3758       prvscheck_result = NULL;
3759       prvscheck_address = NULL;
3760       prvscheck_keynum = NULL;
3761
3762       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3763         {
3764         case 1: goto EXPAND_FAILED_CURLY;
3765         case 2:
3766         case 3: goto EXPAND_FAILED;
3767         }
3768
3769       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
3770                               TRUE,FALSE);
3771
3772       if (regex_match_and_setup(re,sub_arg[0],0,-1))
3773         {
3774         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
3775         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
3776         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
3777         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
3778         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
3779
3780         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
3781         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
3782         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
3783         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
3784         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
3785
3786         /* Set up expansion variables */
3787         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
3788         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
3789         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
3790         prvscheck_address[myptr] = '\0';
3791         prvscheck_keynum = string_copy(key_num);
3792
3793         /* Now expand the second argument */
3794         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3795           {
3796           case 1: goto EXPAND_FAILED_CURLY;
3797           case 2:
3798           case 3: goto EXPAND_FAILED;
3799           }
3800
3801         /* Now we have the key and can check the address. */
3802
3803         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
3804           daystamp);
3805
3806         if (p == NULL)
3807           {
3808           expand_string_message = US"hmac-sha1 conversion failed";
3809           goto EXPAND_FAILED;
3810           }
3811
3812         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
3813         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
3814
3815         if (Ustrcmp(p,hash) == 0)
3816           {
3817           /* Success, valid BATV address. Now check the expiry date. */
3818           uschar *now = prvs_daystamp(0);
3819           unsigned int inow = 0,iexpire = 1;
3820
3821           (void)sscanf(CS now,"%u",&inow);
3822           (void)sscanf(CS daystamp,"%u",&iexpire);
3823
3824           /* When "iexpire" is < 7, a "flip" has occured.
3825              Adjust "inow" accordingly. */
3826           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
3827
3828           if (iexpire >= inow)
3829             {
3830             prvscheck_result = US"1";
3831             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
3832             }
3833             else
3834             {
3835             prvscheck_result = NULL;
3836             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
3837             }
3838           }
3839         else
3840           {
3841           prvscheck_result = NULL;
3842           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
3843           }
3844
3845         /* Now expand the final argument. We leave this till now so that
3846         it can include $prvscheck_result. */
3847
3848         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs"))
3849           {
3850           case 1: goto EXPAND_FAILED_CURLY;
3851           case 2:
3852           case 3: goto EXPAND_FAILED;
3853           }
3854
3855         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
3856           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
3857         else
3858           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3859
3860         /* Reset the "internal" variables afterwards, because they are in
3861         dynamic store that will be reclaimed if the expansion succeeded. */
3862
3863         prvscheck_address = NULL;
3864         prvscheck_keynum = NULL;
3865         }
3866       else
3867         {
3868         /* Does not look like a prvs encoded address, return the empty string.
3869            We need to make sure all subs are expanded first, so as to skip over
3870            the entire item. */
3871
3872         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs"))
3873           {
3874           case 1: goto EXPAND_FAILED_CURLY;
3875           case 2:
3876           case 3: goto EXPAND_FAILED;
3877           }
3878         }
3879
3880       continue;
3881       }
3882
3883     /* Handle "readfile" to insert an entire file */
3884
3885     case EITEM_READFILE:
3886       {
3887       FILE *f;
3888       uschar *sub_arg[2];
3889
3890       if ((expand_forbid & RDO_READFILE) != 0)
3891         {
3892         expand_string_message = US"file insertions are not permitted";
3893         goto EXPAND_FAILED;
3894         }
3895
3896       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile"))
3897         {
3898         case 1: goto EXPAND_FAILED_CURLY;
3899         case 2:
3900         case 3: goto EXPAND_FAILED;
3901         }
3902
3903       /* If skipping, we don't actually do anything */
3904
3905       if (skipping) continue;
3906
3907       /* Open the file and read it */
3908
3909       f = Ufopen(sub_arg[0], "rb");
3910       if (f == NULL)
3911         {
3912         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
3913         goto EXPAND_FAILED;
3914         }
3915
3916       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
3917       (void)fclose(f);
3918       continue;
3919       }
3920
3921     /* Handle "readsocket" to insert data from a Unix domain socket */
3922
3923     case EITEM_READSOCK:
3924       {
3925       int fd;
3926       int timeout = 5;
3927       int save_ptr = ptr;
3928       FILE *f;
3929       struct sockaddr_un sockun;         /* don't call this "sun" ! */
3930       uschar *arg;
3931       uschar *sub_arg[4];
3932
3933       if ((expand_forbid & RDO_READSOCK) != 0)
3934         {
3935         expand_string_message = US"socket insertions are not permitted";
3936         goto EXPAND_FAILED;
3937         }
3938
3939       /* Read up to 4 arguments, but don't do the end of item check afterwards,
3940       because there may be a string for expansion on failure. */
3941
3942       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket"))
3943         {
3944         case 1: goto EXPAND_FAILED_CURLY;
3945         case 2:                             /* Won't occur: no end check */
3946         case 3: goto EXPAND_FAILED;
3947         }
3948
3949       /* Sort out timeout, if given */
3950
3951       if (sub_arg[2] != NULL)
3952         {
3953         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
3954         if (timeout < 0)
3955           {
3956           expand_string_message = string_sprintf("bad time value %s",
3957             sub_arg[2]);
3958           goto EXPAND_FAILED;
3959           }
3960         }
3961       else sub_arg[3] = NULL;                     /* No eol if no timeout */
3962
3963       /* If skipping, we don't actually do anything. Otherwise, arrange to
3964       connect to either an IP or a Unix socket. */
3965
3966       if (!skipping)
3967         {
3968         /* Handle an IP (internet) domain */
3969
3970         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
3971           {
3972           BOOL connected = FALSE;
3973           int namelen, port;
3974           host_item shost;
3975           host_item *h;
3976           uschar *server_name = sub_arg[0] + 5;
3977           uschar *port_name = Ustrrchr(server_name, ':');
3978
3979           /* Sort out the port */
3980
3981           if (port_name == NULL)
3982             {
3983             expand_string_message =
3984               string_sprintf("missing port for readsocket %s", sub_arg[0]);
3985             goto EXPAND_FAILED;
3986             }
3987           *port_name++ = 0;           /* Terminate server name */
3988
3989           if (isdigit(*port_name))
3990             {
3991             uschar *end;
3992             port = Ustrtol(port_name, &end, 0);
3993             if (end != port_name + Ustrlen(port_name))
3994               {
3995               expand_string_message =
3996                 string_sprintf("invalid port number %s", port_name);
3997               goto EXPAND_FAILED;
3998               }
3999             }
4000           else
4001             {
4002             struct servent *service_info = getservbyname(CS port_name, "tcp");
4003             if (service_info == NULL)
4004               {
4005               expand_string_message = string_sprintf("unknown port \"%s\"",
4006                 port_name);
4007               goto EXPAND_FAILED;
4008               }
4009             port = ntohs(service_info->s_port);
4010             }
4011
4012           /* Sort out the server. */
4013
4014           shost.next = NULL;
4015           shost.address = NULL;
4016           shost.port = port;
4017           shost.mx = -1;
4018
4019           namelen = Ustrlen(server_name);
4020
4021           /* Anything enclosed in [] must be an IP address. */
4022
4023           if (server_name[0] == '[' &&
4024               server_name[namelen - 1] == ']')
4025             {
4026             server_name[namelen - 1] = 0;
4027             server_name++;
4028             if (string_is_ip_address(server_name, NULL) == 0)
4029               {
4030               expand_string_message =
4031                 string_sprintf("malformed IP address \"%s\"", server_name);
4032               goto EXPAND_FAILED;
4033               }
4034             shost.name = shost.address = server_name;
4035             }
4036
4037           /* Otherwise check for an unadorned IP address */
4038
4039           else if (string_is_ip_address(server_name, NULL) != 0)
4040             shost.name = shost.address = server_name;
4041
4042           /* Otherwise lookup IP address(es) from the name */
4043
4044           else
4045             {
4046             shost.name = server_name;
4047             if (host_find_byname(&shost, NULL, HOST_FIND_QUALIFY_SINGLE, NULL,
4048                 FALSE) != HOST_FOUND)
4049               {
4050               expand_string_message =
4051                 string_sprintf("no IP address found for host %s", shost.name);
4052               goto EXPAND_FAILED;
4053               }
4054             }
4055
4056           /* Try to connect to the server - test each IP till one works */
4057
4058           for (h = &shost; h != NULL; h = h->next)
4059             {
4060             int af = (Ustrchr(h->address, ':') != 0)? AF_INET6 : AF_INET;
4061             if ((fd = ip_socket(SOCK_STREAM, af)) == -1)
4062               {
4063               expand_string_message = string_sprintf("failed to create socket: "
4064                 "%s", strerror(errno));
4065               goto SOCK_FAIL;
4066               }
4067
4068             if (ip_connect(fd, af, h->address, port, timeout) == 0)
4069               {
4070               connected = TRUE;
4071               break;
4072               }
4073             }
4074
4075           if (!connected)
4076             {
4077             expand_string_message = string_sprintf("failed to connect to "
4078               "socket %s: couldn't connect to any host", sub_arg[0],
4079               strerror(errno));
4080             goto SOCK_FAIL;
4081             }
4082           }
4083
4084         /* Handle a Unix domain socket */
4085
4086         else
4087           {
4088           int rc;
4089           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4090             {
4091             expand_string_message = string_sprintf("failed to create socket: %s",
4092               strerror(errno));
4093             goto SOCK_FAIL;
4094             }
4095
4096           sockun.sun_family = AF_UNIX;
4097           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4098             sub_arg[0]);
4099
4100           sigalrm_seen = FALSE;
4101           alarm(timeout);
4102           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4103           alarm(0);
4104           if (sigalrm_seen)
4105             {
4106             expand_string_message = US "socket connect timed out";
4107             goto SOCK_FAIL;
4108             }
4109           if (rc < 0)
4110             {
4111             expand_string_message = string_sprintf("failed to connect to socket "
4112               "%s: %s", sub_arg[0], strerror(errno));
4113             goto SOCK_FAIL;
4114             }
4115           }
4116
4117         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4118
4119         /* Write the request string, if not empty */
4120
4121         if (sub_arg[1][0] != 0)
4122           {
4123           int len = Ustrlen(sub_arg[1]);
4124           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4125             sub_arg[1]);
4126           if (write(fd, sub_arg[1], len) != len)
4127             {
4128             expand_string_message = string_sprintf("request write to socket "
4129               "failed: %s", strerror(errno));
4130             goto SOCK_FAIL;
4131             }
4132           }
4133
4134         /* Shut down the sending side of the socket. This helps some servers to
4135         recognise that it is their turn to do some work. Just in case some
4136         system doesn't have this function, make it conditional. */
4137
4138         #ifdef SHUT_WR
4139         shutdown(fd, SHUT_WR);
4140         #endif
4141
4142         /* Now we need to read from the socket, under a timeout. The function
4143         that reads a file can be used. */
4144
4145         f = fdopen(fd, "rb");
4146         sigalrm_seen = FALSE;
4147         alarm(timeout);
4148         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4149         alarm(0);
4150         (void)fclose(f);
4151
4152         /* After a timeout, we restore the pointer in the result, that is,
4153         make sure we add nothing from the socket. */
4154
4155         if (sigalrm_seen)
4156           {
4157           ptr = save_ptr;
4158           expand_string_message = US "socket read timed out";
4159           goto SOCK_FAIL;
4160           }
4161         }
4162
4163       /* The whole thing has worked (or we were skipping). If there is a
4164       failure string following, we need to skip it. */
4165
4166       if (*s == '{')
4167         {
4168         if (expand_string_internal(s+1, TRUE, &s, TRUE) == NULL)
4169           goto EXPAND_FAILED;
4170         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4171         while (isspace(*s)) s++;
4172         }
4173       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4174       continue;
4175
4176       /* Come here on failure to create socket, connect socket, write to the
4177       socket, or timeout on reading. If another substring follows, expand and
4178       use it. Otherwise, those conditions give expand errors. */
4179
4180       SOCK_FAIL:
4181       if (*s != '{') goto EXPAND_FAILED;
4182       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4183       arg = expand_string_internal(s+1, TRUE, &s, FALSE);
4184       if (arg == NULL) goto EXPAND_FAILED;
4185       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4186       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4187       while (isspace(*s)) s++;
4188       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4189       continue;
4190       }
4191
4192     /* Handle "run" to execute a program. */
4193
4194     case EITEM_RUN:
4195       {
4196       FILE *f;
4197       uschar *arg;
4198       uschar **argv;
4199       pid_t pid;
4200       int fd_in, fd_out;
4201       int lsize = 0;
4202       int lptr = 0;
4203
4204       if ((expand_forbid & RDO_RUN) != 0)
4205         {
4206         expand_string_message = US"running a command is not permitted";
4207         goto EXPAND_FAILED;
4208         }
4209
4210       while (isspace(*s)) s++;
4211       if (*s != '{') goto EXPAND_FAILED_CURLY;
4212       arg = expand_string_internal(s+1, TRUE, &s, skipping);
4213       if (arg == NULL) goto EXPAND_FAILED;
4214       while (isspace(*s)) s++;
4215       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4216
4217       if (skipping)   /* Just pretend it worked when we're skipping */
4218         {
4219         runrc = 0;
4220         }
4221       else
4222         {
4223         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4224             arg,                                /* raw command */
4225             FALSE,                              /* don't expand the arguments */
4226             0,                                  /* not relevant when... */
4227             NULL,                               /* no transporting address */
4228             US"${run} expansion",               /* for error messages */
4229             &expand_string_message))            /* where to put error message */
4230           {
4231           goto EXPAND_FAILED;
4232           }
4233
4234         /* Create the child process, making it a group leader. */
4235
4236         pid = child_open(argv, NULL, 0077, &fd_in, &fd_out, TRUE);
4237
4238         if (pid < 0)
4239           {
4240           expand_string_message =
4241             string_sprintf("couldn't create child process: %s", strerror(errno));
4242           goto EXPAND_FAILED;
4243           }
4244
4245         /* Nothing is written to the standard input. */
4246
4247         (void)close(fd_in);
4248
4249         /* Wait for the process to finish, applying the timeout, and inspect its
4250         return code for serious disasters. Simple non-zero returns are passed on.
4251         */
4252
4253         if ((runrc = child_close(pid, 60)) < 0)
4254           {
4255           if (runrc == -256)
4256             {
4257             expand_string_message = string_sprintf("command timed out");
4258             killpg(pid, SIGKILL);       /* Kill the whole process group */
4259             }
4260
4261           else if (runrc == -257)
4262             expand_string_message = string_sprintf("wait() failed: %s",
4263               strerror(errno));
4264
4265           else
4266             expand_string_message = string_sprintf("command killed by signal %d",
4267               -runrc);
4268
4269           goto EXPAND_FAILED;
4270           }
4271
4272         /* Read the pipe to get the command's output into $value (which is kept
4273         in lookup_value). */
4274
4275         f = fdopen(fd_out, "rb");
4276         lookup_value = NULL;
4277         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
4278         (void)fclose(f);
4279         }
4280
4281       /* Process the yes/no strings; $value may be useful in both cases */
4282
4283       switch(process_yesno(
4284                skipping,                     /* were previously skipping */
4285                runrc == 0,                   /* success/failure indicator */
4286                lookup_value,                 /* value to reset for string2 */
4287                &s,                           /* input pointer */
4288                &yield,                       /* output pointer */
4289                &size,                        /* output size */
4290                &ptr,                         /* output current point */
4291                US"run"))                     /* condition type */
4292         {
4293         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4294         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4295         }
4296
4297       continue;
4298       }
4299
4300     /* Handle character translation for "tr" */
4301
4302     case EITEM_TR:
4303       {
4304       int oldptr = ptr;
4305       int o2m;
4306       uschar *sub[3];
4307
4308       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr"))
4309         {
4310         case 1: goto EXPAND_FAILED_CURLY;
4311         case 2:
4312         case 3: goto EXPAND_FAILED;
4313         }
4314
4315       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4316       o2m = Ustrlen(sub[2]) - 1;
4317
4318       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4319         {
4320         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4321         if (m != NULL)
4322           {
4323           int o = m - sub[1];
4324           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4325           }
4326         }
4327
4328       continue;
4329       }
4330
4331     /* Handle "hash", "length", "nhash", and "substr" when they are given with
4332     expanded arguments. */
4333
4334     case EITEM_HASH:
4335     case EITEM_LENGTH:
4336     case EITEM_NHASH:
4337     case EITEM_SUBSTR:
4338       {
4339       int i;
4340       int len;
4341       uschar *ret;
4342       int val[2] = { 0, -1 };
4343       uschar *sub[3];
4344
4345       /* "length" takes only 2 arguments whereas the others take 2 or 3.
4346       Ensure that sub[2] is set in the ${length case. */
4347
4348       sub[2] = NULL;
4349       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
4350              TRUE, name))
4351         {
4352         case 1: goto EXPAND_FAILED_CURLY;
4353         case 2:
4354         case 3: goto EXPAND_FAILED;
4355         }
4356
4357       /* Juggle the arguments if there are only two of them: always move the
4358       string to the last position and make ${length{n}{str}} equivalent to
4359       ${substr{0}{n}{str}}. See the defaults for val[] above. */
4360
4361       if (sub[2] == NULL)
4362         {
4363         sub[2] = sub[1];
4364         sub[1] = NULL;
4365         if (item_type == EITEM_LENGTH)
4366           {
4367           sub[1] = sub[0];
4368           sub[0] = NULL;
4369           }
4370         }
4371
4372       for (i = 0; i < 2; i++)
4373         {
4374         if (sub[i] == NULL) continue;
4375         val[i] = (int)Ustrtol(sub[i], &ret, 10);
4376         if (*ret != 0 || (i != 0 && val[i] < 0))
4377           {
4378           expand_string_message = string_sprintf("\"%s\" is not a%s number "
4379             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
4380           goto EXPAND_FAILED;
4381           }
4382         }
4383
4384       ret =
4385         (item_type == EITEM_HASH)?
4386           compute_hash(sub[2], val[0], val[1], &len) :
4387         (item_type == EITEM_NHASH)?
4388           compute_nhash(sub[2], val[0], val[1], &len) :
4389           extract_substr(sub[2], val[0], val[1], &len);
4390
4391       if (ret == NULL) goto EXPAND_FAILED;
4392       yield = string_cat(yield, &size, &ptr, ret, len);
4393       continue;
4394       }
4395
4396     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
4397     This code originally contributed by Steve Haslam. It currently supports
4398     the use of MD5 and SHA-1 hashes.
4399
4400     We need some workspace that is large enough to handle all the supported
4401     hash types. Use macros to set the sizes rather than be too elaborate. */
4402
4403     #define MAX_HASHLEN      20
4404     #define MAX_HASHBLOCKLEN 64
4405
4406     case EITEM_HMAC:
4407       {
4408       uschar *sub[3];
4409       md5 md5_base;
4410       sha1 sha1_base;
4411       void *use_base;
4412       int type, i;
4413       int hashlen;      /* Number of octets for the hash algorithm's output */
4414       int hashblocklen; /* Number of octets the hash algorithm processes */
4415       uschar *keyptr, *p;
4416       unsigned int keylen;
4417
4418       uschar keyhash[MAX_HASHLEN];
4419       uschar innerhash[MAX_HASHLEN];
4420       uschar finalhash[MAX_HASHLEN];
4421       uschar finalhash_hex[2*MAX_HASHLEN];
4422       uschar innerkey[MAX_HASHBLOCKLEN];
4423       uschar outerkey[MAX_HASHBLOCKLEN];
4424
4425       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name))
4426         {
4427         case 1: goto EXPAND_FAILED_CURLY;
4428         case 2:
4429         case 3: goto EXPAND_FAILED;
4430         }
4431
4432       if (Ustrcmp(sub[0], "md5") == 0)
4433         {
4434         type = HMAC_MD5;
4435         use_base = &md5_base;
4436         hashlen = 16;
4437         hashblocklen = 64;
4438         }
4439       else if (Ustrcmp(sub[0], "sha1") == 0)
4440         {
4441         type = HMAC_SHA1;
4442         use_base = &sha1_base;
4443         hashlen = 20;
4444         hashblocklen = 64;
4445         }
4446       else
4447         {
4448         expand_string_message =
4449           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
4450         goto EXPAND_FAILED;
4451         }
4452
4453       keyptr = sub[1];
4454       keylen = Ustrlen(keyptr);
4455
4456       /* If the key is longer than the hash block length, then hash the key
4457       first */
4458
4459       if (keylen > hashblocklen)
4460         {
4461         chash_start(type, use_base);
4462         chash_end(type, use_base, keyptr, keylen, keyhash);
4463         keyptr = keyhash;
4464         keylen = hashlen;
4465         }
4466
4467       /* Now make the inner and outer key values */
4468
4469       memset(innerkey, 0x36, hashblocklen);
4470       memset(outerkey, 0x5c, hashblocklen);
4471
4472       for (i = 0; i < keylen; i++)
4473         {
4474         innerkey[i] ^= keyptr[i];
4475         outerkey[i] ^= keyptr[i];
4476         }
4477
4478       /* Now do the hashes */
4479
4480       chash_start(type, use_base);
4481       chash_mid(type, use_base, innerkey);
4482       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
4483
4484       chash_start(type, use_base);
4485       chash_mid(type, use_base, outerkey);
4486       chash_end(type, use_base, innerhash, hashlen, finalhash);
4487
4488       /* Encode the final hash as a hex string */
4489
4490       p = finalhash_hex;
4491       for (i = 0; i < hashlen; i++)
4492         {
4493         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
4494         *p++ = hex_digits[finalhash[i] & 0x0f];
4495         }
4496
4497       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
4498         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
4499
4500       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
4501       }
4502
4503     continue;
4504
4505     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
4506     We have to save the numerical variables and restore them afterwards. */
4507
4508     case EITEM_SG:
4509       {
4510       const pcre *re;
4511       int moffset, moffsetextra, slen;
4512       int roffset;
4513       int emptyopt;
4514       const uschar *rerror;
4515       uschar *subject;
4516       uschar *sub[3];
4517       int save_expand_nmax =
4518         save_expand_strings(save_expand_nstring, save_expand_nlength);
4519
4520       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg"))
4521         {
4522         case 1: goto EXPAND_FAILED_CURLY;
4523         case 2:
4524         case 3: goto EXPAND_FAILED;
4525         }
4526
4527       /* Compile the regular expression */
4528
4529       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
4530         NULL);
4531
4532       if (re == NULL)
4533         {
4534         expand_string_message = string_sprintf("regular expression error in "
4535           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
4536         goto EXPAND_FAILED;
4537         }
4538
4539       /* Now run a loop to do the substitutions as often as necessary. It ends
4540       when there are no more matches. Take care over matches of the null string;
4541       do the same thing as Perl does. */
4542
4543       subject = sub[0];
4544       slen = Ustrlen(sub[0]);
4545       moffset = moffsetextra = 0;
4546       emptyopt = 0;
4547
4548       for (;;)
4549         {
4550         int ovector[3*(EXPAND_MAXN+1)];
4551         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
4552           PCRE_EOPT | emptyopt, ovector, sizeof(ovector)/sizeof(int));
4553         int nn;
4554         uschar *insert;
4555
4556         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
4557         is not necessarily the end. We want to repeat the match from one
4558         character further along, but leaving the basic offset the same (for
4559         copying below). We can't be at the end of the string - that was checked
4560         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
4561         finished; copy the remaining string and end the loop. */
4562
4563         if (n < 0)
4564           {
4565           if (emptyopt != 0)
4566             {
4567             moffsetextra = 1;
4568             emptyopt = 0;
4569             continue;
4570             }
4571           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
4572           break;
4573           }
4574
4575         /* Match - set up for expanding the replacement. */
4576
4577         if (n == 0) n = EXPAND_MAXN + 1;
4578         expand_nmax = 0;
4579         for (nn = 0; nn < n*2; nn += 2)
4580           {
4581           expand_nstring[expand_nmax] = subject + ovector[nn];
4582           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
4583           }
4584         expand_nmax--;
4585
4586         /* Copy the characters before the match, plus the expanded insertion. */
4587
4588         yield = string_cat(yield, &size, &ptr, subject + moffset,
4589           ovector[0] - moffset);
4590         insert = expand_string(sub[2]);
4591         if (insert == NULL) goto EXPAND_FAILED;
4592         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
4593
4594         moffset = ovector[1];
4595         moffsetextra = 0;
4596         emptyopt = 0;
4597
4598         /* If we have matched an empty string, first check to see if we are at
4599         the end of the subject. If so, the loop is over. Otherwise, mimic
4600         what Perl's /g options does. This turns out to be rather cunning. First
4601         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
4602         string at the same point. If this fails (picked up above) we advance to
4603         the next character. */
4604
4605         if (ovector[0] == ovector[1])
4606           {
4607           if (ovector[0] == slen) break;
4608           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
4609           }
4610         }
4611
4612       /* All done - restore numerical variables. */
4613
4614       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4615         save_expand_nlength);
4616       continue;
4617       }
4618
4619     /* Handle keyed and numbered substring extraction. If the first argument
4620     consists entirely of digits, then a numerical extraction is assumed. */
4621
4622     case EITEM_EXTRACT:
4623       {
4624       int i;
4625       int j = 2;
4626       int field_number = 1;
4627       BOOL field_number_set = FALSE;
4628       uschar *save_lookup_value = lookup_value;
4629       uschar *sub[3];
4630       int save_expand_nmax =
4631         save_expand_strings(save_expand_nstring, save_expand_nlength);
4632
4633       /* Read the arguments */
4634
4635       for (i = 0; i < j; i++)
4636         {
4637         while (isspace(*s)) s++;
4638         if (*s == '{')
4639           {
4640           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
4641           if (sub[i] == NULL) goto EXPAND_FAILED;
4642           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4643
4644           /* After removal of leading and trailing white space, the first
4645           argument must not be empty; if it consists entirely of digits
4646           (optionally preceded by a minus sign), this is a numerical
4647           extraction, and we expect 3 arguments. */
4648
4649           if (i == 0)
4650             {
4651             int len;
4652             int x = 0;
4653             uschar *p = sub[0];
4654
4655             while (isspace(*p)) p++;
4656             sub[0] = p;
4657
4658             len = Ustrlen(p);
4659             while (len > 0 && isspace(p[len-1])) len--;
4660             p[len] = 0;
4661
4662             if (*p == 0)
4663               {
4664               expand_string_message = US"first argument of \"extract\" must "
4665                 "not be empty";
4666               goto EXPAND_FAILED;
4667               }
4668
4669             if (*p == '-')
4670               {
4671               field_number = -1;
4672               p++;
4673               }
4674             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
4675             if (*p == 0)
4676               {
4677               field_number *= x;
4678               j = 3;               /* Need 3 args */
4679               field_number_set = TRUE;
4680               }
4681             }
4682           }
4683         else goto EXPAND_FAILED_CURLY;
4684         }
4685
4686       /* Extract either the numbered or the keyed substring into $value. If
4687       skipping, just pretend the extraction failed. */
4688
4689       lookup_value = skipping? NULL : field_number_set?
4690         expand_gettokened(field_number, sub[1], sub[2]) :
4691         expand_getkeyed(sub[0], sub[1]);
4692
4693       /* If no string follows, $value gets substituted; otherwise there can
4694       be yes/no strings, as for lookup or if. */
4695
4696       switch(process_yesno(
4697                skipping,                     /* were previously skipping */
4698                lookup_value != NULL,         /* success/failure indicator */
4699                save_lookup_value,            /* value to reset for string2 */
4700                &s,                           /* input pointer */
4701                &yield,                       /* output pointer */
4702                &size,                        /* output size */
4703                &ptr,                         /* output current point */
4704                US"extract"))                 /* condition type */
4705         {
4706         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4707         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4708         }
4709
4710       /* All done - restore numerical variables. */
4711
4712       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4713         save_expand_nlength);
4714
4715       continue;
4716       }
4717
4718
4719     /* Handle list operations */
4720
4721     case EITEM_FILTER:
4722     case EITEM_MAP:
4723     case EITEM_REDUCE:
4724       {
4725       int sep = 0;
4726       int save_ptr = ptr;
4727       uschar outsep[2] = { '\0', '\0' };
4728       uschar *list, *expr, *temp;
4729       uschar *save_iterate_item = iterate_item;
4730       uschar *save_lookup_value = lookup_value;
4731
4732       while (isspace(*s)) s++;
4733       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
4734
4735       list = expand_string_internal(s, TRUE, &s, skipping);
4736       if (list == NULL) goto EXPAND_FAILED;
4737       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4738
4739       if (item_type == EITEM_REDUCE)
4740         {
4741         while (isspace(*s)) s++;
4742         if (*s++ != '{') goto EXPAND_FAILED_CURLY;
4743         temp = expand_string_internal(s, TRUE, &s, skipping);
4744         if (temp == NULL) goto EXPAND_FAILED;
4745         lookup_value = temp;
4746         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4747         }
4748
4749       while (isspace(*s)) s++;
4750       if (*s++ != '{') goto EXPAND_FAILED_CURLY;
4751
4752       expr = s;
4753
4754       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
4755       if scanning a "false" part). This allows us to find the end of the
4756       condition, because if the list is empty, we won't actually evaluate the
4757       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
4758       the normal internal expansion function. */
4759
4760       if (item_type == EITEM_FILTER)
4761         {
4762         temp = eval_condition(expr, NULL);
4763         if (temp != NULL) s = temp;
4764         }
4765       else
4766         {
4767         temp = expand_string_internal(s, TRUE, &s, TRUE);
4768         }
4769
4770       if (temp == NULL)
4771         {
4772         expand_string_message = string_sprintf("%s inside \"%s\" item",
4773           expand_string_message, name);
4774         goto EXPAND_FAILED;
4775         }
4776
4777       while (isspace(*s)) s++;
4778       if (*s++ != '}')
4779         {
4780         expand_string_message = string_sprintf("missing } at end of condition "
4781           "or expression inside \"%s\"", name);
4782         goto EXPAND_FAILED;
4783         }
4784
4785       while (isspace(*s)) s++;
4786       if (*s++ != '}')
4787         {
4788         expand_string_message = string_sprintf("missing } at end of \"%s\"",
4789           name);
4790         goto EXPAND_FAILED;
4791         }
4792
4793       /* If we are skipping, we can now just move on to the next item. When
4794       processing for real, we perform the iteration. */
4795
4796       if (skipping) continue;
4797       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
4798         {
4799         *outsep = (uschar)sep;      /* Separator as a string */
4800
4801         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
4802
4803         if (item_type == EITEM_FILTER)
4804           {
4805           BOOL condresult;
4806           if (eval_condition(expr, &condresult) == NULL)
4807             {
4808             iterate_item = save_iterate_item;
4809             lookup_value = save_lookup_value;
4810             expand_string_message = string_sprintf("%s inside \"%s\" condition",
4811               expand_string_message, name);
4812             goto EXPAND_FAILED;
4813             }
4814           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
4815             condresult? "true":"false");
4816           if (condresult)
4817             temp = iterate_item;    /* TRUE => include this item */
4818           else
4819             continue;               /* FALSE => skip this item */
4820           }
4821
4822         /* EITEM_MAP and EITEM_REDUCE */
4823
4824         else
4825           {
4826           temp = expand_string_internal(expr, TRUE, NULL, skipping);
4827           if (temp == NULL)
4828             {
4829             iterate_item = save_iterate_item;
4830             expand_string_message = string_sprintf("%s inside \"%s\" item",
4831               expand_string_message, name);
4832             goto EXPAND_FAILED;
4833             }
4834           if (item_type == EITEM_REDUCE)
4835             {
4836             lookup_value = temp;      /* Update the value of $value */
4837             continue;                 /* and continue the iteration */
4838             }
4839           }
4840
4841         /* We reach here for FILTER if the condition is true, always for MAP,
4842         and never for REDUCE. The value in "temp" is to be added to the output
4843         list that is being created, ensuring that any occurrences of the
4844         separator character are doubled. Unless we are dealing with the first
4845         item of the output list, add in a space if the new item begins with the
4846         separator character, or is an empty string. */
4847
4848         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
4849           yield = string_cat(yield, &size, &ptr, US" ", 1);
4850
4851         /* Add the string in "temp" to the output list that we are building,
4852         This is done in chunks by searching for the separator character. */
4853
4854         for (;;)
4855           {
4856           size_t seglen = Ustrcspn(temp, outsep);
4857             yield = string_cat(yield, &size, &ptr, temp, seglen + 1);
4858
4859           /* If we got to the end of the string we output one character
4860           too many; backup and end the loop. Otherwise arrange to double the
4861           separator. */
4862
4863           if (temp[seglen] == '\0') { ptr--; break; }
4864           yield = string_cat(yield, &size, &ptr, outsep, 1);
4865           temp += seglen + 1;
4866           }
4867
4868         /* Output a separator after the string: we will remove the redundant
4869         final one at the end. */
4870
4871         yield = string_cat(yield, &size, &ptr, outsep, 1);
4872         }   /* End of iteration over the list loop */
4873
4874       /* REDUCE has generated no output above: output the final value of
4875       $value. */
4876
4877       if (item_type == EITEM_REDUCE)
4878         {
4879         yield = string_cat(yield, &size, &ptr, lookup_value,
4880           Ustrlen(lookup_value));
4881         lookup_value = save_lookup_value;  /* Restore $value */
4882         }
4883
4884       /* FILTER and MAP generate lists: if they have generated anything, remove
4885       the redundant final separator. Even though an empty item at the end of a
4886       list does not count, this is tidier. */
4887
4888       else if (ptr != save_ptr) ptr--;
4889
4890       /* Restore preserved $item */
4891
4892       iterate_item = save_iterate_item;
4893       continue;
4894       }
4895
4896
4897     /* If ${dlfunc support is configured, handle calling dynamically-loaded
4898     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
4899     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
4900     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
4901
4902     #define EXPAND_DLFUNC_MAX_ARGS 8
4903
4904     case EITEM_DLFUNC:
4905     #ifndef EXPAND_DLFUNC
4906     expand_string_message = US"\"${dlfunc\" encountered, but this facility "
4907       "is not included in this binary";
4908     goto EXPAND_FAILED;
4909
4910     #else   /* EXPAND_DLFUNC */
4911       {
4912       tree_node *t;
4913       exim_dlfunc_t *func;
4914       uschar *result;
4915       int status, argc;
4916       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
4917
4918       if ((expand_forbid & RDO_DLFUNC) != 0)
4919         {
4920         expand_string_message =
4921           US"dynamically-loaded functions are not permitted";
4922         goto EXPAND_FAILED;
4923         }
4924
4925       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
4926            TRUE, US"dlfunc"))
4927         {
4928         case 1: goto EXPAND_FAILED_CURLY;
4929         case 2:
4930         case 3: goto EXPAND_FAILED;
4931         }
4932
4933       /* If skipping, we don't actually do anything */
4934
4935       if (skipping) continue;
4936
4937       /* Look up the dynamically loaded object handle in the tree. If it isn't
4938       found, dlopen() the file and put the handle in the tree for next time. */
4939
4940       t = tree_search(dlobj_anchor, argv[0]);
4941       if (t == NULL)
4942         {
4943         void *handle = dlopen(CS argv[0], RTLD_LAZY);
4944         if (handle == NULL)
4945           {
4946           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
4947             argv[0], dlerror());
4948           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4949           goto EXPAND_FAILED;
4950           }
4951         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
4952         Ustrcpy(t->name, argv[0]);
4953         t->data.ptr = handle;
4954         (void)tree_insertnode(&dlobj_anchor, t);
4955         }
4956
4957       /* Having obtained the dynamically loaded object handle, look up the
4958       function pointer. */
4959
4960       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
4961       if (func == NULL)
4962         {
4963         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
4964           "%s", argv[1], argv[0], dlerror());
4965         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4966         goto EXPAND_FAILED;
4967         }
4968
4969       /* Call the function and work out what to do with the result. If it
4970       returns OK, we have a replacement string; if it returns DEFER then
4971       expansion has failed in a non-forced manner; if it returns FAIL then
4972       failure was forced; if it returns ERROR or any other value there's a
4973       problem, so panic slightly. In any case, assume that the function has
4974       side-effects on the store that must be preserved. */
4975
4976       resetok = FALSE;
4977       result = NULL;
4978       for (argc = 0; argv[argc] != NULL; argc++);
4979       status = func(&result, argc - 2, &argv[2]);
4980       if(status == OK)
4981         {
4982         if (result == NULL) result = US"";
4983         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
4984         continue;
4985         }
4986       else
4987         {
4988         expand_string_message = result == NULL ? US"(no message)" : result;
4989         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
4990           else if(status != FAIL)
4991             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
4992               argv[0], argv[1], status, expand_string_message);
4993         goto EXPAND_FAILED;
4994         }
4995       }
4996     #endif /* EXPAND_DLFUNC */
4997     }
4998
4999   /* Control reaches here if the name is not recognized as one of the more
5000   complicated expansion items. Check for the "operator" syntax (name terminated
5001   by a colon). Some of the operators have arguments, separated by _ from the
5002   name. */
5003
5004   if (*s == ':')
5005     {
5006     int c;
5007     uschar *arg = NULL;
5008     uschar *sub = expand_string_internal(s+1, TRUE, &s, skipping);
5009     if (sub == NULL) goto EXPAND_FAILED;
5010     s++;
5011
5012     /* Owing to an historical mis-design, an underscore may be part of the
5013     operator name, or it may introduce arguments.  We therefore first scan the
5014     table of names that contain underscores. If there is no match, we cut off
5015     the arguments and then scan the main table. */
5016
5017     c = chop_match(name, op_table_underscore,
5018       sizeof(op_table_underscore)/sizeof(uschar *));
5019
5020     if (c < 0)
5021       {
5022       arg = Ustrchr(name, '_');
5023       if (arg != NULL) *arg = 0;
5024       c = chop_match(name, op_table_main,
5025         sizeof(op_table_main)/sizeof(uschar *));
5026       if (c >= 0) c += sizeof(op_table_underscore)/sizeof(uschar *);
5027       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
5028       }
5029
5030     /* If we are skipping, we don't need to perform the operation at all.
5031     This matters for operations like "mask", because the data may not be
5032     in the correct format when skipping. For example, the expression may test
5033     for the existence of $sender_host_address before trying to mask it. For
5034     other operations, doing them may not fail, but it is a waste of time. */
5035
5036     if (skipping && c >= 0) continue;
5037
5038     /* Otherwise, switch on the operator type */
5039
5040     switch(c)
5041       {
5042       case EOP_BASE62:
5043         {
5044         uschar *t;
5045         unsigned long int n = Ustrtoul(sub, &t, 10);
5046         if (*t != 0)
5047           {
5048           expand_string_message = string_sprintf("argument for base62 "
5049             "operator is \"%s\", which is not a decimal number", sub);
5050           goto EXPAND_FAILED;
5051           }
5052         t = string_base62(n);
5053         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5054         continue;
5055         }
5056
5057       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
5058
5059       case EOP_BASE62D:
5060         {
5061         uschar buf[16];
5062         uschar *tt = sub;
5063         unsigned long int n = 0;
5064         while (*tt != 0)
5065           {
5066           uschar *t = Ustrchr(base62_chars, *tt++);
5067           if (t == NULL)
5068             {
5069             expand_string_message = string_sprintf("argument for base62d "
5070               "operator is \"%s\", which is not a base %d number", sub,
5071               BASE_62);
5072             goto EXPAND_FAILED;
5073             }
5074           n = n * BASE_62 + (t - base62_chars);
5075           }
5076         (void)sprintf(CS buf, "%ld", n);
5077         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
5078         continue;
5079         }
5080
5081       case EOP_EXPAND:
5082         {
5083         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping);
5084         if (expanded == NULL)
5085           {
5086           expand_string_message =
5087             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
5088               expand_string_message);
5089           goto EXPAND_FAILED;
5090           }
5091         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
5092         continue;
5093         }
5094
5095       case EOP_LC:
5096         {
5097         int count = 0;
5098         uschar *t = sub - 1;
5099         while (*(++t) != 0) { *t = tolower(*t); count++; }
5100         yield = string_cat(yield, &size, &ptr, sub, count);
5101         continue;
5102         }
5103
5104       case EOP_UC:
5105         {
5106         int count = 0;
5107         uschar *t = sub - 1;
5108         while (*(++t) != 0) { *t = toupper(*t); count++; }
5109         yield = string_cat(yield, &size, &ptr, sub, count);
5110         continue;
5111         }
5112
5113       case EOP_MD5:
5114         {
5115         md5 base;
5116         uschar digest[16];
5117         int j;
5118         char st[33];
5119         md5_start(&base);
5120         md5_end(&base, sub, Ustrlen(sub), digest);
5121         for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
5122         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
5123         continue;
5124         }
5125
5126       case EOP_SHA1:
5127         {
5128         sha1 base;
5129         uschar digest[20];
5130         int j;
5131         char st[41];
5132         sha1_start(&base);
5133         sha1_end(&base, sub, Ustrlen(sub), digest);
5134         for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
5135         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
5136         continue;
5137         }
5138
5139       /* Convert hex encoding to base64 encoding */
5140
5141       case EOP_HEX2B64:
5142         {
5143         int c = 0;
5144         int b = -1;
5145         uschar *in = sub;
5146         uschar *out = sub;
5147         uschar *enc;
5148
5149         for (enc = sub; *enc != 0; enc++)
5150           {
5151           if (!isxdigit(*enc))
5152             {
5153             expand_string_message = string_sprintf("\"%s\" is not a hex "
5154               "string", sub);
5155             goto EXPAND_FAILED;
5156             }
5157           c++;
5158           }
5159
5160         if ((c & 1) != 0)
5161           {
5162           expand_string_message = string_sprintf("\"%s\" contains an odd "
5163             "number of characters", sub);
5164           goto EXPAND_FAILED;
5165           }
5166
5167         while ((c = *in++) != 0)
5168           {
5169           if (isdigit(c)) c -= '0';
5170           else c = toupper(c) - 'A' + 10;
5171           if (b == -1)
5172             {
5173             b = c << 4;
5174             }
5175           else
5176             {
5177             *out++ = b | c;
5178             b = -1;
5179             }
5180           }
5181
5182         enc = auth_b64encode(sub, out - sub);
5183         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
5184         continue;
5185         }
5186
5187       /* mask applies a mask to an IP address; for example the result of
5188       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
5189
5190       case EOP_MASK:
5191         {
5192         int count;
5193         uschar *endptr;
5194         int binary[4];
5195         int mask, maskoffset;
5196         int type = string_is_ip_address(sub, &maskoffset);
5197         uschar buffer[64];
5198
5199         if (type == 0)
5200           {
5201           expand_string_message = string_sprintf("\"%s\" is not an IP address",
5202            sub);
5203           goto EXPAND_FAILED;
5204           }
5205
5206         if (maskoffset == 0)
5207           {
5208           expand_string_message = string_sprintf("missing mask value in \"%s\"",
5209             sub);
5210           goto EXPAND_FAILED;
5211           }
5212
5213         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
5214
5215         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
5216           {
5217           expand_string_message = string_sprintf("mask value too big in \"%s\"",
5218             sub);
5219           goto EXPAND_FAILED;
5220           }
5221
5222         /* Convert the address to binary integer(s) and apply the mask */
5223
5224         sub[maskoffset] = 0;
5225         count = host_aton(sub, binary);
5226         host_mask(count, binary, mask);
5227
5228         /* Convert to masked textual format and add to output. */
5229
5230         yield = string_cat(yield, &size, &ptr, buffer,
5231           host_nmtoa(count, binary, mask, buffer, '.'));
5232         continue;
5233         }
5234
5235       case EOP_ADDRESS:
5236       case EOP_LOCAL_PART:
5237       case EOP_DOMAIN:
5238         {
5239         uschar *error;
5240         int start, end, domain;
5241         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
5242           FALSE);
5243         if (t != NULL)
5244           {
5245           if (c != EOP_DOMAIN)
5246             {
5247             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
5248             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
5249             }
5250           else if (domain != 0)
5251             {
5252             domain += start;
5253             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
5254             }
5255           }
5256         continue;
5257         }
5258
5259       case EOP_ADDRESSES:
5260         {
5261         uschar outsep[2] = { ':', '\0' };
5262         uschar *address, *error;
5263         int save_ptr = ptr;
5264         int start, end, domain;  /* Not really used */
5265
5266         while (isspace(*sub)) sub++;
5267         if (*sub == '>') { *outsep = *++sub; ++sub; }
5268         parse_allow_group = TRUE;
5269
5270         for (;;)
5271           {
5272           uschar *p = parse_find_address_end(sub, FALSE);
5273           uschar saveend = *p;
5274           *p = '\0';
5275           address = parse_extract_address(sub, &error, &start, &end, &domain,
5276             FALSE);
5277           *p = saveend;
5278
5279           /* Add the address to the output list that we are building. This is
5280           done in chunks by searching for the separator character. At the
5281           start, unless we are dealing with the first address of the output
5282           list, add in a space if the new address begins with the separator
5283           character, or is an empty string. */
5284
5285           if (address != NULL)
5286             {
5287             if (ptr != save_ptr && address[0] == *outsep)
5288               yield = string_cat(yield, &size, &ptr, US" ", 1);
5289
5290             for (;;)
5291               {
5292               size_t seglen = Ustrcspn(address, outsep);
5293               yield = string_cat(yield, &size, &ptr, address, seglen + 1);
5294
5295               /* If we got to the end of the string we output one character
5296               too many. */
5297
5298               if (address[seglen] == '\0') { ptr--; break; }
5299               yield = string_cat(yield, &size, &ptr, outsep, 1);
5300               address += seglen + 1;
5301               }
5302
5303             /* Output a separator after the string: we will remove the
5304             redundant final one at the end. */
5305
5306             yield = string_cat(yield, &size, &ptr, outsep, 1);
5307             }
5308
5309           if (saveend == '\0') break;
5310           sub = p + 1;
5311           }
5312
5313         /* If we have generated anything, remove the redundant final
5314         separator. */
5315
5316         if (ptr != save_ptr) ptr--;
5317         parse_allow_group = FALSE;
5318         continue;
5319         }
5320
5321
5322       /* quote puts a string in quotes if it is empty or contains anything
5323       other than alphamerics, underscore, dot, or hyphen.
5324
5325       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
5326       be quoted in order to be a valid local part.
5327
5328       In both cases, newlines and carriage returns are converted into \n and \r
5329       respectively */
5330
5331       case EOP_QUOTE:
5332       case EOP_QUOTE_LOCAL_PART:
5333       if (arg == NULL)
5334         {
5335         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
5336         uschar *t = sub - 1;
5337
5338         if (c == EOP_QUOTE)
5339           {
5340           while (!needs_quote && *(++t) != 0)
5341             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
5342           }
5343         else  /* EOP_QUOTE_LOCAL_PART */
5344           {
5345           while (!needs_quote && *(++t) != 0)
5346             needs_quote = !isalnum(*t) &&
5347               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
5348               (*t != '.' || t == sub || t[1] == 0);
5349           }
5350
5351         if (needs_quote)
5352           {
5353           yield = string_cat(yield, &size, &ptr, US"\"", 1);
5354           t = sub - 1;
5355           while (*(++t) != 0)
5356             {
5357             if (*t == '\n')
5358               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
5359             else if (*t == '\r')
5360               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
5361             else
5362               {
5363               if (*t == '\\' || *t == '"')
5364                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
5365               yield = string_cat(yield, &size, &ptr, t, 1);
5366               }
5367             }
5368           yield = string_cat(yield, &size, &ptr, US"\"", 1);
5369           }
5370         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
5371         continue;
5372         }
5373
5374       /* quote_lookuptype does lookup-specific quoting */
5375
5376       else
5377         {
5378         int n;
5379         uschar *opt = Ustrchr(arg, '_');
5380
5381         if (opt != NULL) *opt++ = 0;
5382
5383         n = search_findtype(arg, Ustrlen(arg));
5384         if (n < 0)
5385           {
5386           expand_string_message = search_error_message;
5387           goto EXPAND_FAILED;
5388           }
5389
5390         if (lookup_list[n].quote != NULL)
5391           sub = (lookup_list[n].quote)(sub, opt);
5392         else if (opt != NULL) sub = NULL;
5393
5394         if (sub == NULL)
5395           {
5396           expand_string_message = string_sprintf(
5397             "\"%s\" unrecognized after \"${quote_%s\"",
5398             opt, arg);
5399           goto EXPAND_FAILED;
5400           }
5401
5402         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
5403         continue;
5404         }
5405
5406       /* rx quote sticks in \ before any non-alphameric character so that
5407       the insertion works in a regular expression. */
5408
5409       case EOP_RXQUOTE:
5410         {
5411         uschar *t = sub - 1;
5412         while (*(++t) != 0)
5413           {
5414           if (!isalnum(*t))
5415             yield = string_cat(yield, &size, &ptr, US"\\", 1);
5416           yield = string_cat(yield, &size, &ptr, t, 1);
5417           }
5418         continue;
5419         }
5420
5421       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
5422       prescribed by the RFC, if there are characters that need to be encoded */
5423
5424       case EOP_RFC2047:
5425         {
5426         uschar buffer[2048];
5427         uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
5428           buffer, sizeof(buffer), FALSE);
5429         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
5430         continue;
5431         }
5432
5433       /* RFC 2047 decode */
5434
5435       case EOP_RFC2047D:
5436         {
5437         int len;
5438         uschar *error;
5439         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
5440           headers_charset, '?', &len, &error);
5441         if (error != NULL)
5442           {
5443           expand_string_message = error;
5444           goto EXPAND_FAILED;
5445           }
5446         yield = string_cat(yield, &size, &ptr, decoded, len);
5447         continue;
5448         }
5449
5450       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
5451       underscores */
5452
5453       case EOP_FROM_UTF8:
5454         {
5455         while (*sub != 0)
5456           {
5457           int c;
5458           uschar buff[4];
5459           GETUTF8INC(c, sub);
5460           if (c > 255) c = '_';
5461           buff[0] = c;
5462           yield = string_cat(yield, &size, &ptr, buff, 1);
5463           }
5464         continue;
5465         }
5466
5467       /* escape turns all non-printing characters into escape sequences. */
5468
5469       case EOP_ESCAPE:
5470         {
5471         uschar *t = string_printing(sub);
5472         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5473         continue;
5474         }
5475
5476       /* Handle numeric expression evaluation */
5477
5478       case EOP_EVAL:
5479       case EOP_EVAL10:
5480         {
5481         uschar *save_sub = sub;
5482         uschar *error = NULL;
5483         int n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
5484         if (error != NULL)
5485           {
5486           expand_string_message = string_sprintf("error in expression "
5487             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
5488               save_sub);
5489           goto EXPAND_FAILED;
5490           }
5491         sprintf(CS var_buffer, "%d", n);
5492         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
5493         continue;
5494         }
5495
5496       /* Handle time period formating */
5497
5498       case EOP_TIME_EVAL:
5499         {
5500         int n = readconf_readtime(sub, 0, FALSE);
5501         if (n < 0)
5502           {
5503           expand_string_message = string_sprintf("string \"%s\" is not an "
5504             "Exim time interval in \"%s\" operator", sub, name);
5505           goto EXPAND_FAILED;
5506           }
5507         sprintf(CS var_buffer, "%d", n);
5508         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
5509         continue;
5510         }
5511
5512       case EOP_TIME_INTERVAL:
5513         {
5514         int n;
5515         uschar *t = read_number(&n, sub);
5516         if (*t != 0) /* Not A Number*/
5517           {
5518           expand_string_message = string_sprintf("string \"%s\" is not a "
5519             "positive number in \"%s\" operator", sub, name);
5520           goto EXPAND_FAILED;
5521           }
5522         t = readconf_printtime(n);
5523         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5524         continue;
5525         }
5526
5527       /* Convert string to base64 encoding */
5528
5529       case EOP_STR2B64:
5530         {
5531         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
5532         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
5533         continue;
5534         }
5535
5536       /* strlen returns the length of the string */
5537
5538       case EOP_STRLEN:
5539         {
5540         uschar buff[24];
5541         (void)sprintf(CS buff, "%d", Ustrlen(sub));
5542         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
5543         continue;
5544         }
5545
5546       /* length_n or l_n takes just the first n characters or the whole string,
5547       whichever is the shorter;
5548
5549       substr_m_n, and s_m_n take n characters from offset m; negative m take
5550       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
5551       takes the rest, either to the right or to the left.
5552
5553       hash_n or h_n makes a hash of length n from the string, yielding n
5554       characters from the set a-z; hash_n_m makes a hash of length n, but
5555       uses m characters from the set a-zA-Z0-9.
5556
5557       nhash_n returns a single number between 0 and n-1 (in text form), while
5558       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
5559       between 0 and n-1 and the second between 0 and m-1. */
5560
5561       case EOP_LENGTH:
5562       case EOP_L:
5563       case EOP_SUBSTR:
5564       case EOP_S:
5565       case EOP_HASH:
5566       case EOP_H:
5567       case EOP_NHASH:
5568       case EOP_NH:
5569         {
5570         int sign = 1;
5571         int value1 = 0;
5572         int value2 = -1;
5573         int *pn;
5574         int len;
5575         uschar *ret;
5576
5577         if (arg == NULL)
5578           {
5579           expand_string_message = string_sprintf("missing values after %s",
5580             name);
5581           goto EXPAND_FAILED;
5582           }
5583
5584         /* "length" has only one argument, effectively being synonymous with
5585         substr_0_n. */
5586
5587         if (c == EOP_LENGTH || c == EOP_L)
5588           {
5589           pn = &value2;
5590           value2 = 0;
5591           }
5592
5593         /* The others have one or two arguments; for "substr" the first may be
5594         negative. The second being negative means "not supplied". */
5595
5596         else
5597           {
5598           pn = &value1;
5599           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
5600           }
5601
5602         /* Read up to two numbers, separated by underscores */
5603
5604         ret = arg;
5605         while (*arg != 0)
5606           {
5607           if (arg != ret && *arg == '_' && pn == &value1)
5608             {
5609             pn = &value2;
5610             value2 = 0;
5611             if (arg[1] != 0) arg++;
5612             }
5613           else if (!isdigit(*arg))
5614             {
5615             expand_string_message =
5616               string_sprintf("non-digit after underscore in \"%s\"", name);
5617             goto EXPAND_FAILED;
5618             }
5619           else *pn = (*pn)*10 + *arg++ - '0';
5620           }
5621         value1 *= sign;
5622
5623         /* Perform the required operation */
5624
5625         ret =
5626           (c == EOP_HASH || c == EOP_H)?
5627              compute_hash(sub, value1, value2, &len) :
5628           (c == EOP_NHASH || c == EOP_NH)?
5629              compute_nhash(sub, value1, value2, &len) :
5630              extract_substr(sub, value1, value2, &len);
5631
5632         if (ret == NULL) goto EXPAND_FAILED;
5633         yield = string_cat(yield, &size, &ptr, ret, len);
5634         continue;
5635         }
5636
5637       /* Stat a path */
5638
5639       case EOP_STAT:
5640         {
5641         uschar *s;
5642         uschar smode[12];
5643         uschar **modetable[3];
5644         int i;
5645         mode_t mode;
5646         struct stat st;
5647
5648         if ((expand_forbid & RDO_EXISTS) != 0)
5649           {
5650           expand_string_message = US"Use of the stat() expansion is not permitted";
5651           goto EXPAND_FAILED;
5652           }
5653
5654         if (stat(CS sub, &st) < 0)
5655           {
5656           expand_string_message = string_sprintf("stat(%s) failed: %s",
5657             sub, strerror(errno));
5658           goto EXPAND_FAILED;
5659           }
5660         mode = st.st_mode;
5661         switch (mode & S_IFMT)
5662           {
5663           case S_IFIFO: smode[0] = 'p'; break;
5664           case S_IFCHR: smode[0] = 'c'; break;
5665           case S_IFDIR: smode[0] = 'd'; break;
5666           case S_IFBLK: smode[0] = 'b'; break;
5667           case S_IFREG: smode[0] = '-'; break;
5668           default: smode[0] = '?'; break;
5669           }
5670
5671         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
5672         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
5673         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
5674
5675         for (i = 0; i < 3; i++)
5676           {
5677           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
5678           mode >>= 3;
5679           }
5680
5681         smode[10] = 0;
5682         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
5683           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
5684           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
5685           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
5686           (long)st.st_gid, st.st_size, (long)st.st_atime,
5687           (long)st.st_mtime, (long)st.st_ctime);
5688         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
5689         continue;
5690         }
5691
5692       /* Unknown operator */
5693
5694       default:
5695       expand_string_message =
5696         string_sprintf("unknown expansion operator \"%s\"", name);
5697       goto EXPAND_FAILED;
5698       }
5699     }
5700
5701   /* Handle a plain name. If this is the first thing in the expansion, release
5702   the pre-allocated buffer. If the result data is known to be in a new buffer,
5703   newsize will be set to the size of that buffer, and we can just point at that
5704   store instead of copying. Many expansion strings contain just one reference,
5705   so this is a useful optimization, especially for humungous headers
5706   ($message_headers). */
5707
5708   if (*s++ == '}')
5709     {
5710     int len;
5711     int newsize = 0;
5712     if (ptr == 0)
5713       {
5714       if (resetok) store_reset(yield);
5715       yield = NULL;
5716       size = 0;
5717       }
5718     value = find_variable(name, FALSE, skipping, &newsize);
5719     if (value == NULL)
5720       {
5721       expand_string_message =
5722         string_sprintf("unknown variable in \"${%s}\"", name);
5723       check_variable_error_message(name);
5724       goto EXPAND_FAILED;
5725       }
5726     len = Ustrlen(value);
5727     if (yield == NULL && newsize != 0)
5728       {
5729       yield = value;
5730       size = newsize;
5731       ptr = len;
5732       }
5733     else yield = string_cat(yield, &size, &ptr, value, len);
5734     continue;
5735     }
5736
5737   /* Else there's something wrong */
5738
5739   expand_string_message =
5740     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
5741     "in a variable reference)", name);
5742   goto EXPAND_FAILED;
5743   }
5744
5745 /* If we hit the end of the string when ket_ends is set, there is a missing
5746 terminating brace. */
5747
5748 if (ket_ends && *s == 0)
5749   {
5750   expand_string_message = malformed_header?
5751     US"missing } at end of string - could be header name not terminated by colon"
5752     :
5753     US"missing } at end of string";
5754   goto EXPAND_FAILED;
5755   }
5756
5757 /* Expansion succeeded; yield may still be NULL here if nothing was actually
5758 added to the string. If so, set up an empty string. Add a terminating zero. If
5759 left != NULL, return a pointer to the terminator. */
5760
5761 if (yield == NULL) yield = store_get(1);
5762 yield[ptr] = 0;
5763 if (left != NULL) *left = s;
5764
5765 /* Any stacking store that was used above the final string is no longer needed.
5766 In many cases the final string will be the first one that was got and so there
5767 will be optimal store usage. */
5768
5769 if (resetok) store_reset(yield + ptr + 1);
5770 DEBUG(D_expand)
5771   {
5772   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
5773     yield);
5774   if (skipping) debug_printf("skipping: result is not used\n");
5775   }
5776 return yield;
5777
5778 /* This is the failure exit: easiest to program with a goto. We still need
5779 to update the pointer to the terminator, for cases of nested calls with "fail".
5780 */
5781
5782 EXPAND_FAILED_CURLY:
5783 expand_string_message = malformed_header?
5784   US"missing or misplaced { or } - could be header name not terminated by colon"
5785   :
5786   US"missing or misplaced { or }";
5787
5788 /* At one point, Exim reset the store to yield (if yield was not NULL), but
5789 that is a bad idea, because expand_string_message is in dynamic store. */
5790
5791 EXPAND_FAILED:
5792 if (left != NULL) *left = s;
5793 DEBUG(D_expand)
5794   {
5795   debug_printf("failed to expand: %s\n", string);
5796   debug_printf("   error message: %s\n", expand_string_message);
5797   if (expand_string_forcedfail) debug_printf("failure was forced\n");
5798   }
5799 return NULL;
5800 }
5801
5802
5803 /* This is the external function call. Do a quick check for any expansion
5804 metacharacters, and if there are none, just return the input string.
5805
5806 Argument: the string to be expanded
5807 Returns:  the expanded string, or NULL if expansion failed; if failure was
5808           due to a lookup deferring, search_find_defer will be TRUE
5809 */
5810
5811 uschar *
5812 expand_string(uschar *string)
5813 {
5814 search_find_defer = FALSE;
5815 malformed_header = FALSE;
5816 return (Ustrpbrk(string, "$\\") == NULL)? string :
5817   expand_string_internal(string, FALSE, NULL, FALSE);
5818 }
5819
5820
5821
5822 /*************************************************
5823 *              Expand and copy                   *
5824 *************************************************/
5825
5826 /* Now and again we want to expand a string and be sure that the result is in a
5827 new bit of store. This function does that.
5828
5829 Argument: the string to be expanded
5830 Returns:  the expanded string, always in a new bit of store, or NULL
5831 */
5832
5833 uschar *
5834 expand_string_copy(uschar *string)
5835 {
5836 uschar *yield = expand_string(string);
5837 if (yield == string) yield = string_copy(string);
5838 return yield;
5839 }
5840
5841
5842
5843 /*************************************************
5844 *        Expand and interpret as an integer      *
5845 *************************************************/
5846
5847 /* Expand a string, and convert the result into an integer.
5848
5849 Arguments:
5850   string  the string to be expanded
5851   isplus  TRUE if a non-negative number is expected
5852
5853 Returns:  the integer value, or
5854           -1 for an expansion error               ) in both cases, message in
5855           -2 for an integer interpretation error  ) expand_string_message
5856           expand_string_message is set NULL for an OK integer
5857 */
5858
5859 int
5860 expand_string_integer(uschar *string, BOOL isplus)
5861 {
5862 long int value;
5863 uschar *s = expand_string(string);
5864 uschar *msg = US"invalid integer \"%s\"";
5865 uschar *endptr;
5866
5867 /* If expansion failed, expand_string_message will be set. */
5868
5869 if (s == NULL) return -1;
5870
5871 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
5872 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
5873 systems, so we set it zero ourselves. */
5874
5875 errno = 0;
5876 expand_string_message = NULL;               /* Indicates no error */
5877 value = strtol(CS s, CSS &endptr, 10);
5878
5879 if (endptr == s)
5880   {
5881   msg = US"integer expected but \"%s\" found";
5882   }
5883 else if (value < 0 && isplus)
5884   {
5885   msg = US"non-negative integer expected but \"%s\" found";
5886   }
5887 else
5888   {
5889   /* Ensure we can cast this down to an int */
5890   if (value > INT_MAX  || value < INT_MIN) errno = ERANGE;
5891
5892   if (errno != ERANGE)
5893     {
5894     if (tolower(*endptr) == 'k')
5895       {
5896       if (value > INT_MAX/1024 || value < INT_MIN/1024) errno = ERANGE;
5897         else value *= 1024;
5898       endptr++;
5899       }
5900     else if (tolower(*endptr) == 'm')
5901       {
5902       if (value > INT_MAX/(1024*1024) || value < INT_MIN/(1024*1024))
5903         errno = ERANGE;
5904       else value *= 1024*1024;
5905       endptr++;
5906       }
5907     }
5908   if (errno == ERANGE)
5909     msg = US"absolute value of integer \"%s\" is too large (overflow)";
5910   else
5911     {
5912     while (isspace(*endptr)) endptr++;
5913     if (*endptr == 0) return (int)value;
5914     }
5915   }
5916
5917 expand_string_message = string_sprintf(CS msg, s);
5918 return -2;
5919 }
5920
5921
5922 /*************************************************
5923 **************************************************
5924 *             Stand-alone test program           *
5925 **************************************************
5926 *************************************************/
5927
5928 #ifdef STAND_ALONE
5929
5930
5931 BOOL
5932 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
5933 {
5934 int ovector[3*(EXPAND_MAXN+1)];
5935 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
5936   ovector, sizeof(ovector)/sizeof(int));
5937 BOOL yield = n >= 0;
5938 if (n == 0) n = EXPAND_MAXN + 1;
5939 if (yield)
5940   {
5941   int nn;
5942   expand_nmax = (setup < 0)? 0 : setup + 1;
5943   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
5944     {
5945     expand_nstring[expand_nmax] = subject + ovector[nn];
5946     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5947     }
5948   expand_nmax--;
5949   }
5950 return yield;
5951 }
5952
5953
5954 int main(int argc, uschar **argv)
5955 {
5956 int i;
5957 uschar buffer[1024];
5958
5959 debug_selector = D_v;
5960 debug_file = stderr;
5961 debug_fd = fileno(debug_file);
5962 big_buffer = malloc(big_buffer_size);
5963
5964 for (i = 1; i < argc; i++)
5965   {
5966   if (argv[i][0] == '+')
5967     {
5968     debug_trace_memory = 2;
5969     argv[i]++;
5970     }
5971   if (isdigit(argv[i][0]))
5972     debug_selector = Ustrtol(argv[i], NULL, 0);
5973   else
5974     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
5975         Ustrlen(argv[i]))
5976       {
5977       #ifdef LOOKUP_LDAP
5978       eldap_default_servers = argv[i];
5979       #endif
5980       #ifdef LOOKUP_MYSQL
5981       mysql_servers = argv[i];
5982       #endif
5983       #ifdef LOOKUP_PGSQL
5984       pgsql_servers = argv[i];
5985       #endif
5986       }
5987   #ifdef EXIM_PERL
5988   else opt_perl_startup = argv[i];
5989   #endif
5990   }
5991
5992 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
5993
5994 expand_nstring[1] = US"string 1....";
5995 expand_nlength[1] = 8;
5996 expand_nmax = 1;
5997
5998 #ifdef EXIM_PERL
5999 if (opt_perl_startup != NULL)
6000   {
6001   uschar *errstr;
6002   printf("Starting Perl interpreter\n");
6003   errstr = init_perl(opt_perl_startup);
6004   if (errstr != NULL)
6005     {
6006     printf("** error in perl_startup code: %s\n", errstr);
6007     return EXIT_FAILURE;
6008     }
6009   }
6010 #endif /* EXIM_PERL */
6011
6012 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
6013   {
6014   void *reset_point = store_get(0);
6015   uschar *yield = expand_string(buffer);
6016   if (yield != NULL)
6017     {
6018     printf("%s\n", yield);
6019     store_reset(reset_point);
6020     }
6021   else
6022     {
6023     if (search_find_defer) printf("search_find deferred\n");
6024     printf("Failed: %s\n", expand_string_message);
6025     if (expand_string_forcedfail) printf("Forced failure\n");
6026     printf("\n");
6027     }
6028   }
6029
6030 search_tidyup();
6031
6032 return 0;
6033 }
6034
6035 #endif
6036
6037 /* End of expand.c */