57b7016123d48420fedd577b473ebbd9bdd0aed9
[users/jgh/exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2017 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 #if defined(__GLIBC__) && !defined(__UCLIBC__)
16 # include <gnu/libc-version.h>
17 #endif
18
19 #ifdef USE_GNUTLS
20 # include <gnutls/gnutls.h>
21 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
22 #  define DISABLE_OCSP
23 # endif
24 #endif
25
26 extern void init_lookup_list(void);
27
28
29
30 /*************************************************
31 *      Function interface to store functions     *
32 *************************************************/
33
34 /* We need some real functions to pass to the PCRE regular expression library
35 for store allocation via Exim's store manager. The normal calls are actually
36 macros that pass over location information to make tracing easier. These
37 functions just interface to the standard macro calls. A good compiler will
38 optimize out the tail recursion and so not make them too expensive. There
39 are two sets of functions; one for use when we want to retain the compiled
40 regular expression for a long time; the other for short-term use. */
41
42 static void *
43 function_store_get(size_t size)
44 {
45 return store_get((int)size);
46 }
47
48 static void
49 function_dummy_free(void *block) { block = block; }
50
51 static void *
52 function_store_malloc(size_t size)
53 {
54 return store_malloc((int)size);
55 }
56
57 static void
58 function_store_free(void *block)
59 {
60 store_free(block);
61 }
62
63
64
65
66 /*************************************************
67 *         Enums for cmdline interface            *
68 *************************************************/
69
70 enum commandline_info { CMDINFO_NONE=0,
71   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
72
73
74
75
76 /*************************************************
77 *  Compile regular expression and panic on fail  *
78 *************************************************/
79
80 /* This function is called when failure to compile a regular expression leads
81 to a panic exit. In other cases, pcre_compile() is called directly. In many
82 cases where this function is used, the results of the compilation are to be
83 placed in long-lived store, so we temporarily reset the store management
84 functions that PCRE uses if the use_malloc flag is set.
85
86 Argument:
87   pattern     the pattern to compile
88   caseless    TRUE if caseless matching is required
89   use_malloc  TRUE if compile into malloc store
90
91 Returns:      pointer to the compiled pattern
92 */
93
94 const pcre *
95 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
96 {
97 int offset;
98 int options = PCRE_COPT;
99 const pcre *yield;
100 const uschar *error;
101 if (use_malloc)
102   {
103   pcre_malloc = function_store_malloc;
104   pcre_free = function_store_free;
105   }
106 if (caseless) options |= PCRE_CASELESS;
107 yield = pcre_compile(CCS pattern, options, (const char **)&error, &offset, NULL);
108 pcre_malloc = function_store_get;
109 pcre_free = function_dummy_free;
110 if (yield == NULL)
111   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
112     "%s at offset %d while compiling %s", error, offset, pattern);
113 return yield;
114 }
115
116
117
118
119 /*************************************************
120 *   Execute regular expression and set strings   *
121 *************************************************/
122
123 /* This function runs a regular expression match, and sets up the pointers to
124 the matched substrings.
125
126 Arguments:
127   re          the compiled expression
128   subject     the subject string
129   options     additional PCRE options
130   setup       if < 0 do full setup
131               if >= 0 setup from setup+1 onwards,
132                 excluding the full matched string
133
134 Returns:      TRUE or FALSE
135 */
136
137 BOOL
138 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
139 {
140 int ovector[3*(EXPAND_MAXN+1)];
141 uschar * s = string_copy(subject);      /* de-constifying */
142 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
143   PCRE_EOPT | options, ovector, sizeof(ovector)/sizeof(int));
144 BOOL yield = n >= 0;
145 if (n == 0) n = EXPAND_MAXN + 1;
146 if (yield)
147   {
148   int nn;
149   expand_nmax = (setup < 0)? 0 : setup + 1;
150   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
151     {
152     expand_nstring[expand_nmax] = s + ovector[nn];
153     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
154     }
155   expand_nmax--;
156   }
157 return yield;
158 }
159
160
161
162
163 /*************************************************
164 *            Set up processing details           *
165 *************************************************/
166
167 /* Save a text string for dumping when SIGUSR1 is received.
168 Do checks for overruns.
169
170 Arguments: format and arguments, as for printf()
171 Returns:   nothing
172 */
173
174 void
175 set_process_info(const char *format, ...)
176 {
177 int len = sprintf(CS process_info, "%5d ", (int)getpid());
178 va_list ap;
179 va_start(ap, format);
180 if (!string_vformat(process_info + len, PROCESS_INFO_SIZE - len - 2, format, ap))
181   Ustrcpy(process_info + len, "**** string overflowed buffer ****");
182 len = Ustrlen(process_info);
183 process_info[len+0] = '\n';
184 process_info[len+1] = '\0';
185 process_info_len = len + 1;
186 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
187 va_end(ap);
188 }
189
190
191
192
193 /*************************************************
194 *             Handler for SIGUSR1                *
195 *************************************************/
196
197 /* SIGUSR1 causes any exim process to write to the process log details of
198 what it is currently doing. It will only be used if the OS is capable of
199 setting up a handler that causes automatic restarting of any system call
200 that is in progress at the time.
201
202 This function takes care to be signal-safe.
203
204 Argument: the signal number (SIGUSR1)
205 Returns:  nothing
206 */
207
208 static void
209 usr1_handler(int sig)
210 {
211 int fd;
212
213 os_restarting_signal(sig, usr1_handler);
214
215 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
216   {
217   /* If we are already running as the Exim user, try to create it in the
218   current process (assuming spool_directory exists). Otherwise, if we are
219   root, do the creation in an exim:exim subprocess. */
220
221   int euid = geteuid();
222   if (euid == exim_uid)
223     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
224   else if (euid == root_uid)
225     fd = log_create_as_exim(process_log_path);
226   }
227
228 /* If we are neither exim nor root, or if we failed to create the log file,
229 give up. There is not much useful we can do with errors, since we don't want
230 to disrupt whatever is going on outside the signal handler. */
231
232 if (fd < 0) return;
233
234 (void)write(fd, process_info, process_info_len);
235 (void)close(fd);
236 }
237
238
239
240 /*************************************************
241 *             Timeout handler                    *
242 *************************************************/
243
244 /* This handler is enabled most of the time that Exim is running. The handler
245 doesn't actually get used unless alarm() has been called to set a timer, to
246 place a time limit on a system call of some kind. When the handler is run, it
247 re-enables itself.
248
249 There are some other SIGALRM handlers that are used in special cases when more
250 than just a flag setting is required; for example, when reading a message's
251 input. These are normally set up in the code module that uses them, and the
252 SIGALRM handler is reset to this one afterwards.
253
254 Argument: the signal value (SIGALRM)
255 Returns:  nothing
256 */
257
258 void
259 sigalrm_handler(int sig)
260 {
261 sig = sig;      /* Keep picky compilers happy */
262 sigalrm_seen = TRUE;
263 os_non_restarting_signal(SIGALRM, sigalrm_handler);
264 }
265
266
267
268 /*************************************************
269 *      Sleep for a fractional time interval      *
270 *************************************************/
271
272 /* This function is called by millisleep() and exim_wait_tick() to wait for a
273 period of time that may include a fraction of a second. The coding is somewhat
274 tedious. We do not expect setitimer() ever to fail, but if it does, the process
275 will wait for ever, so we panic in this instance. (There was a case of this
276 when a bug in a function that calls milliwait() caused it to pass invalid data.
277 That's when I added the check. :-)
278
279 We assume it to be not worth sleeping for under 100us; this value will
280 require revisiting as hardware advances.  This avoids the issue of
281 a zero-valued timer setting meaning "never fire".
282
283 Argument:  an itimerval structure containing the interval
284 Returns:   nothing
285 */
286
287 static void
288 milliwait(struct itimerval *itval)
289 {
290 sigset_t sigmask;
291 sigset_t old_sigmask;
292
293 if (itval->it_value.tv_usec < 100 && itval->it_value.tv_sec == 0)
294   return;
295 (void)sigemptyset(&sigmask);                           /* Empty mask */
296 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
297 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
298 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
299   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
300     "setitimer() failed: %s", strerror(errno));
301 (void)sigfillset(&sigmask);                            /* All signals */
302 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
303 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
304 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
305 }
306
307
308
309
310 /*************************************************
311 *         Millisecond sleep function             *
312 *************************************************/
313
314 /* The basic sleep() function has a granularity of 1 second, which is too rough
315 in some cases - for example, when using an increasing delay to slow down
316 spammers.
317
318 Argument:    number of millseconds
319 Returns:     nothing
320 */
321
322 void
323 millisleep(int msec)
324 {
325 struct itimerval itval;
326 itval.it_interval.tv_sec = 0;
327 itval.it_interval.tv_usec = 0;
328 itval.it_value.tv_sec = msec/1000;
329 itval.it_value.tv_usec = (msec % 1000) * 1000;
330 milliwait(&itval);
331 }
332
333
334
335 /*************************************************
336 *         Compare microsecond times              *
337 *************************************************/
338
339 /*
340 Arguments:
341   tv1         the first time
342   tv2         the second time
343
344 Returns:      -1, 0, or +1
345 */
346
347 static int
348 exim_tvcmp(struct timeval *t1, struct timeval *t2)
349 {
350 if (t1->tv_sec > t2->tv_sec) return +1;
351 if (t1->tv_sec < t2->tv_sec) return -1;
352 if (t1->tv_usec > t2->tv_usec) return +1;
353 if (t1->tv_usec < t2->tv_usec) return -1;
354 return 0;
355 }
356
357
358
359
360 /*************************************************
361 *          Clock tick wait function              *
362 *************************************************/
363
364 /* Exim uses a time + a pid to generate a unique identifier in two places: its
365 message IDs, and in file names for maildir deliveries. Because some OS now
366 re-use pids within the same second, sub-second times are now being used.
367 However, for absolute certainty, we must ensure the clock has ticked before
368 allowing the relevant process to complete. At the time of implementation of
369 this code (February 2003), the speed of processors is such that the clock will
370 invariably have ticked already by the time a process has done its job. This
371 function prepares for the time when things are faster - and it also copes with
372 clocks that go backwards.
373
374 Arguments:
375   then_tv      A timeval which was used to create uniqueness; its usec field
376                  has been rounded down to the value of the resolution.
377                  We want to be sure the current time is greater than this.
378   resolution   The resolution that was used to divide the microseconds
379                  (1 for maildir, larger for message ids)
380
381 Returns:       nothing
382 */
383
384 void
385 exim_wait_tick(struct timeval *then_tv, int resolution)
386 {
387 struct timeval now_tv;
388 long int now_true_usec;
389
390 (void)gettimeofday(&now_tv, NULL);
391 now_true_usec = now_tv.tv_usec;
392 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
393
394 if (exim_tvcmp(&now_tv, then_tv) <= 0)
395   {
396   struct itimerval itval;
397   itval.it_interval.tv_sec = 0;
398   itval.it_interval.tv_usec = 0;
399   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
400   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
401
402   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
403   negative value for the microseconds is possible only in the case when "now"
404   is more than a second less than "then". That means that itval.it_value.tv_sec
405   is greater than zero. The following correction is therefore safe. */
406
407   if (itval.it_value.tv_usec < 0)
408     {
409     itval.it_value.tv_usec += 1000000;
410     itval.it_value.tv_sec -= 1;
411     }
412
413   DEBUG(D_transport|D_receive)
414     {
415     if (!running_in_test_harness)
416       {
417       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
418         then_tv->tv_sec, (long) then_tv->tv_usec,
419         now_tv.tv_sec, (long) now_tv.tv_usec);
420       debug_printf("waiting " TIME_T_FMT ".%06lu\n",
421         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
422       }
423     }
424
425   milliwait(&itval);
426   }
427 }
428
429
430
431
432 /*************************************************
433 *   Call fopen() with umask 777 and adjust mode  *
434 *************************************************/
435
436 /* Exim runs with umask(0) so that files created with open() have the mode that
437 is specified in the open() call. However, there are some files, typically in
438 the spool directory, that are created with fopen(). They end up world-writeable
439 if no precautions are taken. Although the spool directory is not accessible to
440 the world, this is an untidiness. So this is a wrapper function for fopen()
441 that sorts out the mode of the created file.
442
443 Arguments:
444    filename       the file name
445    options        the fopen() options
446    mode           the required mode
447
448 Returns:          the fopened FILE or NULL
449 */
450
451 FILE *
452 modefopen(const uschar *filename, const char *options, mode_t mode)
453 {
454 mode_t saved_umask = umask(0777);
455 FILE *f = Ufopen(filename, options);
456 (void)umask(saved_umask);
457 if (f != NULL) (void)fchmod(fileno(f), mode);
458 return f;
459 }
460
461
462
463
464 /*************************************************
465 *   Ensure stdin, stdout, and stderr exist       *
466 *************************************************/
467
468 /* Some operating systems grumble if an exec() happens without a standard
469 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
470 file will be opened and will use these fd values, and then some other bit of
471 code will assume, for example, that it can write error messages to stderr.
472 This function ensures that fds 0, 1, and 2 are open if they do not already
473 exist, by connecting them to /dev/null.
474
475 This function is also used to ensure that std{in,out,err} exist at all times,
476 so that if any library that Exim calls tries to use them, it doesn't crash.
477
478 Arguments:  None
479 Returns:    Nothing
480 */
481
482 void
483 exim_nullstd(void)
484 {
485 int i;
486 int devnull = -1;
487 struct stat statbuf;
488 for (i = 0; i <= 2; i++)
489   {
490   if (fstat(i, &statbuf) < 0 && errno == EBADF)
491     {
492     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
493     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
494       string_open_failed(errno, "/dev/null"));
495     if (devnull != i) (void)dup2(devnull, i);
496     }
497   }
498 if (devnull > 2) (void)close(devnull);
499 }
500
501
502
503
504 /*************************************************
505 *   Close unwanted file descriptors for delivery *
506 *************************************************/
507
508 /* This function is called from a new process that has been forked to deliver
509 an incoming message, either directly, or using exec.
510
511 We want any smtp input streams to be closed in this new process. However, it
512 has been observed that using fclose() here causes trouble. When reading in -bS
513 input, duplicate copies of messages have been seen. The files will be sharing a
514 file pointer with the parent process, and it seems that fclose() (at least on
515 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
516 least sometimes. Hence we go for closing the underlying file descriptors.
517
518 If TLS is active, we want to shut down the TLS library, but without molesting
519 the parent's SSL connection.
520
521 For delivery of a non-SMTP message, we want to close stdin and stdout (and
522 stderr unless debugging) because the calling process might have set them up as
523 pipes and be waiting for them to close before it waits for the submission
524 process to terminate. If they aren't closed, they hold up the calling process
525 until the initial delivery process finishes, which is not what we want.
526
527 Exception: We do want it for synchronous delivery!
528
529 And notwithstanding all the above, if D_resolver is set, implying resolver
530 debugging, leave stdout open, because that's where the resolver writes its
531 debugging output.
532
533 When we close stderr (which implies we've also closed stdout), we also get rid
534 of any controlling terminal.
535
536 Arguments:   None
537 Returns:     Nothing
538 */
539
540 static void
541 close_unwanted(void)
542 {
543 if (smtp_input)
544   {
545   #ifdef SUPPORT_TLS
546   tls_close(TRUE, FALSE);      /* Shut down the TLS library */
547   #endif
548   (void)close(fileno(smtp_in));
549   (void)close(fileno(smtp_out));
550   smtp_in = NULL;
551   }
552 else
553   {
554   (void)close(0);                                          /* stdin */
555   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
556   if (debug_selector == 0)                                 /* stderr */
557     {
558     if (!synchronous_delivery)
559       {
560       (void)close(2);
561       log_stderr = NULL;
562       }
563     (void)setsid();
564     }
565   }
566 }
567
568
569
570
571 /*************************************************
572 *          Set uid and gid                       *
573 *************************************************/
574
575 /* This function sets a new uid and gid permanently, optionally calling
576 initgroups() to set auxiliary groups. There are some special cases when running
577 Exim in unprivileged modes. In these situations the effective uid will not be
578 root; if we already have the right effective uid/gid, and don't need to
579 initialize any groups, leave things as they are.
580
581 Arguments:
582   uid        the uid
583   gid        the gid
584   igflag     TRUE if initgroups() wanted
585   msg        text to use in debugging output and failure log
586
587 Returns:     nothing; bombs out on failure
588 */
589
590 void
591 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
592 {
593 uid_t euid = geteuid();
594 gid_t egid = getegid();
595
596 if (euid == root_uid || euid != uid || egid != gid || igflag)
597   {
598   /* At least one OS returns +1 for initgroups failure, so just check for
599   non-zero. */
600
601   if (igflag)
602     {
603     struct passwd *pw = getpwuid(uid);
604     if (pw != NULL)
605       {
606       if (initgroups(pw->pw_name, gid) != 0)
607         log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
608           (long int)uid, strerror(errno));
609       }
610     else log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
611       "no passwd entry for uid=%ld", (long int)uid);
612     }
613
614   if (setgid(gid) < 0 || setuid(uid) < 0)
615     {
616     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
617       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
618     }
619   }
620
621 /* Debugging output included uid/gid and all groups */
622
623 DEBUG(D_uid)
624   {
625   int group_count, save_errno;
626   gid_t group_list[NGROUPS_MAX];
627   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
628     (long int)geteuid(), (long int)getegid(), (long int)getpid());
629   group_count = getgroups(NGROUPS_MAX, group_list);
630   save_errno = errno;
631   debug_printf("  auxiliary group list:");
632   if (group_count > 0)
633     {
634     int i;
635     for (i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
636     }
637   else if (group_count < 0)
638     debug_printf(" <error: %s>", strerror(save_errno));
639   else debug_printf(" <none>");
640   debug_printf("\n");
641   }
642 }
643
644
645
646
647 /*************************************************
648 *               Exit point                       *
649 *************************************************/
650
651 /* Exim exits via this function so that it always clears up any open
652 databases.
653
654 Arguments:
655   rc         return code
656
657 Returns:     does not return
658 */
659
660 void
661 exim_exit(int rc, const uschar * process)
662 {
663 search_tidyup();
664 DEBUG(D_any)
665   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d %s%s%sterminating with rc=%d "
666     ">>>>>>>>>>>>>>>>\n", (int)getpid(),
667     process ? "(" : "", process, process ? ") " : "", rc);
668 exit(rc);
669 }
670
671
672
673
674 /*************************************************
675 *         Extract port from host address         *
676 *************************************************/
677
678 /* Called to extract the port from the values given to -oMa and -oMi.
679 It also checks the syntax of the address, and terminates it before the
680 port data when a port is extracted.
681
682 Argument:
683   address   the address, with possible port on the end
684
685 Returns:    the port, or zero if there isn't one
686             bombs out on a syntax error
687 */
688
689 static int
690 check_port(uschar *address)
691 {
692 int port = host_address_extract_port(address);
693 if (string_is_ip_address(address, NULL) == 0)
694   {
695   fprintf(stderr, "exim abandoned: \"%s\" is not an IP address\n", address);
696   exit(EXIT_FAILURE);
697   }
698 return port;
699 }
700
701
702
703 /*************************************************
704 *              Test/verify an address            *
705 *************************************************/
706
707 /* This function is called by the -bv and -bt code. It extracts a working
708 address from a full RFC 822 address. This isn't really necessary per se, but it
709 has the effect of collapsing source routes.
710
711 Arguments:
712   s            the address string
713   flags        flag bits for verify_address()
714   exit_value   to be set for failures
715
716 Returns:       nothing
717 */
718
719 static void
720 test_address(uschar *s, int flags, int *exit_value)
721 {
722 int start, end, domain;
723 uschar *parse_error = NULL;
724 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
725   FALSE);
726 if (address == NULL)
727   {
728   fprintf(stdout, "syntax error: %s\n", parse_error);
729   *exit_value = 2;
730   }
731 else
732   {
733   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
734     -1, -1, NULL, NULL, NULL);
735   if (rc == FAIL) *exit_value = 2;
736     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
737   }
738 }
739
740
741
742 /*************************************************
743 *          Show supported features               *
744 *************************************************/
745
746 /* This function is called for -bV/--version and for -d to output the optional
747 features of the current Exim binary.
748
749 Arguments:  a FILE for printing
750 Returns:    nothing
751 */
752
753 static void
754 show_whats_supported(FILE *f)
755 {
756   auth_info *authi;
757
758 #ifdef DB_VERSION_STRING
759 fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
760 #elif defined(BTREEVERSION) && defined(HASHVERSION)
761   #ifdef USE_DB
762   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
763   #else
764   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
765   #endif
766 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
767 fprintf(f, "Probably ndbm\n");
768 #elif defined(USE_TDB)
769 fprintf(f, "Using tdb\n");
770 #else
771   #ifdef USE_GDBM
772   fprintf(f, "Probably GDBM (native mode)\n");
773   #else
774   fprintf(f, "Probably GDBM (compatibility mode)\n");
775   #endif
776 #endif
777
778 fprintf(f, "Support for:");
779 #ifdef SUPPORT_CRYPTEQ
780   fprintf(f, " crypteq");
781 #endif
782 #if HAVE_ICONV
783   fprintf(f, " iconv()");
784 #endif
785 #if HAVE_IPV6
786   fprintf(f, " IPv6");
787 #endif
788 #ifdef HAVE_SETCLASSRESOURCES
789   fprintf(f, " use_setclassresources");
790 #endif
791 #ifdef SUPPORT_PAM
792   fprintf(f, " PAM");
793 #endif
794 #ifdef EXIM_PERL
795   fprintf(f, " Perl");
796 #endif
797 #ifdef EXPAND_DLFUNC
798   fprintf(f, " Expand_dlfunc");
799 #endif
800 #ifdef USE_TCP_WRAPPERS
801   fprintf(f, " TCPwrappers");
802 #endif
803 #ifdef SUPPORT_TLS
804   #ifdef USE_GNUTLS
805   fprintf(f, " GnuTLS");
806   #else
807   fprintf(f, " OpenSSL");
808   #endif
809 #endif
810 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
811   fprintf(f, " translate_ip_address");
812 #endif
813 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
814   fprintf(f, " move_frozen_messages");
815 #endif
816 #ifdef WITH_CONTENT_SCAN
817   fprintf(f, " Content_Scanning");
818 #endif
819 #ifndef DISABLE_DKIM
820   fprintf(f, " DKIM");
821 #endif
822 #ifndef DISABLE_DNSSEC
823   fprintf(f, " DNSSEC");
824 #endif
825 #ifndef DISABLE_EVENT
826   fprintf(f, " Event");
827 #endif
828 #ifdef SUPPORT_I18N
829   fprintf(f, " I18N");
830 #endif
831 #ifndef DISABLE_OCSP
832   fprintf(f, " OCSP");
833 #endif
834 #ifndef DISABLE_PRDR
835   fprintf(f, " PRDR");
836 #endif
837 #ifdef SUPPORT_PROXY
838   fprintf(f, " PROXY");
839 #endif
840 #ifdef SUPPORT_SOCKS
841   fprintf(f, " SOCKS");
842 #endif
843 #ifdef TCP_FASTOPEN
844   deliver_init();
845   if (tcp_fastopen_ok) fprintf(f, " TCP_Fast_Open");
846 #endif
847 #ifdef EXPERIMENTAL_LMDB
848   fprintf(f, " Experimental_LMDB");
849 #endif
850 #ifdef EXPERIMENTAL_QUEUEFILE
851   fprintf(f, " Experimental_QUEUEFILE");
852 #endif
853 #ifdef EXPERIMENTAL_SPF
854   fprintf(f, " Experimental_SPF");
855 #endif
856 #ifdef EXPERIMENTAL_SRS
857   fprintf(f, " Experimental_SRS");
858 #endif
859 #ifdef EXPERIMENTAL_BRIGHTMAIL
860   fprintf(f, " Experimental_Brightmail");
861 #endif
862 #ifdef EXPERIMENTAL_DANE
863   fprintf(f, " Experimental_DANE");
864 #endif
865 #ifdef EXPERIMENTAL_DCC
866   fprintf(f, " Experimental_DCC");
867 #endif
868 #ifdef EXPERIMENTAL_DMARC
869   fprintf(f, " Experimental_DMARC");
870 #endif
871 #ifdef EXPERIMENTAL_DSN_INFO
872   fprintf(f, " Experimental_DSN_info");
873 #endif
874 fprintf(f, "\n");
875
876 fprintf(f, "Lookups (built-in):");
877 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
878   fprintf(f, " lsearch wildlsearch nwildlsearch iplsearch");
879 #endif
880 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
881   fprintf(f, " cdb");
882 #endif
883 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
884   fprintf(f, " dbm dbmjz dbmnz");
885 #endif
886 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
887   fprintf(f, " dnsdb");
888 #endif
889 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
890   fprintf(f, " dsearch");
891 #endif
892 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
893   fprintf(f, " ibase");
894 #endif
895 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
896   fprintf(f, " ldap ldapdn ldapm");
897 #endif
898 #ifdef EXPERIMENTAL_LMDB
899   fprintf(f, " lmdb");
900 #endif
901 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
902   fprintf(f, " mysql");
903 #endif
904 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
905   fprintf(f, " nis nis0");
906 #endif
907 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
908   fprintf(f, " nisplus");
909 #endif
910 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
911   fprintf(f, " oracle");
912 #endif
913 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
914   fprintf(f, " passwd");
915 #endif
916 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
917   fprintf(f, " pgsql");
918 #endif
919 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
920   fprintf(f, " redis");
921 #endif
922 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
923   fprintf(f, " sqlite");
924 #endif
925 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
926   fprintf(f, " testdb");
927 #endif
928 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
929   fprintf(f, " whoson");
930 #endif
931 fprintf(f, "\n");
932
933 fprintf(f, "Authenticators:");
934 #ifdef AUTH_CRAM_MD5
935   fprintf(f, " cram_md5");
936 #endif
937 #ifdef AUTH_CYRUS_SASL
938   fprintf(f, " cyrus_sasl");
939 #endif
940 #ifdef AUTH_DOVECOT
941   fprintf(f, " dovecot");
942 #endif
943 #ifdef AUTH_GSASL
944   fprintf(f, " gsasl");
945 #endif
946 #ifdef AUTH_HEIMDAL_GSSAPI
947   fprintf(f, " heimdal_gssapi");
948 #endif
949 #ifdef AUTH_PLAINTEXT
950   fprintf(f, " plaintext");
951 #endif
952 #ifdef AUTH_SPA
953   fprintf(f, " spa");
954 #endif
955 #ifdef AUTH_TLS
956   fprintf(f, " tls");
957 #endif
958 fprintf(f, "\n");
959
960 fprintf(f, "Routers:");
961 #ifdef ROUTER_ACCEPT
962   fprintf(f, " accept");
963 #endif
964 #ifdef ROUTER_DNSLOOKUP
965   fprintf(f, " dnslookup");
966 #endif
967 #ifdef ROUTER_IPLITERAL
968   fprintf(f, " ipliteral");
969 #endif
970 #ifdef ROUTER_IPLOOKUP
971   fprintf(f, " iplookup");
972 #endif
973 #ifdef ROUTER_MANUALROUTE
974   fprintf(f, " manualroute");
975 #endif
976 #ifdef ROUTER_QUERYPROGRAM
977   fprintf(f, " queryprogram");
978 #endif
979 #ifdef ROUTER_REDIRECT
980   fprintf(f, " redirect");
981 #endif
982 fprintf(f, "\n");
983
984 fprintf(f, "Transports:");
985 #ifdef TRANSPORT_APPENDFILE
986   fprintf(f, " appendfile");
987   #ifdef SUPPORT_MAILDIR
988     fprintf(f, "/maildir");
989   #endif
990   #ifdef SUPPORT_MAILSTORE
991     fprintf(f, "/mailstore");
992   #endif
993   #ifdef SUPPORT_MBX
994     fprintf(f, "/mbx");
995   #endif
996 #endif
997 #ifdef TRANSPORT_AUTOREPLY
998   fprintf(f, " autoreply");
999 #endif
1000 #ifdef TRANSPORT_LMTP
1001   fprintf(f, " lmtp");
1002 #endif
1003 #ifdef TRANSPORT_PIPE
1004   fprintf(f, " pipe");
1005 #endif
1006 #ifdef EXPERIMENTAL_QUEUEFILE
1007   fprintf(f, " queuefile");
1008 #endif
1009 #ifdef TRANSPORT_SMTP
1010   fprintf(f, " smtp");
1011 #endif
1012 fprintf(f, "\n");
1013
1014 if (fixed_never_users[0] > 0)
1015   {
1016   int i;
1017   fprintf(f, "Fixed never_users: ");
1018   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1019     fprintf(f, "%d:", (unsigned int)fixed_never_users[i]);
1020   fprintf(f, "%d\n", (unsigned int)fixed_never_users[i]);
1021   }
1022
1023 fprintf(f, "Configure owner: %d:%d\n", config_uid, config_gid);
1024
1025 fprintf(f, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1026
1027 /* Everything else is details which are only worth reporting when debugging.
1028 Perhaps the tls_version_report should move into this too. */
1029 DEBUG(D_any) do {
1030
1031   int i;
1032
1033 /* clang defines __GNUC__ (at least, for me) so test for it first */
1034 #if defined(__clang__)
1035   fprintf(f, "Compiler: CLang [%s]\n", __clang_version__);
1036 #elif defined(__GNUC__)
1037   fprintf(f, "Compiler: GCC [%s]\n",
1038 # ifdef __VERSION__
1039       __VERSION__
1040 # else
1041       "? unknown version ?"
1042 # endif
1043       );
1044 #else
1045   fprintf(f, "Compiler: <unknown>\n");
1046 #endif
1047
1048 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1049   fprintf(f, "Library version: Glibc: Compile: %d.%d\n",
1050                 __GLIBC__, __GLIBC_MINOR__);
1051   if (__GLIBC_PREREQ(2, 1))
1052     fprintf(f, "                        Runtime: %s\n",
1053                 gnu_get_libc_version());
1054 #endif
1055
1056 #ifdef SUPPORT_TLS
1057   tls_version_report(f);
1058 #endif
1059 #ifdef SUPPORT_I18N
1060   utf8_version_report(f);
1061 #endif
1062
1063   for (authi = auths_available; *authi->driver_name != '\0'; ++authi)
1064     if (authi->version_report)
1065       (*authi->version_report)(f);
1066
1067   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1068   characters; unless it's an ancient version of PCRE in which case it
1069   is not defined. */
1070 #ifndef PCRE_PRERELEASE
1071 # define PCRE_PRERELEASE
1072 #endif
1073 #define QUOTE(X) #X
1074 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1075   fprintf(f, "Library version: PCRE: Compile: %d.%d%s\n"
1076              "                       Runtime: %s\n",
1077           PCRE_MAJOR, PCRE_MINOR,
1078           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1079           pcre_version());
1080 #undef QUOTE
1081 #undef EXPAND_AND_QUOTE
1082
1083   init_lookup_list();
1084   for (i = 0; i < lookup_list_count; i++)
1085     if (lookup_list[i]->version_report)
1086       lookup_list[i]->version_report(f);
1087
1088 #ifdef WHITELIST_D_MACROS
1089   fprintf(f, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1090 #else
1091   fprintf(f, "WHITELIST_D_MACROS unset\n");
1092 #endif
1093 #ifdef TRUSTED_CONFIG_LIST
1094   fprintf(f, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1095 #else
1096   fprintf(f, "TRUSTED_CONFIG_LIST unset\n");
1097 #endif
1098
1099 } while (0);
1100 }
1101
1102
1103 /*************************************************
1104 *     Show auxiliary information about Exim      *
1105 *************************************************/
1106
1107 static void
1108 show_exim_information(enum commandline_info request, FILE *stream)
1109 {
1110 const uschar **pp;
1111
1112 switch(request)
1113   {
1114   case CMDINFO_NONE:
1115     fprintf(stream, "Oops, something went wrong.\n");
1116     return;
1117   case CMDINFO_HELP:
1118     fprintf(stream,
1119 "The -bI: flag takes a string indicating which information to provide.\n"
1120 "If the string is not recognised, you'll get this help (on stderr).\n"
1121 "\n"
1122 "  exim -bI:help    this information\n"
1123 "  exim -bI:dscp    dscp value keywords known\n"
1124 "  exim -bI:sieve   list of supported sieve extensions, one per line.\n"
1125 );
1126     return;
1127   case CMDINFO_SIEVE:
1128     for (pp = exim_sieve_extension_list; *pp; ++pp)
1129       fprintf(stream, "%s\n", *pp);
1130     return;
1131   case CMDINFO_DSCP:
1132     dscp_list_to_stream(stream);
1133     return;
1134   }
1135 }
1136
1137
1138 /*************************************************
1139 *               Quote a local part               *
1140 *************************************************/
1141
1142 /* This function is used when a sender address or a From: or Sender: header
1143 line is being created from the caller's login, or from an authenticated_id. It
1144 applies appropriate quoting rules for a local part.
1145
1146 Argument:    the local part
1147 Returns:     the local part, quoted if necessary
1148 */
1149
1150 uschar *
1151 local_part_quote(uschar *lpart)
1152 {
1153 BOOL needs_quote = FALSE;
1154 gstring * g;
1155 uschar *t;
1156
1157 for (t = lpart; !needs_quote && *t != 0; t++)
1158   {
1159   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1160     (*t != '.' || t == lpart || t[1] == 0);
1161   }
1162
1163 if (!needs_quote) return lpart;
1164
1165 g = string_catn(NULL, US"\"", 1);
1166
1167 for (;;)
1168   {
1169   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1170   if (nq == NULL)
1171     {
1172     g = string_cat(g, lpart);
1173     break;
1174     }
1175   g = string_catn(g, lpart, nq - lpart);
1176   g = string_catn(g, US"\\", 1);
1177   g = string_catn(g, nq, 1);
1178   lpart = nq + 1;
1179   }
1180
1181 g = string_catn(g, US"\"", 1);
1182 return string_from_gstring(g);
1183 }
1184
1185
1186
1187 #ifdef USE_READLINE
1188 /*************************************************
1189 *         Load readline() functions              *
1190 *************************************************/
1191
1192 /* This function is called from testing executions that read data from stdin,
1193 but only when running as the calling user. Currently, only -be does this. The
1194 function loads the readline() function library and passes back the functions.
1195 On some systems, it needs the curses library, so load that too, but try without
1196 it if loading fails. All this functionality has to be requested at build time.
1197
1198 Arguments:
1199   fn_readline_ptr   pointer to where to put the readline pointer
1200   fn_addhist_ptr    pointer to where to put the addhistory function
1201
1202 Returns:            the dlopen handle or NULL on failure
1203 */
1204
1205 static void *
1206 set_readline(char * (**fn_readline_ptr)(const char *),
1207              void   (**fn_addhist_ptr)(const char *))
1208 {
1209 void *dlhandle;
1210 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1211
1212 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1213 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1214
1215 if (dlhandle != NULL)
1216   {
1217   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1218    *   char * readline (const char *prompt);
1219    *   void add_history (const char *string);
1220    */
1221   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1222   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1223   }
1224 else
1225   {
1226   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1227   }
1228
1229 return dlhandle;
1230 }
1231 #endif
1232
1233
1234
1235 /*************************************************
1236 *    Get a line from stdin for testing things    *
1237 *************************************************/
1238
1239 /* This function is called when running tests that can take a number of lines
1240 of input (for example, -be and -bt). It handles continuations and trailing
1241 spaces. And prompting and a blank line output on eof. If readline() is in use,
1242 the arguments are non-NULL and provide the relevant functions.
1243
1244 Arguments:
1245   fn_readline   readline function or NULL
1246   fn_addhist    addhist function or NULL
1247
1248 Returns:        pointer to dynamic memory, or NULL at end of file
1249 */
1250
1251 static uschar *
1252 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1253 {
1254 int i;
1255 gstring * g = NULL;
1256
1257 if (!fn_readline) { printf("> "); fflush(stdout); }
1258
1259 for (i = 0;; i++)
1260   {
1261   uschar buffer[1024];
1262   uschar *p, *ss;
1263
1264   #ifdef USE_READLINE
1265   char *readline_line = NULL;
1266   if (fn_readline != NULL)
1267     {
1268     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1269     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1270     p = US readline_line;
1271     }
1272   else
1273   #endif
1274
1275   /* readline() not in use */
1276
1277     {
1278     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1279     p = buffer;
1280     }
1281
1282   /* Handle the line */
1283
1284   ss = p + (int)Ustrlen(p);
1285   while (ss > p && isspace(ss[-1])) ss--;
1286
1287   if (i > 0)
1288     {
1289     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1290     }
1291
1292   g = string_catn(g, p, ss - p);
1293
1294   #ifdef USE_READLINE
1295   if (fn_readline) free(readline_line);
1296   #endif
1297
1298   /* g can only be NULL if ss==p */
1299   if (ss == p || g->s[g->ptr-1] != '\\')
1300     break;
1301
1302   --g->ptr;
1303   (void) string_from_gstring(g);
1304   }
1305
1306 if (!g) printf("\n");
1307 return string_from_gstring(g);
1308 }
1309
1310
1311
1312 /*************************************************
1313 *    Output usage information for the program    *
1314 *************************************************/
1315
1316 /* This function is called when there are no recipients
1317    or a specific --help argument was added.
1318
1319 Arguments:
1320   progname      information on what name we were called by
1321
1322 Returns:        DOES NOT RETURN
1323 */
1324
1325 static void
1326 exim_usage(uschar *progname)
1327 {
1328
1329 /* Handle specific program invocation variants */
1330 if (Ustrcmp(progname, US"-mailq") == 0)
1331   {
1332   fprintf(stderr,
1333     "mailq - list the contents of the mail queue\n\n"
1334     "For a list of options, see the Exim documentation.\n");
1335   exit(EXIT_FAILURE);
1336   }
1337
1338 /* Generic usage - we output this whatever happens */
1339 fprintf(stderr,
1340   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1341   "not directly from a shell command line. Options and/or arguments control\n"
1342   "what it does when called. For a list of options, see the Exim documentation.\n");
1343
1344 exit(EXIT_FAILURE);
1345 }
1346
1347
1348
1349 /*************************************************
1350 *    Validate that the macros given are okay     *
1351 *************************************************/
1352
1353 /* Typically, Exim will drop privileges if macros are supplied.  In some
1354 cases, we want to not do so.
1355
1356 Arguments:    opt_D_used - true if the commandline had a "-D" option
1357 Returns:      true if trusted, false otherwise
1358 */
1359
1360 static BOOL
1361 macros_trusted(BOOL opt_D_used)
1362 {
1363 #ifdef WHITELIST_D_MACROS
1364 macro_item *m;
1365 uschar *whitelisted, *end, *p, **whites, **w;
1366 int white_count, i, n;
1367 size_t len;
1368 BOOL prev_char_item, found;
1369 #endif
1370
1371 if (!opt_D_used)
1372   return TRUE;
1373 #ifndef WHITELIST_D_MACROS
1374 return FALSE;
1375 #else
1376
1377 /* We only trust -D overrides for some invoking users:
1378 root, the exim run-time user, the optional config owner user.
1379 I don't know why config-owner would be needed, but since they can own the
1380 config files anyway, there's no security risk to letting them override -D. */
1381 if ( ! ((real_uid == root_uid)
1382      || (real_uid == exim_uid)
1383 #ifdef CONFIGURE_OWNER
1384      || (real_uid == config_uid)
1385 #endif
1386    ))
1387   {
1388   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1389   return FALSE;
1390   }
1391
1392 /* Get a list of macros which are whitelisted */
1393 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1394 prev_char_item = FALSE;
1395 white_count = 0;
1396 for (p = whitelisted; *p != '\0'; ++p)
1397   {
1398   if (*p == ':' || isspace(*p))
1399     {
1400     *p = '\0';
1401     if (prev_char_item)
1402       ++white_count;
1403     prev_char_item = FALSE;
1404     continue;
1405     }
1406   if (!prev_char_item)
1407     prev_char_item = TRUE;
1408   }
1409 end = p;
1410 if (prev_char_item)
1411   ++white_count;
1412 if (!white_count)
1413   return FALSE;
1414 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1415 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1416   {
1417   if (*p != '\0')
1418     {
1419     whites[i++] = p;
1420     if (i == white_count)
1421       break;
1422     while (*p != '\0' && p < end)
1423       ++p;
1424     }
1425   }
1426 whites[i] = NULL;
1427
1428 /* The list of commandline macros should be very short.
1429 Accept the N*M complexity. */
1430 for (m = macros; m; m = m->next) if (m->command_line)
1431   {
1432   found = FALSE;
1433   for (w = whites; *w; ++w)
1434     if (Ustrcmp(*w, m->name) == 0)
1435       {
1436       found = TRUE;
1437       break;
1438       }
1439   if (!found)
1440     return FALSE;
1441   if (!m->replacement)
1442     continue;
1443   if ((len = m->replen) == 0)
1444     continue;
1445   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1446    0, PCRE_EOPT, NULL, 0);
1447   if (n < 0)
1448     {
1449     if (n != PCRE_ERROR_NOMATCH)
1450       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1451     return FALSE;
1452     }
1453   }
1454 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1455 return TRUE;
1456 #endif
1457 }
1458
1459
1460 /*************************************************
1461 *          Entry point and high-level code       *
1462 *************************************************/
1463
1464 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1465 the appropriate action. All the necessary functions are present in the one
1466 binary. I originally thought one should split it up, but it turns out that so
1467 much of the apparatus is needed in each chunk that one might as well just have
1468 it all available all the time, which then makes the coding easier as well.
1469
1470 Arguments:
1471   argc      count of entries in argv
1472   argv      argument strings, with argv[0] being the program name
1473
1474 Returns:    EXIT_SUCCESS if terminated successfully
1475             EXIT_FAILURE otherwise, except when a message has been sent
1476               to the sender, and -oee was given
1477 */
1478
1479 int
1480 main(int argc, char **cargv)
1481 {
1482 uschar **argv = USS cargv;
1483 int  arg_receive_timeout = -1;
1484 int  arg_smtp_receive_timeout = -1;
1485 int  arg_error_handling = error_handling;
1486 int  filter_sfd = -1;
1487 int  filter_ufd = -1;
1488 int  group_count;
1489 int  i, rv;
1490 int  list_queue_option = 0;
1491 int  msg_action = 0;
1492 int  msg_action_arg = -1;
1493 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1494 int  queue_only_reason = 0;
1495 #ifdef EXIM_PERL
1496 int  perl_start_option = 0;
1497 #endif
1498 int  recipients_arg = argc;
1499 int  sender_address_domain = 0;
1500 int  test_retry_arg = -1;
1501 int  test_rewrite_arg = -1;
1502 BOOL arg_queue_only = FALSE;
1503 BOOL bi_option = FALSE;
1504 BOOL checking = FALSE;
1505 BOOL count_queue = FALSE;
1506 BOOL expansion_test = FALSE;
1507 BOOL extract_recipients = FALSE;
1508 BOOL flag_G = FALSE;
1509 BOOL flag_n = FALSE;
1510 BOOL forced_delivery = FALSE;
1511 BOOL f_end_dot = FALSE;
1512 BOOL deliver_give_up = FALSE;
1513 BOOL list_queue = FALSE;
1514 BOOL list_options = FALSE;
1515 BOOL list_config = FALSE;
1516 BOOL local_queue_only;
1517 BOOL more = TRUE;
1518 BOOL one_msg_action = FALSE;
1519 BOOL opt_D_used = FALSE;
1520 BOOL queue_only_set = FALSE;
1521 BOOL receiving_message = TRUE;
1522 BOOL sender_ident_set = FALSE;
1523 BOOL session_local_queue_only;
1524 BOOL unprivileged;
1525 BOOL removed_privilege = FALSE;
1526 BOOL usage_wanted = FALSE;
1527 BOOL verify_address_mode = FALSE;
1528 BOOL verify_as_sender = FALSE;
1529 BOOL version_printed = FALSE;
1530 uschar *alias_arg = NULL;
1531 uschar *called_as = US"";
1532 uschar *cmdline_syslog_name = NULL;
1533 uschar *start_queue_run_id = NULL;
1534 uschar *stop_queue_run_id = NULL;
1535 uschar *expansion_test_message = NULL;
1536 uschar *ftest_domain = NULL;
1537 uschar *ftest_localpart = NULL;
1538 uschar *ftest_prefix = NULL;
1539 uschar *ftest_suffix = NULL;
1540 uschar *log_oneline = NULL;
1541 uschar *malware_test_file = NULL;
1542 uschar *real_sender_address;
1543 uschar *originator_home = US"/";
1544 size_t sz;
1545 void *reset_point;
1546
1547 struct passwd *pw;
1548 struct stat statbuf;
1549 pid_t passed_qr_pid = (pid_t)0;
1550 int passed_qr_pipe = -1;
1551 gid_t group_list[NGROUPS_MAX];
1552
1553 /* For the -bI: flag */
1554 enum commandline_info info_flag = CMDINFO_NONE;
1555 BOOL info_stdout = FALSE;
1556
1557 /* Possible options for -R and -S */
1558
1559 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1560
1561 /* Need to define this in case we need to change the environment in order
1562 to get rid of a bogus time zone. We have to make it char rather than uschar
1563 because some OS define it in /usr/include/unistd.h. */
1564
1565 extern char **environ;
1566
1567 /* If the Exim user and/or group and/or the configuration file owner/group were
1568 defined by ref:name at build time, we must now find the actual uid/gid values.
1569 This is a feature to make the lives of binary distributors easier. */
1570
1571 #ifdef EXIM_USERNAME
1572 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1573   {
1574   if (exim_uid == 0)
1575     {
1576     fprintf(stderr, "exim: refusing to run with uid 0 for \"%s\"\n",
1577       EXIM_USERNAME);
1578     exit(EXIT_FAILURE);
1579     }
1580   /* If ref:name uses a number as the name, route_finduser() returns
1581   TRUE with exim_uid set and pw coerced to NULL. */
1582   if (pw)
1583     exim_gid = pw->pw_gid;
1584 #ifndef EXIM_GROUPNAME
1585   else
1586     {
1587     fprintf(stderr,
1588         "exim: ref:name should specify a usercode, not a group.\n"
1589         "exim: can't let you get away with it unless you also specify a group.\n");
1590     exit(EXIT_FAILURE);
1591     }
1592 #endif
1593   }
1594 else
1595   {
1596   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1597     EXIM_USERNAME);
1598   exit(EXIT_FAILURE);
1599   }
1600 #endif
1601
1602 #ifdef EXIM_GROUPNAME
1603 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1604   {
1605   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1606     EXIM_GROUPNAME);
1607   exit(EXIT_FAILURE);
1608   }
1609 #endif
1610
1611 #ifdef CONFIGURE_OWNERNAME
1612 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1613   {
1614   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1615     CONFIGURE_OWNERNAME);
1616   exit(EXIT_FAILURE);
1617   }
1618 #endif
1619
1620 /* We default the system_filter_user to be the Exim run-time user, as a
1621 sane non-root value. */
1622 system_filter_uid = exim_uid;
1623
1624 #ifdef CONFIGURE_GROUPNAME
1625 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1626   {
1627   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1628     CONFIGURE_GROUPNAME);
1629   exit(EXIT_FAILURE);
1630   }
1631 #endif
1632
1633 /* In the Cygwin environment, some initialization used to need doing.
1634 It was fudged in by means of this macro; now no longer but we'll leave
1635 it in case of others. */
1636
1637 #ifdef OS_INIT
1638 OS_INIT
1639 #endif
1640
1641 /* Check a field which is patched when we are running Exim within its
1642 testing harness; do a fast initial check, and then the whole thing. */
1643
1644 running_in_test_harness =
1645   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1646
1647 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1648 at the start of a program; however, it seems that some environments do not
1649 follow this. A "strange" locale can affect the formatting of timestamps, so we
1650 make quite sure. */
1651
1652 setlocale(LC_ALL, "C");
1653
1654 /* Set up the default handler for timing using alarm(). */
1655
1656 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1657
1658 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1659 because store_malloc writes a log entry on failure. */
1660
1661 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1662   {
1663   fprintf(stderr, "exim: failed to get store for log buffer\n");
1664   exit(EXIT_FAILURE);
1665   }
1666
1667 /* Initialize the default log options. */
1668
1669 bits_set(log_selector, log_selector_size, log_default);
1670
1671 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1672 NULL when the daemon is run and the file is closed. We have to use this
1673 indirection, because some systems don't allow writing to the variable "stderr".
1674 */
1675
1676 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1677
1678 /* Arrange for the PCRE regex library to use our store functions. Note that
1679 the normal calls are actually macros that add additional arguments for
1680 debugging purposes so we have to assign specially constructed functions here.
1681 The default is to use store in the stacking pool, but this is overridden in the
1682 regex_must_compile() function. */
1683
1684 pcre_malloc = function_store_get;
1685 pcre_free = function_dummy_free;
1686
1687 /* Ensure there is a big buffer for temporary use in several places. It is put
1688 in malloc store so that it can be freed for enlargement if necessary. */
1689
1690 big_buffer = store_malloc(big_buffer_size);
1691
1692 /* Set up the handler for the data request signal, and set the initial
1693 descriptive text. */
1694
1695 set_process_info("initializing");
1696 os_restarting_signal(SIGUSR1, usr1_handler);
1697
1698 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1699 in the daemon code. For the rest of Exim's uses, we ignore it. */
1700
1701 signal(SIGHUP, SIG_IGN);
1702
1703 /* We don't want to die on pipe errors as the code is written to handle
1704 the write error instead. */
1705
1706 signal(SIGPIPE, SIG_IGN);
1707
1708 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1709 set to SIG_IGN. This causes subprocesses that complete before the parent
1710 process waits for them not to hang around, so when Exim calls wait(), nothing
1711 is there. The wait() code has been made robust against this, but let's ensure
1712 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1713 ending status. We use sigaction rather than plain signal() on those OS where
1714 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1715 problem on AIX with this.) */
1716
1717 #ifdef SA_NOCLDWAIT
1718   {
1719   struct sigaction act;
1720   act.sa_handler = SIG_DFL;
1721   sigemptyset(&(act.sa_mask));
1722   act.sa_flags = 0;
1723   sigaction(SIGCHLD, &act, NULL);
1724   }
1725 #else
1726 signal(SIGCHLD, SIG_DFL);
1727 #endif
1728
1729 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1730 SIGHUP. */
1731
1732 sighup_argv = argv;
1733
1734 /* Set up the version number. Set up the leading 'E' for the external form of
1735 message ids, set the pointer to the internal form, and initialize it to
1736 indicate no message being processed. */
1737
1738 version_init();
1739 message_id_option[0] = '-';
1740 message_id_external = message_id_option + 1;
1741 message_id_external[0] = 'E';
1742 message_id = message_id_external + 1;
1743 message_id[0] = 0;
1744
1745 /* Set the umask to zero so that any files Exim creates using open() are
1746 created with the modes that it specifies. NOTE: Files created with fopen() have
1747 a problem, which was not recognized till rather late (February 2006). With this
1748 umask, such files will be world writeable. (They are all content scanning files
1749 in the spool directory, which isn't world-accessible, so this is not a
1750 disaster, but it's untidy.) I don't want to change this overall setting,
1751 however, because it will interact badly with the open() calls. Instead, there's
1752 now a function called modefopen() that fiddles with the umask while calling
1753 fopen(). */
1754
1755 (void)umask(0);
1756
1757 /* Precompile the regular expression for matching a message id. Keep this in
1758 step with the code that generates ids in the accept.c module. We need to do
1759 this here, because the -M options check their arguments for syntactic validity
1760 using mac_ismsgid, which uses this. */
1761
1762 regex_ismsgid =
1763   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1764
1765 /* Precompile the regular expression that is used for matching an SMTP error
1766 code, possibly extended, at the start of an error message. Note that the
1767 terminating whitespace character is included. */
1768
1769 regex_smtp_code =
1770   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1771     FALSE, TRUE);
1772
1773 #ifdef WHITELIST_D_MACROS
1774 /* Precompile the regular expression used to filter the content of macros
1775 given to -D for permissibility. */
1776
1777 regex_whitelisted_macro =
1778   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1779 #endif
1780
1781 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1782
1783 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1784 this seems to be a generally accepted convention, since one finds symbolic
1785 links called "mailq" in standard OS configurations. */
1786
1787 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1788     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1789   {
1790   list_queue = TRUE;
1791   receiving_message = FALSE;
1792   called_as = US"-mailq";
1793   }
1794
1795 /* If the program is called as "rmail" treat it as equivalent to
1796 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1797 i.e. preventing a single dot on a line from terminating the message, and
1798 returning with zero return code, even in cases of error (provided an error
1799 message has been sent). */
1800
1801 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1802     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1803   {
1804   dot_ends = FALSE;
1805   called_as = US"-rmail";
1806   errors_sender_rc = EXIT_SUCCESS;
1807   }
1808
1809 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1810 this is a smail convention. */
1811
1812 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1813     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1814   {
1815   smtp_input = smtp_batched_input = TRUE;
1816   called_as = US"-rsmtp";
1817   }
1818
1819 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1820 this is a smail convention. */
1821
1822 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1823     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1824   {
1825   queue_interval = 0;
1826   receiving_message = FALSE;
1827   called_as = US"-runq";
1828   }
1829
1830 /* If the program is called as "newaliases" treat it as equivalent to
1831 "exim -bi"; this is a sendmail convention. */
1832
1833 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1834     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1835   {
1836   bi_option = TRUE;
1837   receiving_message = FALSE;
1838   called_as = US"-newaliases";
1839   }
1840
1841 /* Save the original effective uid for a couple of uses later. It should
1842 normally be root, but in some esoteric environments it may not be. */
1843
1844 original_euid = geteuid();
1845
1846 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1847 to be the same as the real ones. This makes a difference only if Exim is setuid
1848 (or setgid) to something other than root, which could be the case in some
1849 special configurations. */
1850
1851 real_uid = getuid();
1852 real_gid = getgid();
1853
1854 if (real_uid == root_uid)
1855   {
1856   rv = setgid(real_gid);
1857   if (rv)
1858     {
1859     fprintf(stderr, "exim: setgid(%ld) failed: %s\n",
1860         (long int)real_gid, strerror(errno));
1861     exit(EXIT_FAILURE);
1862     }
1863   rv = setuid(real_uid);
1864   if (rv)
1865     {
1866     fprintf(stderr, "exim: setuid(%ld) failed: %s\n",
1867         (long int)real_uid, strerror(errno));
1868     exit(EXIT_FAILURE);
1869     }
1870   }
1871
1872 /* If neither the original real uid nor the original euid was root, Exim is
1873 running in an unprivileged state. */
1874
1875 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1876
1877 /* Scan the program's arguments. Some can be dealt with right away; others are
1878 simply recorded for checking and handling afterwards. Do a high-level switch
1879 on the second character (the one after '-'), to save some effort. */
1880
1881 for (i = 1; i < argc; i++)
1882   {
1883   BOOL badarg = FALSE;
1884   uschar *arg = argv[i];
1885   uschar *argrest;
1886   int switchchar;
1887
1888   /* An argument not starting with '-' is the start of a recipients list;
1889   break out of the options-scanning loop. */
1890
1891   if (arg[0] != '-')
1892     {
1893     recipients_arg = i;
1894     break;
1895     }
1896
1897   /* An option consisting of -- terminates the options */
1898
1899   if (Ustrcmp(arg, "--") == 0)
1900     {
1901     recipients_arg = i + 1;
1902     break;
1903     }
1904
1905   /* Handle flagged options */
1906
1907   switchchar = arg[1];
1908   argrest = arg+2;
1909
1910   /* Make all -ex options synonymous with -oex arguments, since that
1911   is assumed by various callers. Also make -qR options synonymous with -R
1912   options, as that seems to be required as well. Allow for -qqR too, and
1913   the same for -S options. */
1914
1915   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1916       Ustrncmp(arg+1, "qR", 2) == 0 ||
1917       Ustrncmp(arg+1, "qS", 2) == 0)
1918     {
1919     switchchar = arg[2];
1920     argrest++;
1921     }
1922   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1923     {
1924     switchchar = arg[3];
1925     argrest += 2;
1926     queue_2stage = TRUE;
1927     }
1928
1929   /* Make -r synonymous with -f, since it is a documented alias */
1930
1931   else if (arg[1] == 'r') switchchar = 'f';
1932
1933   /* Make -ov synonymous with -v */
1934
1935   else if (Ustrcmp(arg, "-ov") == 0)
1936     {
1937     switchchar = 'v';
1938     argrest++;
1939     }
1940
1941   /* deal with --option_aliases */
1942   else if (switchchar == '-')
1943     {
1944     if (Ustrcmp(argrest, "help") == 0)
1945       {
1946       usage_wanted = TRUE;
1947       break;
1948       }
1949     else if (Ustrcmp(argrest, "version") == 0)
1950       {
1951       switchchar = 'b';
1952       argrest = US"V";
1953       }
1954     }
1955
1956   /* High-level switch on active initial letter */
1957
1958   switch(switchchar)
1959     {
1960
1961     /* sendmail uses -Ac and -Am to control which .cf file is used;
1962     we ignore them. */
1963     case 'A':
1964     if (*argrest == '\0') { badarg = TRUE; break; }
1965     else
1966       {
1967       BOOL ignore = FALSE;
1968       switch (*argrest)
1969         {
1970         case 'c':
1971         case 'm':
1972           if (*(argrest + 1) == '\0')
1973             ignore = TRUE;
1974           break;
1975         }
1976       if (!ignore) { badarg = TRUE; break; }
1977       }
1978     break;
1979
1980     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1981     so has no need of it. */
1982
1983     case 'B':
1984     if (*argrest == 0) i++;       /* Skip over the type */
1985     break;
1986
1987
1988     case 'b':
1989     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1990
1991     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1992        -bdf: Ditto, but in the foreground.
1993     */
1994
1995     if (*argrest == 'd')
1996       {
1997       daemon_listen = TRUE;
1998       if (*(++argrest) == 'f') background_daemon = FALSE;
1999         else if (*argrest != 0) { badarg = TRUE; break; }
2000       }
2001
2002     /* -be:  Run in expansion test mode
2003        -bem: Ditto, but read a message from a file first
2004     */
2005
2006     else if (*argrest == 'e')
2007       {
2008       expansion_test = checking = TRUE;
2009       if (argrest[1] == 'm')
2010         {
2011         if (++i >= argc) { badarg = TRUE; break; }
2012         expansion_test_message = argv[i];
2013         argrest++;
2014         }
2015       if (argrest[1] != 0) { badarg = TRUE; break; }
2016       }
2017
2018     /* -bF:  Run system filter test */
2019
2020     else if (*argrest == 'F')
2021       {
2022       filter_test |= checking = FTEST_SYSTEM;
2023       if (*(++argrest) != 0) { badarg = TRUE; break; }
2024       if (++i < argc) filter_test_sfile = argv[i]; else
2025         {
2026         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2027         exit(EXIT_FAILURE);
2028         }
2029       }
2030
2031     /* -bf:  Run user filter test
2032        -bfd: Set domain for filter testing
2033        -bfl: Set local part for filter testing
2034        -bfp: Set prefix for filter testing
2035        -bfs: Set suffix for filter testing
2036     */
2037
2038     else if (*argrest == 'f')
2039       {
2040       if (*(++argrest) == 0)
2041         {
2042         filter_test |= checking = FTEST_USER;
2043         if (++i < argc) filter_test_ufile = argv[i]; else
2044           {
2045           fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2046           exit(EXIT_FAILURE);
2047           }
2048         }
2049       else
2050         {
2051         if (++i >= argc)
2052           {
2053           fprintf(stderr, "exim: string expected after %s\n", arg);
2054           exit(EXIT_FAILURE);
2055           }
2056         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
2057         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
2058         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
2059         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
2060         else { badarg = TRUE; break; }
2061         }
2062       }
2063
2064     /* -bh: Host checking - an IP address must follow. */
2065
2066     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
2067       {
2068       if (++i >= argc) { badarg = TRUE; break; }
2069       sender_host_address = argv[i];
2070       host_checking = checking = log_testing_mode = TRUE;
2071       host_checking_callout = argrest[1] == 'c';
2072       message_logs = FALSE;
2073       }
2074
2075     /* -bi: This option is used by sendmail to initialize *the* alias file,
2076     though it has the -oA option to specify a different file. Exim has no
2077     concept of *the* alias file, but since Sun's YP make script calls
2078     sendmail this way, some support must be provided. */
2079
2080     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
2081
2082     /* -bI: provide information, of the type to follow after a colon.
2083     This is an Exim flag. */
2084
2085     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
2086       {
2087       uschar *p = &argrest[2];
2088       info_flag = CMDINFO_HELP;
2089       if (Ustrlen(p))
2090         {
2091         if (strcmpic(p, CUS"sieve") == 0)
2092           {
2093           info_flag = CMDINFO_SIEVE;
2094           info_stdout = TRUE;
2095           }
2096         else if (strcmpic(p, CUS"dscp") == 0)
2097           {
2098           info_flag = CMDINFO_DSCP;
2099           info_stdout = TRUE;
2100           }
2101         else if (strcmpic(p, CUS"help") == 0)
2102           {
2103           info_stdout = TRUE;
2104           }
2105         }
2106       }
2107
2108     /* -bm: Accept and deliver message - the default option. Reinstate
2109     receiving_message, which got turned off for all -b options. */
2110
2111     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2112
2113     /* -bmalware: test the filename given for malware */
2114
2115     else if (Ustrcmp(argrest, "malware") == 0)
2116       {
2117       if (++i >= argc) { badarg = TRUE; break; }
2118       checking = TRUE;
2119       malware_test_file = argv[i];
2120       }
2121
2122     /* -bnq: For locally originating messages, do not qualify unqualified
2123     addresses. In the envelope, this causes errors; in header lines they
2124     just get left. */
2125
2126     else if (Ustrcmp(argrest, "nq") == 0)
2127       {
2128       allow_unqualified_sender = FALSE;
2129       allow_unqualified_recipient = FALSE;
2130       }
2131
2132     /* -bpxx: List the contents of the mail queue, in various forms. If
2133     the option is -bpc, just a queue count is needed. Otherwise, if the
2134     first letter after p is r, then order is random. */
2135
2136     else if (*argrest == 'p')
2137       {
2138       if (*(++argrest) == 'c')
2139         {
2140         count_queue = TRUE;
2141         if (*(++argrest) != 0) badarg = TRUE;
2142         break;
2143         }
2144
2145       if (*argrest == 'r')
2146         {
2147         list_queue_option = 8;
2148         argrest++;
2149         }
2150       else list_queue_option = 0;
2151
2152       list_queue = TRUE;
2153
2154       /* -bp: List the contents of the mail queue, top-level only */
2155
2156       if (*argrest == 0) {}
2157
2158       /* -bpu: List the contents of the mail queue, top-level undelivered */
2159
2160       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2161
2162       /* -bpa: List the contents of the mail queue, including all delivered */
2163
2164       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2165
2166       /* Unknown after -bp[r] */
2167
2168       else
2169         {
2170         badarg = TRUE;
2171         break;
2172         }
2173       }
2174
2175
2176     /* -bP: List the configuration variables given as the address list.
2177     Force -v, so configuration errors get displayed. */
2178
2179     else if (Ustrcmp(argrest, "P") == 0)
2180       {
2181       /* -bP config: we need to setup here, because later,
2182        * when list_options is checked, the config is read already */
2183       if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2184         {
2185         list_config = TRUE;
2186         readconf_save_config(version_string);
2187         }
2188       else
2189         {
2190         list_options = TRUE;
2191         debug_selector |= D_v;
2192         debug_file = stderr;
2193         }
2194       }
2195
2196     /* -brt: Test retry configuration lookup */
2197
2198     else if (Ustrcmp(argrest, "rt") == 0)
2199       {
2200       checking = TRUE;
2201       test_retry_arg = i + 1;
2202       goto END_ARG;
2203       }
2204
2205     /* -brw: Test rewrite configuration */
2206
2207     else if (Ustrcmp(argrest, "rw") == 0)
2208       {
2209       checking = TRUE;
2210       test_rewrite_arg = i + 1;
2211       goto END_ARG;
2212       }
2213
2214     /* -bS: Read SMTP commands on standard input, but produce no replies -
2215     all errors are reported by sending messages. */
2216
2217     else if (Ustrcmp(argrest, "S") == 0)
2218       smtp_input = smtp_batched_input = receiving_message = TRUE;
2219
2220     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2221     on standard output. */
2222
2223     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2224
2225     /* -bt: address testing mode */
2226
2227     else if (Ustrcmp(argrest, "t") == 0)
2228       address_test_mode = checking = log_testing_mode = TRUE;
2229
2230     /* -bv: verify addresses */
2231
2232     else if (Ustrcmp(argrest, "v") == 0)
2233       verify_address_mode = checking = log_testing_mode = TRUE;
2234
2235     /* -bvs: verify sender addresses */
2236
2237     else if (Ustrcmp(argrest, "vs") == 0)
2238       {
2239       verify_address_mode = checking = log_testing_mode = TRUE;
2240       verify_as_sender = TRUE;
2241       }
2242
2243     /* -bV: Print version string and support details */
2244
2245     else if (Ustrcmp(argrest, "V") == 0)
2246       {
2247       printf("Exim version %s #%s built %s\n", version_string,
2248         version_cnumber, version_date);
2249       printf("%s\n", CS version_copyright);
2250       version_printed = TRUE;
2251       show_whats_supported(stdout);
2252       log_testing_mode = TRUE;
2253       }
2254
2255     /* -bw: inetd wait mode, accept a listening socket as stdin */
2256
2257     else if (*argrest == 'w')
2258       {
2259       inetd_wait_mode = TRUE;
2260       background_daemon = FALSE;
2261       daemon_listen = TRUE;
2262       if (*(++argrest) != '\0')
2263         {
2264         inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE);
2265         if (inetd_wait_timeout <= 0)
2266           {
2267           fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2268           exit(EXIT_FAILURE);
2269           }
2270         }
2271       }
2272
2273     else badarg = TRUE;
2274     break;
2275
2276
2277     /* -C: change configuration file list; ignore if it isn't really
2278     a change! Enforce a prefix check if required. */
2279
2280     case 'C':
2281     if (*argrest == 0)
2282       {
2283       if(++i < argc) argrest = argv[i]; else
2284         { badarg = TRUE; break; }
2285       }
2286     if (Ustrcmp(config_main_filelist, argrest) != 0)
2287       {
2288       #ifdef ALT_CONFIG_PREFIX
2289       int sep = 0;
2290       int len = Ustrlen(ALT_CONFIG_PREFIX);
2291       const uschar *list = argrest;
2292       uschar *filename;
2293       while((filename = string_nextinlist(&list, &sep, big_buffer,
2294              big_buffer_size)) != NULL)
2295         {
2296         if ((Ustrlen(filename) < len ||
2297              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2298              Ustrstr(filename, "/../") != NULL) &&
2299              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2300           {
2301           fprintf(stderr, "-C Permission denied\n");
2302           exit(EXIT_FAILURE);
2303           }
2304         }
2305       #endif
2306       if (real_uid != root_uid)
2307         {
2308         #ifdef TRUSTED_CONFIG_LIST
2309
2310         if (real_uid != exim_uid
2311             #ifdef CONFIGURE_OWNER
2312             && real_uid != config_uid
2313             #endif
2314             )
2315           trusted_config = FALSE;
2316         else
2317           {
2318           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2319           if (trust_list)
2320             {
2321             struct stat statbuf;
2322
2323             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2324                 (statbuf.st_uid != root_uid        /* owner not root */
2325                  #ifdef CONFIGURE_OWNER
2326                  && statbuf.st_uid != config_uid   /* owner not the special one */
2327                  #endif
2328                    ) ||                            /* or */
2329                 (statbuf.st_gid != root_gid        /* group not root */
2330                  #ifdef CONFIGURE_GROUP
2331                  && statbuf.st_gid != config_gid   /* group not the special one */
2332                  #endif
2333                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2334                    ) ||                            /* or */
2335                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2336               {
2337               trusted_config = FALSE;
2338               fclose(trust_list);
2339               }
2340             else
2341               {
2342               /* Well, the trust list at least is up to scratch... */
2343               void *reset_point = store_get(0);
2344               uschar *trusted_configs[32];
2345               int nr_configs = 0;
2346               int i = 0;
2347
2348               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2349                 {
2350                 uschar *start = big_buffer, *nl;
2351                 while (*start && isspace(*start))
2352                 start++;
2353                 if (*start != '/')
2354                   continue;
2355                 nl = Ustrchr(start, '\n');
2356                 if (nl)
2357                   *nl = 0;
2358                 trusted_configs[nr_configs++] = string_copy(start);
2359                 if (nr_configs == 32)
2360                   break;
2361                 }
2362               fclose(trust_list);
2363
2364               if (nr_configs)
2365                 {
2366                 int sep = 0;
2367                 const uschar *list = argrest;
2368                 uschar *filename;
2369                 while (trusted_config && (filename = string_nextinlist(&list,
2370                         &sep, big_buffer, big_buffer_size)) != NULL)
2371                   {
2372                   for (i=0; i < nr_configs; i++)
2373                     {
2374                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2375                       break;
2376                     }
2377                   if (i == nr_configs)
2378                     {
2379                     trusted_config = FALSE;
2380                     break;
2381                     }
2382                   }
2383                 store_reset(reset_point);
2384                 }
2385               else
2386                 {
2387                 /* No valid prefixes found in trust_list file. */
2388                 trusted_config = FALSE;
2389                 }
2390               }
2391             }
2392           else
2393             {
2394             /* Could not open trust_list file. */
2395             trusted_config = FALSE;
2396             }
2397           }
2398       #else
2399         /* Not root; don't trust config */
2400         trusted_config = FALSE;
2401       #endif
2402         }
2403
2404       config_main_filelist = argrest;
2405       config_changed = TRUE;
2406       }
2407     break;
2408
2409
2410     /* -D: set up a macro definition */
2411
2412     case 'D':
2413     #ifdef DISABLE_D_OPTION
2414     fprintf(stderr, "exim: -D is not available in this Exim binary\n");
2415     exit(EXIT_FAILURE);
2416     #else
2417       {
2418       int ptr = 0;
2419       macro_item *m;
2420       uschar name[24];
2421       uschar *s = argrest;
2422
2423       opt_D_used = TRUE;
2424       while (isspace(*s)) s++;
2425
2426       if (*s < 'A' || *s > 'Z')
2427         {
2428         fprintf(stderr, "exim: macro name set by -D must start with "
2429           "an upper case letter\n");
2430         exit(EXIT_FAILURE);
2431         }
2432
2433       while (isalnum(*s) || *s == '_')
2434         {
2435         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2436         s++;
2437         }
2438       name[ptr] = 0;
2439       if (ptr == 0) { badarg = TRUE; break; }
2440       while (isspace(*s)) s++;
2441       if (*s != 0)
2442         {
2443         if (*s++ != '=') { badarg = TRUE; break; }
2444         while (isspace(*s)) s++;
2445         }
2446
2447       for (m = macros; m; m = m->next)
2448         if (Ustrcmp(m->name, name) == 0)
2449           {
2450           fprintf(stderr, "exim: duplicated -D in command line\n");
2451           exit(EXIT_FAILURE);
2452           }
2453
2454       m = macro_create(string_copy(name), string_copy(s), TRUE);
2455
2456       if (clmacro_count >= MAX_CLMACROS)
2457         {
2458         fprintf(stderr, "exim: too many -D options on command line\n");
2459         exit(EXIT_FAILURE);
2460         }
2461       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2462         m->replacement);
2463       }
2464     #endif
2465     break;
2466
2467     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2468     The latter is now a no-op, retained for compatibility only. If -dd is used,
2469     debugging subprocesses of the daemon is disabled. */
2470
2471     case 'd':
2472     if (Ustrcmp(argrest, "ropcr") == 0)
2473       {
2474       /* drop_cr = TRUE; */
2475       }
2476
2477     /* Use an intermediate variable so that we don't set debugging while
2478     decoding the debugging bits. */
2479
2480     else
2481       {
2482       unsigned int selector = D_default;
2483       debug_selector = 0;
2484       debug_file = NULL;
2485       if (*argrest == 'd')
2486         {
2487         debug_daemon = TRUE;
2488         argrest++;
2489         }
2490       if (*argrest != 0)
2491         decode_bits(&selector, 1, debug_notall, argrest,
2492           debug_options, debug_options_count, US"debug", 0);
2493       debug_selector = selector;
2494       }
2495     break;
2496
2497
2498     /* -E: This is a local error message. This option is not intended for
2499     external use at all, but is not restricted to trusted callers because it
2500     does no harm (just suppresses certain error messages) and if Exim is run
2501     not setuid root it won't always be trusted when it generates error
2502     messages using this option. If there is a message id following -E, point
2503     message_reference at it, for logging. */
2504
2505     case 'E':
2506     local_error_message = TRUE;
2507     if (mac_ismsgid(argrest)) message_reference = argrest;
2508     break;
2509
2510
2511     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2512     option, so it looks as if historically the -oex options are also callable
2513     without the leading -o. So we have to accept them. Before the switch,
2514     anything starting -oe has been converted to -e. Exim does not support all
2515     of the sendmail error options. */
2516
2517     case 'e':
2518     if (Ustrcmp(argrest, "e") == 0)
2519       {
2520       arg_error_handling = ERRORS_SENDER;
2521       errors_sender_rc = EXIT_SUCCESS;
2522       }
2523     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2524     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2525     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2526     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2527     else badarg = TRUE;
2528     break;
2529
2530
2531     /* -F: Set sender's full name, used instead of the gecos entry from
2532     the password file. Since users can usually alter their gecos entries,
2533     there's no security involved in using this instead. The data can follow
2534     the -F or be in the next argument. */
2535
2536     case 'F':
2537     if (*argrest == 0)
2538       {
2539       if(++i < argc) argrest = argv[i]; else
2540         { badarg = TRUE; break; }
2541       }
2542     originator_name = argrest;
2543     sender_name_forced = TRUE;
2544     break;
2545
2546
2547     /* -f: Set sender's address - this value is only actually used if Exim is
2548     run by a trusted user, or if untrusted_set_sender is set and matches the
2549     address, except that the null address can always be set by any user. The
2550     test for this happens later, when the value given here is ignored when not
2551     permitted. For an untrusted user, the actual sender is still put in Sender:
2552     if it doesn't match the From: header (unless no_local_from_check is set).
2553     The data can follow the -f or be in the next argument. The -r switch is an
2554     obsolete form of -f but since there appear to be programs out there that
2555     use anything that sendmail has ever supported, better accept it - the
2556     synonymizing is done before the switch above.
2557
2558     At this stage, we must allow domain literal addresses, because we don't
2559     know what the setting of allow_domain_literals is yet. Ditto for trailing
2560     dots and strip_trailing_dot. */
2561
2562     case 'f':
2563       {
2564       int dummy_start, dummy_end;
2565       uschar *errmess;
2566       if (*argrest == 0)
2567         {
2568         if (i+1 < argc) argrest = argv[++i]; else
2569           { badarg = TRUE; break; }
2570         }
2571       if (*argrest == 0)
2572         sender_address = string_sprintf("");  /* Ensure writeable memory */
2573       else
2574         {
2575         uschar *temp = argrest + Ustrlen(argrest) - 1;
2576         while (temp >= argrest && isspace(*temp)) temp--;
2577         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2578         allow_domain_literals = TRUE;
2579         strip_trailing_dot = TRUE;
2580 #ifdef SUPPORT_I18N
2581         allow_utf8_domains = TRUE;
2582 #endif
2583         sender_address = parse_extract_address(argrest, &errmess,
2584           &dummy_start, &dummy_end, &sender_address_domain, TRUE);
2585 #ifdef SUPPORT_I18N
2586         message_smtputf8 =  string_is_utf8(sender_address);
2587         allow_utf8_domains = FALSE;
2588 #endif
2589         allow_domain_literals = FALSE;
2590         strip_trailing_dot = FALSE;
2591         if (sender_address == NULL)
2592           {
2593           fprintf(stderr, "exim: bad -f address \"%s\": %s\n", argrest, errmess);
2594           return EXIT_FAILURE;
2595           }
2596         }
2597       sender_address_forced = TRUE;
2598       }
2599     break;
2600
2601     /* -G: sendmail invocation to specify that it's a gateway submission and
2602     sendmail may complain about problems instead of fixing them.
2603     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2604     not at this time complain about problems. */
2605
2606     case 'G':
2607     flag_G = TRUE;
2608     break;
2609
2610     /* -h: Set the hop count for an incoming message. Exim does not currently
2611     support this; it always computes it by counting the Received: headers.
2612     To put it in will require a change to the spool header file format. */
2613
2614     case 'h':
2615     if (*argrest == 0)
2616       {
2617       if(++i < argc) argrest = argv[i]; else
2618         { badarg = TRUE; break; }
2619       }
2620     if (!isdigit(*argrest)) badarg = TRUE;
2621     break;
2622
2623
2624     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2625     not to be documented for sendmail but mailx (at least) uses it) */
2626
2627     case 'i':
2628     if (*argrest == 0) dot_ends = FALSE; else badarg = TRUE;
2629     break;
2630
2631
2632     /* -L: set the identifier used for syslog; equivalent to setting
2633     syslog_processname in the config file, but needs to be an admin option. */
2634
2635     case 'L':
2636     if (*argrest == '\0')
2637       {
2638       if(++i < argc) argrest = argv[i]; else
2639         { badarg = TRUE; break; }
2640       }
2641     sz = Ustrlen(argrest);
2642     if (sz > 32)
2643       {
2644       fprintf(stderr, "exim: the -L syslog name is too long: \"%s\"\n", argrest);
2645       return EXIT_FAILURE;
2646       }
2647     if (sz < 1)
2648       {
2649       fprintf(stderr, "exim: the -L syslog name is too short\n");
2650       return EXIT_FAILURE;
2651       }
2652     cmdline_syslog_name = argrest;
2653     break;
2654
2655     case 'M':
2656     receiving_message = FALSE;
2657
2658     /* -MC:  continue delivery of another message via an existing open
2659     file descriptor. This option is used for an internal call by the
2660     smtp transport when there is a pending message waiting to go to an
2661     address to which it has got a connection. Five subsequent arguments are
2662     required: transport name, host name, IP address, sequence number, and
2663     message_id. Transports may decline to create new processes if the sequence
2664     number gets too big. The channel is stdin. This (-MC) must be the last
2665     argument. There's a subsequent check that the real-uid is privileged.
2666
2667     If we are running in the test harness. delay for a bit, to let the process
2668     that set this one up complete. This makes for repeatability of the logging,
2669     etc. output. */
2670
2671     if (Ustrcmp(argrest, "C") == 0)
2672       {
2673       union sockaddr_46 interface_sock;
2674       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2675
2676       if (argc != i + 6)
2677         {
2678         fprintf(stderr, "exim: too many or too few arguments after -MC\n");
2679         return EXIT_FAILURE;
2680         }
2681
2682       if (msg_action_arg >= 0)
2683         {
2684         fprintf(stderr, "exim: incompatible arguments\n");
2685         return EXIT_FAILURE;
2686         }
2687
2688       continue_transport = argv[++i];
2689       continue_hostname = argv[++i];
2690       continue_host_address = argv[++i];
2691       continue_sequence = Uatoi(argv[++i]);
2692       msg_action = MSG_DELIVER;
2693       msg_action_arg = ++i;
2694       forced_delivery = TRUE;
2695       queue_run_pid = passed_qr_pid;
2696       queue_run_pipe = passed_qr_pipe;
2697
2698       if (!mac_ismsgid(argv[i]))
2699         {
2700         fprintf(stderr, "exim: malformed message id %s after -MC option\n",
2701           argv[i]);
2702         return EXIT_FAILURE;
2703         }
2704
2705       /* Set up $sending_ip_address and $sending_port, unless proxied */
2706
2707       if (!continue_proxy_cipher)
2708         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2709             &size) == 0)
2710           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2711             &sending_port);
2712         else
2713           {
2714           fprintf(stderr, "exim: getsockname() failed after -MC option: %s\n",
2715             strerror(errno));
2716           return EXIT_FAILURE;
2717           }
2718
2719       if (running_in_test_harness) millisleep(500);
2720       break;
2721       }
2722
2723     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2724       {
2725       switch(argrest[1])
2726         {
2727     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2728     precedes -MC (see above). The flag indicates that the host to which
2729     Exim is connected has accepted an AUTH sequence. */
2730
2731         case 'A': smtp_authenticated = TRUE; break;
2732
2733     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2734        that exim is connected to supports the esmtp extension DSN */
2735
2736         case 'D': smtp_peer_options |= OPTION_DSN; break;
2737
2738     /* -MCG: set the queue name, to a non-default value */
2739
2740         case 'G': if (++i < argc) queue_name = string_copy(argv[i]);
2741                   else badarg = TRUE;
2742                   break;
2743
2744     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2745
2746         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2747
2748     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2749     it preceded -MC (see above) */
2750
2751         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2752
2753     /* -MCQ: pass on the pid of the queue-running process that started
2754     this chain of deliveries and the fd of its synchronizing pipe; this
2755     is useful only when it precedes -MC (see above) */
2756
2757         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2758                   else badarg = TRUE;
2759                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2760                   else badarg = TRUE;
2761                   break;
2762
2763     /* -MCS: set the smtp_use_size flag; this is useful only when it
2764     precedes -MC (see above) */
2765
2766         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2767
2768 #ifdef SUPPORT_TLS
2769     /* -MCt: similar to -MCT below but the connection is still open
2770     via a proxy proces which handles the TLS context and coding.
2771     Require three arguments for the proxied local address and port,
2772     and the TLS cipher.  */
2773
2774         case 't': if (++i < argc) sending_ip_address = argv[i];
2775                   else badarg = TRUE;
2776                   if (++i < argc) sending_port = (int)(Uatol(argv[i]));
2777                   else badarg = TRUE;
2778                   if (++i < argc) continue_proxy_cipher = argv[i];
2779                   else badarg = TRUE;
2780                   /*FALLTHROUGH*/
2781
2782     /* -MCT: set the tls_offered flag; this is useful only when it
2783     precedes -MC (see above). The flag indicates that the host to which
2784     Exim is connected has offered TLS support. */
2785
2786         case 'T': smtp_peer_options |= OPTION_TLS; break;
2787 #endif
2788
2789         default:  badarg = TRUE; break;
2790         }
2791         break;
2792       }
2793
2794     /* -M[x]: various operations on the following list of message ids:
2795        -M    deliver the messages, ignoring next retry times and thawing
2796        -Mc   deliver the messages, checking next retry times, no thawing
2797        -Mf   freeze the messages
2798        -Mg   give up on the messages
2799        -Mt   thaw the messages
2800        -Mrm  remove the messages
2801     In the above cases, this must be the last option. There are also the
2802     following options which are followed by a single message id, and which
2803     act on that message. Some of them use the "recipient" addresses as well.
2804        -Mar  add recipient(s)
2805        -Mmad mark all recipients delivered
2806        -Mmd  mark recipients(s) delivered
2807        -Mes  edit sender
2808        -Mset load a message for use with -be
2809        -Mvb  show body
2810        -Mvc  show copy (of whole message, in RFC 2822 format)
2811        -Mvh  show header
2812        -Mvl  show log
2813     */
2814
2815     else if (*argrest == 0)
2816       {
2817       msg_action = MSG_DELIVER;
2818       forced_delivery = deliver_force_thaw = TRUE;
2819       }
2820     else if (Ustrcmp(argrest, "ar") == 0)
2821       {
2822       msg_action = MSG_ADD_RECIPIENT;
2823       one_msg_action = TRUE;
2824       }
2825     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2826     else if (Ustrcmp(argrest, "es") == 0)
2827       {
2828       msg_action = MSG_EDIT_SENDER;
2829       one_msg_action = TRUE;
2830       }
2831     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2832     else if (Ustrcmp(argrest, "g") == 0)
2833       {
2834       msg_action = MSG_DELIVER;
2835       deliver_give_up = TRUE;
2836       }
2837     else if (Ustrcmp(argrest, "mad") == 0)
2838       {
2839       msg_action = MSG_MARK_ALL_DELIVERED;
2840       }
2841     else if (Ustrcmp(argrest, "md") == 0)
2842       {
2843       msg_action = MSG_MARK_DELIVERED;
2844       one_msg_action = TRUE;
2845       }
2846     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2847     else if (Ustrcmp(argrest, "set") == 0)
2848       {
2849       msg_action = MSG_LOAD;
2850       one_msg_action = TRUE;
2851       }
2852     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2853     else if (Ustrcmp(argrest, "vb") == 0)
2854       {
2855       msg_action = MSG_SHOW_BODY;
2856       one_msg_action = TRUE;
2857       }
2858     else if (Ustrcmp(argrest, "vc") == 0)
2859       {
2860       msg_action = MSG_SHOW_COPY;
2861       one_msg_action = TRUE;
2862       }
2863     else if (Ustrcmp(argrest, "vh") == 0)
2864       {
2865       msg_action = MSG_SHOW_HEADER;
2866       one_msg_action = TRUE;
2867       }
2868     else if (Ustrcmp(argrest, "vl") == 0)
2869       {
2870       msg_action = MSG_SHOW_LOG;
2871       one_msg_action = TRUE;
2872       }
2873     else { badarg = TRUE; break; }
2874
2875     /* All the -Mxx options require at least one message id. */
2876
2877     msg_action_arg = i + 1;
2878     if (msg_action_arg >= argc)
2879       {
2880       fprintf(stderr, "exim: no message ids given after %s option\n", arg);
2881       return EXIT_FAILURE;
2882       }
2883
2884     /* Some require only message ids to follow */
2885
2886     if (!one_msg_action)
2887       {
2888       int j;
2889       for (j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2890         {
2891         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2892           argv[j], arg);
2893         return EXIT_FAILURE;
2894         }
2895       goto END_ARG;   /* Remaining args are ids */
2896       }
2897
2898     /* Others require only one message id, possibly followed by addresses,
2899     which will be handled as normal arguments. */
2900
2901     else
2902       {
2903       if (!mac_ismsgid(argv[msg_action_arg]))
2904         {
2905         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2906           argv[msg_action_arg], arg);
2907         return EXIT_FAILURE;
2908         }
2909       i++;
2910       }
2911     break;
2912
2913
2914     /* Some programs seem to call the -om option without the leading o;
2915     for sendmail it askes for "me too". Exim always does this. */
2916
2917     case 'm':
2918     if (*argrest != 0) badarg = TRUE;
2919     break;
2920
2921
2922     /* -N: don't do delivery - a debugging option that stops transports doing
2923     their thing. It implies debugging at the D_v level. */
2924
2925     case 'N':
2926     if (*argrest == 0)
2927       {
2928       dont_deliver = TRUE;
2929       debug_selector |= D_v;
2930       debug_file = stderr;
2931       }
2932     else badarg = TRUE;
2933     break;
2934
2935
2936     /* -n: This means "don't alias" in sendmail, apparently.
2937     For normal invocations, it has no effect.
2938     It may affect some other options. */
2939
2940     case 'n':
2941     flag_n = TRUE;
2942     break;
2943
2944     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2945     option to the specified value. This form uses long names. We need to handle
2946     -O option=value and -Ooption=value. */
2947
2948     case 'O':
2949     if (*argrest == 0)
2950       {
2951       if (++i >= argc)
2952         {
2953         fprintf(stderr, "exim: string expected after -O\n");
2954         exit(EXIT_FAILURE);
2955         }
2956       }
2957     break;
2958
2959     case 'o':
2960
2961     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2962     file" option). */
2963
2964     if (*argrest == 'A')
2965       {
2966       alias_arg = argrest + 1;
2967       if (alias_arg[0] == 0)
2968         {
2969         if (i+1 < argc) alias_arg = argv[++i]; else
2970           {
2971           fprintf(stderr, "exim: string expected after -oA\n");
2972           exit(EXIT_FAILURE);
2973           }
2974         }
2975       }
2976
2977     /* -oB: Set a connection message max value for remote deliveries */
2978
2979     else if (*argrest == 'B')
2980       {
2981       uschar *p = argrest + 1;
2982       if (p[0] == 0)
2983         {
2984         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2985           {
2986           connection_max_messages = 1;
2987           p = NULL;
2988           }
2989         }
2990
2991       if (p != NULL)
2992         {
2993         if (!isdigit(*p))
2994           {
2995           fprintf(stderr, "exim: number expected after -oB\n");
2996           exit(EXIT_FAILURE);
2997           }
2998         connection_max_messages = Uatoi(p);
2999         }
3000       }
3001
3002     /* -odb: background delivery */
3003
3004     else if (Ustrcmp(argrest, "db") == 0)
3005       {
3006       synchronous_delivery = FALSE;
3007       arg_queue_only = FALSE;
3008       queue_only_set = TRUE;
3009       }
3010
3011     /* -odf: foreground delivery (smail-compatible option); same effect as
3012        -odi: interactive (synchronous) delivery (sendmail-compatible option)
3013     */
3014
3015     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
3016       {
3017       synchronous_delivery = TRUE;
3018       arg_queue_only = FALSE;
3019       queue_only_set = TRUE;
3020       }
3021
3022     /* -odq: queue only */
3023
3024     else if (Ustrcmp(argrest, "dq") == 0)
3025       {
3026       synchronous_delivery = FALSE;
3027       arg_queue_only = TRUE;
3028       queue_only_set = TRUE;
3029       }
3030
3031     /* -odqs: queue SMTP only - do local deliveries and remote routing,
3032     but no remote delivery */
3033
3034     else if (Ustrcmp(argrest, "dqs") == 0)
3035       {
3036       queue_smtp = TRUE;
3037       arg_queue_only = FALSE;
3038       queue_only_set = TRUE;
3039       }
3040
3041     /* -oex: Sendmail error flags. As these are also accepted without the
3042     leading -o prefix, for compatibility with vacation and other callers,
3043     they are handled with -e above. */
3044
3045     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3046        -oitrue: Another sendmail syntax for the same */
3047
3048     else if (Ustrcmp(argrest, "i") == 0 ||
3049              Ustrcmp(argrest, "itrue") == 0)
3050       dot_ends = FALSE;
3051
3052     /* -oM*: Set various characteristics for an incoming message; actually
3053     acted on for trusted callers only. */
3054
3055     else if (*argrest == 'M')
3056       {
3057       if (i+1 >= argc)
3058         {
3059         fprintf(stderr, "exim: data expected after -o%s\n", argrest);
3060         exit(EXIT_FAILURE);
3061         }
3062
3063       /* -oMa: Set sender host address */
3064
3065       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
3066
3067       /* -oMaa: Set authenticator name */
3068
3069       else if (Ustrcmp(argrest, "Maa") == 0)
3070         sender_host_authenticated = argv[++i];
3071
3072       /* -oMas: setting authenticated sender */
3073
3074       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
3075
3076       /* -oMai: setting authenticated id */
3077
3078       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
3079
3080       /* -oMi: Set incoming interface address */
3081
3082       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
3083
3084       /* -oMm: Message reference */
3085
3086       else if (Ustrcmp(argrest, "Mm") == 0)
3087         {
3088         if (!mac_ismsgid(argv[i+1]))
3089           {
3090             fprintf(stderr,"-oMm must be a valid message ID\n");
3091             exit(EXIT_FAILURE);
3092           }
3093         if (!trusted_config)
3094           {
3095             fprintf(stderr,"-oMm must be called by a trusted user/config\n");
3096             exit(EXIT_FAILURE);
3097           }
3098           message_reference = argv[++i];
3099         }
3100
3101       /* -oMr: Received protocol */
3102
3103       else if (Ustrcmp(argrest, "Mr") == 0)
3104
3105         if (received_protocol)
3106           {
3107           fprintf(stderr, "received_protocol is set already\n");
3108           exit(EXIT_FAILURE);
3109           }
3110         else received_protocol = argv[++i];
3111
3112       /* -oMs: Set sender host name */
3113
3114       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
3115
3116       /* -oMt: Set sender ident */
3117
3118       else if (Ustrcmp(argrest, "Mt") == 0)
3119         {
3120         sender_ident_set = TRUE;
3121         sender_ident = argv[++i];
3122         }
3123
3124       /* Else a bad argument */
3125
3126       else
3127         {
3128         badarg = TRUE;
3129         break;
3130         }
3131       }
3132
3133     /* -om: Me-too flag for aliases. Exim always does this. Some programs
3134     seem to call this as -m (undocumented), so that is also accepted (see
3135     above). */
3136
3137     else if (Ustrcmp(argrest, "m") == 0) {}
3138
3139     /* -oo: An ancient flag for old-style addresses which still seems to
3140     crop up in some calls (see in SCO). */
3141
3142     else if (Ustrcmp(argrest, "o") == 0) {}
3143
3144     /* -oP <name>: set pid file path for daemon */
3145
3146     else if (Ustrcmp(argrest, "P") == 0)
3147       override_pid_file_path = argv[++i];
3148
3149     /* -or <n>: set timeout for non-SMTP acceptance
3150        -os <n>: set timeout for SMTP acceptance */
3151
3152     else if (*argrest == 'r' || *argrest == 's')
3153       {
3154       int *tp = (*argrest == 'r')?
3155         &arg_receive_timeout : &arg_smtp_receive_timeout;
3156       if (argrest[1] == 0)
3157         {
3158         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
3159         }
3160       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
3161       if (*tp < 0)
3162         {
3163         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3164         exit(EXIT_FAILURE);
3165         }
3166       }
3167
3168     /* -oX <list>: Override local_interfaces and/or default daemon ports */
3169
3170     else if (Ustrcmp(argrest, "X") == 0)
3171       override_local_interfaces = argv[++i];
3172
3173     /* Unknown -o argument */
3174
3175     else badarg = TRUE;
3176     break;
3177
3178
3179     /* -ps: force Perl startup; -pd force delayed Perl startup */
3180
3181     case 'p':
3182     #ifdef EXIM_PERL
3183     if (*argrest == 's' && argrest[1] == 0)
3184       {
3185       perl_start_option = 1;
3186       break;
3187       }
3188     if (*argrest == 'd' && argrest[1] == 0)
3189       {
3190       perl_start_option = -1;
3191       break;
3192       }
3193     #endif
3194
3195     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3196     which sets the host protocol and host name */
3197
3198     if (*argrest == 0)
3199       if (i+1 < argc)
3200         argrest = argv[++i];
3201       else
3202         { badarg = TRUE; break; }
3203
3204     if (*argrest != 0)
3205       {
3206       uschar *hn;
3207
3208       if (received_protocol)
3209         {
3210         fprintf(stderr, "received_protocol is set already\n");
3211         exit(EXIT_FAILURE);
3212         }
3213
3214       hn = Ustrchr(argrest, ':');
3215       if (hn == NULL)
3216         received_protocol = argrest;
3217       else
3218         {
3219         int old_pool = store_pool;
3220         store_pool = POOL_PERM;
3221         received_protocol = string_copyn(argrest, hn - argrest);
3222         store_pool = old_pool;
3223         sender_host_name = hn + 1;
3224         }
3225       }
3226     break;
3227
3228
3229     case 'q':
3230     receiving_message = FALSE;
3231     if (queue_interval >= 0)
3232       {
3233       fprintf(stderr, "exim: -q specified more than once\n");
3234       exit(EXIT_FAILURE);
3235       }
3236
3237     /* -qq...: Do queue runs in a 2-stage manner */
3238
3239     if (*argrest == 'q')
3240       {
3241       queue_2stage = TRUE;
3242       argrest++;
3243       }
3244
3245     /* -qi...: Do only first (initial) deliveries */
3246
3247     if (*argrest == 'i')
3248       {
3249       queue_run_first_delivery = TRUE;
3250       argrest++;
3251       }
3252
3253     /* -qf...: Run the queue, forcing deliveries
3254        -qff..: Ditto, forcing thawing as well */
3255
3256     if (*argrest == 'f')
3257       {
3258       queue_run_force = TRUE;
3259       if (*++argrest == 'f')
3260         {
3261         deliver_force_thaw = TRUE;
3262         argrest++;
3263         }
3264       }
3265
3266     /* -q[f][f]l...: Run the queue only on local deliveries */
3267
3268     if (*argrest == 'l')
3269       {
3270       queue_run_local = TRUE;
3271       argrest++;
3272       }
3273
3274     /* -q[f][f][l][G<name>]... Work on the named queue */
3275
3276     if (*argrest == 'G')
3277       {
3278       int i;
3279       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3280       queue_name = string_copyn(argrest, i);
3281       argrest += i;
3282       if (*argrest == '/') argrest++;
3283       }
3284
3285     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3286     only, optionally named, optionally starting from a given message id. */
3287
3288     if (*argrest == 0 &&
3289         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3290       {
3291       queue_interval = 0;
3292       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3293         start_queue_run_id = argv[++i];
3294       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3295         stop_queue_run_id = argv[++i];
3296       }
3297
3298     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3299     forced, optionally local only, optionally named. */
3300
3301     else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3302                                                 0, FALSE)) <= 0)
3303       {
3304       fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3305       exit(EXIT_FAILURE);
3306       }
3307     break;
3308
3309
3310     case 'R':   /* Synonymous with -qR... */
3311     receiving_message = FALSE;
3312
3313     /* -Rf:   As -R (below) but force all deliveries,
3314        -Rff:  Ditto, but also thaw all frozen messages,
3315        -Rr:   String is regex
3316        -Rrf:  Regex and force
3317        -Rrff: Regex and force and thaw
3318
3319     in all cases provided there are no further characters in this
3320     argument. */
3321
3322     if (*argrest != 0)
3323       {
3324       int i;
3325       for (i = 0; i < nelem(rsopts); i++)
3326         if (Ustrcmp(argrest, rsopts[i]) == 0)
3327           {
3328           if (i != 2) queue_run_force = TRUE;
3329           if (i >= 2) deliver_selectstring_regex = TRUE;
3330           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3331           argrest += Ustrlen(rsopts[i]);
3332           }
3333       }
3334
3335     /* -R: Set string to match in addresses for forced queue run to
3336     pick out particular messages. */
3337
3338     if (*argrest)
3339       deliver_selectstring = argrest;
3340     else if (i+1 < argc)
3341       deliver_selectstring = argv[++i];
3342     else
3343       {
3344       fprintf(stderr, "exim: string expected after -R\n");
3345       exit(EXIT_FAILURE);
3346       }
3347     break;
3348
3349
3350     /* -r: an obsolete synonym for -f (see above) */
3351
3352
3353     /* -S: Like -R but works on sender. */
3354
3355     case 'S':   /* Synonymous with -qS... */
3356     receiving_message = FALSE;
3357
3358     /* -Sf:   As -S (below) but force all deliveries,
3359        -Sff:  Ditto, but also thaw all frozen messages,
3360        -Sr:   String is regex
3361        -Srf:  Regex and force
3362        -Srff: Regex and force and thaw
3363
3364     in all cases provided there are no further characters in this
3365     argument. */
3366
3367     if (*argrest)
3368       {
3369       int i;
3370       for (i = 0; i < nelem(rsopts); i++)
3371         if (Ustrcmp(argrest, rsopts[i]) == 0)
3372           {
3373           if (i != 2) queue_run_force = TRUE;
3374           if (i >= 2) deliver_selectstring_sender_regex = TRUE;
3375           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3376           argrest += Ustrlen(rsopts[i]);
3377           }
3378       }
3379
3380     /* -S: Set string to match in addresses for forced queue run to
3381     pick out particular messages. */
3382
3383     if (*argrest)
3384       deliver_selectstring_sender = argrest;
3385     else if (i+1 < argc)
3386       deliver_selectstring_sender = argv[++i];
3387     else
3388       {
3389       fprintf(stderr, "exim: string expected after -S\n");
3390       exit(EXIT_FAILURE);
3391       }
3392     break;
3393
3394     /* -Tqt is an option that is exclusively for use by the testing suite.
3395     It is not recognized in other circumstances. It allows for the setting up
3396     of explicit "queue times" so that various warning/retry things can be
3397     tested. Otherwise variability of clock ticks etc. cause problems. */
3398
3399     case 'T':
3400     if (running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3401       fudged_queue_times = argv[++i];
3402     else badarg = TRUE;
3403     break;
3404
3405
3406     /* -t: Set flag to extract recipients from body of message. */
3407
3408     case 't':
3409     if (*argrest == 0) extract_recipients = TRUE;
3410
3411     /* -ti: Set flag to extract recipients from body of message, and also
3412     specify that dot does not end the message. */
3413
3414     else if (Ustrcmp(argrest, "i") == 0)
3415       {
3416       extract_recipients = TRUE;
3417       dot_ends = FALSE;
3418       }
3419
3420     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3421
3422     #ifdef SUPPORT_TLS
3423     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3424     #endif
3425
3426     else badarg = TRUE;
3427     break;
3428
3429
3430     /* -U: This means "initial user submission" in sendmail, apparently. The
3431     doc claims that in future sendmail may refuse syntactically invalid
3432     messages instead of fixing them. For the moment, we just ignore it. */
3433
3434     case 'U':
3435     break;
3436
3437
3438     /* -v: verify things - this is a very low-level debugging */
3439
3440     case 'v':
3441     if (*argrest == 0)
3442       {
3443       debug_selector |= D_v;
3444       debug_file = stderr;
3445       }
3446     else badarg = TRUE;
3447     break;
3448
3449
3450     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3451
3452       The -x flag tells the sendmail command that mail from a local
3453       mail program has National Language Support (NLS) extended characters
3454       in the body of the mail item. The sendmail command can send mail with
3455       extended NLS characters across networks that normally corrupts these
3456       8-bit characters.
3457
3458     As Exim is 8-bit clean, it just ignores this flag. */
3459
3460     case 'x':
3461     if (*argrest != 0) badarg = TRUE;
3462     break;
3463
3464     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3465     logs to that file.  We swallow the parameter and otherwise ignore it. */
3466
3467     case 'X':
3468     if (*argrest == '\0')
3469       if (++i >= argc)
3470         {
3471         fprintf(stderr, "exim: string expected after -X\n");
3472         exit(EXIT_FAILURE);
3473         }
3474     break;
3475
3476     case 'z':
3477     if (*argrest == '\0')
3478       if (++i < argc) log_oneline = argv[i]; else
3479         {
3480         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
3481         exit(EXIT_FAILURE);
3482         }
3483     break;
3484
3485     /* All other initial characters are errors */
3486
3487     default:
3488     badarg = TRUE;
3489     break;
3490     }         /* End of high-level switch statement */
3491
3492   /* Failed to recognize the option, or syntax error */
3493
3494   if (badarg)
3495     {
3496     fprintf(stderr, "exim abandoned: unknown, malformed, or incomplete "
3497       "option %s\n", arg);
3498     exit(EXIT_FAILURE);
3499     }
3500   }
3501
3502
3503 /* If -R or -S have been specified without -q, assume a single queue run. */
3504
3505 if (  (deliver_selectstring || deliver_selectstring_sender)
3506    && queue_interval < 0)
3507     queue_interval = 0;
3508
3509
3510 END_ARG:
3511 /* If usage_wanted is set we call the usage function - which never returns */
3512 if (usage_wanted) exim_usage(called_as);
3513
3514 /* Arguments have been processed. Check for incompatibilities. */
3515 if ((
3516     (smtp_input || extract_recipients || recipients_arg < argc) &&
3517     (daemon_listen || queue_interval >= 0 || bi_option ||
3518       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3519       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3520     ) ||
3521     (
3522     msg_action_arg > 0 &&
3523     (daemon_listen || queue_interval > 0 || list_options ||
3524       (checking && msg_action != MSG_LOAD) ||
3525       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3526     ) ||
3527     (
3528     (daemon_listen || queue_interval > 0) &&
3529     (sender_address != NULL || list_options || list_queue || checking ||
3530       bi_option)
3531     ) ||
3532     (
3533     daemon_listen && queue_interval == 0
3534     ) ||
3535     (
3536     inetd_wait_mode && queue_interval >= 0
3537     ) ||
3538     (
3539     list_options &&
3540     (checking || smtp_input || extract_recipients ||
3541       filter_test != FTEST_NONE || bi_option)
3542     ) ||
3543     (
3544     verify_address_mode &&
3545     (address_test_mode || smtp_input || extract_recipients ||
3546       filter_test != FTEST_NONE || bi_option)
3547     ) ||
3548     (
3549     address_test_mode && (smtp_input || extract_recipients ||
3550       filter_test != FTEST_NONE || bi_option)
3551     ) ||
3552     (
3553     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3554       extract_recipients)
3555     ) ||
3556     (
3557     deliver_selectstring != NULL && queue_interval < 0
3558     ) ||
3559     (
3560     msg_action == MSG_LOAD &&
3561       (!expansion_test || expansion_test_message != NULL)
3562     )
3563    )
3564   {
3565   fprintf(stderr, "exim: incompatible command-line options or arguments\n");
3566   exit(EXIT_FAILURE);
3567   }
3568
3569 /* If debugging is set up, set the file and the file descriptor to pass on to
3570 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3571 to run in the foreground. */
3572
3573 if (debug_selector != 0)
3574   {
3575   debug_file = stderr;
3576   debug_fd = fileno(debug_file);
3577   background_daemon = FALSE;
3578   if (running_in_test_harness) millisleep(100);   /* lets caller finish */
3579   if (debug_selector != D_v)    /* -v only doesn't show this */
3580     {
3581     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3582       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3583       debug_selector);
3584     if (!version_printed)
3585       show_whats_supported(stderr);
3586     }
3587   }
3588
3589 /* When started with root privilege, ensure that the limits on the number of
3590 open files and the number of processes (where that is accessible) are
3591 sufficiently large, or are unset, in case Exim has been called from an
3592 environment where the limits are screwed down. Not all OS have the ability to
3593 change some of these limits. */
3594
3595 if (unprivileged)
3596   {
3597   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3598   }
3599 else
3600   {
3601   struct rlimit rlp;
3602
3603   #ifdef RLIMIT_NOFILE
3604   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3605     {
3606     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3607       strerror(errno));
3608     rlp.rlim_cur = rlp.rlim_max = 0;
3609     }
3610
3611   /* I originally chose 1000 as a nice big number that was unlikely to
3612   be exceeded. It turns out that some older OS have a fixed upper limit of
3613   256. */
3614
3615   if (rlp.rlim_cur < 1000)
3616     {
3617     rlp.rlim_cur = rlp.rlim_max = 1000;
3618     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3619       {
3620       rlp.rlim_cur = rlp.rlim_max = 256;
3621       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3622         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3623           strerror(errno));
3624       }
3625     }
3626   #endif
3627
3628   #ifdef RLIMIT_NPROC
3629   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3630     {
3631     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3632       strerror(errno));
3633     rlp.rlim_cur = rlp.rlim_max = 0;
3634     }
3635
3636   #ifdef RLIM_INFINITY
3637   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3638     {
3639     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3640   #else
3641   if (rlp.rlim_cur < 1000)
3642     {
3643     rlp.rlim_cur = rlp.rlim_max = 1000;
3644   #endif
3645     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3646       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3647         strerror(errno));
3648     }
3649   #endif
3650   }
3651
3652 /* Exim is normally entered as root (but some special configurations are
3653 possible that don't do this). However, it always spins off sub-processes that
3654 set their uid and gid as required for local delivery. We don't want to pass on
3655 any extra groups that root may belong to, so we want to get rid of them all at
3656 this point.
3657
3658 We need to obey setgroups() at this stage, before possibly giving up root
3659 privilege for a changed configuration file, but later on we might need to
3660 check on the additional groups for the admin user privilege - can't do that
3661 till after reading the config, which might specify the exim gid. Therefore,
3662 save the group list here first. */
3663
3664 group_count = getgroups(NGROUPS_MAX, group_list);
3665 if (group_count < 0)
3666   {
3667   fprintf(stderr, "exim: getgroups() failed: %s\n", strerror(errno));
3668   exit(EXIT_FAILURE);
3669   }
3670
3671 /* There is a fundamental difference in some BSD systems in the matter of
3672 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3673 known not to be different. On the "different" systems there is a single group
3674 list, and the first entry in it is the current group. On all other versions of
3675 Unix there is a supplementary group list, which is in *addition* to the current
3676 group. Consequently, to get rid of all extraneous groups on a "standard" system
3677 you pass over 0 groups to setgroups(), while on a "different" system you pass
3678 over a single group - the current group, which is always the first group in the
3679 list. Calling setgroups() with zero groups on a "different" system results in
3680 an error return. The following code should cope with both types of system.
3681
3682 However, if this process isn't running as root, setgroups() can't be used
3683 since you have to be root to run it, even if throwing away groups. Not being
3684 root here happens only in some unusual configurations. We just ignore the
3685 error. */
3686
3687 if (setgroups(0, NULL) != 0)
3688   {
3689   if (setgroups(1, group_list) != 0 && !unprivileged)
3690     {
3691     fprintf(stderr, "exim: setgroups() failed: %s\n", strerror(errno));
3692     exit(EXIT_FAILURE);
3693     }
3694   }
3695
3696 /* If the configuration file name has been altered by an argument on the
3697 command line (either a new file name or a macro definition) and the caller is
3698 not root, or if this is a filter testing run, remove any setuid privilege the
3699 program has and run as the underlying user.
3700
3701 The exim user is locked out of this, which severely restricts the use of -C
3702 for some purposes.
3703
3704 Otherwise, set the real ids to the effective values (should be root unless run
3705 from inetd, which it can either be root or the exim uid, if one is configured).
3706
3707 There is a private mechanism for bypassing some of this, in order to make it
3708 possible to test lots of configurations automatically, without having either to
3709 recompile each time, or to patch in an actual configuration file name and other
3710 values (such as the path name). If running in the test harness, pretend that
3711 configuration file changes and macro definitions haven't happened. */
3712
3713 if ((                                            /* EITHER */
3714     (!trusted_config ||                          /* Config changed, or */
3715      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3716     real_uid != root_uid &&                      /* Not root, and */
3717     !running_in_test_harness                     /* Not fudged */
3718     ) ||                                         /*   OR   */
3719     expansion_test                               /* expansion testing */
3720     ||                                           /*   OR   */
3721     filter_test != FTEST_NONE)                   /* Filter testing */
3722   {
3723   setgroups(group_count, group_list);
3724   exim_setugid(real_uid, real_gid, FALSE,
3725     US"-C, -D, -be or -bf forces real uid");
3726   removed_privilege = TRUE;
3727
3728   /* In the normal case when Exim is called like this, stderr is available
3729   and should be used for any logging information because attempts to write
3730   to the log will usually fail. To arrange this, we unset really_exim. However,
3731   if no stderr is available there is no point - we might as well have a go
3732   at the log (if it fails, syslog will be written).
3733
3734   Note that if the invoker is Exim, the logs remain available. Messing with
3735   this causes unlogged successful deliveries.  */
3736
3737   if ((log_stderr != NULL) && (real_uid != exim_uid))
3738     really_exim = FALSE;
3739   }
3740
3741 /* Privilege is to be retained for the moment. It may be dropped later,
3742 depending on the job that this Exim process has been asked to do. For now, set
3743 the real uid to the effective so that subsequent re-execs of Exim are done by a
3744 privileged user. */
3745
3746 else exim_setugid(geteuid(), getegid(), FALSE, US"forcing real = effective");
3747
3748 /* If testing a filter, open the file(s) now, before wasting time doing other
3749 setups and reading the message. */
3750
3751 if ((filter_test & FTEST_SYSTEM) != 0)
3752   {
3753   filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0);
3754   if (filter_sfd < 0)
3755     {
3756     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_sfile,
3757       strerror(errno));
3758     return EXIT_FAILURE;
3759     }
3760   }
3761
3762 if ((filter_test & FTEST_USER) != 0)
3763   {
3764   filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0);
3765   if (filter_ufd < 0)
3766     {
3767     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_ufile,
3768       strerror(errno));
3769     return EXIT_FAILURE;
3770     }
3771   }
3772
3773 /* Initialise lookup_list
3774 If debugging, already called above via version reporting.
3775 In either case, we initialise the list of available lookups while running
3776 as root.  All dynamically modules are loaded from a directory which is
3777 hard-coded into the binary and is code which, if not a module, would be
3778 part of Exim already.  Ability to modify the content of the directory
3779 is equivalent to the ability to modify a setuid binary!
3780
3781 This needs to happen before we read the main configuration. */
3782 init_lookup_list();
3783
3784 #ifdef SUPPORT_I18N
3785 if (running_in_test_harness) smtputf8_advertise_hosts = NULL;
3786 #endif
3787
3788 /* Read the main runtime configuration data; this gives up if there
3789 is a failure. It leaves the configuration file open so that the subsequent
3790 configuration data for delivery can be read if needed.
3791
3792 NOTE: immediatly after opening the configuration file we change the working
3793 directory to "/"! Later we change to $spool_directory. We do it there, because
3794 during readconf_main() some expansion takes place already. */
3795
3796 /* Store the initial cwd before we change directories */
3797 if ((initial_cwd = os_getcwd(NULL, 0)) == NULL)
3798   {
3799   perror("exim: can't get the current working directory");
3800   exit(EXIT_FAILURE);
3801   }
3802
3803 /* checking:
3804     -be[m] expansion test        -
3805     -b[fF] filter test           new
3806     -bh[c] host test             -
3807     -bmalware malware_test_file  new
3808     -brt   retry test            new
3809     -brw   rewrite test          new
3810     -bt    address test          -
3811     -bv[s] address verify        -
3812    list_options:
3813     -bP <option> (except -bP config, which sets list_config)
3814
3815 If any of these options is set, we suppress warnings about configuration
3816 issues (currently about tls_advertise_hosts and keep_environment not being
3817 defined) */
3818
3819 readconf_main(checking || list_options);
3820
3821 if (builtin_macros_create_trigger) DEBUG(D_any)
3822   debug_printf("Builtin macros created (expensive) due to config line '%.*s'\n",
3823     Ustrlen(builtin_macros_create_trigger)-1, builtin_macros_create_trigger);
3824
3825 /* Now in directory "/" */
3826
3827 if (cleanup_environment() == FALSE)
3828   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3829
3830
3831 /* If an action on specific messages is requested, or if a daemon or queue
3832 runner is being started, we need to know if Exim was called by an admin user.
3833 This is the case if the real user is root or exim, or if the real group is
3834 exim, or if one of the supplementary groups is exim or a group listed in
3835 admin_groups. We don't fail all message actions immediately if not admin_user,
3836 since some actions can be performed by non-admin users. Instead, set admin_user
3837 for later interrogation. */
3838
3839 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3840   admin_user = TRUE;
3841 else
3842   {
3843   int i, j;
3844   for (i = 0; i < group_count && !admin_user; i++)
3845     if (group_list[i] == exim_gid)
3846       admin_user = TRUE;
3847     else if (admin_groups)
3848       for (j = 1; j <= (int)admin_groups[0] && !admin_user; j++)
3849         if (admin_groups[j] == group_list[i])
3850           admin_user = TRUE;
3851   }
3852
3853 /* Another group of privileged users are the trusted users. These are root,
3854 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3855 are permitted to specify sender_addresses with -f on the command line, and
3856 other message parameters as well. */
3857
3858 if (real_uid == root_uid || real_uid == exim_uid)
3859   trusted_caller = TRUE;
3860 else
3861   {
3862   int i, j;
3863
3864   if (trusted_users)
3865     for (i = 1; i <= (int)trusted_users[0] && !trusted_caller; i++)
3866       if (trusted_users[i] == real_uid)
3867         trusted_caller = TRUE;
3868
3869   if (trusted_groups)
3870     for (i = 1; i <= (int)trusted_groups[0] && !trusted_caller; i++)
3871       if (trusted_groups[i] == real_gid)
3872         trusted_caller = TRUE;
3873       else for (j = 0; j < group_count && !trusted_caller; j++)
3874         if (trusted_groups[i] == group_list[j])
3875           trusted_caller = TRUE;
3876   }
3877
3878 /* At this point, we know if the user is privileged and some command-line
3879 options become possibly imperssible, depending upon the configuration file. */
3880
3881 if (checking && commandline_checks_require_admin && !admin_user) {
3882   fprintf(stderr, "exim: those command-line flags are set to require admin\n");
3883   exit(EXIT_FAILURE);
3884 }
3885
3886 /* Handle the decoding of logging options. */
3887
3888 decode_bits(log_selector, log_selector_size, log_notall,
3889   log_selector_string, log_options, log_options_count, US"log", 0);
3890
3891 DEBUG(D_any)
3892   {
3893   int i;
3894   debug_printf("configuration file is %s\n", config_main_filename);
3895   debug_printf("log selectors =");
3896   for (i = 0; i < log_selector_size; i++)
3897     debug_printf(" %08x", log_selector[i]);
3898   debug_printf("\n");
3899   }
3900
3901 /* If domain literals are not allowed, check the sender address that was
3902 supplied with -f. Ditto for a stripped trailing dot. */
3903
3904 if (sender_address != NULL)
3905   {
3906   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3907     {
3908     fprintf(stderr, "exim: bad -f address \"%s\": domain literals not "
3909       "allowed\n", sender_address);
3910     return EXIT_FAILURE;
3911     }
3912   if (f_end_dot && !strip_trailing_dot)
3913     {
3914     fprintf(stderr, "exim: bad -f address \"%s.\": domain is malformed "
3915       "(trailing dot not allowed)\n", sender_address);
3916     return EXIT_FAILURE;
3917     }
3918   }
3919
3920 /* See if an admin user overrode our logging. */
3921
3922 if (cmdline_syslog_name != NULL)
3923   {
3924   if (admin_user)
3925     {
3926     syslog_processname = cmdline_syslog_name;
3927     log_file_path = string_copy(CUS"syslog");
3928     }
3929   else
3930     {
3931     /* not a panic, non-privileged users should not be able to spam paniclog */
3932     fprintf(stderr,
3933         "exim: you lack sufficient privilege to specify syslog process name\n");
3934     return EXIT_FAILURE;
3935     }
3936   }
3937
3938 /* Paranoia check of maximum lengths of certain strings. There is a check
3939 on the length of the log file path in log.c, which will come into effect
3940 if there are any calls to write the log earlier than this. However, if we
3941 get this far but the string is very long, it is better to stop now than to
3942 carry on and (e.g.) receive a message and then have to collapse. The call to
3943 log_write() from here will cause the ultimate panic collapse if the complete
3944 file name exceeds the buffer length. */
3945
3946 if (Ustrlen(log_file_path) > 200)
3947   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3948     "log_file_path is longer than 200 chars: aborting");
3949
3950 if (Ustrlen(pid_file_path) > 200)
3951   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3952     "pid_file_path is longer than 200 chars: aborting");
3953
3954 if (Ustrlen(spool_directory) > 200)
3955   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3956     "spool_directory is longer than 200 chars: aborting");
3957
3958 /* Length check on the process name given to syslog for its TAG field,
3959 which is only permitted to be 32 characters or less. See RFC 3164. */
3960
3961 if (Ustrlen(syslog_processname) > 32)
3962   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3963     "syslog_processname is longer than 32 chars: aborting");
3964
3965 if (log_oneline)
3966   if (admin_user)
3967     {
3968     log_write(0, LOG_MAIN, "%s", log_oneline);
3969     return EXIT_SUCCESS;
3970     }
3971   else
3972     return EXIT_FAILURE;
3973
3974 /* In some operating systems, the environment variable TMPDIR controls where
3975 temporary files are created; Exim doesn't use these (apart from when delivering
3976 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3977 If TMPDIR is found in the environment, reset it to the value defined in the
3978 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
3979 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
3980 EXIM_TMPDIR by the build scripts.
3981 */
3982
3983 #ifdef EXIM_TMPDIR
3984   {
3985   uschar **p;
3986   if (environ) for (p = USS environ; *p; p++)
3987     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
3988       {
3989       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
3990       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
3991       *p = newp;
3992       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
3993       }
3994   }
3995 #endif
3996
3997 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3998 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
3999 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4000 called by a user who has set the TZ variable. This then affects the timestamps
4001 in log files and in Received: headers, and any created Date: header lines. The
4002 required timezone is settable in the configuration file, so nothing can be done
4003 about this earlier - but hopefully nothing will normally be logged earlier than
4004 this. We have to make a new environment if TZ is wrong, but don't bother if
4005 timestamps_utc is set, because then all times are in UTC anyway. */
4006
4007 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4008   timestamps_utc = TRUE;
4009 else
4010   {
4011   uschar *envtz = US getenv("TZ");
4012   if (envtz
4013       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4014       : timezone_string != NULL
4015      )
4016     {
4017     uschar **p = USS environ;
4018     uschar **new;
4019     uschar **newp;
4020     int count = 0;
4021     if (environ) while (*p++) count++;
4022     if (!envtz) count++;
4023     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4024     if (environ) for (p = USS environ; *p; p++)
4025       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4026     if (timezone_string)
4027       {
4028       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4029       sprintf(CS *newp++, "TZ=%s", timezone_string);
4030       }
4031     *newp = NULL;
4032     environ = CSS new;
4033     tzset();
4034     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4035       tod_stamp(tod_log));
4036     }
4037   }
4038
4039 /* Handle the case when we have removed the setuid privilege because of -C or
4040 -D. This means that the caller of Exim was not root.
4041
4042 There is a problem if we were running as the Exim user. The sysadmin may
4043 expect this case to retain privilege because "the binary was called by the
4044 Exim user", but it hasn't, because either the -D option set macros, or the
4045 -C option set a non-trusted configuration file. There are two possibilities:
4046
4047   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4048       to do message deliveries. Thus, the fact that it is running as a
4049       non-privileged user is plausible, and might be wanted in some special
4050       configurations. However, really_exim will have been set false when
4051       privilege was dropped, to stop Exim trying to write to its normal log
4052       files. Therefore, re-enable normal log processing, assuming the sysadmin
4053       has set up the log directory correctly.
4054
4055   (2) If deliver_drop_privilege is not set, the configuration won't work as
4056       apparently intended, and so we log a panic message. In order to retain
4057       root for -C or -D, the caller must either be root or be invoking a
4058       trusted configuration file (when deliver_drop_privilege is false). */
4059
4060 if (  removed_privilege
4061    && (!trusted_config || opt_D_used)
4062    && real_uid == exim_uid)
4063   if (deliver_drop_privilege)
4064     really_exim = TRUE; /* let logging work normally */
4065   else
4066     log_write(0, LOG_MAIN|LOG_PANIC,
4067       "exim user lost privilege for using %s option",
4068       trusted_config? "-D" : "-C");
4069
4070 /* Start up Perl interpreter if Perl support is configured and there is a
4071 perl_startup option, and the configuration or the command line specifies
4072 initializing starting. Note that the global variables are actually called
4073 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4074
4075 #ifdef EXIM_PERL
4076 if (perl_start_option != 0)
4077   opt_perl_at_start = (perl_start_option > 0);
4078 if (opt_perl_at_start && opt_perl_startup != NULL)
4079   {
4080   uschar *errstr;
4081   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4082   errstr = init_perl(opt_perl_startup);
4083   if (errstr != NULL)
4084     {
4085     fprintf(stderr, "exim: error in perl_startup code: %s\n", errstr);
4086     return EXIT_FAILURE;
4087     }
4088   opt_perl_started = TRUE;
4089   }
4090 #endif /* EXIM_PERL */
4091
4092 /* Log the arguments of the call if the configuration file said so. This is
4093 a debugging feature for finding out what arguments certain MUAs actually use.
4094 Don't attempt it if logging is disabled, or if listing variables or if
4095 verifying/testing addresses or expansions. */
4096
4097 if (((debug_selector & D_any) != 0 || LOGGING(arguments))
4098       && really_exim && !list_options && !checking)
4099   {
4100   int i;
4101   uschar *p = big_buffer;
4102   Ustrcpy(p, "cwd= (failed)");
4103
4104   Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4105
4106   while (*p) p++;
4107   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4108   while (*p) p++;
4109   for (i = 0; i < argc; i++)
4110     {
4111     int len = Ustrlen(argv[i]);
4112     const uschar *printing;
4113     uschar *quote;
4114     if (p + len + 8 >= big_buffer + big_buffer_size)
4115       {
4116       Ustrcpy(p, " ...");
4117       log_write(0, LOG_MAIN, "%s", big_buffer);
4118       Ustrcpy(big_buffer, "...");
4119       p = big_buffer + 3;
4120       }
4121     printing = string_printing(argv[i]);
4122     if (printing[0] == 0) quote = US"\""; else
4123       {
4124       const uschar *pp = printing;
4125       quote = US"";
4126       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
4127       }
4128     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4129       (p - big_buffer) - 4), printing, quote);
4130     }
4131
4132   if (LOGGING(arguments))
4133     log_write(0, LOG_MAIN, "%s", big_buffer);
4134   else
4135     debug_printf("%s\n", big_buffer);
4136   }
4137
4138 /* Set the working directory to be the top-level spool directory. We don't rely
4139 on this in the code, which always uses fully qualified names, but it's useful
4140 for core dumps etc. Don't complain if it fails - the spool directory might not
4141 be generally accessible and calls with the -C option (and others) have lost
4142 privilege by now. Before the chdir, we try to ensure that the directory exists.
4143 */
4144
4145 if (Uchdir(spool_directory) != 0)
4146   {
4147   int dummy;
4148   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4149   dummy = /* quieten compiler */ Uchdir(spool_directory);
4150   dummy = dummy;        /* yet more compiler quietening, sigh */
4151   }
4152
4153 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4154 alias file. Exim doesn't have such a concept, but this call is screwed into
4155 Sun's YP makefiles. Handle this by calling a configured script, as the real
4156 user who called Exim. The -oA option can be used to pass an argument to the
4157 script. */
4158
4159 if (bi_option)
4160   {
4161   (void)fclose(config_file);
4162   if (bi_command != NULL)
4163     {
4164     int i = 0;
4165     uschar *argv[3];
4166     argv[i++] = bi_command;
4167     if (alias_arg != NULL) argv[i++] = alias_arg;
4168     argv[i++] = NULL;
4169
4170     setgroups(group_count, group_list);
4171     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4172
4173     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
4174       (argv[1] == NULL)? US"" : argv[1]);
4175
4176     execv(CS argv[0], (char *const *)argv);
4177     fprintf(stderr, "exim: exec failed: %s\n", strerror(errno));
4178     exit(EXIT_FAILURE);
4179     }
4180   else
4181     {
4182     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4183     exit(EXIT_SUCCESS);
4184     }
4185   }
4186
4187 /* We moved the admin/trusted check to be immediately after reading the
4188 configuration file.  We leave these prints here to ensure that syslog setup,
4189 logfile setup, and so on has already happened. */
4190
4191 if (trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4192 if (admin_user) DEBUG(D_any) debug_printf("admin user\n");
4193
4194 /* Only an admin user may start the daemon or force a queue run in the default
4195 configuration, but the queue run restriction can be relaxed. Only an admin
4196 user may request that a message be returned to its sender forthwith. Only an
4197 admin user may specify a debug level greater than D_v (because it might show
4198 passwords, etc. in lookup queries). Only an admin user may request a queue
4199 count. Only an admin user can use the test interface to scan for email
4200 (because Exim will be in the spool dir and able to look at mails). */
4201
4202 if (!admin_user)
4203   {
4204   BOOL debugset = (debug_selector & ~D_v) != 0;
4205   if (deliver_give_up || daemon_listen || malware_test_file ||
4206      (count_queue && queue_list_requires_admin) ||
4207      (list_queue && queue_list_requires_admin) ||
4208      (queue_interval >= 0 && prod_requires_admin) ||
4209      (debugset && !running_in_test_harness))
4210     {
4211     fprintf(stderr, "exim:%s permission denied\n", debugset? " debugging" : "");
4212     exit(EXIT_FAILURE);
4213     }
4214   }
4215
4216 /* If the real user is not root or the exim uid, the argument for passing
4217 in an open TCP/IP connection for another message is not permitted, nor is
4218 running with the -N option for any delivery action, unless this call to exim is
4219 one that supplied an input message, or we are using a patched exim for
4220 regression testing. */
4221
4222 if (real_uid != root_uid && real_uid != exim_uid &&
4223      (continue_hostname != NULL ||
4224        (dont_deliver &&
4225          (queue_interval >= 0 || daemon_listen || msg_action_arg > 0)
4226        )) && !running_in_test_harness)
4227   {
4228   fprintf(stderr, "exim: Permission denied\n");
4229   return EXIT_FAILURE;
4230   }
4231
4232 /* If the caller is not trusted, certain arguments are ignored when running for
4233 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4234 Note that authority for performing certain actions on messages is tested in the
4235 queue_action() function. */
4236
4237 if (!trusted_caller && !checking)
4238   {
4239   sender_host_name = sender_host_address = interface_address =
4240     sender_ident = received_protocol = NULL;
4241   sender_host_port = interface_port = 0;
4242   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4243   }
4244
4245 /* If a sender host address is set, extract the optional port number off the
4246 end of it and check its syntax. Do the same thing for the interface address.
4247 Exim exits if the syntax is bad. */
4248
4249 else
4250   {
4251   if (sender_host_address != NULL)
4252     sender_host_port = check_port(sender_host_address);
4253   if (interface_address != NULL)
4254     interface_port = check_port(interface_address);
4255   }
4256
4257 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4258 if (flag_G)
4259   {
4260   if (trusted_caller)
4261     {
4262     suppress_local_fixups = suppress_local_fixups_default = TRUE;
4263     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4264     }
4265   else
4266     {
4267     fprintf(stderr, "exim: permission denied (-G requires a trusted user)\n");
4268     return EXIT_FAILURE;
4269     }
4270   }
4271
4272 /* If an SMTP message is being received check to see if the standard input is a
4273 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4274 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4275 barf. */
4276
4277 if (smtp_input)
4278   {
4279   union sockaddr_46 inetd_sock;
4280   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4281   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4282     {
4283     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4284     if (family == AF_INET || family == AF_INET6)
4285       {
4286       union sockaddr_46 interface_sock;
4287       size = sizeof(interface_sock);
4288
4289       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4290         interface_address = host_ntoa(-1, &interface_sock, NULL,
4291           &interface_port);
4292
4293       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4294
4295       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4296         {
4297         is_inetd = TRUE;
4298         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4299           NULL, &sender_host_port);
4300         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4301           "inetd is not supported when mua_wrapper is set");
4302         }
4303       else
4304         {
4305         fprintf(stderr,
4306           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4307         return EXIT_FAILURE;
4308         }
4309       }
4310     }
4311   }
4312
4313 /* If the load average is going to be needed while receiving a message, get it
4314 now for those OS that require the first call to os_getloadavg() to be done as
4315 root. There will be further calls later for each message received. */
4316
4317 #ifdef LOAD_AVG_NEEDS_ROOT
4318 if (receiving_message &&
4319       (queue_only_load >= 0 ||
4320         (is_inetd && smtp_load_reserve >= 0)
4321       ))
4322   {
4323   load_average = OS_GETLOADAVG();
4324   }
4325 #endif
4326
4327 /* The queue_only configuration option can be overridden by -odx on the command
4328 line, except that if queue_only_override is false, queue_only cannot be unset
4329 from the command line. */
4330
4331 if (queue_only_set && (queue_only_override || arg_queue_only))
4332   queue_only = arg_queue_only;
4333
4334 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4335 -or and -os. */
4336
4337 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4338 if (arg_smtp_receive_timeout >= 0)
4339   smtp_receive_timeout = arg_smtp_receive_timeout;
4340
4341 /* If Exim was started with root privilege, unless we have already removed the
4342 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4343 except when starting the daemon or doing some kind of delivery or address
4344 testing (-bt). These are the only cases when root need to be retained. We run
4345 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4346 retained only for starting the daemon. We always do the initgroups() in this
4347 situation (controlled by the TRUE below), in order to be as close as possible
4348 to the state Exim usually runs in. */
4349
4350 if (!unprivileged &&                      /* originally had root AND */
4351     !removed_privilege &&                 /* still got root AND      */
4352     !daemon_listen &&                     /* not starting the daemon */
4353     queue_interval <= 0 &&                /* (either kind of daemon) */
4354       (                                   /*    AND EITHER           */
4355       deliver_drop_privilege ||           /* requested unprivileged  */
4356         (                                 /*       OR                */
4357         queue_interval < 0 &&             /* not running the queue   */
4358         (msg_action_arg < 0 ||            /*       and               */
4359           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4360         (!checking || !address_test_mode) /* not address checking    */
4361    )  ) )
4362   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4363
4364 /* When we are retaining a privileged uid, we still change to the exim gid. */
4365
4366 else
4367   {
4368   int rv;
4369   rv = setgid(exim_gid);
4370   /* Impact of failure is that some stuff might end up with an incorrect group.
4371   We track this for failures from root, since any attempt to change privilege
4372   by root should succeed and failures should be examined.  For non-root,
4373   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4374   no need to complain then. */
4375   if (rv == -1)
4376     if (!(unprivileged || removed_privilege))
4377       {
4378       fprintf(stderr,
4379           "exim: changing group failed: %s\n", strerror(errno));
4380       exit(EXIT_FAILURE);
4381       }
4382     else
4383       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4384           (long int)exim_gid, strerror(errno));
4385   }
4386
4387 /* Handle a request to scan a file for malware */
4388 if (malware_test_file)
4389   {
4390 #ifdef WITH_CONTENT_SCAN
4391   int result;
4392   set_process_info("scanning file for malware");
4393   result = malware_in_file(malware_test_file);
4394   if (result == FAIL)
4395     {
4396     printf("No malware found.\n");
4397     exit(EXIT_SUCCESS);
4398     }
4399   if (result != OK)
4400     {
4401     printf("Malware lookup returned non-okay/fail: %d\n", result);
4402     exit(EXIT_FAILURE);
4403     }
4404   if (malware_name)
4405     printf("Malware found: %s\n", malware_name);
4406   else
4407     printf("Malware scan detected malware of unknown name.\n");
4408 #else
4409   printf("Malware scanning not enabled at compile time.\n");
4410 #endif
4411   exit(EXIT_FAILURE);
4412   }
4413
4414 /* Handle a request to list the delivery queue */
4415
4416 if (list_queue)
4417   {
4418   set_process_info("listing the queue");
4419   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4420   exit(EXIT_SUCCESS);
4421   }
4422
4423 /* Handle a request to count the delivery queue */
4424
4425 if (count_queue)
4426   {
4427   set_process_info("counting the queue");
4428   queue_count();
4429   exit(EXIT_SUCCESS);
4430   }
4431
4432 /* Handle actions on specific messages, except for the force delivery and
4433 message load actions, which are done below. Some actions take a whole list of
4434 message ids, which are known to continue up to the end of the arguments. Others
4435 take a single message id and then operate on the recipients list. */
4436
4437 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4438   {
4439   int yield = EXIT_SUCCESS;
4440   set_process_info("acting on specified messages");
4441
4442   if (!one_msg_action)
4443     {
4444     for (i = msg_action_arg; i < argc; i++)
4445       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4446         yield = EXIT_FAILURE;
4447     }
4448
4449   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4450     recipients_arg)) yield = EXIT_FAILURE;
4451   exit(yield);
4452   }
4453
4454 /* We used to set up here to skip reading the ACL section, on
4455  (msg_action_arg > 0 || (queue_interval == 0 && !daemon_listen)
4456 Now, since the intro of the ${acl } expansion, ACL definitions may be
4457 needed in transports so we lost the optimisation. */
4458
4459 readconf_rest();
4460
4461 /* The configuration data will have been read into POOL_PERM because we won't
4462 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4463 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4464 configuration were read into POOL_MAIN, because we don't do any resets till
4465 later on. However, it seems right, and it does ensure that both pools get used.
4466 */
4467
4468 store_pool = POOL_MAIN;
4469
4470 /* Handle the -brt option. This is for checking out retry configurations.
4471 The next three arguments are a domain name or a complete address, and
4472 optionally two error numbers. All it does is to call the function that
4473 scans the retry configuration data. */
4474
4475 if (test_retry_arg >= 0)
4476   {
4477   retry_config *yield;
4478   int basic_errno = 0;
4479   int more_errno = 0;
4480   uschar *s1, *s2;
4481
4482   if (test_retry_arg >= argc)
4483     {
4484     printf("-brt needs a domain or address argument\n");
4485     exim_exit(EXIT_FAILURE, US"main");
4486     }
4487   s1 = argv[test_retry_arg++];
4488   s2 = NULL;
4489
4490   /* If the first argument contains no @ and no . it might be a local user
4491   or it might be a single-component name. Treat as a domain. */
4492
4493   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4494     {
4495     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4496       "being \ntreated as a one-component domain, not as a local part.\n\n",
4497       s1);
4498     }
4499
4500   /* There may be an optional second domain arg. */
4501
4502   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4503     s2 = argv[test_retry_arg++];
4504
4505   /* The final arg is an error name */
4506
4507   if (test_retry_arg < argc)
4508     {
4509     uschar *ss = argv[test_retry_arg];
4510     uschar *error =
4511       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4512     if (error != NULL)
4513       {
4514       printf("%s\n", CS error);
4515       return EXIT_FAILURE;
4516       }
4517
4518     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4519     code > 100 as an error is for matching codes to the decade. Turn them into
4520     a real error code, off the decade. */
4521
4522     if (basic_errno == ERRNO_MAIL4XX ||
4523         basic_errno == ERRNO_RCPT4XX ||
4524         basic_errno == ERRNO_DATA4XX)
4525       {
4526       int code = (more_errno >> 8) & 255;
4527       if (code == 255)
4528         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4529       else if (code > 100)
4530         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4531       }
4532     }
4533
4534   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4535     printf("No retry information found\n");
4536   else
4537     {
4538     retry_rule *r;
4539     more_errno = yield->more_errno;
4540     printf("Retry rule: %s  ", yield->pattern);
4541
4542     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4543       {
4544       printf("quota%s%s  ",
4545         (more_errno > 0)? "_" : "",
4546         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4547       }
4548     else if (yield->basic_errno == ECONNREFUSED)
4549       {
4550       printf("refused%s%s  ",
4551         (more_errno > 0)? "_" : "",
4552         (more_errno == 'M')? "MX" :
4553         (more_errno == 'A')? "A" : "");
4554       }
4555     else if (yield->basic_errno == ETIMEDOUT)
4556       {
4557       printf("timeout");
4558       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4559       more_errno &= 255;
4560       if (more_errno != 0) printf("_%s",
4561         (more_errno == 'M')? "MX" : "A");
4562       printf("  ");
4563       }
4564     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4565       printf("auth_failed  ");
4566     else printf("*  ");
4567
4568     for (r = yield->rules; r; r = r->next)
4569       {
4570       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4571       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4572       if (r->rule == 'G')
4573         {
4574         int x = r->p2;
4575         int f = x % 1000;
4576         int d = 100;
4577         printf(",%d.", x/1000);
4578         do
4579           {
4580           printf("%d", f/d);
4581           f %= d;
4582           d /= 10;
4583           }
4584         while (f != 0);
4585         }
4586       printf("; ");
4587       }
4588
4589     printf("\n");
4590     }
4591   exim_exit(EXIT_SUCCESS, US"main");
4592   }
4593
4594 /* Handle a request to list one or more configuration options */
4595 /* If -n was set, we suppress some information */
4596
4597 if (list_options)
4598   {
4599   set_process_info("listing variables");
4600   if (recipients_arg >= argc) readconf_print(US"all", NULL, flag_n);
4601     else for (i = recipients_arg; i < argc; i++)
4602       {
4603       if (i < argc - 1 &&
4604           (Ustrcmp(argv[i], "router") == 0 ||
4605            Ustrcmp(argv[i], "transport") == 0 ||
4606            Ustrcmp(argv[i], "authenticator") == 0 ||
4607            Ustrcmp(argv[i], "macro") == 0 ||
4608            Ustrcmp(argv[i], "environment") == 0))
4609         {
4610         readconf_print(argv[i+1], argv[i], flag_n);
4611         i++;
4612         }
4613       else readconf_print(argv[i], NULL, flag_n);
4614       }
4615   exim_exit(EXIT_SUCCESS, US"main");
4616   }
4617
4618 if (list_config)
4619   {
4620   set_process_info("listing config");
4621   readconf_print(US"config", NULL, flag_n);
4622   exim_exit(EXIT_SUCCESS, US"main");
4623   }
4624
4625
4626 /* Initialise subsystems as required */
4627 #ifndef DISABLE_DKIM
4628 dkim_exim_init();
4629 #endif
4630 deliver_init();
4631
4632
4633 /* Handle a request to deliver one or more messages that are already on the
4634 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4635 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4636
4637 Delivery of specific messages is typically used for a small number when
4638 prodding by hand (when the option forced_delivery will be set) or when
4639 re-execing to regain root privilege. Each message delivery must happen in a
4640 separate process, so we fork a process for each one, and run them sequentially
4641 so that debugging output doesn't get intertwined, and to avoid spawning too
4642 many processes if a long list is given. However, don't fork for the last one;
4643 this saves a process in the common case when Exim is called to deliver just one
4644 message. */
4645
4646 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4647   {
4648   if (prod_requires_admin && !admin_user)
4649     {
4650     fprintf(stderr, "exim: Permission denied\n");
4651     exim_exit(EXIT_FAILURE, US"main");
4652     }
4653   set_process_info("delivering specified messages");
4654   if (deliver_give_up) forced_delivery = deliver_force_thaw = TRUE;
4655   for (i = msg_action_arg; i < argc; i++)
4656     {
4657     int status;
4658     pid_t pid;
4659     if (i == argc - 1)
4660       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4661     else if ((pid = fork()) == 0)
4662       {
4663       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4664       _exit(EXIT_SUCCESS);
4665       }
4666     else if (pid < 0)
4667       {
4668       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4669         strerror(errno));
4670       exim_exit(EXIT_FAILURE, US"main");
4671       }
4672     else wait(&status);
4673     }
4674   exim_exit(EXIT_SUCCESS, US"main");
4675   }
4676
4677
4678 /* If only a single queue run is requested, without SMTP listening, we can just
4679 turn into a queue runner, with an optional starting message id. */
4680
4681 if (queue_interval == 0 && !daemon_listen)
4682   {
4683   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4684     (start_queue_run_id == NULL)? US"" : US" starting at ",
4685     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4686     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4687     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4688   if (*queue_name)
4689     set_process_info("running the '%s' queue (single queue run)", queue_name);
4690   else
4691     set_process_info("running the queue (single queue run)");
4692   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4693   exim_exit(EXIT_SUCCESS, US"main");
4694   }
4695
4696
4697 /* Find the login name of the real user running this process. This is always
4698 needed when receiving a message, because it is written into the spool file. It
4699 may also be used to construct a from: or a sender: header, and in this case we
4700 need the user's full name as well, so save a copy of it, checked for RFC822
4701 syntax and munged if necessary, if it hasn't previously been set by the -F
4702 argument. We may try to get the passwd entry more than once, in case NIS or
4703 other delays are in evidence. Save the home directory for use in filter testing
4704 (only). */
4705
4706 for (i = 0;;)
4707   {
4708   if ((pw = getpwuid(real_uid)) != NULL)
4709     {
4710     originator_login = string_copy(US pw->pw_name);
4711     originator_home = string_copy(US pw->pw_dir);
4712
4713     /* If user name has not been set by -F, set it from the passwd entry
4714     unless -f has been used to set the sender address by a trusted user. */
4715
4716     if (!originator_name)
4717       {
4718       if (!sender_address || (!trusted_caller && filter_test == FTEST_NONE))
4719         {
4720         uschar *name = US pw->pw_gecos;
4721         uschar *amp = Ustrchr(name, '&');
4722         uschar buffer[256];
4723
4724         /* Most Unix specify that a '&' character in the gecos field is
4725         replaced by a copy of the login name, and some even specify that
4726         the first character should be upper cased, so that's what we do. */
4727
4728         if (amp)
4729           {
4730           int loffset;
4731           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4732             (int)(amp - name), name, &loffset, originator_login, amp + 1);
4733           buffer[loffset] = toupper(buffer[loffset]);
4734           name = buffer;
4735           }
4736
4737         /* If a pattern for matching the gecos field was supplied, apply
4738         it and then expand the name string. */
4739
4740         if (gecos_pattern && gecos_name)
4741           {
4742           const pcre *re;
4743           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4744
4745           if (regex_match_and_setup(re, name, 0, -1))
4746             {
4747             uschar *new_name = expand_string(gecos_name);
4748             expand_nmax = -1;
4749             if (new_name)
4750               {
4751               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4752                 "gecos field \"%s\"\n", new_name, name);
4753               name = new_name;
4754               }
4755             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4756               "\"%s\": %s\n", gecos_name, expand_string_message);
4757             }
4758           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4759             "gecos field \"%s\"\n", gecos_pattern, name);
4760           store_free((void *)re);
4761           }
4762         originator_name = string_copy(name);
4763         }
4764
4765       /* A trusted caller has used -f but not -F */
4766
4767       else originator_name = US"";
4768       }
4769
4770     /* Break the retry loop */
4771
4772     break;
4773     }
4774
4775   if (++i > finduser_retries) break;
4776   sleep(1);
4777   }
4778
4779 /* If we cannot get a user login, log the incident and give up, unless the
4780 configuration specifies something to use. When running in the test harness,
4781 any setting of unknown_login overrides the actual name. */
4782
4783 if (originator_login == NULL || running_in_test_harness)
4784   {
4785   if (unknown_login != NULL)
4786     {
4787     originator_login = expand_string(unknown_login);
4788     if (originator_name == NULL && unknown_username != NULL)
4789       originator_name = expand_string(unknown_username);
4790     if (originator_name == NULL) originator_name = US"";
4791     }
4792   if (originator_login == NULL)
4793     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4794       (int)real_uid);
4795   }
4796
4797 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4798 RFC822 address.*/
4799
4800 originator_name = string_copy(parse_fix_phrase(originator_name,
4801   Ustrlen(originator_name), big_buffer, big_buffer_size));
4802
4803 /* If a message is created by this call of Exim, the uid/gid of its originator
4804 are those of the caller. These values are overridden if an existing message is
4805 read in from the spool. */
4806
4807 originator_uid = real_uid;
4808 originator_gid = real_gid;
4809
4810 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4811   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4812
4813 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4814 returns. We leave this till here so that the originator_ fields are available
4815 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4816 mode. */
4817
4818 if (daemon_listen || inetd_wait_mode || queue_interval > 0)
4819   {
4820   if (mua_wrapper)
4821     {
4822     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4823     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4824       "mua_wrapper is set");
4825     }
4826   daemon_go();
4827   }
4828
4829 /* If the sender ident has not been set (by a trusted caller) set it to
4830 the caller. This will get overwritten below for an inetd call. If a trusted
4831 caller has set it empty, unset it. */
4832
4833 if (sender_ident == NULL) sender_ident = originator_login;
4834   else if (sender_ident[0] == 0) sender_ident = NULL;
4835
4836 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4837 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4838 originator_* variables set. */
4839
4840 if (test_rewrite_arg >= 0)
4841   {
4842   really_exim = FALSE;
4843   if (test_rewrite_arg >= argc)
4844     {
4845     printf("-brw needs an address argument\n");
4846     exim_exit(EXIT_FAILURE, US"main");
4847     }
4848   rewrite_test(argv[test_rewrite_arg]);
4849   exim_exit(EXIT_SUCCESS, US"main");
4850   }
4851
4852 /* A locally-supplied message is considered to be coming from a local user
4853 unless a trusted caller supplies a sender address with -f, or is passing in the
4854 message via SMTP (inetd invocation or otherwise). */
4855
4856 if ((sender_address == NULL && !smtp_input) ||
4857     (!trusted_caller && filter_test == FTEST_NONE))
4858   {
4859   sender_local = TRUE;
4860
4861   /* A trusted caller can supply authenticated_sender and authenticated_id
4862   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4863   defaults except when host checking. */
4864
4865   if (authenticated_sender == NULL && !host_checking)
4866     authenticated_sender = string_sprintf("%s@%s", originator_login,
4867       qualify_domain_sender);
4868   if (authenticated_id == NULL && !host_checking)
4869     authenticated_id = originator_login;
4870   }
4871
4872 /* Trusted callers are always permitted to specify the sender address.
4873 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4874 is specified is the empty address. However, if a trusted caller does not
4875 specify a sender address for SMTP input, we leave sender_address unset. This
4876 causes the MAIL commands to be honoured. */
4877
4878 if ((!smtp_input && sender_address == NULL) ||
4879     !receive_check_set_sender(sender_address))
4880   {
4881   /* Either the caller is not permitted to set a general sender, or this is
4882   non-SMTP input and the trusted caller has not set a sender. If there is no
4883   sender, or if a sender other than <> is set, override with the originator's
4884   login (which will get qualified below), except when checking things. */
4885
4886   if (sender_address == NULL             /* No sender_address set */
4887        ||                                /*         OR            */
4888        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4889        !checking))                       /* Not running tests, including filter tests */
4890     {
4891     sender_address = originator_login;
4892     sender_address_forced = FALSE;
4893     sender_address_domain = 0;
4894     }
4895   }
4896
4897 /* Remember whether an untrusted caller set the sender address */
4898
4899 sender_set_untrusted = sender_address != originator_login && !trusted_caller;
4900
4901 /* Ensure that the sender address is fully qualified unless it is the empty
4902 address, which indicates an error message, or doesn't exist (root caller, smtp
4903 interface, no -f argument). */
4904
4905 if (sender_address != NULL && sender_address[0] != 0 &&
4906     sender_address_domain == 0)
4907   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4908     qualify_domain_sender);
4909
4910 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4911
4912 /* Handle a request to verify a list of addresses, or test them for delivery.
4913 This must follow the setting of the sender address, since routers can be
4914 predicated upon the sender. If no arguments are given, read addresses from
4915 stdin. Set debug_level to at least D_v to get full output for address testing.
4916 */
4917
4918 if (verify_address_mode || address_test_mode)
4919   {
4920   int exit_value = 0;
4921   int flags = vopt_qualify;
4922
4923   if (verify_address_mode)
4924     {
4925     if (!verify_as_sender) flags |= vopt_is_recipient;
4926     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4927     }
4928
4929   else
4930     {
4931     flags |= vopt_is_recipient;
4932     debug_selector |= D_v;
4933     debug_file = stderr;
4934     debug_fd = fileno(debug_file);
4935     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4936     }
4937
4938   if (recipients_arg < argc)
4939     {
4940     while (recipients_arg < argc)
4941       {
4942       uschar *s = argv[recipients_arg++];
4943       while (*s != 0)
4944         {
4945         BOOL finished = FALSE;
4946         uschar *ss = parse_find_address_end(s, FALSE);
4947         if (*ss == ',') *ss = 0; else finished = TRUE;
4948         test_address(s, flags, &exit_value);
4949         s = ss;
4950         if (!finished)
4951           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4952         }
4953       }
4954     }
4955
4956   else for (;;)
4957     {
4958     uschar *s = get_stdinput(NULL, NULL);
4959     if (s == NULL) break;
4960     test_address(s, flags, &exit_value);
4961     }
4962
4963   route_tidyup();
4964   exim_exit(exit_value, US"main");
4965   }
4966
4967 /* Handle expansion checking. Either expand items on the command line, or read
4968 from stdin if there aren't any. If -Mset was specified, load the message so
4969 that its variables can be used, but restrict this facility to admin users.
4970 Otherwise, if -bem was used, read a message from stdin. */
4971
4972 if (expansion_test)
4973   {
4974   dns_init(FALSE, FALSE, FALSE);
4975   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4976     {
4977     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4978     if (!admin_user)
4979       {
4980       fprintf(stderr, "exim: permission denied\n");
4981       exit(EXIT_FAILURE);
4982       }
4983     message_id = argv[msg_action_arg];
4984     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4985     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
4986       printf ("Failed to load message datafile %s\n", message_id);
4987     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4988       printf ("Failed to load message %s\n", message_id);
4989     }
4990
4991   /* Read a test message from a file. We fudge it up to be on stdin, saving
4992   stdin itself for later reading of expansion strings. */
4993
4994   else if (expansion_test_message != NULL)
4995     {
4996     int save_stdin = dup(0);
4997     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
4998     if (fd < 0)
4999       {
5000       fprintf(stderr, "exim: failed to open %s: %s\n", expansion_test_message,
5001         strerror(errno));
5002       return EXIT_FAILURE;
5003       }
5004     (void) dup2(fd, 0);
5005     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5006     message_ended = END_NOTENDED;
5007     read_message_body(receive_msg(extract_recipients));
5008     message_linecount += body_linecount;
5009     (void)dup2(save_stdin, 0);
5010     (void)close(save_stdin);
5011     clearerr(stdin);               /* Required by Darwin */
5012     }
5013
5014   /* Allow $recipients for this testing */
5015
5016   enable_dollar_recipients = TRUE;
5017
5018   /* Expand command line items */
5019
5020   if (recipients_arg < argc)
5021     {
5022     while (recipients_arg < argc)
5023       {
5024       uschar *s = argv[recipients_arg++];
5025       uschar *ss = expand_string(s);
5026       if (ss == NULL) printf ("Failed: %s\n", expand_string_message);
5027       else printf("%s\n", CS ss);
5028       }
5029     }
5030
5031   /* Read stdin */
5032
5033   else
5034     {
5035     char *(*fn_readline)(const char *) = NULL;
5036     void (*fn_addhist)(const char *) = NULL;
5037
5038     #ifdef USE_READLINE
5039     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5040     #endif
5041
5042     for (;;)
5043       {
5044       uschar *ss;
5045       uschar *source = get_stdinput(fn_readline, fn_addhist);
5046       if (source == NULL) break;
5047       ss = expand_string(source);
5048       if (ss == NULL)
5049         printf ("Failed: %s\n", expand_string_message);
5050       else printf("%s\n", CS ss);
5051       }
5052
5053     #ifdef USE_READLINE
5054     if (dlhandle != NULL) dlclose(dlhandle);
5055     #endif
5056     }
5057
5058   /* The data file will be open after -Mset */
5059
5060   if (deliver_datafile >= 0)
5061     {
5062     (void)close(deliver_datafile);
5063     deliver_datafile = -1;
5064     }
5065
5066   exim_exit(EXIT_SUCCESS, US"main");
5067   }
5068
5069
5070 /* The active host name is normally the primary host name, but it can be varied
5071 for hosts that want to play several parts at once. We need to ensure that it is
5072 set for host checking, and for receiving messages. */
5073
5074 smtp_active_hostname = primary_hostname;
5075 if (raw_active_hostname != NULL)
5076   {
5077   uschar *nah = expand_string(raw_active_hostname);
5078   if (nah == NULL)
5079     {
5080     if (!expand_string_forcedfail)
5081       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5082         "(smtp_active_hostname): %s", raw_active_hostname,
5083         expand_string_message);
5084     }
5085   else if (nah[0] != 0) smtp_active_hostname = nah;
5086   }
5087
5088 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5089 given IP address so that the blocking and relay configuration can be tested.
5090 Unless a sender_ident was set by -oMt, we discard it (the default is the
5091 caller's login name). An RFC 1413 call is made only if we are running in the
5092 test harness and an incoming interface and both ports are specified, because
5093 there is no TCP/IP call to find the ident for. */
5094
5095 if (host_checking)
5096   {
5097   int x[4];
5098   int size;
5099
5100   if (!sender_ident_set)
5101     {
5102     sender_ident = NULL;
5103     if (running_in_test_harness && sender_host_port != 0 &&
5104         interface_address != NULL && interface_port != 0)
5105       verify_get_ident(1413);
5106     }
5107
5108   /* In case the given address is a non-canonical IPv6 address, canonicalize
5109   it. The code works for both IPv4 and IPv6, as it happens. */
5110
5111   size = host_aton(sender_host_address, x);
5112   sender_host_address = store_get(48);  /* large enough for full IPv6 */
5113   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5114
5115   /* Now set up for testing */
5116
5117   host_build_sender_fullhost();
5118   smtp_input = TRUE;
5119   smtp_in = stdin;
5120   smtp_out = stdout;
5121   sender_local = FALSE;
5122   sender_host_notsocket = TRUE;
5123   debug_file = stderr;
5124   debug_fd = fileno(debug_file);
5125   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5126     "**** but without any ident (RFC 1413) callback.\n"
5127     "**** This is not for real!\n\n",
5128       sender_host_address);
5129
5130   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5131   if (verify_check_host(&hosts_connection_nolog) == OK)
5132     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5133   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5134
5135   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5136   because a log line has already been written for all its failure exists
5137   (usually "connection refused: <reason>") and writing another one is
5138   unnecessary clutter. */
5139
5140   if (smtp_start_session())
5141     {
5142     for (reset_point = store_get(0); ; store_reset(reset_point))
5143       {
5144       if (smtp_setup_msg() <= 0) break;
5145       if (!receive_msg(FALSE)) break;
5146
5147       return_path = sender_address = NULL;
5148       dnslist_domain = dnslist_matched = NULL;
5149 #ifndef DISABLE_DKIM
5150       dkim_cur_signer = NULL;
5151 #endif
5152       acl_var_m = NULL;
5153       deliver_localpart_orig = NULL;
5154       deliver_domain_orig = NULL;
5155       callout_address = sending_ip_address = NULL;
5156       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5157       }
5158     smtp_log_no_mail();
5159     }
5160   exim_exit(EXIT_SUCCESS, US"main");
5161   }
5162
5163
5164 /* Arrange for message reception if recipients or SMTP were specified;
5165 otherwise complain unless a version print (-bV) happened or this is a filter
5166 verification test or info dump.
5167 In the former case, show the configuration file name. */
5168
5169 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5170   {
5171   if (version_printed)
5172     {
5173     printf("Configuration file is %s\n", config_main_filename);
5174     return EXIT_SUCCESS;
5175     }
5176
5177   if (info_flag != CMDINFO_NONE)
5178     {
5179     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5180     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5181     }
5182
5183   if (filter_test == FTEST_NONE)
5184     exim_usage(called_as);
5185   }
5186
5187
5188 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5189 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5190 that we are not called from inetd, because that is rejected above. The
5191 following configuration settings are forced here:
5192
5193   (1) Synchronous delivery (-odi)
5194   (2) Errors to stderr (-oep == -oeq)
5195   (3) No parallel remote delivery
5196   (4) Unprivileged delivery
5197
5198 We don't force overall queueing options because there are several of them;
5199 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5200 to override any SMTP queueing. */
5201
5202 if (mua_wrapper)
5203   {
5204   synchronous_delivery = TRUE;
5205   arg_error_handling = ERRORS_STDERR;
5206   remote_max_parallel = 1;
5207   deliver_drop_privilege = TRUE;
5208   queue_smtp = FALSE;
5209   queue_smtp_domains = NULL;
5210 #ifdef SUPPORT_I18N
5211   message_utf8_downconvert = -1;        /* convert-if-needed */
5212 #endif
5213   }
5214
5215
5216 /* Prepare to accept one or more new messages on the standard input. When a
5217 message has been read, its id is returned in message_id[]. If doing immediate
5218 delivery, we fork a delivery process for each received message, except for the
5219 last one, where we can save a process switch.
5220
5221 It is only in non-smtp mode that error_handling is allowed to be changed from
5222 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5223 sendmail error modes other than -oem ever actually used? Later: yes.) */
5224
5225 if (!smtp_input) error_handling = arg_error_handling;
5226
5227 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5228 logging being sent down the socket and make an identd call to get the
5229 sender_ident. */
5230
5231 else if (is_inetd)
5232   {
5233   (void)fclose(stderr);
5234   exim_nullstd();                       /* Re-open to /dev/null */
5235   verify_get_ident(IDENT_PORT);
5236   host_build_sender_fullhost();
5237   set_process_info("handling incoming connection from %s via inetd",
5238     sender_fullhost);
5239   }
5240
5241 /* If the sender host address has been set, build sender_fullhost if it hasn't
5242 already been done (which it will have been for inetd). This caters for the
5243 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5244 so that the test for IP options is skipped for -bs input. */
5245
5246 if (sender_host_address != NULL && sender_fullhost == NULL)
5247   {
5248   host_build_sender_fullhost();
5249   set_process_info("handling incoming connection from %s via -oMa",
5250     sender_fullhost);
5251   sender_host_notsocket = TRUE;
5252   }
5253
5254 /* Otherwise, set the sender host as unknown except for inetd calls. This
5255 prevents host checking in the case of -bs not from inetd and also for -bS. */
5256
5257 else if (!is_inetd) sender_host_unknown = TRUE;
5258
5259 /* If stdout does not exist, then dup stdin to stdout. This can happen
5260 if exim is started from inetd. In this case fd 0 will be set to the socket,
5261 but fd 1 will not be set. This also happens for passed SMTP channels. */
5262
5263 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5264
5265 /* Set up the incoming protocol name and the state of the program. Root is
5266 allowed to force received protocol via the -oMr option above. If we have come
5267 via inetd, the process info has already been set up. We don't set
5268 received_protocol here for smtp input, as it varies according to
5269 batch/HELO/EHLO/AUTH/TLS. */
5270
5271 if (smtp_input)
5272   {
5273   if (!is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5274     smtp_batched_input? "batched " : "",
5275     (sender_address!= NULL)? sender_address : originator_login);
5276   }
5277 else
5278   {
5279   int old_pool = store_pool;
5280   store_pool = POOL_PERM;
5281   if (!received_protocol)
5282     received_protocol = string_sprintf("local%s", called_as);
5283   store_pool = old_pool;
5284   set_process_info("accepting a local non-SMTP message from <%s>",
5285     sender_address);
5286   }
5287
5288 /* Initialize the session_local_queue-only flag (this will be ignored if
5289 mua_wrapper is set) */
5290
5291 queue_check_only();
5292 session_local_queue_only = queue_only;
5293
5294 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5295 the spool if so configured. On failure, we must not attempt to send an error
5296 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5297 error code is given.) */
5298
5299 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5300   {
5301   fprintf(stderr, "exim: insufficient disk space\n");
5302   return EXIT_FAILURE;
5303   }
5304
5305 /* If this is smtp input of any kind, real or batched, handle the start of the
5306 SMTP session.
5307
5308 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5309 because a log line has already been written for all its failure exists
5310 (usually "connection refused: <reason>") and writing another one is
5311 unnecessary clutter. */
5312
5313 if (smtp_input)
5314   {
5315   smtp_in = stdin;
5316   smtp_out = stdout;
5317   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5318   if (verify_check_host(&hosts_connection_nolog) == OK)
5319     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5320   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5321   if (!smtp_start_session())
5322     {
5323     mac_smtp_fflush();
5324     exim_exit(EXIT_SUCCESS, US"smtp_start toplevel");
5325     }
5326   }
5327
5328 /* Otherwise, set up the input size limit here. */
5329
5330 else
5331   {
5332   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5333   if (expand_string_message)
5334     if (thismessage_size_limit == -1)
5335       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5336         "message_size_limit: %s", expand_string_message);
5337     else
5338       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5339         "message_size_limit: %s", expand_string_message);
5340   }
5341
5342 /* Loop for several messages when reading SMTP input. If we fork any child
5343 processes, we don't want to wait for them unless synchronous delivery is
5344 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5345 same as SIG_DFL, despite the fact that documentation often lists the default as
5346 "ignore". This is a confusing area. This is what I know:
5347
5348 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5349 processes that complete simply to go away without ever becoming defunct. You
5350 can't then wait for them - but we don't want to wait for them in the
5351 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5352 happen for all OS (e.g. *BSD is different).
5353
5354 But that's not the end of the story. Some (many? all?) systems have the
5355 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5356 has by default, so it seems that the difference is merely one of default
5357 (compare restarting vs non-restarting signals).
5358
5359 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5360 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5361 of the loop below. Paranoia rules.
5362
5363 February 2003: That's *still* not the end of the story. There are now versions
5364 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5365 process then calls waitpid(), a grumble is written to the system log, because
5366 this is logically inconsistent. In other words, it doesn't like the paranoia.
5367 As a consequence of this, the waitpid() below is now excluded if we are sure
5368 that SIG_IGN works. */
5369
5370 if (!synchronous_delivery)
5371   {
5372   #ifdef SA_NOCLDWAIT
5373   struct sigaction act;
5374   act.sa_handler = SIG_IGN;
5375   sigemptyset(&(act.sa_mask));
5376   act.sa_flags = SA_NOCLDWAIT;
5377   sigaction(SIGCHLD, &act, NULL);
5378   #else
5379   signal(SIGCHLD, SIG_IGN);
5380   #endif
5381   }
5382
5383 /* Save the current store pool point, for resetting at the start of
5384 each message, and save the real sender address, if any. */
5385
5386 reset_point = store_get(0);
5387 real_sender_address = sender_address;
5388
5389 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5390 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5391 collapsed). */
5392
5393 while (more)
5394   {
5395   message_id[0] = 0;
5396
5397   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5398   input and build the recipients list, before calling receive_msg() to read the
5399   message proper. Whatever sender address is given in the SMTP transaction is
5400   often ignored for local senders - we use the actual sender, which is normally
5401   either the underlying user running this process or a -f argument provided by
5402   a trusted caller. It is saved in real_sender_address. The test for whether to
5403   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5404
5405   if (smtp_input)
5406     {
5407     int rc;
5408     if ((rc = smtp_setup_msg()) > 0)
5409       {
5410       if (real_sender_address != NULL &&
5411           !receive_check_set_sender(sender_address))
5412         {
5413         sender_address = raw_sender = real_sender_address;
5414         sender_address_unrewritten = NULL;
5415         }
5416
5417       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5418       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5419       the very end. The result of the ACL is ignored (as for other non-SMTP
5420       messages). It is run for its potential side effects. */
5421
5422       if (smtp_batched_input && acl_not_smtp_start != NULL)
5423         {
5424         uschar *user_msg, *log_msg;
5425         enable_dollar_recipients = TRUE;
5426         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5427           &user_msg, &log_msg);
5428         enable_dollar_recipients = FALSE;
5429         }
5430
5431       /* Now get the data for the message */
5432
5433       more = receive_msg(extract_recipients);
5434       if (message_id[0] == 0)
5435         {
5436         cancel_cutthrough_connection(TRUE, US"receive dropped");
5437         if (more) goto moreloop;
5438         smtp_log_no_mail();               /* Log no mail if configured */
5439         exim_exit(EXIT_FAILURE, US"receive toplevel");
5440         }
5441       }
5442     else
5443       {
5444       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5445       smtp_log_no_mail();               /* Log no mail if configured */
5446       exim_exit(rc ? EXIT_FAILURE : EXIT_SUCCESS, US"msg setup toplevel");
5447       }
5448     }
5449
5450   /* In the non-SMTP case, we have all the information from the command
5451   line, but must process it in case it is in the more general RFC822
5452   format, and in any case, to detect syntax errors. Also, it appears that
5453   the use of comma-separated lists as single arguments is common, so we
5454   had better support them. */
5455
5456   else
5457     {
5458     int i;
5459     int rcount = 0;
5460     int count = argc - recipients_arg;
5461     uschar **list = argv + recipients_arg;
5462
5463     /* These options cannot be changed dynamically for non-SMTP messages */
5464
5465     active_local_sender_retain = local_sender_retain;
5466     active_local_from_check = local_from_check;
5467
5468     /* Save before any rewriting */
5469
5470     raw_sender = string_copy(sender_address);
5471
5472     /* Loop for each argument */
5473
5474     for (i = 0; i < count; i++)
5475       {
5476       int start, end, domain;
5477       uschar *errmess;
5478       uschar *s = list[i];
5479
5480       /* Loop for each comma-separated address */
5481
5482       while (*s != 0)
5483         {
5484         BOOL finished = FALSE;
5485         uschar *recipient;
5486         uschar *ss = parse_find_address_end(s, FALSE);
5487
5488         if (*ss == ',') *ss = 0; else finished = TRUE;
5489
5490         /* Check max recipients - if -t was used, these aren't recipients */
5491
5492         if (recipients_max > 0 && ++rcount > recipients_max &&
5493             !extract_recipients)
5494           if (error_handling == ERRORS_STDERR)
5495             {
5496             fprintf(stderr, "exim: too many recipients\n");
5497             exim_exit(EXIT_FAILURE, US"main");
5498             }
5499           else
5500             return
5501               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5502                 errors_sender_rc : EXIT_FAILURE;
5503
5504 #ifdef SUPPORT_I18N
5505         {
5506         BOOL b = allow_utf8_domains;
5507         allow_utf8_domains = TRUE;
5508 #endif
5509         recipient =
5510           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5511
5512 #ifdef SUPPORT_I18N
5513         if (string_is_utf8(recipient))
5514           message_smtputf8 = TRUE;
5515         else
5516           allow_utf8_domains = b;
5517         }
5518 #endif
5519         if (domain == 0 && !allow_unqualified_recipient)
5520           {
5521           recipient = NULL;
5522           errmess = US"unqualified recipient address not allowed";
5523           }
5524
5525         if (recipient == NULL)
5526           {
5527           if (error_handling == ERRORS_STDERR)
5528             {
5529             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5530               string_printing(list[i]), errmess);
5531             exim_exit(EXIT_FAILURE, US"main");
5532             }
5533           else
5534             {
5535             error_block eblock;
5536             eblock.next = NULL;
5537             eblock.text1 = string_printing(list[i]);
5538             eblock.text2 = errmess;
5539             return
5540               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5541                 errors_sender_rc : EXIT_FAILURE;
5542             }
5543           }
5544
5545         receive_add_recipient(recipient, -1);
5546         s = ss;
5547         if (!finished)
5548           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5549         }
5550       }
5551
5552     /* Show the recipients when debugging */
5553
5554     DEBUG(D_receive)
5555       {
5556       int i;
5557       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5558       if (recipients_list != NULL)
5559         {
5560         debug_printf("Recipients:\n");
5561         for (i = 0; i < recipients_count; i++)
5562           debug_printf("  %s\n", recipients_list[i].address);
5563         }
5564       }
5565
5566     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5567     ignored; rejecting here would just add complication, and it can just as
5568     well be done later. Allow $recipients to be visible in the ACL. */
5569
5570     if (acl_not_smtp_start)
5571       {
5572       uschar *user_msg, *log_msg;
5573       enable_dollar_recipients = TRUE;
5574       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5575         &user_msg, &log_msg);
5576       enable_dollar_recipients = FALSE;
5577       }
5578
5579     /* Pause for a while waiting for input.  If none received in that time,
5580     close the logfile, if we had one open; then if we wait for a long-running
5581     datasource (months, in one use-case) log rotation will not leave us holding
5582     the file copy. */
5583
5584     if (!receive_timeout)
5585       {
5586       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5587       fd_set r;
5588
5589       FD_ZERO(&r); FD_SET(0, &r);
5590       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5591       }
5592
5593     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5594     will just read the headers for the message, and not write anything onto the
5595     spool. */
5596
5597     message_ended = END_NOTENDED;
5598     more = receive_msg(extract_recipients);
5599
5600     /* more is always FALSE here (not SMTP message) when reading a message
5601     for real; when reading the headers of a message for filter testing,
5602     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5603
5604     if (message_id[0] == 0) exim_exit(EXIT_FAILURE, US"main");
5605     }  /* Non-SMTP message reception */
5606
5607   /* If this is a filter testing run, there are headers in store, but
5608   no message on the spool. Run the filtering code in testing mode, setting
5609   the domain to the qualify domain and the local part to the current user,
5610   unless they have been set by options. The prefix and suffix are left unset
5611   unless specified. The the return path is set to to the sender unless it has
5612   already been set from a return-path header in the message. */
5613
5614   if (filter_test != FTEST_NONE)
5615     {
5616     deliver_domain = (ftest_domain != NULL)?
5617       ftest_domain : qualify_domain_recipient;
5618     deliver_domain_orig = deliver_domain;
5619     deliver_localpart = (ftest_localpart != NULL)?
5620       ftest_localpart : originator_login;
5621     deliver_localpart_orig = deliver_localpart;
5622     deliver_localpart_prefix = ftest_prefix;
5623     deliver_localpart_suffix = ftest_suffix;
5624     deliver_home = originator_home;
5625
5626     if (return_path == NULL)
5627       {
5628       printf("Return-path copied from sender\n");
5629       return_path = string_copy(sender_address);
5630       }
5631     else
5632       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5633     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5634
5635     receive_add_recipient(
5636       string_sprintf("%s%s%s@%s",
5637         (ftest_prefix == NULL)? US"" : ftest_prefix,
5638         deliver_localpart,
5639         (ftest_suffix == NULL)? US"" : ftest_suffix,
5640         deliver_domain), -1);
5641
5642     printf("Recipient   = %s\n", recipients_list[0].address);
5643     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5644     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5645
5646     if (chdir("/"))   /* Get away from wherever the user is running this from */
5647       {
5648       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5649       exim_exit(EXIT_FAILURE, US"main");
5650       }
5651
5652     /* Now we run either a system filter test, or a user filter test, or both.
5653     In the latter case, headers added by the system filter will persist and be
5654     available to the user filter. We need to copy the filter variables
5655     explicitly. */
5656
5657     if ((filter_test & FTEST_SYSTEM) != 0)
5658       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5659         exim_exit(EXIT_FAILURE, US"main");
5660
5661     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5662
5663     if ((filter_test & FTEST_USER) != 0)
5664       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5665         exim_exit(EXIT_FAILURE, US"main");
5666
5667     exim_exit(EXIT_SUCCESS, US"main");
5668     }
5669
5670   /* Else act on the result of message reception. We should not get here unless
5671   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5672   will be TRUE. If it is not, check on the number of messages received in this
5673   connection. */
5674
5675   if (!session_local_queue_only &&
5676       smtp_accept_queue_per_connection > 0 &&
5677       receive_messagecount > smtp_accept_queue_per_connection)
5678     {
5679     session_local_queue_only = TRUE;
5680     queue_only_reason = 2;
5681     }
5682
5683   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5684   and queue_only_load is set, check that the load average is below it. If it is
5685   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5686   default), we put the whole session into queue_only mode. It then remains this
5687   way for any subsequent messages on the same SMTP connection. This is a
5688   deliberate choice; even though the load average may fall, it doesn't seem
5689   right to deliver later messages on the same call when not delivering earlier
5690   ones. However, there are odd cases where this is not wanted, so this can be
5691   changed by setting queue_only_load_latch false. */
5692
5693   local_queue_only = session_local_queue_only;
5694   if (!local_queue_only && queue_only_load >= 0)
5695     {
5696     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5697     if (local_queue_only)
5698       {
5699       queue_only_reason = 3;
5700       if (queue_only_load_latch) session_local_queue_only = TRUE;
5701       }
5702     }
5703
5704   /* If running as an MUA wrapper, all queueing options and freezing options
5705   are ignored. */
5706
5707   if (mua_wrapper)
5708     local_queue_only = queue_only_policy = deliver_freeze = FALSE;
5709
5710   /* Log the queueing here, when it will get a message id attached, but
5711   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5712   connections). */
5713
5714   if (local_queue_only)
5715     {
5716     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5717     switch(queue_only_reason)
5718       {
5719       case 2:
5720         log_write(L_delay_delivery,
5721                 LOG_MAIN, "no immediate delivery: more than %d messages "
5722           "received in one connection", smtp_accept_queue_per_connection);
5723         break;
5724
5725       case 3:
5726         log_write(L_delay_delivery,
5727                 LOG_MAIN, "no immediate delivery: load average %.2f",
5728                 (double)load_average/1000.0);
5729       break;
5730       }
5731     }
5732
5733   else if (queue_only_policy || deliver_freeze)
5734     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5735
5736   /* Else do the delivery unless the ACL or local_scan() called for queue only
5737   or froze the message. Always deliver in a separate process. A fork failure is
5738   not a disaster, as the delivery will eventually happen on a subsequent queue
5739   run. The search cache must be tidied before the fork, as the parent will
5740   do it before exiting. The child will trigger a lookup failure and
5741   thereby defer the delivery if it tries to use (for example) a cached ldap
5742   connection that the parent has called unbind on. */
5743
5744   else
5745     {
5746     pid_t pid;
5747     search_tidyup();
5748
5749     if ((pid = fork()) == 0)
5750       {
5751       int rc;
5752       close_unwanted();      /* Close unwanted file descriptors and TLS */
5753       exim_nullstd();        /* Ensure std{in,out,err} exist */
5754
5755       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5756       mode, deliver_drop_privilege is forced TRUE). */
5757
5758       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5759         {
5760         delivery_re_exec(CEE_EXEC_EXIT);
5761         /* Control does not return here. */
5762         }
5763
5764       /* No need to re-exec */
5765
5766       rc = deliver_message(message_id, FALSE, FALSE);
5767       search_tidyup();
5768       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5769         EXIT_SUCCESS : EXIT_FAILURE);
5770       }
5771
5772     if (pid < 0)
5773       {
5774       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5775       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5776         "process: %s", strerror(errno));
5777       }
5778     else
5779       {
5780       release_cutthrough_connection(US"msg passed for delivery");
5781
5782       /* In the parent, wait if synchronous delivery is required. This will
5783       always be the case in MUA wrapper mode. */
5784
5785       if (synchronous_delivery)
5786         {
5787         int status;
5788         while (wait(&status) != pid);
5789         if ((status & 0x00ff) != 0)
5790           log_write(0, LOG_MAIN|LOG_PANIC,
5791             "process %d crashed with signal %d while delivering %s",
5792             (int)pid, status & 0x00ff, message_id);
5793         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE, US"main");
5794         }
5795       }
5796     }
5797
5798   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5799   automatically reaps children (see comments above the loop), clear away any
5800   finished subprocesses here, in case there are lots of messages coming in
5801   from the same source. */
5802
5803   #ifndef SIG_IGN_WORKS
5804   while (waitpid(-1, NULL, WNOHANG) > 0);
5805   #endif
5806
5807 moreloop:
5808   return_path = sender_address = NULL;
5809   authenticated_sender = NULL;
5810   deliver_localpart_orig = NULL;
5811   deliver_domain_orig = NULL;
5812   deliver_host = deliver_host_address = NULL;
5813   dnslist_domain = dnslist_matched = NULL;
5814 #ifdef WITH_CONTENT_SCAN
5815   malware_name = NULL;
5816 #endif
5817   callout_address = NULL;
5818   sending_ip_address = NULL;
5819   acl_var_m = NULL;
5820   { int i; for(i=0; i<REGEX_VARS; i++) regex_vars[i] = NULL; }
5821
5822   store_reset(reset_point);
5823   }
5824
5825 exim_exit(EXIT_SUCCESS, US"main");   /* Never returns */
5826 return 0;                  /* To stop compiler warning */
5827 }
5828
5829
5830 /* End of exim.c */