src/src/spool_in.c

   1 /*************************************************
   2 *     Exim - an Internet mail transport agent    *
   3 *************************************************/
   4
   5 /* Copyright (c) University of Cambridge 1995 - 2012 */
   6 /* See the file NOTICE for conditions of use and distribution. */
   7
   8 /* Functions for reading spool files. When compiling for a utility (eximon),
   9 not all are needed, and some functionality can be cut out. */
  10
  11
  12 #include "exim.h"
  13
  14
  15
  16 #ifndef COMPILE_UTILITY
  17 /*************************************************
  18 *           Open and lock data file              *
  19 *************************************************/
  20
  21 /* The data file is the one that is used for locking, because the header file
  22 can get replaced during delivery because of header rewriting. The file has
  23 to opened with write access so that we can get an exclusive lock, but in
  24 fact it won't be written to. Just in case there's a major disaster (e.g.
  25 overwriting some other file descriptor with the value of this one), open it
  26 with append.
  27
  28 Argument: the id of the message
  29 Returns:  TRUE if file successfully opened and locked
  30
  31 Side effect: deliver_datafile is set to the fd of the open file.
  32 */
  33
  34 BOOL
  35 spool_open_datafile(uschar *id)
  36 {
  37 int i;
  38 struct stat statbuf;
  39 flock_t lock_data;
  40 uschar spoolname[256];
  41
  42 /* If split_spool_directory is set, first look for the file in the appropriate
  43 sub-directory of the input directory. If it is not found there, try the input
  44 directory itself, to pick up leftovers from before the splitting. If split_
  45 spool_directory is not set, first look in the main input directory. If it is
  46 not found there, try the split sub-directory, in case it is left over from a
  47 splitting state. */
  48
  49 for (i = 0; i < 2; i++)
  50   {
  51   int save_errno;
  52   message_subdir[0] = (split_spool_directory == (i == 0))? id[5] : 0;
  53   sprintf(CS spoolname, "%s/input/%s/%s-D", spool_directory, message_subdir, id);
  54   deliver_datafile = Uopen(spoolname, O_RDWR | O_APPEND, 0);
  55   if (deliver_datafile >= 0) break;
  56   save_errno = errno;
  57   if (errno == ENOENT)
  58     {
  59     if (i == 0) continue;
  60     if (!queue_running)
  61       log_write(0, LOG_MAIN, "Spool file %s-D not found", id);
  62     }
  63   else log_write(0, LOG_MAIN, "Spool error for %s: %s", spoolname,
  64     strerror(errno));
  65   errno = save_errno;
  66   return FALSE;
  67   }
  68
  69 /* File is open and message_subdir is set. Set the close-on-exec flag, and lock
  70 the file. We lock only the first line of the file (containing the message ID)
  71 because this apparently is needed for running Exim under Cygwin. If the entire
  72 file is locked in one process, a sub-process cannot access it, even when passed
  73 an open file descriptor (at least, I think that's the Cygwin story). On real
  74 Unix systems it doesn't make any difference as long as Exim is consistent in
  75 what it locks. */
  76
  77 (void)fcntl(deliver_datafile, F_SETFD, fcntl(deliver_datafile, F_GETFD) |
  78   FD_CLOEXEC);
  79
  80 lock_data.l_type = F_WRLCK;
  81 lock_data.l_whence = SEEK_SET;
  82 lock_data.l_start = 0;
  83 lock_data.l_len = SPOOL_DATA_START_OFFSET;
  84
  85 if (fcntl(deliver_datafile, F_SETLK, &lock_data) < 0)
  86   {
  87   log_write(L_skip_delivery,
  88             LOG_MAIN,
  89             "Spool file is locked (another process is handling this message)");
  90   (void)close(deliver_datafile);
  91   deliver_datafile = -1;
  92   errno = 0;
  93   return FALSE;
  94   }
  95
  96 /* Get the size of the data; don't include the leading filename line
  97 in the count, but add one for the newline before the data. */
  98
  99 if (fstat(deliver_datafile, &statbuf) == 0)
 100   {
 101   message_body_size = statbuf.st_size - SPOOL_DATA_START_OFFSET;
 102   message_size = message_body_size + 1;
 103   }
 104
 105 return TRUE;
 106 }
 107 #endif  /* COMPILE_UTILITY */
 108
 109
 110
 111 /*************************************************
 112 *    Read non-recipients tree from spool file    *
 113 *************************************************/
 114
 115 /* The tree of non-recipients is written to the spool file in a form that
 116 makes it easy to read back into a tree. The format is as follows:
 117
 118    . Each node is preceded by two letter(Y/N) indicating whether it has left
 119      or right children. There's one space after the two flags, before the name.
 120
 121    . The left subtree (if any) then follows, then the right subtree (if any).
 122
 123 This function is entered with the next input line in the buffer. Note we must
 124 save the right flag before recursing with the same buffer.
 125
 126 Once the tree is read, we re-construct the balance fields by scanning the tree.
 127 I forgot to write them out originally, and the compatible fix is to do it this
 128 way. This initial local recursing function does the necessary.
 129
 130 Arguments:
 131   node      tree node
 132
 133 Returns:    maximum depth below the node, including the node itself
 134 */
 135
 136 static int
 137 count_below(tree_node *node)
 138 {
 139 int nleft, nright;
 140 if (node == NULL) return 0;
 141 nleft = count_below(node->left);
 142 nright = count_below(node->right);
 143 node->balance = (nleft > nright)? 1 : ((nright > nleft)? 2 : 0);
 144 return 1 + ((nleft > nright)? nleft : nright);
 145 }
 146
 147 /* This is the real function...
 148
 149 Arguments:
 150   connect      pointer to the root of the tree
 151   f            FILE to read data from
 152   buffer       contains next input line; further lines read into it
 153   buffer_size  size of the buffer
 154
 155 Returns:       FALSE on format error
 156 */
 157
 158 static BOOL
 159 read_nonrecipients_tree(tree_node **connect, FILE *f, uschar *buffer,
 160   int buffer_size)
 161 {
 162 tree_node *node;
 163 int n = Ustrlen(buffer);
 164 BOOL right = buffer[1] == 'Y';
 165
 166 if (n < 5) return FALSE;    /* malformed line */
 167 buffer[n-1] = 0;            /* Remove \n */
 168 node = store_get(sizeof(tree_node) + n - 3);
 169 *connect = node;
 170 Ustrcpy(node->name, buffer + 3);
 171 node->data.ptr = NULL;
 172
 173 if (buffer[0] == 'Y')
 174   {
 175   if (Ufgets(buffer, buffer_size, f) == NULL ||
 176     !read_nonrecipients_tree(&node->left, f, buffer, buffer_size))
 177       return FALSE;
 178   }
 179 else node->left = NULL;
 180
 181 if (right)
 182   {
 183   if (Ufgets(buffer, buffer_size, f) == NULL ||
 184     !read_nonrecipients_tree(&node->right, f, buffer, buffer_size))
 185       return FALSE;
 186   }
 187 else node->right = NULL;
 188
 189 (void) count_below(*connect);
 190 return TRUE;
 191 }
 192
 193
 194
 195
 196 /*************************************************
 197 *             Read spool header file             *
 198 *************************************************/
 199
 200 /* This function reads a spool header file and places the data into the
 201 appropriate global variables. The header portion is always read, but header
 202 structures are built only if read_headers is set true. It isn't, for example,
 203 while generating -bp output.
 204
 205 It may be possible for blocks of nulls (binary zeroes) to get written on the
 206 end of a file if there is a system crash during writing. It was observed on an
 207 earlier version of Exim that omitted to fsync() the files - this is thought to
 208 have been the cause of that incident, but in any case, this code must be robust
 209 against such an event, and if such a file is encountered, it must be treated as
 210 malformed.
 211
 212 Arguments:
 213   name          name of the header file, including the -H
 214   read_headers  TRUE if in-store header structures are to be built
 215   subdir_set    TRUE is message_subdir is already set
 216
 217 Returns:        spool_read_OK        success
 218                 spool_read_notopen   open failed
 219                 spool_read_enverror  error in the envelope portion
 220                 spool_read_hdrdrror  error in the header portion
 221 */
 222
 223 int
 224 spool_read_header(uschar *name, BOOL read_headers, BOOL subdir_set)
 225 {
 226 FILE *f = NULL;
 227 int n;
 228 int rcount = 0;
 229 long int uid, gid;
 230 BOOL inheader = FALSE;
 231 uschar *p;
 232
 233 /* Reset all the global variables to their default values. However, there is
 234 one exception. DO NOT change the default value of dont_deliver, because it may
 235 be forced by an external setting. */
 236
 237 acl_var_c = acl_var_m = NULL;
 238 authenticated_id = NULL;
 239 authenticated_sender = NULL;
 240 allow_unqualified_recipient = FALSE;
 241 allow_unqualified_sender = FALSE;
 242 body_linecount = 0;
 243 body_zerocount = 0;
 244 deliver_firsttime = FALSE;
 245 deliver_freeze = FALSE;
 246 deliver_frozen_at = 0;
 247 deliver_manual_thaw = FALSE;
 248 /* dont_deliver must NOT be reset */
 249 header_list = header_last = NULL;
 250 host_lookup_deferred = FALSE;
 251 host_lookup_failed = FALSE;
 252 interface_address = NULL;
 253 interface_port = 0;
 254 local_error_message = FALSE;
 255 local_scan_data = NULL;
 256 max_received_linelength = 0;
 257 message_linecount = 0;
 258 received_protocol = NULL;
 259 received_count = 0;
 260 recipients_list = NULL;
 261 sender_address = NULL;
 262 sender_fullhost = NULL;
 263 sender_helo_name = NULL;
 264 sender_host_address = NULL;
 265 sender_host_name = NULL;
 266 sender_host_port = 0;
 267 sender_host_authenticated = NULL;
 268 sender_ident = NULL;
 269 sender_local = FALSE;
 270 sender_set_untrusted = FALSE;
 271 smtp_active_hostname = primary_hostname;
 272 tree_nonrecipients = NULL;
 273
 274 #ifdef EXPERIMENTAL_BRIGHTMAIL
 275 bmi_run = 0;
 276 bmi_verdicts = NULL;
 277 #endif
 278
 279 #ifndef DISABLE_DKIM
 280 dkim_signers = NULL;
 281 dkim_disable_verify = FALSE;
 282 dkim_collect_input = FALSE;
 283 #endif
 284
 285 #ifdef SUPPORT_TLS
 286 tls_certificate_verified = FALSE;
 287 tls_cipher = NULL;
 288 tls_peerdn = NULL;
 289 tls_sni = NULL;
 290 #endif
 291
 292 #ifdef WITH_CONTENT_SCAN
 293 spam_score_int = NULL;
 294 #endif
 295
 296 /* Generate the full name and open the file. If message_subdir is already
 297 set, just look in the given directory. Otherwise, look in both the split
 298 and unsplit directories, as for the data file above. */
 299
 300 for (n = 0; n < 2; n++)
 301   {
 302   if (!subdir_set)
 303     message_subdir[0] = (split_spool_directory == (n == 0))? name[5] : 0;
 304   sprintf(CS big_buffer, "%s/input/%s/%s", spool_directory, message_subdir,
 305     name);
 306   f = Ufopen(big_buffer, "rb");
 307   if (f != NULL) break;
 308   if (n != 0 || subdir_set || errno != ENOENT) return spool_read_notopen;
 309   }
 310
 311 errno = 0;
 312
 313 #ifndef COMPILE_UTILITY
 314 DEBUG(D_deliver) debug_printf("reading spool file %s\n", name);
 315 #endif  /* COMPILE_UTILITY */
 316
 317 /* The first line of a spool file contains the message id followed by -H (i.e.
 318 the file name), in order to make the file self-identifying. */
 319
 320 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 321 if (Ustrlen(big_buffer) != MESSAGE_ID_LENGTH + 3 ||
 322     Ustrncmp(big_buffer, name, MESSAGE_ID_LENGTH + 2) != 0)
 323   goto SPOOL_FORMAT_ERROR;
 324
 325 /* The next three lines in the header file are in a fixed format. The first
 326 contains the login, uid, and gid of the user who caused the file to be written.
 327 There are known cases where a negative gid is used, so we allow for both
 328 negative uids and gids. The second contains the mail address of the message's
 329 sender, enclosed in <>. The third contains the time the message was received,
 330 and the number of warning messages for delivery delays that have been sent. */
 331
 332 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 333
 334 p = big_buffer + Ustrlen(big_buffer);
 335 while (p > big_buffer && isspace(p[-1])) p--;
 336 *p = 0;
 337 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 338 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 339 gid = Uatoi(p);
 340 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 341 *p = 0;
 342 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 343 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 344 uid = Uatoi(p);
 345 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 346 *p = 0;
 347
 348 originator_login = string_copy(big_buffer);
 349 originator_uid = (uid_t)uid;
 350 originator_gid = (gid_t)gid;
 351
 352 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 353 n = Ustrlen(big_buffer);
 354 if (n < 3 || big_buffer[0] != '<' || big_buffer[n-2] != '>')
 355   goto SPOOL_FORMAT_ERROR;
 356
 357 sender_address = store_get(n-2);
 358 Ustrncpy(sender_address, big_buffer+1, n-3);
 359 sender_address[n-3] = 0;
 360
 361 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 362 if (sscanf(CS big_buffer, "%d %d", &received_time, &warning_count) != 2)
 363   goto SPOOL_FORMAT_ERROR;
 364
 365 message_age = time(NULL) - received_time;
 366
 367 #ifndef COMPILE_UTILITY
 368 DEBUG(D_deliver) debug_printf("user=%s uid=%ld gid=%ld sender=%s\n",
 369   originator_login, (long int)originator_uid, (long int)originator_gid,
 370   sender_address);
 371 #endif  /* COMPILE_UTILITY */
 372
 373 /* Now there may be a number of optional lines, each starting with "-". If you
 374 add a new setting here, make sure you set the default above.
 375
 376 Because there are now quite a number of different possibilities, we use a
 377 switch on the first character to avoid too many failing tests. Thanks to Nico
 378 Erfurth for the patch that implemented this. I have made it even more efficient
 379 by not re-scanning the first two characters.
 380
 381 To allow new versions of Exim that add additional flags to interwork with older
 382 versions that do not understand them, just ignore any lines starting with "-"
 383 that we don't recognize. Otherwise it wouldn't be possible to back off a new
 384 version that left new-style flags written on the spool. */
 385
 386 p = big_buffer + 2;
 387 for (;;)
 388   {
 389   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 390   if (big_buffer[0] != '-') break;
 391   big_buffer[Ustrlen(big_buffer) - 1] = 0;
 392
 393   switch(big_buffer[1])
 394     {
 395     case 'a':
 396
 397     /* Nowadays we use "-aclc" and "-aclm" for the different types of ACL
 398     variable, because Exim allows any number of them, with arbitrary names.
 399     The line in the spool file is "-acl[cm] <name> <length>". The name excludes
 400     the c or m. */
 401
 402     if (Ustrncmp(p, "clc ", 4) == 0 ||
 403         Ustrncmp(p, "clm ", 4) == 0)
 404       {
 405       uschar *name, *endptr;
 406       int count;
 407       tree_node *node;
 408       endptr = Ustrchr(big_buffer + 6, ' ');
 409       if (endptr == NULL) goto SPOOL_FORMAT_ERROR;
 410       name = string_sprintf("%c%.*s", big_buffer[4], endptr - big_buffer - 6,
 411         big_buffer + 6);
 412       if (sscanf(CS endptr, " %d", &count) != 1) goto SPOOL_FORMAT_ERROR;
 413       node = acl_var_create(name);
 414       node->data.ptr = store_get(count + 1);
 415       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 416       ((uschar*)node->data.ptr)[count] = 0;
 417       }
 418
 419     else if (Ustrcmp(p, "llow_unqualified_recipient") == 0)
 420       allow_unqualified_recipient = TRUE;
 421     else if (Ustrcmp(p, "llow_unqualified_sender") == 0)
 422       allow_unqualified_sender = TRUE;
 423
 424     else if (Ustrncmp(p, "uth_id", 6) == 0)
 425       authenticated_id = string_copy(big_buffer + 9);
 426     else if (Ustrncmp(p, "uth_sender", 10) == 0)
 427       authenticated_sender = string_copy(big_buffer + 13);
 428     else if (Ustrncmp(p, "ctive_hostname", 14) == 0)
 429       smtp_active_hostname = string_copy(big_buffer + 17);
 430
 431     /* For long-term backward compatibility, we recognize "-acl", which was
 432     used before the number of ACL variables changed from 10 to 20. This was
 433     before the subsequent change to an arbitrary number of named variables.
 434     This code is retained so that upgrades from very old versions can still
 435     handle old-format spool files. The value given after "-acl" is a number
 436     that is 0-9 for connection variables, and 10-19 for message variables. */
 437
 438     else if (Ustrncmp(p, "cl ", 3) == 0)
 439       {
 440       int index, count;
 441       uschar name[20];   /* Need plenty of space for %d format */
 442       tree_node *node;
 443       if (sscanf(CS big_buffer + 5, "%d %d", &index, &count) != 2)
 444         goto SPOOL_FORMAT_ERROR;
 445       if (index < 10)
 446         (void) string_format(name, sizeof(name), "%c%d", 'c', index);
 447       else if (index < 20) /* ignore out-of-range index */
 448         (void) string_format(name, sizeof(name), "%c%d", 'm', index - 10);
 449       node = acl_var_create(name);
 450       node->data.ptr = store_get(count + 1);
 451       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 452       ((uschar*)node->data.ptr)[count] = 0;
 453       }
 454     break;
 455
 456     case 'b':
 457     if (Ustrncmp(p, "ody_linecount", 13) == 0)
 458       body_linecount = Uatoi(big_buffer + 15);
 459     else if (Ustrncmp(p, "ody_zerocount", 13) == 0)
 460       body_zerocount = Uatoi(big_buffer + 15);
 461     #ifdef EXPERIMENTAL_BRIGHTMAIL
 462     else if (Ustrncmp(p, "mi_verdicts ", 12) == 0)
 463       bmi_verdicts = string_copy(big_buffer + 14);
 464     #endif
 465     break;
 466
 467     case 'd':
 468     if (Ustrcmp(p, "eliver_firsttime") == 0)
 469       deliver_firsttime = TRUE;
 470     break;
 471
 472     case 'f':
 473     if (Ustrncmp(p, "rozen", 5) == 0)
 474       {
 475       deliver_freeze = TRUE;
 476       deliver_frozen_at = Uatoi(big_buffer + 7);
 477       }
 478     break;
 479
 480     case 'h':
 481     if (Ustrcmp(p, "ost_lookup_deferred") == 0)
 482       host_lookup_deferred = TRUE;
 483     else if (Ustrcmp(p, "ost_lookup_failed") == 0)
 484       host_lookup_failed = TRUE;
 485     else if (Ustrncmp(p, "ost_auth", 8) == 0)
 486       sender_host_authenticated = string_copy(big_buffer + 11);
 487     else if (Ustrncmp(p, "ost_name", 8) == 0)
 488       sender_host_name = string_copy(big_buffer + 11);
 489     else if (Ustrncmp(p, "elo_name", 8) == 0)
 490       sender_helo_name = string_copy(big_buffer + 11);
 491
 492     /* We now record the port number after the address, separated by a
 493     dot. For compatibility during upgrading, do nothing if there
 494     isn't a value (it gets left at zero). */
 495
 496     else if (Ustrncmp(p, "ost_address", 11) == 0)
 497       {
 498       sender_host_port = host_address_extract_port(big_buffer + 14);
 499       sender_host_address = string_copy(big_buffer + 14);
 500       }
 501     break;
 502
 503     case 'i':
 504     if (Ustrncmp(p, "nterface_address", 16) == 0)
 505       {
 506       interface_port = host_address_extract_port(big_buffer + 19);
 507       interface_address = string_copy(big_buffer + 19);
 508       }
 509     else if (Ustrncmp(p, "dent", 4) == 0)
 510       sender_ident = string_copy(big_buffer + 7);
 511     break;
 512
 513     case 'l':
 514     if (Ustrcmp(p, "ocal") == 0) sender_local = TRUE;
 515     else if (Ustrcmp(big_buffer, "-localerror") == 0)
 516       local_error_message = TRUE;
 517     else if (Ustrncmp(p, "ocal_scan ", 10) == 0)
 518       local_scan_data = string_copy(big_buffer + 12);
 519     break;
 520
 521     case 'm':
 522     if (Ustrcmp(p, "anual_thaw") == 0) deliver_manual_thaw = TRUE;
 523     else if (Ustrncmp(p, "ax_received_linelength", 22) == 0)
 524       max_received_linelength = Uatoi(big_buffer + 24);
 525     break;
 526
 527     case 'N':
 528     if (*p == 0) dont_deliver = TRUE;   /* -N */
 529     break;
 530
 531     case 'r':
 532     if (Ustrncmp(p, "eceived_protocol", 16) == 0)
 533       received_protocol = string_copy(big_buffer + 19);
 534     break;
 535
 536     case 's':
 537     if (Ustrncmp(p, "ender_set_untrusted", 19) == 0)
 538       sender_set_untrusted = TRUE;
 539     #ifdef WITH_CONTENT_SCAN
 540     else if (Ustrncmp(p, "pam_score_int ", 14) == 0)
 541       spam_score_int = string_copy(big_buffer + 16);
 542     #endif
 543     break;
 544
 545     #ifdef SUPPORT_TLS
 546     case 't':
 547     if (Ustrncmp(p, "ls_certificate_verified", 23) == 0)
 548       tls_certificate_verified = TRUE;
 549     else if (Ustrncmp(p, "ls_cipher", 9) == 0)
 550       tls_cipher = string_copy(big_buffer + 12);
 551     else if (Ustrncmp(p, "ls_peerdn", 9) == 0)
 552       tls_peerdn = string_unprinting(string_copy(big_buffer + 12));
 553     else if (Ustrncmp(p, "ls_sni", 6) == 0)
 554       tls_sni = string_unprinting(string_copy(big_buffer + 9));
 555     break;
 556     #endif
 557
 558     default:    /* Present because some compilers complain if all */
 559     break;      /* possibilities are not covered. */
 560     }
 561   }
 562
 563 /* Build sender_fullhost if required */
 564
 565 #ifndef COMPILE_UTILITY
 566 host_build_sender_fullhost();
 567 #endif  /* COMPILE_UTILITY */
 568
 569 #ifndef COMPILE_UTILITY
 570 DEBUG(D_deliver)
 571   debug_printf("sender_local=%d ident=%s\n", sender_local,
 572     (sender_ident == NULL)? US"unset" : sender_ident);
 573 #endif  /* COMPILE_UTILITY */
 574
 575 /* We now have the tree of addresses NOT to deliver to, or a line
 576 containing "XX", indicating no tree. */
 577
 578 if (Ustrncmp(big_buffer, "XX\n", 3) != 0 &&
 579   !read_nonrecipients_tree(&tree_nonrecipients, f, big_buffer, big_buffer_size))
 580     goto SPOOL_FORMAT_ERROR;
 581
 582 #ifndef COMPILE_UTILITY
 583 DEBUG(D_deliver)
 584   {
 585   debug_printf("Non-recipients:\n");
 586   debug_print_tree(tree_nonrecipients);
 587   }
 588 #endif  /* COMPILE_UTILITY */
 589
 590 /* After reading the tree, the next line has not yet been read into the
 591 buffer. It contains the count of recipients which follow on separate lines. */
 592
 593 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 594 if (sscanf(CS big_buffer, "%d", &rcount) != 1) goto SPOOL_FORMAT_ERROR;
 595
 596 #ifndef COMPILE_UTILITY
 597 DEBUG(D_deliver) debug_printf("recipients_count=%d\n", rcount);
 598 #endif  /* COMPILE_UTILITY */
 599
 600 recipients_list_max = rcount;
 601 recipients_list = store_get(rcount * sizeof(recipient_item));
 602
 603 for (recipients_count = 0; recipients_count < rcount; recipients_count++)
 604   {
 605   int nn;
 606   int pno = -1;
 607   uschar *errors_to = NULL;
 608   uschar *p;
 609
 610   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 611   nn = Ustrlen(big_buffer);
 612   if (nn < 2) goto SPOOL_FORMAT_ERROR;
 613
 614   /* Remove the newline; this terminates the address if there is no additional
 615   data on the line. */
 616
 617   p = big_buffer + nn - 1;
 618   *p-- = 0;
 619
 620   /* Look back from the end of the line for digits and special terminators.
 621   Since an address must end with a domain, we can tell that extra data is
 622   present by the presence of the terminator, which is always some character
 623   that cannot exist in a domain. (If I'd thought of the need for additional
 624   data early on, I'd have put it at the start, with the address at the end. As
 625   it is, we have to operate backwards. Addresses are permitted to contain
 626   spaces, you see.)
 627
 628   This code has to cope with various versions of this data that have evolved
 629   over time. In all cases, the line might just contain an address, with no
 630   additional data. Otherwise, the possibilities are as follows:
 631
 632   Exim 3 type:       <address><space><digits>,<digits>,<digits>
 633
 634     The second set of digits is the parent number for one_time addresses. The
 635     other values were remnants of earlier experiments that were abandoned.
 636
 637   Exim 4 first type: <address><space><digits>
 638
 639     The digits are the parent number for one_time addresses.
 640
 641   Exim 4 new type:   <address><space><data>#<type bits>
 642
 643     The type bits indicate what the contents of the data are.
 644
 645     Bit 01 indicates that, reading from right to left, the data
 646       ends with <errors_to address><space><len>,<pno> where pno is
 647       the parent number for one_time addresses, and len is the length
 648       of the errors_to address (zero meaning none).
 649    */
 650
 651   while (isdigit(*p)) p--;
 652
 653   /* Handle Exim 3 spool files */
 654
 655   if (*p == ',')
 656     {
 657     int dummy;
 658     while (isdigit(*(--p)) || *p == ',');
 659     if (*p == ' ')
 660       {
 661       *p++ = 0;
 662       (void)sscanf(CS p, "%d,%d", &dummy, &pno);
 663       }
 664     }
 665
 666   /* Handle early Exim 4 spool files */
 667
 668   else if (*p == ' ')
 669     {
 670     *p++ = 0;
 671     (void)sscanf(CS p, "%d", &pno);
 672     }
 673
 674   /* Handle current format Exim 4 spool files */
 675
 676   else if (*p == '#')
 677     {
 678     int flags;
 679     (void)sscanf(CS p+1, "%d", &flags);
 680
 681     if ((flags & 0x01) != 0)      /* one_time data exists */
 682       {
 683       int len;
 684       while (isdigit(*(--p)) || *p == ',' || *p == '-');
 685       (void)sscanf(CS p+1, "%d,%d", &len, &pno);
 686       *p = 0;
 687       if (len > 0)
 688         {
 689         p -= len;
 690         errors_to = string_copy(p);
 691         }
 692       }
 693
 694     *(--p) = 0;   /* Terminate address */
 695     }
 696
 697   recipients_list[recipients_count].address = string_copy(big_buffer);
 698   recipients_list[recipients_count].pno = pno;
 699   recipients_list[recipients_count].errors_to = errors_to;
 700   }
 701
 702 /* The remainder of the spool header file contains the headers for the message,
 703 separated off from the previous data by a blank line. Each header is preceded
 704 by a count of its length and either a certain letter (for various identified
 705 headers), space (for a miscellaneous live header) or an asterisk (for a header
 706 that has been rewritten). Count the Received: headers. We read the headers
 707 always, in order to check on the format of the file, but only create a header
 708 list if requested to do so. */
 709
 710 inheader = TRUE;
 711 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 712 if (big_buffer[0] != '\n') goto SPOOL_FORMAT_ERROR;
 713
 714 while ((n = fgetc(f)) != EOF)
 715   {
 716   header_line *h;
 717   uschar flag[4];
 718   int i;
 719
 720   if (!isdigit(n)) goto SPOOL_FORMAT_ERROR;
 721   (void)ungetc(n, f);
 722   (void)fscanf(f, "%d%c ", &n, flag);
 723   if (flag[0] != '*') message_size += n;  /* Omit non-transmitted headers */
 724
 725   if (read_headers)
 726     {
 727     h = store_get(sizeof(header_line));
 728     h->next = NULL;
 729     h->type = flag[0];
 730     h->slen = n;
 731     h->text = store_get(n+1);
 732
 733     if (h->type == htype_received) received_count++;
 734
 735     if (header_list == NULL) header_list = h;
 736       else header_last->next = h;
 737     header_last = h;
 738
 739     for (i = 0; i < n; i++)
 740       {
 741       int c = fgetc(f);
 742       if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 743       if (c == '\n' && h->type != htype_old) message_linecount++;
 744       h->text[i] = c;
 745       }
 746     h->text[i] = 0;
 747     }
 748
 749   /* Not requiring header data, just skip through the bytes */
 750
 751   else for (i = 0; i < n; i++)
 752     {
 753     int c = fgetc(f);
 754     if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 755     }
 756   }
 757
 758 /* We have successfully read the data in the header file. Update the message
 759 line count by adding the body linecount to the header linecount. Close the file
 760 and give a positive response. */
 761
 762 #ifndef COMPILE_UTILITY
 763 DEBUG(D_deliver) debug_printf("body_linecount=%d message_linecount=%d\n",
 764   body_linecount, message_linecount);
 765 #endif  /* COMPILE_UTILITY */
 766
 767 message_linecount += body_linecount;
 768
 769 fclose(f);
 770 return spool_read_OK;
 771
 772
 773 /* There was an error reading the spool or there was missing data,
 774 or there was a format error. A "read error" with no errno means an
 775 unexpected EOF, which we treat as a format error. */
 776
 777 SPOOL_READ_ERROR:
 778 if (errno != 0)
 779   {
 780   n = errno;
 781
 782   #ifndef COMPILE_UTILITY
 783   DEBUG(D_any) debug_printf("Error while reading spool file %s\n", name);
 784   #endif  /* COMPILE_UTILITY */
 785
 786   fclose(f);
 787   errno = n;
 788   return inheader? spool_read_hdrerror : spool_read_enverror;
 789   }
 790
 791 SPOOL_FORMAT_ERROR:
 792
 793 #ifndef COMPILE_UTILITY
 794 DEBUG(D_any) debug_printf("Format error in spool file %s\n", name);
 795 #endif  /* COMPILE_UTILITY */
 796
 797 fclose(f);
 798 errno = ERRNO_SPOOLFORMAT;
 799 return inheader? spool_read_hdrerror : spool_read_enverror;
 800 }
 801
 802 /* End of spool_in.c */