TLS: downgrade fail of cert-based authentication from log message to debug messsage
[users/jgh/exim.git] / src / src / receive.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2015 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 /* Code for receiving a message and setting up spool files. */
9
10 #include "exim.h"
11
12 #ifdef EXPERIMENTAL_DCC
13 extern int dcc_ok;
14 #endif
15
16 #ifdef EXPERIMENTAL_DMARC
17 # include "dmarc.h"
18 #endif /* EXPERIMENTAL_DMARC */
19
20 /*************************************************
21 *                Local static variables          *
22 *************************************************/
23
24 static FILE   *data_file = NULL;
25 static int     data_fd = -1;
26 static uschar  spool_name[256];
27
28
29
30 /*************************************************
31 *      Non-SMTP character reading functions      *
32 *************************************************/
33
34 /* These are the default functions that are set up in the variables such as
35 receive_getc initially. They just call the standard functions, passing stdin as
36 the file. (When SMTP input is occurring, different functions are used by
37 changing the pointer variables.) */
38
39 int
40 stdin_getc(void)
41 {
42 return getc(stdin);
43 }
44
45 int
46 stdin_ungetc(int c)
47 {
48 return ungetc(c, stdin);
49 }
50
51 int
52 stdin_feof(void)
53 {
54 return feof(stdin);
55 }
56
57 int
58 stdin_ferror(void)
59 {
60 return ferror(stdin);
61 }
62
63
64
65
66 /*************************************************
67 *     Check that a set sender is allowed         *
68 *************************************************/
69
70 /* This function is called when a local caller sets an explicit sender address.
71 It checks whether this is permitted, which it is for trusted callers.
72 Otherwise, it must match the pattern(s) in untrusted_set_sender.
73
74 Arguments:  the proposed sender address
75 Returns:    TRUE for a trusted caller
76             TRUE if the address has been set, untrusted_set_sender has been
77               set, and the address matches something in the list
78             FALSE otherwise
79 */
80
81 BOOL
82 receive_check_set_sender(uschar *newsender)
83 {
84 uschar *qnewsender;
85 if (trusted_caller) return TRUE;
86 if (newsender == NULL || untrusted_set_sender == NULL) return FALSE;
87 qnewsender = (Ustrchr(newsender, '@') != NULL)?
88   newsender : string_sprintf("%s@%s", newsender, qualify_domain_sender);
89 return
90   match_address_list(qnewsender, TRUE, TRUE, CUSS &untrusted_set_sender, NULL, -1,
91     0, NULL) == OK;
92 }
93
94
95
96
97 /*************************************************
98 *          Read space info for a partition       *
99 *************************************************/
100
101 /* This function is called by receive_check_fs() below, and also by string
102 expansion for variables such as $spool_space. The field names for the statvfs
103 structure are macros, because not all OS have F_FAVAIL and it seems tidier to
104 have macros for F_BAVAIL and F_FILES as well. Some kinds of file system do not
105 have inodes, and they return -1 for the number available.
106
107 Later: It turns out that some file systems that do not have the concept of
108 inodes return 0 rather than -1. Such systems should also return 0 for the total
109 number of inodes, so we require that to be greater than zero before returning
110 an inode count.
111
112 Arguments:
113   isspool       TRUE for spool partition, FALSE for log partition
114   inodeptr      address of int to receive inode count; -1 if there isn't one
115
116 Returns:        available on-root space, in kilobytes
117                 -1 for log partition if there isn't one
118
119 All values are -1 if the STATFS functions are not available.
120 */
121
122 int
123 receive_statvfs(BOOL isspool, int *inodeptr)
124 {
125 #ifdef HAVE_STATFS
126 struct STATVFS statbuf;
127 uschar *path;
128 uschar *name;
129 uschar buffer[1024];
130
131 /* The spool directory must always exist. */
132
133 if (isspool)
134   {
135   path = spool_directory;
136   name = US"spool";
137   }
138
139 /* Need to cut down the log file path to the directory, and to ignore any
140 appearance of "syslog" in it. */
141
142 else
143   {
144   int sep = ':';              /* Not variable - outside scripts use */
145   const uschar *p = log_file_path;
146   name = US"log";
147
148   /* An empty log_file_path means "use the default". This is the same as an
149   empty item in a list. */
150
151   if (*p == 0) p = US":";
152   while ((path = string_nextinlist(&p, &sep, buffer, sizeof(buffer))))
153     if (Ustrcmp(path, "syslog") != 0)
154       break;
155
156   if (path == NULL)  /* No log files */
157     {
158     *inodeptr = -1;
159     return -1;
160     }
161
162   /* An empty string means use the default, which is in the spool directory.
163   But don't just use the spool directory, as it is possible that the log
164   subdirectory has been symbolically linked elsewhere. */
165
166   if (path[0] == 0)
167     {
168     sprintf(CS buffer, CS"%s/log", CS spool_directory);
169     path = buffer;
170     }
171   else
172     {
173     uschar *cp;
174     if ((cp = Ustrrchr(path, '/')) != NULL) *cp = 0;
175     }
176   }
177
178 /* We now have the path; do the business */
179
180 memset(&statbuf, 0, sizeof(statbuf));
181
182 if (STATVFS(CS path, &statbuf) != 0)
183   {
184   log_write(0, LOG_MAIN|LOG_PANIC, "cannot accept message: failed to stat "
185     "%s directory %s: %s", name, spool_directory, strerror(errno));
186   smtp_closedown(US"spool or log directory problem");
187   exim_exit(EXIT_FAILURE);
188   }
189
190 *inodeptr = (statbuf.F_FILES > 0)? statbuf.F_FAVAIL : -1;
191
192 /* Disks are getting huge. Take care with computing the size in kilobytes. */
193
194 return (int)(((double)statbuf.F_BAVAIL * (double)statbuf.F_FRSIZE)/1024.0);
195
196 /* Unable to find partition sizes in this environment. */
197
198 #else
199 *inodeptr = -1;
200 return -1;
201 #endif
202 }
203
204
205
206
207 /*************************************************
208 *     Check space on spool and log partitions    *
209 *************************************************/
210
211 /* This function is called before accepting a message; if any thresholds are
212 set, it checks them. If a message_size is supplied, it checks that there is
213 enough space for that size plus the threshold - i.e. that the message won't
214 reduce the space to the threshold. Not all OS have statvfs(); for those that
215 don't, this function always returns TRUE. For some OS the old function and
216 struct name statfs is used; that is handled by a macro, defined in exim.h.
217
218 Arguments:
219   msg_size     the (estimated) size of an incoming message
220
221 Returns:       FALSE if there isn't enough space, or if the information cannot
222                  be obtained
223                TRUE if no check was done or there is enough space
224 */
225
226 BOOL
227 receive_check_fs(int msg_size)
228 {
229 int space, inodes;
230
231 if (check_spool_space > 0 || msg_size > 0 || check_spool_inodes > 0)
232   {
233   space = receive_statvfs(TRUE, &inodes);
234
235   DEBUG(D_receive)
236     debug_printf("spool directory space = %dK inodes = %d "
237       "check_space = %dK inodes = %d msg_size = %d\n",
238       space, inodes, check_spool_space, check_spool_inodes, msg_size);
239
240   if ((space >= 0 && space < check_spool_space) ||
241       (inodes >= 0 && inodes < check_spool_inodes))
242     {
243     log_write(0, LOG_MAIN, "spool directory space check failed: space=%d "
244       "inodes=%d", space, inodes);
245     return FALSE;
246     }
247   }
248
249 if (check_log_space > 0 || check_log_inodes > 0)
250   {
251   space = receive_statvfs(FALSE, &inodes);
252
253   DEBUG(D_receive)
254     debug_printf("log directory space = %dK inodes = %d "
255       "check_space = %dK inodes = %d\n",
256       space, inodes, check_log_space, check_log_inodes);
257
258   if ((space >= 0 && space < check_log_space) ||
259       (inodes >= 0 && inodes < check_log_inodes))
260     {
261     log_write(0, LOG_MAIN, "log directory space check failed: space=%d "
262       "inodes=%d", space, inodes);
263     return FALSE;
264     }
265   }
266
267 return TRUE;
268 }
269
270
271
272 /*************************************************
273 *         Bomb out while reading a message       *
274 *************************************************/
275
276 /* The common case of wanting to bomb out is if a SIGTERM or SIGINT is
277 received, or if there is a timeout. A rarer case might be if the log files are
278 screwed up and Exim can't open them to record a message's arrival. Handling
279 that case is done by setting a flag to cause the log functions to call this
280 function if there is an ultimate disaster. That is why it is globally
281 accessible.
282
283 Arguments:
284   reason     text reason to pass to the not-quit ACL
285   msg        default SMTP response to give if in an SMTP session
286 Returns:     it doesn't
287 */
288
289 void
290 receive_bomb_out(uschar *reason, uschar *msg)
291 {
292   static BOOL already_bombing_out;
293 /* The smtp_notquit_exit() below can call ACLs which can trigger recursive
294 timeouts, if someone has something slow in their quit ACL.  Since the only
295 things we should be doing are to close down cleanly ASAP, on the second
296 pass we also close down stuff that might be opened again, before bypassing
297 the ACL call and exiting. */
298
299 /* If spool_name is set, it contains the name of the data file that is being
300 written. Unlink it before closing so that it cannot be picked up by a delivery
301 process. Ensure that any header file is also removed. */
302
303 if (spool_name[0] != '\0')
304   {
305   Uunlink(spool_name);
306   spool_name[Ustrlen(spool_name) - 1] = 'H';
307   Uunlink(spool_name);
308   spool_name[0] = '\0';
309   }
310
311 /* Now close the file if it is open, either as a fd or a stream. */
312
313 if (data_file != NULL)
314   {
315   (void)fclose(data_file);
316   data_file = NULL;
317 } else if (data_fd >= 0) {
318   (void)close(data_fd);
319   data_fd = -1;
320   }
321
322 /* Attempt to close down an SMTP connection tidily. For non-batched SMTP, call
323 smtp_notquit_exit(), which runs the NOTQUIT ACL, if present, and handles the
324 SMTP response. */
325
326 if (!already_bombing_out)
327   {
328   already_bombing_out = TRUE;
329   if (smtp_input)
330     {
331     if (smtp_batched_input)
332       moan_smtp_batch(NULL, "421 %s - message abandoned", msg);  /* No return */
333     smtp_notquit_exit(reason, US"421", US"%s %s - closing connection.",
334       smtp_active_hostname, msg);
335     }
336   }
337
338 /* Exit from the program (non-BSMTP cases) */
339
340 exim_exit(EXIT_FAILURE);
341 }
342
343
344 /*************************************************
345 *              Data read timeout                 *
346 *************************************************/
347
348 /* Handler function for timeouts that occur while reading the data that
349 comprises a message.
350
351 Argument:  the signal number
352 Returns:   nothing
353 */
354
355 static void
356 data_timeout_handler(int sig)
357 {
358 uschar *msg = NULL;
359
360 sig = sig;    /* Keep picky compilers happy */
361
362 if (smtp_input)
363   {
364   msg = US"SMTP incoming data timeout";
365   log_write(L_lost_incoming_connection,
366             LOG_MAIN, "SMTP data timeout (message abandoned) on connection "
367             "from %s F=<%s>",
368             (sender_fullhost != NULL)? sender_fullhost : US"local process",
369             sender_address);
370   }
371 else
372   {
373   fprintf(stderr, "exim: timed out while reading - message abandoned\n");
374   log_write(L_lost_incoming_connection,
375             LOG_MAIN, "timed out while reading local message");
376   }
377
378 receive_bomb_out(US"data-timeout", msg);   /* Does not return */
379 }
380
381
382
383 /*************************************************
384 *              local_scan() timeout              *
385 *************************************************/
386
387 /* Handler function for timeouts that occur while running a local_scan()
388 function.
389
390 Argument:  the signal number
391 Returns:   nothing
392 */
393
394 static void
395 local_scan_timeout_handler(int sig)
396 {
397 sig = sig;    /* Keep picky compilers happy */
398 log_write(0, LOG_MAIN|LOG_REJECT, "local_scan() function timed out - "
399   "message temporarily rejected (size %d)", message_size);
400 /* Does not return */
401 receive_bomb_out(US"local-scan-timeout", US"local verification problem");
402 }
403
404
405
406 /*************************************************
407 *            local_scan() crashed                *
408 *************************************************/
409
410 /* Handler function for signals that occur while running a local_scan()
411 function.
412
413 Argument:  the signal number
414 Returns:   nothing
415 */
416
417 static void
418 local_scan_crash_handler(int sig)
419 {
420 log_write(0, LOG_MAIN|LOG_REJECT, "local_scan() function crashed with "
421   "signal %d - message temporarily rejected (size %d)", sig, message_size);
422 /* Does not return */
423 receive_bomb_out(US"local-scan-error", US"local verification problem");
424 }
425
426
427 /*************************************************
428 *           SIGTERM or SIGINT received           *
429 *************************************************/
430
431 /* Handler for SIGTERM or SIGINT signals that occur while reading the
432 data that comprises a message.
433
434 Argument:  the signal number
435 Returns:   nothing
436 */
437
438 static void
439 data_sigterm_sigint_handler(int sig)
440 {
441 uschar *msg = NULL;
442
443 if (smtp_input)
444   {
445   msg = US"Service not available - SIGTERM or SIGINT received";
446   log_write(0, LOG_MAIN, "%s closed after %s", smtp_get_connection_info(),
447     (sig == SIGTERM)? "SIGTERM" : "SIGINT");
448   }
449 else
450   {
451   if (filter_test == FTEST_NONE)
452     {
453     fprintf(stderr, "\nexim: %s received - message abandoned\n",
454       (sig == SIGTERM)? "SIGTERM" : "SIGINT");
455     log_write(0, LOG_MAIN, "%s received while reading local message",
456       (sig == SIGTERM)? "SIGTERM" : "SIGINT");
457     }
458   }
459
460 receive_bomb_out(US"signal-exit", msg);    /* Does not return */
461 }
462
463
464
465 /*************************************************
466 *          Add new recipient to list             *
467 *************************************************/
468
469 /* This function builds a list of recipient addresses in argc/argv
470 format.
471
472 Arguments:
473   recipient   the next address to add to recipients_list
474   pno         parent number for fixed aliases; -1 otherwise
475
476 Returns:      nothing
477 */
478
479 void
480 receive_add_recipient(uschar *recipient, int pno)
481 {
482 if (recipients_count >= recipients_list_max)
483   {
484   recipient_item *oldlist = recipients_list;
485   int oldmax = recipients_list_max;
486   recipients_list_max = recipients_list_max? 2*recipients_list_max : 50;
487   recipients_list = store_get(recipients_list_max * sizeof(recipient_item));
488   if (oldlist != NULL)
489     memcpy(recipients_list, oldlist, oldmax * sizeof(recipient_item));
490   }
491
492 recipients_list[recipients_count].address = recipient;
493 recipients_list[recipients_count].pno = pno;
494 #ifdef EXPERIMENTAL_BRIGHTMAIL
495 recipients_list[recipients_count].bmi_optin = bmi_current_optin;
496 /* reset optin string pointer for next recipient */
497 bmi_current_optin = NULL;
498 #endif
499 recipients_list[recipients_count].orcpt = NULL;
500 recipients_list[recipients_count].dsn_flags = 0;
501 recipients_list[recipients_count++].errors_to = NULL;
502 }
503
504
505
506
507 /*************************************************
508 *        Send user response message              *
509 *************************************************/
510
511 /* This function is passed a default response code and a user message. It calls
512 smtp_message_code() to check and possibly modify the response code, and then
513 calls smtp_respond() to transmit the response. I put this into a function
514 just to avoid a lot of repetition.
515
516 Arguments:
517   code         the response code
518   user_msg     the user message
519
520 Returns:       nothing
521 */
522
523 #ifndef DISABLE_PRDR
524 static void
525 smtp_user_msg(uschar *code, uschar *user_msg)
526 {
527 int len = 3;
528 smtp_message_code(&code, &len, &user_msg, NULL);
529 smtp_respond(code, len, TRUE, user_msg);
530 }
531 #endif
532
533
534
535
536
537 /*************************************************
538 *        Remove a recipient from the list        *
539 *************************************************/
540
541 /* This function is provided for local_scan() to use.
542
543 Argument:
544   recipient   address to remove
545
546 Returns:      TRUE if it did remove something; FALSE otherwise
547 */
548
549 BOOL
550 receive_remove_recipient(uschar *recipient)
551 {
552 int count;
553 DEBUG(D_receive) debug_printf("receive_remove_recipient(\"%s\") called\n",
554   recipient);
555 for (count = 0; count < recipients_count; count++)
556   {
557   if (Ustrcmp(recipients_list[count].address, recipient) == 0)
558     {
559     if ((--recipients_count - count) > 0)
560       memmove(recipients_list + count, recipients_list + count + 1,
561         (recipients_count - count)*sizeof(recipient_item));
562     return TRUE;
563     }
564   }
565 return FALSE;
566 }
567
568
569
570
571
572 /*************************************************
573 *     Read data portion of a non-SMTP message    *
574 *************************************************/
575
576 /* This function is called to read the remainder of a message (following the
577 header) when the input is not from SMTP - we are receiving a local message on
578 a standard input stream. The message is always terminated by EOF, and is also
579 terminated by a dot on a line by itself if the flag dot_ends is TRUE. Split the
580 two cases for maximum efficiency.
581
582 Ensure that the body ends with a newline. This will naturally be the case when
583 the termination is "\n.\n" but may not be otherwise. The RFC defines messages
584 as "sequences of lines" - this of course strictly applies only to SMTP, but
585 deliveries into BSD-type mailbox files also require it. Exim used to have a
586 flag for doing this at delivery time, but as it was always set for all
587 transports, I decided to simplify things by putting the check here instead.
588
589 There is at least one MUA (dtmail) that sends CRLF via this interface, and
590 other programs are known to do this as well. Exim used to have a option for
591 dealing with this: in July 2003, after much discussion, the code has been
592 changed to default to treat any of LF, CRLF, and bare CR as line terminators.
593
594 However, for the case when a dot on a line by itself terminates a message, the
595 only recognized terminating sequences before and after the dot are LF and CRLF.
596 Otherwise, having read EOL . CR, you don't know whether to read another
597 character or not.
598
599 Internally, in messages stored in Exim's spool files, LF is used as the line
600 terminator. Under the new regime, bare CRs will no longer appear in these
601 files.
602
603 Arguments:
604   fout      a FILE to which to write the message
605
606 Returns:    One of the END_xxx values indicating why it stopped reading
607 */
608
609 static int
610 read_message_data(FILE *fout)
611 {
612 int ch_state;
613 register int ch;
614 register int linelength = 0;
615
616 /* Handle the case when only EOF terminates the message */
617
618 if (!dot_ends)
619   {
620   register int last_ch = '\n';
621
622   for (; (ch = (receive_getc)()) != EOF; last_ch = ch)
623     {
624     if (ch == 0) body_zerocount++;
625     if (last_ch == '\r' && ch != '\n')
626       {
627       if (linelength > max_received_linelength)
628         max_received_linelength = linelength;
629       linelength = 0;
630       if (fputc('\n', fout) == EOF) return END_WERROR;
631       message_size++;
632       body_linecount++;
633       }
634     if (ch == '\r') continue;
635
636     if (fputc(ch, fout) == EOF) return END_WERROR;
637     if (ch == '\n')
638       {
639       if (linelength > max_received_linelength)
640         max_received_linelength = linelength;
641       linelength = 0;
642       body_linecount++;
643       }
644     else linelength++;
645     if (++message_size > thismessage_size_limit) return END_SIZE;
646     }
647
648   if (last_ch != '\n')
649     {
650     if (linelength > max_received_linelength)
651       max_received_linelength = linelength;
652     if (fputc('\n', fout) == EOF) return END_WERROR;
653     message_size++;
654     body_linecount++;
655     }
656
657   return END_EOF;
658   }
659
660 /* Handle the case when a dot on a line on its own, or EOF, terminates. */
661
662 ch_state = 1;
663
664 while ((ch = (receive_getc)()) != EOF)
665   {
666   if (ch == 0) body_zerocount++;
667   switch (ch_state)
668     {
669     case 0:                         /* Normal state (previous char written) */
670     if (ch == '\n')
671       {
672       body_linecount++;
673       if (linelength > max_received_linelength)
674         max_received_linelength = linelength;
675       linelength = -1;
676       ch_state = 1;
677       }
678     else if (ch == '\r')
679       { ch_state = 2; continue; }
680     break;
681
682     case 1:                         /* After written "\n" */
683     if (ch == '.') { ch_state = 3; continue; }
684     if (ch == '\r') { ch_state = 2; continue; }
685     if (ch != '\n') ch_state = 0; else linelength = -1;
686     break;
687
688     case 2:
689     body_linecount++;               /* After unwritten "\r" */
690     if (linelength > max_received_linelength)
691       max_received_linelength = linelength;
692     if (ch == '\n')
693       {
694       ch_state = 1;
695       linelength = -1;
696       }
697     else
698       {
699       if (message_size++, fputc('\n', fout) == EOF) return END_WERROR;
700       if (ch == '\r') continue;
701       ch_state = 0;
702       linelength = 0;
703       }
704     break;
705
706     case 3:                         /* After "\n." (\n written, dot not) */
707     if (ch == '\n') return END_DOT;
708     if (ch == '\r') { ch_state = 4; continue; }
709     message_size++;
710     linelength++;
711     if (fputc('.', fout) == EOF) return END_WERROR;
712     ch_state = 0;
713     break;
714
715     case 4:                         /* After "\n.\r" (\n written, rest not) */
716     if (ch == '\n') return END_DOT;
717     message_size += 2;
718     body_linecount++;
719     if (fputs(".\n", fout) == EOF) return END_WERROR;
720     if (ch == '\r') { ch_state = 2; continue; }
721     ch_state = 0;
722     break;
723     }
724
725   linelength++;
726   if (fputc(ch, fout) == EOF) return END_WERROR;
727   if (++message_size > thismessage_size_limit) return END_SIZE;
728   }
729
730 /* Get here if EOF read. Unless we have just written "\n", we need to ensure
731 the message ends with a newline, and we must also write any characters that
732 were saved up while testing for an ending dot. */
733
734 if (ch_state != 1)
735   {
736   static uschar *ends[] = { US"\n", NULL, US"\n", US".\n", US".\n" };
737   if (fputs(CS ends[ch_state], fout) == EOF) return END_WERROR;
738   message_size += Ustrlen(ends[ch_state]);
739   body_linecount++;
740   }
741
742 return END_EOF;
743 }
744
745
746
747
748 /*************************************************
749 *      Read data portion of an SMTP message      *
750 *************************************************/
751
752 /* This function is called to read the remainder of an SMTP message (after the
753 headers), or to skip over it when an error has occurred. In this case, the
754 output file is passed as NULL.
755
756 If any line begins with a dot, that character is skipped. The input should only
757 be successfully terminated by CR LF . CR LF unless it is local (non-network)
758 SMTP, in which case the CRs are optional, but...
759
760 FUDGE: It seems that sites on the net send out messages with just LF
761 terminators, despite the warnings in the RFCs, and other MTAs handle this. So
762 we make the CRs optional in all cases.
763
764 July 2003: Bare CRs cause trouble. We now treat them as line terminators as
765 well, so that there are no CRs in spooled messages. However, the message
766 terminating dot is not recognized between two bare CRs.
767
768 Arguments:
769   fout      a FILE to which to write the message; NULL if skipping
770
771 Returns:    One of the END_xxx values indicating why it stopped reading
772 */
773
774 static int
775 read_message_data_smtp(FILE *fout)
776 {
777 int ch_state = 0;
778 int ch;
779 register int linelength = 0;
780
781 while ((ch = (receive_getc)()) != EOF)
782   {
783   if (ch == 0) body_zerocount++;
784   switch (ch_state)
785     {
786     case 0:                             /* After LF or CRLF */
787     if (ch == '.')
788       {
789       ch_state = 3;
790       continue;                         /* Don't ever write . after LF */
791       }
792     ch_state = 1;
793
794     /* Else fall through to handle as normal uschar. */
795
796     case 1:                             /* Normal state */
797     if (ch == '\n')
798       {
799       ch_state = 0;
800       body_linecount++;
801       if (linelength > max_received_linelength)
802         max_received_linelength = linelength;
803       linelength = -1;
804       }
805     else if (ch == '\r')
806       {
807       ch_state = 2;
808       continue;
809       }
810     break;
811
812     case 2:                             /* After (unwritten) CR */
813     body_linecount++;
814     if (linelength > max_received_linelength)
815       max_received_linelength = linelength;
816     linelength = -1;
817     if (ch == '\n')
818       {
819       ch_state = 0;
820       }
821     else
822       {
823       message_size++;
824       if (fout != NULL && fputc('\n', fout) == EOF) return END_WERROR;
825       (void) cutthrough_put_nl();
826       if (ch != '\r') ch_state = 1; else continue;
827       }
828     break;
829
830     case 3:                             /* After [CR] LF . */
831     if (ch == '\n')
832       return END_DOT;
833     if (ch == '\r')
834       {
835       ch_state = 4;
836       continue;
837       }
838     ch_state = 1;                       /* The dot itself is removed */
839     break;
840
841     case 4:                             /* After [CR] LF . CR */
842     if (ch == '\n') return END_DOT;
843     message_size++;
844     body_linecount++;
845     if (fout != NULL && fputc('\n', fout) == EOF) return END_WERROR;
846     (void) cutthrough_put_nl();
847     if (ch == '\r')
848       {
849       ch_state = 2;
850       continue;
851       }
852     ch_state = 1;
853     break;
854     }
855
856   /* Add the character to the spool file, unless skipping; then loop for the
857   next. */
858
859   message_size++;
860   linelength++;
861   if (fout != NULL)
862     {
863     if (fputc(ch, fout) == EOF) return END_WERROR;
864     if (message_size > thismessage_size_limit) return END_SIZE;
865     }
866   if(ch == '\n')
867     (void) cutthrough_put_nl();
868   else
869     {
870     uschar c= ch;
871     (void) cutthrough_puts(&c, 1);
872     }
873   }
874
875 /* Fall through here if EOF encountered. This indicates some kind of error,
876 since a correct message is terminated by [CR] LF . [CR] LF. */
877
878 return END_EOF;
879 }
880
881
882
883
884 /*************************************************
885 *             Swallow SMTP message               *
886 *************************************************/
887
888 /* This function is called when there has been some kind of error while reading
889 an SMTP message, and the remaining data may need to be swallowed. It is global
890 because it is called from smtp_closedown() to shut down an incoming call
891 tidily.
892
893 Argument:    a FILE from which to read the message
894 Returns:     nothing
895 */
896
897 void
898 receive_swallow_smtp(void)
899 {
900 if (message_ended >= END_NOTENDED)
901   message_ended = read_message_data_smtp(NULL);
902 }
903
904
905
906 /*************************************************
907 *           Handle lost SMTP connection          *
908 *************************************************/
909
910 /* This function logs connection loss incidents and generates an appropriate
911 SMTP response.
912
913 Argument:  additional data for the message
914 Returns:   the SMTP response
915 */
916
917 static uschar *
918 handle_lost_connection(uschar *s)
919 {
920 log_write(L_lost_incoming_connection | L_smtp_connection, LOG_MAIN,
921   "%s lost while reading message data%s", smtp_get_connection_info(), s);
922 return US"421 Lost incoming connection";
923 }
924
925
926
927
928 /*************************************************
929 *         Handle a non-smtp reception error      *
930 *************************************************/
931
932 /* This function is called for various errors during the reception of non-SMTP
933 messages. It either sends a message to the sender of the problem message, or it
934 writes to the standard error stream.
935
936 Arguments:
937   errcode     code for moan_to_sender(), identifying the error
938   text1       first message text, passed to moan_to_sender()
939   text2       second message text, used only for stderrr
940   error_rc    code to pass to exim_exit if no problem
941   f           FILE containing body of message (may be stdin)
942   hptr        pointer to instore headers or NULL
943
944 Returns:      calls exim_exit(), which does not return
945 */
946
947 static void
948 give_local_error(int errcode, uschar *text1, uschar *text2, int error_rc,
949   FILE *f, header_line *hptr)
950 {
951 if (error_handling == ERRORS_SENDER)
952   {
953   error_block eblock;
954   eblock.next = NULL;
955   eblock.text1 = text1;
956   if (!moan_to_sender(errcode, &eblock, hptr, f, FALSE))
957     error_rc = EXIT_FAILURE;
958   }
959 else fprintf(stderr, "exim: %s%s\n", text2, text1);  /* Sic */
960 (void)fclose(f);
961 exim_exit(error_rc);
962 }
963
964
965
966 /*************************************************
967 *          Add header lines set up by ACL        *
968 *************************************************/
969
970 /* This function is called to add the header lines that were set up by
971 statements in an ACL to the list of headers in memory. It is done in two stages
972 like this, because when the ACL for RCPT is running, the other headers have not
973 yet been received. This function is called twice; once just before running the
974 DATA ACL, and once after. This is so that header lines added by MAIL or RCPT
975 are visible to the DATA ACL.
976
977 Originally these header lines were added at the end. Now there is support for
978 three different places: top, bottom, and after the Received: header(s). There
979 will always be at least one Received: header, even if it is marked deleted, and
980 even if something else has been put in front of it.
981
982 Arguments:
983   acl_name   text to identify which ACL
984
985 Returns:     nothing
986 */
987
988 static void
989 add_acl_headers(int where, uschar *acl_name)
990 {
991 header_line *h, *next;
992 header_line *last_received = NULL;
993
994 switch(where)
995   {
996   case ACL_WHERE_DKIM:
997   case ACL_WHERE_MIME:
998   case ACL_WHERE_DATA:
999     if (cutthrough.fd >= 0 && (acl_removed_headers || acl_added_headers))
1000     {
1001     log_write(0, LOG_MAIN|LOG_PANIC, "Header modification in data ACLs"
1002                         " will not take effect on cutthrough deliveries");
1003     return;
1004     }
1005   }
1006
1007 if (acl_removed_headers != NULL)
1008   {
1009   DEBUG(D_receive|D_acl) debug_printf(">>Headers removed by %s ACL:\n", acl_name);
1010
1011   for (h = header_list; h != NULL; h = h->next) if (h->type != htype_old)
1012     {
1013     const uschar * list = acl_removed_headers;
1014     int sep = ':';         /* This is specified as a colon-separated list */
1015     uschar *s;
1016     uschar buffer[128];
1017
1018     while ((s = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
1019       if (header_testname(h, s, Ustrlen(s), FALSE))
1020         {
1021         h->type = htype_old;
1022         DEBUG(D_receive|D_acl) debug_printf("  %s", h->text);
1023         }
1024     }
1025   acl_removed_headers = NULL;
1026   DEBUG(D_receive|D_acl) debug_printf(">>\n");
1027   }
1028
1029 if (acl_added_headers == NULL) return;
1030 DEBUG(D_receive|D_acl) debug_printf(">>Headers added by %s ACL:\n", acl_name);
1031
1032 for (h = acl_added_headers; h != NULL; h = next)
1033   {
1034   next = h->next;
1035
1036   switch(h->type)
1037     {
1038     case htype_add_top:
1039     h->next = header_list;
1040     header_list = h;
1041     DEBUG(D_receive|D_acl) debug_printf("  (at top)");
1042     break;
1043
1044     case htype_add_rec:
1045     if (last_received == NULL)
1046       {
1047       last_received = header_list;
1048       while (!header_testname(last_received, US"Received", 8, FALSE))
1049         last_received = last_received->next;
1050       while (last_received->next != NULL &&
1051              header_testname(last_received->next, US"Received", 8, FALSE))
1052         last_received = last_received->next;
1053       }
1054     h->next = last_received->next;
1055     last_received->next = h;
1056     DEBUG(D_receive|D_acl) debug_printf("  (after Received:)");
1057     break;
1058
1059     case htype_add_rfc:
1060     /* add header before any header which is NOT Received: or Resent- */
1061     last_received = header_list;
1062     while ( (last_received->next != NULL) &&
1063             ( (header_testname(last_received->next, US"Received", 8, FALSE)) ||
1064               (header_testname_incomplete(last_received->next, US"Resent-", 7, FALSE)) ) )
1065               last_received = last_received->next;
1066     /* last_received now points to the last Received: or Resent-* header
1067        in an uninterrupted chain of those header types (seen from the beginning
1068        of all headers. Our current header must follow it. */
1069     h->next = last_received->next;
1070     last_received->next = h;
1071     DEBUG(D_receive|D_acl) debug_printf("  (before any non-Received: or Resent-*: header)");
1072     break;
1073
1074     default:
1075     h->next = NULL;
1076     header_last->next = h;
1077     break;
1078     }
1079
1080   if (h->next == NULL) header_last = h;
1081
1082   /* Check for one of the known header types (From:, To:, etc.) though in
1083   practice most added headers are going to be "other". Lower case
1084   identification letters are never stored with the header; they are used
1085   for existence tests when messages are received. So discard any lower case
1086   flag values. */
1087
1088   h->type = header_checkname(h, FALSE);
1089   if (h->type >= 'a') h->type = htype_other;
1090
1091   DEBUG(D_receive|D_acl) debug_printf("  %s", header_last->text);
1092   }
1093
1094 acl_added_headers = NULL;
1095 DEBUG(D_receive|D_acl) debug_printf(">>\n");
1096 }
1097
1098
1099
1100 /*************************************************
1101 *       Add host information for log line        *
1102 *************************************************/
1103
1104 /* Called for acceptance and rejecting log lines. This adds information about
1105 the calling host to a string that is being built dynamically.
1106
1107 Arguments:
1108   s           the dynamic string
1109   sizeptr     points to the size variable
1110   ptrptr      points to the pointer variable
1111
1112 Returns:      the extended string
1113 */
1114
1115 static uschar *
1116 add_host_info_for_log(uschar *s, int *sizeptr, int *ptrptr)
1117 {
1118 if (sender_fullhost != NULL)
1119   {
1120   s = string_append(s, sizeptr, ptrptr, 2, US" H=", sender_fullhost);
1121   if (LOGGING(incoming_interface) && interface_address != NULL)
1122     {
1123     uschar *ss = string_sprintf(" I=[%s]:%d", interface_address,
1124       interface_port);
1125     s = string_cat(s, sizeptr, ptrptr, ss, Ustrlen(ss));
1126     }
1127   }
1128 if (sender_ident != NULL)
1129   s = string_append(s, sizeptr, ptrptr, 2, US" U=", sender_ident);
1130 if (received_protocol != NULL)
1131   s = string_append(s, sizeptr, ptrptr, 2, US" P=", received_protocol);
1132 return s;
1133 }
1134
1135
1136
1137 #ifdef WITH_CONTENT_SCAN
1138
1139 /*************************************************
1140 *       Run the MIME ACL on a message            *
1141 *************************************************/
1142
1143 /* This code is in a subroutine so that it can be used for both SMTP
1144 and non-SMTP messages. It is called with a non-NULL ACL pointer.
1145
1146 Arguments:
1147   acl                The ACL to run (acl_smtp_mime or acl_not_smtp_mime)
1148   smtp_yield_ptr     Set FALSE to kill messages after dropped connection
1149   smtp_reply_ptr     Where SMTP reply is being built
1150   blackholed_by_ptr  Where "blackholed by" message is being built
1151
1152 Returns:             TRUE to carry on; FALSE to abandon the message
1153 */
1154
1155 static BOOL
1156 run_mime_acl(uschar *acl, BOOL *smtp_yield_ptr, uschar **smtp_reply_ptr,
1157   uschar **blackholed_by_ptr)
1158 {
1159 FILE *mbox_file;
1160 uschar rfc822_file_path[2048];
1161 unsigned long mbox_size;
1162 header_line *my_headerlist;
1163 uschar *user_msg, *log_msg;
1164 int mime_part_count_buffer = -1;
1165 int rc = OK;
1166
1167 memset(CS rfc822_file_path,0,2048);
1168
1169 /* check if it is a MIME message */
1170 my_headerlist = header_list;
1171 while (my_headerlist != NULL)
1172   {
1173   /* skip deleted headers */
1174   if (my_headerlist->type == '*')
1175     {
1176     my_headerlist = my_headerlist->next;
1177     continue;
1178     }
1179   if (strncmpic(my_headerlist->text, US"Content-Type:", 13) == 0)
1180     {
1181     DEBUG(D_receive) debug_printf("Found Content-Type: header - executing acl_smtp_mime.\n");
1182     goto DO_MIME_ACL;
1183     }
1184   my_headerlist = my_headerlist->next;
1185   }
1186
1187 DEBUG(D_receive) debug_printf("No Content-Type: header - presumably not a MIME message.\n");
1188 return TRUE;
1189
1190 DO_MIME_ACL:
1191 /* make sure the eml mbox file is spooled up */
1192 mbox_file = spool_mbox(&mbox_size, NULL);
1193 if (mbox_file == NULL) {
1194   /* error while spooling */
1195   log_write(0, LOG_MAIN|LOG_PANIC,
1196          "acl_smtp_mime: error while creating mbox spool file, message temporarily rejected.");
1197   Uunlink(spool_name);
1198   unspool_mbox();
1199 #ifdef EXPERIMENTAL_DCC
1200   dcc_ok = 0;
1201 #endif
1202   smtp_respond(US"451", 3, TRUE, US"temporary local problem");
1203   message_id[0] = 0;            /* Indicate no message accepted */
1204   *smtp_reply_ptr = US"";       /* Indicate reply already sent */
1205   return FALSE;                 /* Indicate skip to end of receive function */
1206 };
1207
1208 mime_is_rfc822 = 0;
1209
1210 MIME_ACL_CHECK:
1211 mime_part_count = -1;
1212 rc = mime_acl_check(acl, mbox_file, NULL, &user_msg, &log_msg);
1213 (void)fclose(mbox_file);
1214
1215 if (Ustrlen(rfc822_file_path) > 0)
1216   {
1217   mime_part_count = mime_part_count_buffer;
1218
1219   if (unlink(CS rfc822_file_path) == -1)
1220     {
1221     log_write(0, LOG_PANIC,
1222          "acl_smtp_mime: can't unlink RFC822 spool file, skipping.");
1223       goto END_MIME_ACL;
1224     }
1225   }
1226
1227 /* check if we must check any message/rfc822 attachments */
1228 if (rc == OK)
1229   {
1230   uschar temp_path[1024];
1231   struct dirent * entry;
1232   DIR * tempdir;
1233
1234   (void) string_format(temp_path, sizeof(temp_path), "%s/scan/%s",
1235     spool_directory, message_id);
1236
1237   tempdir = opendir(CS temp_path);
1238   for (;;)
1239     {
1240     if (!(entry = readdir(tempdir)))
1241       break;
1242     if (strncmpic(US entry->d_name, US"__rfc822_", 9) == 0)
1243       {
1244       (void) string_format(rfc822_file_path, sizeof(rfc822_file_path),
1245         "%s/scan/%s/%s", spool_directory, message_id, entry->d_name);
1246       debug_printf("RFC822 attachment detected: running MIME ACL for '%s'\n",
1247         rfc822_file_path);
1248       break;
1249       }
1250     }
1251   closedir(tempdir);
1252
1253   if (entry)
1254     {
1255     if ((mbox_file = Ufopen(rfc822_file_path, "rb")))
1256       {
1257       /* set RFC822 expansion variable */
1258       mime_is_rfc822 = 1;
1259       mime_part_count_buffer = mime_part_count;
1260       goto MIME_ACL_CHECK;
1261       }
1262     log_write(0, LOG_PANIC,
1263        "acl_smtp_mime: can't open RFC822 spool file, skipping.");
1264     unlink(CS rfc822_file_path);
1265     }
1266   }
1267
1268 END_MIME_ACL:
1269 add_acl_headers(ACL_WHERE_MIME, US"MIME");
1270 if (rc == DISCARD)
1271   {
1272   recipients_count = 0;
1273   *blackholed_by_ptr = US"MIME ACL";
1274   }
1275 else if (rc != OK)
1276   {
1277   Uunlink(spool_name);
1278   unspool_mbox();
1279 #ifdef EXPERIMENTAL_DCC
1280   dcc_ok = 0;
1281 #endif
1282   if (smtp_input && smtp_handle_acl_fail(ACL_WHERE_MIME, rc, user_msg, log_msg) != 0) {
1283     *smtp_yield_ptr = FALSE;    /* No more messsages after dropped connection */
1284     *smtp_reply_ptr = US"";     /* Indicate reply already sent */
1285   }
1286   message_id[0] = 0;            /* Indicate no message accepted */
1287   return FALSE;                 /* Cause skip to end of receive function */
1288   }
1289
1290 return TRUE;
1291 }
1292
1293 #endif  /* WITH_CONTENT_SCAN */
1294
1295
1296
1297 void
1298 received_header_gen(void)
1299 {
1300 uschar *received;
1301 uschar *timestamp;
1302 header_line *received_header= header_list;
1303
1304 timestamp = expand_string(US"${tod_full}");
1305 if (recipients_count == 1) received_for = recipients_list[0].address;
1306 received = expand_string(received_header_text);
1307 received_for = NULL;
1308
1309 if (received == NULL)
1310   {
1311   if(spool_name[0] != 0)
1312     Uunlink(spool_name);           /* Lose the data file */
1313   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Expansion of \"%s\" "
1314     "(received_header_text) failed: %s", string_printing(received_header_text),
1315       expand_string_message);
1316   }
1317
1318 /* The first element on the header chain is reserved for the Received header,
1319 so all we have to do is fill in the text pointer, and set the type. However, if
1320 the result of the expansion is an empty string, we leave the header marked as
1321 "old" so as to refrain from adding a Received header. */
1322
1323 if (received[0] == 0)
1324   {
1325   received_header->text = string_sprintf("Received: ; %s\n", timestamp);
1326   received_header->type = htype_old;
1327   }
1328 else
1329   {
1330   received_header->text = string_sprintf("%s; %s\n", received, timestamp);
1331   received_header->type = htype_received;
1332   }
1333
1334 received_header->slen = Ustrlen(received_header->text);
1335
1336 DEBUG(D_receive) debug_printf(">>Generated Received: header line\n%c %s",
1337   received_header->type, received_header->text);
1338 }
1339
1340
1341
1342 /*************************************************
1343 *                 Receive message                *
1344 *************************************************/
1345
1346 /* Receive a message on the given input, and put it into a pair of spool files.
1347 Either a non-null list of recipients, or the extract flag will be true, or
1348 both. The flag sender_local is true for locally generated messages. The flag
1349 submission_mode is true if an ACL has obeyed "control = submission". The flag
1350 suppress_local_fixups is true if an ACL has obeyed "control =
1351 suppress_local_fixups" or -G was passed on the command-line.
1352 The flag smtp_input is true if the message is to be
1353 handled using SMTP conventions about termination and lines starting with dots.
1354 For non-SMTP messages, dot_ends is true for dot-terminated messages.
1355
1356 If a message was successfully read, message_id[0] will be non-zero.
1357
1358 The general actions of this function are:
1359
1360   . Read the headers of the message (if any) into a chain of store
1361     blocks.
1362
1363   . If there is a "sender:" header and the message is locally originated,
1364     throw it away, unless the caller is trusted, or unless
1365     active_local_sender_retain is set - which can only happen if
1366     active_local_from_check is false.
1367
1368   . If recipients are to be extracted from the message, build the
1369     recipients list from the headers, removing any that were on the
1370     original recipients list (unless extract_addresses_remove_arguments is
1371     false), and at the same time, remove any bcc header that may be present.
1372
1373   . Get the spool file for the data, sort out its unique name, open
1374     and lock it (but don't give it the name yet).
1375
1376   . Generate a "Message-Id" header if the message doesn't have one, for
1377     locally-originated messages.
1378
1379   . Generate a "Received" header.
1380
1381   . Ensure the recipients list is fully qualified and rewritten if necessary.
1382
1383   . If there are any rewriting rules, apply them to the sender address
1384     and also to the headers.
1385
1386   . If there is no from: header, generate one, for locally-generated messages
1387     and messages in "submission mode" only.
1388
1389   . If the sender is local, check that from: is correct, and if not, generate
1390     a Sender: header, unless message comes from a trusted caller, or this
1391     feature is disabled by active_local_from_check being false.
1392
1393   . If there is no "date" header, generate one, for locally-originated
1394     or submission mode messages only.
1395
1396   . Copy the rest of the input, or up to a terminating "." if in SMTP or
1397     dot_ends mode, to the data file. Leave it open, to hold the lock.
1398
1399   . Write the envelope and the headers to a new file.
1400
1401   . Set the name for the header file; close it.
1402
1403   . Set the name for the data file; close it.
1404
1405 Because this function can potentially be called many times in a single
1406 SMTP connection, all store should be got by store_get(), so that it will be
1407 automatically retrieved after the message is accepted.
1408
1409 FUDGE: It seems that sites on the net send out messages with just LF
1410 terminators, despite the warnings in the RFCs, and other MTAs handle this. So
1411 we make the CRs optional in all cases.
1412
1413 July 2003: Bare CRs in messages, especially in header lines, cause trouble. A
1414 new regime is now in place in which bare CRs in header lines are turned into LF
1415 followed by a space, so as not to terminate the header line.
1416
1417 February 2004: A bare LF in a header line in a message whose first line was
1418 terminated by CRLF is treated in the same way as a bare CR.
1419
1420 Arguments:
1421   extract_recip  TRUE if recipients are to be extracted from the message's
1422                    headers
1423
1424 Returns:  TRUE   there are more messages to be read (SMTP input)
1425           FALSE  there are no more messages to be read (non-SMTP input
1426                  or SMTP connection collapsed, or other failure)
1427
1428 When reading a message for filter testing, the returned value indicates
1429 whether the headers (which is all that is read) were terminated by '.' or
1430 not. */
1431
1432 BOOL
1433 receive_msg(BOOL extract_recip)
1434 {
1435 int  i;
1436 int  rc = FAIL;
1437 int  msg_size = 0;
1438 int  process_info_len = Ustrlen(process_info);
1439 int  error_rc = (error_handling == ERRORS_SENDER)?
1440        errors_sender_rc : EXIT_FAILURE;
1441 int  header_size = 256;
1442 int  start, end, domain, size, sptr;
1443 int  id_resolution;
1444 int  had_zero = 0;
1445 int  prevlines_length = 0;
1446
1447 register int ptr = 0;
1448
1449 BOOL contains_resent_headers = FALSE;
1450 BOOL extracted_ignored = FALSE;
1451 BOOL first_line_ended_crlf = TRUE_UNSET;
1452 BOOL smtp_yield = TRUE;
1453 BOOL yield = FALSE;
1454
1455 BOOL resents_exist = FALSE;
1456 uschar *resent_prefix = US"";
1457 uschar *blackholed_by = NULL;
1458 uschar *blackhole_log_msg = US"";
1459 enum {NOT_TRIED, TMP_REJ, PERM_REJ, ACCEPTED} cutthrough_done = NOT_TRIED;
1460
1461 flock_t lock_data;
1462 error_block *bad_addresses = NULL;
1463
1464 uschar *frozen_by = NULL;
1465 uschar *queued_by = NULL;
1466
1467 uschar *errmsg, *s;
1468 struct stat statbuf;
1469
1470 /* Final message to give to SMTP caller, and messages from ACLs */
1471
1472 uschar *smtp_reply = NULL;
1473 uschar *user_msg, *log_msg;
1474
1475 /* Working header pointers */
1476
1477 header_line *h, *next;
1478
1479 /* Flags for noting the existence of certain headers (only one left) */
1480
1481 BOOL date_header_exists = FALSE;
1482
1483 /* Pointers to receive the addresses of headers whose contents we need. */
1484
1485 header_line *from_header = NULL;
1486 header_line *subject_header = NULL;
1487 header_line *msgid_header = NULL;
1488 header_line *received_header;
1489
1490 #ifdef EXPERIMENTAL_DMARC
1491 int dmarc_up = 0;
1492 #endif /* EXPERIMENTAL_DMARC */
1493
1494 /* Variables for use when building the Received: header. */
1495
1496 uschar *timestamp;
1497 int tslen;
1498
1499 /* Release any open files that might have been cached while preparing to
1500 accept the message - e.g. by verifying addresses - because reading a message
1501 might take a fair bit of real time. */
1502
1503 search_tidyup();
1504
1505 /* Extracting the recipient list from an input file is incompatible with
1506 cutthrough delivery with the no-spool option.  It shouldn't be possible
1507 to set up the combination, but just in case kill any ongoing connection. */
1508 if (extract_recip || !smtp_input)
1509   cancel_cutthrough_connection("not smtp input");
1510
1511 /* Initialize the chain of headers by setting up a place-holder for Received:
1512 header. Temporarily mark it as "old", i.e. not to be used. We keep header_last
1513 pointing to the end of the chain to make adding headers simple. */
1514
1515 received_header = header_list = header_last = store_get(sizeof(header_line));
1516 header_list->next = NULL;
1517 header_list->type = htype_old;
1518 header_list->text = NULL;
1519 header_list->slen = 0;
1520
1521 /* Control block for the next header to be read. */
1522
1523 next = store_get(sizeof(header_line));
1524 next->text = store_get(header_size);
1525
1526 /* Initialize message id to be null (indicating no message read), and the
1527 header names list to be the normal list. Indicate there is no data file open
1528 yet, initialize the size and warning count, and deal with no size limit. */
1529
1530 message_id[0] = 0;
1531 data_file = NULL;
1532 data_fd = -1;
1533 spool_name[0] = 0;
1534 message_size = 0;
1535 warning_count = 0;
1536 received_count = 1;            /* For the one we will add */
1537
1538 if (thismessage_size_limit <= 0) thismessage_size_limit = INT_MAX;
1539
1540 /* While reading the message, the following counts are computed. */
1541
1542 message_linecount = body_linecount = body_zerocount =
1543   max_received_linelength = 0;
1544
1545 #ifndef DISABLE_DKIM
1546 /* Call into DKIM to set up the context. */
1547 if (smtp_input && !smtp_batched_input && !dkim_disable_verify) dkim_exim_verify_init();
1548 #endif
1549
1550 #ifdef EXPERIMENTAL_DMARC
1551 /* initialize libopendmarc */
1552 dmarc_up = dmarc_init();
1553 #endif
1554
1555 /* Remember the time of reception. Exim uses time+pid for uniqueness of message
1556 ids, and fractions of a second are required. See the comments that precede the
1557 message id creation below. */
1558
1559 (void)gettimeofday(&message_id_tv, NULL);
1560
1561 /* For other uses of the received time we can operate with granularity of one
1562 second, and for that we use the global variable received_time. This is for
1563 things like ultimate message timeouts. */
1564
1565 received_time = message_id_tv.tv_sec;
1566
1567 /* If SMTP input, set the special handler for timeouts. The alarm() calls
1568 happen in the smtp_getc() function when it refills its buffer. */
1569
1570 if (smtp_input) os_non_restarting_signal(SIGALRM, data_timeout_handler);
1571
1572 /* If not SMTP input, timeout happens only if configured, and we just set a
1573 single timeout for the whole message. */
1574
1575 else if (receive_timeout > 0)
1576   {
1577   os_non_restarting_signal(SIGALRM, data_timeout_handler);
1578   alarm(receive_timeout);
1579   }
1580
1581 /* SIGTERM and SIGINT are caught always. */
1582
1583 signal(SIGTERM, data_sigterm_sigint_handler);
1584 signal(SIGINT, data_sigterm_sigint_handler);
1585
1586 /* Header lines in messages are not supposed to be very long, though when
1587 unfolded, to: and cc: headers can take up a lot of store. We must also cope
1588 with the possibility of junk being thrown at us. Start by getting 256 bytes for
1589 storing the header, and extend this as necessary using string_cat().
1590
1591 To cope with total lunacies, impose an upper limit on the length of the header
1592 section of the message, as otherwise the store will fill up. We must also cope
1593 with the possibility of binary zeros in the data. Hence we cannot use fgets().
1594 Folded header lines are joined into one string, leaving the '\n' characters
1595 inside them, so that writing them out reproduces the input.
1596
1597 Loop for each character of each header; the next structure for chaining the
1598 header is set up already, with ptr the offset of the next character in
1599 next->text. */
1600
1601 for (;;)
1602   {
1603   int ch = (receive_getc)();
1604
1605   /* If we hit EOF on a SMTP connection, it's an error, since incoming
1606   SMTP must have a correct "." terminator. */
1607
1608   if (ch == EOF && smtp_input /* && !smtp_batched_input */)
1609     {
1610     smtp_reply = handle_lost_connection(US" (header)");
1611     smtp_yield = FALSE;
1612     goto TIDYUP;                       /* Skip to end of function */
1613     }
1614
1615   /* See if we are at the current header's size limit - there must be at least
1616   four bytes left. This allows for the new character plus a zero, plus two for
1617   extra insertions when we are playing games with dots and carriage returns. If
1618   we are at the limit, extend the text buffer. This could have been done
1619   automatically using string_cat() but because this is a tightish loop storing
1620   only one character at a time, we choose to do it inline. Normally
1621   store_extend() will be able to extend the block; only at the end of a big
1622   store block will a copy be needed. To handle the case of very long headers
1623   (and sometimes lunatic messages can have ones that are 100s of K long) we
1624   call store_release() for strings that have been copied - if the string is at
1625   the start of a block (and therefore the only thing in it, because we aren't
1626   doing any other gets), the block gets freed. We can only do this because we
1627   know there are no other calls to store_get() going on. */
1628
1629   if (ptr >= header_size - 4)
1630     {
1631     int oldsize = header_size;
1632     /* header_size += 256; */
1633     header_size *= 2;
1634     if (!store_extend(next->text, oldsize, header_size))
1635       {
1636       uschar *newtext = store_get(header_size);
1637       memcpy(newtext, next->text, ptr);
1638       store_release(next->text);
1639       next->text = newtext;
1640       }
1641     }
1642
1643   /* Cope with receiving a binary zero. There is dispute about whether
1644   these should be allowed in RFC 822 messages. The middle view is that they
1645   should not be allowed in headers, at least. Exim takes this attitude at
1646   the moment. We can't just stomp on them here, because we don't know that
1647   this line is a header yet. Set a flag to cause scanning later. */
1648
1649   if (ch == 0) had_zero++;
1650
1651   /* Test for termination. Lines in remote SMTP are terminated by CRLF, while
1652   those from data files use just LF. Treat LF in local SMTP input as a
1653   terminator too. Treat EOF as a line terminator always. */
1654
1655   if (ch == EOF) goto EOL;
1656
1657   /* FUDGE: There are sites out there that don't send CRs before their LFs, and
1658   other MTAs accept this. We are therefore forced into this "liberalisation"
1659   too, so we accept LF as a line terminator whatever the source of the message.
1660   However, if the first line of the message ended with a CRLF, we treat a bare
1661   LF specially by inserting a white space after it to ensure that the header
1662   line is not terminated. */
1663
1664   if (ch == '\n')
1665     {
1666     if (first_line_ended_crlf == TRUE_UNSET) first_line_ended_crlf = FALSE;
1667       else if (first_line_ended_crlf) receive_ungetc(' ');
1668     goto EOL;
1669     }
1670
1671   /* This is not the end of the line. If this is SMTP input and this is
1672   the first character in the line and it is a "." character, ignore it.
1673   This implements the dot-doubling rule, though header lines starting with
1674   dots aren't exactly common. They are legal in RFC 822, though. If the
1675   following is CRLF or LF, this is the line that that terminates the
1676   entire message. We set message_ended to indicate this has happened (to
1677   prevent further reading), and break out of the loop, having freed the
1678   empty header, and set next = NULL to indicate no data line. */
1679
1680   if (ptr == 0 && ch == '.' && (smtp_input || dot_ends))
1681     {
1682     ch = (receive_getc)();
1683     if (ch == '\r')
1684       {
1685       ch = (receive_getc)();
1686       if (ch != '\n')
1687         {
1688         receive_ungetc(ch);
1689         ch = '\r';              /* Revert to CR */
1690         }
1691       }
1692     if (ch == '\n')
1693       {
1694       message_ended = END_DOT;
1695       store_reset(next);
1696       next = NULL;
1697       break;                    /* End character-reading loop */
1698       }
1699
1700     /* For non-SMTP input, the dot at the start of the line was really a data
1701     character. What is now in ch is the following character. We guaranteed
1702     enough space for this above. */
1703
1704     if (!smtp_input)
1705       {
1706       next->text[ptr++] = '.';
1707       message_size++;
1708       }
1709     }
1710
1711   /* If CR is immediately followed by LF, end the line, ignoring the CR, and
1712   remember this case if this is the first line ending. */
1713
1714   if (ch == '\r')
1715     {
1716     ch = (receive_getc)();
1717     if (ch == '\n')
1718       {
1719       if (first_line_ended_crlf == TRUE_UNSET) first_line_ended_crlf = TRUE;
1720       goto EOL;
1721       }
1722
1723     /* Otherwise, put back the character after CR, and turn the bare CR
1724     into LF SP. */
1725
1726     ch = (receive_ungetc)(ch);
1727     next->text[ptr++] = '\n';
1728     message_size++;
1729     ch = ' ';
1730     }
1731
1732   /* We have a data character for the header line. */
1733
1734   next->text[ptr++] = ch;    /* Add to buffer */
1735   message_size++;            /* Total message size so far */
1736
1737   /* Handle failure due to a humungously long header section. The >= allows
1738   for the terminating \n. Add what we have so far onto the headers list so
1739   that it gets reflected in any error message, and back up the just-read
1740   character. */
1741
1742   if (message_size >= header_maxsize)
1743     {
1744     next->text[ptr] = 0;
1745     next->slen = ptr;
1746     next->type = htype_other;
1747     next->next = NULL;
1748     header_last->next = next;
1749     header_last = next;
1750
1751     log_write(0, LOG_MAIN, "ridiculously long message header received from "
1752       "%s (more than %d characters): message abandoned",
1753       sender_host_unknown? sender_ident : sender_fullhost, header_maxsize);
1754
1755     if (smtp_input)
1756       {
1757       smtp_reply = US"552 Message header is ridiculously long";
1758       receive_swallow_smtp();
1759       goto TIDYUP;                             /* Skip to end of function */
1760       }
1761
1762     else
1763       {
1764       give_local_error(ERRMESS_VLONGHEADER,
1765         string_sprintf("message header longer than %d characters received: "
1766          "message not accepted", header_maxsize), US"", error_rc, stdin,
1767            header_list->next);
1768       /* Does not return */
1769       }
1770     }
1771
1772   continue;                  /* With next input character */
1773
1774   /* End of header line reached */
1775
1776   EOL:
1777
1778   /* Keep track of lines for BSMTP errors and overall message_linecount. */
1779
1780   receive_linecount++;
1781   message_linecount++;
1782
1783   /* Keep track of maximum line length */
1784
1785   if (ptr - prevlines_length > max_received_linelength)
1786     max_received_linelength = ptr - prevlines_length;
1787   prevlines_length = ptr + 1;
1788
1789   /* Now put in the terminating newline. There is always space for
1790   at least two more characters. */
1791
1792   next->text[ptr++] = '\n';
1793   message_size++;
1794
1795   /* A blank line signals the end of the headers; release the unwanted
1796   space and set next to NULL to indicate this. */
1797
1798   if (ptr == 1)
1799     {
1800     store_reset(next);
1801     next = NULL;
1802     break;
1803     }
1804
1805   /* There is data in the line; see if the next input character is a
1806   whitespace character. If it is, we have a continuation of this header line.
1807   There is always space for at least one character at this point. */
1808
1809   if (ch != EOF)
1810     {
1811     int nextch = (receive_getc)();
1812     if (nextch == ' ' || nextch == '\t')
1813       {
1814       next->text[ptr++] = nextch;
1815       message_size++;
1816       continue;                      /* Iterate the loop */
1817       }
1818     else if (nextch != EOF) (receive_ungetc)(nextch);   /* For next time */
1819     else ch = EOF;                   /* Cause main loop to exit at end */
1820     }
1821
1822   /* We have got to the real line end. Terminate the string and release store
1823   beyond it. If it turns out to be a real header, internal binary zeros will
1824   be squashed later. */
1825
1826   next->text[ptr] = 0;
1827   next->slen = ptr;
1828   store_reset(next->text + ptr + 1);
1829
1830   /* Check the running total size against the overall message size limit. We
1831   don't expect to fail here, but if the overall limit is set less than MESSAGE_
1832   MAXSIZE and a big header is sent, we want to catch it. Just stop reading
1833   headers - the code to read the body will then also hit the buffer. */
1834
1835   if (message_size > thismessage_size_limit) break;
1836
1837   /* A line that is not syntactically correct for a header also marks
1838   the end of the headers. In this case, we leave next containing the
1839   first data line. This might actually be several lines because of the
1840   continuation logic applied above, but that doesn't matter.
1841
1842   It turns out that smail, and presumably sendmail, accept leading lines
1843   of the form
1844
1845   From ph10 Fri Jan  5 12:35 GMT 1996
1846
1847   in messages. The "mail" command on Solaris 2 sends such lines. I cannot
1848   find any documentation of this, but for compatibility it had better be
1849   accepted. Exim restricts it to the case of non-smtp messages, and
1850   treats it as an alternative to the -f command line option. Thus it is
1851   ignored except for trusted users or filter testing. Otherwise it is taken
1852   as the sender address, unless -f was used (sendmail compatibility).
1853
1854   It further turns out that some UUCPs generate the From_line in a different
1855   format, e.g.
1856
1857   From ph10 Fri, 7 Jan 97 14:00:00 GMT
1858
1859   The regex for matching these things is now capable of recognizing both
1860   formats (including 2- and 4-digit years in the latter). In fact, the regex
1861   is now configurable, as is the expansion string to fish out the sender.
1862
1863   Even further on it has been discovered that some broken clients send
1864   these lines in SMTP messages. There is now an option to ignore them from
1865   specified hosts or networks. Sigh. */
1866
1867   if (header_last == header_list &&
1868        (!smtp_input
1869          ||
1870          (sender_host_address != NULL &&
1871            verify_check_host(&ignore_fromline_hosts) == OK)
1872          ||
1873          (sender_host_address == NULL && ignore_fromline_local)
1874        ) &&
1875        regex_match_and_setup(regex_From, next->text, 0, -1))
1876     {
1877     if (!sender_address_forced)
1878       {
1879       uschar *uucp_sender = expand_string(uucp_from_sender);
1880       if (uucp_sender == NULL)
1881         {
1882         log_write(0, LOG_MAIN|LOG_PANIC,
1883           "expansion of \"%s\" failed after matching "
1884           "\"From \" line: %s", uucp_from_sender, expand_string_message);
1885         }
1886       else
1887         {
1888         int start, end, domain;
1889         uschar *errmess;
1890         uschar *newsender = parse_extract_address(uucp_sender, &errmess,
1891           &start, &end, &domain, TRUE);
1892         if (newsender != NULL)
1893           {
1894           if (domain == 0 && newsender[0] != 0)
1895             newsender = rewrite_address_qualify(newsender, FALSE);
1896
1897           if (filter_test != FTEST_NONE || receive_check_set_sender(newsender))
1898             {
1899             sender_address = newsender;
1900
1901             if (trusted_caller || filter_test != FTEST_NONE)
1902               {
1903               authenticated_sender = NULL;
1904               originator_name = US"";
1905               sender_local = FALSE;
1906               }
1907
1908             if (filter_test != FTEST_NONE)
1909               printf("Sender taken from \"From \" line\n");
1910             }
1911           }
1912         }
1913       }
1914     }
1915
1916   /* Not a leading "From " line. Check to see if it is a valid header line.
1917   Header names may contain any non-control characters except space and colon,
1918   amazingly. */
1919
1920   else
1921     {
1922     uschar *p = next->text;
1923
1924     /* If not a valid header line, break from the header reading loop, leaving
1925     next != NULL, indicating that it holds the first line of the body. */
1926
1927     if (isspace(*p)) break;
1928     while (mac_isgraph(*p) && *p != ':') p++;
1929     while (isspace(*p)) p++;
1930     if (*p != ':')
1931       {
1932       body_zerocount = had_zero;
1933       break;
1934       }
1935
1936     /* We have a valid header line. If there were any binary zeroes in
1937     the line, stomp on them here. */
1938
1939     if (had_zero > 0)
1940       for (p = next->text; p < next->text + ptr; p++) if (*p == 0) *p = '?';
1941
1942     /* It is perfectly legal to have an empty continuation line
1943     at the end of a header, but it is confusing to humans
1944     looking at such messages, since it looks like a blank line.
1945     Reduce confusion by removing redundant white space at the
1946     end. We know that there is at least one printing character
1947     (the ':' tested for above) so there is no danger of running
1948     off the end. */
1949
1950     p = next->text + ptr - 2;
1951     for (;;)
1952       {
1953       while (*p == ' ' || *p == '\t') p--;
1954       if (*p != '\n') break;
1955       ptr = (p--) - next->text + 1;
1956       message_size -= next->slen - ptr;
1957       next->text[ptr] = 0;
1958       next->slen = ptr;
1959       }
1960
1961     /* Add the header to the chain */
1962
1963     next->type = htype_other;
1964     next->next = NULL;
1965     header_last->next = next;
1966     header_last = next;
1967
1968     /* Check the limit for individual line lengths. This comes after adding to
1969     the chain so that the failing line is reflected if a bounce is generated
1970     (for a local message). */
1971
1972     if (header_line_maxsize > 0 && next->slen > header_line_maxsize)
1973       {
1974       log_write(0, LOG_MAIN, "overlong message header line received from "
1975         "%s (more than %d characters): message abandoned",
1976         sender_host_unknown? sender_ident : sender_fullhost,
1977         header_line_maxsize);
1978
1979       if (smtp_input)
1980         {
1981         smtp_reply = US"552 A message header line is too long";
1982         receive_swallow_smtp();
1983         goto TIDYUP;                             /* Skip to end of function */
1984         }
1985
1986       else
1987         {
1988         give_local_error(ERRMESS_VLONGHDRLINE,
1989           string_sprintf("message header line longer than %d characters "
1990            "received: message not accepted", header_line_maxsize), US"",
1991            error_rc, stdin, header_list->next);
1992         /* Does not return */
1993         }
1994       }
1995
1996     /* Note if any resent- fields exist. */
1997
1998     if (!resents_exist && strncmpic(next->text, US"resent-", 7) == 0)
1999       {
2000       resents_exist = TRUE;
2001       resent_prefix = US"Resent-";
2002       }
2003     }
2004
2005   /* The line has been handled. If we have hit EOF, break out of the loop,
2006   indicating no pending data line. */
2007
2008   if (ch == EOF) { next = NULL; break; }
2009
2010   /* Set up for the next header */
2011
2012   header_size = 256;
2013   next = store_get(sizeof(header_line));
2014   next->text = store_get(header_size);
2015   ptr = 0;
2016   had_zero = 0;
2017   prevlines_length = 0;
2018   }      /* Continue, starting to read the next header */
2019
2020 /* At this point, we have read all the headers into a data structure in main
2021 store. The first header is still the dummy placeholder for the Received: header
2022 we are going to generate a bit later on. If next != NULL, it contains the first
2023 data line - which terminated the headers before reaching a blank line (not the
2024 normal case). */
2025
2026 DEBUG(D_receive)
2027   {
2028   debug_printf(">>Headers received:\n");
2029   for (h = header_list->next; h != NULL; h = h->next)
2030     debug_printf("%s", h->text);
2031   debug_printf("\n");
2032   }
2033
2034 /* End of file on any SMTP connection is an error. If an incoming SMTP call
2035 is dropped immediately after valid headers, the next thing we will see is EOF.
2036 We must test for this specially, as further down the reading of the data is
2037 skipped if already at EOF. */
2038
2039 if (smtp_input && (receive_feof)())
2040   {
2041   smtp_reply = handle_lost_connection(US" (after header)");
2042   smtp_yield = FALSE;
2043   goto TIDYUP;                       /* Skip to end of function */
2044   }
2045
2046 /* If this is a filter test run and no headers were read, output a warning
2047 in case there is a mistake in the test message. */
2048
2049 if (filter_test != FTEST_NONE && header_list->next == NULL)
2050   printf("Warning: no message headers read\n");
2051
2052
2053 /* Scan the headers to identify them. Some are merely marked for later
2054 processing; some are dealt with here. */
2055
2056 for (h = header_list->next; h != NULL; h = h->next)
2057   {
2058   BOOL is_resent = strncmpic(h->text, US"resent-", 7) == 0;
2059   if (is_resent) contains_resent_headers = TRUE;
2060
2061   switch (header_checkname(h, is_resent))
2062     {
2063     case htype_bcc:
2064     h->type = htype_bcc;        /* Both Bcc: and Resent-Bcc: */
2065     break;
2066
2067     case htype_cc:
2068     h->type = htype_cc;         /* Both Cc: and Resent-Cc: */
2069     break;
2070
2071     /* Record whether a Date: or Resent-Date: header exists, as appropriate. */
2072
2073     case htype_date:
2074     if (!resents_exist || is_resent) date_header_exists = TRUE;
2075     break;
2076
2077     /* Same comments as about Return-Path: below. */
2078
2079     case htype_delivery_date:
2080     if (delivery_date_remove) h->type = htype_old;
2081     break;
2082
2083     /* Same comments as about Return-Path: below. */
2084
2085     case htype_envelope_to:
2086     if (envelope_to_remove) h->type = htype_old;
2087     break;
2088
2089     /* Mark all "From:" headers so they get rewritten. Save the one that is to
2090     be used for Sender: checking. For Sendmail compatibility, if the "From:"
2091     header consists of just the login id of the user who called Exim, rewrite
2092     it with the gecos field first. Apply this rule to Resent-From: if there
2093     are resent- fields. */
2094
2095     case htype_from:
2096     h->type = htype_from;
2097     if (!resents_exist || is_resent)
2098       {
2099       from_header = h;
2100       if (!smtp_input)
2101         {
2102         int len;
2103         uschar *s = Ustrchr(h->text, ':') + 1;
2104         while (isspace(*s)) s++;
2105         len = h->slen - (s - h->text) - 1;
2106         if (Ustrlen(originator_login) == len &&
2107             strncmpic(s, originator_login, len) == 0)
2108           {
2109           uschar *name = is_resent? US"Resent-From" : US"From";
2110           header_add(htype_from, "%s: %s <%s@%s>\n", name, originator_name,
2111             originator_login, qualify_domain_sender);
2112           from_header = header_last;
2113           h->type = htype_old;
2114           DEBUG(D_receive|D_rewrite)
2115             debug_printf("rewrote \"%s:\" header using gecos\n", name);
2116          }
2117         }
2118       }
2119     break;
2120
2121     /* Identify the Message-id: header for generating "in-reply-to" in the
2122     autoreply transport. For incoming logging, save any resent- value. In both
2123     cases, take just the first of any multiples. */
2124
2125     case htype_id:
2126     if (msgid_header == NULL && (!resents_exist || is_resent))
2127       {
2128       msgid_header = h;
2129       h->type = htype_id;
2130       }
2131     break;
2132
2133     /* Flag all Received: headers */
2134
2135     case htype_received:
2136     h->type = htype_received;
2137     received_count++;
2138     break;
2139
2140     /* "Reply-to:" is just noted (there is no resent-reply-to field) */
2141
2142     case htype_reply_to:
2143     h->type = htype_reply_to;
2144     break;
2145
2146     /* The Return-path: header is supposed to be added to messages when
2147     they leave the SMTP system. We shouldn't receive messages that already
2148     contain Return-path. However, since Exim generates Return-path: on
2149     local delivery, resent messages may well contain it. We therefore
2150     provide an option (which defaults on) to remove any Return-path: headers
2151     on input. Removal actually means flagging as "old", which prevents the
2152     header being transmitted with the message. */
2153
2154     case htype_return_path:
2155     if (return_path_remove) h->type = htype_old;
2156
2157     /* If we are testing a mail filter file, use the value of the
2158     Return-Path: header to set up the return_path variable, which is not
2159     otherwise set. However, remove any <> that surround the address
2160     because the variable doesn't have these. */
2161
2162     if (filter_test != FTEST_NONE)
2163       {
2164       uschar *start = h->text + 12;
2165       uschar *end = start + Ustrlen(start);
2166       while (isspace(*start)) start++;
2167       while (end > start && isspace(end[-1])) end--;
2168       if (*start == '<' && end[-1] == '>')
2169         {
2170         start++;
2171         end--;
2172         }
2173       return_path = string_copyn(start, end - start);
2174       printf("Return-path taken from \"Return-path:\" header line\n");
2175       }
2176     break;
2177
2178     /* If there is a "Sender:" header and the message is locally originated,
2179     and from an untrusted caller and suppress_local_fixups is not set, or if we
2180     are in submission mode for a remote message, mark it "old" so that it will
2181     not be transmitted with the message, unless active_local_sender_retain is
2182     set. (This can only be true if active_local_from_check is false.) If there
2183     are any resent- headers in the message, apply this rule to Resent-Sender:
2184     instead of Sender:. Messages with multiple resent- header sets cannot be
2185     tidily handled. (For this reason, at least one MUA - Pine - turns old
2186     resent- headers into X-resent- headers when resending, leaving just one
2187     set.) */
2188
2189     case htype_sender:
2190     h->type = ((!active_local_sender_retain &&
2191                 (
2192                 (sender_local && !trusted_caller && !suppress_local_fixups)
2193                   || submission_mode
2194                 )
2195                ) &&
2196                (!resents_exist||is_resent))?
2197       htype_old : htype_sender;
2198     break;
2199
2200     /* Remember the Subject: header for logging. There is no Resent-Subject */
2201
2202     case htype_subject:
2203     subject_header = h;
2204     break;
2205
2206     /* "To:" gets flagged, and the existence of a recipient header is noted,
2207     whether it's resent- or not. */
2208
2209     case htype_to:
2210     h->type = htype_to;
2211     /****
2212     to_or_cc_header_exists = TRUE;
2213     ****/
2214     break;
2215     }
2216   }
2217
2218 /* Extract recipients from the headers if that is required (the -t option).
2219 Note that this is documented as being done *before* any address rewriting takes
2220 place. There are two possibilities:
2221
2222 (1) According to sendmail documentation for Solaris, IRIX, and HP-UX, any
2223 recipients already listed are to be REMOVED from the message. Smail 3 works
2224 like this. We need to build a non-recipients tree for that list, because in
2225 subsequent processing this data is held in a tree and that's what the
2226 spool_write_header() function expects. Make sure that non-recipient addresses
2227 are fully qualified and rewritten if necessary.
2228
2229 (2) According to other sendmail documentation, -t ADDS extracted recipients to
2230 those in the command line arguments (and it is rumoured some other MTAs do
2231 this). Therefore, there is an option to make Exim behave this way.
2232
2233 *** Notes on "Resent-" header lines ***
2234
2235 The presence of resent-headers in the message makes -t horribly ambiguous.
2236 Experiments with sendmail showed that it uses recipients for all resent-
2237 headers, totally ignoring the concept of "sets of resent- headers" as described
2238 in RFC 2822 section 3.6.6. Sendmail also amalgamates them into a single set
2239 with all the addresses in one instance of each header.
2240
2241 This seems to me not to be at all sensible. Before release 4.20, Exim 4 gave an
2242 error for -t if there were resent- headers in the message. However, after a
2243 discussion on the mailing list, I've learned that there are MUAs that use
2244 resent- headers with -t, and also that the stuff about sets of resent- headers
2245 and their ordering in RFC 2822 is generally ignored. An MUA that submits a
2246 message with -t and resent- header lines makes sure that only *its* resent-
2247 headers are present; previous ones are often renamed as X-resent- for example.
2248
2249 Consequently, Exim has been changed so that, if any resent- header lines are
2250 present, the recipients are taken from all of the appropriate resent- lines,
2251 and not from the ordinary To:, Cc:, etc. */
2252
2253 if (extract_recip)
2254   {
2255   int rcount = 0;
2256   error_block **bnext = &bad_addresses;
2257
2258   if (extract_addresses_remove_arguments)
2259     {
2260     while (recipients_count-- > 0)
2261       {
2262       uschar *s = rewrite_address(recipients_list[recipients_count].address,
2263         TRUE, TRUE, global_rewrite_rules, rewrite_existflags);
2264       tree_add_nonrecipient(s);
2265       }
2266     recipients_list = NULL;
2267     recipients_count = recipients_list_max = 0;
2268     }
2269
2270   /* Now scan the headers */
2271
2272   for (h = header_list->next; h != NULL; h = h->next)
2273     {
2274     if ((h->type == htype_to || h->type == htype_cc || h->type == htype_bcc) &&
2275         (!contains_resent_headers || strncmpic(h->text, US"resent-", 7) == 0))
2276       {
2277       uschar *s = Ustrchr(h->text, ':') + 1;
2278       while (isspace(*s)) s++;
2279
2280       parse_allow_group = TRUE;          /* Allow address group syntax */
2281
2282       while (*s != 0)
2283         {
2284         uschar *ss = parse_find_address_end(s, FALSE);
2285         uschar *recipient, *errmess, *p, *pp;
2286         int start, end, domain;
2287
2288         /* Check on maximum */
2289
2290         if (recipients_max > 0 && ++rcount > recipients_max)
2291           {
2292           give_local_error(ERRMESS_TOOMANYRECIP, US"too many recipients",
2293             US"message rejected: ", error_rc, stdin, NULL);
2294           /* Does not return */
2295           }
2296
2297         /* Make a copy of the address, and remove any internal newlines. These
2298         may be present as a result of continuations of the header line. The
2299         white space that follows the newline must not be removed - it is part
2300         of the header. */
2301
2302         pp = recipient = store_get(ss - s + 1);
2303         for (p = s; p < ss; p++) if (*p != '\n') *pp++ = *p;
2304         *pp = 0;
2305
2306 #ifdef EXPERIMENTAL_INTERNATIONAL
2307         {
2308         BOOL b = allow_utf8_domains;
2309         allow_utf8_domains = TRUE;
2310 #endif
2311         recipient = parse_extract_address(recipient, &errmess, &start, &end,
2312           &domain, FALSE);
2313
2314 #ifdef EXPERIMENTAL_INTERNATIONAL
2315         if (string_is_utf8(recipient))
2316           message_smtputf8 = TRUE;
2317         else
2318           allow_utf8_domains = b;
2319         }
2320 #endif
2321
2322         /* Keep a list of all the bad addresses so we can send a single
2323         error message at the end. However, an empty address is not an error;
2324         just ignore it. This can come from an empty group list like
2325
2326           To: Recipients of list:;
2327
2328         If there are no recipients at all, an error will occur later. */
2329
2330         if (recipient == NULL && Ustrcmp(errmess, "empty address") != 0)
2331           {
2332           int len = Ustrlen(s);
2333           error_block *b = store_get(sizeof(error_block));
2334           while (len > 0 && isspace(s[len-1])) len--;
2335           b->next = NULL;
2336           b->text1 = string_printing(string_copyn(s, len));
2337           b->text2 = errmess;
2338           *bnext = b;
2339           bnext = &(b->next);
2340           }
2341
2342         /* If the recipient is already in the nonrecipients tree, it must
2343         have appeared on the command line with the option extract_addresses_
2344         remove_arguments set. Do not add it to the recipients, and keep a note
2345         that this has happened, in order to give a better error if there are
2346         no recipients left. */
2347
2348         else if (recipient != NULL)
2349           {
2350           if (tree_search(tree_nonrecipients, recipient) == NULL)
2351             receive_add_recipient(recipient, -1);
2352           else
2353             extracted_ignored = TRUE;
2354           }
2355
2356         /* Move on past this address */
2357
2358         s = ss + (*ss? 1:0);
2359         while (isspace(*s)) s++;
2360         }    /* Next address */
2361
2362       parse_allow_group = FALSE;      /* Reset group syntax flags */
2363       parse_found_group = FALSE;
2364
2365       /* If this was the bcc: header, mark it "old", which means it
2366       will be kept on the spool, but not transmitted as part of the
2367       message. */
2368
2369       if (h->type == htype_bcc) h->type = htype_old;
2370       }   /* For appropriate header line */
2371     }     /* For each header line */
2372
2373   }
2374
2375 /* Now build the unique message id. This has changed several times over the
2376 lifetime of Exim. This description was rewritten for Exim 4.14 (February 2003).
2377 Retaining all the history in the comment has become too unwieldy - read
2378 previous release sources if you want it.
2379
2380 The message ID has 3 parts: tttttt-pppppp-ss. Each part is a number in base 62.
2381 The first part is the current time, in seconds. The second part is the current
2382 pid. Both are large enough to hold 32-bit numbers in base 62. The third part
2383 can hold a number in the range 0-3843. It used to be a computed sequence
2384 number, but is now the fractional component of the current time in units of
2385 1/2000 of a second (i.e. a value in the range 0-1999). After a message has been
2386 received, Exim ensures that the timer has ticked at the appropriate level
2387 before proceeding, to avoid duplication if the pid happened to be re-used
2388 within the same time period. It seems likely that most messages will take at
2389 least half a millisecond to be received, so no delay will normally be
2390 necessary. At least for some time...
2391
2392 There is a modification when localhost_number is set. Formerly this was allowed
2393 to be as large as 255. Now it is restricted to the range 0-16, and the final
2394 component of the message id becomes (localhost_number * 200) + fractional time
2395 in units of 1/200 of a second (i.e. a value in the range 0-3399).
2396
2397 Some not-really-Unix operating systems use case-insensitive file names (Darwin,
2398 Cygwin). For these, we have to use base 36 instead of base 62. Luckily, this
2399 still allows the tttttt field to hold a large enough number to last for some
2400 more decades, and the final two-digit field can hold numbers up to 1295, which
2401 is enough for milliseconds (instead of 1/2000 of a second).
2402
2403 However, the pppppp field cannot hold a 32-bit pid, but it can hold a 31-bit
2404 pid, so it is probably safe because pids have to be positive. The
2405 localhost_number is restricted to 0-10 for these hosts, and when it is set, the
2406 final field becomes (localhost_number * 100) + fractional time in centiseconds.
2407
2408 Note that string_base62() returns its data in a static storage block, so it
2409 must be copied before calling string_base62() again. It always returns exactly
2410 6 characters.
2411
2412 There doesn't seem to be anything in the RFC which requires a message id to
2413 start with a letter, but Smail was changed to ensure this. The external form of
2414 the message id (as supplied by string expansion) therefore starts with an
2415 additional leading 'E'. The spool file names do not include this leading
2416 letter and it is not used internally.
2417
2418 NOTE: If ever the format of message ids is changed, the regular expression for
2419 checking that a string is in this format must be updated in a corresponding
2420 way. It appears in the initializing code in exim.c. The macro MESSAGE_ID_LENGTH
2421 must also be changed to reflect the correct string length. Then, of course,
2422 other programs that rely on the message id format will need updating too. */
2423
2424 Ustrncpy(message_id, string_base62((long int)(message_id_tv.tv_sec)), 6);
2425 message_id[6] = '-';
2426 Ustrncpy(message_id + 7, string_base62((long int)getpid()), 6);
2427
2428 /* Deal with the case where the host number is set. The value of the number was
2429 checked when it was read, to ensure it isn't too big. The timing granularity is
2430 left in id_resolution so that an appropriate wait can be done after receiving
2431 the message, if necessary (we hope it won't be). */
2432
2433 if (host_number_string != NULL)
2434   {
2435   id_resolution = (BASE_62 == 62)? 5000 : 10000;
2436   sprintf(CS(message_id + MESSAGE_ID_LENGTH - 3), "-%2s",
2437     string_base62((long int)(
2438       host_number * (1000000/id_resolution) +
2439         message_id_tv.tv_usec/id_resolution)) + 4);
2440   }
2441
2442 /* Host number not set: final field is just the fractional time at an
2443 appropriate resolution. */
2444
2445 else
2446   {
2447   id_resolution = (BASE_62 == 62)? 500 : 1000;
2448   sprintf(CS(message_id + MESSAGE_ID_LENGTH - 3), "-%2s",
2449     string_base62((long int)(message_id_tv.tv_usec/id_resolution)) + 4);
2450   }
2451
2452 /* Add the current message id onto the current process info string if
2453 it will fit. */
2454
2455 (void)string_format(process_info + process_info_len,
2456   PROCESS_INFO_SIZE - process_info_len, " id=%s", message_id);
2457
2458 /* If we are using multiple input directories, set up the one for this message
2459 to be the least significant base-62 digit of the time of arrival. Otherwise
2460 ensure that it is an empty string. */
2461
2462 message_subdir[0] = split_spool_directory? message_id[5] : 0;
2463
2464 /* Now that we have the message-id, if there is no message-id: header, generate
2465 one, but only for local (without suppress_local_fixups) or submission mode
2466 messages. This can be user-configured if required, but we had better flatten
2467 any illegal characters therein. */
2468
2469 if (msgid_header == NULL &&
2470       ((sender_host_address == NULL && !suppress_local_fixups)
2471         || submission_mode))
2472   {
2473   uschar *p;
2474   uschar *id_text = US"";
2475   uschar *id_domain = primary_hostname;
2476
2477   /* Permit only letters, digits, dots, and hyphens in the domain */
2478
2479   if (message_id_domain != NULL)
2480     {
2481     uschar *new_id_domain = expand_string(message_id_domain);
2482     if (new_id_domain == NULL)
2483       {
2484       if (!expand_string_forcedfail)
2485         log_write(0, LOG_MAIN|LOG_PANIC,
2486           "expansion of \"%s\" (message_id_header_domain) "
2487           "failed: %s", message_id_domain, expand_string_message);
2488       }
2489     else if (*new_id_domain != 0)
2490       {
2491       id_domain = new_id_domain;
2492       for (p = id_domain; *p != 0; p++)
2493         if (!isalnum(*p) && *p != '.') *p = '-';  /* No need to test '-' ! */
2494       }
2495     }
2496
2497   /* Permit all characters except controls and RFC 2822 specials in the
2498   additional text part. */
2499
2500   if (message_id_text != NULL)
2501     {
2502     uschar *new_id_text = expand_string(message_id_text);
2503     if (new_id_text == NULL)
2504       {
2505       if (!expand_string_forcedfail)
2506         log_write(0, LOG_MAIN|LOG_PANIC,
2507           "expansion of \"%s\" (message_id_header_text) "
2508           "failed: %s", message_id_text, expand_string_message);
2509       }
2510     else if (*new_id_text != 0)
2511       {
2512       id_text = new_id_text;
2513       for (p = id_text; *p != 0; p++)
2514         if (mac_iscntrl_or_special(*p)) *p = '-';
2515       }
2516     }
2517
2518   /* Add the header line
2519    * Resent-* headers are prepended, per RFC 5322 3.6.6.  Non-Resent-* are
2520    * appended, to preserve classical expectations of header ordering. */
2521
2522   header_add_at_position(!resents_exist, NULL, FALSE, htype_id,
2523     "%sMessage-Id: <%s%s%s@%s>\n", resent_prefix, message_id_external,
2524     (*id_text == 0)? "" : ".", id_text, id_domain);
2525   }
2526
2527 /* If we are to log recipients, keep a copy of the raw ones before any possible
2528 rewriting. Must copy the count, because later ACLs and the local_scan()
2529 function may mess with the real recipients. */
2530
2531 if (LOGGING(received_recipients))
2532   {
2533   raw_recipients = store_get(recipients_count * sizeof(uschar *));
2534   for (i = 0; i < recipients_count; i++)
2535     raw_recipients[i] = string_copy(recipients_list[i].address);
2536   raw_recipients_count = recipients_count;
2537   }
2538
2539 /* Ensure the recipients list is fully qualified and rewritten. Unqualified
2540 recipients will get here only if the conditions were right (allow_unqualified_
2541 recipient is TRUE). */
2542
2543 for (i = 0; i < recipients_count; i++)
2544   recipients_list[i].address =
2545     rewrite_address(recipients_list[i].address, TRUE, TRUE,
2546       global_rewrite_rules, rewrite_existflags);
2547
2548 /* If there is no From: header, generate one for local (without
2549 suppress_local_fixups) or submission_mode messages. If there is no sender
2550 address, but the sender is local or this is a local delivery error, use the
2551 originator login. This shouldn't happen for genuine bounces, but might happen
2552 for autoreplies. The addition of From: must be done *before* checking for the
2553 possible addition of a Sender: header, because untrusted_set_sender allows an
2554 untrusted user to set anything in the envelope (which might then get info
2555 From:) but we still want to ensure a valid Sender: if it is required. */
2556
2557 if (from_header == NULL &&
2558     ((sender_host_address == NULL && !suppress_local_fixups)
2559       || submission_mode))
2560   {
2561   uschar *oname = US"";
2562
2563   /* Use the originator_name if this is a locally submitted message and the
2564   caller is not trusted. For trusted callers, use it only if -F was used to
2565   force its value or if we have a non-SMTP message for which -f was not used
2566   to set the sender. */
2567
2568   if (sender_host_address == NULL)
2569     {
2570     if (!trusted_caller || sender_name_forced ||
2571          (!smtp_input && !sender_address_forced))
2572       oname = originator_name;
2573     }
2574
2575   /* For non-locally submitted messages, the only time we use the originator
2576   name is when it was forced by the /name= option on control=submission. */
2577
2578   else
2579     {
2580     if (submission_name != NULL) oname = submission_name;
2581     }
2582
2583   /* Envelope sender is empty */
2584
2585   if (sender_address[0] == 0)
2586     {
2587     uschar *fromstart, *fromend;
2588
2589     fromstart = string_sprintf("%sFrom: %s%s", resent_prefix,
2590       oname, (oname[0] == 0)? "" : " <");
2591     fromend = (oname[0] == 0)? US"" : US">";
2592
2593     if (sender_local || local_error_message)
2594       {
2595       header_add(htype_from, "%s%s@%s%s\n", fromstart,
2596         local_part_quote(originator_login), qualify_domain_sender,
2597         fromend);
2598       }
2599     else if (submission_mode && authenticated_id != NULL)
2600       {
2601       if (submission_domain == NULL)
2602         {
2603         header_add(htype_from, "%s%s@%s%s\n", fromstart,
2604           local_part_quote(authenticated_id), qualify_domain_sender,
2605           fromend);
2606         }
2607       else if (submission_domain[0] == 0)  /* empty => whole address set */
2608         {
2609         header_add(htype_from, "%s%s%s\n", fromstart, authenticated_id,
2610           fromend);
2611         }
2612       else
2613         {
2614         header_add(htype_from, "%s%s@%s%s\n", fromstart,
2615           local_part_quote(authenticated_id), submission_domain,
2616           fromend);
2617         }
2618       from_header = header_last;    /* To get it checked for Sender: */
2619       }
2620     }
2621
2622   /* There is a non-null envelope sender. Build the header using the original
2623   sender address, before any rewriting that might have been done while
2624   verifying it. */
2625
2626   else
2627     {
2628     header_add(htype_from, "%sFrom: %s%s%s%s\n", resent_prefix,
2629       oname,
2630       (oname[0] == 0)? "" : " <",
2631       (sender_address_unrewritten == NULL)?
2632         sender_address : sender_address_unrewritten,
2633       (oname[0] == 0)? "" : ">");
2634
2635     from_header = header_last;    /* To get it checked for Sender: */
2636     }
2637   }
2638
2639
2640 /* If the sender is local (without suppress_local_fixups), or if we are in
2641 submission mode and there is an authenticated_id, check that an existing From:
2642 is correct, and if not, generate a Sender: header, unless disabled. Any
2643 previously-existing Sender: header was removed above. Note that sender_local,
2644 as well as being TRUE if the caller of exim is not trusted, is also true if a
2645 trusted caller did not supply a -f argument for non-smtp input. To allow
2646 trusted callers to forge From: without supplying -f, we have to test explicitly
2647 here. If the From: header contains more than one address, then the call to
2648 parse_extract_address fails, and a Sender: header is inserted, as required. */
2649
2650 if (from_header != NULL &&
2651      (active_local_from_check &&
2652        ((sender_local && !trusted_caller && !suppress_local_fixups) ||
2653         (submission_mode && authenticated_id != NULL))
2654      ))
2655   {
2656   BOOL make_sender = TRUE;
2657   int start, end, domain;
2658   uschar *errmess;
2659   uschar *from_address =
2660     parse_extract_address(Ustrchr(from_header->text, ':') + 1, &errmess,
2661       &start, &end, &domain, FALSE);
2662   uschar *generated_sender_address;
2663
2664   if (submission_mode)
2665     {
2666     if (submission_domain == NULL)
2667       {
2668       generated_sender_address = string_sprintf("%s@%s",
2669         local_part_quote(authenticated_id), qualify_domain_sender);
2670       }
2671     else if (submission_domain[0] == 0)  /* empty => full address */
2672       {
2673       generated_sender_address = string_sprintf("%s",
2674         authenticated_id);
2675       }
2676     else
2677       {
2678       generated_sender_address = string_sprintf("%s@%s",
2679         local_part_quote(authenticated_id), submission_domain);
2680       }
2681     }
2682   else
2683     generated_sender_address = string_sprintf("%s@%s",
2684       local_part_quote(originator_login), qualify_domain_sender);
2685
2686   /* Remove permitted prefixes and suffixes from the local part of the From:
2687   address before doing the comparison with the generated sender. */
2688
2689   if (from_address != NULL)
2690     {
2691     int slen;
2692     uschar *at = (domain == 0)? NULL : from_address + domain - 1;
2693
2694     if (at != NULL) *at = 0;
2695     from_address += route_check_prefix(from_address, local_from_prefix);
2696     slen = route_check_suffix(from_address, local_from_suffix);
2697     if (slen > 0)
2698       {
2699       memmove(from_address+slen, from_address, Ustrlen(from_address)-slen);
2700       from_address += slen;
2701       }
2702     if (at != NULL) *at = '@';
2703
2704     if (strcmpic(generated_sender_address, from_address) == 0 ||
2705       (domain == 0 && strcmpic(from_address, originator_login) == 0))
2706         make_sender = FALSE;
2707     }
2708
2709   /* We have to cause the Sender header to be rewritten if there are
2710   appropriate rewriting rules. */
2711
2712   if (make_sender)
2713     {
2714     if (submission_mode && submission_name == NULL)
2715       header_add(htype_sender, "%sSender: %s\n", resent_prefix,
2716         generated_sender_address);
2717     else
2718       header_add(htype_sender, "%sSender: %s <%s>\n",
2719         resent_prefix,
2720         submission_mode? submission_name : originator_name,
2721         generated_sender_address);
2722     }
2723
2724   /* Ensure that a non-null envelope sender address corresponds to the
2725   submission mode sender address. */
2726
2727   if (submission_mode && sender_address[0] != 0)
2728     {
2729     if (sender_address_unrewritten == NULL)
2730       sender_address_unrewritten = sender_address;
2731     sender_address = generated_sender_address;
2732     if (Ustrcmp(sender_address_unrewritten, generated_sender_address) != 0)
2733       log_write(L_address_rewrite, LOG_MAIN,
2734         "\"%s\" from env-from rewritten as \"%s\" by submission mode",
2735         sender_address_unrewritten, generated_sender_address);
2736     }
2737   }
2738
2739 /* If there are any rewriting rules, apply them to the sender address, unless
2740 it has already been rewritten as part of verification for SMTP input. */
2741
2742 if (global_rewrite_rules != NULL && sender_address_unrewritten == NULL &&
2743     sender_address[0] != 0)
2744   {
2745   sender_address = rewrite_address(sender_address, FALSE, TRUE,
2746     global_rewrite_rules, rewrite_existflags);
2747   DEBUG(D_receive|D_rewrite)
2748     debug_printf("rewritten sender = %s\n", sender_address);
2749   }
2750
2751
2752 /* The headers must be run through rewrite_header(), because it ensures that
2753 addresses are fully qualified, as well as applying any rewriting rules that may
2754 exist.
2755
2756 Qualification of header addresses in a message from a remote host happens only
2757 if the host is in sender_unqualified_hosts or recipient_unqualified hosts, as
2758 appropriate. For local messages, qualification always happens, unless -bnq is
2759 used to explicitly suppress it. No rewriting is done for an unqualified address
2760 that is left untouched.
2761
2762 We start at the second header, skipping our own Received:. This rewriting is
2763 documented as happening *after* recipient addresses are taken from the headers
2764 by the -t command line option. An added Sender: gets rewritten here. */
2765
2766 for (h = header_list->next; h != NULL; h = h->next)
2767   {
2768   header_line *newh = rewrite_header(h, NULL, NULL, global_rewrite_rules,
2769     rewrite_existflags, TRUE);
2770   if (newh != NULL) h = newh;
2771   }
2772
2773
2774 /* An RFC 822 (sic) message is not legal unless it has at least one of "to",
2775 "cc", or "bcc". Note that although the minimal examples in RFC 822 show just
2776 "to" or "bcc", the full syntax spec allows "cc" as well. If any resent- header
2777 exists, this applies to the set of resent- headers rather than the normal set.
2778
2779 The requirement for a recipient header has been removed in RFC 2822. At this
2780 point in the code, earlier versions of Exim added a To: header for locally
2781 submitted messages, and an empty Bcc: header for others. In the light of the
2782 changes in RFC 2822, this was dropped in November 2003. */
2783
2784
2785 /* If there is no date header, generate one if the message originates locally
2786 (i.e. not over TCP/IP) and suppress_local_fixups is not set, or if the
2787 submission mode flag is set. Messages without Date: are not valid, but it seems
2788 to be more confusing if Exim adds one to all remotely-originated messages.
2789 As per Message-Id, we prepend if resending, else append.
2790 */
2791
2792 if (!date_header_exists &&
2793       ((sender_host_address == NULL && !suppress_local_fixups)
2794         || submission_mode))
2795   header_add_at_position(!resents_exist, NULL, FALSE, htype_other,
2796     "%sDate: %s\n", resent_prefix, tod_stamp(tod_full));
2797
2798 search_tidyup();    /* Free any cached resources */
2799
2800 /* Show the complete set of headers if debugging. Note that the first one (the
2801 new Received:) has not yet been set. */
2802
2803 DEBUG(D_receive)
2804   {
2805   debug_printf(">>Headers after rewriting and local additions:\n");
2806   for (h = header_list->next; h != NULL; h = h->next)
2807     debug_printf("%c %s", h->type, h->text);
2808   debug_printf("\n");
2809   }
2810
2811 /* The headers are now complete in store. If we are running in filter
2812 testing mode, that is all this function does. Return TRUE if the message
2813 ended with a dot. */
2814
2815 if (filter_test != FTEST_NONE)
2816   {
2817   process_info[process_info_len] = 0;
2818   return message_ended == END_DOT;
2819   }
2820
2821 /* Cutthrough delivery:
2822 We have to create the Received header now rather than at the end of reception,
2823 so the timestamp behaviour is a change to the normal case.
2824 XXX Ensure this gets documented XXX.
2825 Having created it, send the headers to the destination. */
2826 if (cutthrough.fd >= 0)
2827   {
2828   if (received_count > received_headers_max)
2829     {
2830     cancel_cutthrough_connection("too many headers");
2831     if (smtp_input) receive_swallow_smtp();  /* Swallow incoming SMTP */
2832     log_write(0, LOG_MAIN|LOG_REJECT, "rejected from <%s>%s%s%s%s: "
2833       "Too many \"Received\" headers",
2834       sender_address,
2835       (sender_fullhost == NULL)? "" : " H=",
2836       (sender_fullhost == NULL)? US"" : sender_fullhost,
2837       (sender_ident == NULL)? "" : " U=",
2838       (sender_ident == NULL)? US"" : sender_ident);
2839     message_id[0] = 0;                       /* Indicate no message accepted */
2840     smtp_reply = US"550 Too many \"Received\" headers - suspected mail loop";
2841     goto TIDYUP;                             /* Skip to end of function */
2842     }
2843   received_header_gen();
2844   add_acl_headers(ACL_WHERE_RCPT, US"MAIL or RCPT");
2845   (void) cutthrough_headers_send();
2846   }
2847
2848
2849 /* Open a new spool file for the data portion of the message. We need
2850 to access it both via a file descriptor and a stream. Try to make the
2851 directory if it isn't there. Note re use of sprintf: spool_directory
2852 is checked on input to be < 200 characters long. */
2853
2854 sprintf(CS spool_name, "%s/input/%s/%s-D", spool_directory, message_subdir,
2855   message_id);
2856 data_fd = Uopen(spool_name, O_RDWR|O_CREAT|O_EXCL, SPOOL_MODE);
2857 if (data_fd < 0)
2858   {
2859   if (errno == ENOENT)
2860     {
2861     uschar temp[16];
2862     sprintf(CS temp, "input/%s", message_subdir);
2863     if (message_subdir[0] == 0) temp[5] = 0;
2864     (void)directory_make(spool_directory, temp, INPUT_DIRECTORY_MODE, TRUE);
2865     data_fd = Uopen(spool_name, O_RDWR|O_CREAT|O_EXCL, SPOOL_MODE);
2866     }
2867   if (data_fd < 0)
2868     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to create spool file %s: %s",
2869       spool_name, strerror(errno));
2870   }
2871
2872 /* Make sure the file's group is the Exim gid, and double-check the mode
2873 because the group setting doesn't always get set automatically. */
2874
2875 if (fchown(data_fd, exim_uid, exim_gid))
2876   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
2877     "Failed setting ownership on spool file %s: %s",
2878     spool_name, strerror(errno));
2879 (void)fchmod(data_fd, SPOOL_MODE);
2880
2881 /* We now have data file open. Build a stream for it and lock it. We lock only
2882 the first line of the file (containing the message ID) because otherwise there
2883 are problems when Exim is run under Cygwin (I'm told). See comments in
2884 spool_in.c, where the same locking is done. */
2885
2886 data_file = fdopen(data_fd, "w+");
2887 lock_data.l_type = F_WRLCK;
2888 lock_data.l_whence = SEEK_SET;
2889 lock_data.l_start = 0;
2890 lock_data.l_len = SPOOL_DATA_START_OFFSET;
2891
2892 if (fcntl(data_fd, F_SETLK, &lock_data) < 0)
2893   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Cannot lock %s (%d): %s", spool_name,
2894     errno, strerror(errno));
2895
2896 /* We have an open, locked data file. Write the message id to it to make it
2897 self-identifying. Then read the remainder of the input of this message and
2898 write it to the data file. If the variable next != NULL, it contains the first
2899 data line (which was read as a header but then turned out not to have the right
2900 format); write it (remembering that it might contain binary zeros). The result
2901 of fwrite() isn't inspected; instead we call ferror() below. */
2902
2903 fprintf(data_file, "%s-D\n", message_id);
2904 if (next != NULL)
2905   {
2906   uschar *s = next->text;
2907   int len = next->slen;
2908   len = fwrite(s, 1, len, data_file);  len = len; /* compiler quietening */
2909   body_linecount++;                 /* Assumes only 1 line */
2910   }
2911
2912 /* Note that we might already be at end of file, or the logical end of file
2913 (indicated by '.'), or might have encountered an error while writing the
2914 message id or "next" line. */
2915
2916 if (!ferror(data_file) && !(receive_feof)() && message_ended != END_DOT)
2917   {
2918   if (smtp_input)
2919     {
2920     message_ended = read_message_data_smtp(data_file);
2921     receive_linecount++;                /* The terminating "." line */
2922     }
2923   else message_ended = read_message_data(data_file);
2924
2925   receive_linecount += body_linecount;  /* For BSMTP errors mainly */
2926   message_linecount += body_linecount;
2927
2928   /* Handle premature termination of SMTP */
2929
2930   if (smtp_input && message_ended == END_EOF)
2931     {
2932     Uunlink(spool_name);                     /* Lose data file when closed */
2933     cancel_cutthrough_connection("sender closed connection");
2934     message_id[0] = 0;                       /* Indicate no message accepted */
2935     smtp_reply = handle_lost_connection(US"");
2936     smtp_yield = FALSE;
2937     goto TIDYUP;                             /* Skip to end of function */
2938     }
2939
2940   /* Handle message that is too big. Don't use host_or_ident() in the log
2941   message; we want to see the ident value even for non-remote messages. */
2942
2943   if (message_ended == END_SIZE)
2944     {
2945     Uunlink(spool_name);                /* Lose the data file when closed */
2946     cancel_cutthrough_connection("mail too big");
2947     if (smtp_input) receive_swallow_smtp();  /* Swallow incoming SMTP */
2948
2949     log_write(L_size_reject, LOG_MAIN|LOG_REJECT, "rejected from <%s>%s%s%s%s: "
2950       "message too big: read=%d max=%d",
2951       sender_address,
2952       (sender_fullhost == NULL)? "" : " H=",
2953       (sender_fullhost == NULL)? US"" : sender_fullhost,
2954       (sender_ident == NULL)? "" : " U=",
2955       (sender_ident == NULL)? US"" : sender_ident,
2956       message_size,
2957       thismessage_size_limit);
2958
2959     if (smtp_input)
2960       {
2961       smtp_reply = US"552 Message size exceeds maximum permitted";
2962       message_id[0] = 0;               /* Indicate no message accepted */
2963       goto TIDYUP;                     /* Skip to end of function */
2964       }
2965     else
2966       {
2967       fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
2968       give_local_error(ERRMESS_TOOBIG,
2969         string_sprintf("message too big (max=%d)", thismessage_size_limit),
2970         US"message rejected: ", error_rc, data_file, header_list);
2971       /* Does not return */
2972       }
2973     }
2974   }
2975
2976 /* Restore the standard SIGALRM handler for any subsequent processing. (For
2977 example, there may be some expansion in an ACL that uses a timer.) */
2978
2979 os_non_restarting_signal(SIGALRM, sigalrm_handler);
2980
2981 /* The message body has now been read into the data file. Call fflush() to
2982 empty the buffers in C, and then call fsync() to get the data written out onto
2983 the disk, as fflush() doesn't do this (or at least, it isn't documented as
2984 having to do this). If there was an I/O error on either input or output,
2985 attempt to send an error message, and unlink the spool file. For non-SMTP input
2986 we can then give up. Note that for SMTP input we must swallow the remainder of
2987 the input in cases of output errors, since the far end doesn't expect to see
2988 anything until the terminating dot line is sent. */
2989
2990 if (fflush(data_file) == EOF || ferror(data_file) ||
2991     EXIMfsync(fileno(data_file)) < 0 || (receive_ferror)())
2992   {
2993   uschar *msg_errno = US strerror(errno);
2994   BOOL input_error = (receive_ferror)() != 0;
2995   uschar *msg = string_sprintf("%s error (%s) while receiving message from %s",
2996     input_error? "Input read" : "Spool write",
2997     msg_errno,
2998     (sender_fullhost != NULL)? sender_fullhost : sender_ident);
2999
3000   log_write(0, LOG_MAIN, "Message abandoned: %s", msg);
3001   Uunlink(spool_name);                /* Lose the data file */
3002   cancel_cutthrough_connection("error writing spoolfile");
3003
3004   if (smtp_input)
3005     {
3006     if (input_error)
3007       smtp_reply = US"451 Error while reading input data";
3008     else
3009       {
3010       smtp_reply = US"451 Error while writing spool file";
3011       receive_swallow_smtp();
3012       }
3013     message_id[0] = 0;               /* Indicate no message accepted */
3014     goto TIDYUP;                     /* Skip to end of function */
3015     }
3016
3017   else
3018     {
3019     fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3020     give_local_error(ERRMESS_IOERR, msg, US"", error_rc, data_file,
3021       header_list);
3022     /* Does not return */
3023     }
3024   }
3025
3026
3027 /* No I/O errors were encountered while writing the data file. */
3028
3029 DEBUG(D_receive) debug_printf("Data file written for message %s\n", message_id);
3030
3031
3032 /* If there were any bad addresses extracted by -t, or there were no recipients
3033 left after -t, send a message to the sender of this message, or write it to
3034 stderr if the error handling option is set that way. Note that there may
3035 legitimately be no recipients for an SMTP message if they have all been removed
3036 by "discard".
3037
3038 We need to rewind the data file in order to read it. In the case of no
3039 recipients or stderr error writing, throw the data file away afterwards, and
3040 exit. (This can't be SMTP, which always ensures there's at least one
3041 syntactically good recipient address.) */
3042
3043 if (extract_recip && (bad_addresses != NULL || recipients_count == 0))
3044   {
3045   DEBUG(D_receive)
3046     {
3047     if (recipients_count == 0) debug_printf("*** No recipients\n");
3048     if (bad_addresses != NULL)
3049       {
3050       error_block *eblock = bad_addresses;
3051       debug_printf("*** Bad address(es)\n");
3052       while (eblock != NULL)
3053         {
3054         debug_printf("  %s: %s\n", eblock->text1, eblock->text2);
3055         eblock = eblock->next;
3056         }
3057       }
3058     }
3059
3060   fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3061
3062   /* If configured to send errors to the sender, but this fails, force
3063   a failure error code. We use a special one for no recipients so that it
3064   can be detected by the autoreply transport. Otherwise error_rc is set to
3065   errors_sender_rc, which is EXIT_FAILURE unless -oee was given, in which case
3066   it is EXIT_SUCCESS. */
3067
3068   if (error_handling == ERRORS_SENDER)
3069     {
3070     if (!moan_to_sender(
3071           (bad_addresses == NULL)?
3072             (extracted_ignored? ERRMESS_IGADDRESS : ERRMESS_NOADDRESS) :
3073           (recipients_list == NULL)? ERRMESS_BADNOADDRESS : ERRMESS_BADADDRESS,
3074           bad_addresses, header_list, data_file, FALSE))
3075       error_rc = (bad_addresses == NULL)? EXIT_NORECIPIENTS : EXIT_FAILURE;
3076     }
3077   else
3078     {
3079     if (bad_addresses == NULL)
3080       {
3081       if (extracted_ignored)
3082         fprintf(stderr, "exim: all -t recipients overridden by command line\n");
3083       else
3084         fprintf(stderr, "exim: no recipients in message\n");
3085       }
3086     else
3087       {
3088       fprintf(stderr, "exim: invalid address%s",
3089         (bad_addresses->next == NULL)? ":" : "es:\n");
3090       while (bad_addresses != NULL)
3091         {
3092         fprintf(stderr, "  %s: %s\n", bad_addresses->text1,
3093           bad_addresses->text2);
3094         bad_addresses = bad_addresses->next;
3095         }
3096       }
3097     }
3098
3099   if (recipients_count == 0 || error_handling == ERRORS_STDERR)
3100     {
3101     Uunlink(spool_name);
3102     (void)fclose(data_file);
3103     exim_exit(error_rc);
3104     }
3105   }
3106
3107 /* Data file successfully written. Generate text for the Received: header by
3108 expanding the configured string, and adding a timestamp. By leaving this
3109 operation till now, we ensure that the timestamp is the time that message
3110 reception was completed. However, this is deliberately done before calling the
3111 data ACL and local_scan().
3112
3113 This Received: header may therefore be inspected by the data ACL and by code in
3114 the local_scan() function. When they have run, we update the timestamp to be
3115 the final time of reception.
3116
3117 If there is just one recipient, set up its value in the $received_for variable
3118 for use when we generate the Received: header.
3119
3120 Note: the checking for too many Received: headers is handled by the delivery
3121 code. */
3122 /*XXX eventually add excess Received: check for cutthrough case back when classifying them */
3123
3124 if (received_header->text == NULL)      /* Non-cutthrough case */
3125   {
3126   received_header_gen();
3127
3128   /* Set the value of message_body_size for the DATA ACL and for local_scan() */
3129
3130   message_body_size = (fstat(data_fd, &statbuf) == 0)?
3131     statbuf.st_size - SPOOL_DATA_START_OFFSET : -1;
3132
3133   /* If an ACL from any RCPT commands set up any warning headers to add, do so
3134   now, before running the DATA ACL. */
3135
3136   add_acl_headers(ACL_WHERE_RCPT, US"MAIL or RCPT");
3137   }
3138 else
3139   message_body_size = (fstat(data_fd, &statbuf) == 0)?
3140     statbuf.st_size - SPOOL_DATA_START_OFFSET : -1;
3141
3142 /* If an ACL is specified for checking things at this stage of reception of a
3143 message, run it, unless all the recipients were removed by "discard" in earlier
3144 ACLs. That is the only case in which recipients_count can be zero at this
3145 stage. Set deliver_datafile to point to the data file so that $message_body and
3146 $message_body_end can be extracted if needed. Allow $recipients in expansions.
3147 */
3148
3149 deliver_datafile = data_fd;
3150 user_msg = NULL;
3151
3152 enable_dollar_recipients = TRUE;
3153
3154 if (recipients_count == 0)
3155   {
3156   blackholed_by = recipients_discarded? US"MAIL ACL" : US"RCPT ACL";
3157   }
3158 else
3159   {
3160   /* Handle interactive SMTP messages */
3161
3162   if (smtp_input && !smtp_batched_input)
3163     {
3164
3165 #ifndef DISABLE_DKIM
3166     if (!dkim_disable_verify)
3167       {
3168       /* Finish verification, this will log individual signature results to
3169          the mainlog */
3170       dkim_exim_verify_finish();
3171
3172       /* Check if we must run the DKIM ACL */
3173       if ((acl_smtp_dkim != NULL) &&
3174           (dkim_verify_signers != NULL) &&
3175           (dkim_verify_signers[0] != '\0'))
3176         {
3177         uschar *dkim_verify_signers_expanded =
3178           expand_string(dkim_verify_signers);
3179         if (dkim_verify_signers_expanded == NULL)
3180           {
3181           log_write(0, LOG_MAIN|LOG_PANIC,
3182             "expansion of dkim_verify_signers option failed: %s",
3183             expand_string_message);
3184           }
3185         else
3186           {
3187           int sep = 0;
3188           const uschar *ptr = dkim_verify_signers_expanded;
3189           uschar *item = NULL;
3190           uschar *seen_items = NULL;
3191           int     seen_items_size = 0;
3192           int     seen_items_offset = 0;
3193           uschar itembuf[256];
3194           /* Default to OK when no items are present */
3195           rc = OK;
3196           while ((item = string_nextinlist(&ptr, &sep,
3197                                            itembuf,
3198                                            sizeof(itembuf))))
3199             {
3200             /* Prevent running ACL for an empty item */
3201             if (!item || (item[0] == '\0')) continue;
3202
3203             /* Only run ACL once for each domain or identity,
3204             no matter how often it appears in the expanded list. */
3205             if (seen_items)
3206               {
3207               uschar *seen_item = NULL;
3208               uschar seen_item_buf[256];
3209               const uschar *seen_items_list = seen_items;
3210               BOOL seen_this_item = FALSE;
3211
3212               while ((seen_item = string_nextinlist(&seen_items_list, &sep,
3213                                                     seen_item_buf,
3214                                                     sizeof(seen_item_buf))))
3215                 if (Ustrcmp(seen_item,item) == 0)
3216                   {
3217                   seen_this_item = TRUE;
3218                   break;
3219                   }
3220
3221               if (seen_this_item)
3222                 {
3223                 DEBUG(D_receive)
3224                   debug_printf("acl_smtp_dkim: skipping signer %s, "
3225                     "already seen\n", item);
3226                 continue;
3227                 }
3228
3229               seen_items = string_append(seen_items, &seen_items_size,
3230                 &seen_items_offset, 1, ":");
3231               }
3232
3233             seen_items = string_append(seen_items, &seen_items_size,
3234               &seen_items_offset, 1, item);
3235             seen_items[seen_items_offset] = '\0';
3236
3237             DEBUG(D_receive)
3238               debug_printf("calling acl_smtp_dkim for dkim_cur_signer=%s\n",
3239                 item);
3240
3241             dkim_exim_acl_setup(item);
3242             rc = acl_check(ACL_WHERE_DKIM, NULL, acl_smtp_dkim,
3243                   &user_msg, &log_msg);
3244
3245             if (rc != OK)
3246               {
3247               DEBUG(D_receive)
3248                 debug_printf("acl_smtp_dkim: acl_check returned %d on %s, "
3249                   "skipping remaining items\n", rc, item);
3250               cancel_cutthrough_connection("dkim acl not ok");
3251               break;
3252               }
3253             }
3254           add_acl_headers(ACL_WHERE_DKIM, US"DKIM");
3255           if (rc == DISCARD)
3256             {
3257             recipients_count = 0;
3258             blackholed_by = US"DKIM ACL";
3259             if (log_msg != NULL)
3260               blackhole_log_msg = string_sprintf(": %s", log_msg);
3261             }
3262           else if (rc != OK)
3263             {
3264             Uunlink(spool_name);
3265             if (smtp_handle_acl_fail(ACL_WHERE_DKIM, rc, user_msg, log_msg) != 0)
3266               smtp_yield = FALSE;    /* No more messsages after dropped connection */
3267             smtp_reply = US"";       /* Indicate reply already sent */
3268             message_id[0] = 0;       /* Indicate no message accepted */
3269             goto TIDYUP;             /* Skip to end of function */
3270             }
3271           }
3272         }
3273       }
3274 #endif /* DISABLE_DKIM */
3275
3276 #ifdef WITH_CONTENT_SCAN
3277     if (recipients_count > 0 &&
3278         acl_smtp_mime != NULL &&
3279         !run_mime_acl(acl_smtp_mime, &smtp_yield, &smtp_reply, &blackholed_by))
3280       goto TIDYUP;
3281 #endif /* WITH_CONTENT_SCAN */
3282
3283 #ifdef EXPERIMENTAL_DMARC
3284     dmarc_up = dmarc_store_data(from_header);
3285 #endif /* EXPERIMENTAL_DMARC */
3286
3287 #ifndef DISABLE_PRDR
3288     if (prdr_requested && recipients_count > 1 && acl_smtp_data_prdr)
3289       {
3290       unsigned int c;
3291       int all_pass = OK;
3292       int all_fail = FAIL;
3293
3294       smtp_printf("353 PRDR content analysis beginning\r\n");
3295       /* Loop through recipients, responses must be in same order received */
3296       for (c = 0; recipients_count > c; c++)
3297         {
3298         uschar * addr= recipients_list[c].address;
3299         uschar * msg= US"PRDR R=<%s> %s";
3300         uschar * code;
3301         DEBUG(D_receive)
3302           debug_printf("PRDR processing recipient %s (%d of %d)\n",
3303                        addr, c+1, recipients_count);
3304         rc = acl_check(ACL_WHERE_PRDR, addr,
3305                        acl_smtp_data_prdr, &user_msg, &log_msg);
3306
3307         /* If any recipient rejected content, indicate it in final message */
3308         all_pass |= rc;
3309         /* If all recipients rejected, indicate in final message */
3310         all_fail &= rc;
3311
3312         switch (rc)
3313           {
3314           case OK: case DISCARD: code = US"250"; break;
3315           case DEFER:            code = US"450"; break;
3316           default:               code = US"550"; break;
3317           }
3318         if (user_msg != NULL)
3319           smtp_user_msg(code, user_msg);
3320         else
3321           {
3322           switch (rc)
3323             {
3324             case OK: case DISCARD:
3325               msg = string_sprintf(CS msg, addr, "acceptance");        break;
3326             case DEFER:
3327               msg = string_sprintf(CS msg, addr, "temporary refusal"); break;
3328             default:
3329               msg = string_sprintf(CS msg, addr, "refusal");           break;
3330             }
3331           smtp_user_msg(code, msg);
3332           }
3333         if (log_msg)       log_write(0, LOG_MAIN, "PRDR %s %s", addr, log_msg);
3334         else if (user_msg) log_write(0, LOG_MAIN, "PRDR %s %s", addr, user_msg);
3335         else               log_write(0, LOG_MAIN, "%s", CS msg);
3336
3337         if (rc != OK) { receive_remove_recipient(addr); c--; }
3338         }
3339       /* Set up final message, used if data acl gives OK */
3340       smtp_reply = string_sprintf("%s id=%s message %s",
3341                        all_fail == FAIL ? US"550" : US"250",
3342                        message_id,
3343                        all_fail == FAIL
3344                          ? US"rejected for all recipients"
3345                          : all_pass == OK
3346                            ? US"accepted"
3347                            : US"accepted for some recipients");
3348       if (recipients_count == 0)
3349         {
3350         message_id[0] = 0;       /* Indicate no message accepted */
3351         goto TIDYUP;
3352         }
3353       }
3354     else
3355       prdr_requested = FALSE;
3356 #endif /* !DISABLE_PRDR */
3357
3358     /* Check the recipients count again, as the MIME ACL might have changed
3359     them. */
3360
3361     if (acl_smtp_data != NULL && recipients_count > 0)
3362       {
3363       rc = acl_check(ACL_WHERE_DATA, NULL, acl_smtp_data, &user_msg, &log_msg);
3364       add_acl_headers(ACL_WHERE_DATA, US"DATA");
3365       if (rc == DISCARD)
3366         {
3367         recipients_count = 0;
3368         blackholed_by = US"DATA ACL";
3369         if (log_msg != NULL)
3370           blackhole_log_msg = string_sprintf(": %s", log_msg);
3371         cancel_cutthrough_connection("data acl discard");
3372         }
3373       else if (rc != OK)
3374         {
3375         Uunlink(spool_name);
3376         cancel_cutthrough_connection("data acl not ok");
3377 #ifdef WITH_CONTENT_SCAN
3378         unspool_mbox();
3379 #endif
3380 #ifdef EXPERIMENTAL_DCC
3381         dcc_ok = 0;
3382 #endif
3383         if (smtp_handle_acl_fail(ACL_WHERE_DATA, rc, user_msg, log_msg) != 0)
3384           smtp_yield = FALSE;    /* No more messsages after dropped connection */
3385         smtp_reply = US"";       /* Indicate reply already sent */
3386         message_id[0] = 0;       /* Indicate no message accepted */
3387         goto TIDYUP;             /* Skip to end of function */
3388         }
3389       }
3390     }
3391
3392   /* Handle non-SMTP and batch SMTP (i.e. non-interactive) messages. Note that
3393   we cannot take different actions for permanent and temporary rejections. */
3394
3395   else
3396     {
3397
3398 #ifdef WITH_CONTENT_SCAN
3399     if (acl_not_smtp_mime != NULL &&
3400         !run_mime_acl(acl_not_smtp_mime, &smtp_yield, &smtp_reply,
3401           &blackholed_by))
3402       goto TIDYUP;
3403 #endif /* WITH_CONTENT_SCAN */
3404
3405     if (acl_not_smtp != NULL)
3406       {
3407       uschar *user_msg, *log_msg;
3408       rc = acl_check(ACL_WHERE_NOTSMTP, NULL, acl_not_smtp, &user_msg, &log_msg);
3409       if (rc == DISCARD)
3410         {
3411         recipients_count = 0;
3412         blackholed_by = US"non-SMTP ACL";
3413         if (log_msg != NULL)
3414           blackhole_log_msg = string_sprintf(": %s", log_msg);
3415         }
3416       else if (rc != OK)
3417         {
3418         Uunlink(spool_name);
3419 #ifdef WITH_CONTENT_SCAN
3420         unspool_mbox();
3421 #endif
3422 #ifdef EXPERIMENTAL_DCC
3423         dcc_ok = 0;
3424 #endif
3425         /* The ACL can specify where rejections are to be logged, possibly
3426         nowhere. The default is main and reject logs. */
3427
3428         if (log_reject_target != 0)
3429           log_write(0, log_reject_target, "F=<%s> rejected by non-SMTP ACL: %s",
3430             sender_address, log_msg);
3431
3432         if (user_msg == NULL) user_msg = US"local configuration problem";
3433         if (smtp_batched_input)
3434           {
3435           moan_smtp_batch(NULL, "%d %s", 550, user_msg);
3436           /* Does not return */
3437           }
3438         else
3439           {
3440           fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3441           give_local_error(ERRMESS_LOCAL_ACL, user_msg,
3442             US"message rejected by non-SMTP ACL: ", error_rc, data_file,
3443               header_list);
3444           /* Does not return */
3445           }
3446         }
3447       add_acl_headers(ACL_WHERE_NOTSMTP, US"non-SMTP");
3448       }
3449     }
3450
3451   /* The applicable ACLs have been run */
3452
3453   if (deliver_freeze) frozen_by = US"ACL";     /* for later logging */
3454   if (queue_only_policy) queued_by = US"ACL";
3455   }
3456
3457 #ifdef WITH_CONTENT_SCAN
3458 unspool_mbox();
3459 #endif
3460
3461 #ifdef EXPERIMENTAL_DCC
3462 dcc_ok = 0;
3463 #endif
3464
3465
3466 /* The final check on the message is to run the scan_local() function. The
3467 version supplied with Exim always accepts, but this is a hook for sysadmins to
3468 supply their own checking code. The local_scan() function is run even when all
3469 the recipients have been discarded. */
3470
3471 lseek(data_fd, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3472
3473 /* Arrange to catch crashes in local_scan(), so that the -D file gets
3474 deleted, and the incident gets logged. */
3475
3476 os_non_restarting_signal(SIGSEGV, local_scan_crash_handler);
3477 os_non_restarting_signal(SIGFPE, local_scan_crash_handler);
3478 os_non_restarting_signal(SIGILL, local_scan_crash_handler);
3479 os_non_restarting_signal(SIGBUS, local_scan_crash_handler);
3480
3481 DEBUG(D_receive) debug_printf("calling local_scan(); timeout=%d\n",
3482   local_scan_timeout);
3483 local_scan_data = NULL;
3484
3485 os_non_restarting_signal(SIGALRM, local_scan_timeout_handler);
3486 if (local_scan_timeout > 0) alarm(local_scan_timeout);
3487 rc = local_scan(data_fd, &local_scan_data);
3488 alarm(0);
3489 os_non_restarting_signal(SIGALRM, sigalrm_handler);
3490
3491 enable_dollar_recipients = FALSE;
3492
3493 store_pool = POOL_MAIN;   /* In case changed */
3494 DEBUG(D_receive) debug_printf("local_scan() returned %d %s\n", rc,
3495   local_scan_data);
3496
3497 os_non_restarting_signal(SIGSEGV, SIG_DFL);
3498 os_non_restarting_signal(SIGFPE, SIG_DFL);
3499 os_non_restarting_signal(SIGILL, SIG_DFL);
3500 os_non_restarting_signal(SIGBUS, SIG_DFL);
3501
3502 /* The length check is paranoia against some runaway code, and also because
3503 (for a success return) lines in the spool file are read into big_buffer. */
3504
3505 if (local_scan_data != NULL)
3506   {
3507   int len = Ustrlen(local_scan_data);
3508   if (len > LOCAL_SCAN_MAX_RETURN) len = LOCAL_SCAN_MAX_RETURN;
3509   local_scan_data = string_copyn(local_scan_data, len);
3510   }
3511
3512 if (rc == LOCAL_SCAN_ACCEPT_FREEZE)
3513   {
3514   if (!deliver_freeze)         /* ACL might have already frozen */
3515     {
3516     deliver_freeze = TRUE;
3517     deliver_frozen_at = time(NULL);
3518     frozen_by = US"local_scan()";
3519     }
3520   rc = LOCAL_SCAN_ACCEPT;
3521   }
3522 else if (rc == LOCAL_SCAN_ACCEPT_QUEUE)
3523   {
3524   if (!queue_only_policy)      /* ACL might have already queued */
3525     {
3526     queue_only_policy = TRUE;
3527     queued_by = US"local_scan()";
3528     }
3529   rc = LOCAL_SCAN_ACCEPT;
3530   }
3531
3532 /* Message accepted: remove newlines in local_scan_data because otherwise
3533 the spool file gets corrupted. Ensure that all recipients are qualified. */
3534
3535 if (rc == LOCAL_SCAN_ACCEPT)
3536   {
3537   if (local_scan_data != NULL)
3538     {
3539     uschar *s;
3540     for (s = local_scan_data; *s != 0; s++) if (*s == '\n') *s = ' ';
3541     }
3542   for (i = 0; i < recipients_count; i++)
3543     {
3544     recipient_item *r = recipients_list + i;
3545     r->address = rewrite_address_qualify(r->address, TRUE);
3546     if (r->errors_to != NULL)
3547       r->errors_to = rewrite_address_qualify(r->errors_to, TRUE);
3548     }
3549   if (recipients_count == 0 && blackholed_by == NULL)
3550     blackholed_by = US"local_scan";
3551   }
3552
3553 /* Message rejected: newlines permitted in local_scan_data to generate
3554 multiline SMTP responses. */
3555
3556 else
3557   {
3558   uschar *istemp = US"";
3559   uschar *s = NULL;
3560   uschar *smtp_code;
3561   int size = 0;
3562   int sptr = 0;
3563
3564   errmsg = local_scan_data;
3565
3566   Uunlink(spool_name);          /* Cancel this message */
3567   switch(rc)
3568     {
3569     default:
3570     log_write(0, LOG_MAIN, "invalid return %d from local_scan(). Temporary "
3571       "rejection given", rc);
3572     goto TEMPREJECT;
3573
3574     case LOCAL_SCAN_REJECT_NOLOGHDR:
3575     BIT_CLEAR(log_selector, log_selector_size, Li_rejected_header);
3576     /* Fall through */
3577
3578     case LOCAL_SCAN_REJECT:
3579     smtp_code = US"550";
3580     if (errmsg == NULL) errmsg =  US"Administrative prohibition";
3581     break;
3582
3583     case LOCAL_SCAN_TEMPREJECT_NOLOGHDR:
3584     BIT_CLEAR(log_selector, log_selector_size, Li_rejected_header);
3585     /* Fall through */
3586
3587     case LOCAL_SCAN_TEMPREJECT:
3588     TEMPREJECT:
3589     smtp_code = US"451";
3590     if (errmsg == NULL) errmsg = US"Temporary local problem";
3591     istemp = US"temporarily ";
3592     break;
3593     }
3594
3595   s = string_append(s, &size, &sptr, 2, US"F=",
3596     (sender_address[0] == 0)? US"<>" : sender_address);
3597   s = add_host_info_for_log(s, &size, &sptr);
3598   s[sptr] = 0;
3599
3600   log_write(0, LOG_MAIN|LOG_REJECT, "%s %srejected by local_scan(): %.256s",
3601     s, istemp, string_printing(errmsg));
3602
3603   if (smtp_input)
3604     {
3605     if (!smtp_batched_input)
3606       {
3607       smtp_respond(smtp_code, 3, TRUE, errmsg);
3608       message_id[0] = 0;            /* Indicate no message accepted */
3609       smtp_reply = US"";            /* Indicate reply already sent */
3610       goto TIDYUP;                  /* Skip to end of function */
3611       }
3612     else
3613       {
3614       moan_smtp_batch(NULL, "%s %s", smtp_code, errmsg);
3615       /* Does not return */
3616       }
3617     }
3618   else
3619     {
3620     fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3621     give_local_error(ERRMESS_LOCAL_SCAN, errmsg,
3622       US"message rejected by local scan code: ", error_rc, data_file,
3623         header_list);
3624     /* Does not return */
3625     }
3626   }
3627
3628 /* Reset signal handlers to ignore signals that previously would have caused
3629 the message to be abandoned. */
3630
3631 signal(SIGTERM, SIG_IGN);
3632 signal(SIGINT, SIG_IGN);
3633
3634
3635 /* Ensure the first time flag is set in the newly-received message. */
3636
3637 deliver_firsttime = TRUE;
3638
3639 #ifdef EXPERIMENTAL_BRIGHTMAIL
3640 if (bmi_run == 1) {
3641   /* rewind data file */
3642   lseek(data_fd, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3643   bmi_verdicts = bmi_process_message(header_list, data_fd);
3644 };
3645 #endif
3646
3647 /* Update the timstamp in our Received: header to account for any time taken by
3648 an ACL or by local_scan(). The new time is the time that all reception
3649 processing is complete. */
3650
3651 timestamp = expand_string(US"${tod_full}");
3652 tslen = Ustrlen(timestamp);
3653
3654 memcpy(received_header->text + received_header->slen - tslen - 1,
3655   timestamp, tslen);
3656
3657 /* In MUA wrapper mode, ignore queueing actions set by ACL or local_scan() */
3658
3659 if (mua_wrapper)
3660   {
3661   deliver_freeze = FALSE;
3662   queue_only_policy = FALSE;
3663   }
3664
3665 /* Keep the data file open until we have written the header file, in order to
3666 hold onto the lock. In a -bh run, or if the message is to be blackholed, we
3667 don't write the header file, and we unlink the data file. If writing the header
3668 file fails, we have failed to accept this message. */
3669
3670 if (host_checking || blackholed_by != NULL)
3671   {
3672   header_line *h;
3673   Uunlink(spool_name);
3674   msg_size = 0;                                  /* Compute size for log line */
3675   for (h = header_list; h != NULL; h = h->next)
3676     if (h->type != '*') msg_size += h->slen;
3677   }
3678
3679 /* Write the -H file */
3680
3681 else
3682   {
3683   if ((msg_size = spool_write_header(message_id, SW_RECEIVING, &errmsg)) < 0)
3684     {
3685     log_write(0, LOG_MAIN, "Message abandoned: %s", errmsg);
3686     Uunlink(spool_name);           /* Lose the data file */
3687
3688     if (smtp_input)
3689       {
3690       smtp_reply = US"451 Error in writing spool file";
3691       message_id[0] = 0;          /* Indicate no message accepted */
3692       goto TIDYUP;
3693       }
3694     else
3695       {
3696       fseek(data_file, (long int)SPOOL_DATA_START_OFFSET, SEEK_SET);
3697       give_local_error(ERRMESS_IOERR, errmsg, US"", error_rc, data_file,
3698         header_list);
3699       /* Does not return */
3700       }
3701     }
3702   }
3703
3704
3705 /* The message has now been successfully received. */
3706
3707 receive_messagecount++;
3708
3709 /* In SMTP sessions we may receive several in one connection. After each one,
3710 we wait for the clock to tick at the level of message-id granularity. This is
3711 so that the combination of time+pid is unique, even on systems where the pid
3712 can be re-used within our time interval. We can't shorten the interval without
3713 re-designing the message-id. See comments above where the message id is
3714 created. This is Something For The Future. */
3715
3716 message_id_tv.tv_usec = (message_id_tv.tv_usec/id_resolution) * id_resolution;
3717 exim_wait_tick(&message_id_tv, id_resolution);
3718
3719 /* Add data size to written header size. We do not count the initial file name
3720 that is in the file, but we do add one extra for the notional blank line that
3721 precedes the data. This total differs from message_size in that it include the
3722 added Received: header and any other headers that got created locally. */
3723
3724 fflush(data_file);
3725 fstat(data_fd, &statbuf);
3726
3727 msg_size += statbuf.st_size - SPOOL_DATA_START_OFFSET + 1;
3728
3729 /* Generate a "message received" log entry. We do this by building up a dynamic
3730 string as required. Since we commonly want to add two items at a time, use a
3731 macro to simplify the coding. We log the arrival of a new message while the
3732 file is still locked, just in case the machine is *really* fast, and delivers
3733 it first! Include any message id that is in the message - since the syntax of a
3734 message id is actually an addr-spec, we can use the parse routine to canonicize
3735 it. */
3736
3737 size = 256;
3738 sptr = 0;
3739 s = store_get(size);
3740
3741 s = string_append(s, &size, &sptr, 2, US"<= ",
3742   (sender_address[0] == 0)? US"<>" : sender_address);
3743 if (message_reference != NULL)
3744   s = string_append(s, &size, &sptr, 2, US" R=", message_reference);
3745
3746 s = add_host_info_for_log(s, &size, &sptr);
3747
3748 #ifdef SUPPORT_TLS
3749 if (LOGGING(tls_cipher) && tls_in.cipher)
3750   s = string_append(s, &size, &sptr, 2, US" X=", tls_in.cipher);
3751 if (LOGGING(tls_certificate_verified) && tls_in.cipher)
3752   s = string_append(s, &size, &sptr, 2, US" CV=",
3753     tls_in.certificate_verified? "yes":"no");
3754 if (LOGGING(tls_peerdn) && tls_in.peerdn)
3755   s = string_append(s, &size, &sptr, 3, US" DN=\"",
3756     string_printing(tls_in.peerdn), US"\"");
3757 if (LOGGING(tls_sni) && tls_in.sni)
3758   s = string_append(s, &size, &sptr, 3, US" SNI=\"",
3759     string_printing(tls_in.sni), US"\"");
3760 #endif
3761
3762 if (sender_host_authenticated)
3763   {
3764   s = string_append(s, &size, &sptr, 2, US" A=", sender_host_authenticated);
3765   if (authenticated_id != NULL)
3766     {
3767     s = string_append(s, &size, &sptr, 2, US":", authenticated_id);
3768     if (LOGGING(smtp_mailauth) && authenticated_sender != NULL)
3769       s = string_append(s, &size, &sptr, 2, US":", authenticated_sender);
3770     }
3771   }
3772
3773 #ifndef DISABLE_PRDR
3774 if (prdr_requested)
3775   s = string_append(s, &size, &sptr, 1, US" PRDR");
3776 #endif
3777
3778 #ifdef EXPERIMENTAL_PROXY
3779 if (proxy_session && LOGGING(proxy))
3780   s = string_append(s, &size, &sptr, 2, US" PRX=", proxy_host_address);
3781 #endif
3782
3783 sprintf(CS big_buffer, "%d", msg_size);
3784 s = string_append(s, &size, &sptr, 2, US" S=", big_buffer);
3785
3786 /* log 8BITMIME mode announced in MAIL_FROM
3787    0 ... no BODY= used
3788    7 ... 7BIT
3789    8 ... 8BITMIME */
3790 if (LOGGING(8bitmime))
3791   {
3792   sprintf(CS big_buffer, "%d", body_8bitmime);
3793   s = string_append(s, &size, &sptr, 2, US" M8S=", big_buffer);
3794   }
3795
3796 /* If an addr-spec in a message-id contains a quoted string, it can contain
3797 any characters except " \ and CR and so in particular it can contain NL!
3798 Therefore, make sure we use a printing-characters only version for the log.
3799 Also, allow for domain literals in the message id. */
3800
3801 if (msgid_header != NULL)
3802   {
3803   uschar *old_id;
3804   BOOL save_allow_domain_literals = allow_domain_literals;
3805   allow_domain_literals = TRUE;
3806   old_id = parse_extract_address(Ustrchr(msgid_header->text, ':') + 1,
3807     &errmsg, &start, &end, &domain, FALSE);
3808   allow_domain_literals = save_allow_domain_literals;
3809   if (old_id != NULL)
3810     s = string_append(s, &size, &sptr, 2, US" id=", string_printing(old_id));
3811   }
3812
3813 /* If subject logging is turned on, create suitable printing-character
3814 text. By expanding $h_subject: we make use of the MIME decoding. */
3815
3816 if (LOGGING(subject) && subject_header != NULL)
3817   {
3818   int i;
3819   uschar *p = big_buffer;
3820   uschar *ss = expand_string(US"$h_subject:");
3821
3822   /* Backslash-quote any double quotes or backslashes so as to make a
3823   a C-like string, and turn any non-printers into escape sequences. */
3824
3825   *p++ = '\"';
3826   if (*ss != 0) for (i = 0; i < 100 && ss[i] != 0; i++)
3827     {
3828     if (ss[i] == '\"' || ss[i] == '\\') *p++ = '\\';
3829     *p++ = ss[i];
3830     }
3831   *p++ = '\"';
3832   *p = 0;
3833   s = string_append(s, &size, &sptr, 2, US" T=", string_printing(big_buffer));
3834   }
3835
3836 /* Terminate the string: string_cat() and string_append() leave room, but do
3837 not put the zero in. */
3838
3839 s[sptr] = 0;
3840
3841 /* Create a message log file if message logs are being used and this message is
3842 not blackholed. Write the reception stuff to it. We used to leave message log
3843 creation until the first delivery, but this has proved confusing for some
3844 people. */
3845
3846 if (message_logs && blackholed_by == NULL)
3847   {
3848   int fd;
3849
3850   sprintf(CS spool_name, "%s/msglog/%s/%s", spool_directory, message_subdir,
3851     message_id);
3852   fd = Uopen(spool_name, O_WRONLY|O_APPEND|O_CREAT, SPOOL_MODE);
3853
3854   if (fd < 0 && errno == ENOENT)
3855     {
3856     uschar temp[16];
3857     sprintf(CS temp, "msglog/%s", message_subdir);
3858     if (message_subdir[0] == 0) temp[6] = 0;
3859     (void)directory_make(spool_directory, temp, MSGLOG_DIRECTORY_MODE, TRUE);
3860     fd = Uopen(spool_name, O_WRONLY|O_APPEND|O_CREAT, SPOOL_MODE);
3861     }
3862
3863   if (fd < 0)
3864     {
3865     log_write(0, LOG_MAIN|LOG_PANIC, "Couldn't open message log %s: %s",
3866       spool_name, strerror(errno));
3867     }
3868
3869   else
3870     {
3871     FILE *message_log = fdopen(fd, "a");
3872     if (message_log == NULL)
3873       {
3874       log_write(0, LOG_MAIN|LOG_PANIC, "Couldn't fdopen message log %s: %s",
3875         spool_name, strerror(errno));
3876       (void)close(fd);
3877       }
3878     else
3879       {
3880       uschar *now = tod_stamp(tod_log);
3881       fprintf(message_log, "%s Received from %s\n", now, s+3);
3882       if (deliver_freeze) fprintf(message_log, "%s frozen by %s\n", now,
3883         frozen_by);
3884       if (queue_only_policy) fprintf(message_log,
3885         "%s no immediate delivery: queued by %s\n", now, queued_by);
3886       (void)fclose(message_log);
3887       }
3888     }
3889   }
3890
3891 /* Everything has now been done for a successful message except logging its
3892 arrival, and outputting an SMTP response. While writing to the log, set a flag
3893 to cause a call to receive_bomb_out() if the log cannot be opened. */
3894
3895 receive_call_bombout = TRUE;
3896
3897 /* Before sending an SMTP response in a TCP/IP session, we check to see if the
3898 connection has gone away. This can only be done if there is no unconsumed input
3899 waiting in the local input buffer. We can test for this by calling
3900 receive_smtp_buffered(). RFC 2920 (pipelining) explicitly allows for additional
3901 input to be sent following the final dot, so the presence of following input is
3902 not an error.
3903
3904 If the connection is still present, but there is no unread input for the
3905 socket, the result of a select() call will be zero. If, however, the connection
3906 has gone away, or if there is pending input, the result of select() will be
3907 non-zero. The two cases can be distinguished by trying to read the next input
3908 character. If we succeed, we can unread it so that it remains in the local
3909 buffer for handling later. If not, the connection has been lost.
3910
3911 Of course, since TCP/IP is asynchronous, there is always a chance that the
3912 connection will vanish between the time of this test and the sending of the
3913 response, but the chance of this happening should be small. */
3914
3915 if (smtp_input && sender_host_address != NULL && !sender_host_notsocket &&
3916     !receive_smtp_buffered())
3917   {
3918   struct timeval tv;
3919   fd_set select_check;
3920   FD_ZERO(&select_check);
3921   FD_SET(fileno(smtp_in), &select_check);
3922   tv.tv_sec = 0;
3923   tv.tv_usec = 0;
3924
3925   if (select(fileno(smtp_in) + 1, &select_check, NULL, NULL, &tv) != 0)
3926     {
3927     int c = (receive_getc)();
3928     if (c != EOF) (receive_ungetc)(c); else
3929       {
3930       uschar *msg = US"SMTP connection lost after final dot";
3931       smtp_reply = US"";    /* No attempt to send a response */
3932       smtp_yield = FALSE;   /* Nothing more on this connection */
3933
3934       /* Re-use the log line workspace */
3935
3936       sptr = 0;
3937       s = string_cat(s, &size, &sptr, msg, Ustrlen(msg));
3938       s = add_host_info_for_log(s, &size, &sptr);
3939       s[sptr] = 0;
3940       log_write(0, LOG_MAIN, "%s", s);
3941
3942       /* Delete the files for this aborted message. */
3943
3944       sprintf(CS spool_name, "%s/input/%s/%s-D", spool_directory,
3945         message_subdir, message_id);
3946       Uunlink(spool_name);
3947
3948       sprintf(CS spool_name, "%s/input/%s/%s-H", spool_directory,
3949         message_subdir, message_id);
3950       Uunlink(spool_name);
3951
3952       sprintf(CS spool_name, "%s/msglog/%s/%s", spool_directory,
3953         message_subdir, message_id);
3954       Uunlink(spool_name);
3955
3956       goto TIDYUP;
3957       }
3958     }
3959   }
3960
3961 /* The connection has not gone away; we really are going to take responsibility
3962 for this message. */
3963
3964 /* Cutthrough - had sender last-dot; assume we've sent (or bufferred) all
3965    data onward by now.
3966
3967    Send dot onward.  If accepted, wipe the spooled files, log as delivered and accept
3968    the sender's dot (below).
3969    If rejected: copy response to sender, wipe the spooled files, log approriately.
3970    If temp-reject: accept to sender, keep the spooled files.
3971
3972    Having the normal spool files lets us do data-filtering, and store/forward on temp-reject.
3973
3974    XXX We do not handle queue-only, freezing, or blackholes.
3975 */
3976 if(cutthrough.fd >= 0)
3977   {
3978   uschar * msg= cutthrough_finaldot();  /* Ask the target system to accept the messsage */
3979                                         /* Logging was done in finaldot() */
3980   switch(msg[0])
3981     {
3982     case '2':   /* Accept. Do the same to the source; dump any spoolfiles.   */
3983       cutthrough_done = ACCEPTED;
3984       break;                                    /* message_id needed for SMTP accept below */
3985
3986     default:    /* Unknown response, or error.  Treat as temp-reject.         */
3987     case '4':   /* Temp-reject. Keep spoolfiles and accept. */
3988       cutthrough_done = TMP_REJ;                /* Avoid the usual immediate delivery attempt */
3989       break;                                    /* message_id needed for SMTP accept below */
3990
3991     case '5':   /* Perm-reject.  Do the same to the source.  Dump any spoolfiles */
3992       smtp_reply= msg;          /* Pass on the exact error */
3993       cutthrough_done = PERM_REJ;
3994       break;
3995     }
3996   }
3997
3998 #ifndef DISABLE_PRDR
3999 if(!smtp_reply || prdr_requested)
4000 #else
4001 if(!smtp_reply)
4002 #endif
4003   {
4004   log_write(0, LOG_MAIN |
4005     (LOGGING(received_recipients)? LOG_RECIPIENTS : 0) |
4006     (LOGGING(received_sender)? LOG_SENDER : 0),
4007     "%s", s);
4008
4009   /* Log any control actions taken by an ACL or local_scan(). */
4010
4011   if (deliver_freeze) log_write(0, LOG_MAIN, "frozen by %s", frozen_by);
4012   if (queue_only_policy) log_write(L_delay_delivery, LOG_MAIN,
4013     "no immediate delivery: queued by %s", queued_by);
4014   }
4015 receive_call_bombout = FALSE;
4016
4017 store_reset(s);   /* The store for the main log message can be reused */
4018
4019 /* If the message is frozen, and freeze_tell is set, do the telling. */
4020
4021 if (deliver_freeze && freeze_tell != NULL && freeze_tell[0] != 0)
4022   {
4023   moan_tell_someone(freeze_tell, NULL, US"Message frozen on arrival",
4024     "Message %s was frozen on arrival by %s.\nThe sender is <%s>.\n",
4025     message_id, frozen_by, sender_address);
4026   }
4027
4028
4029 /* Either a message has been successfully received and written to the two spool
4030 files, or an error in writing the spool has occurred for an SMTP message, or
4031 an SMTP message has been rejected for policy reasons. (For a non-SMTP message
4032 we will have already given up because there's no point in carrying on!) In
4033 either event, we must now close (and thereby unlock) the data file. In the
4034 successful case, this leaves the message on the spool, ready for delivery. In
4035 the error case, the spool file will be deleted. Then tidy up store, interact
4036 with an SMTP call if necessary, and return.
4037
4038 A fflush() was done earlier in the expectation that any write errors on the
4039 data file will be flushed(!) out thereby. Nevertheless, it is theoretically
4040 possible for fclose() to fail - but what to do? What has happened to the lock
4041 if this happens? */
4042
4043
4044 TIDYUP:
4045 process_info[process_info_len] = 0;                /* Remove message id */
4046 if (data_file != NULL) (void)fclose(data_file);    /* Frees the lock */
4047
4048 /* Now reset signal handlers to their defaults */
4049
4050 signal(SIGTERM, SIG_DFL);
4051 signal(SIGINT, SIG_DFL);
4052
4053 /* Tell an SMTP caller the state of play, and arrange to return the SMTP return
4054 value, which defaults TRUE - meaning there may be more incoming messages from
4055 this connection. For non-SMTP callers (where there is only ever one message),
4056 the default is FALSE. */
4057
4058 if (smtp_input)
4059   {
4060   yield = smtp_yield;
4061
4062   /* Handle interactive SMTP callers. After several kinds of error, smtp_reply
4063   is set to the response that should be sent. When it is NULL, we generate
4064   default responses. After an ACL error or local_scan() error, the response has
4065   already been sent, and smtp_reply is an empty string to indicate this. */
4066
4067   if (!smtp_batched_input)
4068     {
4069     if (smtp_reply == NULL)
4070       {
4071       if (fake_response != OK)
4072         smtp_respond((fake_response == DEFER)? US"450" : US"550", 3, TRUE,
4073           fake_response_text);
4074
4075       /* An OK response is required; use "message" text if present. */
4076
4077       else if (user_msg != NULL)
4078         {
4079         uschar *code = US"250";
4080         int len = 3;
4081         smtp_message_code(&code, &len, &user_msg, NULL);
4082         smtp_respond(code, len, TRUE, user_msg);
4083         }
4084
4085       /* Default OK response */
4086
4087       else
4088         smtp_printf("250 OK id=%s\r\n", message_id);
4089       if (host_checking)
4090         fprintf(stdout,
4091           "\n**** SMTP testing: that is not a real message id!\n\n");
4092       }
4093
4094     /* smtp_reply is set non-empty */
4095
4096     else if (smtp_reply[0] != 0)
4097       {
4098       if (fake_response != OK && (smtp_reply[0] == '2'))
4099         smtp_respond((fake_response == DEFER)? US"450" : US"550", 3, TRUE,
4100           fake_response_text);
4101       else
4102         smtp_printf("%.1024s\r\n", smtp_reply);
4103       }
4104
4105     switch (cutthrough_done)
4106       {
4107       case ACCEPTED: log_write(0, LOG_MAIN, "Completed");/* Delivery was done */
4108       case PERM_REJ: {                                  /* Delete spool files */
4109               sprintf(CS spool_name, "%s/input/%s/%s-D", spool_directory,
4110                 message_subdir, message_id);
4111               Uunlink(spool_name);
4112               sprintf(CS spool_name, "%s/input/%s/%s-H", spool_directory,
4113                 message_subdir, message_id);
4114               Uunlink(spool_name);
4115               sprintf(CS spool_name, "%s/msglog/%s/%s", spool_directory,
4116                 message_subdir, message_id);
4117               Uunlink(spool_name);
4118               }
4119       case TMP_REJ: message_id[0] = 0;    /* Prevent a delivery from starting */
4120       default:break;
4121       }
4122     cutthrough.delivery = FALSE;
4123     }
4124
4125   /* For batched SMTP, generate an error message on failure, and do
4126   nothing on success. The function moan_smtp_batch() does not return -
4127   it exits from the program with a non-zero return code. */
4128
4129   else if (smtp_reply != NULL) moan_smtp_batch(NULL, "%s", smtp_reply);
4130   }
4131
4132
4133 /* If blackholing, we can immediately log this message's sad fate. The data
4134 file has already been unlinked, and the header file was never written to disk.
4135 We must now indicate that nothing was received, to prevent a delivery from
4136 starting. */
4137
4138 if (blackholed_by != NULL)
4139   {
4140   const uschar *detail = local_scan_data
4141     ? string_printing(local_scan_data)
4142     : string_sprintf("(%s discarded recipients)", blackholed_by);
4143   log_write(0, LOG_MAIN, "=> blackhole %s%s", detail, blackhole_log_msg);
4144   log_write(0, LOG_MAIN, "Completed");
4145   message_id[0] = 0;
4146   }
4147
4148 /* Reset headers so that logging of rejects for a subsequent message doesn't
4149 include them. It is also important to set header_last = NULL before exiting
4150 from this function, as this prevents certain rewrites that might happen during
4151 subsequent verifying (of another incoming message) from trying to add headers
4152 when they shouldn't. */
4153
4154 header_list = header_last = NULL;
4155
4156 return yield;  /* TRUE if more messages (SMTP only) */
4157 }
4158
4159 /* End of receive.c */