src/src/spool_in.c

   1 /* $Cambridge: exim/src/src/spool_in.c,v 1.19 2007/01/08 10:50:18 ph10 Exp $ */
   2
   3 /*************************************************
   4 *     Exim - an Internet mail transport agent    *
   5 *************************************************/
   6
   7 /* Copyright (c) University of Cambridge 1995 - 2007 */
   8 /* See the file NOTICE for conditions of use and distribution. */
   9
  10 /* Functions for reading spool files. When compiling for a utility (eximon),
  11 not all are needed, and some functionality can be cut out. */
  12
  13
  14 #include "exim.h"
  15
  16
  17
  18 #ifndef COMPILE_UTILITY
  19 /*************************************************
  20 *           Open and lock data file              *
  21 *************************************************/
  22
  23 /* The data file is the one that is used for locking, because the header file
  24 can get replaced during delivery because of header rewriting. The file has
  25 to opened with write access so that we can get an exclusive lock, but in
  26 fact it won't be written to. Just in case there's a major disaster (e.g.
  27 overwriting some other file descriptor with the value of this one), open it
  28 with append.
  29
  30 Argument: the id of the message
  31 Returns:  TRUE if file successfully opened and locked
  32
  33 Side effect: deliver_datafile is set to the fd of the open file.
  34 */
  35
  36 BOOL
  37 spool_open_datafile(uschar *id)
  38 {
  39 int i;
  40 struct stat statbuf;
  41 flock_t lock_data;
  42 uschar spoolname[256];
  43
  44 /* If split_spool_directory is set, first look for the file in the appropriate
  45 sub-directory of the input directory. If it is not found there, try the input
  46 directory itself, to pick up leftovers from before the splitting. If split_
  47 spool_directory is not set, first look in the main input directory. If it is
  48 not found there, try the split sub-directory, in case it is left over from a
  49 splitting state. */
  50
  51 for (i = 0; i < 2; i++)
  52   {
  53   int save_errno;
  54   message_subdir[0] = (split_spool_directory == (i == 0))? id[5] : 0;
  55   sprintf(CS spoolname, "%s/input/%s/%s-D", spool_directory, message_subdir, id);
  56   deliver_datafile = Uopen(spoolname, O_RDWR | O_APPEND, 0);
  57   if (deliver_datafile >= 0) break;
  58   save_errno = errno;
  59   if (errno == ENOENT)
  60     {
  61     if (i == 0) continue;
  62     if (!queue_running)
  63       log_write(0, LOG_MAIN, "Spool file %s-D not found", id);
  64     }
  65   else log_write(0, LOG_MAIN, "Spool error for %s: %s", spoolname,
  66     strerror(errno));
  67   errno = save_errno;
  68   return FALSE;
  69   }
  70
  71 /* File is open and message_subdir is set. Set the close-on-exec flag, and lock
  72 the file. We lock only the first line of the file (containing the message ID)
  73 because this apparently is needed for running Exim under Cygwin. If the entire
  74 file is locked in one process, a sub-process cannot access it, even when passed
  75 an open file descriptor (at least, I think that's the Cygwin story). On real
  76 Unix systems it doesn't make any difference as long as Exim is consistent in
  77 what it locks. */
  78
  79 (void)fcntl(deliver_datafile, F_SETFD, fcntl(deliver_datafile, F_GETFD) |
  80   FD_CLOEXEC);
  81
  82 lock_data.l_type = F_WRLCK;
  83 lock_data.l_whence = SEEK_SET;
  84 lock_data.l_start = 0;
  85 lock_data.l_len = SPOOL_DATA_START_OFFSET;
  86
  87 if (fcntl(deliver_datafile, F_SETLK, &lock_data) < 0)
  88   {
  89   log_write(L_skip_delivery,
  90             LOG_MAIN,
  91             "Spool file is locked (another process is handling this message)");
  92   (void)close(deliver_datafile);
  93   deliver_datafile = -1;
  94   errno = 0;
  95   return FALSE;
  96   }
  97
  98 /* Get the size of the data; don't include the leading filename line
  99 in the count, but add one for the newline before the data. */
 100
 101 if (fstat(deliver_datafile, &statbuf) == 0)
 102   {
 103   message_body_size = statbuf.st_size - SPOOL_DATA_START_OFFSET;
 104   message_size = message_body_size + 1;
 105   }
 106
 107 return TRUE;
 108 }
 109 #endif  /* COMPILE_UTILITY */
 110
 111
 112
 113 /*************************************************
 114 *    Read non-recipients tree from spool file    *
 115 *************************************************/
 116
 117 /* The tree of non-recipients is written to the spool file in a form that
 118 makes it easy to read back into a tree. The format is as follows:
 119
 120    . Each node is preceded by two letter(Y/N) indicating whether it has left
 121      or right children. There's one space after the two flags, before the name.
 122
 123    . The left subtree (if any) then follows, then the right subtree (if any).
 124
 125 This function is entered with the next input line in the buffer. Note we must
 126 save the right flag before recursing with the same buffer.
 127
 128 Once the tree is read, we re-construct the balance fields by scanning the tree.
 129 I forgot to write them out originally, and the compatible fix is to do it this
 130 way. This initial local recursing function does the necessary.
 131
 132 Arguments:
 133   node      tree node
 134
 135 Returns:    maximum depth below the node, including the node itself
 136 */
 137
 138 static int
 139 count_below(tree_node *node)
 140 {
 141 int nleft, nright;
 142 if (node == NULL) return 0;
 143 nleft = count_below(node->left);
 144 nright = count_below(node->right);
 145 node->balance = (nleft > nright)? 1 : ((nright > nleft)? 2 : 0);
 146 return 1 + ((nleft > nright)? nleft : nright);
 147 }
 148
 149 /* This is the real function...
 150
 151 Arguments:
 152   connect      pointer to the root of the tree
 153   f            FILE to read data from
 154   buffer       contains next input line; further lines read into it
 155   buffer_size  size of the buffer
 156
 157 Returns:       FALSE on format error
 158 */
 159
 160 static BOOL
 161 read_nonrecipients_tree(tree_node **connect, FILE *f, uschar *buffer,
 162   int buffer_size)
 163 {
 164 tree_node *node;
 165 int n = Ustrlen(buffer);
 166 BOOL right = buffer[1] == 'Y';
 167
 168 if (n < 5) return FALSE;    /* malformed line */
 169 buffer[n-1] = 0;            /* Remove \n */
 170 node = store_get(sizeof(tree_node) + n - 3);
 171 *connect = node;
 172 Ustrcpy(node->name, buffer + 3);
 173 node->data.ptr = NULL;
 174
 175 if (buffer[0] == 'Y')
 176   {
 177   if (Ufgets(buffer, buffer_size, f) == NULL ||
 178     !read_nonrecipients_tree(&node->left, f, buffer, buffer_size))
 179       return FALSE;
 180   }
 181 else node->left = NULL;
 182
 183 if (right)
 184   {
 185   if (Ufgets(buffer, buffer_size, f) == NULL ||
 186     !read_nonrecipients_tree(&node->right, f, buffer, buffer_size))
 187       return FALSE;
 188   }
 189 else node->right = NULL;
 190
 191 (void) count_below(*connect);
 192 return TRUE;
 193 }
 194
 195
 196
 197
 198 /*************************************************
 199 *             Read spool header file             *
 200 *************************************************/
 201
 202 /* This function reads a spool header file and places the data into the
 203 appropriate global variables. The header portion is always read, but header
 204 structures are built only if read_headers is set true. It isn't, for example,
 205 while generating -bp output.
 206
 207 It may be possible for blocks of nulls (binary zeroes) to get written on the
 208 end of a file if there is a system crash during writing. It was observed on an
 209 earlier version of Exim that omitted to fsync() the files - this is thought to
 210 have been the cause of that incident, but in any case, this code must be robust
 211 against such an event, and if such a file is encountered, it must be treated as
 212 malformed.
 213
 214 Arguments:
 215   name          name of the header file, including the -H
 216   read_headers  TRUE if in-store header structures are to be built
 217   subdir_set    TRUE is message_subdir is already set
 218
 219 Returns:        spool_read_OK        success
 220                 spool_read_notopen   open failed
 221                 spool_read_enverror  error in the envelope portion
 222                 spool_read_hdrdrror  error in the header portion
 223 */
 224
 225 int
 226 spool_read_header(uschar *name, BOOL read_headers, BOOL subdir_set)
 227 {
 228 FILE *f = NULL;
 229 int n;
 230 int rcount = 0;
 231 long int uid, gid;
 232 BOOL inheader = FALSE;
 233 uschar *p;
 234
 235 /* Reset all the global variables to their default values. However, there is
 236 one exception. DO NOT change the default value of dont_deliver, because it may
 237 be forced by an external setting. */
 238
 239 acl_var_c = acl_var_m = NULL;
 240 authenticated_id = NULL;
 241 authenticated_sender = NULL;
 242 allow_unqualified_recipient = FALSE;
 243 allow_unqualified_sender = FALSE;
 244 body_linecount = 0;
 245 body_zerocount = 0;
 246 deliver_firsttime = FALSE;
 247 deliver_freeze = FALSE;
 248 deliver_frozen_at = 0;
 249 deliver_manual_thaw = FALSE;
 250 /* dont_deliver must NOT be reset */
 251 header_list = header_last = NULL;
 252 host_lookup_deferred = FALSE;
 253 host_lookup_failed = FALSE;
 254 interface_address = NULL;
 255 interface_port = 0;
 256 local_error_message = FALSE;
 257 local_scan_data = NULL;
 258 message_linecount = 0;
 259 received_protocol = NULL;
 260 received_count = 0;
 261 recipients_list = NULL;
 262 sender_address = NULL;
 263 sender_fullhost = NULL;
 264 sender_helo_name = NULL;
 265 sender_host_address = NULL;
 266 sender_host_name = NULL;
 267 sender_host_port = 0;
 268 sender_host_authenticated = NULL;
 269 sender_ident = NULL;
 270 sender_local = FALSE;
 271 sender_set_untrusted = FALSE;
 272 smtp_active_hostname = primary_hostname;
 273 tree_nonrecipients = NULL;
 274
 275 #ifdef EXPERIMENTAL_BRIGHTMAIL
 276 bmi_run = 0;
 277 bmi_verdicts = NULL;
 278 #endif
 279
 280 #ifdef EXPERIMENTAL_DOMAINKEYS
 281 dk_do_verify = 0;
 282 #endif
 283
 284 #ifdef SUPPORT_TLS
 285 tls_certificate_verified = FALSE;
 286 tls_cipher = NULL;
 287 tls_peerdn = NULL;
 288 #endif
 289
 290 #ifdef WITH_CONTENT_SCAN
 291 spam_score_int = NULL;
 292 #endif
 293
 294 /* Generate the full name and open the file. If message_subdir is already
 295 set, just look in the given directory. Otherwise, look in both the split
 296 and unsplit directories, as for the data file above. */
 297
 298 for (n = 0; n < 2; n++)
 299   {
 300   if (!subdir_set)
 301     message_subdir[0] = (split_spool_directory == (n == 0))? name[5] : 0;
 302   sprintf(CS big_buffer, "%s/input/%s/%s", spool_directory, message_subdir,
 303     name);
 304   f = Ufopen(big_buffer, "rb");
 305   if (f != NULL) break;
 306   if (n != 0 || subdir_set || errno != ENOENT) return spool_read_notopen;
 307   }
 308
 309 errno = 0;
 310
 311 #ifndef COMPILE_UTILITY
 312 DEBUG(D_deliver) debug_printf("reading spool file %s\n", name);
 313 #endif  /* COMPILE_UTILITY */
 314
 315 /* The first line of a spool file contains the message id followed by -H (i.e.
 316 the file name), in order to make the file self-identifying. */
 317
 318 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 319 if (Ustrlen(big_buffer) != MESSAGE_ID_LENGTH + 3 ||
 320     Ustrncmp(big_buffer, name, MESSAGE_ID_LENGTH + 2) != 0)
 321   goto SPOOL_FORMAT_ERROR;
 322
 323 /* The next three lines in the header file are in a fixed format. The first
 324 contains the login, uid, and gid of the user who caused the file to be written.
 325 There are known cases where a negative gid is used, so we allow for both
 326 negative uids and gids. The second contains the mail address of the message's
 327 sender, enclosed in <>. The third contains the time the message was received,
 328 and the number of warning messages for delivery delays that have been sent. */
 329
 330 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 331
 332 p = big_buffer + Ustrlen(big_buffer);
 333 while (p > big_buffer && isspace(p[-1])) p--;
 334 *p = 0;
 335 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 336 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 337 gid = Uatoi(p);
 338 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 339 *p = 0;
 340 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 341 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 342 uid = Uatoi(p);
 343 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 344 *p = 0;
 345
 346 originator_login = string_copy(big_buffer);
 347 originator_uid = (uid_t)uid;
 348 originator_gid = (gid_t)gid;
 349
 350 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 351 n = Ustrlen(big_buffer);
 352 if (n < 3 || big_buffer[0] != '<' || big_buffer[n-2] != '>')
 353   goto SPOOL_FORMAT_ERROR;
 354
 355 sender_address = store_get(n-2);
 356 Ustrncpy(sender_address, big_buffer+1, n-3);
 357 sender_address[n-3] = 0;
 358
 359 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 360 if (sscanf(CS big_buffer, "%d %d", &received_time, &warning_count) != 2)
 361   goto SPOOL_FORMAT_ERROR;
 362
 363 message_age = time(NULL) - received_time;
 364
 365 #ifndef COMPILE_UTILITY
 366 DEBUG(D_deliver) debug_printf("user=%s uid=%ld gid=%ld sender=%s\n",
 367   originator_login, (long int)originator_uid, (long int)originator_gid,
 368   sender_address);
 369 #endif  /* COMPILE_UTILITY */
 370
 371 /* Now there may be a number of optional lines, each starting with "-". If you
 372 add a new setting here, make sure you set the default above.
 373
 374 Because there are now quite a number of different possibilities, we use a
 375 switch on the first character to avoid too many failing tests. Thanks to Nico
 376 Erfurth for the patch that implemented this. I have made it even more efficient
 377 by not re-scanning the first two characters.
 378
 379 To allow new versions of Exim that add additional flags to interwork with older
 380 versions that do not understand them, just ignore any lines starting with "-"
 381 that we don't recognize. Otherwise it wouldn't be possible to back off a new
 382 version that left new-style flags written on the spool. */
 383
 384 p = big_buffer + 2;
 385 for (;;)
 386   {
 387   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 388   if (big_buffer[0] != '-') break;
 389   big_buffer[Ustrlen(big_buffer) - 1] = 0;
 390
 391   switch(big_buffer[1])
 392     {
 393     case 'a':
 394
 395     /* Nowadays we use "-aclc" and "-aclm" for the different types of ACL
 396     variable, because Exim allows any number of them, with arbitrary names.
 397     The line in the spool file is "-acl[cm] <name> <length>". The name excludes
 398     the c or m. */
 399
 400     if (Ustrncmp(p, "clc ", 4) == 0 ||
 401         Ustrncmp(p, "clm ", 4) == 0)
 402       {
 403       uschar *name, *endptr;
 404       int count;
 405       tree_node *node;
 406       endptr = Ustrchr(big_buffer + 6, ' ');
 407       if (endptr == NULL) goto SPOOL_FORMAT_ERROR;
 408       name = string_sprintf("%c%.*s", big_buffer[4], endptr - big_buffer - 6,
 409         big_buffer + 6);
 410       if (sscanf(CS endptr, " %d", &count) != 1) goto SPOOL_FORMAT_ERROR;
 411       node = acl_var_create(name);
 412       node->data.ptr = store_get(count + 1);
 413       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 414       ((uschar*)node->data.ptr)[count] = 0;
 415       }
 416
 417     else if (Ustrcmp(p, "llow_unqualified_recipient") == 0)
 418       allow_unqualified_recipient = TRUE;
 419     else if (Ustrcmp(p, "llow_unqualified_sender") == 0)
 420       allow_unqualified_sender = TRUE;
 421
 422     else if (Ustrncmp(p, "uth_id", 6) == 0)
 423       authenticated_id = string_copy(big_buffer + 9);
 424     else if (Ustrncmp(p, "uth_sender", 10) == 0)
 425       authenticated_sender = string_copy(big_buffer + 13);
 426     else if (Ustrncmp(p, "ctive_hostname", 14) == 0)
 427       smtp_active_hostname = string_copy(big_buffer + 17);
 428
 429     /* For long-term backward compatibility, we recognize "-acl", which was
 430     used before the number of ACL variables changed from 10 to 20. This was
 431     before the subsequent change to an arbitrary number of named variables.
 432     This code is retained so that upgrades from very old versions can still
 433     handle old-format spool files. The value given after "-acl" is a number
 434     that is 0-9 for connection variables, and 10-19 for message variables. */
 435
 436     else if (Ustrncmp(p, "cl ", 3) == 0)
 437       {
 438       int index, count;
 439       uschar name[20];   /* Need plenty of space for %d format */
 440       tree_node *node;
 441       if (sscanf(CS big_buffer + 5, "%d %d", &index, &count) != 2)
 442         goto SPOOL_FORMAT_ERROR;
 443       if (index < 10)
 444         (void) string_format(name, sizeof(name), "%c%d", 'c', index);
 445       else if (index < 20) /* ignore out-of-range index */
 446         (void) string_format(name, sizeof(name), "%c%d", 'm', index - 10);
 447       node = acl_var_create(name);
 448       node->data.ptr = store_get(count + 1);
 449       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 450       ((uschar*)node->data.ptr)[count] = 0;
 451       }
 452     break;
 453
 454     case 'b':
 455     if (Ustrncmp(p, "ody_linecount", 13) == 0)
 456       body_linecount = Uatoi(big_buffer + 15);
 457     else if (Ustrncmp(p, "ody_zerocount", 13) == 0)
 458       body_zerocount = Uatoi(big_buffer + 15);
 459     #ifdef EXPERIMENTAL_BRIGHTMAIL
 460     else if (Ustrncmp(p, "mi_verdicts ", 12) == 0)
 461       bmi_verdicts = string_copy(big_buffer + 14);
 462     #endif
 463     break;
 464
 465     case 'd':
 466     if (Ustrcmp(p, "eliver_firsttime") == 0)
 467       deliver_firsttime = TRUE;
 468     break;
 469
 470     case 'f':
 471     if (Ustrncmp(p, "rozen", 5) == 0)
 472       {
 473       deliver_freeze = TRUE;
 474       deliver_frozen_at = Uatoi(big_buffer + 7);
 475       }
 476     break;
 477
 478     case 'h':
 479     if (Ustrcmp(p, "ost_lookup_deferred") == 0)
 480       host_lookup_deferred = TRUE;
 481     else if (Ustrcmp(p, "ost_lookup_failed") == 0)
 482       host_lookup_failed = TRUE;
 483     else if (Ustrncmp(p, "ost_auth", 8) == 0)
 484       sender_host_authenticated = string_copy(big_buffer + 11);
 485     else if (Ustrncmp(p, "ost_name", 8) == 0)
 486       sender_host_name = string_copy(big_buffer + 11);
 487     else if (Ustrncmp(p, "elo_name", 8) == 0)
 488       sender_helo_name = string_copy(big_buffer + 11);
 489
 490     /* We now record the port number after the address, separated by a
 491     dot. For compatibility during upgrading, do nothing if there
 492     isn't a value (it gets left at zero). */
 493
 494     else if (Ustrncmp(p, "ost_address", 11) == 0)
 495       {
 496       sender_host_port = host_address_extract_port(big_buffer + 14);
 497       sender_host_address = string_copy(big_buffer + 14);
 498       }
 499     break;
 500
 501     case 'i':
 502     if (Ustrncmp(p, "nterface_address", 16) == 0)
 503       {
 504       interface_port = host_address_extract_port(big_buffer + 19);
 505       interface_address = string_copy(big_buffer + 19);
 506       }
 507     else if (Ustrncmp(p, "dent", 4) == 0)
 508       sender_ident = string_copy(big_buffer + 7);
 509     break;
 510
 511     case 'l':
 512     if (Ustrcmp(p, "ocal") == 0) sender_local = TRUE;
 513     else if (Ustrcmp(big_buffer, "-localerror") == 0)
 514       local_error_message = TRUE;
 515     else if (Ustrncmp(p, "ocal_scan ", 10) == 0)
 516       local_scan_data = string_copy(big_buffer + 12);
 517     break;
 518
 519     case 'm':
 520     if (Ustrcmp(p, "anual_thaw") == 0) deliver_manual_thaw = TRUE;
 521     break;
 522
 523     case 'N':
 524     if (*p == 0) dont_deliver = TRUE;   /* -N */
 525     break;
 526
 527     case 'r':
 528     if (Ustrncmp(p, "eceived_protocol", 16) == 0)
 529       received_protocol = string_copy(big_buffer + 19);
 530     break;
 531
 532     case 's':
 533     if (Ustrncmp(p, "ender_set_untrusted", 19) == 0)
 534       sender_set_untrusted = TRUE;
 535     #ifdef WITH_CONTENT_SCAN
 536     else if (Ustrncmp(p, "pam_score_int ", 14) == 0)
 537       spam_score_int = string_copy(big_buffer + 16);
 538     #endif
 539     break;
 540
 541     #ifdef SUPPORT_TLS
 542     case 't':
 543     if (Ustrncmp(p, "ls_certificate_verified", 23) == 0)
 544       tls_certificate_verified = TRUE;
 545     else if (Ustrncmp(p, "ls_cipher", 9) == 0)
 546       tls_cipher = string_copy(big_buffer + 12);
 547     else if (Ustrncmp(p, "ls_peerdn", 9) == 0)
 548       tls_peerdn = string_copy(big_buffer + 12);
 549     break;
 550     #endif
 551
 552     default:    /* Present because some compilers complain if all */
 553     break;      /* possibilities are not covered. */
 554     }
 555   }
 556
 557 /* Build sender_fullhost if required */
 558
 559 #ifndef COMPILE_UTILITY
 560 host_build_sender_fullhost();
 561 #endif  /* COMPILE_UTILITY */
 562
 563 #ifndef COMPILE_UTILITY
 564 DEBUG(D_deliver)
 565   debug_printf("sender_local=%d ident=%s\n", sender_local,
 566     (sender_ident == NULL)? US"unset" : sender_ident);
 567 #endif  /* COMPILE_UTILITY */
 568
 569 /* We now have the tree of addresses NOT to deliver to, or a line
 570 containing "XX", indicating no tree. */
 571
 572 if (Ustrncmp(big_buffer, "XX\n", 3) != 0 &&
 573   !read_nonrecipients_tree(&tree_nonrecipients, f, big_buffer, big_buffer_size))
 574     goto SPOOL_FORMAT_ERROR;
 575
 576 #ifndef COMPILE_UTILITY
 577 DEBUG(D_deliver)
 578   {
 579   debug_printf("Non-recipients:\n");
 580   debug_print_tree(tree_nonrecipients);
 581   }
 582 #endif  /* COMPILE_UTILITY */
 583
 584 /* After reading the tree, the next line has not yet been read into the
 585 buffer. It contains the count of recipients which follow on separate lines. */
 586
 587 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 588 if (sscanf(CS big_buffer, "%d", &rcount) != 1) goto SPOOL_FORMAT_ERROR;
 589
 590 #ifndef COMPILE_UTILITY
 591 DEBUG(D_deliver) debug_printf("recipients_count=%d\n", rcount);
 592 #endif  /* COMPILE_UTILITY */
 593
 594 recipients_list_max = rcount;
 595 recipients_list = store_get(rcount * sizeof(recipient_item));
 596
 597 for (recipients_count = 0; recipients_count < rcount; recipients_count++)
 598   {
 599   int nn;
 600   int pno = -1;
 601   uschar *errors_to = NULL;
 602   uschar *p;
 603
 604   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 605   nn = Ustrlen(big_buffer);
 606   if (nn < 2) goto SPOOL_FORMAT_ERROR;
 607
 608   /* Remove the newline; this terminates the address if there is no additional
 609   data on the line. */
 610
 611   p = big_buffer + nn - 1;
 612   *p-- = 0;
 613
 614   /* Look back from the end of the line for digits and special terminators.
 615   Since an address must end with a domain, we can tell that extra data is
 616   present by the presence of the terminator, which is always some character
 617   that cannot exist in a domain. (If I'd thought of the need for additional
 618   data early on, I'd have put it at the start, with the address at the end. As
 619   it is, we have to operate backwards. Addresses are permitted to contain
 620   spaces, you see.)
 621
 622   This code has to cope with various versions of this data that have evolved
 623   over time. In all cases, the line might just contain an address, with no
 624   additional data. Otherwise, the possibilities are as follows:
 625
 626   Exim 3 type:       <address><space><digits>,<digits>,<digits>
 627
 628     The second set of digits is the parent number for one_time addresses. The
 629     other values were remnants of earlier experiments that were abandoned.
 630
 631   Exim 4 first type: <address><space><digits>
 632
 633     The digits are the parent number for one_time addresses.
 634
 635   Exim 4 new type:   <address><space><data>#<type bits>
 636
 637     The type bits indicate what the contents of the data are.
 638
 639     Bit 01 indicates that, reading from right to left, the data
 640       ends with <errors_to address><space><len>,<pno> where pno is
 641       the parent number for one_time addresses, and len is the length
 642       of the errors_to address (zero meaning none).
 643    */
 644
 645   while (isdigit(*p)) p--;
 646
 647   /* Handle Exim 3 spool files */
 648
 649   if (*p == ',')
 650     {
 651     int dummy;
 652     while (isdigit(*(--p)) || *p == ',');
 653     if (*p == ' ')
 654       {
 655       *p++ = 0;
 656       (void)sscanf(CS p, "%d,%d", &dummy, &pno);
 657       }
 658     }
 659
 660   /* Handle early Exim 4 spool files */
 661
 662   else if (*p == ' ')
 663     {
 664     *p++ = 0;
 665     (void)sscanf(CS p, "%d", &pno);
 666     }
 667
 668   /* Handle current format Exim 4 spool files */
 669
 670   else if (*p == '#')
 671     {
 672     int flags;
 673     (void)sscanf(CS p+1, "%d", &flags);
 674
 675     if ((flags & 0x01) != 0)      /* one_time data exists */
 676       {
 677       int len;
 678       while (isdigit(*(--p)) || *p == ',' || *p == '-');
 679       (void)sscanf(CS p+1, "%d,%d", &len, &pno);
 680       *p = 0;
 681       if (len > 0)
 682         {
 683         p -= len;
 684         errors_to = string_copy(p);
 685         }
 686       }
 687
 688     *(--p) = 0;   /* Terminate address */
 689     }
 690
 691   recipients_list[recipients_count].address = string_copy(big_buffer);
 692   recipients_list[recipients_count].pno = pno;
 693   recipients_list[recipients_count].errors_to = errors_to;
 694   }
 695
 696 /* The remainder of the spool header file contains the headers for the message,
 697 separated off from the previous data by a blank line. Each header is preceded
 698 by a count of its length and either a certain letter (for various identified
 699 headers), space (for a miscellaneous live header) or an asterisk (for a header
 700 that has been rewritten). Count the Received: headers. We read the headers
 701 always, in order to check on the format of the file, but only create a header
 702 list if requested to do so. */
 703
 704 inheader = TRUE;
 705 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 706 if (big_buffer[0] != '\n') goto SPOOL_FORMAT_ERROR;
 707
 708 while ((n = fgetc(f)) != EOF)
 709   {
 710   header_line *h;
 711   uschar flag[4];
 712   int i;
 713
 714   if (!isdigit(n)) goto SPOOL_FORMAT_ERROR;
 715   (void)ungetc(n, f);
 716   (void)fscanf(f, "%d%c ", &n, flag);
 717   if (flag[0] != '*') message_size += n;  /* Omit non-transmitted headers */
 718
 719   if (read_headers)
 720     {
 721     h = store_get(sizeof(header_line));
 722     h->next = NULL;
 723     h->type = flag[0];
 724     h->slen = n;
 725     h->text = store_get(n+1);
 726
 727     if (h->type == htype_received) received_count++;
 728
 729     if (header_list == NULL) header_list = h;
 730       else header_last->next = h;
 731     header_last = h;
 732
 733     for (i = 0; i < n; i++)
 734       {
 735       int c = fgetc(f);
 736       if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 737       if (c == '\n' && h->type != htype_old) message_linecount++;
 738       h->text[i] = c;
 739       }
 740     h->text[i] = 0;
 741     }
 742
 743   /* Not requiring header data, just skip through the bytes */
 744
 745   else for (i = 0; i < n; i++)
 746     {
 747     int c = fgetc(f);
 748     if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 749     }
 750   }
 751
 752 /* We have successfully read the data in the header file. Update the message
 753 line count by adding the body linecount to the header linecount. Close the file
 754 and give a positive response. */
 755
 756 #ifndef COMPILE_UTILITY
 757 DEBUG(D_deliver) debug_printf("body_linecount=%d message_linecount=%d\n",
 758   body_linecount, message_linecount);
 759 #endif  /* COMPILE_UTILITY */
 760
 761 message_linecount += body_linecount;
 762
 763 fclose(f);
 764 return spool_read_OK;
 765
 766
 767 /* There was an error reading the spool or there was missing data,
 768 or there was a format error. A "read error" with no errno means an
 769 unexpected EOF, which we treat as a format error. */
 770
 771 SPOOL_READ_ERROR:
 772 if (errno != 0)
 773   {
 774   n = errno;
 775
 776   #ifndef COMPILE_UTILITY
 777   DEBUG(D_any) debug_printf("Error while reading spool file %s\n", name);
 778   #endif  /* COMPILE_UTILITY */
 779
 780   fclose(f);
 781   errno = n;
 782   return inheader? spool_read_hdrerror : spool_read_enverror;
 783   }
 784
 785 SPOOL_FORMAT_ERROR:
 786
 787 #ifndef COMPILE_UTILITY
 788 DEBUG(D_any) debug_printf("Format error in spool file %s\n", name);
 789 #endif  /* COMPILE_UTILITY */
 790
 791 fclose(f);
 792 errno = ERRNO_SPOOLFORMAT;
 793 return inheader? spool_read_hdrerror : spool_read_enverror;
 794 }
 795
 796 /* End of spool_in.c */