7f1515c98c5b50a894c07e743a69312bf0d61ade
[users/jgh/exim.git] / src / src / expand.c
1 /* $Cambridge: exim/src/src/expand.c,v 1.73 2006/12/05 11:35:28 ph10 Exp $ */
2
3 /*************************************************
4 *     Exim - an Internet mail transport agent    *
5 *************************************************/
6
7 /* Copyright (c) University of Cambridge 1995 - 2006 */
8 /* See the file NOTICE for conditions of use and distribution. */
9
10
11 /* Functions for handling string expansion. */
12
13
14 #include "exim.h"
15
16 /* Recursively called function */
17
18 static uschar *expand_string_internal(uschar *, BOOL, uschar **, BOOL);
19
20 #ifdef STAND_ALONE
21 #ifndef SUPPORT_CRYPTEQ
22 #define SUPPORT_CRYPTEQ
23 #endif
24 #endif
25
26 #ifdef LOOKUP_LDAP
27 #include "lookups/ldap.h"
28 #endif
29
30 #ifdef SUPPORT_CRYPTEQ
31 #ifdef CRYPT_H
32 #include <crypt.h>
33 #endif
34 #ifndef HAVE_CRYPT16
35 extern char* crypt16(char*, char*);
36 #endif
37 #endif
38
39 /* The handling of crypt16() is a mess. I will record below the analysis of the
40 mess that was sent to me. We decided, however, to make changing this very low
41 priority, because in practice people are moving away from the crypt()
42 algorithms nowadays, so it doesn't seem worth it.
43
44 <quote>
45 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
46 the first 8 characters of the password using a 20-round version of crypt
47 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
48 or an empty block if the password is less than 9 characters, using a
49 20-round version of crypt and the same salt as was used for the first
50 block.  Charaters after the first 16 are ignored.  It always generates
51 a 16-byte hash, which is expressed together with the salt as a string
52 of 24 base 64 digits.  Here are some links to peruse:
53
54         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
55         http://seclists.org/bugtraq/1999/Mar/0076.html
56
57 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
58 and OSF/1.  This is the same as the standard crypt if given a password
59 of 8 characters or less.  If given more, it first does the same as crypt
60 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
61 using as salt the first two base 64 digits from the first hash block.
62 If the password is more than 16 characters then it crypts the 17th to 24th
63 characters using as salt the first two base 64 digits from the second hash
64 block.  And so on: I've seen references to it cutting off the password at
65 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
66
67         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
68         http://seclists.org/bugtraq/1999/Mar/0109.html
69         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
70              TET1_html/sec.c222.html#no_id_208
71
72 Exim has something it calls "crypt16".  It will either use a native
73 crypt16 or its own implementation.  A native crypt16 will presumably
74 be the one that I called "crypt16" above.  The internal "crypt16"
75 function, however, is a two-block-maximum implementation of what I called
76 "bigcrypt".  The documentation matches the internal code.
77
78 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
79 that crypt16 and bigcrypt were different things.
80
81 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
82 to whatever it is using under that name.  This unfortunately sets a
83 precedent for using "{crypt16}" to identify two incompatible algorithms
84 whose output can't be distinguished.  With "{crypt16}" thus rendered
85 ambiguous, I suggest you deprecate it and invent two new identifiers
86 for the two algorithms.
87
88 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
89 of the password separately means they can be cracked separately, so
90 the double-length hash only doubles the cracking effort instead of
91 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
92 bcrypt ({CRYPT}$2a$).
93 </quote>
94 */
95
96
97
98
99 /*************************************************
100 *            Local statics and tables            *
101 *************************************************/
102
103 /* Table of item names, and corresponding switch numbers. The names must be in
104 alphabetical order. */
105
106 static uschar *item_table[] = {
107   US"dlfunc",
108   US"extract",
109   US"hash",
110   US"hmac",
111   US"if",
112   US"length",
113   US"lookup",
114   US"nhash",
115   US"perl",
116   US"prvs",
117   US"prvscheck",
118   US"readfile",
119   US"readsocket",
120   US"run",
121   US"sg",
122   US"substr",
123   US"tr" };
124
125 enum {
126   EITEM_DLFUNC,
127   EITEM_EXTRACT,
128   EITEM_HASH,
129   EITEM_HMAC,
130   EITEM_IF,
131   EITEM_LENGTH,
132   EITEM_LOOKUP,
133   EITEM_NHASH,
134   EITEM_PERL,
135   EITEM_PRVS,
136   EITEM_PRVSCHECK,
137   EITEM_READFILE,
138   EITEM_READSOCK,
139   EITEM_RUN,
140   EITEM_SG,
141   EITEM_SUBSTR,
142   EITEM_TR };
143
144 /* Tables of operator names, and corresponding switch numbers. The names must be
145 in alphabetical order. There are two tables, because underscore is used in some
146 cases to introduce arguments, whereas for other it is part of the name. This is
147 an historical mis-design. */
148
149 static uschar *op_table_underscore[] = {
150   US"from_utf8",
151   US"local_part",
152   US"quote_local_part",
153   US"time_eval",
154   US"time_interval"};
155
156 enum {
157   EOP_FROM_UTF8,
158   EOP_LOCAL_PART,
159   EOP_QUOTE_LOCAL_PART,
160   EOP_TIME_EVAL,
161   EOP_TIME_INTERVAL };
162
163 static uschar *op_table_main[] = {
164   US"address",
165   US"base62",
166   US"base62d",
167   US"domain",
168   US"escape",
169   US"eval",
170   US"eval10",
171   US"expand",
172   US"h",
173   US"hash",
174   US"hex2b64",
175   US"l",
176   US"lc",
177   US"length",
178   US"mask",
179   US"md5",
180   US"nh",
181   US"nhash",
182   US"quote",
183   US"rfc2047",
184   US"rxquote",
185   US"s",
186   US"sha1",
187   US"stat",
188   US"str2b64",
189   US"strlen",
190   US"substr",
191   US"uc" };
192
193 enum {
194   EOP_ADDRESS =  sizeof(op_table_underscore)/sizeof(uschar *),
195   EOP_BASE62,
196   EOP_BASE62D,
197   EOP_DOMAIN,
198   EOP_ESCAPE,
199   EOP_EVAL,
200   EOP_EVAL10,
201   EOP_EXPAND,
202   EOP_H,
203   EOP_HASH,
204   EOP_HEX2B64,
205   EOP_L,
206   EOP_LC,
207   EOP_LENGTH,
208   EOP_MASK,
209   EOP_MD5,
210   EOP_NH,
211   EOP_NHASH,
212   EOP_QUOTE,
213   EOP_RFC2047,
214   EOP_RXQUOTE,
215   EOP_S,
216   EOP_SHA1,
217   EOP_STAT,
218   EOP_STR2B64,
219   EOP_STRLEN,
220   EOP_SUBSTR,
221   EOP_UC };
222
223
224 /* Table of condition names, and corresponding switch numbers. The names must
225 be in alphabetical order. */
226
227 static uschar *cond_table[] = {
228   US"<",
229   US"<=",
230   US"=",
231   US"==",     /* Backward compatibility */
232   US">",
233   US">=",
234   US"and",
235   US"crypteq",
236   US"def",
237   US"eq",
238   US"eqi",
239   US"exists",
240   US"first_delivery",
241   US"ge",
242   US"gei",
243   US"gt",
244   US"gti",
245   US"isip",
246   US"isip4",
247   US"isip6",
248   US"ldapauth",
249   US"le",
250   US"lei",
251   US"lt",
252   US"lti",
253   US"match",
254   US"match_address",
255   US"match_domain",
256   US"match_ip",
257   US"match_local_part",
258   US"or",
259   US"pam",
260   US"pwcheck",
261   US"queue_running",
262   US"radius",
263   US"saslauthd"
264 };
265
266 enum {
267   ECOND_NUM_L,
268   ECOND_NUM_LE,
269   ECOND_NUM_E,
270   ECOND_NUM_EE,
271   ECOND_NUM_G,
272   ECOND_NUM_GE,
273   ECOND_AND,
274   ECOND_CRYPTEQ,
275   ECOND_DEF,
276   ECOND_STR_EQ,
277   ECOND_STR_EQI,
278   ECOND_EXISTS,
279   ECOND_FIRST_DELIVERY,
280   ECOND_STR_GE,
281   ECOND_STR_GEI,
282   ECOND_STR_GT,
283   ECOND_STR_GTI,
284   ECOND_ISIP,
285   ECOND_ISIP4,
286   ECOND_ISIP6,
287   ECOND_LDAPAUTH,
288   ECOND_STR_LE,
289   ECOND_STR_LEI,
290   ECOND_STR_LT,
291   ECOND_STR_LTI,
292   ECOND_MATCH,
293   ECOND_MATCH_ADDRESS,
294   ECOND_MATCH_DOMAIN,
295   ECOND_MATCH_IP,
296   ECOND_MATCH_LOCAL_PART,
297   ECOND_OR,
298   ECOND_PAM,
299   ECOND_PWCHECK,
300   ECOND_QUEUE_RUNNING,
301   ECOND_RADIUS,
302   ECOND_SASLAUTHD
303 };
304
305
306 /* Type for main variable table */
307
308 typedef struct {
309   char *name;
310   int   type;
311   void *value;
312 } var_entry;
313
314 /* Type for entries pointing to address/length pairs. Not currently
315 in use. */
316
317 typedef struct {
318   uschar **address;
319   int  *length;
320 } alblock;
321
322 /* Types of table entry */
323
324 enum {
325   vtype_int,            /* value is address of int */
326   vtype_filter_int,     /* ditto, but recognized only when filtering */
327   vtype_ino,            /* value is address of ino_t (not always an int) */
328   vtype_uid,            /* value is address of uid_t (not always an int) */
329   vtype_gid,            /* value is address of gid_t (not always an int) */
330   vtype_stringptr,      /* value is address of pointer to string */
331   vtype_msgbody,        /* as stringptr, but read when first required */
332   vtype_msgbody_end,    /* ditto, the end of the message */
333   vtype_msgheaders,     /* the message's headers, processed */
334   vtype_msgheaders_raw, /* the message's headers, unprocessed */
335   vtype_localpart,      /* extract local part from string */
336   vtype_domain,         /* extract domain from string */
337   vtype_recipients,     /* extract recipients from recipients list */
338                         /* (enabled only during system filtering */
339   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
340   vtype_tode,           /* value not used; generate tod in epoch format */
341   vtype_todf,           /* value not used; generate full tod */
342   vtype_todl,           /* value not used; generate log tod */
343   vtype_todlf,          /* value not used; generate log file datestamp tod */
344   vtype_todzone,        /* value not used; generate time zone only */
345   vtype_todzulu,        /* value not used; generate zulu tod */
346   vtype_reply,          /* value not used; get reply from headers */
347   vtype_pid,            /* value not used; result is pid */
348   vtype_host_lookup,    /* value not used; get host name */
349   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
350   vtype_pspace,         /* partition space; value is T/F for spool/log */
351   vtype_pinodes         /* partition inodes; value is T/F for spool/log */
352 #ifdef EXPERIMENTAL_DOMAINKEYS
353  ,vtype_dk_verify       /* Serve request out of DomainKeys verification structure */
354 #endif
355   };
356
357 /* This table must be kept in alphabetical order. */
358
359 static var_entry var_table[] = {
360   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
361      they will be confused with user-creatable ACL variables. */
362   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
363   { "address_data",        vtype_stringptr,   &deliver_address_data },
364   { "address_file",        vtype_stringptr,   &address_file },
365   { "address_pipe",        vtype_stringptr,   &address_pipe },
366   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
367   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
368   { "authentication_failed",vtype_int,        &authentication_failed },
369 #ifdef EXPERIMENTAL_BRIGHTMAIL
370   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
371   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
372   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
373   { "bmi_deliver",         vtype_int,         &bmi_deliver },
374 #endif
375   { "body_linecount",      vtype_int,         &body_linecount },
376   { "body_zerocount",      vtype_int,         &body_zerocount },
377   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
378   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
379   { "caller_gid",          vtype_gid,         &real_gid },
380   { "caller_uid",          vtype_uid,         &real_uid },
381   { "compile_date",        vtype_stringptr,   &version_date },
382   { "compile_number",      vtype_stringptr,   &version_cnumber },
383   { "csa_status",          vtype_stringptr,   &csa_status },
384 #ifdef WITH_OLD_DEMIME
385   { "demime_errorlevel",   vtype_int,         &demime_errorlevel },
386   { "demime_reason",       vtype_stringptr,   &demime_reason },
387 #endif
388 #ifdef EXPERIMENTAL_DOMAINKEYS
389   { "dk_domain",           vtype_stringptr,   &dk_signing_domain },
390   { "dk_is_signed",        vtype_dk_verify,   NULL },
391   { "dk_result",           vtype_dk_verify,   NULL },
392   { "dk_selector",         vtype_stringptr,   &dk_signing_selector },
393   { "dk_sender",           vtype_dk_verify,   NULL },
394   { "dk_sender_domain",    vtype_dk_verify,   NULL },
395   { "dk_sender_local_part",vtype_dk_verify,   NULL },
396   { "dk_sender_source",    vtype_dk_verify,   NULL },
397   { "dk_signsall",         vtype_dk_verify,   NULL },
398   { "dk_status",           vtype_dk_verify,   NULL },
399   { "dk_testing",          vtype_dk_verify,   NULL },
400 #endif
401   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
402   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
403   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
404   { "domain",              vtype_stringptr,   &deliver_domain },
405   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
406   { "exim_gid",            vtype_gid,         &exim_gid },
407   { "exim_path",           vtype_stringptr,   &exim_path },
408   { "exim_uid",            vtype_uid,         &exim_uid },
409 #ifdef WITH_OLD_DEMIME
410   { "found_extension",     vtype_stringptr,   &found_extension },
411 #endif
412   { "home",                vtype_stringptr,   &deliver_home },
413   { "host",                vtype_stringptr,   &deliver_host },
414   { "host_address",        vtype_stringptr,   &deliver_host_address },
415   { "host_data",           vtype_stringptr,   &host_data },
416   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
417   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
418   { "inode",               vtype_ino,         &deliver_inode },
419   { "interface_address",   vtype_stringptr,   &interface_address },
420   { "interface_port",      vtype_int,         &interface_port },
421   #ifdef LOOKUP_LDAP
422   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
423   #endif
424   { "load_average",        vtype_load_avg,    NULL },
425   { "local_part",          vtype_stringptr,   &deliver_localpart },
426   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
427   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
428   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
429   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
430   { "local_user_gid",      vtype_gid,         &local_user_gid },
431   { "local_user_uid",      vtype_uid,         &local_user_uid },
432   { "localhost_number",    vtype_int,         &host_number },
433   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
434   { "log_space",           vtype_pspace,      (void *)FALSE },
435   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
436 #ifdef WITH_CONTENT_SCAN
437   { "malware_name",        vtype_stringptr,   &malware_name },
438 #endif
439   { "message_age",         vtype_int,         &message_age },
440   { "message_body",        vtype_msgbody,     &message_body },
441   { "message_body_end",    vtype_msgbody_end, &message_body_end },
442   { "message_body_size",   vtype_int,         &message_body_size },
443   { "message_exim_id",     vtype_stringptr,   &message_id },
444   { "message_headers",     vtype_msgheaders,  NULL },
445   { "message_headers_raw", vtype_msgheaders_raw, NULL },
446   { "message_id",          vtype_stringptr,   &message_id },
447   { "message_linecount",   vtype_int,         &message_linecount },
448   { "message_size",        vtype_int,         &message_size },
449 #ifdef WITH_CONTENT_SCAN
450   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
451   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
452   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
453   { "mime_charset",        vtype_stringptr,   &mime_charset },
454   { "mime_content_description", vtype_stringptr, &mime_content_description },
455   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
456   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
457   { "mime_content_size",   vtype_int,         &mime_content_size },
458   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
459   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
460   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
461   { "mime_filename",       vtype_stringptr,   &mime_filename },
462   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
463   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
464   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
465   { "mime_part_count",     vtype_int,         &mime_part_count },
466 #endif
467   { "n0",                  vtype_filter_int,  &filter_n[0] },
468   { "n1",                  vtype_filter_int,  &filter_n[1] },
469   { "n2",                  vtype_filter_int,  &filter_n[2] },
470   { "n3",                  vtype_filter_int,  &filter_n[3] },
471   { "n4",                  vtype_filter_int,  &filter_n[4] },
472   { "n5",                  vtype_filter_int,  &filter_n[5] },
473   { "n6",                  vtype_filter_int,  &filter_n[6] },
474   { "n7",                  vtype_filter_int,  &filter_n[7] },
475   { "n8",                  vtype_filter_int,  &filter_n[8] },
476   { "n9",                  vtype_filter_int,  &filter_n[9] },
477   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
478   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
479   { "originator_gid",      vtype_gid,         &originator_gid },
480   { "originator_uid",      vtype_uid,         &originator_uid },
481   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
482   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
483   { "pid",                 vtype_pid,         NULL },
484   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
485   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
486   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
487   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
488   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
489   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
490   { "rcpt_count",          vtype_int,         &rcpt_count },
491   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
492   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
493   { "received_count",      vtype_int,         &received_count },
494   { "received_for",        vtype_stringptr,   &received_for },
495   { "received_ip_address", vtype_stringptr,   &interface_address },
496   { "received_port",       vtype_int,         &interface_port },
497   { "received_protocol",   vtype_stringptr,   &received_protocol },
498   { "received_time",       vtype_int,         &received_time },
499   { "recipient_data",      vtype_stringptr,   &recipient_data },
500   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
501   { "recipients",          vtype_recipients,  NULL },
502   { "recipients_count",    vtype_int,         &recipients_count },
503 #ifdef WITH_CONTENT_SCAN
504   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
505 #endif
506   { "reply_address",       vtype_reply,       NULL },
507   { "return_path",         vtype_stringptr,   &return_path },
508   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
509   { "runrc",               vtype_int,         &runrc },
510   { "self_hostname",       vtype_stringptr,   &self_hostname },
511   { "sender_address",      vtype_stringptr,   &sender_address },
512   { "sender_address_data", vtype_stringptr,   &sender_address_data },
513   { "sender_address_domain", vtype_domain,    &sender_address },
514   { "sender_address_local_part", vtype_localpart, &sender_address },
515   { "sender_data",         vtype_stringptr,   &sender_data },
516   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
517   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
518   { "sender_host_address", vtype_stringptr,   &sender_host_address },
519   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
520   { "sender_host_name",    vtype_host_lookup, NULL },
521   { "sender_host_port",    vtype_int,         &sender_host_port },
522   { "sender_ident",        vtype_stringptr,   &sender_ident },
523   { "sender_rate",         vtype_stringptr,   &sender_rate },
524   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
525   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
526   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
527   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
528   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
529   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
530   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
531   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
532   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
533   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
534   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
535   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
536   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
537   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
538   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
539   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
540   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
541 #ifdef WITH_CONTENT_SCAN
542   { "spam_bar",            vtype_stringptr,   &spam_bar },
543   { "spam_report",         vtype_stringptr,   &spam_report },
544   { "spam_score",          vtype_stringptr,   &spam_score },
545   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
546 #endif
547 #ifdef EXPERIMENTAL_SPF
548   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
549   { "spf_received",        vtype_stringptr,   &spf_received },
550   { "spf_result",          vtype_stringptr,   &spf_result },
551   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
552 #endif
553   { "spool_directory",     vtype_stringptr,   &spool_directory },
554   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
555   { "spool_space",         vtype_pspace,      (void *)TRUE },
556 #ifdef EXPERIMENTAL_SRS
557   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
558   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
559   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
560   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
561   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
562   { "srs_status",          vtype_stringptr,   &srs_status },
563 #endif
564   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
565   { "tls_certificate_verified", vtype_int,    &tls_certificate_verified },
566   { "tls_cipher",          vtype_stringptr,   &tls_cipher },
567   { "tls_peerdn",          vtype_stringptr,   &tls_peerdn },
568   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
569   { "tod_epoch",           vtype_tode,        NULL },
570   { "tod_full",            vtype_todf,        NULL },
571   { "tod_log",             vtype_todl,        NULL },
572   { "tod_logfile",         vtype_todlf,       NULL },
573   { "tod_zone",            vtype_todzone,     NULL },
574   { "tod_zulu",            vtype_todzulu,     NULL },
575   { "value",               vtype_stringptr,   &lookup_value },
576   { "version_number",      vtype_stringptr,   &version_string },
577   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
578   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
579   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
580   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
581   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
582   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
583 };
584
585 static int var_table_size = sizeof(var_table)/sizeof(var_entry);
586 static uschar var_buffer[256];
587 static BOOL malformed_header;
588
589 /* For textual hashes */
590
591 static char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
592                          "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
593                          "0123456789";
594
595 enum { HMAC_MD5, HMAC_SHA1 };
596
597 /* For numeric hashes */
598
599 static unsigned int prime[] = {
600   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
601  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
602  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
603
604 /* For printing modes in symbolic form */
605
606 static uschar *mtable_normal[] =
607   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
608
609 static uschar *mtable_setid[] =
610   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
611
612 static uschar *mtable_sticky[] =
613   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
614
615
616
617 /*************************************************
618 *           Tables for UTF-8 support             *
619 *************************************************/
620
621 /* Table of the number of extra characters, indexed by the first character
622 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
623 0x3d. */
624
625 static uschar utf8_table1[] = {
626   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
627   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
628   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
629   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
630
631 /* These are the masks for the data bits in the first byte of a character,
632 indexed by the number of additional bytes. */
633
634 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
635
636 /* Get the next UTF-8 character, advancing the pointer. */
637
638 #define GETUTF8INC(c, ptr) \
639   c = *ptr++; \
640   if ((c & 0xc0) == 0xc0) \
641     { \
642     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
643     int s = 6*a; \
644     c = (c & utf8_table2[a]) << s; \
645     while (a-- > 0) \
646       { \
647       s -= 6; \
648       c |= (*ptr++ & 0x3f) << s; \
649       } \
650     }
651
652
653 /*************************************************
654 *           Binary chop search on a table        *
655 *************************************************/
656
657 /* This is used for matching expansion items and operators.
658
659 Arguments:
660   name        the name that is being sought
661   table       the table to search
662   table_size  the number of items in the table
663
664 Returns:      the offset in the table, or -1
665 */
666
667 static int
668 chop_match(uschar *name, uschar **table, int table_size)
669 {
670 uschar **bot = table;
671 uschar **top = table + table_size;
672
673 while (top > bot)
674   {
675   uschar **mid = bot + (top - bot)/2;
676   int c = Ustrcmp(name, *mid);
677   if (c == 0) return mid - table;
678   if (c > 0) bot = mid + 1; else top = mid;
679   }
680
681 return -1;
682 }
683
684
685
686 /*************************************************
687 *          Check a condition string              *
688 *************************************************/
689
690 /* This function is called to expand a string, and test the result for a "true"
691 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
692 forced fail or lookup defer. All store used by the function can be released on
693 exit.
694
695 Arguments:
696   condition     the condition string
697   m1            text to be incorporated in panic error
698   m2            ditto
699
700 Returns:        TRUE if condition is met, FALSE if not
701 */
702
703 BOOL
704 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
705 {
706 int rc;
707 void *reset_point = store_get(0);
708 uschar *ss = expand_string(condition);
709 if (ss == NULL)
710   {
711   if (!expand_string_forcedfail && !search_find_defer)
712     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
713       "for %s %s: %s", condition, m1, m2, expand_string_message);
714   return FALSE;
715   }
716 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
717   strcmpic(ss, US"false") != 0;
718 store_reset(reset_point);
719 return rc;
720 }
721
722
723
724 /*************************************************
725 *             Pick out a name from a string      *
726 *************************************************/
727
728 /* If the name is too long, it is silently truncated.
729
730 Arguments:
731   name      points to a buffer into which to put the name
732   max       is the length of the buffer
733   s         points to the first alphabetic character of the name
734   extras    chars other than alphanumerics to permit
735
736 Returns:    pointer to the first character after the name
737
738 Note: The test for *s != 0 in the while loop is necessary because
739 Ustrchr() yields non-NULL if the character is zero (which is not something
740 I expected). */
741
742 static uschar *
743 read_name(uschar *name, int max, uschar *s, uschar *extras)
744 {
745 int ptr = 0;
746 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
747   {
748   if (ptr < max-1) name[ptr++] = *s;
749   s++;
750   }
751 name[ptr] = 0;
752 return s;
753 }
754
755
756
757 /*************************************************
758 *     Pick out the rest of a header name         *
759 *************************************************/
760
761 /* A variable name starting $header_ (or just $h_ for those who like
762 abbreviations) might not be the complete header name because headers can
763 contain any printing characters in their names, except ':'. This function is
764 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
765 on the end, if the name was terminated by white space.
766
767 Arguments:
768   name      points to a buffer in which the name read so far exists
769   max       is the length of the buffer
770   s         points to the first character after the name so far, i.e. the
771             first non-alphameric character after $header_xxxxx
772
773 Returns:    a pointer to the first character after the header name
774 */
775
776 static uschar *
777 read_header_name(uschar *name, int max, uschar *s)
778 {
779 int prelen = Ustrchr(name, '_') - name + 1;
780 int ptr = Ustrlen(name) - prelen;
781 if (ptr > 0) memmove(name, name+prelen, ptr);
782 while (mac_isgraph(*s) && *s != ':')
783   {
784   if (ptr < max-1) name[ptr++] = *s;
785   s++;
786   }
787 if (*s == ':') s++;
788 name[ptr++] = ':';
789 name[ptr] = 0;
790 return s;
791 }
792
793
794
795 /*************************************************
796 *           Pick out a number from a string      *
797 *************************************************/
798
799 /* Arguments:
800   n     points to an integer into which to put the number
801   s     points to the first digit of the number
802
803 Returns:  a pointer to the character after the last digit
804 */
805
806 static uschar *
807 read_number(int *n, uschar *s)
808 {
809 *n = 0;
810 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
811 return s;
812 }
813
814
815
816 /*************************************************
817 *        Extract keyed subfield from a string    *
818 *************************************************/
819
820 /* The yield is in dynamic store; NULL means that the key was not found.
821
822 Arguments:
823   key       points to the name of the key
824   s         points to the string from which to extract the subfield
825
826 Returns:    NULL if the subfield was not found, or
827             a pointer to the subfield's data
828 */
829
830 static uschar *
831 expand_getkeyed(uschar *key, uschar *s)
832 {
833 int length = Ustrlen(key);
834 while (isspace(*s)) s++;
835
836 /* Loop to search for the key */
837
838 while (*s != 0)
839   {
840   int dkeylength;
841   uschar *data;
842   uschar *dkey = s;
843
844   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
845   dkeylength = s - dkey;
846   while (isspace(*s)) s++;
847   if (*s == '=') while (isspace((*(++s))));
848
849   data = string_dequote(&s);
850   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
851     return data;
852
853   while (isspace(*s)) s++;
854   }
855
856 return NULL;
857 }
858
859
860
861
862 /*************************************************
863 *   Extract numbered subfield from string        *
864 *************************************************/
865
866 /* Extracts a numbered field from a string that is divided by tokens - for
867 example a line from /etc/passwd is divided by colon characters.  First field is
868 numbered one.  Negative arguments count from the right. Zero returns the whole
869 string. Returns NULL if there are insufficient tokens in the string
870
871 ***WARNING***
872 Modifies final argument - this is a dynamically generated string, so that's OK.
873
874 Arguments:
875   field       number of field to be extracted,
876                 first field = 1, whole string = 0, last field = -1
877   separators  characters that are used to break string into tokens
878   s           points to the string from which to extract the subfield
879
880 Returns:      NULL if the field was not found,
881               a pointer to the field's data inside s (modified to add 0)
882 */
883
884 static uschar *
885 expand_gettokened (int field, uschar *separators, uschar *s)
886 {
887 int sep = 1;
888 int count;
889 uschar *ss = s;
890 uschar *fieldtext = NULL;
891
892 if (field == 0) return s;
893
894 /* Break the line up into fields in place; for field > 0 we stop when we have
895 done the number of fields we want. For field < 0 we continue till the end of
896 the string, counting the number of fields. */
897
898 count = (field > 0)? field : INT_MAX;
899
900 while (count-- > 0)
901   {
902   size_t len;
903
904   /* Previous field was the last one in the string. For a positive field
905   number, this means there are not enough fields. For a negative field number,
906   check that there are enough, and scan back to find the one that is wanted. */
907
908   if (sep == 0)
909     {
910     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
911     if ((-field) == (INT_MAX - count - 1)) return s;
912     while (field++ < 0)
913       {
914       ss--;
915       while (ss[-1] != 0) ss--;
916       }
917     fieldtext = ss;
918     break;
919     }
920
921   /* Previous field was not last in the string; save its start and put a
922   zero at its end. */
923
924   fieldtext = ss;
925   len = Ustrcspn(ss, separators);
926   sep = ss[len];
927   ss[len] = 0;
928   ss += len + 1;
929   }
930
931 return fieldtext;
932 }
933
934
935
936 /*************************************************
937 *        Extract a substring from a string       *
938 *************************************************/
939
940 /* Perform the ${substr or ${length expansion operations.
941
942 Arguments:
943   subject     the input string
944   value1      the offset from the start of the input string to the start of
945                 the output string; if negative, count from the right.
946   value2      the length of the output string, or negative (-1) for unset
947                 if value1 is positive, unset means "all after"
948                 if value1 is negative, unset means "all before"
949   len         set to the length of the returned string
950
951 Returns:      pointer to the output string, or NULL if there is an error
952 */
953
954 static uschar *
955 extract_substr(uschar *subject, int value1, int value2, int *len)
956 {
957 int sublen = Ustrlen(subject);
958
959 if (value1 < 0)    /* count from right */
960   {
961   value1 += sublen;
962
963   /* If the position is before the start, skip to the start, and adjust the
964   length. If the length ends up negative, the substring is null because nothing
965   can precede. This falls out naturally when the length is unset, meaning "all
966   to the left". */
967
968   if (value1 < 0)
969     {
970     value2 += value1;
971     if (value2 < 0) value2 = 0;
972     value1 = 0;
973     }
974
975   /* Otherwise an unset length => characters before value1 */
976
977   else if (value2 < 0)
978     {
979     value2 = value1;
980     value1 = 0;
981     }
982   }
983
984 /* For a non-negative offset, if the starting position is past the end of the
985 string, the result will be the null string. Otherwise, an unset length means
986 "rest"; just set it to the maximum - it will be cut down below if necessary. */
987
988 else
989   {
990   if (value1 > sublen)
991     {
992     value1 = sublen;
993     value2 = 0;
994     }
995   else if (value2 < 0) value2 = sublen;
996   }
997
998 /* Cut the length down to the maximum possible for the offset value, and get
999 the required characters. */
1000
1001 if (value1 + value2 > sublen) value2 = sublen - value1;
1002 *len = value2;
1003 return subject + value1;
1004 }
1005
1006
1007
1008
1009 /*************************************************
1010 *            Old-style hash of a string          *
1011 *************************************************/
1012
1013 /* Perform the ${hash expansion operation.
1014
1015 Arguments:
1016   subject     the input string (an expanded substring)
1017   value1      the length of the output string; if greater or equal to the
1018                 length of the input string, the input string is returned
1019   value2      the number of hash characters to use, or 26 if negative
1020   len         set to the length of the returned string
1021
1022 Returns:      pointer to the output string, or NULL if there is an error
1023 */
1024
1025 static uschar *
1026 compute_hash(uschar *subject, int value1, int value2, int *len)
1027 {
1028 int sublen = Ustrlen(subject);
1029
1030 if (value2 < 0) value2 = 26;
1031 else if (value2 > Ustrlen(hashcodes))
1032   {
1033   expand_string_message =
1034     string_sprintf("hash count \"%d\" too big", value2);
1035   return NULL;
1036   }
1037
1038 /* Calculate the hash text. We know it is shorter than the original string, so
1039 can safely place it in subject[] (we know that subject is always itself an
1040 expanded substring). */
1041
1042 if (value1 < sublen)
1043   {
1044   int c;
1045   int i = 0;
1046   int j = value1;
1047   while ((c = (subject[j])) != 0)
1048     {
1049     int shift = (c + j++) & 7;
1050     subject[i] ^= (c << shift) | (c >> (8-shift));
1051     if (++i >= value1) i = 0;
1052     }
1053   for (i = 0; i < value1; i++)
1054     subject[i] = hashcodes[(subject[i]) % value2];
1055   }
1056 else value1 = sublen;
1057
1058 *len = value1;
1059 return subject;
1060 }
1061
1062
1063
1064
1065 /*************************************************
1066 *             Numeric hash of a string           *
1067 *************************************************/
1068
1069 /* Perform the ${nhash expansion operation. The first characters of the
1070 string are treated as most important, and get the highest prime numbers.
1071
1072 Arguments:
1073   subject     the input string
1074   value1      the maximum value of the first part of the result
1075   value2      the maximum value of the second part of the result,
1076                 or negative to produce only a one-part result
1077   len         set to the length of the returned string
1078
1079 Returns:  pointer to the output string, or NULL if there is an error.
1080 */
1081
1082 static uschar *
1083 compute_nhash (uschar *subject, int value1, int value2, int *len)
1084 {
1085 uschar *s = subject;
1086 int i = 0;
1087 unsigned long int total = 0; /* no overflow */
1088
1089 while (*s != 0)
1090   {
1091   if (i == 0) i = sizeof(prime)/sizeof(int) - 1;
1092   total += prime[i--] * (unsigned int)(*s++);
1093   }
1094
1095 /* If value2 is unset, just compute one number */
1096
1097 if (value2 < 0)
1098   {
1099   s = string_sprintf("%d", total % value1);
1100   }
1101
1102 /* Otherwise do a div/mod hash */
1103
1104 else
1105   {
1106   total = total % (value1 * value2);
1107   s = string_sprintf("%d/%d", total/value2, total % value2);
1108   }
1109
1110 *len = Ustrlen(s);
1111 return s;
1112 }
1113
1114
1115
1116
1117
1118 /*************************************************
1119 *     Find the value of a header or headers      *
1120 *************************************************/
1121
1122 /* Multiple instances of the same header get concatenated, and this function
1123 can also return a concatenation of all the header lines. When concatenating
1124 specific headers that contain lists of addresses, a comma is inserted between
1125 them. Otherwise we use a straight concatenation. Because some messages can have
1126 pathologically large number of lines, there is a limit on the length that is
1127 returned. Also, to avoid massive store use which would result from using
1128 string_cat() as it copies and extends strings, we do a preliminary pass to find
1129 out exactly how much store will be needed. On "normal" messages this will be
1130 pretty trivial.
1131
1132 Arguments:
1133   name          the name of the header, without the leading $header_ or $h_,
1134                 or NULL if a concatenation of all headers is required
1135   exists_only   TRUE if called from a def: test; don't need to build a string;
1136                 just return a string that is not "" and not "0" if the header
1137                 exists
1138   newsize       return the size of memory block that was obtained; may be NULL
1139                 if exists_only is TRUE
1140   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1141                 other than concatenating, will be done on the header. Also used
1142                 for $message_headers_raw.
1143   charset       name of charset to translate MIME words to; used only if
1144                 want_raw is false; if NULL, no translation is done (this is
1145                 used for $bh_ and $bheader_)
1146
1147 Returns:        NULL if the header does not exist, else a pointer to a new
1148                 store block
1149 */
1150
1151 static uschar *
1152 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1153   uschar *charset)
1154 {
1155 BOOL found = name == NULL;
1156 int comma = 0;
1157 int len = found? 0 : Ustrlen(name);
1158 int i;
1159 uschar *yield = NULL;
1160 uschar *ptr = NULL;
1161
1162 /* Loop for two passes - saves code repetition */
1163
1164 for (i = 0; i < 2; i++)
1165   {
1166   int size = 0;
1167   header_line *h;
1168
1169   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1170     {
1171     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1172       {
1173       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1174         {
1175         int ilen;
1176         uschar *t;
1177
1178         if (exists_only) return US"1";      /* don't need actual string */
1179         found = TRUE;
1180         t = h->text + len;                  /* text to insert */
1181         if (!want_raw)                      /* unless wanted raw, */
1182           while (isspace(*t)) t++;          /* remove leading white space */
1183         ilen = h->slen - (t - h->text);     /* length to insert */
1184
1185         /* Unless wanted raw, remove trailing whitespace, including the
1186         newline. */
1187
1188         if (!want_raw)
1189           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1190
1191         /* Set comma = 1 if handling a single header and it's one of those
1192         that contains an address list, except when asked for raw headers. Only
1193         need to do this once. */
1194
1195         if (!want_raw && name != NULL && comma == 0 &&
1196             Ustrchr("BCFRST", h->type) != NULL)
1197           comma = 1;
1198
1199         /* First pass - compute total store needed; second pass - compute
1200         total store used, including this header. */
1201
1202         size += ilen + comma + 1;  /* +1 for the newline */
1203
1204         /* Second pass - concatentate the data, up to a maximum. Note that
1205         the loop stops when size hits the limit. */
1206
1207         if (i != 0)
1208           {
1209           if (size > header_insert_maxlen)
1210             {
1211             ilen -= size - header_insert_maxlen - 1;
1212             comma = 0;
1213             }
1214           Ustrncpy(ptr, t, ilen);
1215           ptr += ilen;
1216
1217           /* For a non-raw header, put in the comma if needed, then add
1218           back the newline we removed above, provided there was some text in
1219           the header. */
1220
1221           if (!want_raw && ilen > 0)
1222             {
1223             if (comma != 0) *ptr++ = ',';
1224             *ptr++ = '\n';
1225             }
1226           }
1227         }
1228       }
1229     }
1230
1231   /* At end of first pass, return NULL if no header found. Then truncate size
1232   if necessary, and get the buffer to hold the data, returning the buffer size.
1233   */
1234
1235   if (i == 0)
1236     {
1237     if (!found) return NULL;
1238     if (size > header_insert_maxlen) size = header_insert_maxlen;
1239     *newsize = size + 1;
1240     ptr = yield = store_get(*newsize);
1241     }
1242   }
1243
1244 /* That's all we do for raw header expansion. */
1245
1246 if (want_raw)
1247   {
1248   *ptr = 0;
1249   }
1250
1251 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1252 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1253 function can return an error with decoded data if the charset translation
1254 fails. If decoding fails, it returns NULL. */
1255
1256 else
1257   {
1258   uschar *decoded, *error;
1259   if (ptr > yield && ptr[-1] == '\n') ptr--;
1260   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1261   *ptr = 0;
1262   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1263     newsize, &error);
1264   if (error != NULL)
1265     {
1266     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1267       "    input was: %s\n", error, yield);
1268     }
1269   if (decoded != NULL) yield = decoded;
1270   }
1271
1272 return yield;
1273 }
1274
1275
1276
1277
1278 /*************************************************
1279 *               Find value of a variable         *
1280 *************************************************/
1281
1282 /* The table of variables is kept in alphabetic order, so we can search it
1283 using a binary chop. The "choplen" variable is nothing to do with the binary
1284 chop.
1285
1286 Arguments:
1287   name          the name of the variable being sought
1288   exists_only   TRUE if this is a def: test; passed on to find_header()
1289   skipping      TRUE => skip any processing evaluation; this is not the same as
1290                   exists_only because def: may test for values that are first
1291                   evaluated here
1292   newsize       pointer to an int which is initially zero; if the answer is in
1293                 a new memory buffer, *newsize is set to its size
1294
1295 Returns:        NULL if the variable does not exist, or
1296                 a pointer to the variable's contents, or
1297                 something non-NULL if exists_only is TRUE
1298 */
1299
1300 static uschar *
1301 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1302 {
1303 int first = 0;
1304 int last = var_table_size;
1305
1306 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1307 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1308 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1309 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1310 (this gave backwards compatibility at the changeover). There may be built-in
1311 variables whose names start acl_ but they should never start in this way. This
1312 slightly messy specification is a consequence of the history, needless to say.
1313
1314 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1315 set, in which case give an error. */
1316
1317 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1318      !isalpha(name[5]))
1319   {
1320   tree_node *node =
1321     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1322   return (node == NULL)? (strict_acl_vars? NULL : US"") : node->data.ptr;
1323   }
1324
1325 /* Handle $auth<n> variables. */
1326
1327 if (Ustrncmp(name, "auth", 4) == 0)
1328   {
1329   uschar *endptr;
1330   int n = Ustrtoul(name + 4, &endptr, 10);
1331   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1332     return (auth_vars[n-1] == NULL)? US"" : auth_vars[n-1];
1333   }
1334
1335 /* For all other variables, search the table */
1336
1337 while (last > first)
1338   {
1339   uschar *s, *domain;
1340   uschar **ss;
1341   int middle = (first + last)/2;
1342   int c = Ustrcmp(name, var_table[middle].name);
1343
1344   if (c > 0) { first = middle + 1; continue; }
1345   if (c < 0) { last = middle; continue; }
1346
1347   /* Found an existing variable. If in skipping state, the value isn't needed,
1348   and we want to avoid processing (such as looking up the host name). */
1349
1350   if (skipping) return US"";
1351
1352   switch (var_table[middle].type)
1353     {
1354 #ifdef EXPERIMENTAL_DOMAINKEYS
1355
1356     case vtype_dk_verify:
1357     if (dk_verify_block == NULL) return US"";
1358     s = NULL;
1359     if (Ustrcmp(var_table[middle].name, "dk_result") == 0)
1360       s = dk_verify_block->result_string;
1361     if (Ustrcmp(var_table[middle].name, "dk_sender") == 0)
1362       s = dk_verify_block->address;
1363     if (Ustrcmp(var_table[middle].name, "dk_sender_domain") == 0)
1364       s = dk_verify_block->domain;
1365     if (Ustrcmp(var_table[middle].name, "dk_sender_local_part") == 0)
1366       s = dk_verify_block->local_part;
1367
1368     if (Ustrcmp(var_table[middle].name, "dk_sender_source") == 0)
1369       switch(dk_verify_block->address_source) {
1370         case DK_EXIM_ADDRESS_NONE: s = US"0"; break;
1371         case DK_EXIM_ADDRESS_FROM_FROM: s = US"from"; break;
1372         case DK_EXIM_ADDRESS_FROM_SENDER: s = US"sender"; break;
1373       }
1374
1375     if (Ustrcmp(var_table[middle].name, "dk_status") == 0)
1376       switch(dk_verify_block->result) {
1377         case DK_EXIM_RESULT_ERR: s = US"error"; break;
1378         case DK_EXIM_RESULT_BAD_FORMAT: s = US"bad format"; break;
1379         case DK_EXIM_RESULT_NO_KEY: s = US"no key"; break;
1380         case DK_EXIM_RESULT_NO_SIGNATURE: s = US"no signature"; break;
1381         case DK_EXIM_RESULT_REVOKED: s = US"revoked"; break;
1382         case DK_EXIM_RESULT_NON_PARTICIPANT: s = US"non-participant"; break;
1383         case DK_EXIM_RESULT_GOOD: s = US"good"; break;
1384         case DK_EXIM_RESULT_BAD: s = US"bad"; break;
1385       }
1386
1387     if (Ustrcmp(var_table[middle].name, "dk_signsall") == 0)
1388       s = (dk_verify_block->signsall)? US"1" : US"0";
1389
1390     if (Ustrcmp(var_table[middle].name, "dk_testing") == 0)
1391       s = (dk_verify_block->testing)? US"1" : US"0";
1392
1393     if (Ustrcmp(var_table[middle].name, "dk_is_signed") == 0)
1394       s = (dk_verify_block->is_signed)? US"1" : US"0";
1395
1396     return (s == NULL)? US"" : s;
1397 #endif
1398
1399     case vtype_filter_int:
1400     if (!filter_running) return NULL;
1401     /* Fall through */
1402     /* VVVVVVVVVVVV */
1403     case vtype_int:
1404     sprintf(CS var_buffer, "%d", *(int *)(var_table[middle].value)); /* Integer */
1405     return var_buffer;
1406
1407     case vtype_ino:
1408     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(var_table[middle].value))); /* Inode */
1409     return var_buffer;
1410
1411     case vtype_gid:
1412     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(var_table[middle].value))); /* gid */
1413     return var_buffer;
1414
1415     case vtype_uid:
1416     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(var_table[middle].value))); /* uid */
1417     return var_buffer;
1418
1419     case vtype_stringptr:                      /* Pointer to string */
1420     s = *((uschar **)(var_table[middle].value));
1421     return (s == NULL)? US"" : s;
1422
1423     case vtype_pid:
1424     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1425     return var_buffer;
1426
1427     case vtype_load_avg:
1428     sprintf(CS var_buffer, "%d", os_getloadavg()); /* load_average */
1429     return var_buffer;
1430
1431     case vtype_host_lookup:                    /* Lookup if not done so */
1432     if (sender_host_name == NULL && sender_host_address != NULL &&
1433         !host_lookup_failed && host_name_lookup() == OK)
1434       host_build_sender_fullhost();
1435     return (sender_host_name == NULL)? US"" : sender_host_name;
1436
1437     case vtype_localpart:                      /* Get local part from address */
1438     s = *((uschar **)(var_table[middle].value));
1439     if (s == NULL) return US"";
1440     domain = Ustrrchr(s, '@');
1441     if (domain == NULL) return s;
1442     if (domain - s > sizeof(var_buffer) - 1)
1443       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than %d in "
1444         "string expansion", sizeof(var_buffer));
1445     Ustrncpy(var_buffer, s, domain - s);
1446     var_buffer[domain - s] = 0;
1447     return var_buffer;
1448
1449     case vtype_domain:                         /* Get domain from address */
1450     s = *((uschar **)(var_table[middle].value));
1451     if (s == NULL) return US"";
1452     domain = Ustrrchr(s, '@');
1453     return (domain == NULL)? US"" : domain + 1;
1454
1455     case vtype_msgheaders:
1456     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1457
1458     case vtype_msgheaders_raw:
1459     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1460
1461     case vtype_msgbody:                        /* Pointer to msgbody string */
1462     case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1463     ss = (uschar **)(var_table[middle].value);
1464     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1465       {
1466       uschar *body;
1467       off_t start_offset = SPOOL_DATA_START_OFFSET;
1468       int len = message_body_visible;
1469       if (len > message_size) len = message_size;
1470       *ss = body = store_malloc(len+1);
1471       body[0] = 0;
1472       if (var_table[middle].type == vtype_msgbody_end)
1473         {
1474         struct stat statbuf;
1475         if (fstat(deliver_datafile, &statbuf) == 0)
1476           {
1477           start_offset = statbuf.st_size - len;
1478           if (start_offset < SPOOL_DATA_START_OFFSET)
1479             start_offset = SPOOL_DATA_START_OFFSET;
1480           }
1481         }
1482       lseek(deliver_datafile, start_offset, SEEK_SET);
1483       len = read(deliver_datafile, body, len);
1484       if (len > 0)
1485         {
1486         body[len] = 0;
1487         while (len > 0)
1488           {
1489           if (body[--len] == '\n' || body[len] == 0) body[len] = ' ';
1490           }
1491         }
1492       }
1493     return (*ss == NULL)? US"" : *ss;
1494
1495     case vtype_todbsdin:                       /* BSD inbox time of day */
1496     return tod_stamp(tod_bsdin);
1497
1498     case vtype_tode:                           /* Unix epoch time of day */
1499     return tod_stamp(tod_epoch);
1500
1501     case vtype_todf:                           /* Full time of day */
1502     return tod_stamp(tod_full);
1503
1504     case vtype_todl:                           /* Log format time of day */
1505     return tod_stamp(tod_log_bare);            /* (without timezone) */
1506
1507     case vtype_todzone:                        /* Time zone offset only */
1508     return tod_stamp(tod_zone);
1509
1510     case vtype_todzulu:                        /* Zulu time */
1511     return tod_stamp(tod_zulu);
1512
1513     case vtype_todlf:                          /* Log file datestamp tod */
1514     return tod_stamp(tod_log_datestamp);
1515
1516     case vtype_reply:                          /* Get reply address */
1517     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1518       headers_charset);
1519     if (s != NULL) while (isspace(*s)) s++;
1520     if (s == NULL || *s == 0)
1521       {
1522       *newsize = 0;                            /* For the *s==0 case */
1523       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1524       }
1525     if (s != NULL)
1526       {
1527       uschar *t;
1528       while (isspace(*s)) s++;
1529       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1530       while (t > s && isspace(t[-1])) t--;
1531       *t = 0;
1532       }
1533     return (s == NULL)? US"" : s;
1534
1535     /* A recipients list is available only during system message filtering,
1536     during ACL processing after DATA, and while expanding pipe commands
1537     generated from a system filter, but not elsewhere. */
1538
1539     case vtype_recipients:
1540     if (!enable_dollar_recipients) return NULL; else
1541       {
1542       int size = 128;
1543       int ptr = 0;
1544       int i;
1545       s = store_get(size);
1546       for (i = 0; i < recipients_count; i++)
1547         {
1548         if (i != 0) s = string_cat(s, &size, &ptr, US", ", 2);
1549         s = string_cat(s, &size, &ptr, recipients_list[i].address,
1550           Ustrlen(recipients_list[i].address));
1551         }
1552       s[ptr] = 0;     /* string_cat() leaves room */
1553       }
1554     return s;
1555
1556     case vtype_pspace:
1557       {
1558       int inodes;
1559       sprintf(CS var_buffer, "%d",
1560         receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes));
1561       }
1562     return var_buffer;
1563
1564     case vtype_pinodes:
1565       {
1566       int inodes;
1567       (void) receive_statvfs(var_table[middle].value == (void *)TRUE, &inodes);
1568       sprintf(CS var_buffer, "%d", inodes);
1569       }
1570     return var_buffer;
1571     }
1572   }
1573
1574 return NULL;          /* Unknown variable name */
1575 }
1576
1577
1578
1579
1580 /*************************************************
1581 *           Read and expand substrings           *
1582 *************************************************/
1583
1584 /* This function is called to read and expand argument substrings for various
1585 expansion items. Some have a minimum requirement that is less than the maximum;
1586 in these cases, the first non-present one is set to NULL.
1587
1588 Arguments:
1589   sub        points to vector of pointers to set
1590   n          maximum number of substrings
1591   m          minimum required
1592   sptr       points to current string pointer
1593   skipping   the skipping flag
1594   check_end  if TRUE, check for final '}'
1595   name       name of item, for error message
1596
1597 Returns:     0 OK; string pointer updated
1598              1 curly bracketing error (too few arguments)
1599              2 too many arguments (only if check_end is set); message set
1600              3 other error (expansion failure)
1601 */
1602
1603 static int
1604 read_subs(uschar **sub, int n, int m, uschar **sptr, BOOL skipping,
1605   BOOL check_end, uschar *name)
1606 {
1607 int i;
1608 uschar *s = *sptr;
1609
1610 while (isspace(*s)) s++;
1611 for (i = 0; i < n; i++)
1612   {
1613   if (*s != '{')
1614     {
1615     if (i < m) return 1;
1616     sub[i] = NULL;
1617     break;
1618     }
1619   sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
1620   if (sub[i] == NULL) return 3;
1621   if (*s++ != '}') return 1;
1622   while (isspace(*s)) s++;
1623   }
1624 if (check_end && *s++ != '}')
1625   {
1626   if (s[-1] == '{')
1627     {
1628     expand_string_message = string_sprintf("Too many arguments for \"%s\" "
1629       "(max is %d)", name, n);
1630     return 2;
1631     }
1632   return 1;
1633   }
1634
1635 *sptr = s;
1636 return 0;
1637 }
1638
1639
1640
1641
1642 /*************************************************
1643 *     Elaborate message for bad variable         *
1644 *************************************************/
1645
1646 /* For the "unknown variable" message, take a look at the variable's name, and
1647 give additional information about possible ACL variables. The extra information
1648 is added on to expand_string_message.
1649
1650 Argument:   the name of the variable
1651 Returns:    nothing
1652 */
1653
1654 static void
1655 check_variable_error_message(uschar *name)
1656 {
1657 if (Ustrncmp(name, "acl_", 4) == 0)
1658   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
1659     (name[4] == 'c' || name[4] == 'm')?
1660       (isalpha(name[5])?
1661         US"6th character of a user-defined ACL variable must be a digit or underscore" :
1662         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
1663       ) :
1664       US"user-defined ACL variables must start acl_c or acl_m");
1665 }
1666
1667
1668
1669 /*************************************************
1670 *        Read and evaluate a condition           *
1671 *************************************************/
1672
1673 /*
1674 Arguments:
1675   s        points to the start of the condition text
1676   yield    points to a BOOL to hold the result of the condition test;
1677            if NULL, we are just reading through a condition that is
1678            part of an "or" combination to check syntax, or in a state
1679            where the answer isn't required
1680
1681 Returns:   a pointer to the first character after the condition, or
1682            NULL after an error
1683 */
1684
1685 static uschar *
1686 eval_condition(uschar *s, BOOL *yield)
1687 {
1688 BOOL testfor = TRUE;
1689 BOOL tempcond, combined_cond;
1690 BOOL *subcondptr;
1691 int i, rc, cond_type, roffset;
1692 int num[2];
1693 struct stat statbuf;
1694 uschar name[256];
1695 uschar *sub[4];
1696
1697 const pcre *re;
1698 const uschar *rerror;
1699
1700 for (;;)
1701   {
1702   while (isspace(*s)) s++;
1703   if (*s == '!') { testfor = !testfor; s++; } else break;
1704   }
1705
1706 /* Numeric comparisons are symbolic */
1707
1708 if (*s == '=' || *s == '>' || *s == '<')
1709   {
1710   int p = 0;
1711   name[p++] = *s++;
1712   if (*s == '=')
1713     {
1714     name[p++] = '=';
1715     s++;
1716     }
1717   name[p] = 0;
1718   }
1719
1720 /* All other conditions are named */
1721
1722 else s = read_name(name, 256, s, US"_");
1723
1724 /* If we haven't read a name, it means some non-alpha character is first. */
1725
1726 if (name[0] == 0)
1727   {
1728   expand_string_message = string_sprintf("condition name expected, "
1729     "but found \"%.16s\"", s);
1730   return NULL;
1731   }
1732
1733 /* Find which condition we are dealing with, and switch on it */
1734
1735 cond_type = chop_match(name, cond_table, sizeof(cond_table)/sizeof(uschar *));
1736 switch(cond_type)
1737   {
1738   /* def: tests for a non-empty variable, or for the existence of a header. If
1739   yield == NULL we are in a skipping state, and don't care about the answer. */
1740
1741   case ECOND_DEF:
1742   if (*s != ':')
1743     {
1744     expand_string_message = US"\":\" expected after \"def\"";
1745     return NULL;
1746     }
1747
1748   s = read_name(name, 256, s+1, US"_");
1749
1750   /* Test for a header's existence. If the name contains a closing brace
1751   character, this may be a user error where the terminating colon has been
1752   omitted. Set a flag to adjust a subsequent error message in this case. */
1753
1754   if (Ustrncmp(name, "h_", 2) == 0 ||
1755       Ustrncmp(name, "rh_", 3) == 0 ||
1756       Ustrncmp(name, "bh_", 3) == 0 ||
1757       Ustrncmp(name, "header_", 7) == 0 ||
1758       Ustrncmp(name, "rheader_", 8) == 0 ||
1759       Ustrncmp(name, "bheader_", 8) == 0)
1760     {
1761     s = read_header_name(name, 256, s);
1762     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
1763     if (yield != NULL) *yield =
1764       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
1765     }
1766
1767   /* Test for a variable's having a non-empty value. A non-existent variable
1768   causes an expansion failure. */
1769
1770   else
1771     {
1772     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
1773     if (value == NULL)
1774       {
1775       expand_string_message = (name[0] == 0)?
1776         string_sprintf("variable name omitted after \"def:\"") :
1777         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
1778       check_variable_error_message(name);
1779       return NULL;
1780       }
1781     if (yield != NULL) *yield = (value[0] != 0) == testfor;
1782     }
1783
1784   return s;
1785
1786
1787   /* first_delivery tests for first delivery attempt */
1788
1789   case ECOND_FIRST_DELIVERY:
1790   if (yield != NULL) *yield = deliver_firsttime == testfor;
1791   return s;
1792
1793
1794   /* queue_running tests for any process started by a queue runner */
1795
1796   case ECOND_QUEUE_RUNNING:
1797   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
1798   return s;
1799
1800
1801   /* exists:  tests for file existence
1802        isip:  tests for any IP address
1803       isip4:  tests for an IPv4 address
1804       isip6:  tests for an IPv6 address
1805         pam:  does PAM authentication
1806      radius:  does RADIUS authentication
1807    ldapauth:  does LDAP authentication
1808     pwcheck:  does Cyrus SASL pwcheck authentication
1809   */
1810
1811   case ECOND_EXISTS:
1812   case ECOND_ISIP:
1813   case ECOND_ISIP4:
1814   case ECOND_ISIP6:
1815   case ECOND_PAM:
1816   case ECOND_RADIUS:
1817   case ECOND_LDAPAUTH:
1818   case ECOND_PWCHECK:
1819
1820   while (isspace(*s)) s++;
1821   if (*s != '{') goto COND_FAILED_CURLY_START;
1822
1823   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1824   if (sub[0] == NULL) return NULL;
1825   if (*s++ != '}') goto COND_FAILED_CURLY_END;
1826
1827   if (yield == NULL) return s;   /* No need to run the test if skipping */
1828
1829   switch(cond_type)
1830     {
1831     case ECOND_EXISTS:
1832     if ((expand_forbid & RDO_EXISTS) != 0)
1833       {
1834       expand_string_message = US"File existence tests are not permitted";
1835       return NULL;
1836       }
1837     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
1838     break;
1839
1840     case ECOND_ISIP:
1841     case ECOND_ISIP4:
1842     case ECOND_ISIP6:
1843     rc = string_is_ip_address(sub[0], NULL);
1844     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
1845              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
1846     break;
1847
1848     /* Various authentication tests - all optionally compiled */
1849
1850     case ECOND_PAM:
1851     #ifdef SUPPORT_PAM
1852     rc = auth_call_pam(sub[0], &expand_string_message);
1853     goto END_AUTH;
1854     #else
1855     goto COND_FAILED_NOT_COMPILED;
1856     #endif  /* SUPPORT_PAM */
1857
1858     case ECOND_RADIUS:
1859     #ifdef RADIUS_CONFIG_FILE
1860     rc = auth_call_radius(sub[0], &expand_string_message);
1861     goto END_AUTH;
1862     #else
1863     goto COND_FAILED_NOT_COMPILED;
1864     #endif  /* RADIUS_CONFIG_FILE */
1865
1866     case ECOND_LDAPAUTH:
1867     #ifdef LOOKUP_LDAP
1868       {
1869       /* Just to keep the interface the same */
1870       BOOL do_cache;
1871       int old_pool = store_pool;
1872       store_pool = POOL_SEARCH;
1873       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
1874         &expand_string_message, &do_cache);
1875       store_pool = old_pool;
1876       }
1877     goto END_AUTH;
1878     #else
1879     goto COND_FAILED_NOT_COMPILED;
1880     #endif  /* LOOKUP_LDAP */
1881
1882     case ECOND_PWCHECK:
1883     #ifdef CYRUS_PWCHECK_SOCKET
1884     rc = auth_call_pwcheck(sub[0], &expand_string_message);
1885     goto END_AUTH;
1886     #else
1887     goto COND_FAILED_NOT_COMPILED;
1888     #endif  /* CYRUS_PWCHECK_SOCKET */
1889
1890     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
1891         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
1892     END_AUTH:
1893     if (rc == ERROR || rc == DEFER) return NULL;
1894     *yield = (rc == OK) == testfor;
1895     #endif
1896     }
1897   return s;
1898
1899
1900   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
1901
1902      ${if saslauthd {{username}{password}{service}{realm}}  {yes}[no}}
1903
1904   However, the last two are optional. That is why the whole set is enclosed
1905   in their own set or braces. */
1906
1907   case ECOND_SASLAUTHD:
1908   #ifndef CYRUS_SASLAUTHD_SOCKET
1909   goto COND_FAILED_NOT_COMPILED;
1910   #else
1911   while (isspace(*s)) s++;
1912   if (*s++ != '{') goto COND_FAILED_CURLY_START;
1913   switch(read_subs(sub, 4, 2, &s, yield == NULL, TRUE, US"saslauthd"))
1914     {
1915     case 1: expand_string_message = US"too few arguments or bracketing "
1916       "error for saslauthd";
1917     case 2:
1918     case 3: return NULL;
1919     }
1920   if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
1921   if (yield != NULL)
1922     {
1923     int rc;
1924     rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
1925       &expand_string_message);
1926     if (rc == ERROR || rc == DEFER) return NULL;
1927     *yield = (rc == OK) == testfor;
1928     }
1929   return s;
1930   #endif /* CYRUS_SASLAUTHD_SOCKET */
1931
1932
1933   /* symbolic operators for numeric and string comparison, and a number of
1934   other operators, all requiring two arguments.
1935
1936   match:             does a regular expression match and sets up the numerical
1937                        variables if it succeeds
1938   match_address:     matches in an address list
1939   match_domain:      matches in a domain list
1940   match_ip:          matches a host list that is restricted to IP addresses
1941   match_local_part:  matches in a local part list
1942   crypteq:           encrypts plaintext and compares against an encrypted text,
1943                        using crypt(), crypt16(), MD5 or SHA-1
1944   */
1945
1946   case ECOND_MATCH:
1947   case ECOND_MATCH_ADDRESS:
1948   case ECOND_MATCH_DOMAIN:
1949   case ECOND_MATCH_IP:
1950   case ECOND_MATCH_LOCAL_PART:
1951   case ECOND_CRYPTEQ:
1952
1953   case ECOND_NUM_L:     /* Numerical comparisons */
1954   case ECOND_NUM_LE:
1955   case ECOND_NUM_E:
1956   case ECOND_NUM_EE:
1957   case ECOND_NUM_G:
1958   case ECOND_NUM_GE:
1959
1960   case ECOND_STR_LT:    /* String comparisons */
1961   case ECOND_STR_LTI:
1962   case ECOND_STR_LE:
1963   case ECOND_STR_LEI:
1964   case ECOND_STR_EQ:
1965   case ECOND_STR_EQI:
1966   case ECOND_STR_GT:
1967   case ECOND_STR_GTI:
1968   case ECOND_STR_GE:
1969   case ECOND_STR_GEI:
1970
1971   for (i = 0; i < 2; i++)
1972     {
1973     while (isspace(*s)) s++;
1974     if (*s != '{')
1975       {
1976       if (i == 0) goto COND_FAILED_CURLY_START;
1977       expand_string_message = string_sprintf("missing 2nd string in {} "
1978         "after \"%s\"", name);
1979       return NULL;
1980       }
1981     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL);
1982     if (sub[i] == NULL) return NULL;
1983     if (*s++ != '}') goto COND_FAILED_CURLY_END;
1984
1985     /* Convert to numerical if required; we know that the names of all the
1986     conditions that compare numbers do not start with a letter. This just saves
1987     checking for them individually. */
1988
1989     if (!isalpha(name[0]))
1990       {
1991       num[i] = expand_string_integer(sub[i], FALSE);
1992       if (expand_string_message != NULL) return NULL;
1993       }
1994     }
1995
1996   /* Result not required */
1997
1998   if (yield == NULL) return s;
1999
2000   /* Do an appropriate comparison */
2001
2002   switch(cond_type)
2003     {
2004     case ECOND_NUM_E:
2005     case ECOND_NUM_EE:
2006     *yield = (num[0] == num[1]) == testfor;
2007     break;
2008
2009     case ECOND_NUM_G:
2010     *yield = (num[0] > num[1]) == testfor;
2011     break;
2012
2013     case ECOND_NUM_GE:
2014     *yield = (num[0] >= num[1]) == testfor;
2015     break;
2016
2017     case ECOND_NUM_L:
2018     *yield = (num[0] < num[1]) == testfor;
2019     break;
2020
2021     case ECOND_NUM_LE:
2022     *yield = (num[0] <= num[1]) == testfor;
2023     break;
2024
2025     case ECOND_STR_LT:
2026     *yield = (Ustrcmp(sub[0], sub[1]) < 0) == testfor;
2027     break;
2028
2029     case ECOND_STR_LTI:
2030     *yield = (strcmpic(sub[0], sub[1]) < 0) == testfor;
2031     break;
2032
2033     case ECOND_STR_LE:
2034     *yield = (Ustrcmp(sub[0], sub[1]) <= 0) == testfor;
2035     break;
2036
2037     case ECOND_STR_LEI:
2038     *yield = (strcmpic(sub[0], sub[1]) <= 0) == testfor;
2039     break;
2040
2041     case ECOND_STR_EQ:
2042     *yield = (Ustrcmp(sub[0], sub[1]) == 0) == testfor;
2043     break;
2044
2045     case ECOND_STR_EQI:
2046     *yield = (strcmpic(sub[0], sub[1]) == 0) == testfor;
2047     break;
2048
2049     case ECOND_STR_GT:
2050     *yield = (Ustrcmp(sub[0], sub[1]) > 0) == testfor;
2051     break;
2052
2053     case ECOND_STR_GTI:
2054     *yield = (strcmpic(sub[0], sub[1]) > 0) == testfor;
2055     break;
2056
2057     case ECOND_STR_GE:
2058     *yield = (Ustrcmp(sub[0], sub[1]) >= 0) == testfor;
2059     break;
2060
2061     case ECOND_STR_GEI:
2062     *yield = (strcmpic(sub[0], sub[1]) >= 0) == testfor;
2063     break;
2064
2065     case ECOND_MATCH:   /* Regular expression match */
2066     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2067       NULL);
2068     if (re == NULL)
2069       {
2070       expand_string_message = string_sprintf("regular expression error in "
2071         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2072       return NULL;
2073       }
2074     *yield = regex_match_and_setup(re, sub[0], 0, -1) == testfor;
2075     break;
2076
2077     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2078     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2079     goto MATCHED_SOMETHING;
2080
2081     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2082     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2083       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2084     goto MATCHED_SOMETHING;
2085
2086     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2087     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2088       {
2089       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2090         sub[0]);
2091       return NULL;
2092       }
2093     else
2094       {
2095       unsigned int *nullcache = NULL;
2096       check_host_block cb;
2097
2098       cb.host_name = US"";
2099       cb.host_address = sub[0];
2100
2101       /* If the host address starts off ::ffff: it is an IPv6 address in
2102       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2103       addresses. */
2104
2105       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2106         cb.host_address + 7 : cb.host_address;
2107
2108       rc = match_check_list(
2109              &sub[1],                   /* the list */
2110              0,                         /* separator character */
2111              &hostlist_anchor,          /* anchor pointer */
2112              &nullcache,                /* cache pointer */
2113              check_host,                /* function for testing */
2114              &cb,                       /* argument for function */
2115              MCL_HOST,                  /* type of check */
2116              sub[0],                    /* text for debugging */
2117              NULL);                     /* where to pass back data */
2118       }
2119     goto MATCHED_SOMETHING;
2120
2121     case ECOND_MATCH_LOCAL_PART:
2122     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2123       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2124     /* Fall through */
2125     /* VVVVVVVVVVVV */
2126     MATCHED_SOMETHING:
2127     switch(rc)
2128       {
2129       case OK:
2130       *yield = testfor;
2131       break;
2132
2133       case FAIL:
2134       *yield = !testfor;
2135       break;
2136
2137       case DEFER:
2138       expand_string_message = string_sprintf("unable to complete match "
2139         "against \"%s\": %s", sub[1], search_error_message);
2140       return NULL;
2141       }
2142
2143     break;
2144
2145     /* Various "encrypted" comparisons. If the second string starts with
2146     "{" then an encryption type is given. Default to crypt() or crypt16()
2147     (build-time choice). */
2148
2149     case ECOND_CRYPTEQ:
2150     #ifndef SUPPORT_CRYPTEQ
2151     goto COND_FAILED_NOT_COMPILED;
2152     #else
2153     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2154       {
2155       int sublen = Ustrlen(sub[1]+5);
2156       md5 base;
2157       uschar digest[16];
2158
2159       md5_start(&base);
2160       md5_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2161
2162       /* If the length that we are comparing against is 24, the MD5 digest
2163       is expressed as a base64 string. This is the way LDAP does it. However,
2164       some other software uses a straightforward hex representation. We assume
2165       this if the length is 32. Other lengths fail. */
2166
2167       if (sublen == 24)
2168         {
2169         uschar *coded = auth_b64encode((uschar *)digest, 16);
2170         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2171           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2172         *yield = (Ustrcmp(coded, sub[1]+5) == 0) == testfor;
2173         }
2174       else if (sublen == 32)
2175         {
2176         int i;
2177         uschar coded[36];
2178         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2179         coded[32] = 0;
2180         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2181           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2182         *yield = (strcmpic(coded, sub[1]+5) == 0) == testfor;
2183         }
2184       else
2185         {
2186         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2187           "fail\n  crypted=%s\n", sub[1]+5);
2188         *yield = !testfor;
2189         }
2190       }
2191
2192     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2193       {
2194       int sublen = Ustrlen(sub[1]+6);
2195       sha1 base;
2196       uschar digest[20];
2197
2198       sha1_start(&base);
2199       sha1_end(&base, (uschar *)sub[0], Ustrlen(sub[0]), digest);
2200
2201       /* If the length that we are comparing against is 28, assume the SHA1
2202       digest is expressed as a base64 string. If the length is 40, assume a
2203       straightforward hex representation. Other lengths fail. */
2204
2205       if (sublen == 28)
2206         {
2207         uschar *coded = auth_b64encode((uschar *)digest, 20);
2208         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2209           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2210         *yield = (Ustrcmp(coded, sub[1]+6) == 0) == testfor;
2211         }
2212       else if (sublen == 40)
2213         {
2214         int i;
2215         uschar coded[44];
2216         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2217         coded[40] = 0;
2218         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2219           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2220         *yield = (strcmpic(coded, sub[1]+6) == 0) == testfor;
2221         }
2222       else
2223         {
2224         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2225           "fail\n  crypted=%s\n", sub[1]+6);
2226         *yield = !testfor;
2227         }
2228       }
2229
2230     else   /* {crypt} or {crypt16} and non-{ at start */
2231       {
2232       int which = 0;
2233       uschar *coded;
2234
2235       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2236         {
2237         sub[1] += 7;
2238         which = 1;
2239         }
2240       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2241         {
2242         sub[1] += 9;
2243         which = 2;
2244         }
2245       else if (sub[1][0] == '{')
2246         {
2247         expand_string_message = string_sprintf("unknown encryption mechanism "
2248           "in \"%s\"", sub[1]);
2249         return NULL;
2250         }
2251
2252       switch(which)
2253         {
2254         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2255         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2256         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2257         }
2258
2259       #define STR(s) # s
2260       #define XSTR(s) STR(s)
2261       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2262         "  subject=%s\n  crypted=%s\n",
2263         (which == 0)? XSTR(DEFAULT_CRYPT) : (which == 1)? "crypt" : "crypt16",
2264         coded, sub[1]);
2265       #undef STR
2266       #undef XSTR
2267
2268       /* If the encrypted string contains fewer than two characters (for the
2269       salt), force failure. Otherwise we get false positives: with an empty
2270       string the yield of crypt() is an empty string! */
2271
2272       *yield = (Ustrlen(sub[1]) < 2)? !testfor :
2273         (Ustrcmp(coded, sub[1]) == 0) == testfor;
2274       }
2275     break;
2276     #endif  /* SUPPORT_CRYPTEQ */
2277     }   /* Switch for comparison conditions */
2278
2279   return s;    /* End of comparison conditions */
2280
2281
2282   /* and/or: computes logical and/or of several conditions */
2283
2284   case ECOND_AND:
2285   case ECOND_OR:
2286   subcondptr = (yield == NULL)? NULL : &tempcond;
2287   combined_cond = (cond_type == ECOND_AND);
2288
2289   while (isspace(*s)) s++;
2290   if (*s++ != '{') goto COND_FAILED_CURLY_START;
2291
2292   for (;;)
2293     {
2294     while (isspace(*s)) s++;
2295     if (*s == '}') break;
2296     if (*s != '{')
2297       {
2298       expand_string_message = string_sprintf("each subcondition "
2299         "inside an \"%s{...}\" condition must be in its own {}", name);
2300       return NULL;
2301       }
2302
2303     s = eval_condition(s+1, subcondptr);
2304     if (s == NULL)
2305       {
2306       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2307         expand_string_message, name);
2308       return NULL;
2309       }
2310     while (isspace(*s)) s++;
2311
2312     if (*s++ != '}')
2313       {
2314       expand_string_message = string_sprintf("missing } at end of condition "
2315         "inside \"%s\" group", name);
2316       return NULL;
2317       }
2318
2319     if (yield != NULL)
2320       {
2321       if (cond_type == ECOND_AND)
2322         {
2323         combined_cond &= tempcond;
2324         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2325         }                                       /* evaluate any more */
2326       else
2327         {
2328         combined_cond |= tempcond;
2329         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2330         }                                       /* evaluate any more */
2331       }
2332     }
2333
2334   if (yield != NULL) *yield = (combined_cond == testfor);
2335   return ++s;
2336
2337
2338   /* Unknown condition */
2339
2340   default:
2341   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
2342   return NULL;
2343   }   /* End switch on condition type */
2344
2345 /* Missing braces at start and end of data */
2346
2347 COND_FAILED_CURLY_START:
2348 expand_string_message = string_sprintf("missing { after \"%s\"", name);
2349 return NULL;
2350
2351 COND_FAILED_CURLY_END:
2352 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
2353   name);
2354 return NULL;
2355
2356 /* A condition requires code that is not compiled */
2357
2358 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
2359     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
2360     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
2361 COND_FAILED_NOT_COMPILED:
2362 expand_string_message = string_sprintf("support for \"%s\" not compiled",
2363   name);
2364 return NULL;
2365 #endif
2366 }
2367
2368
2369
2370
2371 /*************************************************
2372 *          Save numerical variables              *
2373 *************************************************/
2374
2375 /* This function is called from items such as "if" that want to preserve and
2376 restore the numbered variables.
2377
2378 Arguments:
2379   save_expand_string    points to an array of pointers to set
2380   save_expand_nlength   points to an array of ints for the lengths
2381
2382 Returns:                the value of expand max to save
2383 */
2384
2385 static int
2386 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
2387 {
2388 int i;
2389 for (i = 0; i <= expand_nmax; i++)
2390   {
2391   save_expand_nstring[i] = expand_nstring[i];
2392   save_expand_nlength[i] = expand_nlength[i];
2393   }
2394 return expand_nmax;
2395 }
2396
2397
2398
2399 /*************************************************
2400 *           Restore numerical variables          *
2401 *************************************************/
2402
2403 /* This function restored saved values of numerical strings.
2404
2405 Arguments:
2406   save_expand_nmax      the number of strings to restore
2407   save_expand_string    points to an array of pointers
2408   save_expand_nlength   points to an array of ints
2409
2410 Returns:                nothing
2411 */
2412
2413 static void
2414 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
2415   int *save_expand_nlength)
2416 {
2417 int i;
2418 expand_nmax = save_expand_nmax;
2419 for (i = 0; i <= expand_nmax; i++)
2420   {
2421   expand_nstring[i] = save_expand_nstring[i];
2422   expand_nlength[i] = save_expand_nlength[i];
2423   }
2424 }
2425
2426
2427
2428
2429
2430 /*************************************************
2431 *            Handle yes/no substrings            *
2432 *************************************************/
2433
2434 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
2435 alternative substrings that depend on whether or not the condition was true,
2436 or the lookup or extraction succeeded. The substrings always have to be
2437 expanded, to check their syntax, but "skipping" is set when the result is not
2438 needed - this avoids unnecessary nested lookups.
2439
2440 Arguments:
2441   skipping       TRUE if we were skipping when this item was reached
2442   yes            TRUE if the first string is to be used, else use the second
2443   save_lookup    a value to put back into lookup_value before the 2nd expansion
2444   sptr           points to the input string pointer
2445   yieldptr       points to the output string pointer
2446   sizeptr        points to the output string size
2447   ptrptr         points to the output string pointer
2448   type           "lookup" or "if" or "extract" or "run", for error message
2449
2450 Returns:         0 OK; lookup_value has been reset to save_lookup
2451                  1 expansion failed
2452                  2 expansion failed because of bracketing error
2453 */
2454
2455 static int
2456 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, uschar **sptr,
2457   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type)
2458 {
2459 int rc = 0;
2460 uschar *s = *sptr;    /* Local value */
2461 uschar *sub1, *sub2;
2462
2463 /* If there are no following strings, we substitute the contents of $value for
2464 lookups and for extractions in the success case. For the ${if item, the string
2465 "true" is substituted. In the fail case, nothing is substituted for all three
2466 items. */
2467
2468 while (isspace(*s)) s++;
2469 if (*s == '}')
2470   {
2471   if (type[0] == 'i')
2472     {
2473     if (yes) *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, US"true", 4);
2474     }
2475   else
2476     {
2477     if (yes && lookup_value != NULL)
2478       *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value,
2479         Ustrlen(lookup_value));
2480     lookup_value = save_lookup;
2481     }
2482   s++;
2483   goto RETURN;
2484   }
2485
2486 /* The first following string must be braced. */
2487
2488 if (*s++ != '{') goto FAILED_CURLY;
2489
2490 /* Expand the first substring. Forced failures are noticed only if we actually
2491 want this string. Set skipping in the call in the fail case (this will always
2492 be the case if we were already skipping). */
2493
2494 sub1 = expand_string_internal(s, TRUE, &s, !yes);
2495 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
2496 expand_string_forcedfail = FALSE;
2497 if (*s++ != '}') goto FAILED_CURLY;
2498
2499 /* If we want the first string, add it to the output */
2500
2501 if (yes)
2502   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1, Ustrlen(sub1));
2503
2504 /* If this is called from a lookup or an extract, we want to restore $value to
2505 what it was at the start of the item, so that it has this value during the
2506 second string expansion. For the call from "if" or "run" to this function,
2507 save_lookup is set to lookup_value, so that this statement does nothing. */
2508
2509 lookup_value = save_lookup;
2510
2511 /* There now follows either another substring, or "fail", or nothing. This
2512 time, forced failures are noticed only if we want the second string. We must
2513 set skipping in the nested call if we don't want this string, or if we were
2514 already skipping. */
2515
2516 while (isspace(*s)) s++;
2517 if (*s == '{')
2518   {
2519   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping);
2520   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
2521   expand_string_forcedfail = FALSE;
2522   if (*s++ != '}') goto FAILED_CURLY;
2523
2524   /* If we want the second string, add it to the output */
2525
2526   if (!yes)
2527     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2, Ustrlen(sub2));
2528   }
2529
2530 /* If there is no second string, but the word "fail" is present when the use of
2531 the second string is wanted, set a flag indicating it was a forced failure
2532 rather than a syntactic error. Swallow the terminating } in case this is nested
2533 inside another lookup or if or extract. */
2534
2535 else if (*s != '}')
2536   {
2537   uschar name[256];
2538   s = read_name(name, sizeof(name), s, US"_");
2539   if (Ustrcmp(name, "fail") == 0)
2540     {
2541     if (!yes && !skipping)
2542       {
2543       while (isspace(*s)) s++;
2544       if (*s++ != '}') goto FAILED_CURLY;
2545       expand_string_message =
2546         string_sprintf("\"%s\" failed and \"fail\" requested", type);
2547       expand_string_forcedfail = TRUE;
2548       goto FAILED;
2549       }
2550     }
2551   else
2552     {
2553     expand_string_message =
2554       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
2555     goto FAILED;
2556     }
2557   }
2558
2559 /* All we have to do now is to check on the final closing brace. */
2560
2561 while (isspace(*s)) s++;
2562 if (*s++ == '}') goto RETURN;
2563
2564 /* Get here if there is a bracketing failure */
2565
2566 FAILED_CURLY:
2567 rc++;
2568
2569 /* Get here for other failures */
2570
2571 FAILED:
2572 rc++;
2573
2574 /* Update the input pointer value before returning */
2575
2576 RETURN:
2577 *sptr = s;
2578 return rc;
2579 }
2580
2581
2582
2583
2584 /*************************************************
2585 *    Handle MD5 or SHA-1 computation for HMAC    *
2586 *************************************************/
2587
2588 /* These are some wrapping functions that enable the HMAC code to be a bit
2589 cleaner. A good compiler will spot the tail recursion.
2590
2591 Arguments:
2592   type         HMAC_MD5 or HMAC_SHA1
2593   remaining    are as for the cryptographic hash functions
2594
2595 Returns:       nothing
2596 */
2597
2598 static void
2599 chash_start(int type, void *base)
2600 {
2601 if (type == HMAC_MD5)
2602   md5_start((md5 *)base);
2603 else
2604   sha1_start((sha1 *)base);
2605 }
2606
2607 static void
2608 chash_mid(int type, void *base, uschar *string)
2609 {
2610 if (type == HMAC_MD5)
2611   md5_mid((md5 *)base, string);
2612 else
2613   sha1_mid((sha1 *)base, string);
2614 }
2615
2616 static void
2617 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
2618 {
2619 if (type == HMAC_MD5)
2620   md5_end((md5 *)base, string, length, digest);
2621 else
2622   sha1_end((sha1 *)base, string, length, digest);
2623 }
2624
2625
2626
2627
2628
2629 /********************************************************
2630 * prvs: Get last three digits of days since Jan 1, 1970 *
2631 ********************************************************/
2632
2633 /* This is needed to implement the "prvs" BATV reverse
2634    path signing scheme
2635
2636 Argument: integer "days" offset to add or substract to
2637           or from the current number of days.
2638
2639 Returns:  pointer to string containing the last three
2640           digits of the number of days since Jan 1, 1970,
2641           modified by the offset argument, NULL if there
2642           was an error in the conversion.
2643
2644 */
2645
2646 static uschar *
2647 prvs_daystamp(int day_offset)
2648 {
2649 uschar *days = store_get(32);                /* Need at least 24 for cases */
2650 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
2651   (time(NULL) + day_offset*86400)/86400);
2652 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
2653 }
2654
2655
2656
2657 /********************************************************
2658 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
2659 ********************************************************/
2660
2661 /* This is needed to implement the "prvs" BATV reverse
2662    path signing scheme
2663
2664 Arguments:
2665   address RFC2821 Address to use
2666       key The key to use (must be less than 64 characters
2667           in size)
2668   key_num Single-digit key number to use. Defaults to
2669           '0' when NULL.
2670
2671 Returns:  pointer to string containing the first three
2672           bytes of the final hash in hex format, NULL if
2673           there was an error in the process.
2674 */
2675
2676 static uschar *
2677 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
2678 {
2679 uschar *hash_source, *p;
2680 int size = 0,offset = 0,i;
2681 sha1 sha1_base;
2682 void *use_base = &sha1_base;
2683 uschar innerhash[20];
2684 uschar finalhash[20];
2685 uschar innerkey[64];
2686 uschar outerkey[64];
2687 uschar *finalhash_hex = store_get(40);
2688
2689 if (key_num == NULL)
2690   key_num = US"0";
2691
2692 if (Ustrlen(key) > 64)
2693   return NULL;
2694
2695 hash_source = string_cat(NULL,&size,&offset,key_num,1);
2696 string_cat(hash_source,&size,&offset,daystamp,3);
2697 string_cat(hash_source,&size,&offset,address,Ustrlen(address));
2698 hash_source[offset] = '\0';
2699
2700 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
2701
2702 memset(innerkey, 0x36, 64);
2703 memset(outerkey, 0x5c, 64);
2704
2705 for (i = 0; i < Ustrlen(key); i++)
2706   {
2707   innerkey[i] ^= key[i];
2708   outerkey[i] ^= key[i];
2709   }
2710
2711 chash_start(HMAC_SHA1, use_base);
2712 chash_mid(HMAC_SHA1, use_base, innerkey);
2713 chash_end(HMAC_SHA1, use_base, hash_source, offset, innerhash);
2714
2715 chash_start(HMAC_SHA1, use_base);
2716 chash_mid(HMAC_SHA1, use_base, outerkey);
2717 chash_end(HMAC_SHA1, use_base, innerhash, 20, finalhash);
2718
2719 p = finalhash_hex;
2720 for (i = 0; i < 3; i++)
2721   {
2722   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2723   *p++ = hex_digits[finalhash[i] & 0x0f];
2724   }
2725 *p = '\0';
2726
2727 return finalhash_hex;
2728 }
2729
2730
2731
2732
2733 /*************************************************
2734 *        Join a file onto the output string      *
2735 *************************************************/
2736
2737 /* This is used for readfile and after a run expansion. It joins the contents
2738 of a file onto the output string, globally replacing newlines with a given
2739 string (optionally). The file is closed at the end.
2740
2741 Arguments:
2742   f            the FILE
2743   yield        pointer to the expandable string
2744   sizep        pointer to the current size
2745   ptrp         pointer to the current position
2746   eol          newline replacement string, or NULL
2747
2748 Returns:       new value of string pointer
2749 */
2750
2751 static uschar *
2752 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
2753 {
2754 int eollen;
2755 uschar buffer[1024];
2756
2757 eollen = (eol == NULL)? 0 : Ustrlen(eol);
2758
2759 while (Ufgets(buffer, sizeof(buffer), f) != NULL)
2760   {
2761   int len = Ustrlen(buffer);
2762   if (eol != NULL && buffer[len-1] == '\n') len--;
2763   yield = string_cat(yield, sizep, ptrp, buffer, len);
2764   if (buffer[len] != 0)
2765     yield = string_cat(yield, sizep, ptrp, eol, eollen);
2766   }
2767
2768 if (yield != NULL) yield[*ptrp] = 0;
2769
2770 return yield;
2771 }
2772
2773
2774
2775
2776 /*************************************************
2777 *          Evaluate numeric expression           *
2778 *************************************************/
2779
2780 /* This is a set of mutually recursive functions that evaluate an arithmetic
2781 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
2782 these functions that is called from elsewhere is eval_expr, whose interface is:
2783
2784 Arguments:
2785   sptr        pointer to the pointer to the string - gets updated
2786   decimal     TRUE if numbers are to be assumed decimal
2787   error       pointer to where to put an error message - must be NULL on input
2788   endket      TRUE if ')' must terminate - FALSE for external call
2789
2790 Returns:      on success: the value of the expression, with *error still NULL
2791               on failure: an undefined value, with *error = a message
2792 */
2793
2794 static int eval_op_or(uschar **, BOOL, uschar **);
2795
2796
2797 static int
2798 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
2799 {
2800 uschar *s = *sptr;
2801 int x = eval_op_or(&s, decimal, error);
2802 if (*error == NULL)
2803   {
2804   if (endket)
2805     {
2806     if (*s != ')')
2807       *error = US"expecting closing parenthesis";
2808     else
2809       while (isspace(*(++s)));
2810     }
2811   else if (*s != 0) *error = US"expecting operator";
2812   }
2813 *sptr = s;
2814 return x;
2815 }
2816
2817
2818 static int
2819 eval_number(uschar **sptr, BOOL decimal, uschar **error)
2820 {
2821 register int c;
2822 int n;
2823 uschar *s = *sptr;
2824 while (isspace(*s)) s++;
2825 c = *s;
2826 if (isdigit(c))
2827   {
2828   int count;
2829   (void)sscanf(CS s, (decimal? "%d%n" : "%i%n"), &n, &count);
2830   s += count;
2831   if (tolower(*s) == 'k') { n *= 1024; s++; }
2832     else if (tolower(*s) == 'm') { n *= 1024*1024; s++; }
2833   while (isspace (*s)) s++;
2834   }
2835 else if (c == '(')
2836   {
2837   s++;
2838   n = eval_expr(&s, decimal, error, 1);
2839   }
2840 else
2841   {
2842   *error = US"expecting number or opening parenthesis";
2843   n = 0;
2844   }
2845 *sptr = s;
2846 return n;
2847 }
2848
2849
2850 static int eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
2851 {
2852 uschar *s = *sptr;
2853 int x;
2854 while (isspace(*s)) s++;
2855 if (*s == '+' || *s == '-' || *s == '~')
2856   {
2857   int op = *s++;
2858   x = eval_op_unary(&s, decimal, error);
2859   if (op == '-') x = -x;
2860     else if (op == '~') x = ~x;
2861   }
2862 else
2863   {
2864   x = eval_number(&s, decimal, error);
2865   }
2866 *sptr = s;
2867 return x;
2868 }
2869
2870
2871 static int eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
2872 {
2873 uschar *s = *sptr;
2874 int x = eval_op_unary(&s, decimal, error);
2875 if (*error == NULL)
2876   {
2877   while (*s == '*' || *s == '/' || *s == '%')
2878     {
2879     int op = *s++;
2880     int y = eval_op_unary(&s, decimal, error);
2881     if (*error != NULL) break;
2882     if (op == '*') x *= y;
2883       else if (op == '/') x /= y;
2884       else x %= y;
2885     }
2886   }
2887 *sptr = s;
2888 return x;
2889 }
2890
2891
2892 static int eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
2893 {
2894 uschar *s = *sptr;
2895 int x = eval_op_mult(&s, decimal, error);
2896 if (*error == NULL)
2897   {
2898   while (*s == '+' || *s == '-')
2899     {
2900     int op = *s++;
2901     int y = eval_op_mult(&s, decimal, error);
2902     if (*error != NULL) break;
2903     if (op == '+') x += y; else x -= y;
2904     }
2905   }
2906 *sptr = s;
2907 return x;
2908 }
2909
2910
2911 static int eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
2912 {
2913 uschar *s = *sptr;
2914 int x = eval_op_sum(&s, decimal, error);
2915 if (*error == NULL)
2916   {
2917   while ((*s == '<' || *s == '>') && s[1] == s[0])
2918     {
2919     int y;
2920     int op = *s++;
2921     s++;
2922     y = eval_op_sum(&s, decimal, error);
2923     if (*error != NULL) break;
2924     if (op == '<') x <<= y; else x >>= y;
2925     }
2926   }
2927 *sptr = s;
2928 return x;
2929 }
2930
2931
2932 static int eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
2933 {
2934 uschar *s = *sptr;
2935 int x = eval_op_shift(&s, decimal, error);
2936 if (*error == NULL)
2937   {
2938   while (*s == '&')
2939     {
2940     int y;
2941     s++;
2942     y = eval_op_shift(&s, decimal, error);
2943     if (*error != NULL) break;
2944     x &= y;
2945     }
2946   }
2947 *sptr = s;
2948 return x;
2949 }
2950
2951
2952 static int eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
2953 {
2954 uschar *s = *sptr;
2955 int x = eval_op_and(&s, decimal, error);
2956 if (*error == NULL)
2957   {
2958   while (*s == '^')
2959     {
2960     int y;
2961     s++;
2962     y = eval_op_and(&s, decimal, error);
2963     if (*error != NULL) break;
2964     x ^= y;
2965     }
2966   }
2967 *sptr = s;
2968 return x;
2969 }
2970
2971
2972 static int eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
2973 {
2974 uschar *s = *sptr;
2975 int x = eval_op_xor(&s, decimal, error);
2976 if (*error == NULL)
2977   {
2978   while (*s == '|')
2979     {
2980     int y;
2981     s++;
2982     y = eval_op_xor(&s, decimal, error);
2983     if (*error != NULL) break;
2984     x |= y;
2985     }
2986   }
2987 *sptr = s;
2988 return x;
2989 }
2990
2991
2992
2993 /*************************************************
2994 *                 Expand string                  *
2995 *************************************************/
2996
2997 /* Returns either an unchanged string, or the expanded string in stacking pool
2998 store. Interpreted sequences are:
2999
3000    \...                    normal escaping rules
3001    $name                   substitutes the variable
3002    ${name}                 ditto
3003    ${op:string}            operates on the expanded string value
3004    ${item{arg1}{arg2}...}  expands the args and then does the business
3005                              some literal args are not enclosed in {}
3006
3007 There are now far too many operators and item types to make it worth listing
3008 them here in detail any more.
3009
3010 We use an internal routine recursively to handle embedded substrings. The
3011 external function follows. The yield is NULL if the expansion failed, and there
3012 are two cases: if something collapsed syntactically, or if "fail" was given
3013 as the action on a lookup failure. These can be distinguised by looking at the
3014 variable expand_string_forcedfail, which is TRUE in the latter case.
3015
3016 The skipping flag is set true when expanding a substring that isn't actually
3017 going to be used (after "if" or "lookup") and it prevents lookups from
3018 happening lower down.
3019
3020 Store usage: At start, a store block of the length of the input plus 64
3021 is obtained. This is expanded as necessary by string_cat(), which might have to
3022 get a new block, or might be able to expand the original. At the end of the
3023 function we can release any store above that portion of the yield block that
3024 was actually used. In many cases this will be optimal.
3025
3026 However: if the first item in the expansion is a variable name or header name,
3027 we reset the store before processing it; if the result is in fresh store, we
3028 use that without copying. This is helpful for expanding strings like
3029 $message_headers which can get very long.
3030
3031 Arguments:
3032   string         the string to be expanded
3033   ket_ends       true if expansion is to stop at }
3034   left           if not NULL, a pointer to the first character after the
3035                  expansion is placed here (typically used with ket_ends)
3036   skipping       TRUE for recursive calls when the value isn't actually going
3037                  to be used (to allow for optimisation)
3038
3039 Returns:         NULL if expansion fails:
3040                    expand_string_forcedfail is set TRUE if failure was forced
3041                    expand_string_message contains a textual error message
3042                  a pointer to the expanded string on success
3043 */
3044
3045 static uschar *
3046 expand_string_internal(uschar *string, BOOL ket_ends, uschar **left,
3047   BOOL skipping)
3048 {
3049 int ptr = 0;
3050 int size = Ustrlen(string)+ 64;
3051 int item_type;
3052 uschar *yield = store_get(size);
3053 uschar *s = string;
3054 uschar *save_expand_nstring[EXPAND_MAXN+1];
3055 int save_expand_nlength[EXPAND_MAXN+1];
3056
3057 expand_string_forcedfail = FALSE;
3058 expand_string_message = US"";
3059
3060 while (*s != 0)
3061   {
3062   uschar *value;
3063   uschar name[256];
3064
3065   /* \ escapes the next character, which must exist, or else
3066   the expansion fails. There's a special escape, \N, which causes
3067   copying of the subject verbatim up to the next \N. Otherwise,
3068   the escapes are the standard set. */
3069
3070   if (*s == '\\')
3071     {
3072     if (s[1] == 0)
3073       {
3074       expand_string_message = US"\\ at end of string";
3075       goto EXPAND_FAILED;
3076       }
3077
3078     if (s[1] == 'N')
3079       {
3080       uschar *t = s + 2;
3081       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3082       yield = string_cat(yield, &size, &ptr, t, s - t);
3083       if (*s != 0) s += 2;
3084       }
3085
3086     else
3087       {
3088       uschar ch[1];
3089       ch[0] = string_interpret_escape(&s);
3090       s++;
3091       yield = string_cat(yield, &size, &ptr, ch, 1);
3092       }
3093
3094     continue;
3095     }
3096
3097   /* Anything other than $ is just copied verbatim, unless we are
3098   looking for a terminating } character. */
3099
3100   if (ket_ends && *s == '}') break;
3101
3102   if (*s != '$')
3103     {
3104     yield = string_cat(yield, &size, &ptr, s++, 1);
3105     continue;
3106     }
3107
3108   /* No { after the $ - must be a plain name or a number for string
3109   match variable. There has to be a fudge for variables that are the
3110   names of header fields preceded by "$header_" because header field
3111   names can contain any printing characters except space and colon.
3112   For those that don't like typing this much, "$h_" is a synonym for
3113   "$header_". A non-existent header yields a NULL value; nothing is
3114   inserted. */
3115
3116   if (isalpha((*(++s))))
3117     {
3118     int len;
3119     int newsize = 0;
3120
3121     s = read_name(name, sizeof(name), s, US"_");
3122
3123     /* If this is the first thing to be expanded, release the pre-allocated
3124     buffer. */
3125
3126     if (ptr == 0 && yield != NULL)
3127       {
3128       store_reset(yield);
3129       yield = NULL;
3130       size = 0;
3131       }
3132
3133     /* Header */
3134
3135     if (Ustrncmp(name, "h_", 2) == 0 ||
3136         Ustrncmp(name, "rh_", 3) == 0 ||
3137         Ustrncmp(name, "bh_", 3) == 0 ||
3138         Ustrncmp(name, "header_", 7) == 0 ||
3139         Ustrncmp(name, "rheader_", 8) == 0 ||
3140         Ustrncmp(name, "bheader_", 8) == 0)
3141       {
3142       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3143       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3144       s = read_header_name(name, sizeof(name), s);
3145       value = find_header(name, FALSE, &newsize, want_raw, charset);
3146
3147       /* If we didn't find the header, and the header contains a closing brace
3148       character, this may be a user error where the terminating colon
3149       has been omitted. Set a flag to adjust the error message in this case.
3150       But there is no error here - nothing gets inserted. */
3151
3152       if (value == NULL)
3153         {
3154         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3155         continue;
3156         }
3157       }
3158
3159     /* Variable */
3160
3161     else
3162       {
3163       value = find_variable(name, FALSE, skipping, &newsize);
3164       if (value == NULL)
3165         {
3166         expand_string_message =
3167           string_sprintf("unknown variable name \"%s\"", name);
3168           check_variable_error_message(name);
3169         goto EXPAND_FAILED;
3170         }
3171       }
3172
3173     /* If the data is known to be in a new buffer, newsize will be set to the
3174     size of that buffer. If this is the first thing in an expansion string,
3175     yield will be NULL; just point it at the new store instead of copying. Many
3176     expansion strings contain just one reference, so this is a useful
3177     optimization, especially for humungous headers. */
3178
3179     len = Ustrlen(value);
3180     if (yield == NULL && newsize != 0)
3181       {
3182       yield = value;
3183       size = newsize;
3184       ptr = len;
3185       }
3186     else yield = string_cat(yield, &size, &ptr, value, len);
3187
3188     continue;
3189     }
3190
3191   if (isdigit(*s))
3192     {
3193     int n;
3194     s = read_number(&n, s);
3195     if (n >= 0 && n <= expand_nmax)
3196       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3197         expand_nlength[n]);
3198     continue;
3199     }
3200
3201   /* Otherwise, if there's no '{' after $ it's an error. */
3202
3203   if (*s != '{')
3204     {
3205     expand_string_message = US"$ not followed by letter, digit, or {";
3206     goto EXPAND_FAILED;
3207     }
3208
3209   /* After { there can be various things, but they all start with
3210   an initial word, except for a number for a string match variable. */
3211
3212   if (isdigit((*(++s))))
3213     {
3214     int n;
3215     s = read_number(&n, s);
3216     if (*s++ != '}')
3217       {
3218       expand_string_message = US"} expected after number";
3219       goto EXPAND_FAILED;
3220       }
3221     if (n >= 0 && n <= expand_nmax)
3222       yield = string_cat(yield, &size, &ptr, expand_nstring[n],
3223         expand_nlength[n]);
3224     continue;
3225     }
3226
3227   if (!isalpha(*s))
3228     {
3229     expand_string_message = US"letter or digit expected after ${";
3230     goto EXPAND_FAILED;
3231     }
3232
3233   /* Allow "-" in names to cater for substrings with negative
3234   arguments. Since we are checking for known names after { this is
3235   OK. */
3236
3237   s = read_name(name, sizeof(name), s, US"_-");
3238   item_type = chop_match(name, item_table, sizeof(item_table)/sizeof(uschar *));
3239
3240   switch(item_type)
3241     {
3242     /* Handle conditionals - preserve the values of the numerical expansion
3243     variables in case they get changed by a regular expression match in the
3244     condition. If not, they retain their external settings. At the end
3245     of this "if" section, they get restored to their previous values. */
3246
3247     case EITEM_IF:
3248       {
3249       BOOL cond = FALSE;
3250       uschar *next_s;
3251       int save_expand_nmax =
3252         save_expand_strings(save_expand_nstring, save_expand_nlength);
3253
3254       while (isspace(*s)) s++;
3255       next_s = eval_condition(s, skipping? NULL : &cond);
3256       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
3257
3258       DEBUG(D_expand)
3259         debug_printf("condition: %.*s\n   result: %s\n", (int)(next_s - s), s,
3260           cond? "true" : "false");
3261
3262       s = next_s;
3263
3264       /* The handling of "yes" and "no" result strings is now in a separate
3265       function that is also used by ${lookup} and ${extract} and ${run}. */
3266
3267       switch(process_yesno(
3268                skipping,                     /* were previously skipping */
3269                cond,                         /* success/failure indicator */
3270                lookup_value,                 /* value to reset for string2 */
3271                &s,                           /* input pointer */
3272                &yield,                       /* output pointer */
3273                &size,                        /* output size */
3274                &ptr,                         /* output current point */
3275                US"if"))                      /* condition type */
3276         {
3277         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3278         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3279         }
3280
3281       /* Restore external setting of expansion variables for continuation
3282       at this level. */
3283
3284       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3285         save_expand_nlength);
3286       continue;
3287       }
3288
3289     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
3290     expanding an internal string that isn't actually going to be used. All we
3291     need to do is check the syntax, so don't do a lookup at all. Preserve the
3292     values of the numerical expansion variables in case they get changed by a
3293     partial lookup. If not, they retain their external settings. At the end
3294     of this "lookup" section, they get restored to their previous values. */
3295
3296     case EITEM_LOOKUP:
3297       {
3298       int stype, partial, affixlen, starflags;
3299       int expand_setup = 0;
3300       int nameptr = 0;
3301       uschar *key, *filename, *affix;
3302       uschar *save_lookup_value = lookup_value;
3303       int save_expand_nmax =
3304         save_expand_strings(save_expand_nstring, save_expand_nlength);
3305
3306       if ((expand_forbid & RDO_LOOKUP) != 0)
3307         {
3308         expand_string_message = US"lookup expansions are not permitted";
3309         goto EXPAND_FAILED;
3310         }
3311
3312       /* Get the key we are to look up for single-key+file style lookups.
3313       Otherwise set the key NULL pro-tem. */
3314
3315       while (isspace(*s)) s++;
3316       if (*s == '{')
3317         {
3318         key = expand_string_internal(s+1, TRUE, &s, skipping);
3319         if (key == NULL) goto EXPAND_FAILED;
3320         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3321         while (isspace(*s)) s++;
3322         }
3323       else key = NULL;
3324
3325       /* Find out the type of database */
3326
3327       if (!isalpha(*s))
3328         {
3329         expand_string_message = US"missing lookup type";
3330         goto EXPAND_FAILED;
3331         }
3332
3333       /* The type is a string that may contain special characters of various
3334       kinds. Allow everything except space or { to appear; the actual content
3335       is checked by search_findtype_partial. */
3336
3337       while (*s != 0 && *s != '{' && !isspace(*s))
3338         {
3339         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
3340         s++;
3341         }
3342       name[nameptr] = 0;
3343       while (isspace(*s)) s++;
3344
3345       /* Now check for the individual search type and any partial or default
3346       options. Only those types that are actually in the binary are valid. */
3347
3348       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
3349         &starflags);
3350       if (stype < 0)
3351         {
3352         expand_string_message = search_error_message;
3353         goto EXPAND_FAILED;
3354         }
3355
3356       /* Check that a key was provided for those lookup types that need it,
3357       and was not supplied for those that use the query style. */
3358
3359       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
3360         {
3361         if (key == NULL)
3362           {
3363           expand_string_message = string_sprintf("missing {key} for single-"
3364             "key \"%s\" lookup", name);
3365           goto EXPAND_FAILED;
3366           }
3367         }
3368       else
3369         {
3370         if (key != NULL)
3371           {
3372           expand_string_message = string_sprintf("a single key was given for "
3373             "lookup type \"%s\", which is not a single-key lookup type", name);
3374           goto EXPAND_FAILED;
3375           }
3376         }
3377
3378       /* Get the next string in brackets and expand it. It is the file name for
3379       single-key+file lookups, and the whole query otherwise. In the case of
3380       queries that also require a file name (e.g. sqlite), the file name comes
3381       first. */
3382
3383       if (*s != '{') goto EXPAND_FAILED_CURLY;
3384       filename = expand_string_internal(s+1, TRUE, &s, skipping);
3385       if (filename == NULL) goto EXPAND_FAILED;
3386       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
3387       while (isspace(*s)) s++;
3388
3389       /* If this isn't a single-key+file lookup, re-arrange the variables
3390       to be appropriate for the search_ functions. For query-style lookups,
3391       there is just a "key", and no file name. For the special query-style +
3392       file types, the query (i.e. "key") starts with a file name. */
3393
3394       if (key == NULL)
3395         {
3396         while (isspace(*filename)) filename++;
3397         key = filename;
3398
3399         if (mac_islookup(stype, lookup_querystyle))
3400           {
3401           filename = NULL;
3402           }
3403         else
3404           {
3405           if (*filename != '/')
3406             {
3407             expand_string_message = string_sprintf(
3408               "absolute file name expected for \"%s\" lookup", name);
3409             goto EXPAND_FAILED;
3410             }
3411           while (*key != 0 && !isspace(*key)) key++;
3412           if (*key != 0) *key++ = 0;
3413           }
3414         }
3415
3416       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
3417       the entry was not found. Note that there is no search_close() function.
3418       Files are left open in case of re-use. At suitable places in higher logic,
3419       search_tidyup() is called to tidy all open files. This can save opening
3420       the same file several times. However, files may also get closed when
3421       others are opened, if too many are open at once. The rule is that a
3422       handle should not be used after a second search_open().
3423
3424       Request that a partial search sets up $1 and maybe $2 by passing
3425       expand_setup containing zero. If its value changes, reset expand_nmax,
3426       since new variables will have been set. Note that at the end of this
3427       "lookup" section, the old numeric variables are restored. */
3428
3429       if (skipping)
3430         lookup_value = NULL;
3431       else
3432         {
3433         void *handle = search_open(filename, stype, 0, NULL, NULL);
3434         if (handle == NULL)
3435           {
3436           expand_string_message = search_error_message;
3437           goto EXPAND_FAILED;
3438           }
3439         lookup_value = search_find(handle, filename, key, partial, affix,
3440           affixlen, starflags, &expand_setup);
3441         if (search_find_defer)
3442           {
3443           expand_string_message =
3444             string_sprintf("lookup of \"%s\" gave DEFER: %s", key,
3445               search_error_message);
3446           goto EXPAND_FAILED;
3447           }
3448         if (expand_setup > 0) expand_nmax = expand_setup;
3449         }
3450
3451       /* The handling of "yes" and "no" result strings is now in a separate
3452       function that is also used by ${if} and ${extract}. */
3453
3454       switch(process_yesno(
3455                skipping,                     /* were previously skipping */
3456                lookup_value != NULL,         /* success/failure indicator */
3457                save_lookup_value,            /* value to reset for string2 */
3458                &s,                           /* input pointer */
3459                &yield,                       /* output pointer */
3460                &size,                        /* output size */
3461                &ptr,                         /* output current point */
3462                US"lookup"))                  /* condition type */
3463         {
3464         case 1: goto EXPAND_FAILED;          /* when all is well, the */
3465         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
3466         }
3467
3468       /* Restore external setting of expansion variables for carrying on
3469       at this level, and continue. */
3470
3471       restore_expand_strings(save_expand_nmax, save_expand_nstring,
3472         save_expand_nlength);
3473       continue;
3474       }
3475
3476     /* If Perl support is configured, handle calling embedded perl subroutines,
3477     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
3478     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
3479     arguments (defined below). */
3480
3481     #define EXIM_PERL_MAX_ARGS 8
3482
3483     case EITEM_PERL:
3484     #ifndef EXIM_PERL
3485     expand_string_message = US"\"${perl\" encountered, but this facility "
3486       "is not included in this binary";
3487     goto EXPAND_FAILED;
3488
3489     #else   /* EXIM_PERL */
3490       {
3491       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
3492       uschar *new_yield;
3493
3494       if ((expand_forbid & RDO_PERL) != 0)
3495         {
3496         expand_string_message = US"Perl calls are not permitted";
3497         goto EXPAND_FAILED;
3498         }
3499
3500       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
3501            US"perl"))
3502         {
3503         case 1: goto EXPAND_FAILED_CURLY;
3504         case 2:
3505         case 3: goto EXPAND_FAILED;
3506         }
3507
3508       /* If skipping, we don't actually do anything */
3509
3510       if (skipping) continue;
3511
3512       /* Start the interpreter if necessary */
3513
3514       if (!opt_perl_started)
3515         {
3516         uschar *initerror;
3517         if (opt_perl_startup == NULL)
3518           {
3519           expand_string_message = US"A setting of perl_startup is needed when "
3520             "using the Perl interpreter";
3521           goto EXPAND_FAILED;
3522           }
3523         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3524         initerror = init_perl(opt_perl_startup);
3525         if (initerror != NULL)
3526           {
3527           expand_string_message =
3528             string_sprintf("error in perl_startup code: %s\n", initerror);
3529           goto EXPAND_FAILED;
3530           }
3531         opt_perl_started = TRUE;
3532         }
3533
3534       /* Call the function */
3535
3536       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
3537       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
3538         sub_arg[0], sub_arg + 1);
3539
3540       /* NULL yield indicates failure; if the message pointer has been set to
3541       NULL, the yield was undef, indicating a forced failure. Otherwise the
3542       message will indicate some kind of Perl error. */
3543
3544       if (new_yield == NULL)
3545         {
3546         if (expand_string_message == NULL)
3547           {
3548           expand_string_message =
3549             string_sprintf("Perl subroutine \"%s\" returned undef to force "
3550               "failure", sub_arg[0]);
3551           expand_string_forcedfail = TRUE;
3552           }
3553         goto EXPAND_FAILED;
3554         }
3555
3556       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
3557       set during a callback from Perl. */
3558
3559       expand_string_forcedfail = FALSE;
3560       yield = new_yield;
3561       continue;
3562       }
3563     #endif /* EXIM_PERL */
3564
3565     /* Transform email address to "prvs" scheme to use
3566        as BATV-signed return path */
3567
3568     case EITEM_PRVS:
3569       {
3570       uschar *sub_arg[3];
3571       uschar *p,*domain;
3572
3573       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs"))
3574         {
3575         case 1: goto EXPAND_FAILED_CURLY;
3576         case 2:
3577         case 3: goto EXPAND_FAILED;
3578         }
3579
3580       /* If skipping, we don't actually do anything */
3581       if (skipping) continue;
3582
3583       /* sub_arg[0] is the address */
3584       domain = Ustrrchr(sub_arg[0],'@');
3585       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
3586         {
3587         expand_string_message = US"prvs first argument must be a qualified email address";
3588         goto EXPAND_FAILED;
3589         }
3590
3591       /* Calculate the hash. The second argument must be a single-digit
3592       key number, or unset. */
3593
3594       if (sub_arg[2] != NULL &&
3595           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
3596         {
3597         expand_string_message = US"prvs second argument must be a single digit";
3598         goto EXPAND_FAILED;
3599         }
3600
3601       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
3602       if (p == NULL)
3603         {
3604         expand_string_message = US"prvs hmac-sha1 conversion failed";
3605         goto EXPAND_FAILED;
3606         }
3607
3608       /* Now separate the domain from the local part */
3609       *domain++ = '\0';
3610
3611       yield = string_cat(yield,&size,&ptr,US"prvs=",5);
3612       string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3613       string_cat(yield,&size,&ptr,US"/",1);
3614       string_cat(yield,&size,&ptr,(sub_arg[2] != NULL) ? sub_arg[2] : US"0", 1);
3615       string_cat(yield,&size,&ptr,prvs_daystamp(7),3);
3616       string_cat(yield,&size,&ptr,p,6);
3617       string_cat(yield,&size,&ptr,US"@",1);
3618       string_cat(yield,&size,&ptr,domain,Ustrlen(domain));
3619
3620       continue;
3621       }
3622
3623     /* Check a prvs-encoded address for validity */
3624
3625     case EITEM_PRVSCHECK:
3626       {
3627       uschar *sub_arg[3];
3628       int mysize = 0, myptr = 0;
3629       const pcre *re;
3630       uschar *p;
3631
3632       /* TF: Ugliness: We want to expand parameter 1 first, then set
3633          up expansion variables that are used in the expansion of
3634          parameter 2. So we clone the string for the first
3635          expansion, where we only expand parameter 1.
3636
3637          PH: Actually, that isn't necessary. The read_subs() function is
3638          designed to work this way for the ${if and ${lookup expansions. I've
3639          tidied the code.
3640       */
3641
3642       /* Reset expansion variables */
3643       prvscheck_result = NULL;
3644       prvscheck_address = NULL;
3645       prvscheck_keynum = NULL;
3646
3647       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3648         {
3649         case 1: goto EXPAND_FAILED_CURLY;
3650         case 2:
3651         case 3: goto EXPAND_FAILED;
3652         }
3653
3654       re = regex_must_compile(US"^prvs\\=(.+)\\/([0-9])([0-9]{3})([A-F0-9]{6})\\@(.+)$",
3655                               TRUE,FALSE);
3656
3657       if (regex_match_and_setup(re,sub_arg[0],0,-1))
3658         {
3659         uschar *local_part = string_copyn(expand_nstring[1],expand_nlength[1]);
3660         uschar *key_num = string_copyn(expand_nstring[2],expand_nlength[2]);
3661         uschar *daystamp = string_copyn(expand_nstring[3],expand_nlength[3]);
3662         uschar *hash = string_copyn(expand_nstring[4],expand_nlength[4]);
3663         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
3664
3665         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
3666         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
3667         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
3668         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
3669         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
3670
3671         /* Set up expansion variables */
3672         prvscheck_address = string_cat(NULL, &mysize, &myptr, local_part, Ustrlen(local_part));
3673         string_cat(prvscheck_address,&mysize,&myptr,US"@",1);
3674         string_cat(prvscheck_address,&mysize,&myptr,domain,Ustrlen(domain));
3675         prvscheck_address[myptr] = '\0';
3676         prvscheck_keynum = string_copy(key_num);
3677
3678         /* Now expand the second argument */
3679         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs"))
3680           {
3681           case 1: goto EXPAND_FAILED_CURLY;
3682           case 2:
3683           case 3: goto EXPAND_FAILED;
3684           }
3685
3686         /* Now we have the key and can check the address. */
3687
3688         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
3689           daystamp);
3690
3691         if (p == NULL)
3692           {
3693           expand_string_message = US"hmac-sha1 conversion failed";
3694           goto EXPAND_FAILED;
3695           }
3696
3697         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
3698         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
3699
3700         if (Ustrcmp(p,hash) == 0)
3701           {
3702           /* Success, valid BATV address. Now check the expiry date. */
3703           uschar *now = prvs_daystamp(0);
3704           unsigned int inow = 0,iexpire = 1;
3705
3706           (void)sscanf(CS now,"%u",&inow);
3707           (void)sscanf(CS daystamp,"%u",&iexpire);
3708
3709           /* When "iexpire" is < 7, a "flip" has occured.
3710              Adjust "inow" accordingly. */
3711           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
3712
3713           if (iexpire > inow)
3714             {
3715             prvscheck_result = US"1";
3716             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
3717             }
3718             else
3719             {
3720             prvscheck_result = NULL;
3721             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
3722             }
3723           }
3724         else
3725           {
3726           prvscheck_result = NULL;
3727           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
3728           }
3729
3730         /* Now expand the final argument. We leave this till now so that
3731         it can include $prvscheck_result. */
3732
3733         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs"))
3734           {
3735           case 1: goto EXPAND_FAILED_CURLY;
3736           case 2:
3737           case 3: goto EXPAND_FAILED;
3738           }
3739
3740         if (sub_arg[0] == NULL || *sub_arg[0] == '\0')
3741           yield = string_cat(yield,&size,&ptr,prvscheck_address,Ustrlen(prvscheck_address));
3742         else
3743           yield = string_cat(yield,&size,&ptr,sub_arg[0],Ustrlen(sub_arg[0]));
3744
3745         /* Reset the "internal" variables afterwards, because they are in
3746         dynamic store that will be reclaimed if the expansion succeeded. */
3747
3748         prvscheck_address = NULL;
3749         prvscheck_keynum = NULL;
3750         }
3751       else
3752         {
3753         /* Does not look like a prvs encoded address, return the empty string.
3754            We need to make sure all subs are expanded first, so as to skip over
3755            the entire item. */
3756
3757         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs"))
3758           {
3759           case 1: goto EXPAND_FAILED_CURLY;
3760           case 2:
3761           case 3: goto EXPAND_FAILED;
3762           }
3763         }
3764
3765       continue;
3766       }
3767
3768     /* Handle "readfile" to insert an entire file */
3769
3770     case EITEM_READFILE:
3771       {
3772       FILE *f;
3773       uschar *sub_arg[2];
3774
3775       if ((expand_forbid & RDO_READFILE) != 0)
3776         {
3777         expand_string_message = US"file insertions are not permitted";
3778         goto EXPAND_FAILED;
3779         }
3780
3781       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile"))
3782         {
3783         case 1: goto EXPAND_FAILED_CURLY;
3784         case 2:
3785         case 3: goto EXPAND_FAILED;
3786         }
3787
3788       /* If skipping, we don't actually do anything */
3789
3790       if (skipping) continue;
3791
3792       /* Open the file and read it */
3793
3794       f = Ufopen(sub_arg[0], "rb");
3795       if (f == NULL)
3796         {
3797         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
3798         goto EXPAND_FAILED;
3799         }
3800
3801       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
3802       (void)fclose(f);
3803       continue;
3804       }
3805
3806     /* Handle "readsocket" to insert data from a Unix domain socket */
3807
3808     case EITEM_READSOCK:
3809       {
3810       int fd;
3811       int timeout = 5;
3812       int save_ptr = ptr;
3813       FILE *f;
3814       struct sockaddr_un sockun;         /* don't call this "sun" ! */
3815       uschar *arg;
3816       uschar *sub_arg[4];
3817
3818       if ((expand_forbid & RDO_READSOCK) != 0)
3819         {
3820         expand_string_message = US"socket insertions are not permitted";
3821         goto EXPAND_FAILED;
3822         }
3823
3824       /* Read up to 4 arguments, but don't do the end of item check afterwards,
3825       because there may be a string for expansion on failure. */
3826
3827       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket"))
3828         {
3829         case 1: goto EXPAND_FAILED_CURLY;
3830         case 2:                             /* Won't occur: no end check */
3831         case 3: goto EXPAND_FAILED;
3832         }
3833
3834       /* Sort out timeout, if given */
3835
3836       if (sub_arg[2] != NULL)
3837         {
3838         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
3839         if (timeout < 0)
3840           {
3841           expand_string_message = string_sprintf("bad time value %s",
3842             sub_arg[2]);
3843           goto EXPAND_FAILED;
3844           }
3845         }
3846       else sub_arg[3] = NULL;                     /* No eol if no timeout */
3847
3848       /* If skipping, we don't actually do anything. Otherwise, arrange to
3849       connect to either an IP or a Unix socket. */
3850
3851       if (!skipping)
3852         {
3853         /* Handle an IP (internet) domain */
3854
3855         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
3856           {
3857           BOOL connected = FALSE;
3858           int namelen, port;
3859           host_item shost;
3860           host_item *h;
3861           uschar *server_name = sub_arg[0] + 5;
3862           uschar *port_name = Ustrrchr(server_name, ':');
3863
3864           /* Sort out the port */
3865
3866           if (port_name == NULL)
3867             {
3868             expand_string_message =
3869               string_sprintf("missing port for readsocket %s", sub_arg[0]);
3870             goto EXPAND_FAILED;
3871             }
3872           *port_name++ = 0;           /* Terminate server name */
3873
3874           if (isdigit(*port_name))
3875             {
3876             uschar *end;
3877             port = Ustrtol(port_name, &end, 0);
3878             if (end != port_name + Ustrlen(port_name))
3879               {
3880               expand_string_message =
3881                 string_sprintf("invalid port number %s", port_name);
3882               goto EXPAND_FAILED;
3883               }
3884             }
3885           else
3886             {
3887             struct servent *service_info = getservbyname(CS port_name, "tcp");
3888             if (service_info == NULL)
3889               {
3890               expand_string_message = string_sprintf("unknown port \"%s\"",
3891                 port_name);
3892               goto EXPAND_FAILED;
3893               }
3894             port = ntohs(service_info->s_port);
3895             }
3896
3897           /* Sort out the server. */
3898
3899           shost.next = NULL;
3900           shost.address = NULL;
3901           shost.port = port;
3902           shost.mx = -1;
3903
3904           namelen = Ustrlen(server_name);
3905
3906           /* Anything enclosed in [] must be an IP address. */
3907
3908           if (server_name[0] == '[' &&
3909               server_name[namelen - 1] == ']')
3910             {
3911             server_name[namelen - 1] = 0;
3912             server_name++;
3913             if (string_is_ip_address(server_name, NULL) == 0)
3914               {
3915               expand_string_message =
3916                 string_sprintf("malformed IP address \"%s\"", server_name);
3917               goto EXPAND_FAILED;
3918               }
3919             shost.name = shost.address = server_name;
3920             }
3921
3922           /* Otherwise check for an unadorned IP address */
3923
3924           else if (string_is_ip_address(server_name, NULL) != 0)
3925             shost.name = shost.address = server_name;
3926
3927           /* Otherwise lookup IP address(es) from the name */
3928
3929           else
3930             {
3931             shost.name = server_name;
3932             if (host_find_byname(&shost, NULL, HOST_FIND_QUALIFY_SINGLE, NULL,
3933                 FALSE) != HOST_FOUND)
3934               {
3935               expand_string_message =
3936                 string_sprintf("no IP address found for host %s", shost.name);
3937               goto EXPAND_FAILED;
3938               }
3939             }
3940
3941           /* Try to connect to the server - test each IP till one works */
3942
3943           for (h = &shost; h != NULL; h = h->next)
3944             {
3945             int af = (Ustrchr(h->address, ':') != 0)? AF_INET6 : AF_INET;
3946             if ((fd = ip_socket(SOCK_STREAM, af)) == -1)
3947               {
3948               expand_string_message = string_sprintf("failed to create socket: "
3949                 "%s", strerror(errno));
3950               goto SOCK_FAIL;
3951               }
3952
3953             if (ip_connect(fd, af, h->address, port, timeout) == 0)
3954               {
3955               connected = TRUE;
3956               break;
3957               }
3958             }
3959
3960           if (!connected)
3961             {
3962             expand_string_message = string_sprintf("failed to connect to "
3963               "socket %s: couldn't connect to any host", sub_arg[0],
3964               strerror(errno));
3965             goto SOCK_FAIL;
3966             }
3967           }
3968
3969         /* Handle a Unix domain socket */
3970
3971         else
3972           {
3973           int rc;
3974           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
3975             {
3976             expand_string_message = string_sprintf("failed to create socket: %s",
3977               strerror(errno));
3978             goto SOCK_FAIL;
3979             }
3980
3981           sockun.sun_family = AF_UNIX;
3982           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
3983             sub_arg[0]);
3984
3985           sigalrm_seen = FALSE;
3986           alarm(timeout);
3987           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
3988           alarm(0);
3989           if (sigalrm_seen)
3990             {
3991             expand_string_message = US "socket connect timed out";
3992             goto SOCK_FAIL;
3993             }
3994           if (rc < 0)
3995             {
3996             expand_string_message = string_sprintf("failed to connect to socket "
3997               "%s: %s", sub_arg[0], strerror(errno));
3998             goto SOCK_FAIL;
3999             }
4000           }
4001
4002         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4003
4004         /* Write the request string, if not empty */
4005
4006         if (sub_arg[1][0] != 0)
4007           {
4008           int len = Ustrlen(sub_arg[1]);
4009           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4010             sub_arg[1]);
4011           if (write(fd, sub_arg[1], len) != len)
4012             {
4013             expand_string_message = string_sprintf("request write to socket "
4014               "failed: %s", strerror(errno));
4015             goto SOCK_FAIL;
4016             }
4017           }
4018
4019         /* Shut down the sending side of the socket. This helps some servers to
4020         recognise that it is their turn to do some work. Just in case some
4021         system doesn't have this function, make it conditional. */
4022
4023         #ifdef SHUT_WR
4024         shutdown(fd, SHUT_WR);
4025         #endif
4026
4027         /* Now we need to read from the socket, under a timeout. The function
4028         that reads a file can be used. */
4029
4030         f = fdopen(fd, "rb");
4031         sigalrm_seen = FALSE;
4032         alarm(timeout);
4033         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4034         alarm(0);
4035         (void)fclose(f);
4036
4037         /* After a timeout, we restore the pointer in the result, that is,
4038         make sure we add nothing from the socket. */
4039
4040         if (sigalrm_seen)
4041           {
4042           ptr = save_ptr;
4043           expand_string_message = US "socket read timed out";
4044           goto SOCK_FAIL;
4045           }
4046         }
4047
4048       /* The whole thing has worked (or we were skipping). If there is a
4049       failure string following, we need to skip it. */
4050
4051       if (*s == '{')
4052         {
4053         if (expand_string_internal(s+1, TRUE, &s, TRUE) == NULL)
4054           goto EXPAND_FAILED;
4055         if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4056         while (isspace(*s)) s++;
4057         }
4058       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4059       continue;
4060
4061       /* Come here on failure to create socket, connect socket, write to the
4062       socket, or timeout on reading. If another substring follows, expand and
4063       use it. Otherwise, those conditions give expand errors. */
4064
4065       SOCK_FAIL:
4066       if (*s != '{') goto EXPAND_FAILED;
4067       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4068       arg = expand_string_internal(s+1, TRUE, &s, FALSE);
4069       if (arg == NULL) goto EXPAND_FAILED;
4070       yield = string_cat(yield, &size, &ptr, arg, Ustrlen(arg));
4071       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4072       while (isspace(*s)) s++;
4073       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4074       continue;
4075       }
4076
4077     /* Handle "run" to execute a program. */
4078
4079     case EITEM_RUN:
4080       {
4081       FILE *f;
4082       uschar *arg;
4083       uschar **argv;
4084       pid_t pid;
4085       int fd_in, fd_out;
4086       int lsize = 0;
4087       int lptr = 0;
4088
4089       if ((expand_forbid & RDO_RUN) != 0)
4090         {
4091         expand_string_message = US"running a command is not permitted";
4092         goto EXPAND_FAILED;
4093         }
4094
4095       while (isspace(*s)) s++;
4096       if (*s != '{') goto EXPAND_FAILED_CURLY;
4097       arg = expand_string_internal(s+1, TRUE, &s, skipping);
4098       if (arg == NULL) goto EXPAND_FAILED;
4099       while (isspace(*s)) s++;
4100       if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4101
4102       if (skipping)   /* Just pretend it worked when we're skipping */
4103         {
4104         runrc = 0;
4105         }
4106       else
4107         {
4108         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4109             arg,                                /* raw command */
4110             FALSE,                              /* don't expand the arguments */
4111             0,                                  /* not relevant when... */
4112             NULL,                               /* no transporting address */
4113             US"${run} expansion",               /* for error messages */
4114             &expand_string_message))            /* where to put error message */
4115           {
4116           goto EXPAND_FAILED;
4117           }
4118
4119         /* Create the child process, making it a group leader. */
4120
4121         pid = child_open(argv, NULL, 0077, &fd_in, &fd_out, TRUE);
4122
4123         if (pid < 0)
4124           {
4125           expand_string_message =
4126             string_sprintf("couldn't create child process: %s", strerror(errno));
4127           goto EXPAND_FAILED;
4128           }
4129
4130         /* Nothing is written to the standard input. */
4131
4132         (void)close(fd_in);
4133
4134         /* Wait for the process to finish, applying the timeout, and inspect its
4135         return code for serious disasters. Simple non-zero returns are passed on.
4136         */
4137
4138         if ((runrc = child_close(pid, 60)) < 0)
4139           {
4140           if (runrc == -256)
4141             {
4142             expand_string_message = string_sprintf("command timed out");
4143             killpg(pid, SIGKILL);       /* Kill the whole process group */
4144             }
4145
4146           else if (runrc == -257)
4147             expand_string_message = string_sprintf("wait() failed: %s",
4148               strerror(errno));
4149
4150           else
4151             expand_string_message = string_sprintf("command killed by signal %d",
4152               -runrc);
4153
4154           goto EXPAND_FAILED;
4155           }
4156
4157         /* Read the pipe to get the command's output into $value (which is kept
4158         in lookup_value). */
4159
4160         f = fdopen(fd_out, "rb");
4161         lookup_value = NULL;
4162         lookup_value = cat_file(f, lookup_value, &lsize, &lptr, NULL);
4163         (void)fclose(f);
4164         }
4165
4166       /* Process the yes/no strings; $value may be useful in both cases */
4167
4168       switch(process_yesno(
4169                skipping,                     /* were previously skipping */
4170                runrc == 0,                   /* success/failure indicator */
4171                lookup_value,                 /* value to reset for string2 */
4172                &s,                           /* input pointer */
4173                &yield,                       /* output pointer */
4174                &size,                        /* output size */
4175                &ptr,                         /* output current point */
4176                US"run"))                     /* condition type */
4177         {
4178         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4179         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4180         }
4181
4182       continue;
4183       }
4184
4185     /* Handle character translation for "tr" */
4186
4187     case EITEM_TR:
4188       {
4189       int oldptr = ptr;
4190       int o2m;
4191       uschar *sub[3];
4192
4193       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr"))
4194         {
4195         case 1: goto EXPAND_FAILED_CURLY;
4196         case 2:
4197         case 3: goto EXPAND_FAILED;
4198         }
4199
4200       yield = string_cat(yield, &size, &ptr, sub[0], Ustrlen(sub[0]));
4201       o2m = Ustrlen(sub[2]) - 1;
4202
4203       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
4204         {
4205         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
4206         if (m != NULL)
4207           {
4208           int o = m - sub[1];
4209           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
4210           }
4211         }
4212
4213       continue;
4214       }
4215
4216     /* Handle "hash", "length", "nhash", and "substr" when they are given with
4217     expanded arguments. */
4218
4219     case EITEM_HASH:
4220     case EITEM_LENGTH:
4221     case EITEM_NHASH:
4222     case EITEM_SUBSTR:
4223       {
4224       int i;
4225       int len;
4226       uschar *ret;
4227       int val[2] = { 0, -1 };
4228       uschar *sub[3];
4229
4230       /* "length" takes only 2 arguments whereas the others take 2 or 3.
4231       Ensure that sub[2] is set in the ${length case. */
4232
4233       sub[2] = NULL;
4234       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
4235              TRUE, name))
4236         {
4237         case 1: goto EXPAND_FAILED_CURLY;
4238         case 2:
4239         case 3: goto EXPAND_FAILED;
4240         }
4241
4242       /* Juggle the arguments if there are only two of them: always move the
4243       string to the last position and make ${length{n}{str}} equivalent to
4244       ${substr{0}{n}{str}}. See the defaults for val[] above. */
4245
4246       if (sub[2] == NULL)
4247         {
4248         sub[2] = sub[1];
4249         sub[1] = NULL;
4250         if (item_type == EITEM_LENGTH)
4251           {
4252           sub[1] = sub[0];
4253           sub[0] = NULL;
4254           }
4255         }
4256
4257       for (i = 0; i < 2; i++)
4258         {
4259         if (sub[i] == NULL) continue;
4260         val[i] = (int)Ustrtol(sub[i], &ret, 10);
4261         if (*ret != 0 || (i != 0 && val[i] < 0))
4262           {
4263           expand_string_message = string_sprintf("\"%s\" is not a%s number "
4264             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
4265           goto EXPAND_FAILED;
4266           }
4267         }
4268
4269       ret =
4270         (item_type == EITEM_HASH)?
4271           compute_hash(sub[2], val[0], val[1], &len) :
4272         (item_type == EITEM_NHASH)?
4273           compute_nhash(sub[2], val[0], val[1], &len) :
4274           extract_substr(sub[2], val[0], val[1], &len);
4275
4276       if (ret == NULL) goto EXPAND_FAILED;
4277       yield = string_cat(yield, &size, &ptr, ret, len);
4278       continue;
4279       }
4280
4281     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
4282     This code originally contributed by Steve Haslam. It currently supports
4283     the use of MD5 and SHA-1 hashes.
4284
4285     We need some workspace that is large enough to handle all the supported
4286     hash types. Use macros to set the sizes rather than be too elaborate. */
4287
4288     #define MAX_HASHLEN      20
4289     #define MAX_HASHBLOCKLEN 64
4290
4291     case EITEM_HMAC:
4292       {
4293       uschar *sub[3];
4294       md5 md5_base;
4295       sha1 sha1_base;
4296       void *use_base;
4297       int type, i;
4298       int hashlen;      /* Number of octets for the hash algorithm's output */
4299       int hashblocklen; /* Number of octets the hash algorithm processes */
4300       uschar *keyptr, *p;
4301       unsigned int keylen;
4302
4303       uschar keyhash[MAX_HASHLEN];
4304       uschar innerhash[MAX_HASHLEN];
4305       uschar finalhash[MAX_HASHLEN];
4306       uschar finalhash_hex[2*MAX_HASHLEN];
4307       uschar innerkey[MAX_HASHBLOCKLEN];
4308       uschar outerkey[MAX_HASHBLOCKLEN];
4309
4310       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name))
4311         {
4312         case 1: goto EXPAND_FAILED_CURLY;
4313         case 2:
4314         case 3: goto EXPAND_FAILED;
4315         }
4316
4317       if (Ustrcmp(sub[0], "md5") == 0)
4318         {
4319         type = HMAC_MD5;
4320         use_base = &md5_base;
4321         hashlen = 16;
4322         hashblocklen = 64;
4323         }
4324       else if (Ustrcmp(sub[0], "sha1") == 0)
4325         {
4326         type = HMAC_SHA1;
4327         use_base = &sha1_base;
4328         hashlen = 20;
4329         hashblocklen = 64;
4330         }
4331       else
4332         {
4333         expand_string_message =
4334           string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
4335         goto EXPAND_FAILED;
4336         }
4337
4338       keyptr = sub[1];
4339       keylen = Ustrlen(keyptr);
4340
4341       /* If the key is longer than the hash block length, then hash the key
4342       first */
4343
4344       if (keylen > hashblocklen)
4345         {
4346         chash_start(type, use_base);
4347         chash_end(type, use_base, keyptr, keylen, keyhash);
4348         keyptr = keyhash;
4349         keylen = hashlen;
4350         }
4351
4352       /* Now make the inner and outer key values */
4353
4354       memset(innerkey, 0x36, hashblocklen);
4355       memset(outerkey, 0x5c, hashblocklen);
4356
4357       for (i = 0; i < keylen; i++)
4358         {
4359         innerkey[i] ^= keyptr[i];
4360         outerkey[i] ^= keyptr[i];
4361         }
4362
4363       /* Now do the hashes */
4364
4365       chash_start(type, use_base);
4366       chash_mid(type, use_base, innerkey);
4367       chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
4368
4369       chash_start(type, use_base);
4370       chash_mid(type, use_base, outerkey);
4371       chash_end(type, use_base, innerhash, hashlen, finalhash);
4372
4373       /* Encode the final hash as a hex string */
4374
4375       p = finalhash_hex;
4376       for (i = 0; i < hashlen; i++)
4377         {
4378         *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
4379         *p++ = hex_digits[finalhash[i] & 0x0f];
4380         }
4381
4382       DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%.*s)=%.*s\n", sub[0],
4383         (int)keylen, keyptr, Ustrlen(sub[2]), sub[2], hashlen*2, finalhash_hex);
4384
4385       yield = string_cat(yield, &size, &ptr, finalhash_hex, hashlen*2);
4386       }
4387
4388     continue;
4389
4390     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
4391     We have to save the numerical variables and restore them afterwards. */
4392
4393     case EITEM_SG:
4394       {
4395       const pcre *re;
4396       int moffset, moffsetextra, slen;
4397       int roffset;
4398       int emptyopt;
4399       const uschar *rerror;
4400       uschar *subject;
4401       uschar *sub[3];
4402       int save_expand_nmax =
4403         save_expand_strings(save_expand_nstring, save_expand_nlength);
4404
4405       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg"))
4406         {
4407         case 1: goto EXPAND_FAILED_CURLY;
4408         case 2:
4409         case 3: goto EXPAND_FAILED;
4410         }
4411
4412       /* Compile the regular expression */
4413
4414       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
4415         NULL);
4416
4417       if (re == NULL)
4418         {
4419         expand_string_message = string_sprintf("regular expression error in "
4420           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
4421         goto EXPAND_FAILED;
4422         }
4423
4424       /* Now run a loop to do the substitutions as often as necessary. It ends
4425       when there are no more matches. Take care over matches of the null string;
4426       do the same thing as Perl does. */
4427
4428       subject = sub[0];
4429       slen = Ustrlen(sub[0]);
4430       moffset = moffsetextra = 0;
4431       emptyopt = 0;
4432
4433       for (;;)
4434         {
4435         int ovector[3*(EXPAND_MAXN+1)];
4436         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
4437           PCRE_EOPT | emptyopt, ovector, sizeof(ovector)/sizeof(int));
4438         int nn;
4439         uschar *insert;
4440
4441         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
4442         is not necessarily the end. We want to repeat the match from one
4443         character further along, but leaving the basic offset the same (for
4444         copying below). We can't be at the end of the string - that was checked
4445         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
4446         finished; copy the remaining string and end the loop. */
4447
4448         if (n < 0)
4449           {
4450           if (emptyopt != 0)
4451             {
4452             moffsetextra = 1;
4453             emptyopt = 0;
4454             continue;
4455             }
4456           yield = string_cat(yield, &size, &ptr, subject+moffset, slen-moffset);
4457           break;
4458           }
4459
4460         /* Match - set up for expanding the replacement. */
4461
4462         if (n == 0) n = EXPAND_MAXN + 1;
4463         expand_nmax = 0;
4464         for (nn = 0; nn < n*2; nn += 2)
4465           {
4466           expand_nstring[expand_nmax] = subject + ovector[nn];
4467           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
4468           }
4469         expand_nmax--;
4470
4471         /* Copy the characters before the match, plus the expanded insertion. */
4472
4473         yield = string_cat(yield, &size, &ptr, subject + moffset,
4474           ovector[0] - moffset);
4475         insert = expand_string(sub[2]);
4476         if (insert == NULL) goto EXPAND_FAILED;
4477         yield = string_cat(yield, &size, &ptr, insert, Ustrlen(insert));
4478
4479         moffset = ovector[1];
4480         moffsetextra = 0;
4481         emptyopt = 0;
4482
4483         /* If we have matched an empty string, first check to see if we are at
4484         the end of the subject. If so, the loop is over. Otherwise, mimic
4485         what Perl's /g options does. This turns out to be rather cunning. First
4486         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
4487         string at the same point. If this fails (picked up above) we advance to
4488         the next character. */
4489
4490         if (ovector[0] == ovector[1])
4491           {
4492           if (ovector[0] == slen) break;
4493           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
4494           }
4495         }
4496
4497       /* All done - restore numerical variables. */
4498
4499       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4500         save_expand_nlength);
4501       continue;
4502       }
4503
4504     /* Handle keyed and numbered substring extraction. If the first argument
4505     consists entirely of digits, then a numerical extraction is assumed. */
4506
4507     case EITEM_EXTRACT:
4508       {
4509       int i;
4510       int j = 2;
4511       int field_number = 1;
4512       BOOL field_number_set = FALSE;
4513       uschar *save_lookup_value = lookup_value;
4514       uschar *sub[3];
4515       int save_expand_nmax =
4516         save_expand_strings(save_expand_nstring, save_expand_nlength);
4517
4518       /* Read the arguments */
4519
4520       for (i = 0; i < j; i++)
4521         {
4522         while (isspace(*s)) s++;
4523         if (*s == '{')
4524           {
4525           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping);
4526           if (sub[i] == NULL) goto EXPAND_FAILED;
4527           if (*s++ != '}') goto EXPAND_FAILED_CURLY;
4528
4529           /* After removal of leading and trailing white space, the first
4530           argument must not be empty; if it consists entirely of digits
4531           (optionally preceded by a minus sign), this is a numerical
4532           extraction, and we expect 3 arguments. */
4533
4534           if (i == 0)
4535             {
4536             int len;
4537             int x = 0;
4538             uschar *p = sub[0];
4539
4540             while (isspace(*p)) p++;
4541             sub[0] = p;
4542
4543             len = Ustrlen(p);
4544             while (len > 0 && isspace(p[len-1])) len--;
4545             p[len] = 0;
4546
4547             if (*p == 0)
4548               {
4549               expand_string_message = US"first argument of \"extract\" must "
4550                 "not be empty";
4551               goto EXPAND_FAILED;
4552               }
4553
4554             if (*p == '-')
4555               {
4556               field_number = -1;
4557               p++;
4558               }
4559             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
4560             if (*p == 0)
4561               {
4562               field_number *= x;
4563               j = 3;               /* Need 3 args */
4564               field_number_set = TRUE;
4565               }
4566             }
4567           }
4568         else goto EXPAND_FAILED_CURLY;
4569         }
4570
4571       /* Extract either the numbered or the keyed substring into $value. If
4572       skipping, just pretend the extraction failed. */
4573
4574       lookup_value = skipping? NULL : field_number_set?
4575         expand_gettokened(field_number, sub[1], sub[2]) :
4576         expand_getkeyed(sub[0], sub[1]);
4577
4578       /* If no string follows, $value gets substituted; otherwise there can
4579       be yes/no strings, as for lookup or if. */
4580
4581       switch(process_yesno(
4582                skipping,                     /* were previously skipping */
4583                lookup_value != NULL,         /* success/failure indicator */
4584                save_lookup_value,            /* value to reset for string2 */
4585                &s,                           /* input pointer */
4586                &yield,                       /* output pointer */
4587                &size,                        /* output size */
4588                &ptr,                         /* output current point */
4589                US"extract"))                 /* condition type */
4590         {
4591         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4592         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4593         }
4594
4595       /* All done - restore numerical variables. */
4596
4597       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4598         save_expand_nlength);
4599
4600       continue;
4601       }
4602
4603
4604     /* If ${dlfunc support is configured, handle calling dynamically-loaded
4605     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
4606     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
4607     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
4608
4609     #define EXPAND_DLFUNC_MAX_ARGS 8
4610
4611     case EITEM_DLFUNC:
4612     #ifndef EXPAND_DLFUNC
4613     expand_string_message = US"\"${dlfunc\" encountered, but this facility "
4614       "is not included in this binary";
4615     goto EXPAND_FAILED;
4616
4617     #else   /* EXPAND_DLFUNC */
4618       {
4619       tree_node *t;
4620       exim_dlfunc_t *func;
4621       uschar *result;
4622       int status, argc;
4623       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
4624
4625       if ((expand_forbid & RDO_DLFUNC) != 0)
4626         {
4627         expand_string_message =
4628           US"dynamically-loaded functions are not permitted";
4629         goto EXPAND_FAILED;
4630         }
4631
4632       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
4633            TRUE, US"dlfunc"))
4634         {
4635         case 1: goto EXPAND_FAILED_CURLY;
4636         case 2:
4637         case 3: goto EXPAND_FAILED;
4638         }
4639
4640       /* If skipping, we don't actually do anything */
4641
4642       if (skipping) continue;
4643
4644       /* Look up the dynamically loaded object handle in the tree. If it isn't
4645       found, dlopen() the file and put the handle in the tree for next time. */
4646
4647       t = tree_search(dlobj_anchor, argv[0]);
4648       if (t == NULL)
4649         {
4650         void *handle = dlopen(CS argv[0], RTLD_LAZY);
4651         if (handle == NULL)
4652           {
4653           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
4654             argv[0], dlerror());
4655           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4656           goto EXPAND_FAILED;
4657           }
4658         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
4659         Ustrcpy(t->name, argv[0]);
4660         t->data.ptr = handle;
4661         (void)tree_insertnode(&dlobj_anchor, t);
4662         }
4663
4664       /* Having obtained the dynamically loaded object handle, look up the
4665       function pointer. */
4666
4667       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
4668       if (func == NULL)
4669         {
4670         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
4671           "%s", argv[1], argv[0], dlerror());
4672         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4673         goto EXPAND_FAILED;
4674         }
4675
4676       /* Call the function and work out what to do with the result. If it
4677       returns OK, we have a replacement string; if it returns DEFER then
4678       expansion has failed in a non-forced manner; if it returns FAIL then
4679       failure was forced; if it returns ERROR or any other value there's a
4680       problem, so panic slightly. */
4681
4682       result = NULL;
4683       for (argc = 0; argv[argc] != NULL; argc++);
4684       status = func(&result, argc - 2, &argv[2]);
4685       if(status == OK)
4686         {
4687         if (result == NULL) result = US"";
4688         yield = string_cat(yield, &size, &ptr, result, Ustrlen(result));
4689         continue;
4690         }
4691       else
4692         {
4693         expand_string_message = result == NULL ? US"(no message)" : result;
4694         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
4695           else if(status != FAIL)
4696             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
4697               argv[0], argv[1], status, expand_string_message);
4698         goto EXPAND_FAILED;
4699         }
4700       }
4701     #endif /* EXPAND_DLFUNC */
4702     }
4703
4704   /* Control reaches here if the name is not recognized as one of the more
4705   complicated expansion items. Check for the "operator" syntax (name terminated
4706   by a colon). Some of the operators have arguments, separated by _ from the
4707   name. */
4708
4709   if (*s == ':')
4710     {
4711     int c;
4712     uschar *arg = NULL;
4713     uschar *sub = expand_string_internal(s+1, TRUE, &s, skipping);
4714     if (sub == NULL) goto EXPAND_FAILED;
4715     s++;
4716
4717     /* Owing to an historical mis-design, an underscore may be part of the
4718     operator name, or it may introduce arguments.  We therefore first scan the
4719     table of names that contain underscores. If there is no match, we cut off
4720     the arguments and then scan the main table. */
4721
4722     c = chop_match(name, op_table_underscore,
4723       sizeof(op_table_underscore)/sizeof(uschar *));
4724
4725     if (c < 0)
4726       {
4727       arg = Ustrchr(name, '_');
4728       if (arg != NULL) *arg = 0;
4729       c = chop_match(name, op_table_main,
4730         sizeof(op_table_main)/sizeof(uschar *));
4731       if (c >= 0) c += sizeof(op_table_underscore)/sizeof(uschar *);
4732       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
4733       }
4734
4735     /* If we are skipping, we don't need to perform the operation at all.
4736     This matters for operations like "mask", because the data may not be
4737     in the correct format when skipping. For example, the expression may test
4738     for the existence of $sender_host_address before trying to mask it. For
4739     other operations, doing them may not fail, but it is a waste of time. */
4740
4741     if (skipping && c >= 0) continue;
4742
4743     /* Otherwise, switch on the operator type */
4744
4745     switch(c)
4746       {
4747       case EOP_BASE62:
4748         {
4749         uschar *t;
4750         unsigned long int n = Ustrtoul(sub, &t, 10);
4751         if (*t != 0)
4752           {
4753           expand_string_message = string_sprintf("argument for base62 "
4754             "operator is \"%s\", which is not a decimal number", sub);
4755           goto EXPAND_FAILED;
4756           }
4757         t = string_base62(n);
4758         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
4759         continue;
4760         }
4761
4762       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
4763
4764       case EOP_BASE62D:
4765         {
4766         uschar buf[16];
4767         uschar *tt = sub;
4768         unsigned long int n = 0;
4769         while (*tt != 0)
4770           {
4771           uschar *t = Ustrchr(base62_chars, *tt++);
4772           if (t == NULL)
4773             {
4774             expand_string_message = string_sprintf("argument for base62d "
4775               "operator is \"%s\", which is not a base %d number", sub,
4776               BASE_62);
4777             goto EXPAND_FAILED;
4778             }
4779           n = n * BASE_62 + (t - base62_chars);
4780           }
4781         (void)sprintf(CS buf, "%ld", n);
4782         yield = string_cat(yield, &size, &ptr, buf, Ustrlen(buf));
4783         continue;
4784         }
4785
4786       case EOP_EXPAND:
4787         {
4788         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping);
4789         if (expanded == NULL)
4790           {
4791           expand_string_message =
4792             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
4793               expand_string_message);
4794           goto EXPAND_FAILED;
4795           }
4796         yield = string_cat(yield, &size, &ptr, expanded, Ustrlen(expanded));
4797         continue;
4798         }
4799
4800       case EOP_LC:
4801         {
4802         int count = 0;
4803         uschar *t = sub - 1;
4804         while (*(++t) != 0) { *t = tolower(*t); count++; }
4805         yield = string_cat(yield, &size, &ptr, sub, count);
4806         continue;
4807         }
4808
4809       case EOP_UC:
4810         {
4811         int count = 0;
4812         uschar *t = sub - 1;
4813         while (*(++t) != 0) { *t = toupper(*t); count++; }
4814         yield = string_cat(yield, &size, &ptr, sub, count);
4815         continue;
4816         }
4817
4818       case EOP_MD5:
4819         {
4820         md5 base;
4821         uschar digest[16];
4822         int j;
4823         char st[33];
4824         md5_start(&base);
4825         md5_end(&base, sub, Ustrlen(sub), digest);
4826         for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
4827         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
4828         continue;
4829         }
4830
4831       case EOP_SHA1:
4832         {
4833         sha1 base;
4834         uschar digest[20];
4835         int j;
4836         char st[41];
4837         sha1_start(&base);
4838         sha1_end(&base, sub, Ustrlen(sub), digest);
4839         for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
4840         yield = string_cat(yield, &size, &ptr, US st, (int)strlen(st));
4841         continue;
4842         }
4843
4844       /* Convert hex encoding to base64 encoding */
4845
4846       case EOP_HEX2B64:
4847         {
4848         int c = 0;
4849         int b = -1;
4850         uschar *in = sub;
4851         uschar *out = sub;
4852         uschar *enc;
4853
4854         for (enc = sub; *enc != 0; enc++)
4855           {
4856           if (!isxdigit(*enc))
4857             {
4858             expand_string_message = string_sprintf("\"%s\" is not a hex "
4859               "string", sub);
4860             goto EXPAND_FAILED;
4861             }
4862           c++;
4863           }
4864
4865         if ((c & 1) != 0)
4866           {
4867           expand_string_message = string_sprintf("\"%s\" contains an odd "
4868             "number of characters", sub);
4869           goto EXPAND_FAILED;
4870           }
4871
4872         while ((c = *in++) != 0)
4873           {
4874           if (isdigit(c)) c -= '0';
4875           else c = toupper(c) - 'A' + 10;
4876           if (b == -1)
4877             {
4878             b = c << 4;
4879             }
4880           else
4881             {
4882             *out++ = b | c;
4883             b = -1;
4884             }
4885           }
4886
4887         enc = auth_b64encode(sub, out - sub);
4888         yield = string_cat(yield, &size, &ptr, enc, Ustrlen(enc));
4889         continue;
4890         }
4891
4892       /* mask applies a mask to an IP address; for example the result of
4893       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
4894
4895       case EOP_MASK:
4896         {
4897         int count;
4898         uschar *endptr;
4899         int binary[4];
4900         int mask, maskoffset;
4901         int type = string_is_ip_address(sub, &maskoffset);
4902         uschar buffer[64];
4903
4904         if (type == 0)
4905           {
4906           expand_string_message = string_sprintf("\"%s\" is not an IP address",
4907            sub);
4908           goto EXPAND_FAILED;
4909           }
4910
4911         if (maskoffset == 0)
4912           {
4913           expand_string_message = string_sprintf("missing mask value in \"%s\"",
4914             sub);
4915           goto EXPAND_FAILED;
4916           }
4917
4918         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
4919
4920         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
4921           {
4922           expand_string_message = string_sprintf("mask value too big in \"%s\"",
4923             sub);
4924           goto EXPAND_FAILED;
4925           }
4926
4927         /* Convert the address to binary integer(s) and apply the mask */
4928
4929         sub[maskoffset] = 0;
4930         count = host_aton(sub, binary);
4931         host_mask(count, binary, mask);
4932
4933         /* Convert to masked textual format and add to output. */
4934
4935         yield = string_cat(yield, &size, &ptr, buffer,
4936           host_nmtoa(count, binary, mask, buffer, '.'));
4937         continue;
4938         }
4939
4940       case EOP_ADDRESS:
4941       case EOP_LOCAL_PART:
4942       case EOP_DOMAIN:
4943         {
4944         uschar *error;
4945         int start, end, domain;
4946         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
4947           FALSE);
4948         if (t != NULL)
4949           {
4950           if (c != EOP_DOMAIN)
4951             {
4952             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
4953             yield = string_cat(yield, &size, &ptr, sub+start, end-start);
4954             }
4955           else if (domain != 0)
4956             {
4957             domain += start;
4958             yield = string_cat(yield, &size, &ptr, sub+domain, end-domain);
4959             }
4960           }
4961         continue;
4962         }
4963
4964       /* quote puts a string in quotes if it is empty or contains anything
4965       other than alphamerics, underscore, dot, or hyphen.
4966
4967       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
4968       be quoted in order to be a valid local part.
4969
4970       In both cases, newlines and carriage returns are converted into \n and \r
4971       respectively */
4972
4973       case EOP_QUOTE:
4974       case EOP_QUOTE_LOCAL_PART:
4975       if (arg == NULL)
4976         {
4977         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
4978         uschar *t = sub - 1;
4979
4980         if (c == EOP_QUOTE)
4981           {
4982           while (!needs_quote && *(++t) != 0)
4983             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
4984           }
4985         else  /* EOP_QUOTE_LOCAL_PART */
4986           {
4987           while (!needs_quote && *(++t) != 0)
4988             needs_quote = !isalnum(*t) &&
4989               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
4990               (*t != '.' || t == sub || t[1] == 0);
4991           }
4992
4993         if (needs_quote)
4994           {
4995           yield = string_cat(yield, &size, &ptr, US"\"", 1);
4996           t = sub - 1;
4997           while (*(++t) != 0)
4998             {
4999             if (*t == '\n')
5000               yield = string_cat(yield, &size, &ptr, US"\\n", 2);
5001             else if (*t == '\r')
5002               yield = string_cat(yield, &size, &ptr, US"\\r", 2);
5003             else
5004               {
5005               if (*t == '\\' || *t == '"')
5006                 yield = string_cat(yield, &size, &ptr, US"\\", 1);
5007               yield = string_cat(yield, &size, &ptr, t, 1);
5008               }
5009             }
5010           yield = string_cat(yield, &size, &ptr, US"\"", 1);
5011           }
5012         else yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
5013         continue;
5014         }
5015
5016       /* quote_lookuptype does lookup-specific quoting */
5017
5018       else
5019         {
5020         int n;
5021         uschar *opt = Ustrchr(arg, '_');
5022
5023         if (opt != NULL) *opt++ = 0;
5024
5025         n = search_findtype(arg, Ustrlen(arg));
5026         if (n < 0)
5027           {
5028           expand_string_message = search_error_message;
5029           goto EXPAND_FAILED;
5030           }
5031
5032         if (lookup_list[n].quote != NULL)
5033           sub = (lookup_list[n].quote)(sub, opt);
5034         else if (opt != NULL) sub = NULL;
5035
5036         if (sub == NULL)
5037           {
5038           expand_string_message = string_sprintf(
5039             "\"%s\" unrecognized after \"${quote_%s\"",
5040             opt, arg);
5041           goto EXPAND_FAILED;
5042           }
5043
5044         yield = string_cat(yield, &size, &ptr, sub, Ustrlen(sub));
5045         continue;
5046         }
5047
5048       /* rx quote sticks in \ before any non-alphameric character so that
5049       the insertion works in a regular expression. */
5050
5051       case EOP_RXQUOTE:
5052         {
5053         uschar *t = sub - 1;
5054         while (*(++t) != 0)
5055           {
5056           if (!isalnum(*t))
5057             yield = string_cat(yield, &size, &ptr, US"\\", 1);
5058           yield = string_cat(yield, &size, &ptr, t, 1);
5059           }
5060         continue;
5061         }
5062
5063       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
5064       prescribed by the RFC, if there are characters that need to be encoded */
5065
5066       case EOP_RFC2047:
5067         {
5068         uschar buffer[2048];
5069         uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
5070           buffer, sizeof(buffer), FALSE);
5071         yield = string_cat(yield, &size, &ptr, string, Ustrlen(string));
5072         continue;
5073         }
5074
5075       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
5076       underscores */
5077
5078       case EOP_FROM_UTF8:
5079         {
5080         while (*sub != 0)
5081           {
5082           int c;
5083           uschar buff[4];
5084           GETUTF8INC(c, sub);
5085           if (c > 255) c = '_';
5086           buff[0] = c;
5087           yield = string_cat(yield, &size, &ptr, buff, 1);
5088           }
5089         continue;
5090         }
5091
5092       /* escape turns all non-printing characters into escape sequences. */
5093
5094       case EOP_ESCAPE:
5095         {
5096         uschar *t = string_printing(sub);
5097         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5098         continue;
5099         }
5100
5101       /* Handle numeric expression evaluation */
5102
5103       case EOP_EVAL:
5104       case EOP_EVAL10:
5105         {
5106         uschar *save_sub = sub;
5107         uschar *error = NULL;
5108         int n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
5109         if (error != NULL)
5110           {
5111           expand_string_message = string_sprintf("error in expression "
5112             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
5113               save_sub);
5114           goto EXPAND_FAILED;
5115           }
5116         sprintf(CS var_buffer, "%d", n);
5117         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
5118         continue;
5119         }
5120
5121       /* Handle time period formating */
5122
5123       case EOP_TIME_EVAL:
5124         {
5125         int n = readconf_readtime(sub, 0, FALSE);
5126         if (n < 0)
5127           {
5128           expand_string_message = string_sprintf("string \"%s\" is not an "
5129             "Exim time interval in \"%s\" operator", sub, name);
5130           goto EXPAND_FAILED;
5131           }
5132         sprintf(CS var_buffer, "%d", n);
5133         yield = string_cat(yield, &size, &ptr, var_buffer, Ustrlen(var_buffer));
5134         continue;
5135         }
5136
5137       case EOP_TIME_INTERVAL:
5138         {
5139         int n;
5140         uschar *t = read_number(&n, sub);
5141         if (*t != 0) /* Not A Number*/
5142           {
5143           expand_string_message = string_sprintf("string \"%s\" is not a "
5144             "positive number in \"%s\" operator", sub, name);
5145           goto EXPAND_FAILED;
5146           }
5147         t = readconf_printtime(n);
5148         yield = string_cat(yield, &size, &ptr, t, Ustrlen(t));
5149         continue;
5150         }
5151
5152       /* Convert string to base64 encoding */
5153
5154       case EOP_STR2B64:
5155         {
5156         uschar *encstr = auth_b64encode(sub, Ustrlen(sub));
5157         yield = string_cat(yield, &size, &ptr, encstr, Ustrlen(encstr));
5158         continue;
5159         }
5160
5161       /* strlen returns the length of the string */
5162
5163       case EOP_STRLEN:
5164         {
5165         uschar buff[24];
5166         (void)sprintf(CS buff, "%d", Ustrlen(sub));
5167         yield = string_cat(yield, &size, &ptr, buff, Ustrlen(buff));
5168         continue;
5169         }
5170
5171       /* length_n or l_n takes just the first n characters or the whole string,
5172       whichever is the shorter;
5173
5174       substr_m_n, and s_m_n take n characters from offset m; negative m take
5175       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
5176       takes the rest, either to the right or to the left.
5177
5178       hash_n or h_n makes a hash of length n from the string, yielding n
5179       characters from the set a-z; hash_n_m makes a hash of length n, but
5180       uses m characters from the set a-zA-Z0-9.
5181
5182       nhash_n returns a single number between 0 and n-1 (in text form), while
5183       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
5184       between 0 and n-1 and the second between 0 and m-1. */
5185
5186       case EOP_LENGTH:
5187       case EOP_L:
5188       case EOP_SUBSTR:
5189       case EOP_S:
5190       case EOP_HASH:
5191       case EOP_H:
5192       case EOP_NHASH:
5193       case EOP_NH:
5194         {
5195         int sign = 1;
5196         int value1 = 0;
5197         int value2 = -1;
5198         int *pn;
5199         int len;
5200         uschar *ret;
5201
5202         if (arg == NULL)
5203           {
5204           expand_string_message = string_sprintf("missing values after %s",
5205             name);
5206           goto EXPAND_FAILED;
5207           }
5208
5209         /* "length" has only one argument, effectively being synonymous with
5210         substr_0_n. */
5211
5212         if (c == EOP_LENGTH || c == EOP_L)
5213           {
5214           pn = &value2;
5215           value2 = 0;
5216           }
5217
5218         /* The others have one or two arguments; for "substr" the first may be
5219         negative. The second being negative means "not supplied". */
5220
5221         else
5222           {
5223           pn = &value1;
5224           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
5225           }
5226
5227         /* Read up to two numbers, separated by underscores */
5228
5229         ret = arg;
5230         while (*arg != 0)
5231           {
5232           if (arg != ret && *arg == '_' && pn == &value1)
5233             {
5234             pn = &value2;
5235             value2 = 0;
5236             if (arg[1] != 0) arg++;
5237             }
5238           else if (!isdigit(*arg))
5239             {
5240             expand_string_message =
5241               string_sprintf("non-digit after underscore in \"%s\"", name);
5242             goto EXPAND_FAILED;
5243             }
5244           else *pn = (*pn)*10 + *arg++ - '0';
5245           }
5246         value1 *= sign;
5247
5248         /* Perform the required operation */
5249
5250         ret =
5251           (c == EOP_HASH || c == EOP_H)?
5252              compute_hash(sub, value1, value2, &len) :
5253           (c == EOP_NHASH || c == EOP_NH)?
5254              compute_nhash(sub, value1, value2, &len) :
5255              extract_substr(sub, value1, value2, &len);
5256
5257         if (ret == NULL) goto EXPAND_FAILED;
5258         yield = string_cat(yield, &size, &ptr, ret, len);
5259         continue;
5260         }
5261
5262       /* Stat a path */
5263
5264       case EOP_STAT:
5265         {
5266         uschar *s;
5267         uschar smode[12];
5268         uschar **modetable[3];
5269         int i;
5270         mode_t mode;
5271         struct stat st;
5272
5273         if ((expand_forbid & RDO_EXISTS) != 0)
5274           {
5275           expand_string_message = US"Use of the stat() expansion is not permitted";
5276           goto EXPAND_FAILED;
5277           }
5278
5279         if (stat(CS sub, &st) < 0)
5280           {
5281           expand_string_message = string_sprintf("stat(%s) failed: %s",
5282             sub, strerror(errno));
5283           goto EXPAND_FAILED;
5284           }
5285         mode = st.st_mode;
5286         switch (mode & S_IFMT)
5287           {
5288           case S_IFIFO: smode[0] = 'p'; break;
5289           case S_IFCHR: smode[0] = 'c'; break;
5290           case S_IFDIR: smode[0] = 'd'; break;
5291           case S_IFBLK: smode[0] = 'b'; break;
5292           case S_IFREG: smode[0] = '-'; break;
5293           default: smode[0] = '?'; break;
5294           }
5295
5296         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
5297         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
5298         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
5299
5300         for (i = 0; i < 3; i++)
5301           {
5302           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
5303           mode >>= 3;
5304           }
5305
5306         smode[10] = 0;
5307         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
5308           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
5309           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
5310           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
5311           (long)st.st_gid, st.st_size, (long)st.st_atime,
5312           (long)st.st_mtime, (long)st.st_ctime);
5313         yield = string_cat(yield, &size, &ptr, s, Ustrlen(s));
5314         continue;
5315         }
5316
5317       /* Unknown operator */
5318
5319       default:
5320       expand_string_message =
5321         string_sprintf("unknown expansion operator \"%s\"", name);
5322       goto EXPAND_FAILED;
5323       }
5324     }
5325
5326   /* Handle a plain name. If this is the first thing in the expansion, release
5327   the pre-allocated buffer. If the result data is known to be in a new buffer,
5328   newsize will be set to the size of that buffer, and we can just point at that
5329   store instead of copying. Many expansion strings contain just one reference,
5330   so this is a useful optimization, especially for humungous headers
5331   ($message_headers). */
5332
5333   if (*s++ == '}')
5334     {
5335     int len;
5336     int newsize = 0;
5337     if (ptr == 0)
5338       {
5339       store_reset(yield);
5340       yield = NULL;
5341       size = 0;
5342       }
5343     value = find_variable(name, FALSE, skipping, &newsize);
5344     if (value == NULL)
5345       {
5346       expand_string_message =
5347         string_sprintf("unknown variable in \"${%s}\"", name);
5348       check_variable_error_message(name);
5349       goto EXPAND_FAILED;
5350       }
5351     len = Ustrlen(value);
5352     if (yield == NULL && newsize != 0)
5353       {
5354       yield = value;
5355       size = newsize;
5356       ptr = len;
5357       }
5358     else yield = string_cat(yield, &size, &ptr, value, len);
5359     continue;
5360     }
5361
5362   /* Else there's something wrong */
5363
5364   expand_string_message =
5365     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
5366     "in a variable reference)", name);
5367   goto EXPAND_FAILED;
5368   }
5369
5370 /* If we hit the end of the string when ket_ends is set, there is a missing
5371 terminating brace. */
5372
5373 if (ket_ends && *s == 0)
5374   {
5375   expand_string_message = malformed_header?
5376     US"missing } at end of string - could be header name not terminated by colon"
5377     :
5378     US"missing } at end of string";
5379   goto EXPAND_FAILED;
5380   }
5381
5382 /* Expansion succeeded; yield may still be NULL here if nothing was actually
5383 added to the string. If so, set up an empty string. Add a terminating zero. If
5384 left != NULL, return a pointer to the terminator. */
5385
5386 if (yield == NULL) yield = store_get(1);
5387 yield[ptr] = 0;
5388 if (left != NULL) *left = s;
5389
5390 /* Any stacking store that was used above the final string is no longer needed.
5391 In many cases the final string will be the first one that was got and so there
5392 will be optimal store usage. */
5393
5394 store_reset(yield + ptr + 1);
5395 DEBUG(D_expand)
5396   {
5397   debug_printf("expanding: %.*s\n   result: %s\n", (int)(s - string), string,
5398     yield);
5399   if (skipping) debug_printf("skipping: result is not used\n");
5400   }
5401 return yield;
5402
5403 /* This is the failure exit: easiest to program with a goto. We still need
5404 to update the pointer to the terminator, for cases of nested calls with "fail".
5405 */
5406
5407 EXPAND_FAILED_CURLY:
5408 expand_string_message = malformed_header?
5409   US"missing or misplaced { or } - could be header name not terminated by colon"
5410   :
5411   US"missing or misplaced { or }";
5412
5413 /* At one point, Exim reset the store to yield (if yield was not NULL), but
5414 that is a bad idea, because expand_string_message is in dynamic store. */
5415
5416 EXPAND_FAILED:
5417 if (left != NULL) *left = s;
5418 DEBUG(D_expand)
5419   {
5420   debug_printf("failed to expand: %s\n", string);
5421   debug_printf("   error message: %s\n", expand_string_message);
5422   if (expand_string_forcedfail) debug_printf("failure was forced\n");
5423   }
5424 return NULL;
5425 }
5426
5427
5428 /* This is the external function call. Do a quick check for any expansion
5429 metacharacters, and if there are none, just return the input string.
5430
5431 Argument: the string to be expanded
5432 Returns:  the expanded string, or NULL if expansion failed; if failure was
5433           due to a lookup deferring, search_find_defer will be TRUE
5434 */
5435
5436 uschar *
5437 expand_string(uschar *string)
5438 {
5439 search_find_defer = FALSE;
5440 malformed_header = FALSE;
5441 return (Ustrpbrk(string, "$\\") == NULL)? string :
5442   expand_string_internal(string, FALSE, NULL, FALSE);
5443 }
5444
5445
5446
5447 /*************************************************
5448 *              Expand and copy                   *
5449 *************************************************/
5450
5451 /* Now and again we want to expand a string and be sure that the result is in a
5452 new bit of store. This function does that.
5453
5454 Argument: the string to be expanded
5455 Returns:  the expanded string, always in a new bit of store, or NULL
5456 */
5457
5458 uschar *
5459 expand_string_copy(uschar *string)
5460 {
5461 uschar *yield = expand_string(string);
5462 if (yield == string) yield = string_copy(string);
5463 return yield;
5464 }
5465
5466
5467
5468 /*************************************************
5469 *        Expand and interpret as an integer      *
5470 *************************************************/
5471
5472 /* Expand a string, and convert the result into an integer.
5473
5474 Arguments:
5475   string  the string to be expanded
5476   isplus  TRUE if a non-negative number is expected
5477
5478 Returns:  the integer value, or
5479           -1 for an expansion error               ) in both cases, message in
5480           -2 for an integer interpretation error  ) expand_string_message
5481           expand_string_message is set NULL for an OK integer
5482 */
5483
5484 int
5485 expand_string_integer(uschar *string, BOOL isplus)
5486 {
5487 long int value;
5488 uschar *s = expand_string(string);
5489 uschar *msg = US"invalid integer \"%s\"";
5490 uschar *endptr;
5491
5492 /* If expansion failed, expand_string_message will be set. */
5493
5494 if (s == NULL) return -1;
5495
5496 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
5497 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
5498 systems, so we set it zero ourselves. */
5499
5500 errno = 0;
5501 expand_string_message = NULL;               /* Indicates no error */
5502 value = strtol(CS s, CSS &endptr, 0);
5503
5504 if (endptr == s)
5505   {
5506   msg = US"integer expected but \"%s\" found";
5507   }
5508 else if (value < 0 && isplus)
5509   {
5510   msg = US"non-negative integer expected but \"%s\" found";
5511   }
5512 else
5513   {
5514   /* Ensure we can cast this down to an int */
5515   if (value > INT_MAX  || value < INT_MIN) errno = ERANGE;
5516
5517   if (errno != ERANGE)
5518     {
5519     if (tolower(*endptr) == 'k')
5520       {
5521       if (value > INT_MAX/1024 || value < INT_MIN/1024) errno = ERANGE;
5522         else value *= 1024;
5523       endptr++;
5524       }
5525     else if (tolower(*endptr) == 'm')
5526       {
5527       if (value > INT_MAX/(1024*1024) || value < INT_MIN/(1024*1024))
5528         errno = ERANGE;
5529       else value *= 1024*1024;
5530       endptr++;
5531       }
5532     }
5533   if (errno == ERANGE)
5534     msg = US"absolute value of integer \"%s\" is too large (overflow)";
5535   else
5536     {
5537     while (isspace(*endptr)) endptr++;
5538     if (*endptr == 0) return (int)value;
5539     }
5540   }
5541
5542 expand_string_message = string_sprintf(CS msg, s);
5543 return -2;
5544 }
5545
5546
5547 /*************************************************
5548 **************************************************
5549 *             Stand-alone test program           *
5550 **************************************************
5551 *************************************************/
5552
5553 #ifdef STAND_ALONE
5554
5555
5556 BOOL
5557 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
5558 {
5559 int ovector[3*(EXPAND_MAXN+1)];
5560 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
5561   ovector, sizeof(ovector)/sizeof(int));
5562 BOOL yield = n >= 0;
5563 if (n == 0) n = EXPAND_MAXN + 1;
5564 if (yield)
5565   {
5566   int nn;
5567   expand_nmax = (setup < 0)? 0 : setup + 1;
5568   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
5569     {
5570     expand_nstring[expand_nmax] = subject + ovector[nn];
5571     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5572     }
5573   expand_nmax--;
5574   }
5575 return yield;
5576 }
5577
5578
5579 int main(int argc, uschar **argv)
5580 {
5581 int i;
5582 uschar buffer[1024];
5583
5584 debug_selector = D_v;
5585 debug_file = stderr;
5586 debug_fd = fileno(debug_file);
5587 big_buffer = malloc(big_buffer_size);
5588
5589 for (i = 1; i < argc; i++)
5590   {
5591   if (argv[i][0] == '+')
5592     {
5593     debug_trace_memory = 2;
5594     argv[i]++;
5595     }
5596   if (isdigit(argv[i][0]))
5597     debug_selector = Ustrtol(argv[i], NULL, 0);
5598   else
5599     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
5600         Ustrlen(argv[i]))
5601       {
5602       #ifdef LOOKUP_LDAP
5603       eldap_default_servers = argv[i];
5604       #endif
5605       #ifdef LOOKUP_MYSQL
5606       mysql_servers = argv[i];
5607       #endif
5608       #ifdef LOOKUP_PGSQL
5609       pgsql_servers = argv[i];
5610       #endif
5611       }
5612   #ifdef EXIM_PERL
5613   else opt_perl_startup = argv[i];
5614   #endif
5615   }
5616
5617 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
5618
5619 expand_nstring[1] = US"string 1....";
5620 expand_nlength[1] = 8;
5621 expand_nmax = 1;
5622
5623 #ifdef EXIM_PERL
5624 if (opt_perl_startup != NULL)
5625   {
5626   uschar *errstr;
5627   printf("Starting Perl interpreter\n");
5628   errstr = init_perl(opt_perl_startup);
5629   if (errstr != NULL)
5630     {
5631     printf("** error in perl_startup code: %s\n", errstr);
5632     return EXIT_FAILURE;
5633     }
5634   }
5635 #endif /* EXIM_PERL */
5636
5637 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
5638   {
5639   void *reset_point = store_get(0);
5640   uschar *yield = expand_string(buffer);
5641   if (yield != NULL)
5642     {
5643     printf("%s\n", yield);
5644     store_reset(reset_point);
5645     }
5646   else
5647     {
5648     if (search_find_defer) printf("search_find deferred\n");
5649     printf("Failed: %s\n", expand_string_message);
5650     if (expand_string_forcedfail) printf("Forced failure\n");
5651     printf("\n");
5652     }
5653   }
5654
5655 search_tidyup();
5656
5657 return 0;
5658 }
5659
5660 #endif
5661
5662 /* End of expand.c */