src/src/spool_in.c

   1 /* $Cambridge: exim/src/src/spool_in.c,v 1.21 2007/09/28 12:21:57 tom Exp $ */
   2
   3 /*************************************************
   4 *     Exim - an Internet mail transport agent    *
   5 *************************************************/
   6
   7 /* Copyright (c) University of Cambridge 1995 - 2007 */
   8 /* See the file NOTICE for conditions of use and distribution. */
   9
  10 /* Functions for reading spool files. When compiling for a utility (eximon),
  11 not all are needed, and some functionality can be cut out. */
  12
  13
  14 #include "exim.h"
  15
  16
  17
  18 #ifndef COMPILE_UTILITY
  19 /*************************************************
  20 *           Open and lock data file              *
  21 *************************************************/
  22
  23 /* The data file is the one that is used for locking, because the header file
  24 can get replaced during delivery because of header rewriting. The file has
  25 to opened with write access so that we can get an exclusive lock, but in
  26 fact it won't be written to. Just in case there's a major disaster (e.g.
  27 overwriting some other file descriptor with the value of this one), open it
  28 with append.
  29
  30 Argument: the id of the message
  31 Returns:  TRUE if file successfully opened and locked
  32
  33 Side effect: deliver_datafile is set to the fd of the open file.
  34 */
  35
  36 BOOL
  37 spool_open_datafile(uschar *id)
  38 {
  39 int i;
  40 struct stat statbuf;
  41 flock_t lock_data;
  42 uschar spoolname[256];
  43
  44 /* If split_spool_directory is set, first look for the file in the appropriate
  45 sub-directory of the input directory. If it is not found there, try the input
  46 directory itself, to pick up leftovers from before the splitting. If split_
  47 spool_directory is not set, first look in the main input directory. If it is
  48 not found there, try the split sub-directory, in case it is left over from a
  49 splitting state. */
  50
  51 for (i = 0; i < 2; i++)
  52   {
  53   int save_errno;
  54   message_subdir[0] = (split_spool_directory == (i == 0))? id[5] : 0;
  55   sprintf(CS spoolname, "%s/input/%s/%s-D", spool_directory, message_subdir, id);
  56   deliver_datafile = Uopen(spoolname, O_RDWR | O_APPEND, 0);
  57   if (deliver_datafile >= 0) break;
  58   save_errno = errno;
  59   if (errno == ENOENT)
  60     {
  61     if (i == 0) continue;
  62     if (!queue_running)
  63       log_write(0, LOG_MAIN, "Spool file %s-D not found", id);
  64     }
  65   else log_write(0, LOG_MAIN, "Spool error for %s: %s", spoolname,
  66     strerror(errno));
  67   errno = save_errno;
  68   return FALSE;
  69   }
  70
  71 /* File is open and message_subdir is set. Set the close-on-exec flag, and lock
  72 the file. We lock only the first line of the file (containing the message ID)
  73 because this apparently is needed for running Exim under Cygwin. If the entire
  74 file is locked in one process, a sub-process cannot access it, even when passed
  75 an open file descriptor (at least, I think that's the Cygwin story). On real
  76 Unix systems it doesn't make any difference as long as Exim is consistent in
  77 what it locks. */
  78
  79 (void)fcntl(deliver_datafile, F_SETFD, fcntl(deliver_datafile, F_GETFD) |
  80   FD_CLOEXEC);
  81
  82 lock_data.l_type = F_WRLCK;
  83 lock_data.l_whence = SEEK_SET;
  84 lock_data.l_start = 0;
  85 lock_data.l_len = SPOOL_DATA_START_OFFSET;
  86
  87 if (fcntl(deliver_datafile, F_SETLK, &lock_data) < 0)
  88   {
  89   log_write(L_skip_delivery,
  90             LOG_MAIN,
  91             "Spool file is locked (another process is handling this message)");
  92   (void)close(deliver_datafile);
  93   deliver_datafile = -1;
  94   errno = 0;
  95   return FALSE;
  96   }
  97
  98 /* Get the size of the data; don't include the leading filename line
  99 in the count, but add one for the newline before the data. */
 100
 101 if (fstat(deliver_datafile, &statbuf) == 0)
 102   {
 103   message_body_size = statbuf.st_size - SPOOL_DATA_START_OFFSET;
 104   message_size = message_body_size + 1;
 105   }
 106
 107 return TRUE;
 108 }
 109 #endif  /* COMPILE_UTILITY */
 110
 111
 112
 113 /*************************************************
 114 *    Read non-recipients tree from spool file    *
 115 *************************************************/
 116
 117 /* The tree of non-recipients is written to the spool file in a form that
 118 makes it easy to read back into a tree. The format is as follows:
 119
 120    . Each node is preceded by two letter(Y/N) indicating whether it has left
 121      or right children. There's one space after the two flags, before the name.
 122
 123    . The left subtree (if any) then follows, then the right subtree (if any).
 124
 125 This function is entered with the next input line in the buffer. Note we must
 126 save the right flag before recursing with the same buffer.
 127
 128 Once the tree is read, we re-construct the balance fields by scanning the tree.
 129 I forgot to write them out originally, and the compatible fix is to do it this
 130 way. This initial local recursing function does the necessary.
 131
 132 Arguments:
 133   node      tree node
 134
 135 Returns:    maximum depth below the node, including the node itself
 136 */
 137
 138 static int
 139 count_below(tree_node *node)
 140 {
 141 int nleft, nright;
 142 if (node == NULL) return 0;
 143 nleft = count_below(node->left);
 144 nright = count_below(node->right);
 145 node->balance = (nleft > nright)? 1 : ((nright > nleft)? 2 : 0);
 146 return 1 + ((nleft > nright)? nleft : nright);
 147 }
 148
 149 /* This is the real function...
 150
 151 Arguments:
 152   connect      pointer to the root of the tree
 153   f            FILE to read data from
 154   buffer       contains next input line; further lines read into it
 155   buffer_size  size of the buffer
 156
 157 Returns:       FALSE on format error
 158 */
 159
 160 static BOOL
 161 read_nonrecipients_tree(tree_node **connect, FILE *f, uschar *buffer,
 162   int buffer_size)
 163 {
 164 tree_node *node;
 165 int n = Ustrlen(buffer);
 166 BOOL right = buffer[1] == 'Y';
 167
 168 if (n < 5) return FALSE;    /* malformed line */
 169 buffer[n-1] = 0;            /* Remove \n */
 170 node = store_get(sizeof(tree_node) + n - 3);
 171 *connect = node;
 172 Ustrcpy(node->name, buffer + 3);
 173 node->data.ptr = NULL;
 174
 175 if (buffer[0] == 'Y')
 176   {
 177   if (Ufgets(buffer, buffer_size, f) == NULL ||
 178     !read_nonrecipients_tree(&node->left, f, buffer, buffer_size))
 179       return FALSE;
 180   }
 181 else node->left = NULL;
 182
 183 if (right)
 184   {
 185   if (Ufgets(buffer, buffer_size, f) == NULL ||
 186     !read_nonrecipients_tree(&node->right, f, buffer, buffer_size))
 187       return FALSE;
 188   }
 189 else node->right = NULL;
 190
 191 (void) count_below(*connect);
 192 return TRUE;
 193 }
 194
 195
 196
 197
 198 /*************************************************
 199 *             Read spool header file             *
 200 *************************************************/
 201
 202 /* This function reads a spool header file and places the data into the
 203 appropriate global variables. The header portion is always read, but header
 204 structures are built only if read_headers is set true. It isn't, for example,
 205 while generating -bp output.
 206
 207 It may be possible for blocks of nulls (binary zeroes) to get written on the
 208 end of a file if there is a system crash during writing. It was observed on an
 209 earlier version of Exim that omitted to fsync() the files - this is thought to
 210 have been the cause of that incident, but in any case, this code must be robust
 211 against such an event, and if such a file is encountered, it must be treated as
 212 malformed.
 213
 214 Arguments:
 215   name          name of the header file, including the -H
 216   read_headers  TRUE if in-store header structures are to be built
 217   subdir_set    TRUE is message_subdir is already set
 218
 219 Returns:        spool_read_OK        success
 220                 spool_read_notopen   open failed
 221                 spool_read_enverror  error in the envelope portion
 222                 spool_read_hdrdrror  error in the header portion
 223 */
 224
 225 int
 226 spool_read_header(uschar *name, BOOL read_headers, BOOL subdir_set)
 227 {
 228 FILE *f = NULL;
 229 int n;
 230 int rcount = 0;
 231 long int uid, gid;
 232 BOOL inheader = FALSE;
 233 uschar *p;
 234
 235 /* Reset all the global variables to their default values. However, there is
 236 one exception. DO NOT change the default value of dont_deliver, because it may
 237 be forced by an external setting. */
 238
 239 acl_var_c = acl_var_m = NULL;
 240 authenticated_id = NULL;
 241 authenticated_sender = NULL;
 242 allow_unqualified_recipient = FALSE;
 243 allow_unqualified_sender = FALSE;
 244 body_linecount = 0;
 245 body_zerocount = 0;
 246 deliver_firsttime = FALSE;
 247 deliver_freeze = FALSE;
 248 deliver_frozen_at = 0;
 249 deliver_manual_thaw = FALSE;
 250 /* dont_deliver must NOT be reset */
 251 header_list = header_last = NULL;
 252 host_lookup_deferred = FALSE;
 253 host_lookup_failed = FALSE;
 254 interface_address = NULL;
 255 interface_port = 0;
 256 local_error_message = FALSE;
 257 local_scan_data = NULL;
 258 max_received_linelength = 0;
 259 message_linecount = 0;
 260 received_protocol = NULL;
 261 received_count = 0;
 262 recipients_list = NULL;
 263 sender_address = NULL;
 264 sender_fullhost = NULL;
 265 sender_helo_name = NULL;
 266 sender_host_address = NULL;
 267 sender_host_name = NULL;
 268 sender_host_port = 0;
 269 sender_host_authenticated = NULL;
 270 sender_ident = NULL;
 271 sender_local = FALSE;
 272 sender_set_untrusted = FALSE;
 273 smtp_active_hostname = primary_hostname;
 274 tree_nonrecipients = NULL;
 275
 276 #ifdef EXPERIMENTAL_BRIGHTMAIL
 277 bmi_run = 0;
 278 bmi_verdicts = NULL;
 279 #endif
 280
 281 #ifdef EXPERIMENTAL_DOMAINKEYS
 282 dk_do_verify = 0;
 283 #endif
 284
 285 #ifdef EXPERIMENTAL_DKIM
 286 dkim_do_verify = 0;
 287 #endif
 288
 289 #ifdef SUPPORT_TLS
 290 tls_certificate_verified = FALSE;
 291 tls_cipher = NULL;
 292 tls_peerdn = NULL;
 293 #endif
 294
 295 #ifdef WITH_CONTENT_SCAN
 296 spam_score_int = NULL;
 297 #endif
 298
 299 /* Generate the full name and open the file. If message_subdir is already
 300 set, just look in the given directory. Otherwise, look in both the split
 301 and unsplit directories, as for the data file above. */
 302
 303 for (n = 0; n < 2; n++)
 304   {
 305   if (!subdir_set)
 306     message_subdir[0] = (split_spool_directory == (n == 0))? name[5] : 0;
 307   sprintf(CS big_buffer, "%s/input/%s/%s", spool_directory, message_subdir,
 308     name);
 309   f = Ufopen(big_buffer, "rb");
 310   if (f != NULL) break;
 311   if (n != 0 || subdir_set || errno != ENOENT) return spool_read_notopen;
 312   }
 313
 314 errno = 0;
 315
 316 #ifndef COMPILE_UTILITY
 317 DEBUG(D_deliver) debug_printf("reading spool file %s\n", name);
 318 #endif  /* COMPILE_UTILITY */
 319
 320 /* The first line of a spool file contains the message id followed by -H (i.e.
 321 the file name), in order to make the file self-identifying. */
 322
 323 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 324 if (Ustrlen(big_buffer) != MESSAGE_ID_LENGTH + 3 ||
 325     Ustrncmp(big_buffer, name, MESSAGE_ID_LENGTH + 2) != 0)
 326   goto SPOOL_FORMAT_ERROR;
 327
 328 /* The next three lines in the header file are in a fixed format. The first
 329 contains the login, uid, and gid of the user who caused the file to be written.
 330 There are known cases where a negative gid is used, so we allow for both
 331 negative uids and gids. The second contains the mail address of the message's
 332 sender, enclosed in <>. The third contains the time the message was received,
 333 and the number of warning messages for delivery delays that have been sent. */
 334
 335 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 336
 337 p = big_buffer + Ustrlen(big_buffer);
 338 while (p > big_buffer && isspace(p[-1])) p--;
 339 *p = 0;
 340 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 341 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 342 gid = Uatoi(p);
 343 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 344 *p = 0;
 345 if (!isdigit(p[-1])) goto SPOOL_FORMAT_ERROR;
 346 while (p > big_buffer && (isdigit(p[-1]) || '-' == p[-1])) p--;
 347 uid = Uatoi(p);
 348 if (p <= big_buffer || *(--p) != ' ') goto SPOOL_FORMAT_ERROR;
 349 *p = 0;
 350
 351 originator_login = string_copy(big_buffer);
 352 originator_uid = (uid_t)uid;
 353 originator_gid = (gid_t)gid;
 354
 355 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 356 n = Ustrlen(big_buffer);
 357 if (n < 3 || big_buffer[0] != '<' || big_buffer[n-2] != '>')
 358   goto SPOOL_FORMAT_ERROR;
 359
 360 sender_address = store_get(n-2);
 361 Ustrncpy(sender_address, big_buffer+1, n-3);
 362 sender_address[n-3] = 0;
 363
 364 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 365 if (sscanf(CS big_buffer, "%d %d", &received_time, &warning_count) != 2)
 366   goto SPOOL_FORMAT_ERROR;
 367
 368 message_age = time(NULL) - received_time;
 369
 370 #ifndef COMPILE_UTILITY
 371 DEBUG(D_deliver) debug_printf("user=%s uid=%ld gid=%ld sender=%s\n",
 372   originator_login, (long int)originator_uid, (long int)originator_gid,
 373   sender_address);
 374 #endif  /* COMPILE_UTILITY */
 375
 376 /* Now there may be a number of optional lines, each starting with "-". If you
 377 add a new setting here, make sure you set the default above.
 378
 379 Because there are now quite a number of different possibilities, we use a
 380 switch on the first character to avoid too many failing tests. Thanks to Nico
 381 Erfurth for the patch that implemented this. I have made it even more efficient
 382 by not re-scanning the first two characters.
 383
 384 To allow new versions of Exim that add additional flags to interwork with older
 385 versions that do not understand them, just ignore any lines starting with "-"
 386 that we don't recognize. Otherwise it wouldn't be possible to back off a new
 387 version that left new-style flags written on the spool. */
 388
 389 p = big_buffer + 2;
 390 for (;;)
 391   {
 392   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 393   if (big_buffer[0] != '-') break;
 394   big_buffer[Ustrlen(big_buffer) - 1] = 0;
 395
 396   switch(big_buffer[1])
 397     {
 398     case 'a':
 399
 400     /* Nowadays we use "-aclc" and "-aclm" for the different types of ACL
 401     variable, because Exim allows any number of them, with arbitrary names.
 402     The line in the spool file is "-acl[cm] <name> <length>". The name excludes
 403     the c or m. */
 404
 405     if (Ustrncmp(p, "clc ", 4) == 0 ||
 406         Ustrncmp(p, "clm ", 4) == 0)
 407       {
 408       uschar *name, *endptr;
 409       int count;
 410       tree_node *node;
 411       endptr = Ustrchr(big_buffer + 6, ' ');
 412       if (endptr == NULL) goto SPOOL_FORMAT_ERROR;
 413       name = string_sprintf("%c%.*s", big_buffer[4], endptr - big_buffer - 6,
 414         big_buffer + 6);
 415       if (sscanf(CS endptr, " %d", &count) != 1) goto SPOOL_FORMAT_ERROR;
 416       node = acl_var_create(name);
 417       node->data.ptr = store_get(count + 1);
 418       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 419       ((uschar*)node->data.ptr)[count] = 0;
 420       }
 421
 422     else if (Ustrcmp(p, "llow_unqualified_recipient") == 0)
 423       allow_unqualified_recipient = TRUE;
 424     else if (Ustrcmp(p, "llow_unqualified_sender") == 0)
 425       allow_unqualified_sender = TRUE;
 426
 427     else if (Ustrncmp(p, "uth_id", 6) == 0)
 428       authenticated_id = string_copy(big_buffer + 9);
 429     else if (Ustrncmp(p, "uth_sender", 10) == 0)
 430       authenticated_sender = string_copy(big_buffer + 13);
 431     else if (Ustrncmp(p, "ctive_hostname", 14) == 0)
 432       smtp_active_hostname = string_copy(big_buffer + 17);
 433
 434     /* For long-term backward compatibility, we recognize "-acl", which was
 435     used before the number of ACL variables changed from 10 to 20. This was
 436     before the subsequent change to an arbitrary number of named variables.
 437     This code is retained so that upgrades from very old versions can still
 438     handle old-format spool files. The value given after "-acl" is a number
 439     that is 0-9 for connection variables, and 10-19 for message variables. */
 440
 441     else if (Ustrncmp(p, "cl ", 3) == 0)
 442       {
 443       int index, count;
 444       uschar name[20];   /* Need plenty of space for %d format */
 445       tree_node *node;
 446       if (sscanf(CS big_buffer + 5, "%d %d", &index, &count) != 2)
 447         goto SPOOL_FORMAT_ERROR;
 448       if (index < 10)
 449         (void) string_format(name, sizeof(name), "%c%d", 'c', index);
 450       else if (index < 20) /* ignore out-of-range index */
 451         (void) string_format(name, sizeof(name), "%c%d", 'm', index - 10);
 452       node = acl_var_create(name);
 453       node->data.ptr = store_get(count + 1);
 454       if (fread(node->data.ptr, 1, count+1, f) < count) goto SPOOL_READ_ERROR;
 455       ((uschar*)node->data.ptr)[count] = 0;
 456       }
 457     break;
 458
 459     case 'b':
 460     if (Ustrncmp(p, "ody_linecount", 13) == 0)
 461       body_linecount = Uatoi(big_buffer + 15);
 462     else if (Ustrncmp(p, "ody_zerocount", 13) == 0)
 463       body_zerocount = Uatoi(big_buffer + 15);
 464     #ifdef EXPERIMENTAL_BRIGHTMAIL
 465     else if (Ustrncmp(p, "mi_verdicts ", 12) == 0)
 466       bmi_verdicts = string_copy(big_buffer + 14);
 467     #endif
 468     break;
 469
 470     case 'd':
 471     if (Ustrcmp(p, "eliver_firsttime") == 0)
 472       deliver_firsttime = TRUE;
 473     break;
 474
 475     case 'f':
 476     if (Ustrncmp(p, "rozen", 5) == 0)
 477       {
 478       deliver_freeze = TRUE;
 479       deliver_frozen_at = Uatoi(big_buffer + 7);
 480       }
 481     break;
 482
 483     case 'h':
 484     if (Ustrcmp(p, "ost_lookup_deferred") == 0)
 485       host_lookup_deferred = TRUE;
 486     else if (Ustrcmp(p, "ost_lookup_failed") == 0)
 487       host_lookup_failed = TRUE;
 488     else if (Ustrncmp(p, "ost_auth", 8) == 0)
 489       sender_host_authenticated = string_copy(big_buffer + 11);
 490     else if (Ustrncmp(p, "ost_name", 8) == 0)
 491       sender_host_name = string_copy(big_buffer + 11);
 492     else if (Ustrncmp(p, "elo_name", 8) == 0)
 493       sender_helo_name = string_copy(big_buffer + 11);
 494
 495     /* We now record the port number after the address, separated by a
 496     dot. For compatibility during upgrading, do nothing if there
 497     isn't a value (it gets left at zero). */
 498
 499     else if (Ustrncmp(p, "ost_address", 11) == 0)
 500       {
 501       sender_host_port = host_address_extract_port(big_buffer + 14);
 502       sender_host_address = string_copy(big_buffer + 14);
 503       }
 504     break;
 505
 506     case 'i':
 507     if (Ustrncmp(p, "nterface_address", 16) == 0)
 508       {
 509       interface_port = host_address_extract_port(big_buffer + 19);
 510       interface_address = string_copy(big_buffer + 19);
 511       }
 512     else if (Ustrncmp(p, "dent", 4) == 0)
 513       sender_ident = string_copy(big_buffer + 7);
 514     break;
 515
 516     case 'l':
 517     if (Ustrcmp(p, "ocal") == 0) sender_local = TRUE;
 518     else if (Ustrcmp(big_buffer, "-localerror") == 0)
 519       local_error_message = TRUE;
 520     else if (Ustrncmp(p, "ocal_scan ", 10) == 0)
 521       local_scan_data = string_copy(big_buffer + 12);
 522     break;
 523
 524     case 'm':
 525     if (Ustrcmp(p, "anual_thaw") == 0) deliver_manual_thaw = TRUE;
 526     else if (Ustrncmp(p, "ax_received_linelength", 22) == 0)
 527       max_received_linelength = Uatoi(big_buffer + 24);
 528     break;
 529
 530     case 'N':
 531     if (*p == 0) dont_deliver = TRUE;   /* -N */
 532     break;
 533
 534     case 'r':
 535     if (Ustrncmp(p, "eceived_protocol", 16) == 0)
 536       received_protocol = string_copy(big_buffer + 19);
 537     break;
 538
 539     case 's':
 540     if (Ustrncmp(p, "ender_set_untrusted", 19) == 0)
 541       sender_set_untrusted = TRUE;
 542     #ifdef WITH_CONTENT_SCAN
 543     else if (Ustrncmp(p, "pam_score_int ", 14) == 0)
 544       spam_score_int = string_copy(big_buffer + 16);
 545     #endif
 546     break;
 547
 548     #ifdef SUPPORT_TLS
 549     case 't':
 550     if (Ustrncmp(p, "ls_certificate_verified", 23) == 0)
 551       tls_certificate_verified = TRUE;
 552     else if (Ustrncmp(p, "ls_cipher", 9) == 0)
 553       tls_cipher = string_copy(big_buffer + 12);
 554     else if (Ustrncmp(p, "ls_peerdn", 9) == 0)
 555       tls_peerdn = string_copy(big_buffer + 12);
 556     break;
 557     #endif
 558
 559     default:    /* Present because some compilers complain if all */
 560     break;      /* possibilities are not covered. */
 561     }
 562   }
 563
 564 /* Build sender_fullhost if required */
 565
 566 #ifndef COMPILE_UTILITY
 567 host_build_sender_fullhost();
 568 #endif  /* COMPILE_UTILITY */
 569
 570 #ifndef COMPILE_UTILITY
 571 DEBUG(D_deliver)
 572   debug_printf("sender_local=%d ident=%s\n", sender_local,
 573     (sender_ident == NULL)? US"unset" : sender_ident);
 574 #endif  /* COMPILE_UTILITY */
 575
 576 /* We now have the tree of addresses NOT to deliver to, or a line
 577 containing "XX", indicating no tree. */
 578
 579 if (Ustrncmp(big_buffer, "XX\n", 3) != 0 &&
 580   !read_nonrecipients_tree(&tree_nonrecipients, f, big_buffer, big_buffer_size))
 581     goto SPOOL_FORMAT_ERROR;
 582
 583 #ifndef COMPILE_UTILITY
 584 DEBUG(D_deliver)
 585   {
 586   debug_printf("Non-recipients:\n");
 587   debug_print_tree(tree_nonrecipients);
 588   }
 589 #endif  /* COMPILE_UTILITY */
 590
 591 /* After reading the tree, the next line has not yet been read into the
 592 buffer. It contains the count of recipients which follow on separate lines. */
 593
 594 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 595 if (sscanf(CS big_buffer, "%d", &rcount) != 1) goto SPOOL_FORMAT_ERROR;
 596
 597 #ifndef COMPILE_UTILITY
 598 DEBUG(D_deliver) debug_printf("recipients_count=%d\n", rcount);
 599 #endif  /* COMPILE_UTILITY */
 600
 601 recipients_list_max = rcount;
 602 recipients_list = store_get(rcount * sizeof(recipient_item));
 603
 604 for (recipients_count = 0; recipients_count < rcount; recipients_count++)
 605   {
 606   int nn;
 607   int pno = -1;
 608   uschar *errors_to = NULL;
 609   uschar *p;
 610
 611   if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 612   nn = Ustrlen(big_buffer);
 613   if (nn < 2) goto SPOOL_FORMAT_ERROR;
 614
 615   /* Remove the newline; this terminates the address if there is no additional
 616   data on the line. */
 617
 618   p = big_buffer + nn - 1;
 619   *p-- = 0;
 620
 621   /* Look back from the end of the line for digits and special terminators.
 622   Since an address must end with a domain, we can tell that extra data is
 623   present by the presence of the terminator, which is always some character
 624   that cannot exist in a domain. (If I'd thought of the need for additional
 625   data early on, I'd have put it at the start, with the address at the end. As
 626   it is, we have to operate backwards. Addresses are permitted to contain
 627   spaces, you see.)
 628
 629   This code has to cope with various versions of this data that have evolved
 630   over time. In all cases, the line might just contain an address, with no
 631   additional data. Otherwise, the possibilities are as follows:
 632
 633   Exim 3 type:       <address><space><digits>,<digits>,<digits>
 634
 635     The second set of digits is the parent number for one_time addresses. The
 636     other values were remnants of earlier experiments that were abandoned.
 637
 638   Exim 4 first type: <address><space><digits>
 639
 640     The digits are the parent number for one_time addresses.
 641
 642   Exim 4 new type:   <address><space><data>#<type bits>
 643
 644     The type bits indicate what the contents of the data are.
 645
 646     Bit 01 indicates that, reading from right to left, the data
 647       ends with <errors_to address><space><len>,<pno> where pno is
 648       the parent number for one_time addresses, and len is the length
 649       of the errors_to address (zero meaning none).
 650    */
 651
 652   while (isdigit(*p)) p--;
 653
 654   /* Handle Exim 3 spool files */
 655
 656   if (*p == ',')
 657     {
 658     int dummy;
 659     while (isdigit(*(--p)) || *p == ',');
 660     if (*p == ' ')
 661       {
 662       *p++ = 0;
 663       (void)sscanf(CS p, "%d,%d", &dummy, &pno);
 664       }
 665     }
 666
 667   /* Handle early Exim 4 spool files */
 668
 669   else if (*p == ' ')
 670     {
 671     *p++ = 0;
 672     (void)sscanf(CS p, "%d", &pno);
 673     }
 674
 675   /* Handle current format Exim 4 spool files */
 676
 677   else if (*p == '#')
 678     {
 679     int flags;
 680     (void)sscanf(CS p+1, "%d", &flags);
 681
 682     if ((flags & 0x01) != 0)      /* one_time data exists */
 683       {
 684       int len;
 685       while (isdigit(*(--p)) || *p == ',' || *p == '-');
 686       (void)sscanf(CS p+1, "%d,%d", &len, &pno);
 687       *p = 0;
 688       if (len > 0)
 689         {
 690         p -= len;
 691         errors_to = string_copy(p);
 692         }
 693       }
 694
 695     *(--p) = 0;   /* Terminate address */
 696     }
 697
 698   recipients_list[recipients_count].address = string_copy(big_buffer);
 699   recipients_list[recipients_count].pno = pno;
 700   recipients_list[recipients_count].errors_to = errors_to;
 701   }
 702
 703 /* The remainder of the spool header file contains the headers for the message,
 704 separated off from the previous data by a blank line. Each header is preceded
 705 by a count of its length and either a certain letter (for various identified
 706 headers), space (for a miscellaneous live header) or an asterisk (for a header
 707 that has been rewritten). Count the Received: headers. We read the headers
 708 always, in order to check on the format of the file, but only create a header
 709 list if requested to do so. */
 710
 711 inheader = TRUE;
 712 if (Ufgets(big_buffer, big_buffer_size, f) == NULL) goto SPOOL_READ_ERROR;
 713 if (big_buffer[0] != '\n') goto SPOOL_FORMAT_ERROR;
 714
 715 while ((n = fgetc(f)) != EOF)
 716   {
 717   header_line *h;
 718   uschar flag[4];
 719   int i;
 720
 721   if (!isdigit(n)) goto SPOOL_FORMAT_ERROR;
 722   (void)ungetc(n, f);
 723   (void)fscanf(f, "%d%c ", &n, flag);
 724   if (flag[0] != '*') message_size += n;  /* Omit non-transmitted headers */
 725
 726   if (read_headers)
 727     {
 728     h = store_get(sizeof(header_line));
 729     h->next = NULL;
 730     h->type = flag[0];
 731     h->slen = n;
 732     h->text = store_get(n+1);
 733
 734     if (h->type == htype_received) received_count++;
 735
 736     if (header_list == NULL) header_list = h;
 737       else header_last->next = h;
 738     header_last = h;
 739
 740     for (i = 0; i < n; i++)
 741       {
 742       int c = fgetc(f);
 743       if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 744       if (c == '\n' && h->type != htype_old) message_linecount++;
 745       h->text[i] = c;
 746       }
 747     h->text[i] = 0;
 748     }
 749
 750   /* Not requiring header data, just skip through the bytes */
 751
 752   else for (i = 0; i < n; i++)
 753     {
 754     int c = fgetc(f);
 755     if (c == 0 || c == EOF) goto SPOOL_FORMAT_ERROR;
 756     }
 757   }
 758
 759 /* We have successfully read the data in the header file. Update the message
 760 line count by adding the body linecount to the header linecount. Close the file
 761 and give a positive response. */
 762
 763 #ifndef COMPILE_UTILITY
 764 DEBUG(D_deliver) debug_printf("body_linecount=%d message_linecount=%d\n",
 765   body_linecount, message_linecount);
 766 #endif  /* COMPILE_UTILITY */
 767
 768 message_linecount += body_linecount;
 769
 770 fclose(f);
 771 return spool_read_OK;
 772
 773
 774 /* There was an error reading the spool or there was missing data,
 775 or there was a format error. A "read error" with no errno means an
 776 unexpected EOF, which we treat as a format error. */
 777
 778 SPOOL_READ_ERROR:
 779 if (errno != 0)
 780   {
 781   n = errno;
 782
 783   #ifndef COMPILE_UTILITY
 784   DEBUG(D_any) debug_printf("Error while reading spool file %s\n", name);
 785   #endif  /* COMPILE_UTILITY */
 786
 787   fclose(f);
 788   errno = n;
 789   return inheader? spool_read_hdrerror : spool_read_enverror;
 790   }
 791
 792 SPOOL_FORMAT_ERROR:
 793
 794 #ifndef COMPILE_UTILITY
 795 DEBUG(D_any) debug_printf("Format error in spool file %s\n", name);
 796 #endif  /* COMPILE_UTILITY */
 797
 798 fclose(f);
 799 errno = ERRNO_SPOOLFORMAT;
 800 return inheader? spool_read_hdrerror : spool_read_enverror;
 801 }
 802
 803 /* End of spool_in.c */