9f6f3d8c3a301114e182dfe74e73393c0f9c3291
[users/jgh/exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2012 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 extern void init_lookup_list(void);
16
17
18
19 /*************************************************
20 *      Function interface to store functions     *
21 *************************************************/
22
23 /* We need some real functions to pass to the PCRE regular expression library
24 for store allocation via Exim's store manager. The normal calls are actually
25 macros that pass over location information to make tracing easier. These
26 functions just interface to the standard macro calls. A good compiler will
27 optimize out the tail recursion and so not make them too expensive. There
28 are two sets of functions; one for use when we want to retain the compiled
29 regular expression for a long time; the other for short-term use. */
30
31 static void *
32 function_store_get(size_t size)
33 {
34 return store_get((int)size);
35 }
36
37 static void
38 function_dummy_free(void *block) { block = block; }
39
40 static void *
41 function_store_malloc(size_t size)
42 {
43 return store_malloc((int)size);
44 }
45
46 static void
47 function_store_free(void *block)
48 {
49 store_free(block);
50 }
51
52
53
54
55 /*************************************************
56 *         Enums for cmdline interface            *
57 *************************************************/
58
59 enum commandline_info { CMDINFO_NONE=0,
60   CMDINFO_HELP, CMDINFO_SIEVE };
61
62
63
64
65 /*************************************************
66 *  Compile regular expression and panic on fail  *
67 *************************************************/
68
69 /* This function is called when failure to compile a regular expression leads
70 to a panic exit. In other cases, pcre_compile() is called directly. In many
71 cases where this function is used, the results of the compilation are to be
72 placed in long-lived store, so we temporarily reset the store management
73 functions that PCRE uses if the use_malloc flag is set.
74
75 Argument:
76   pattern     the pattern to compile
77   caseless    TRUE if caseless matching is required
78   use_malloc  TRUE if compile into malloc store
79
80 Returns:      pointer to the compiled pattern
81 */
82
83 const pcre *
84 regex_must_compile(uschar *pattern, BOOL caseless, BOOL use_malloc)
85 {
86 int offset;
87 int options = PCRE_COPT;
88 const pcre *yield;
89 const uschar *error;
90 if (use_malloc)
91   {
92   pcre_malloc = function_store_malloc;
93   pcre_free = function_store_free;
94   }
95 if (caseless) options |= PCRE_CASELESS;
96 yield = pcre_compile(CS pattern, options, (const char **)&error, &offset, NULL);
97 pcre_malloc = function_store_get;
98 pcre_free = function_dummy_free;
99 if (yield == NULL)
100   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
101     "%s at offset %d while compiling %s", error, offset, pattern);
102 return yield;
103 }
104
105
106
107
108 /*************************************************
109 *   Execute regular expression and set strings   *
110 *************************************************/
111
112 /* This function runs a regular expression match, and sets up the pointers to
113 the matched substrings.
114
115 Arguments:
116   re          the compiled expression
117   subject     the subject string
118   options     additional PCRE options
119   setup       if < 0 do full setup
120               if >= 0 setup from setup+1 onwards,
121                 excluding the full matched string
122
123 Returns:      TRUE or FALSE
124 */
125
126 BOOL
127 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
128 {
129 int ovector[3*(EXPAND_MAXN+1)];
130 int n = pcre_exec(re, NULL, CS subject, Ustrlen(subject), 0,
131   PCRE_EOPT | options, ovector, sizeof(ovector)/sizeof(int));
132 BOOL yield = n >= 0;
133 if (n == 0) n = EXPAND_MAXN + 1;
134 if (yield)
135   {
136   int nn;
137   expand_nmax = (setup < 0)? 0 : setup + 1;
138   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
139     {
140     expand_nstring[expand_nmax] = subject + ovector[nn];
141     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
142     }
143   expand_nmax--;
144   }
145 return yield;
146 }
147
148
149
150
151 /*************************************************
152 *            Set up processing details           *
153 *************************************************/
154
155 /* Save a text string for dumping when SIGUSR1 is received.
156 Do checks for overruns.
157
158 Arguments: format and arguments, as for printf()
159 Returns:   nothing
160 */
161
162 void
163 set_process_info(const char *format, ...)
164 {
165 int len;
166 va_list ap;
167 sprintf(CS process_info, "%5d ", (int)getpid());
168 len = Ustrlen(process_info);
169 va_start(ap, format);
170 if (!string_vformat(process_info + len, PROCESS_INFO_SIZE - len - 2, format, ap))
171   Ustrcpy(process_info + len, "**** string overflowed buffer ****");
172 len = Ustrlen(process_info);
173 process_info[len+0] = '\n';
174 process_info[len+1] = '\0';
175 process_info_len = len + 1;
176 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
177 va_end(ap);
178 }
179
180
181
182
183 /*************************************************
184 *             Handler for SIGUSR1                *
185 *************************************************/
186
187 /* SIGUSR1 causes any exim process to write to the process log details of
188 what it is currently doing. It will only be used if the OS is capable of
189 setting up a handler that causes automatic restarting of any system call
190 that is in progress at the time.
191
192 This function takes care to be signal-safe.
193
194 Argument: the signal number (SIGUSR1)
195 Returns:  nothing
196 */
197
198 static void
199 usr1_handler(int sig)
200 {
201 int fd;
202
203 os_restarting_signal(sig, usr1_handler);
204
205 fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE);
206 if (fd < 0)
207   {
208   /* If we are already running as the Exim user, try to create it in the
209   current process (assuming spool_directory exists). Otherwise, if we are
210   root, do the creation in an exim:exim subprocess. */
211
212   int euid = geteuid();
213   if (euid == exim_uid)
214     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
215   else if (euid == root_uid)
216     fd = log_create_as_exim(process_log_path);
217   }
218
219 /* If we are neither exim nor root, or if we failed to create the log file,
220 give up. There is not much useful we can do with errors, since we don't want
221 to disrupt whatever is going on outside the signal handler. */
222
223 if (fd < 0) return;
224
225 (void)write(fd, process_info, process_info_len);
226 (void)close(fd);
227 }
228
229
230
231 /*************************************************
232 *             Timeout handler                    *
233 *************************************************/
234
235 /* This handler is enabled most of the time that Exim is running. The handler
236 doesn't actually get used unless alarm() has been called to set a timer, to
237 place a time limit on a system call of some kind. When the handler is run, it
238 re-enables itself.
239
240 There are some other SIGALRM handlers that are used in special cases when more
241 than just a flag setting is required; for example, when reading a message's
242 input. These are normally set up in the code module that uses them, and the
243 SIGALRM handler is reset to this one afterwards.
244
245 Argument: the signal value (SIGALRM)
246 Returns:  nothing
247 */
248
249 void
250 sigalrm_handler(int sig)
251 {
252 sig = sig;      /* Keep picky compilers happy */
253 sigalrm_seen = TRUE;
254 os_non_restarting_signal(SIGALRM, sigalrm_handler);
255 }
256
257
258
259 /*************************************************
260 *      Sleep for a fractional time interval      *
261 *************************************************/
262
263 /* This function is called by millisleep() and exim_wait_tick() to wait for a
264 period of time that may include a fraction of a second. The coding is somewhat
265 tedious. We do not expect setitimer() ever to fail, but if it does, the process
266 will wait for ever, so we panic in this instance. (There was a case of this
267 when a bug in a function that calls milliwait() caused it to pass invalid data.
268 That's when I added the check. :-)
269
270 Argument:  an itimerval structure containing the interval
271 Returns:   nothing
272 */
273
274 static void
275 milliwait(struct itimerval *itval)
276 {
277 sigset_t sigmask;
278 sigset_t old_sigmask;
279 (void)sigemptyset(&sigmask);                           /* Empty mask */
280 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
281 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
282 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
283   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
284     "setitimer() failed: %s", strerror(errno));
285 (void)sigfillset(&sigmask);                            /* All signals */
286 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
287 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
288 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
289 }
290
291
292
293
294 /*************************************************
295 *         Millisecond sleep function             *
296 *************************************************/
297
298 /* The basic sleep() function has a granularity of 1 second, which is too rough
299 in some cases - for example, when using an increasing delay to slow down
300 spammers.
301
302 Argument:    number of millseconds
303 Returns:     nothing
304 */
305
306 void
307 millisleep(int msec)
308 {
309 struct itimerval itval;
310 itval.it_interval.tv_sec = 0;
311 itval.it_interval.tv_usec = 0;
312 itval.it_value.tv_sec = msec/1000;
313 itval.it_value.tv_usec = (msec % 1000) * 1000;
314 milliwait(&itval);
315 }
316
317
318
319 /*************************************************
320 *         Compare microsecond times              *
321 *************************************************/
322
323 /*
324 Arguments:
325   tv1         the first time
326   tv2         the second time
327
328 Returns:      -1, 0, or +1
329 */
330
331 int
332 exim_tvcmp(struct timeval *t1, struct timeval *t2)
333 {
334 if (t1->tv_sec > t2->tv_sec) return +1;
335 if (t1->tv_sec < t2->tv_sec) return -1;
336 if (t1->tv_usec > t2->tv_usec) return +1;
337 if (t1->tv_usec < t2->tv_usec) return -1;
338 return 0;
339 }
340
341
342
343
344 /*************************************************
345 *          Clock tick wait function              *
346 *************************************************/
347
348 /* Exim uses a time + a pid to generate a unique identifier in two places: its
349 message IDs, and in file names for maildir deliveries. Because some OS now
350 re-use pids within the same second, sub-second times are now being used.
351 However, for absolute certaintly, we must ensure the clock has ticked before
352 allowing the relevant process to complete. At the time of implementation of
353 this code (February 2003), the speed of processors is such that the clock will
354 invariably have ticked already by the time a process has done its job. This
355 function prepares for the time when things are faster - and it also copes with
356 clocks that go backwards.
357
358 Arguments:
359   then_tv      A timeval which was used to create uniqueness; its usec field
360                  has been rounded down to the value of the resolution.
361                  We want to be sure the current time is greater than this.
362   resolution   The resolution that was used to divide the microseconds
363                  (1 for maildir, larger for message ids)
364
365 Returns:       nothing
366 */
367
368 void
369 exim_wait_tick(struct timeval *then_tv, int resolution)
370 {
371 struct timeval now_tv;
372 long int now_true_usec;
373
374 (void)gettimeofday(&now_tv, NULL);
375 now_true_usec = now_tv.tv_usec;
376 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
377
378 if (exim_tvcmp(&now_tv, then_tv) <= 0)
379   {
380   struct itimerval itval;
381   itval.it_interval.tv_sec = 0;
382   itval.it_interval.tv_usec = 0;
383   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
384   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
385
386   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
387   negative value for the microseconds is possible only in the case when "now"
388   is more than a second less than "then". That means that itval.it_value.tv_sec
389   is greater than zero. The following correction is therefore safe. */
390
391   if (itval.it_value.tv_usec < 0)
392     {
393     itval.it_value.tv_usec += 1000000;
394     itval.it_value.tv_sec -= 1;
395     }
396
397   DEBUG(D_transport|D_receive)
398     {
399     if (!running_in_test_harness)
400       {
401       debug_printf("tick check: %lu.%06lu %lu.%06lu\n",
402         then_tv->tv_sec, then_tv->tv_usec, now_tv.tv_sec, now_tv.tv_usec);
403       debug_printf("waiting %lu.%06lu\n", itval.it_value.tv_sec,
404         itval.it_value.tv_usec);
405       }
406     }
407
408   milliwait(&itval);
409   }
410 }
411
412
413
414
415 /*************************************************
416 *   Call fopen() with umask 777 and adjust mode  *
417 *************************************************/
418
419 /* Exim runs with umask(0) so that files created with open() have the mode that
420 is specified in the open() call. However, there are some files, typically in
421 the spool directory, that are created with fopen(). They end up world-writeable
422 if no precautions are taken. Although the spool directory is not accessible to
423 the world, this is an untidiness. So this is a wrapper function for fopen()
424 that sorts out the mode of the created file.
425
426 Arguments:
427    filename       the file name
428    options        the fopen() options
429    mode           the required mode
430
431 Returns:          the fopened FILE or NULL
432 */
433
434 FILE *
435 modefopen(const uschar *filename, const char *options, mode_t mode)
436 {
437 mode_t saved_umask = umask(0777);
438 FILE *f = Ufopen(filename, options);
439 (void)umask(saved_umask);
440 if (f != NULL) (void)fchmod(fileno(f), mode);
441 return f;
442 }
443
444
445
446
447 /*************************************************
448 *   Ensure stdin, stdout, and stderr exist       *
449 *************************************************/
450
451 /* Some operating systems grumble if an exec() happens without a standard
452 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
453 file will be opened and will use these fd values, and then some other bit of
454 code will assume, for example, that it can write error messages to stderr.
455 This function ensures that fds 0, 1, and 2 are open if they do not already
456 exist, by connecting them to /dev/null.
457
458 This function is also used to ensure that std{in,out,err} exist at all times,
459 so that if any library that Exim calls tries to use them, it doesn't crash.
460
461 Arguments:  None
462 Returns:    Nothing
463 */
464
465 void
466 exim_nullstd(void)
467 {
468 int i;
469 int devnull = -1;
470 struct stat statbuf;
471 for (i = 0; i <= 2; i++)
472   {
473   if (fstat(i, &statbuf) < 0 && errno == EBADF)
474     {
475     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
476     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
477       string_open_failed(errno, "/dev/null"));
478     if (devnull != i) (void)dup2(devnull, i);
479     }
480   }
481 if (devnull > 2) (void)close(devnull);
482 }
483
484
485
486
487 /*************************************************
488 *   Close unwanted file descriptors for delivery *
489 *************************************************/
490
491 /* This function is called from a new process that has been forked to deliver
492 an incoming message, either directly, or using exec.
493
494 We want any smtp input streams to be closed in this new process. However, it
495 has been observed that using fclose() here causes trouble. When reading in -bS
496 input, duplicate copies of messages have been seen. The files will be sharing a
497 file pointer with the parent process, and it seems that fclose() (at least on
498 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
499 least sometimes. Hence we go for closing the underlying file descriptors.
500
501 If TLS is active, we want to shut down the TLS library, but without molesting
502 the parent's SSL connection.
503
504 For delivery of a non-SMTP message, we want to close stdin and stdout (and
505 stderr unless debugging) because the calling process might have set them up as
506 pipes and be waiting for them to close before it waits for the submission
507 process to terminate. If they aren't closed, they hold up the calling process
508 until the initial delivery process finishes, which is not what we want.
509
510 Exception: We do want it for synchronous delivery!
511
512 And notwithstanding all the above, if D_resolver is set, implying resolver
513 debugging, leave stdout open, because that's where the resolver writes its
514 debugging output.
515
516 When we close stderr (which implies we've also closed stdout), we also get rid
517 of any controlling terminal.
518
519 Arguments:   None
520 Returns:     Nothing
521 */
522
523 static void
524 close_unwanted(void)
525 {
526 if (smtp_input)
527   {
528   #ifdef SUPPORT_TLS
529   tls_close(FALSE);      /* Shut down the TLS library */
530   #endif
531   (void)close(fileno(smtp_in));
532   (void)close(fileno(smtp_out));
533   smtp_in = NULL;
534   }
535 else
536   {
537   (void)close(0);                                          /* stdin */
538   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
539   if (debug_selector == 0)                                 /* stderr */
540     {
541     if (!synchronous_delivery)
542       {
543       (void)close(2);
544       log_stderr = NULL;
545       }
546     (void)setsid();
547     }
548   }
549 }
550
551
552
553
554 /*************************************************
555 *          Set uid and gid                       *
556 *************************************************/
557
558 /* This function sets a new uid and gid permanently, optionally calling
559 initgroups() to set auxiliary groups. There are some special cases when running
560 Exim in unprivileged modes. In these situations the effective uid will not be
561 root; if we already have the right effective uid/gid, and don't need to
562 initialize any groups, leave things as they are.
563
564 Arguments:
565   uid        the uid
566   gid        the gid
567   igflag     TRUE if initgroups() wanted
568   msg        text to use in debugging output and failure log
569
570 Returns:     nothing; bombs out on failure
571 */
572
573 void
574 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
575 {
576 uid_t euid = geteuid();
577 gid_t egid = getegid();
578
579 if (euid == root_uid || euid != uid || egid != gid || igflag)
580   {
581   /* At least one OS returns +1 for initgroups failure, so just check for
582   non-zero. */
583
584   if (igflag)
585     {
586     struct passwd *pw = getpwuid(uid);
587     if (pw != NULL)
588       {
589       if (initgroups(pw->pw_name, gid) != 0)
590         log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
591           (long int)uid, strerror(errno));
592       }
593     else log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
594       "no passwd entry for uid=%ld", (long int)uid);
595     }
596
597   if (setgid(gid) < 0 || setuid(uid) < 0)
598     {
599     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
600       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
601     }
602   }
603
604 /* Debugging output included uid/gid and all groups */
605
606 DEBUG(D_uid)
607   {
608   int group_count, save_errno;
609   gid_t group_list[NGROUPS_MAX];
610   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
611     (long int)geteuid(), (long int)getegid(), (long int)getpid());
612   group_count = getgroups(NGROUPS_MAX, group_list);
613   save_errno = errno;
614   debug_printf("  auxiliary group list:");
615   if (group_count > 0)
616     {
617     int i;
618     for (i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
619     }
620   else if (group_count < 0)
621     debug_printf(" <error: %s>", strerror(save_errno));
622   else debug_printf(" <none>");
623   debug_printf("\n");
624   }
625 }
626
627
628
629
630 /*************************************************
631 *               Exit point                       *
632 *************************************************/
633
634 /* Exim exits via this function so that it always clears up any open
635 databases.
636
637 Arguments:
638   rc         return code
639
640 Returns:     does not return
641 */
642
643 void
644 exim_exit(int rc)
645 {
646 search_tidyup();
647 DEBUG(D_any)
648   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d terminating with rc=%d "
649     ">>>>>>>>>>>>>>>>\n", (int)getpid(), rc);
650 exit(rc);
651 }
652
653
654
655
656 /*************************************************
657 *         Extract port from host address         *
658 *************************************************/
659
660 /* Called to extract the port from the values given to -oMa and -oMi.
661 It also checks the syntax of the address, and terminates it before the
662 port data when a port is extracted.
663
664 Argument:
665   address   the address, with possible port on the end
666
667 Returns:    the port, or zero if there isn't one
668             bombs out on a syntax error
669 */
670
671 static int
672 check_port(uschar *address)
673 {
674 int port = host_address_extract_port(address);
675 if (string_is_ip_address(address, NULL) == 0)
676   {
677   fprintf(stderr, "exim abandoned: \"%s\" is not an IP address\n", address);
678   exit(EXIT_FAILURE);
679   }
680 return port;
681 }
682
683
684
685 /*************************************************
686 *              Test/verify an address            *
687 *************************************************/
688
689 /* This function is called by the -bv and -bt code. It extracts a working
690 address from a full RFC 822 address. This isn't really necessary per se, but it
691 has the effect of collapsing source routes.
692
693 Arguments:
694   s            the address string
695   flags        flag bits for verify_address()
696   exit_value   to be set for failures
697
698 Returns:       nothing
699 */
700
701 static void
702 test_address(uschar *s, int flags, int *exit_value)
703 {
704 int start, end, domain;
705 uschar *parse_error = NULL;
706 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
707   FALSE);
708 if (address == NULL)
709   {
710   fprintf(stdout, "syntax error: %s\n", parse_error);
711   *exit_value = 2;
712   }
713 else
714   {
715   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
716     -1, -1, NULL, NULL, NULL);
717   if (rc == FAIL) *exit_value = 2;
718     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
719   }
720 }
721
722
723
724 /*************************************************
725 *          Show supported features               *
726 *************************************************/
727
728 /* This function is called for -bV/--version and for -d to output the optional
729 features of the current Exim binary.
730
731 Arguments:  a FILE for printing
732 Returns:    nothing
733 */
734
735 static void
736 show_whats_supported(FILE *f)
737 {
738   auth_info *authi;
739
740 #ifdef DB_VERSION_STRING
741 fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
742 #elif defined(BTREEVERSION) && defined(HASHVERSION)
743   #ifdef USE_DB
744   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
745   #else
746   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
747   #endif
748 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
749 fprintf(f, "Probably ndbm\n");
750 #elif defined(USE_TDB)
751 fprintf(f, "Using tdb\n");
752 #else
753   #ifdef USE_GDBM
754   fprintf(f, "Probably GDBM (native mode)\n");
755   #else
756   fprintf(f, "Probably GDBM (compatibility mode)\n");
757   #endif
758 #endif
759
760 fprintf(f, "Support for:");
761 #ifdef SUPPORT_CRYPTEQ
762   fprintf(f, " crypteq");
763 #endif
764 #if HAVE_ICONV
765   fprintf(f, " iconv()");
766 #endif
767 #if HAVE_IPV6
768   fprintf(f, " IPv6");
769 #endif
770 #ifdef HAVE_SETCLASSRESOURCES
771   fprintf(f, " use_setclassresources");
772 #endif
773 #ifdef SUPPORT_PAM
774   fprintf(f, " PAM");
775 #endif
776 #ifdef EXIM_PERL
777   fprintf(f, " Perl");
778 #endif
779 #ifdef EXPAND_DLFUNC
780   fprintf(f, " Expand_dlfunc");
781 #endif
782 #ifdef USE_TCP_WRAPPERS
783   fprintf(f, " TCPwrappers");
784 #endif
785 #ifdef SUPPORT_TLS
786   #ifdef USE_GNUTLS
787   fprintf(f, " GnuTLS");
788   #else
789   fprintf(f, " OpenSSL");
790   #endif
791 #endif
792 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
793   fprintf(f, " translate_ip_address");
794 #endif
795 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
796   fprintf(f, " move_frozen_messages");
797 #endif
798 #ifdef WITH_CONTENT_SCAN
799   fprintf(f, " Content_Scanning");
800 #endif
801 #ifndef DISABLE_DKIM
802   fprintf(f, " DKIM");
803 #endif
804 #ifdef WITH_OLD_DEMIME
805   fprintf(f, " Old_Demime");
806 #endif
807 #ifdef EXPERIMENTAL_SPF
808   fprintf(f, " Experimental_SPF");
809 #endif
810 #ifdef EXPERIMENTAL_SRS
811   fprintf(f, " Experimental_SRS");
812 #endif
813 #ifdef EXPERIMENTAL_BRIGHTMAIL
814   fprintf(f, " Experimental_Brightmail");
815 #endif
816 #ifdef EXPERIMENTAL_DCC
817   fprintf(f, " Experimental_DCC");
818 #endif
819 fprintf(f, "\n");
820
821 fprintf(f, "Lookups (built-in):");
822 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
823   fprintf(f, " lsearch wildlsearch nwildlsearch iplsearch");
824 #endif
825 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
826   fprintf(f, " cdb");
827 #endif
828 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
829   fprintf(f, " dbm dbmjz dbmnz");
830 #endif
831 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
832   fprintf(f, " dnsdb");
833 #endif
834 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
835   fprintf(f, " dsearch");
836 #endif
837 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
838   fprintf(f, " ibase");
839 #endif
840 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
841   fprintf(f, " ldap ldapdn ldapm");
842 #endif
843 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
844   fprintf(f, " mysql");
845 #endif
846 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
847   fprintf(f, " nis nis0");
848 #endif
849 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
850   fprintf(f, " nisplus");
851 #endif
852 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
853   fprintf(f, " oracle");
854 #endif
855 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
856   fprintf(f, " passwd");
857 #endif
858 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
859   fprintf(f, " pgsql");
860 #endif
861 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
862   fprintf(f, " sqlite");
863 #endif
864 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
865   fprintf(f, " testdb");
866 #endif
867 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
868   fprintf(f, " whoson");
869 #endif
870 fprintf(f, "\n");
871
872 fprintf(f, "Authenticators:");
873 #ifdef AUTH_CRAM_MD5
874   fprintf(f, " cram_md5");
875 #endif
876 #ifdef AUTH_CYRUS_SASL
877   fprintf(f, " cyrus_sasl");
878 #endif
879 #ifdef AUTH_DOVECOT
880   fprintf(f, " dovecot");
881 #endif
882 #ifdef AUTH_GSASL
883   fprintf(f, " gsasl");
884 #endif
885 #ifdef AUTH_HEIMDAL_GSSAPI
886   fprintf(f, " heimdal_gssapi");
887 #endif
888 #ifdef AUTH_PLAINTEXT
889   fprintf(f, " plaintext");
890 #endif
891 #ifdef AUTH_SPA
892   fprintf(f, " spa");
893 #endif
894 fprintf(f, "\n");
895
896 fprintf(f, "Routers:");
897 #ifdef ROUTER_ACCEPT
898   fprintf(f, " accept");
899 #endif
900 #ifdef ROUTER_DNSLOOKUP
901   fprintf(f, " dnslookup");
902 #endif
903 #ifdef ROUTER_IPLITERAL
904   fprintf(f, " ipliteral");
905 #endif
906 #ifdef ROUTER_IPLOOKUP
907   fprintf(f, " iplookup");
908 #endif
909 #ifdef ROUTER_MANUALROUTE
910   fprintf(f, " manualroute");
911 #endif
912 #ifdef ROUTER_QUERYPROGRAM
913   fprintf(f, " queryprogram");
914 #endif
915 #ifdef ROUTER_REDIRECT
916   fprintf(f, " redirect");
917 #endif
918 fprintf(f, "\n");
919
920 fprintf(f, "Transports:");
921 #ifdef TRANSPORT_APPENDFILE
922   fprintf(f, " appendfile");
923   #ifdef SUPPORT_MAILDIR
924     fprintf(f, "/maildir");
925   #endif
926   #ifdef SUPPORT_MAILSTORE
927     fprintf(f, "/mailstore");
928   #endif
929   #ifdef SUPPORT_MBX
930     fprintf(f, "/mbx");
931   #endif
932 #endif
933 #ifdef TRANSPORT_AUTOREPLY
934   fprintf(f, " autoreply");
935 #endif
936 #ifdef TRANSPORT_LMTP
937   fprintf(f, " lmtp");
938 #endif
939 #ifdef TRANSPORT_PIPE
940   fprintf(f, " pipe");
941 #endif
942 #ifdef TRANSPORT_SMTP
943   fprintf(f, " smtp");
944 #endif
945 fprintf(f, "\n");
946
947 if (fixed_never_users[0] > 0)
948   {
949   int i;
950   fprintf(f, "Fixed never_users: ");
951   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
952     fprintf(f, "%d:", (unsigned int)fixed_never_users[i]);
953   fprintf(f, "%d\n", (unsigned int)fixed_never_users[i]);
954   }
955
956 fprintf(f, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
957
958 /* Everything else is details which are only worth reporting when debugging.
959 Perhaps the tls_version_report should move into this too. */
960 DEBUG(D_any) do {
961
962   int i;
963
964 /* clang defines __GNUC__ (at least, for me) so test for it first */
965 #if defined(__clang__)
966   fprintf(f, "Compiler: CLang [%s]\n", __clang_version__);
967 #elif defined(__GNUC__)
968   fprintf(f, "Compiler: GCC [%s]\n",
969 # ifdef __VERSION__
970       __VERSION__
971 # else
972       "? unknown version ?"
973 # endif
974       );
975 #else
976   fprintf(f, "Compiler: <unknown>\n");
977 #endif
978
979 #ifdef SUPPORT_TLS
980   tls_version_report(f);
981 #endif
982
983   for (authi = auths_available; *authi->driver_name != '\0'; ++authi) {
984     if (authi->version_report) {
985       (*authi->version_report)(f);
986     }
987   }
988
989   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
990   characters; unless it's an ancient version of PCRE in which case it
991   is not defined. */
992 #ifndef PCRE_PRERELEASE
993 #define PCRE_PRERELEASE
994 #endif
995 #define QUOTE(X) #X
996 #define EXPAND_AND_QUOTE(X) QUOTE(X)
997   fprintf(f, "Library version: PCRE: Compile: %d.%d%s\n"
998              "                       Runtime: %s\n",
999           PCRE_MAJOR, PCRE_MINOR,
1000           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1001           pcre_version());
1002 #undef QUOTE
1003 #undef EXPAND_AND_QUOTE
1004
1005   init_lookup_list();
1006   for (i = 0; i < lookup_list_count; i++)
1007     {
1008     if (lookup_list[i]->version_report)
1009       lookup_list[i]->version_report(f);
1010     }
1011
1012 #ifdef WHITELIST_D_MACROS
1013   fprintf(f, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1014 #else
1015   fprintf(f, "WHITELIST_D_MACROS unset\n");
1016 #endif
1017 #ifdef TRUSTED_CONFIG_LIST
1018   fprintf(f, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1019 #else
1020   fprintf(f, "TRUSTED_CONFIG_LIST unset\n");
1021 #endif
1022
1023 } while (0);
1024 }
1025
1026
1027 /*************************************************
1028 *     Show auxiliary information about Exim      *
1029 *************************************************/
1030
1031 static void
1032 show_exim_information(enum commandline_info request, FILE *stream)
1033 {
1034 const uschar **pp;
1035
1036 switch(request)
1037   {
1038   case CMDINFO_NONE:
1039     fprintf(stream, "Oops, something went wrong.\n");
1040     return;
1041   case CMDINFO_HELP:
1042     fprintf(stream,
1043 "The -bI: flag takes a string indicating which information to provide.\n"
1044 "If the string is not recognised, you'll get this help (on stderr).\n"
1045 "\n"
1046 "  exim -bI:help    this information\n"
1047 "  exim -bI:sieve   list of supported sieve extensions, one per line.\n"
1048 );
1049     return;
1050   case CMDINFO_SIEVE:
1051     for (pp = exim_sieve_extension_list; *pp; ++pp)
1052       fprintf(stream, "%s\n", *pp);
1053     return;
1054
1055   }
1056 }
1057
1058
1059 /*************************************************
1060 *               Quote a local part               *
1061 *************************************************/
1062
1063 /* This function is used when a sender address or a From: or Sender: header
1064 line is being created from the caller's login, or from an authenticated_id. It
1065 applies appropriate quoting rules for a local part.
1066
1067 Argument:    the local part
1068 Returns:     the local part, quoted if necessary
1069 */
1070
1071 uschar *
1072 local_part_quote(uschar *lpart)
1073 {
1074 BOOL needs_quote = FALSE;
1075 int size, ptr;
1076 uschar *yield;
1077 uschar *t;
1078
1079 for (t = lpart; !needs_quote && *t != 0; t++)
1080   {
1081   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1082     (*t != '.' || t == lpart || t[1] == 0);
1083   }
1084
1085 if (!needs_quote) return lpart;
1086
1087 size = ptr = 0;
1088 yield = string_cat(NULL, &size, &ptr, US"\"", 1);
1089
1090 for (;;)
1091   {
1092   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1093   if (nq == NULL)
1094     {
1095     yield = string_cat(yield, &size, &ptr, lpart, Ustrlen(lpart));
1096     break;
1097     }
1098   yield = string_cat(yield, &size, &ptr, lpart, nq - lpart);
1099   yield = string_cat(yield, &size, &ptr, US"\\", 1);
1100   yield = string_cat(yield, &size, &ptr, nq, 1);
1101   lpart = nq + 1;
1102   }
1103
1104 yield = string_cat(yield, &size, &ptr, US"\"", 1);
1105 yield[ptr] = 0;
1106 return yield;
1107 }
1108
1109
1110
1111 #ifdef USE_READLINE
1112 /*************************************************
1113 *         Load readline() functions              *
1114 *************************************************/
1115
1116 /* This function is called from testing executions that read data from stdin,
1117 but only when running as the calling user. Currently, only -be does this. The
1118 function loads the readline() function library and passes back the functions.
1119 On some systems, it needs the curses library, so load that too, but try without
1120 it if loading fails. All this functionality has to be requested at build time.
1121
1122 Arguments:
1123   fn_readline_ptr   pointer to where to put the readline pointer
1124   fn_addhist_ptr    pointer to where to put the addhistory function
1125
1126 Returns:            the dlopen handle or NULL on failure
1127 */
1128
1129 static void *
1130 set_readline(char * (**fn_readline_ptr)(const char *),
1131              void   (**fn_addhist_ptr)(const char *))
1132 {
1133 void *dlhandle;
1134 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1135
1136 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1137 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1138
1139 if (dlhandle != NULL)
1140   {
1141   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1142    *   char * readline (const char *prompt);
1143    *   void add_history (const char *string);
1144    */
1145   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1146   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1147   }
1148 else
1149   {
1150   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1151   }
1152
1153 return dlhandle;
1154 }
1155 #endif
1156
1157
1158
1159 /*************************************************
1160 *    Get a line from stdin for testing things    *
1161 *************************************************/
1162
1163 /* This function is called when running tests that can take a number of lines
1164 of input (for example, -be and -bt). It handles continuations and trailing
1165 spaces. And prompting and a blank line output on eof. If readline() is in use,
1166 the arguments are non-NULL and provide the relevant functions.
1167
1168 Arguments:
1169   fn_readline   readline function or NULL
1170   fn_addhist    addhist function or NULL
1171
1172 Returns:        pointer to dynamic memory, or NULL at end of file
1173 */
1174
1175 static uschar *
1176 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1177 {
1178 int i;
1179 int size = 0;
1180 int ptr = 0;
1181 uschar *yield = NULL;
1182
1183 if (fn_readline == NULL) { printf("> "); fflush(stdout); }
1184
1185 for (i = 0;; i++)
1186   {
1187   uschar buffer[1024];
1188   uschar *p, *ss;
1189
1190   #ifdef USE_READLINE
1191   char *readline_line = NULL;
1192   if (fn_readline != NULL)
1193     {
1194     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1195     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1196     p = US readline_line;
1197     }
1198   else
1199   #endif
1200
1201   /* readline() not in use */
1202
1203     {
1204     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1205     p = buffer;
1206     }
1207
1208   /* Handle the line */
1209
1210   ss = p + (int)Ustrlen(p);
1211   while (ss > p && isspace(ss[-1])) ss--;
1212
1213   if (i > 0)
1214     {
1215     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1216     }
1217
1218   yield = string_cat(yield, &size, &ptr, p, ss - p);
1219
1220   #ifdef USE_READLINE
1221   if (fn_readline != NULL) free(readline_line);
1222   #endif
1223
1224   if (ss == p || yield[ptr-1] != '\\')
1225     {
1226     yield[ptr] = 0;
1227     break;
1228     }
1229   yield[--ptr] = 0;
1230   }
1231
1232 if (yield == NULL) printf("\n");
1233 return yield;
1234 }
1235
1236
1237
1238 /*************************************************
1239 *    Output usage information for the program    *
1240 *************************************************/
1241
1242 /* This function is called when there are no recipients
1243    or a specific --help argument was added.
1244
1245 Arguments:
1246   progname      information on what name we were called by
1247
1248 Returns:        DOES NOT RETURN
1249 */
1250
1251 static void
1252 exim_usage(uschar *progname)
1253 {
1254
1255 /* Handle specific program invocation varients */
1256 if (Ustrcmp(progname, US"-mailq") == 0)
1257   {
1258   fprintf(stderr,
1259     "mailq - list the contents of the mail queue\n\n"
1260     "For a list of options, see the Exim documentation.\n");
1261   exit(EXIT_FAILURE);
1262   }
1263
1264 /* Generic usage - we output this whatever happens */
1265 fprintf(stderr,
1266   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1267   "not directly from a shell command line. Options and/or arguments control\n"
1268   "what it does when called. For a list of options, see the Exim documentation.\n");
1269
1270 exit(EXIT_FAILURE);
1271 }
1272
1273
1274
1275 /*************************************************
1276 *    Validate that the macros given are okay     *
1277 *************************************************/
1278
1279 /* Typically, Exim will drop privileges if macros are supplied.  In some
1280 cases, we want to not do so.
1281
1282 Arguments:    none (macros is a global)
1283 Returns:      true if trusted, false otherwise
1284 */
1285
1286 static BOOL
1287 macros_trusted(void)
1288 {
1289 #ifdef WHITELIST_D_MACROS
1290 macro_item *m;
1291 uschar *whitelisted, *end, *p, **whites, **w;
1292 int white_count, i, n;
1293 size_t len;
1294 BOOL prev_char_item, found;
1295 #endif
1296
1297 if (macros == NULL)
1298   return TRUE;
1299 #ifndef WHITELIST_D_MACROS
1300 return FALSE;
1301 #else
1302
1303 /* We only trust -D overrides for some invoking users:
1304 root, the exim run-time user, the optional config owner user.
1305 I don't know why config-owner would be needed, but since they can own the
1306 config files anyway, there's no security risk to letting them override -D. */
1307 if ( ! ((real_uid == root_uid)
1308      || (real_uid == exim_uid)
1309 #ifdef CONFIGURE_OWNER
1310      || (real_uid == config_uid)
1311 #endif
1312    ))
1313   {
1314   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1315   return FALSE;
1316   }
1317
1318 /* Get a list of macros which are whitelisted */
1319 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1320 prev_char_item = FALSE;
1321 white_count = 0;
1322 for (p = whitelisted; *p != '\0'; ++p)
1323   {
1324   if (*p == ':' || isspace(*p))
1325     {
1326     *p = '\0';
1327     if (prev_char_item)
1328       ++white_count;
1329     prev_char_item = FALSE;
1330     continue;
1331     }
1332   if (!prev_char_item)
1333     prev_char_item = TRUE;
1334   }
1335 end = p;
1336 if (prev_char_item)
1337   ++white_count;
1338 if (!white_count)
1339   return FALSE;
1340 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1341 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1342   {
1343   if (*p != '\0')
1344     {
1345     whites[i++] = p;
1346     if (i == white_count)
1347       break;
1348     while (*p != '\0' && p < end)
1349       ++p;
1350     }
1351   }
1352 whites[i] = NULL;
1353
1354 /* The list of macros should be very short.  Accept the N*M complexity. */
1355 for (m = macros; m != NULL; m = m->next)
1356   {
1357   found = FALSE;
1358   for (w = whites; *w; ++w)
1359     if (Ustrcmp(*w, m->name) == 0)
1360       {
1361       found = TRUE;
1362       break;
1363       }
1364   if (!found)
1365     return FALSE;
1366   if (m->replacement == NULL)
1367     continue;
1368   len = Ustrlen(m->replacement);
1369   if (len == 0)
1370     continue;
1371   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1372    0, PCRE_EOPT, NULL, 0);
1373   if (n < 0)
1374     {
1375     if (n != PCRE_ERROR_NOMATCH)
1376       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1377     return FALSE;
1378     }
1379   }
1380 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1381 return TRUE;
1382 #endif
1383 }
1384
1385
1386 /*************************************************
1387 *          Entry point and high-level code       *
1388 *************************************************/
1389
1390 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1391 the appropriate action. All the necessary functions are present in the one
1392 binary. I originally thought one should split it up, but it turns out that so
1393 much of the apparatus is needed in each chunk that one might as well just have
1394 it all available all the time, which then makes the coding easier as well.
1395
1396 Arguments:
1397   argc      count of entries in argv
1398   argv      argument strings, with argv[0] being the program name
1399
1400 Returns:    EXIT_SUCCESS if terminated successfully
1401             EXIT_FAILURE otherwise, except when a message has been sent
1402               to the sender, and -oee was given
1403 */
1404
1405 int
1406 main(int argc, char **cargv)
1407 {
1408 uschar **argv = USS cargv;
1409 int  arg_receive_timeout = -1;
1410 int  arg_smtp_receive_timeout = -1;
1411 int  arg_error_handling = error_handling;
1412 int  filter_sfd = -1;
1413 int  filter_ufd = -1;
1414 int  group_count;
1415 int  i, rv;
1416 int  list_queue_option = 0;
1417 int  msg_action = 0;
1418 int  msg_action_arg = -1;
1419 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1420 int  queue_only_reason = 0;
1421 #ifdef EXIM_PERL
1422 int  perl_start_option = 0;
1423 #endif
1424 int  recipients_arg = argc;
1425 int  sender_address_domain = 0;
1426 int  test_retry_arg = -1;
1427 int  test_rewrite_arg = -1;
1428 BOOL arg_queue_only = FALSE;
1429 BOOL bi_option = FALSE;
1430 BOOL checking = FALSE;
1431 BOOL count_queue = FALSE;
1432 BOOL expansion_test = FALSE;
1433 BOOL extract_recipients = FALSE;
1434 BOOL flag_n = FALSE;
1435 BOOL forced_delivery = FALSE;
1436 BOOL f_end_dot = FALSE;
1437 BOOL deliver_give_up = FALSE;
1438 BOOL list_queue = FALSE;
1439 BOOL list_options = FALSE;
1440 BOOL local_queue_only;
1441 BOOL more = TRUE;
1442 BOOL one_msg_action = FALSE;
1443 BOOL queue_only_set = FALSE;
1444 BOOL receiving_message = TRUE;
1445 BOOL sender_ident_set = FALSE;
1446 BOOL session_local_queue_only;
1447 BOOL unprivileged;
1448 BOOL removed_privilege = FALSE;
1449 BOOL usage_wanted = FALSE;
1450 BOOL verify_address_mode = FALSE;
1451 BOOL verify_as_sender = FALSE;
1452 BOOL version_printed = FALSE;
1453 uschar *alias_arg = NULL;
1454 uschar *called_as = US"";
1455 uschar *start_queue_run_id = NULL;
1456 uschar *stop_queue_run_id = NULL;
1457 uschar *expansion_test_message = NULL;
1458 uschar *ftest_domain = NULL;
1459 uschar *ftest_localpart = NULL;
1460 uschar *ftest_prefix = NULL;
1461 uschar *ftest_suffix = NULL;
1462 uschar *malware_test_file = NULL;
1463 uschar *real_sender_address;
1464 uschar *originator_home = US"/";
1465 void *reset_point;
1466
1467 struct passwd *pw;
1468 struct stat statbuf;
1469 pid_t passed_qr_pid = (pid_t)0;
1470 int passed_qr_pipe = -1;
1471 gid_t group_list[NGROUPS_MAX];
1472
1473 /* For the -bI: flag */
1474 enum commandline_info info_flag = CMDINFO_NONE;
1475 BOOL info_stdout = FALSE;
1476
1477 /* Possible options for -R and -S */
1478
1479 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1480
1481 /* Need to define this in case we need to change the environment in order
1482 to get rid of a bogus time zone. We have to make it char rather than uschar
1483 because some OS define it in /usr/include/unistd.h. */
1484
1485 extern char **environ;
1486
1487 /* If the Exim user and/or group and/or the configuration file owner/group were
1488 defined by ref:name at build time, we must now find the actual uid/gid values.
1489 This is a feature to make the lives of binary distributors easier. */
1490
1491 #ifdef EXIM_USERNAME
1492 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1493   {
1494   if (exim_uid == 0)
1495     {
1496     fprintf(stderr, "exim: refusing to run with uid 0 for \"%s\"\n",
1497       EXIM_USERNAME);
1498     exit(EXIT_FAILURE);
1499     }
1500   /* If ref:name uses a number as the name, route_finduser() returns
1501   TRUE with exim_uid set and pw coerced to NULL. */
1502   if (pw)
1503     exim_gid = pw->pw_gid;
1504 #ifndef EXIM_GROUPNAME
1505   else
1506     {
1507     fprintf(stderr,
1508         "exim: ref:name should specify a usercode, not a group.\n"
1509         "exim: can't let you get away with it unless you also specify a group.\n");
1510     exit(EXIT_FAILURE);
1511     }
1512 #endif
1513   }
1514 else
1515   {
1516   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1517     EXIM_USERNAME);
1518   exit(EXIT_FAILURE);
1519   }
1520 #endif
1521
1522 #ifdef EXIM_GROUPNAME
1523 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1524   {
1525   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1526     EXIM_GROUPNAME);
1527   exit(EXIT_FAILURE);
1528   }
1529 #endif
1530
1531 #ifdef CONFIGURE_OWNERNAME
1532 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1533   {
1534   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1535     CONFIGURE_OWNERNAME);
1536   exit(EXIT_FAILURE);
1537   }
1538 #endif
1539
1540 /* We default the system_filter_user to be the Exim run-time user, as a
1541 sane non-root value. */
1542 system_filter_uid = exim_uid;
1543
1544 #ifdef CONFIGURE_GROUPNAME
1545 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1546   {
1547   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1548     CONFIGURE_GROUPNAME);
1549   exit(EXIT_FAILURE);
1550   }
1551 #endif
1552
1553 /* In the Cygwin environment, some initialization needs doing. It is fudged
1554 in by means of this macro. */
1555
1556 #ifdef OS_INIT
1557 OS_INIT
1558 #endif
1559
1560 /* Check a field which is patched when we are running Exim within its
1561 testing harness; do a fast initial check, and then the whole thing. */
1562
1563 running_in_test_harness =
1564   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1565
1566 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1567 at the start of a program; however, it seems that some environments do not
1568 follow this. A "strange" locale can affect the formatting of timestamps, so we
1569 make quite sure. */
1570
1571 setlocale(LC_ALL, "C");
1572
1573 /* Set up the default handler for timing using alarm(). */
1574
1575 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1576
1577 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1578 because store_malloc writes a log entry on failure. */
1579
1580 log_buffer = (uschar *)malloc(LOG_BUFFER_SIZE);
1581 if (log_buffer == NULL)
1582   {
1583   fprintf(stderr, "exim: failed to get store for log buffer\n");
1584   exit(EXIT_FAILURE);
1585   }
1586
1587 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1588 NULL when the daemon is run and the file is closed. We have to use this
1589 indirection, because some systems don't allow writing to the variable "stderr".
1590 */
1591
1592 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1593
1594 /* Arrange for the PCRE regex library to use our store functions. Note that
1595 the normal calls are actually macros that add additional arguments for
1596 debugging purposes so we have to assign specially constructed functions here.
1597 The default is to use store in the stacking pool, but this is overridden in the
1598 regex_must_compile() function. */
1599
1600 pcre_malloc = function_store_get;
1601 pcre_free = function_dummy_free;
1602
1603 /* Ensure there is a big buffer for temporary use in several places. It is put
1604 in malloc store so that it can be freed for enlargement if necessary. */
1605
1606 big_buffer = store_malloc(big_buffer_size);
1607
1608 /* Set up the handler for the data request signal, and set the initial
1609 descriptive text. */
1610
1611 set_process_info("initializing");
1612 os_restarting_signal(SIGUSR1, usr1_handler);
1613
1614 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1615 in the daemon code. For the rest of Exim's uses, we ignore it. */
1616
1617 signal(SIGHUP, SIG_IGN);
1618
1619 /* We don't want to die on pipe errors as the code is written to handle
1620 the write error instead. */
1621
1622 signal(SIGPIPE, SIG_IGN);
1623
1624 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1625 set to SIG_IGN. This causes subprocesses that complete before the parent
1626 process waits for them not to hang around, so when Exim calls wait(), nothing
1627 is there. The wait() code has been made robust against this, but let's ensure
1628 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1629 ending status. We use sigaction rather than plain signal() on those OS where
1630 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1631 problem on AIX with this.) */
1632
1633 #ifdef SA_NOCLDWAIT
1634   {
1635   struct sigaction act;
1636   act.sa_handler = SIG_DFL;
1637   sigemptyset(&(act.sa_mask));
1638   act.sa_flags = 0;
1639   sigaction(SIGCHLD, &act, NULL);
1640   }
1641 #else
1642 signal(SIGCHLD, SIG_DFL);
1643 #endif
1644
1645 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1646 SIGHUP. */
1647
1648 sighup_argv = argv;
1649
1650 /* Set up the version number. Set up the leading 'E' for the external form of
1651 message ids, set the pointer to the internal form, and initialize it to
1652 indicate no message being processed. */
1653
1654 version_init();
1655 message_id_option[0] = '-';
1656 message_id_external = message_id_option + 1;
1657 message_id_external[0] = 'E';
1658 message_id = message_id_external + 1;
1659 message_id[0] = 0;
1660
1661 /* Set the umask to zero so that any files Exim creates using open() are
1662 created with the modes that it specifies. NOTE: Files created with fopen() have
1663 a problem, which was not recognized till rather late (February 2006). With this
1664 umask, such files will be world writeable. (They are all content scanning files
1665 in the spool directory, which isn't world-accessible, so this is not a
1666 disaster, but it's untidy.) I don't want to change this overall setting,
1667 however, because it will interact badly with the open() calls. Instead, there's
1668 now a function called modefopen() that fiddles with the umask while calling
1669 fopen(). */
1670
1671 (void)umask(0);
1672
1673 /* Precompile the regular expression for matching a message id. Keep this in
1674 step with the code that generates ids in the accept.c module. We need to do
1675 this here, because the -M options check their arguments for syntactic validity
1676 using mac_ismsgid, which uses this. */
1677
1678 regex_ismsgid =
1679   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1680
1681 /* Precompile the regular expression that is used for matching an SMTP error
1682 code, possibly extended, at the start of an error message. Note that the
1683 terminating whitespace character is included. */
1684
1685 regex_smtp_code =
1686   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1687     FALSE, TRUE);
1688
1689 #ifdef WHITELIST_D_MACROS
1690 /* Precompile the regular expression used to filter the content of macros
1691 given to -D for permissibility. */
1692
1693 regex_whitelisted_macro =
1694   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1695 #endif
1696
1697
1698 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1699 this seems to be a generally accepted convention, since one finds symbolic
1700 links called "mailq" in standard OS configurations. */
1701
1702 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1703     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1704   {
1705   list_queue = TRUE;
1706   receiving_message = FALSE;
1707   called_as = US"-mailq";
1708   }
1709
1710 /* If the program is called as "rmail" treat it as equivalent to
1711 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1712 i.e. preventing a single dot on a line from terminating the message, and
1713 returning with zero return code, even in cases of error (provided an error
1714 message has been sent). */
1715
1716 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1717     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1718   {
1719   dot_ends = FALSE;
1720   called_as = US"-rmail";
1721   errors_sender_rc = EXIT_SUCCESS;
1722   }
1723
1724 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1725 this is a smail convention. */
1726
1727 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1728     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1729   {
1730   smtp_input = smtp_batched_input = TRUE;
1731   called_as = US"-rsmtp";
1732   }
1733
1734 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1735 this is a smail convention. */
1736
1737 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1738     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1739   {
1740   queue_interval = 0;
1741   receiving_message = FALSE;
1742   called_as = US"-runq";
1743   }
1744
1745 /* If the program is called as "newaliases" treat it as equivalent to
1746 "exim -bi"; this is a sendmail convention. */
1747
1748 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1749     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1750   {
1751   bi_option = TRUE;
1752   receiving_message = FALSE;
1753   called_as = US"-newaliases";
1754   }
1755
1756 /* Save the original effective uid for a couple of uses later. It should
1757 normally be root, but in some esoteric environments it may not be. */
1758
1759 original_euid = geteuid();
1760
1761 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1762 to be the same as the real ones. This makes a difference only if Exim is setuid
1763 (or setgid) to something other than root, which could be the case in some
1764 special configurations. */
1765
1766 real_uid = getuid();
1767 real_gid = getgid();
1768
1769 if (real_uid == root_uid)
1770   {
1771   rv = setgid(real_gid);
1772   if (rv)
1773     {
1774     fprintf(stderr, "exim: setgid(%ld) failed: %s\n",
1775         (long int)real_gid, strerror(errno));
1776     exit(EXIT_FAILURE);
1777     }
1778   rv = setuid(real_uid);
1779   if (rv)
1780     {
1781     fprintf(stderr, "exim: setuid(%ld) failed: %s\n",
1782         (long int)real_uid, strerror(errno));
1783     exit(EXIT_FAILURE);
1784     }
1785   }
1786
1787 /* If neither the original real uid nor the original euid was root, Exim is
1788 running in an unprivileged state. */
1789
1790 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1791
1792 /* Scan the program's arguments. Some can be dealt with right away; others are
1793 simply recorded for checking and handling afterwards. Do a high-level switch
1794 on the second character (the one after '-'), to save some effort. */
1795
1796 for (i = 1; i < argc; i++)
1797   {
1798   BOOL badarg = FALSE;
1799   uschar *arg = argv[i];
1800   uschar *argrest;
1801   int switchchar;
1802
1803   /* An argument not starting with '-' is the start of a recipients list;
1804   break out of the options-scanning loop. */
1805
1806   if (arg[0] != '-')
1807     {
1808     recipients_arg = i;
1809     break;
1810     }
1811
1812   /* An option consistion of -- terminates the options */
1813
1814   if (Ustrcmp(arg, "--") == 0)
1815     {
1816     recipients_arg = i + 1;
1817     break;
1818     }
1819
1820   /* Handle flagged options */
1821
1822   switchchar = arg[1];
1823   argrest = arg+2;
1824
1825   /* Make all -ex options synonymous with -oex arguments, since that
1826   is assumed by various callers. Also make -qR options synonymous with -R
1827   options, as that seems to be required as well. Allow for -qqR too, and
1828   the same for -S options. */
1829
1830   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1831       Ustrncmp(arg+1, "qR", 2) == 0 ||
1832       Ustrncmp(arg+1, "qS", 2) == 0)
1833     {
1834     switchchar = arg[2];
1835     argrest++;
1836     }
1837   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1838     {
1839     switchchar = arg[3];
1840     argrest += 2;
1841     queue_2stage = TRUE;
1842     }
1843
1844   /* Make -r synonymous with -f, since it is a documented alias */
1845
1846   else if (arg[1] == 'r') switchchar = 'f';
1847
1848   /* Make -ov synonymous with -v */
1849
1850   else if (Ustrcmp(arg, "-ov") == 0)
1851     {
1852     switchchar = 'v';
1853     argrest++;
1854     }
1855
1856   /* deal with --option_aliases */
1857   else if (switchchar == '-')
1858     {
1859     if (Ustrcmp(argrest, "help") == 0)
1860       {
1861       usage_wanted = TRUE;
1862       break;
1863       }
1864     else if (Ustrcmp(argrest, "version") == 0)
1865       {
1866       switchchar = 'b';
1867       argrest = US"V";
1868       }
1869     }
1870
1871   /* High-level switch on active initial letter */
1872
1873   switch(switchchar)
1874     {
1875     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1876     so has no need of it. */
1877
1878     case 'B':
1879     if (*argrest == 0) i++;       /* Skip over the type */
1880     break;
1881
1882
1883     case 'b':
1884     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1885
1886     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1887        -bdf: Ditto, but in the foreground.
1888     */
1889
1890     if (*argrest == 'd')
1891       {
1892       daemon_listen = TRUE;
1893       if (*(++argrest) == 'f') background_daemon = FALSE;
1894         else if (*argrest != 0) { badarg = TRUE; break; }
1895       }
1896
1897     /* -be:  Run in expansion test mode
1898        -bem: Ditto, but read a message from a file first
1899     */
1900
1901     else if (*argrest == 'e')
1902       {
1903       expansion_test = checking = TRUE;
1904       if (argrest[1] == 'm')
1905         {
1906         if (++i >= argc) { badarg = TRUE; break; }
1907         expansion_test_message = argv[i];
1908         argrest++;
1909         }
1910       if (argrest[1] != 0) { badarg = TRUE; break; }
1911       }
1912
1913     /* -bF:  Run system filter test */
1914
1915     else if (*argrest == 'F')
1916       {
1917       filter_test |= FTEST_SYSTEM;
1918       if (*(++argrest) != 0) { badarg = TRUE; break; }
1919       if (++i < argc) filter_test_sfile = argv[i]; else
1920         {
1921         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
1922         exit(EXIT_FAILURE);
1923         }
1924       }
1925
1926     /* -bf:  Run user filter test
1927        -bfd: Set domain for filter testing
1928        -bfl: Set local part for filter testing
1929        -bfp: Set prefix for filter testing
1930        -bfs: Set suffix for filter testing
1931     */
1932
1933     else if (*argrest == 'f')
1934       {
1935       if (*(++argrest) == 0)
1936         {
1937         filter_test |= FTEST_USER;
1938         if (++i < argc) filter_test_ufile = argv[i]; else
1939           {
1940           fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
1941           exit(EXIT_FAILURE);
1942           }
1943         }
1944       else
1945         {
1946         if (++i >= argc)
1947           {
1948           fprintf(stderr, "exim: string expected after %s\n", arg);
1949           exit(EXIT_FAILURE);
1950           }
1951         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
1952         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
1953         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
1954         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
1955         else { badarg = TRUE; break; }
1956         }
1957       }
1958
1959     /* -bh: Host checking - an IP address must follow. */
1960
1961     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
1962       {
1963       if (++i >= argc) { badarg = TRUE; break; }
1964       sender_host_address = argv[i];
1965       host_checking = checking = log_testing_mode = TRUE;
1966       host_checking_callout = argrest[1] == 'c';
1967       }
1968
1969     /* -bi: This option is used by sendmail to initialize *the* alias file,
1970     though it has the -oA option to specify a different file. Exim has no
1971     concept of *the* alias file, but since Sun's YP make script calls
1972     sendmail this way, some support must be provided. */
1973
1974     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
1975
1976     /* -bI: provide information, of the type to follow after a colon.
1977     This is an Exim flag. */
1978
1979     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
1980       {
1981       uschar *p = &argrest[2];
1982       info_flag = CMDINFO_HELP;
1983       if (Ustrlen(p))
1984         {
1985         if (strcmpic(p, CUS"sieve") == 0)
1986           {
1987           info_flag = CMDINFO_SIEVE;
1988           info_stdout = TRUE;
1989           }
1990         else if (strcmpic(p, CUS"help") == 0)
1991           {
1992           info_stdout = TRUE;
1993           }
1994         }
1995       }
1996
1997     /* -bm: Accept and deliver message - the default option. Reinstate
1998     receiving_message, which got turned off for all -b options. */
1999
2000     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2001
2002     /* -bmalware: test the filename given for malware */
2003
2004     else if (Ustrcmp(argrest, "malware") == 0)
2005       {
2006       if (++i >= argc) { badarg = TRUE; break; }
2007       malware_test_file = argv[i];
2008       }
2009
2010     /* -bnq: For locally originating messages, do not qualify unqualified
2011     addresses. In the envelope, this causes errors; in header lines they
2012     just get left. */
2013
2014     else if (Ustrcmp(argrest, "nq") == 0)
2015       {
2016       allow_unqualified_sender = FALSE;
2017       allow_unqualified_recipient = FALSE;
2018       }
2019
2020     /* -bpxx: List the contents of the mail queue, in various forms. If
2021     the option is -bpc, just a queue count is needed. Otherwise, if the
2022     first letter after p is r, then order is random. */
2023
2024     else if (*argrest == 'p')
2025       {
2026       if (*(++argrest) == 'c')
2027         {
2028         count_queue = TRUE;
2029         if (*(++argrest) != 0) badarg = TRUE;
2030         break;
2031         }
2032
2033       if (*argrest == 'r')
2034         {
2035         list_queue_option = 8;
2036         argrest++;
2037         }
2038       else list_queue_option = 0;
2039
2040       list_queue = TRUE;
2041
2042       /* -bp: List the contents of the mail queue, top-level only */
2043
2044       if (*argrest == 0) {}
2045
2046       /* -bpu: List the contents of the mail queue, top-level undelivered */
2047
2048       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2049
2050       /* -bpa: List the contents of the mail queue, including all delivered */
2051
2052       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2053
2054       /* Unknown after -bp[r] */
2055
2056       else
2057         {
2058         badarg = TRUE;
2059         break;
2060         }
2061       }
2062
2063
2064     /* -bP: List the configuration variables given as the address list.
2065     Force -v, so configuration errors get displayed. */
2066
2067     else if (Ustrcmp(argrest, "P") == 0)
2068       {
2069       list_options = TRUE;
2070       debug_selector |= D_v;
2071       debug_file = stderr;
2072       }
2073
2074     /* -brt: Test retry configuration lookup */
2075
2076     else if (Ustrcmp(argrest, "rt") == 0)
2077       {
2078       test_retry_arg = i + 1;
2079       goto END_ARG;
2080       }
2081
2082     /* -brw: Test rewrite configuration */
2083
2084     else if (Ustrcmp(argrest, "rw") == 0)
2085       {
2086       test_rewrite_arg = i + 1;
2087       goto END_ARG;
2088       }
2089
2090     /* -bS: Read SMTP commands on standard input, but produce no replies -
2091     all errors are reported by sending messages. */
2092
2093     else if (Ustrcmp(argrest, "S") == 0)
2094       smtp_input = smtp_batched_input = receiving_message = TRUE;
2095
2096     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2097     on standard output. */
2098
2099     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2100
2101     /* -bt: address testing mode */
2102
2103     else if (Ustrcmp(argrest, "t") == 0)
2104       address_test_mode = checking = log_testing_mode = TRUE;
2105
2106     /* -bv: verify addresses */
2107
2108     else if (Ustrcmp(argrest, "v") == 0)
2109       verify_address_mode = checking = log_testing_mode = TRUE;
2110
2111     /* -bvs: verify sender addresses */
2112
2113     else if (Ustrcmp(argrest, "vs") == 0)
2114       {
2115       verify_address_mode = checking = log_testing_mode = TRUE;
2116       verify_as_sender = TRUE;
2117       }
2118
2119     /* -bV: Print version string and support details */
2120
2121     else if (Ustrcmp(argrest, "V") == 0)
2122       {
2123       printf("Exim version %s #%s built %s\n", version_string,
2124         version_cnumber, version_date);
2125       printf("%s\n", CS version_copyright);
2126       version_printed = TRUE;
2127       show_whats_supported(stdout);
2128       }
2129
2130     /* -bw: inetd wait mode, accept a listening socket as stdin */
2131
2132     else if (*argrest == 'w')
2133       {
2134       inetd_wait_mode = TRUE;
2135       background_daemon = FALSE;
2136       daemon_listen = TRUE;
2137       if (*(++argrest) != '\0')
2138         {
2139         inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE);
2140         if (inetd_wait_timeout <= 0)
2141           {
2142           fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2143           exit(EXIT_FAILURE);
2144           }
2145         }
2146       }
2147
2148     else badarg = TRUE;
2149     break;
2150
2151
2152     /* -C: change configuration file list; ignore if it isn't really
2153     a change! Enforce a prefix check if required. */
2154
2155     case 'C':
2156     if (*argrest == 0)
2157       {
2158       if(++i < argc) argrest = argv[i]; else
2159         { badarg = TRUE; break; }
2160       }
2161     if (Ustrcmp(config_main_filelist, argrest) != 0)
2162       {
2163       #ifdef ALT_CONFIG_PREFIX
2164       int sep = 0;
2165       int len = Ustrlen(ALT_CONFIG_PREFIX);
2166       uschar *list = argrest;
2167       uschar *filename;
2168       while((filename = string_nextinlist(&list, &sep, big_buffer,
2169              big_buffer_size)) != NULL)
2170         {
2171         if ((Ustrlen(filename) < len ||
2172              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2173              Ustrstr(filename, "/../") != NULL) &&
2174              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2175           {
2176           fprintf(stderr, "-C Permission denied\n");
2177           exit(EXIT_FAILURE);
2178           }
2179         }
2180       #endif
2181       if (real_uid != root_uid)
2182         {
2183         #ifdef TRUSTED_CONFIG_LIST
2184
2185         if (real_uid != exim_uid
2186             #ifdef CONFIGURE_OWNER
2187             && real_uid != config_uid
2188             #endif
2189             )
2190           trusted_config = FALSE;
2191         else
2192           {
2193           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2194           if (trust_list)
2195             {
2196             struct stat statbuf;
2197
2198             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2199                 (statbuf.st_uid != root_uid        /* owner not root */
2200                  #ifdef CONFIGURE_OWNER
2201                  && statbuf.st_uid != config_uid   /* owner not the special one */
2202                  #endif
2203                    ) ||                            /* or */
2204                 (statbuf.st_gid != root_gid        /* group not root */
2205                  #ifdef CONFIGURE_GROUP
2206                  && statbuf.st_gid != config_gid   /* group not the special one */
2207                  #endif
2208                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2209                    ) ||                            /* or */
2210                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2211               {
2212               trusted_config = FALSE;
2213               fclose(trust_list);
2214               }
2215             else
2216               {
2217               /* Well, the trust list at least is up to scratch... */
2218               void *reset_point = store_get(0);
2219               uschar *trusted_configs[32];
2220               int nr_configs = 0;
2221               int i = 0;
2222
2223               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2224                 {
2225                 uschar *start = big_buffer, *nl;
2226                 while (*start && isspace(*start))
2227                 start++;
2228                 if (*start != '/')
2229                   continue;
2230                 nl = Ustrchr(start, '\n');
2231                 if (nl)
2232                   *nl = 0;
2233                 trusted_configs[nr_configs++] = string_copy(start);
2234                 if (nr_configs == 32)
2235                   break;
2236                 }
2237               fclose(trust_list);
2238
2239               if (nr_configs)
2240                 {
2241                 int sep = 0;
2242                 uschar *list = argrest;
2243                 uschar *filename;
2244                 while (trusted_config && (filename = string_nextinlist(&list,
2245                         &sep, big_buffer, big_buffer_size)) != NULL)
2246                   {
2247                   for (i=0; i < nr_configs; i++)
2248                     {
2249                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2250                       break;
2251                     }
2252                   if (i == nr_configs)
2253                     {
2254                     trusted_config = FALSE;
2255                     break;
2256                     }
2257                   }
2258                 store_reset(reset_point);
2259                 }
2260               else
2261                 {
2262                 /* No valid prefixes found in trust_list file. */
2263                 trusted_config = FALSE;
2264                 }
2265               }
2266             }
2267           else
2268             {
2269             /* Could not open trust_list file. */
2270             trusted_config = FALSE;
2271             }
2272           }
2273       #else
2274         /* Not root; don't trust config */
2275         trusted_config = FALSE;
2276       #endif
2277         }
2278
2279       config_main_filelist = argrest;
2280       config_changed = TRUE;
2281       }
2282     break;
2283
2284
2285     /* -D: set up a macro definition */
2286
2287     case 'D':
2288     #ifdef DISABLE_D_OPTION
2289     fprintf(stderr, "exim: -D is not available in this Exim binary\n");
2290     exit(EXIT_FAILURE);
2291     #else
2292       {
2293       int ptr = 0;
2294       macro_item *mlast = NULL;
2295       macro_item *m;
2296       uschar name[24];
2297       uschar *s = argrest;
2298
2299       while (isspace(*s)) s++;
2300
2301       if (*s < 'A' || *s > 'Z')
2302         {
2303         fprintf(stderr, "exim: macro name set by -D must start with "
2304           "an upper case letter\n");
2305         exit(EXIT_FAILURE);
2306         }
2307
2308       while (isalnum(*s) || *s == '_')
2309         {
2310         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2311         s++;
2312         }
2313       name[ptr] = 0;
2314       if (ptr == 0) { badarg = TRUE; break; }
2315       while (isspace(*s)) s++;
2316       if (*s != 0)
2317         {
2318         if (*s++ != '=') { badarg = TRUE; break; }
2319         while (isspace(*s)) s++;
2320         }
2321
2322       for (m = macros; m != NULL; m = m->next)
2323         {
2324         if (Ustrcmp(m->name, name) == 0)
2325           {
2326           fprintf(stderr, "exim: duplicated -D in command line\n");
2327           exit(EXIT_FAILURE);
2328           }
2329         mlast = m;
2330         }
2331
2332       m = store_get(sizeof(macro_item) + Ustrlen(name));
2333       m->next = NULL;
2334       m->command_line = TRUE;
2335       if (mlast == NULL) macros = m; else mlast->next = m;
2336       Ustrcpy(m->name, name);
2337       m->replacement = string_copy(s);
2338
2339       if (clmacro_count >= MAX_CLMACROS)
2340         {
2341         fprintf(stderr, "exim: too many -D options on command line\n");
2342         exit(EXIT_FAILURE);
2343         }
2344       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2345         m->replacement);
2346       }
2347     #endif
2348     break;
2349
2350     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2351     The latter is now a no-op, retained for compatibility only. If -dd is used,
2352     debugging subprocesses of the daemon is disabled. */
2353
2354     case 'd':
2355     if (Ustrcmp(argrest, "ropcr") == 0)
2356       {
2357       /* drop_cr = TRUE; */
2358       }
2359
2360     /* Use an intermediate variable so that we don't set debugging while
2361     decoding the debugging bits. */
2362
2363     else
2364       {
2365       unsigned int selector = D_default;
2366       debug_selector = 0;
2367       debug_file = NULL;
2368       if (*argrest == 'd')
2369         {
2370         debug_daemon = TRUE;
2371         argrest++;
2372         }
2373       if (*argrest != 0)
2374         decode_bits(&selector, NULL, D_memory, 0, argrest, debug_options,
2375           debug_options_count, US"debug", 0);
2376       debug_selector = selector;
2377       }
2378     break;
2379
2380
2381     /* -E: This is a local error message. This option is not intended for
2382     external use at all, but is not restricted to trusted callers because it
2383     does no harm (just suppresses certain error messages) and if Exim is run
2384     not setuid root it won't always be trusted when it generates error
2385     messages using this option. If there is a message id following -E, point
2386     message_reference at it, for logging. */
2387
2388     case 'E':
2389     local_error_message = TRUE;
2390     if (mac_ismsgid(argrest)) message_reference = argrest;
2391     break;
2392
2393
2394     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2395     option, so it looks as if historically the -oex options are also callable
2396     without the leading -o. So we have to accept them. Before the switch,
2397     anything starting -oe has been converted to -e. Exim does not support all
2398     of the sendmail error options. */
2399
2400     case 'e':
2401     if (Ustrcmp(argrest, "e") == 0)
2402       {
2403       arg_error_handling = ERRORS_SENDER;
2404       errors_sender_rc = EXIT_SUCCESS;
2405       }
2406     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2407     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2408     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2409     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2410     else badarg = TRUE;
2411     break;
2412
2413
2414     /* -F: Set sender's full name, used instead of the gecos entry from
2415     the password file. Since users can usually alter their gecos entries,
2416     there's no security involved in using this instead. The data can follow
2417     the -F or be in the next argument. */
2418
2419     case 'F':
2420     if (*argrest == 0)
2421       {
2422       if(++i < argc) argrest = argv[i]; else
2423         { badarg = TRUE; break; }
2424       }
2425     originator_name = argrest;
2426     sender_name_forced = TRUE;
2427     break;
2428
2429
2430     /* -f: Set sender's address - this value is only actually used if Exim is
2431     run by a trusted user, or if untrusted_set_sender is set and matches the
2432     address, except that the null address can always be set by any user. The
2433     test for this happens later, when the value given here is ignored when not
2434     permitted. For an untrusted user, the actual sender is still put in Sender:
2435     if it doesn't match the From: header (unless no_local_from_check is set).
2436     The data can follow the -f or be in the next argument. The -r switch is an
2437     obsolete form of -f but since there appear to be programs out there that
2438     use anything that sendmail has ever supported, better accept it - the
2439     synonymizing is done before the switch above.
2440
2441     At this stage, we must allow domain literal addresses, because we don't
2442     know what the setting of allow_domain_literals is yet. Ditto for trailing
2443     dots and strip_trailing_dot. */
2444
2445     case 'f':
2446       {
2447       int start, end;
2448       uschar *errmess;
2449       if (*argrest == 0)
2450         {
2451         if (i+1 < argc) argrest = argv[++i]; else
2452           { badarg = TRUE; break; }
2453         }
2454       if (*argrest == 0)
2455         {
2456         sender_address = string_sprintf("");  /* Ensure writeable memory */
2457         }
2458       else
2459         {
2460         uschar *temp = argrest + Ustrlen(argrest) - 1;
2461         while (temp >= argrest && isspace(*temp)) temp--;
2462         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2463         allow_domain_literals = TRUE;
2464         strip_trailing_dot = TRUE;
2465         sender_address = parse_extract_address(argrest, &errmess, &start, &end,
2466           &sender_address_domain, TRUE);
2467         allow_domain_literals = FALSE;
2468         strip_trailing_dot = FALSE;
2469         if (sender_address == NULL)
2470           {
2471           fprintf(stderr, "exim: bad -f address \"%s\": %s\n", argrest, errmess);
2472           return EXIT_FAILURE;
2473           }
2474         }
2475       sender_address_forced = TRUE;
2476       }
2477     break;
2478
2479     /* This is some Sendmail thing which can be ignored */
2480
2481     case 'G':
2482     break;
2483
2484     /* -h: Set the hop count for an incoming message. Exim does not currently
2485     support this; it always computes it by counting the Received: headers.
2486     To put it in will require a change to the spool header file format. */
2487
2488     case 'h':
2489     if (*argrest == 0)
2490       {
2491       if(++i < argc) argrest = argv[i]; else
2492         { badarg = TRUE; break; }
2493       }
2494     if (!isdigit(*argrest)) badarg = TRUE;
2495     break;
2496
2497
2498     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2499     not to be documented for sendmail but mailx (at least) uses it) */
2500
2501     case 'i':
2502     if (*argrest == 0) dot_ends = FALSE; else badarg = TRUE;
2503     break;
2504
2505
2506     case 'M':
2507     receiving_message = FALSE;
2508
2509     /* -MC:  continue delivery of another message via an existing open
2510     file descriptor. This option is used for an internal call by the
2511     smtp transport when there is a pending message waiting to go to an
2512     address to which it has got a connection. Five subsequent arguments are
2513     required: transport name, host name, IP address, sequence number, and
2514     message_id. Transports may decline to create new processes if the sequence
2515     number gets too big. The channel is stdin. This (-MC) must be the last
2516     argument. There's a subsequent check that the real-uid is privileged.
2517
2518     If we are running in the test harness. delay for a bit, to let the process
2519     that set this one up complete. This makes for repeatability of the logging,
2520     etc. output. */
2521
2522     if (Ustrcmp(argrest, "C") == 0)
2523       {
2524       union sockaddr_46 interface_sock;
2525       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2526
2527       if (argc != i + 6)
2528         {
2529         fprintf(stderr, "exim: too many or too few arguments after -MC\n");
2530         return EXIT_FAILURE;
2531         }
2532
2533       if (msg_action_arg >= 0)
2534         {
2535         fprintf(stderr, "exim: incompatible arguments\n");
2536         return EXIT_FAILURE;
2537         }
2538
2539       continue_transport = argv[++i];
2540       continue_hostname = argv[++i];
2541       continue_host_address = argv[++i];
2542       continue_sequence = Uatoi(argv[++i]);
2543       msg_action = MSG_DELIVER;
2544       msg_action_arg = ++i;
2545       forced_delivery = TRUE;
2546       queue_run_pid = passed_qr_pid;
2547       queue_run_pipe = passed_qr_pipe;
2548
2549       if (!mac_ismsgid(argv[i]))
2550         {
2551         fprintf(stderr, "exim: malformed message id %s after -MC option\n",
2552           argv[i]);
2553         return EXIT_FAILURE;
2554         }
2555
2556       /* Set up $sending_ip_address and $sending_port */
2557
2558       if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2559           &size) == 0)
2560         sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2561           &sending_port);
2562       else
2563         {
2564         fprintf(stderr, "exim: getsockname() failed after -MC option: %s\n",
2565           strerror(errno));
2566         return EXIT_FAILURE;
2567         }
2568
2569       if (running_in_test_harness) millisleep(500);
2570       break;
2571       }
2572
2573     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2574     precedes -MC (see above). The flag indicates that the host to which
2575     Exim is connected has accepted an AUTH sequence. */
2576
2577     else if (Ustrcmp(argrest, "CA") == 0)
2578       {
2579       smtp_authenticated = TRUE;
2580       break;
2581       }
2582
2583     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2584     it preceded -MC (see above) */
2585
2586     else if (Ustrcmp(argrest, "CP") == 0)
2587       {
2588       smtp_use_pipelining = TRUE;
2589       break;
2590       }
2591
2592     /* -MCQ: pass on the pid of the queue-running process that started
2593     this chain of deliveries and the fd of its synchronizing pipe; this
2594     is useful only when it precedes -MC (see above) */
2595
2596     else if (Ustrcmp(argrest, "CQ") == 0)
2597       {
2598       if(++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2599         else badarg = TRUE;
2600       if(++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2601         else badarg = TRUE;
2602       break;
2603       }
2604
2605     /* -MCS: set the smtp_use_size flag; this is useful only when it
2606     precedes -MC (see above) */
2607
2608     else if (Ustrcmp(argrest, "CS") == 0)
2609       {
2610       smtp_use_size = TRUE;
2611       break;
2612       }
2613
2614     /* -MCT: set the tls_offered flag; this is useful only when it
2615     precedes -MC (see above). The flag indicates that the host to which
2616     Exim is connected has offered TLS support. */
2617
2618     #ifdef SUPPORT_TLS
2619     else if (Ustrcmp(argrest, "CT") == 0)
2620       {
2621       tls_offered = TRUE;
2622       break;
2623       }
2624     #endif
2625
2626     /* -M[x]: various operations on the following list of message ids:
2627        -M    deliver the messages, ignoring next retry times and thawing
2628        -Mc   deliver the messages, checking next retry times, no thawing
2629        -Mf   freeze the messages
2630        -Mg   give up on the messages
2631        -Mt   thaw the messages
2632        -Mrm  remove the messages
2633     In the above cases, this must be the last option. There are also the
2634     following options which are followed by a single message id, and which
2635     act on that message. Some of them use the "recipient" addresses as well.
2636        -Mar  add recipient(s)
2637        -Mmad mark all recipients delivered
2638        -Mmd  mark recipients(s) delivered
2639        -Mes  edit sender
2640        -Mset load a message for use with -be
2641        -Mvb  show body
2642        -Mvc  show copy (of whole message, in RFC 2822 format)
2643        -Mvh  show header
2644        -Mvl  show log
2645     */
2646
2647     else if (*argrest == 0)
2648       {
2649       msg_action = MSG_DELIVER;
2650       forced_delivery = deliver_force_thaw = TRUE;
2651       }
2652     else if (Ustrcmp(argrest, "ar") == 0)
2653       {
2654       msg_action = MSG_ADD_RECIPIENT;
2655       one_msg_action = TRUE;
2656       }
2657     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2658     else if (Ustrcmp(argrest, "es") == 0)
2659       {
2660       msg_action = MSG_EDIT_SENDER;
2661       one_msg_action = TRUE;
2662       }
2663     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2664     else if (Ustrcmp(argrest, "g") == 0)
2665       {
2666       msg_action = MSG_DELIVER;
2667       deliver_give_up = TRUE;
2668       }
2669     else if (Ustrcmp(argrest, "mad") == 0)
2670       {
2671       msg_action = MSG_MARK_ALL_DELIVERED;
2672       }
2673     else if (Ustrcmp(argrest, "md") == 0)
2674       {
2675       msg_action = MSG_MARK_DELIVERED;
2676       one_msg_action = TRUE;
2677       }
2678     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2679     else if (Ustrcmp(argrest, "set") == 0)
2680       {
2681       msg_action = MSG_LOAD;
2682       one_msg_action = TRUE;
2683       }
2684     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2685     else if (Ustrcmp(argrest, "vb") == 0)
2686       {
2687       msg_action = MSG_SHOW_BODY;
2688       one_msg_action = TRUE;
2689       }
2690     else if (Ustrcmp(argrest, "vc") == 0)
2691       {
2692       msg_action = MSG_SHOW_COPY;
2693       one_msg_action = TRUE;
2694       }
2695     else if (Ustrcmp(argrest, "vh") == 0)
2696       {
2697       msg_action = MSG_SHOW_HEADER;
2698       one_msg_action = TRUE;
2699       }
2700     else if (Ustrcmp(argrest, "vl") == 0)
2701       {
2702       msg_action = MSG_SHOW_LOG;
2703       one_msg_action = TRUE;
2704       }
2705     else { badarg = TRUE; break; }
2706
2707     /* All the -Mxx options require at least one message id. */
2708
2709     msg_action_arg = i + 1;
2710     if (msg_action_arg >= argc)
2711       {
2712       fprintf(stderr, "exim: no message ids given after %s option\n", arg);
2713       return EXIT_FAILURE;
2714       }
2715
2716     /* Some require only message ids to follow */
2717
2718     if (!one_msg_action)
2719       {
2720       int j;
2721       for (j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2722         {
2723         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2724           argv[j], arg);
2725         return EXIT_FAILURE;
2726         }
2727       goto END_ARG;   /* Remaining args are ids */
2728       }
2729
2730     /* Others require only one message id, possibly followed by addresses,
2731     which will be handled as normal arguments. */
2732
2733     else
2734       {
2735       if (!mac_ismsgid(argv[msg_action_arg]))
2736         {
2737         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2738           argv[msg_action_arg], arg);
2739         return EXIT_FAILURE;
2740         }
2741       i++;
2742       }
2743     break;
2744
2745
2746     /* Some programs seem to call the -om option without the leading o;
2747     for sendmail it askes for "me too". Exim always does this. */
2748
2749     case 'm':
2750     if (*argrest != 0) badarg = TRUE;
2751     break;
2752
2753
2754     /* -N: don't do delivery - a debugging option that stops transports doing
2755     their thing. It implies debugging at the D_v level. */
2756
2757     case 'N':
2758     if (*argrest == 0)
2759       {
2760       dont_deliver = TRUE;
2761       debug_selector |= D_v;
2762       debug_file = stderr;
2763       }
2764     else badarg = TRUE;
2765     break;
2766
2767
2768     /* -n: This means "don't alias" in sendmail, apparently.
2769     For normal invocations, it has no effect.
2770     It may affect some other options. */
2771
2772     case 'n':
2773     flag_n = TRUE;
2774     break;
2775
2776     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2777     option to the specified value. This form uses long names. We need to handle
2778     -O option=value and -Ooption=value. */
2779
2780     case 'O':
2781     if (*argrest == 0)
2782       {
2783       if (++i >= argc)
2784         {
2785         fprintf(stderr, "exim: string expected after -O\n");
2786         exit(EXIT_FAILURE);
2787         }
2788       }
2789     break;
2790
2791     case 'o':
2792
2793     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2794     file" option). */
2795
2796     if (*argrest == 'A')
2797       {
2798       alias_arg = argrest + 1;
2799       if (alias_arg[0] == 0)
2800         {
2801         if (i+1 < argc) alias_arg = argv[++i]; else
2802           {
2803           fprintf(stderr, "exim: string expected after -oA\n");
2804           exit(EXIT_FAILURE);
2805           }
2806         }
2807       }
2808
2809     /* -oB: Set a connection message max value for remote deliveries */
2810
2811     else if (*argrest == 'B')
2812       {
2813       uschar *p = argrest + 1;
2814       if (p[0] == 0)
2815         {
2816         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2817           {
2818           connection_max_messages = 1;
2819           p = NULL;
2820           }
2821         }
2822
2823       if (p != NULL)
2824         {
2825         if (!isdigit(*p))
2826           {
2827           fprintf(stderr, "exim: number expected after -oB\n");
2828           exit(EXIT_FAILURE);
2829           }
2830         connection_max_messages = Uatoi(p);
2831         }
2832       }
2833
2834     /* -odb: background delivery */
2835
2836     else if (Ustrcmp(argrest, "db") == 0)
2837       {
2838       synchronous_delivery = FALSE;
2839       arg_queue_only = FALSE;
2840       queue_only_set = TRUE;
2841       }
2842
2843     /* -odf: foreground delivery (smail-compatible option); same effect as
2844        -odi: interactive (synchronous) delivery (sendmail-compatible option)
2845     */
2846
2847     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
2848       {
2849       synchronous_delivery = TRUE;
2850       arg_queue_only = FALSE;
2851       queue_only_set = TRUE;
2852       }
2853
2854     /* -odq: queue only */
2855
2856     else if (Ustrcmp(argrest, "dq") == 0)
2857       {
2858       synchronous_delivery = FALSE;
2859       arg_queue_only = TRUE;
2860       queue_only_set = TRUE;
2861       }
2862
2863     /* -odqs: queue SMTP only - do local deliveries and remote routing,
2864     but no remote delivery */
2865
2866     else if (Ustrcmp(argrest, "dqs") == 0)
2867       {
2868       queue_smtp = TRUE;
2869       arg_queue_only = FALSE;
2870       queue_only_set = TRUE;
2871       }
2872
2873     /* -oex: Sendmail error flags. As these are also accepted without the
2874     leading -o prefix, for compatibility with vacation and other callers,
2875     they are handled with -e above. */
2876
2877     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
2878        -oitrue: Another sendmail syntax for the same */
2879
2880     else if (Ustrcmp(argrest, "i") == 0 ||
2881              Ustrcmp(argrest, "itrue") == 0)
2882       dot_ends = FALSE;
2883
2884     /* -oM*: Set various characteristics for an incoming message; actually
2885     acted on for trusted callers only. */
2886
2887     else if (*argrest == 'M')
2888       {
2889       if (i+1 >= argc)
2890         {
2891         fprintf(stderr, "exim: data expected after -o%s\n", argrest);
2892         exit(EXIT_FAILURE);
2893         }
2894
2895       /* -oMa: Set sender host address */
2896
2897       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
2898
2899       /* -oMaa: Set authenticator name */
2900
2901       else if (Ustrcmp(argrest, "Maa") == 0)
2902         sender_host_authenticated = argv[++i];
2903
2904       /* -oMas: setting authenticated sender */
2905
2906       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
2907
2908       /* -oMai: setting authenticated id */
2909
2910       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
2911
2912       /* -oMi: Set incoming interface address */
2913
2914       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
2915
2916       /* -oMr: Received protocol */
2917
2918       else if (Ustrcmp(argrest, "Mr") == 0) received_protocol = argv[++i];
2919
2920       /* -oMs: Set sender host name */
2921
2922       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
2923
2924       /* -oMt: Set sender ident */
2925
2926       else if (Ustrcmp(argrest, "Mt") == 0)
2927         {
2928         sender_ident_set = TRUE;
2929         sender_ident = argv[++i];
2930         }
2931
2932       /* Else a bad argument */
2933
2934       else
2935         {
2936         badarg = TRUE;
2937         break;
2938         }
2939       }
2940
2941     /* -om: Me-too flag for aliases. Exim always does this. Some programs
2942     seem to call this as -m (undocumented), so that is also accepted (see
2943     above). */
2944
2945     else if (Ustrcmp(argrest, "m") == 0) {}
2946
2947     /* -oo: An ancient flag for old-style addresses which still seems to
2948     crop up in some calls (see in SCO). */
2949
2950     else if (Ustrcmp(argrest, "o") == 0) {}
2951
2952     /* -oP <name>: set pid file path for daemon */
2953
2954     else if (Ustrcmp(argrest, "P") == 0)
2955       override_pid_file_path = argv[++i];
2956
2957     /* -or <n>: set timeout for non-SMTP acceptance
2958        -os <n>: set timeout for SMTP acceptance */
2959
2960     else if (*argrest == 'r' || *argrest == 's')
2961       {
2962       int *tp = (*argrest == 'r')?
2963         &arg_receive_timeout : &arg_smtp_receive_timeout;
2964       if (argrest[1] == 0)
2965         {
2966         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
2967         }
2968       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
2969       if (*tp < 0)
2970         {
2971         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2972         exit(EXIT_FAILURE);
2973         }
2974       }
2975
2976     /* -oX <list>: Override local_interfaces and/or default daemon ports */
2977
2978     else if (Ustrcmp(argrest, "X") == 0)
2979       override_local_interfaces = argv[++i];
2980
2981     /* Unknown -o argument */
2982
2983     else badarg = TRUE;
2984     break;
2985
2986
2987     /* -ps: force Perl startup; -pd force delayed Perl startup */
2988
2989     case 'p':
2990     #ifdef EXIM_PERL
2991     if (*argrest == 's' && argrest[1] == 0)
2992       {
2993       perl_start_option = 1;
2994       break;
2995       }
2996     if (*argrest == 'd' && argrest[1] == 0)
2997       {
2998       perl_start_option = -1;
2999       break;
3000       }
3001     #endif
3002
3003     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3004     which sets the host protocol and host name */
3005
3006     if (*argrest == 0)
3007       {
3008       if (i+1 < argc) argrest = argv[++i]; else
3009         { badarg = TRUE; break; }
3010       }
3011
3012     if (*argrest != 0)
3013       {
3014       uschar *hn = Ustrchr(argrest, ':');
3015       if (hn == NULL)
3016         {
3017         received_protocol = argrest;
3018         }
3019       else
3020         {
3021         received_protocol = string_copyn(argrest, hn - argrest);
3022         sender_host_name = hn + 1;
3023         }
3024       }
3025     break;
3026
3027
3028     case 'q':
3029     receiving_message = FALSE;
3030     if (queue_interval >= 0)
3031       {
3032       fprintf(stderr, "exim: -q specified more than once\n");
3033       exit(EXIT_FAILURE);
3034       }
3035
3036     /* -qq...: Do queue runs in a 2-stage manner */
3037
3038     if (*argrest == 'q')
3039       {
3040       queue_2stage = TRUE;
3041       argrest++;
3042       }
3043
3044     /* -qi...: Do only first (initial) deliveries */
3045
3046     if (*argrest == 'i')
3047       {
3048       queue_run_first_delivery = TRUE;
3049       argrest++;
3050       }
3051
3052     /* -qf...: Run the queue, forcing deliveries
3053        -qff..: Ditto, forcing thawing as well */
3054
3055     if (*argrest == 'f')
3056       {
3057       queue_run_force = TRUE;
3058       if (*(++argrest) == 'f')
3059         {
3060         deliver_force_thaw = TRUE;
3061         argrest++;
3062         }
3063       }
3064
3065     /* -q[f][f]l...: Run the queue only on local deliveries */
3066
3067     if (*argrest == 'l')
3068       {
3069       queue_run_local = TRUE;
3070       argrest++;
3071       }
3072
3073     /* -q[f][f][l]: Run the queue, optionally forced, optionally local only,
3074     optionally starting from a given message id. */
3075
3076     if (*argrest == 0 &&
3077         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3078       {
3079       queue_interval = 0;
3080       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3081         start_queue_run_id = argv[++i];
3082       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3083         stop_queue_run_id = argv[++i];
3084       }
3085
3086     /* -q[f][f][l]<n>: Run the queue at regular intervals, optionally forced,
3087     optionally local only. */
3088
3089     else
3090       {
3091       if (*argrest != 0)
3092         queue_interval = readconf_readtime(argrest, 0, FALSE);
3093       else
3094         queue_interval = readconf_readtime(argv[++i], 0, FALSE);
3095       if (queue_interval <= 0)
3096         {
3097         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3098         exit(EXIT_FAILURE);
3099         }
3100       }
3101     break;
3102
3103
3104     case 'R':   /* Synonymous with -qR... */
3105     receiving_message = FALSE;
3106
3107     /* -Rf:   As -R (below) but force all deliveries,
3108        -Rff:  Ditto, but also thaw all frozen messages,
3109        -Rr:   String is regex
3110        -Rrf:  Regex and force
3111        -Rrff: Regex and force and thaw
3112
3113     in all cases provided there are no further characters in this
3114     argument. */
3115
3116     if (*argrest != 0)
3117       {
3118       int i;
3119       for (i = 0; i < sizeof(rsopts)/sizeof(uschar *); i++)
3120         {
3121         if (Ustrcmp(argrest, rsopts[i]) == 0)
3122           {
3123           if (i != 2) queue_run_force = TRUE;
3124           if (i >= 2) deliver_selectstring_regex = TRUE;
3125           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3126           argrest += Ustrlen(rsopts[i]);
3127           }
3128         }
3129       }
3130
3131     /* -R: Set string to match in addresses for forced queue run to
3132     pick out particular messages. */
3133
3134     if (*argrest == 0)
3135       {
3136       if (i+1 < argc) deliver_selectstring = argv[++i]; else
3137         {
3138         fprintf(stderr, "exim: string expected after -R\n");
3139         exit(EXIT_FAILURE);
3140         }
3141       }
3142     else deliver_selectstring = argrest;
3143     break;
3144
3145
3146     /* -r: an obsolete synonym for -f (see above) */
3147
3148
3149     /* -S: Like -R but works on sender. */
3150
3151     case 'S':   /* Synonymous with -qS... */
3152     receiving_message = FALSE;
3153
3154     /* -Sf:   As -S (below) but force all deliveries,
3155        -Sff:  Ditto, but also thaw all frozen messages,
3156        -Sr:   String is regex
3157        -Srf:  Regex and force
3158        -Srff: Regex and force and thaw
3159
3160     in all cases provided there are no further characters in this
3161     argument. */
3162
3163     if (*argrest != 0)
3164       {
3165       int i;
3166       for (i = 0; i < sizeof(rsopts)/sizeof(uschar *); i++)
3167         {
3168         if (Ustrcmp(argrest, rsopts[i]) == 0)
3169           {
3170           if (i != 2) queue_run_force = TRUE;
3171           if (i >= 2) deliver_selectstring_sender_regex = TRUE;
3172           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3173           argrest += Ustrlen(rsopts[i]);
3174           }
3175         }
3176       }
3177
3178     /* -S: Set string to match in addresses for forced queue run to
3179     pick out particular messages. */
3180
3181     if (*argrest == 0)
3182       {
3183       if (i+1 < argc) deliver_selectstring_sender = argv[++i]; else
3184         {
3185         fprintf(stderr, "exim: string expected after -S\n");
3186         exit(EXIT_FAILURE);
3187         }
3188       }
3189     else deliver_selectstring_sender = argrest;
3190     break;
3191
3192     /* -Tqt is an option that is exclusively for use by the testing suite.
3193     It is not recognized in other circumstances. It allows for the setting up
3194     of explicit "queue times" so that various warning/retry things can be
3195     tested. Otherwise variability of clock ticks etc. cause problems. */
3196
3197     case 'T':
3198     if (running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3199       fudged_queue_times = argv[++i];
3200     else badarg = TRUE;
3201     break;
3202
3203
3204     /* -t: Set flag to extract recipients from body of message. */
3205
3206     case 't':
3207     if (*argrest == 0) extract_recipients = TRUE;
3208
3209     /* -ti: Set flag to extract recipients from body of message, and also
3210     specify that dot does not end the message. */
3211
3212     else if (Ustrcmp(argrest, "i") == 0)
3213       {
3214       extract_recipients = TRUE;
3215       dot_ends = FALSE;
3216       }
3217
3218     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3219
3220     #ifdef SUPPORT_TLS
3221     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_on_connect = TRUE;
3222     #endif
3223
3224     else badarg = TRUE;
3225     break;
3226
3227
3228     /* -U: This means "initial user submission" in sendmail, apparently. The
3229     doc claims that in future sendmail may refuse syntactically invalid
3230     messages instead of fixing them. For the moment, we just ignore it. */
3231
3232     case 'U':
3233     break;
3234
3235
3236     /* -v: verify things - this is a very low-level debugging */
3237
3238     case 'v':
3239     if (*argrest == 0)
3240       {
3241       debug_selector |= D_v;
3242       debug_file = stderr;
3243       }
3244     else badarg = TRUE;
3245     break;
3246
3247
3248     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3249
3250       The -x flag tells the sendmail command that mail from a local
3251       mail program has National Language Support (NLS) extended characters
3252       in the body of the mail item. The sendmail command can send mail with
3253       extended NLS characters across networks that normally corrupts these
3254       8-bit characters.
3255
3256     As Exim is 8-bit clean, it just ignores this flag. */
3257
3258     case 'x':
3259     if (*argrest != 0) badarg = TRUE;
3260     break;
3261
3262     /* All other initial characters are errors */
3263
3264     default:
3265     badarg = TRUE;
3266     break;
3267     }         /* End of high-level switch statement */
3268
3269   /* Failed to recognize the option, or syntax error */
3270
3271   if (badarg)
3272     {
3273     fprintf(stderr, "exim abandoned: unknown, malformed, or incomplete "
3274       "option %s\n", arg);
3275     exit(EXIT_FAILURE);
3276     }
3277   }
3278
3279
3280 /* If -R or -S have been specified without -q, assume a single queue run. */
3281
3282 if ((deliver_selectstring != NULL || deliver_selectstring_sender != NULL) &&
3283   queue_interval < 0) queue_interval = 0;
3284
3285
3286 END_ARG:
3287 /* If usage_wanted is set we call the usage function - which never returns */
3288 if (usage_wanted) exim_usage(called_as);
3289
3290 /* Arguments have been processed. Check for incompatibilities. */
3291 if ((
3292     (smtp_input || extract_recipients || recipients_arg < argc) &&
3293     (daemon_listen || queue_interval >= 0 || bi_option ||
3294       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3295       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3296     ) ||
3297     (
3298     msg_action_arg > 0 &&
3299     (daemon_listen || queue_interval >= 0 || list_options ||
3300       (checking && msg_action != MSG_LOAD) ||
3301       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3302     ) ||
3303     (
3304     (daemon_listen || queue_interval >= 0) &&
3305     (sender_address != NULL || list_options || list_queue || checking ||
3306       bi_option)
3307     ) ||
3308     (
3309     daemon_listen && queue_interval == 0
3310     ) ||
3311     (
3312     inetd_wait_mode && queue_interval >= 0
3313     ) ||
3314     (
3315     list_options &&
3316     (checking || smtp_input || extract_recipients ||
3317       filter_test != FTEST_NONE || bi_option)
3318     ) ||
3319     (
3320     verify_address_mode &&
3321     (address_test_mode || smtp_input || extract_recipients ||
3322       filter_test != FTEST_NONE || bi_option)
3323     ) ||
3324     (
3325     address_test_mode && (smtp_input || extract_recipients ||
3326       filter_test != FTEST_NONE || bi_option)
3327     ) ||
3328     (
3329     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3330       extract_recipients)
3331     ) ||
3332     (
3333     deliver_selectstring != NULL && queue_interval < 0
3334     ) ||
3335     (
3336     msg_action == MSG_LOAD &&
3337       (!expansion_test || expansion_test_message != NULL)
3338     )
3339    )
3340   {
3341   fprintf(stderr, "exim: incompatible command-line options or arguments\n");
3342   exit(EXIT_FAILURE);
3343   }
3344
3345 /* If debugging is set up, set the file and the file descriptor to pass on to
3346 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3347 to run in the foreground. */
3348
3349 if (debug_selector != 0)
3350   {
3351   debug_file = stderr;
3352   debug_fd = fileno(debug_file);
3353   background_daemon = FALSE;
3354   if (running_in_test_harness) millisleep(100);   /* lets caller finish */
3355   if (debug_selector != D_v)    /* -v only doesn't show this */
3356     {
3357     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3358       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3359       debug_selector);
3360     if (!version_printed)
3361       show_whats_supported(stderr);
3362     }
3363   }
3364
3365 /* When started with root privilege, ensure that the limits on the number of
3366 open files and the number of processes (where that is accessible) are
3367 sufficiently large, or are unset, in case Exim has been called from an
3368 environment where the limits are screwed down. Not all OS have the ability to
3369 change some of these limits. */
3370
3371 if (unprivileged)
3372   {
3373   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3374   }
3375 else
3376   {
3377   struct rlimit rlp;
3378
3379   #ifdef RLIMIT_NOFILE
3380   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3381     {
3382     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3383       strerror(errno));
3384     rlp.rlim_cur = rlp.rlim_max = 0;
3385     }
3386
3387   /* I originally chose 1000 as a nice big number that was unlikely to
3388   be exceeded. It turns out that some older OS have a fixed upper limit of
3389   256. */
3390
3391   if (rlp.rlim_cur < 1000)
3392     {
3393     rlp.rlim_cur = rlp.rlim_max = 1000;
3394     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3395       {
3396       rlp.rlim_cur = rlp.rlim_max = 256;
3397       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3398         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3399           strerror(errno));
3400       }
3401     }
3402   #endif
3403
3404   #ifdef RLIMIT_NPROC
3405   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3406     {
3407     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3408       strerror(errno));
3409     rlp.rlim_cur = rlp.rlim_max = 0;
3410     }
3411
3412   #ifdef RLIM_INFINITY
3413   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3414     {
3415     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3416   #else
3417   if (rlp.rlim_cur < 1000)
3418     {
3419     rlp.rlim_cur = rlp.rlim_max = 1000;
3420   #endif
3421     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3422       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3423         strerror(errno));
3424     }
3425   #endif
3426   }
3427
3428 /* Exim is normally entered as root (but some special configurations are
3429 possible that don't do this). However, it always spins off sub-processes that
3430 set their uid and gid as required for local delivery. We don't want to pass on
3431 any extra groups that root may belong to, so we want to get rid of them all at
3432 this point.
3433
3434 We need to obey setgroups() at this stage, before possibly giving up root
3435 privilege for a changed configuration file, but later on we might need to
3436 check on the additional groups for the admin user privilege - can't do that
3437 till after reading the config, which might specify the exim gid. Therefore,
3438 save the group list here first. */
3439
3440 group_count = getgroups(NGROUPS_MAX, group_list);
3441 if (group_count < 0)
3442   {
3443   fprintf(stderr, "exim: getgroups() failed: %s\n", strerror(errno));
3444   exit(EXIT_FAILURE);
3445   }
3446
3447 /* There is a fundamental difference in some BSD systems in the matter of
3448 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3449 known not to be different. On the "different" systems there is a single group
3450 list, and the first entry in it is the current group. On all other versions of
3451 Unix there is a supplementary group list, which is in *addition* to the current
3452 group. Consequently, to get rid of all extraneous groups on a "standard" system
3453 you pass over 0 groups to setgroups(), while on a "different" system you pass
3454 over a single group - the current group, which is always the first group in the
3455 list. Calling setgroups() with zero groups on a "different" system results in
3456 an error return. The following code should cope with both types of system.
3457
3458 However, if this process isn't running as root, setgroups() can't be used
3459 since you have to be root to run it, even if throwing away groups. Not being
3460 root here happens only in some unusual configurations. We just ignore the
3461 error. */
3462
3463 if (setgroups(0, NULL) != 0)
3464   {
3465   if (setgroups(1, group_list) != 0 && !unprivileged)
3466     {
3467     fprintf(stderr, "exim: setgroups() failed: %s\n", strerror(errno));
3468     exit(EXIT_FAILURE);
3469     }
3470   }
3471
3472 /* If the configuration file name has been altered by an argument on the
3473 command line (either a new file name or a macro definition) and the caller is
3474 not root, or if this is a filter testing run, remove any setuid privilege the
3475 program has and run as the underlying user.
3476
3477 The exim user is locked out of this, which severely restricts the use of -C
3478 for some purposes.
3479
3480 Otherwise, set the real ids to the effective values (should be root unless run
3481 from inetd, which it can either be root or the exim uid, if one is configured).
3482
3483 There is a private mechanism for bypassing some of this, in order to make it
3484 possible to test lots of configurations automatically, without having either to
3485 recompile each time, or to patch in an actual configuration file name and other
3486 values (such as the path name). If running in the test harness, pretend that
3487 configuration file changes and macro definitions haven't happened. */
3488
3489 if ((                                            /* EITHER */
3490     (!trusted_config ||                          /* Config changed, or */
3491      !macros_trusted()) &&                       /*  impermissible macros and */
3492     real_uid != root_uid &&                      /* Not root, and */
3493     !running_in_test_harness                     /* Not fudged */
3494     ) ||                                         /*   OR   */
3495     expansion_test                               /* expansion testing */
3496     ||                                           /*   OR   */
3497     filter_test != FTEST_NONE)                   /* Filter testing */
3498   {
3499   setgroups(group_count, group_list);
3500   exim_setugid(real_uid, real_gid, FALSE,
3501     US"-C, -D, -be or -bf forces real uid");
3502   removed_privilege = TRUE;
3503
3504   /* In the normal case when Exim is called like this, stderr is available
3505   and should be used for any logging information because attempts to write
3506   to the log will usually fail. To arrange this, we unset really_exim. However,
3507   if no stderr is available there is no point - we might as well have a go
3508   at the log (if it fails, syslog will be written).
3509
3510   Note that if the invoker is Exim, the logs remain available. Messing with
3511   this causes unlogged successful deliveries.  */
3512
3513   if ((log_stderr != NULL) && (real_uid != exim_uid))
3514     really_exim = FALSE;
3515   }
3516
3517 /* Privilege is to be retained for the moment. It may be dropped later,
3518 depending on the job that this Exim process has been asked to do. For now, set
3519 the real uid to the effective so that subsequent re-execs of Exim are done by a
3520 privileged user. */
3521
3522 else exim_setugid(geteuid(), getegid(), FALSE, US"forcing real = effective");
3523
3524 /* If testing a filter, open the file(s) now, before wasting time doing other
3525 setups and reading the message. */
3526
3527 if ((filter_test & FTEST_SYSTEM) != 0)
3528   {
3529   filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0);
3530   if (filter_sfd < 0)
3531     {
3532     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_sfile,
3533       strerror(errno));
3534     return EXIT_FAILURE;
3535     }
3536   }
3537
3538 if ((filter_test & FTEST_USER) != 0)
3539   {
3540   filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0);
3541   if (filter_ufd < 0)
3542     {
3543     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_ufile,
3544       strerror(errno));
3545     return EXIT_FAILURE;
3546     }
3547   }
3548
3549 /* Initialise lookup_list
3550 If debugging, already called above via version reporting.
3551 In either case, we initialise the list of available lookups while running
3552 as root.  All dynamically modules are loaded from a directory which is
3553 hard-coded into the binary and is code which, if not a module, would be
3554 part of Exim already.  Ability to modify the content of the directory
3555 is equivalent to the ability to modify a setuid binary!
3556
3557 This needs to happen before we read the main configuration. */
3558 init_lookup_list();
3559
3560 /* Read the main runtime configuration data; this gives up if there
3561 is a failure. It leaves the configuration file open so that the subsequent
3562 configuration data for delivery can be read if needed. */
3563
3564 readconf_main();
3565
3566 /* Handle the decoding of logging options. */
3567
3568 decode_bits(&log_write_selector, &log_extra_selector, 0, 0,
3569   log_selector_string, log_options, log_options_count, US"log", 0);
3570
3571 DEBUG(D_any)
3572   {
3573   debug_printf("configuration file is %s\n", config_main_filename);
3574   debug_printf("log selectors = %08x %08x\n", log_write_selector,
3575     log_extra_selector);
3576   }
3577
3578 /* If domain literals are not allowed, check the sender address that was
3579 supplied with -f. Ditto for a stripped trailing dot. */
3580
3581 if (sender_address != NULL)
3582   {
3583   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3584     {
3585     fprintf(stderr, "exim: bad -f address \"%s\": domain literals not "
3586       "allowed\n", sender_address);
3587     return EXIT_FAILURE;
3588     }
3589   if (f_end_dot && !strip_trailing_dot)
3590     {
3591     fprintf(stderr, "exim: bad -f address \"%s.\": domain is malformed "
3592       "(trailing dot not allowed)\n", sender_address);
3593     return EXIT_FAILURE;
3594     }
3595   }
3596
3597 /* Paranoia check of maximum lengths of certain strings. There is a check
3598 on the length of the log file path in log.c, which will come into effect
3599 if there are any calls to write the log earlier than this. However, if we
3600 get this far but the string is very long, it is better to stop now than to
3601 carry on and (e.g.) receive a message and then have to collapse. The call to
3602 log_write() from here will cause the ultimate panic collapse if the complete
3603 file name exceeds the buffer length. */
3604
3605 if (Ustrlen(log_file_path) > 200)
3606   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3607     "log_file_path is longer than 200 chars: aborting");
3608
3609 if (Ustrlen(pid_file_path) > 200)
3610   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3611     "pid_file_path is longer than 200 chars: aborting");
3612
3613 if (Ustrlen(spool_directory) > 200)
3614   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3615     "spool_directory is longer than 200 chars: aborting");
3616
3617 /* Length check on the process name given to syslog for its TAG field,
3618 which is only permitted to be 32 characters or less. See RFC 3164. */
3619
3620 if (Ustrlen(syslog_processname) > 32)
3621   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3622     "syslog_processname is longer than 32 chars: aborting");
3623
3624 /* In some operating systems, the environment variable TMPDIR controls where
3625 temporary files are created; Exim doesn't use these (apart from when delivering
3626 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3627 If TMPDIR is found in the environment, reset it to the value defined in the
3628 TMPDIR macro, if this macro is defined. */
3629
3630 #ifdef TMPDIR
3631   {
3632   uschar **p;
3633   for (p = USS environ; *p != NULL; p++)
3634     {
3635     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 &&
3636         Ustrcmp(*p+7, TMPDIR) != 0)
3637       {
3638       uschar *newp = malloc(Ustrlen(TMPDIR) + 8);
3639       sprintf(CS newp, "TMPDIR=%s", TMPDIR);
3640       *p = newp;
3641       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", TMPDIR);
3642       }
3643     }
3644   }
3645 #endif
3646
3647 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3648 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
3649 we may need to get rid of a bogus timezone setting. This can arise when Exim is
3650 called by a user who has set the TZ variable. This then affects the timestamps
3651 in log files and in Received: headers, and any created Date: header lines. The
3652 required timezone is settable in the configuration file, so nothing can be done
3653 about this earlier - but hopefully nothing will normally be logged earlier than
3654 this. We have to make a new environment if TZ is wrong, but don't bother if
3655 timestamps_utc is set, because then all times are in UTC anyway. */
3656
3657 if (timezone_string != NULL && strcmpic(timezone_string, US"UTC") == 0)
3658   {
3659   timestamps_utc = TRUE;
3660   }
3661 else
3662   {
3663   uschar *envtz = US getenv("TZ");
3664   if ((envtz == NULL && timezone_string != NULL) ||
3665       (envtz != NULL &&
3666         (timezone_string == NULL ||
3667          Ustrcmp(timezone_string, envtz) != 0)))
3668     {
3669     uschar **p = USS environ;
3670     uschar **new;
3671     uschar **newp;
3672     int count = 0;
3673     while (*p++ != NULL) count++;
3674     if (envtz == NULL) count++;
3675     newp = new = malloc(sizeof(uschar *) * (count + 1));
3676     for (p = USS environ; *p != NULL; p++)
3677       {
3678       if (Ustrncmp(*p, "TZ=", 3) == 0) continue;
3679       *newp++ = *p;
3680       }
3681     if (timezone_string != NULL)
3682       {
3683       *newp = malloc(Ustrlen(timezone_string) + 4);
3684       sprintf(CS *newp++, "TZ=%s", timezone_string);
3685       }
3686     *newp = NULL;
3687     environ = CSS new;
3688     tzset();
3689     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
3690       tod_stamp(tod_log));
3691     }
3692   }
3693
3694 /* Handle the case when we have removed the setuid privilege because of -C or
3695 -D. This means that the caller of Exim was not root.
3696
3697 There is a problem if we were running as the Exim user. The sysadmin may
3698 expect this case to retain privilege because "the binary was called by the
3699 Exim user", but it hasn't, because either the -D option set macros, or the
3700 -C option set a non-trusted configuration file. There are two possibilities:
3701
3702   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
3703       to do message deliveries. Thus, the fact that it is running as a
3704       non-privileged user is plausible, and might be wanted in some special
3705       configurations. However, really_exim will have been set false when
3706       privilege was dropped, to stop Exim trying to write to its normal log
3707       files. Therefore, re-enable normal log processing, assuming the sysadmin
3708       has set up the log directory correctly.
3709
3710   (2) If deliver_drop_privilege is not set, the configuration won't work as
3711       apparently intended, and so we log a panic message. In order to retain
3712       root for -C or -D, the caller must either be root or be invoking a
3713       trusted configuration file (when deliver_drop_privilege is false). */
3714
3715 if (removed_privilege && (!trusted_config || macros != NULL) &&
3716     real_uid == exim_uid)
3717   {
3718   if (deliver_drop_privilege)
3719     really_exim = TRUE; /* let logging work normally */
3720   else
3721     log_write(0, LOG_MAIN|LOG_PANIC,
3722       "exim user lost privilege for using %s option",
3723       trusted_config? "-D" : "-C");
3724   }
3725
3726 /* Start up Perl interpreter if Perl support is configured and there is a
3727 perl_startup option, and the configuration or the command line specifies
3728 initializing starting. Note that the global variables are actually called
3729 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
3730
3731 #ifdef EXIM_PERL
3732 if (perl_start_option != 0)
3733   opt_perl_at_start = (perl_start_option > 0);
3734 if (opt_perl_at_start && opt_perl_startup != NULL)
3735   {
3736   uschar *errstr;
3737   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
3738   errstr = init_perl(opt_perl_startup);
3739   if (errstr != NULL)
3740     {
3741     fprintf(stderr, "exim: error in perl_startup code: %s\n", errstr);
3742     return EXIT_FAILURE;
3743     }
3744   opt_perl_started = TRUE;
3745   }
3746 #endif /* EXIM_PERL */
3747
3748 /* Log the arguments of the call if the configuration file said so. This is
3749 a debugging feature for finding out what arguments certain MUAs actually use.
3750 Don't attempt it if logging is disabled, or if listing variables or if
3751 verifying/testing addresses or expansions. */
3752
3753 if (((debug_selector & D_any) != 0 || (log_extra_selector & LX_arguments) != 0)
3754       && really_exim && !list_options && !checking)
3755   {
3756   int i;
3757   uschar *p = big_buffer;
3758   Ustrcpy(p, "cwd=");
3759   (void)getcwd(CS p+4, big_buffer_size - 4);
3760   while (*p) p++;
3761   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
3762   while (*p) p++;
3763   for (i = 0; i < argc; i++)
3764     {
3765     int len = Ustrlen(argv[i]);
3766     uschar *printing;
3767     uschar *quote;
3768     if (p + len + 8 >= big_buffer + big_buffer_size)
3769       {
3770       Ustrcpy(p, " ...");
3771       log_write(0, LOG_MAIN, "%s", big_buffer);
3772       Ustrcpy(big_buffer, "...");
3773       p = big_buffer + 3;
3774       }
3775     printing = string_printing(argv[i]);
3776     if (printing[0] == 0) quote = US"\""; else
3777       {
3778       uschar *pp = printing;
3779       quote = US"";
3780       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
3781       }
3782     sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
3783       (p - big_buffer) - 4), printing, quote);
3784     while (*p) p++;
3785     }
3786
3787   if ((log_extra_selector & LX_arguments) != 0)
3788     log_write(0, LOG_MAIN, "%s", big_buffer);
3789   else
3790     debug_printf("%s\n", big_buffer);
3791   }
3792
3793 /* Set the working directory to be the top-level spool directory. We don't rely
3794 on this in the code, which always uses fully qualified names, but it's useful
3795 for core dumps etc. Don't complain if it fails - the spool directory might not
3796 be generally accessible and calls with the -C option (and others) have lost
3797 privilege by now. Before the chdir, we try to ensure that the directory exists.
3798 */
3799
3800 if (Uchdir(spool_directory) != 0)
3801   {
3802   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
3803   (void)Uchdir(spool_directory);
3804   }
3805
3806 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
3807 alias file. Exim doesn't have such a concept, but this call is screwed into
3808 Sun's YP makefiles. Handle this by calling a configured script, as the real
3809 user who called Exim. The -oA option can be used to pass an argument to the
3810 script. */
3811
3812 if (bi_option)
3813   {
3814   (void)fclose(config_file);
3815   if (bi_command != NULL)
3816     {
3817     int i = 0;
3818     uschar *argv[3];
3819     argv[i++] = bi_command;
3820     if (alias_arg != NULL) argv[i++] = alias_arg;
3821     argv[i++] = NULL;
3822
3823     setgroups(group_count, group_list);
3824     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
3825
3826     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
3827       (argv[1] == NULL)? US"" : argv[1]);
3828
3829     execv(CS argv[0], (char *const *)argv);
3830     fprintf(stderr, "exim: exec failed: %s\n", strerror(errno));
3831     exit(EXIT_FAILURE);
3832     }
3833   else
3834     {
3835     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
3836     exit(EXIT_SUCCESS);
3837     }
3838   }
3839
3840 /* If an action on specific messages is requested, or if a daemon or queue
3841 runner is being started, we need to know if Exim was called by an admin user.
3842 This is the case if the real user is root or exim, or if the real group is
3843 exim, or if one of the supplementary groups is exim or a group listed in
3844 admin_groups. We don't fail all message actions immediately if not admin_user,
3845 since some actions can be performed by non-admin users. Instead, set admin_user
3846 for later interrogation. */
3847
3848 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3849   admin_user = TRUE;
3850 else
3851   {
3852   int i, j;
3853   for (i = 0; i < group_count; i++)
3854     {
3855     if (group_list[i] == exim_gid) admin_user = TRUE;
3856     else if (admin_groups != NULL)
3857       {
3858       for (j = 1; j <= (int)(admin_groups[0]); j++)
3859         if (admin_groups[j] == group_list[i])
3860           { admin_user = TRUE; break; }
3861       }
3862     if (admin_user) break;
3863     }
3864   }
3865
3866 /* Another group of privileged users are the trusted users. These are root,
3867 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3868 are permitted to specify sender_addresses with -f on the command line, and
3869 other message parameters as well. */
3870
3871 if (real_uid == root_uid || real_uid == exim_uid)
3872   trusted_caller = TRUE;
3873 else
3874   {
3875   int i, j;
3876
3877   if (trusted_users != NULL)
3878     {
3879     for (i = 1; i <= (int)(trusted_users[0]); i++)
3880       if (trusted_users[i] == real_uid)
3881         { trusted_caller = TRUE; break; }
3882     }
3883
3884   if (!trusted_caller && trusted_groups != NULL)
3885     {
3886     for (i = 1; i <= (int)(trusted_groups[0]); i++)
3887       {
3888       if (trusted_groups[i] == real_gid)
3889         trusted_caller = TRUE;
3890       else for (j = 0; j < group_count; j++)
3891         {
3892         if (trusted_groups[i] == group_list[j])
3893           { trusted_caller = TRUE; break; }
3894         }
3895       if (trusted_caller) break;
3896       }
3897     }
3898   }
3899
3900 if (trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
3901 if (admin_user) DEBUG(D_any) debug_printf("admin user\n");
3902
3903 /* Only an admin user may start the daemon or force a queue run in the default
3904 configuration, but the queue run restriction can be relaxed. Only an admin
3905 user may request that a message be returned to its sender forthwith. Only an
3906 admin user may specify a debug level greater than D_v (because it might show
3907 passwords, etc. in lookup queries). Only an admin user may request a queue
3908 count. Only an admin user can use the test interface to scan for email
3909 (because Exim will be in the spool dir and able to look at mails). */
3910
3911 if (!admin_user)
3912   {
3913   BOOL debugset = (debug_selector & ~D_v) != 0;
3914   if (deliver_give_up || daemon_listen || malware_test_file ||
3915      (count_queue && queue_list_requires_admin) ||
3916      (list_queue && queue_list_requires_admin) ||
3917      (queue_interval >= 0 && prod_requires_admin) ||
3918      (debugset && !running_in_test_harness))
3919     {
3920     fprintf(stderr, "exim:%s permission denied\n", debugset? " debugging" : "");
3921     exit(EXIT_FAILURE);
3922     }
3923   }
3924
3925 /* If the real user is not root or the exim uid, the argument for passing
3926 in an open TCP/IP connection for another message is not permitted, nor is
3927 running with the -N option for any delivery action, unless this call to exim is
3928 one that supplied an input message, or we are using a patched exim for
3929 regression testing. */
3930
3931 if (real_uid != root_uid && real_uid != exim_uid &&
3932      (continue_hostname != NULL ||
3933        (dont_deliver &&
3934          (queue_interval >= 0 || daemon_listen || msg_action_arg > 0)
3935        )) && !running_in_test_harness)
3936   {
3937   fprintf(stderr, "exim: Permission denied\n");
3938   return EXIT_FAILURE;
3939   }
3940
3941 /* If the caller is not trusted, certain arguments are ignored when running for
3942 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
3943 Note that authority for performing certain actions on messages is tested in the
3944 queue_action() function. */
3945
3946 if (!trusted_caller && !checking && filter_test == FTEST_NONE)
3947   {
3948   sender_host_name = sender_host_address = interface_address =
3949     sender_ident = received_protocol = NULL;
3950   sender_host_port = interface_port = 0;
3951   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
3952   }
3953
3954 /* If a sender host address is set, extract the optional port number off the
3955 end of it and check its syntax. Do the same thing for the interface address.
3956 Exim exits if the syntax is bad. */
3957
3958 else
3959   {
3960   if (sender_host_address != NULL)
3961     sender_host_port = check_port(sender_host_address);
3962   if (interface_address != NULL)
3963     interface_port = check_port(interface_address);
3964   }
3965
3966 /* If an SMTP message is being received check to see if the standard input is a
3967 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
3968 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
3969 barf. */
3970
3971 if (smtp_input)
3972   {
3973   union sockaddr_46 inetd_sock;
3974   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
3975   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
3976     {
3977     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
3978     if (family == AF_INET || family == AF_INET6)
3979       {
3980       union sockaddr_46 interface_sock;
3981       size = sizeof(interface_sock);
3982
3983       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
3984         interface_address = host_ntoa(-1, &interface_sock, NULL,
3985           &interface_port);
3986
3987       if (host_is_tls_on_connect_port(interface_port)) tls_on_connect = TRUE;
3988
3989       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
3990         {
3991         is_inetd = TRUE;
3992         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
3993           NULL, &sender_host_port);
3994         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
3995           "inetd is not supported when mua_wrapper is set");
3996         }
3997       else
3998         {
3999         fprintf(stderr,
4000           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4001         return EXIT_FAILURE;
4002         }
4003       }
4004     }
4005   }
4006
4007 /* If the load average is going to be needed while receiving a message, get it
4008 now for those OS that require the first call to os_getloadavg() to be done as
4009 root. There will be further calls later for each message received. */
4010
4011 #ifdef LOAD_AVG_NEEDS_ROOT
4012 if (receiving_message &&
4013       (queue_only_load >= 0 ||
4014         (is_inetd && smtp_load_reserve >= 0)
4015       ))
4016   {
4017   load_average = OS_GETLOADAVG();
4018   }
4019 #endif
4020
4021 /* The queue_only configuration option can be overridden by -odx on the command
4022 line, except that if queue_only_override is false, queue_only cannot be unset
4023 from the command line. */
4024
4025 if (queue_only_set && (queue_only_override || arg_queue_only))
4026   queue_only = arg_queue_only;
4027
4028 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4029 -or and -os. */
4030
4031 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4032 if (arg_smtp_receive_timeout >= 0)
4033   smtp_receive_timeout = arg_smtp_receive_timeout;
4034
4035 /* If Exim was started with root privilege, unless we have already removed the
4036 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4037 except when starting the daemon or doing some kind of delivery or address
4038 testing (-bt). These are the only cases when root need to be retained. We run
4039 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4040 retained only for starting the daemon. We always do the initgroups() in this
4041 situation (controlled by the TRUE below), in order to be as close as possible
4042 to the state Exim usually runs in. */
4043
4044 if (!unprivileged &&                      /* originally had root AND */
4045     !removed_privilege &&                 /* still got root AND      */
4046     !daemon_listen &&                     /* not starting the daemon */
4047     queue_interval <= 0 &&                /* (either kind of daemon) */
4048       (                                   /*    AND EITHER           */
4049       deliver_drop_privilege ||           /* requested unprivileged  */
4050         (                                 /*       OR                */
4051         queue_interval < 0 &&             /* not running the queue   */
4052         (msg_action_arg < 0 ||            /*       and               */
4053           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4054         (!checking || !address_test_mode) /* not address checking    */
4055         )
4056       ))
4057   {
4058   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4059   }
4060
4061 /* When we are retaining a privileged uid, we still change to the exim gid. */
4062
4063 else
4064   {
4065   int rv;
4066   rv = setgid(exim_gid);
4067   /* Impact of failure is that some stuff might end up with an incorrect group.
4068   We track this for failures from root, since any attempt to change privilege
4069   by root should succeed and failures should be examined.  For non-root,
4070   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4071   no need to complain then. */
4072   if (rv == -1)
4073     {
4074     if (!(unprivileged || removed_privilege))
4075       {
4076       fprintf(stderr,
4077           "exim: changing group failed: %s\n", strerror(errno));
4078       exit(EXIT_FAILURE);
4079       }
4080     else
4081       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4082           (long int)exim_gid, strerror(errno));
4083     }
4084   }
4085
4086 /* Handle a request to scan a file for malware */
4087 if (malware_test_file)
4088   {
4089 #ifdef WITH_CONTENT_SCAN
4090   int result;
4091   set_process_info("scanning file for malware");
4092   result = malware_in_file(malware_test_file);
4093   if (result == FAIL)
4094     {
4095     printf("No malware found.\n");
4096     exit(EXIT_SUCCESS);
4097     }
4098   if (result != OK)
4099     {
4100     printf("Malware lookup returned non-okay/fail: %d\n", result);
4101     exit(EXIT_FAILURE);
4102     }
4103   if (malware_name)
4104     printf("Malware found: %s\n", malware_name);
4105   else
4106     printf("Malware scan detected malware of unknown name.\n");
4107 #else
4108   printf("Malware scanning not enabled at compile time.\n");
4109 #endif
4110   exit(EXIT_FAILURE);
4111   }
4112
4113 /* Handle a request to list the delivery queue */
4114
4115 if (list_queue)
4116   {
4117   set_process_info("listing the queue");
4118   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4119   exit(EXIT_SUCCESS);
4120   }
4121
4122 /* Handle a request to count the delivery queue */
4123
4124 if (count_queue)
4125   {
4126   set_process_info("counting the queue");
4127   queue_count();
4128   exit(EXIT_SUCCESS);
4129   }
4130
4131 /* Handle actions on specific messages, except for the force delivery and
4132 message load actions, which are done below. Some actions take a whole list of
4133 message ids, which are known to continue up to the end of the arguments. Others
4134 take a single message id and then operate on the recipients list. */
4135
4136 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4137   {
4138   int yield = EXIT_SUCCESS;
4139   set_process_info("acting on specified messages");
4140
4141   if (!one_msg_action)
4142     {
4143     for (i = msg_action_arg; i < argc; i++)
4144       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4145         yield = EXIT_FAILURE;
4146     }
4147
4148   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4149     recipients_arg)) yield = EXIT_FAILURE;
4150   exit(yield);
4151   }
4152
4153 /* All the modes below here require the remaining configuration sections
4154 to be read, except that we can skip over the ACL setting when delivering
4155 specific messages, or doing a queue run. (For various testing cases we could
4156 skip too, but as they are rare, it doesn't really matter.) The argument is TRUE
4157 for skipping. */
4158
4159 readconf_rest(msg_action_arg > 0 || (queue_interval == 0 && !daemon_listen));
4160
4161 /* The configuration data will have been read into POOL_PERM because we won't
4162 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4163 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4164 configuration were read into POOL_MAIN, because we don't do any resets till
4165 later on. However, it seems right, and it does ensure that both pools get used.
4166 */
4167
4168 store_pool = POOL_MAIN;
4169
4170 /* Handle the -brt option. This is for checking out retry configurations.
4171 The next three arguments are a domain name or a complete address, and
4172 optionally two error numbers. All it does is to call the function that
4173 scans the retry configuration data. */
4174
4175 if (test_retry_arg >= 0)
4176   {
4177   retry_config *yield;
4178   int basic_errno = 0;
4179   int more_errno = 0;
4180   uschar *s1, *s2;
4181
4182   if (test_retry_arg >= argc)
4183     {
4184     printf("-brt needs a domain or address argument\n");
4185     exim_exit(EXIT_FAILURE);
4186     }
4187   s1 = argv[test_retry_arg++];
4188   s2 = NULL;
4189
4190   /* If the first argument contains no @ and no . it might be a local user
4191   or it might be a single-component name. Treat as a domain. */
4192
4193   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4194     {
4195     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4196       "being \ntreated as a one-component domain, not as a local part.\n\n",
4197       s1);
4198     }
4199
4200   /* There may be an optional second domain arg. */
4201
4202   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4203     s2 = argv[test_retry_arg++];
4204
4205   /* The final arg is an error name */
4206
4207   if (test_retry_arg < argc)
4208     {
4209     uschar *ss = argv[test_retry_arg];
4210     uschar *error =
4211       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4212     if (error != NULL)
4213       {
4214       printf("%s\n", CS error);
4215       return EXIT_FAILURE;
4216       }
4217
4218     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4219     code > 100 as an error is for matching codes to the decade. Turn them into
4220     a real error code, off the decade. */
4221
4222     if (basic_errno == ERRNO_MAIL4XX ||
4223         basic_errno == ERRNO_RCPT4XX ||
4224         basic_errno == ERRNO_DATA4XX)
4225       {
4226       int code = (more_errno >> 8) & 255;
4227       if (code == 255)
4228         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4229       else if (code > 100)
4230         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4231       }
4232     }
4233
4234   yield = retry_find_config(s1, s2, basic_errno, more_errno);
4235   if (yield == NULL) printf("No retry information found\n"); else
4236     {
4237     retry_rule *r;
4238     more_errno = yield->more_errno;
4239     printf("Retry rule: %s  ", yield->pattern);
4240
4241     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4242       {
4243       printf("quota%s%s  ",
4244         (more_errno > 0)? "_" : "",
4245         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4246       }
4247     else if (yield->basic_errno == ECONNREFUSED)
4248       {
4249       printf("refused%s%s  ",
4250         (more_errno > 0)? "_" : "",
4251         (more_errno == 'M')? "MX" :
4252         (more_errno == 'A')? "A" : "");
4253       }
4254     else if (yield->basic_errno == ETIMEDOUT)
4255       {
4256       printf("timeout");
4257       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4258       more_errno &= 255;
4259       if (more_errno != 0) printf("_%s",
4260         (more_errno == 'M')? "MX" : "A");
4261       printf("  ");
4262       }
4263     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4264       printf("auth_failed  ");
4265     else printf("*  ");
4266
4267     for (r = yield->rules; r != NULL; r = r->next)
4268       {
4269       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4270       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4271       if (r->rule == 'G')
4272         {
4273         int x = r->p2;
4274         int f = x % 1000;
4275         int d = 100;
4276         printf(",%d.", x/1000);
4277         do
4278           {
4279           printf("%d", f/d);
4280           f %= d;
4281           d /= 10;
4282           }
4283         while (f != 0);
4284         }
4285       printf("; ");
4286       }
4287
4288     printf("\n");
4289     }
4290   exim_exit(EXIT_SUCCESS);
4291   }
4292
4293 /* Handle a request to list one or more configuration options */
4294 /* If -n was set, we suppress some information */
4295
4296 if (list_options)
4297   {
4298   set_process_info("listing variables");
4299   if (recipients_arg >= argc) readconf_print(US"all", NULL, flag_n);
4300     else for (i = recipients_arg; i < argc; i++)
4301       {
4302       if (i < argc - 1 &&
4303           (Ustrcmp(argv[i], "router") == 0 ||
4304            Ustrcmp(argv[i], "transport") == 0 ||
4305            Ustrcmp(argv[i], "authenticator") == 0 ||
4306            Ustrcmp(argv[i], "macro") == 0))
4307         {
4308         readconf_print(argv[i+1], argv[i], flag_n);
4309         i++;
4310         }
4311       else readconf_print(argv[i], NULL, flag_n);
4312       }
4313   exim_exit(EXIT_SUCCESS);
4314   }
4315
4316
4317 /* Handle a request to deliver one or more messages that are already on the
4318 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4319 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4320
4321 Delivery of specific messages is typically used for a small number when
4322 prodding by hand (when the option forced_delivery will be set) or when
4323 re-execing to regain root privilege. Each message delivery must happen in a
4324 separate process, so we fork a process for each one, and run them sequentially
4325 so that debugging output doesn't get intertwined, and to avoid spawning too
4326 many processes if a long list is given. However, don't fork for the last one;
4327 this saves a process in the common case when Exim is called to deliver just one
4328 message. */
4329
4330 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4331   {
4332   if (prod_requires_admin && !admin_user)
4333     {
4334     fprintf(stderr, "exim: Permission denied\n");
4335     exim_exit(EXIT_FAILURE);
4336     }
4337   set_process_info("delivering specified messages");
4338   if (deliver_give_up) forced_delivery = deliver_force_thaw = TRUE;
4339   for (i = msg_action_arg; i < argc; i++)
4340     {
4341     int status;
4342     pid_t pid;
4343     if (i == argc - 1)
4344       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4345     else if ((pid = fork()) == 0)
4346       {
4347       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4348       _exit(EXIT_SUCCESS);
4349       }
4350     else if (pid < 0)
4351       {
4352       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4353         strerror(errno));
4354       exim_exit(EXIT_FAILURE);
4355       }
4356     else wait(&status);
4357     }
4358   exim_exit(EXIT_SUCCESS);
4359   }
4360
4361
4362 /* If only a single queue run is requested, without SMTP listening, we can just
4363 turn into a queue runner, with an optional starting message id. */
4364
4365 if (queue_interval == 0 && !daemon_listen)
4366   {
4367   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4368     (start_queue_run_id == NULL)? US"" : US" starting at ",
4369     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4370     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4371     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4372   set_process_info("running the queue (single queue run)");
4373   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4374   exim_exit(EXIT_SUCCESS);
4375   }
4376
4377
4378 /* Find the login name of the real user running this process. This is always
4379 needed when receiving a message, because it is written into the spool file. It
4380 may also be used to construct a from: or a sender: header, and in this case we
4381 need the user's full name as well, so save a copy of it, checked for RFC822
4382 syntax and munged if necessary, if it hasn't previously been set by the -F
4383 argument. We may try to get the passwd entry more than once, in case NIS or
4384 other delays are in evidence. Save the home directory for use in filter testing
4385 (only). */
4386
4387 for (i = 0;;)
4388   {
4389   if ((pw = getpwuid(real_uid)) != NULL)
4390     {
4391     originator_login = string_copy(US pw->pw_name);
4392     originator_home = string_copy(US pw->pw_dir);
4393
4394     /* If user name has not been set by -F, set it from the passwd entry
4395     unless -f has been used to set the sender address by a trusted user. */
4396
4397     if (originator_name == NULL)
4398       {
4399       if (sender_address == NULL ||
4400            (!trusted_caller && filter_test == FTEST_NONE))
4401         {
4402         uschar *name = US pw->pw_gecos;
4403         uschar *amp = Ustrchr(name, '&');
4404         uschar buffer[256];
4405
4406         /* Most Unix specify that a '&' character in the gecos field is
4407         replaced by a copy of the login name, and some even specify that
4408         the first character should be upper cased, so that's what we do. */
4409
4410         if (amp != NULL)
4411           {
4412           int loffset;
4413           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4414             amp - name, name, &loffset, originator_login, amp + 1);
4415           buffer[loffset] = toupper(buffer[loffset]);
4416           name = buffer;
4417           }
4418
4419         /* If a pattern for matching the gecos field was supplied, apply
4420         it and then expand the name string. */
4421
4422         if (gecos_pattern != NULL && gecos_name != NULL)
4423           {
4424           const pcre *re;
4425           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4426
4427           if (regex_match_and_setup(re, name, 0, -1))
4428             {
4429             uschar *new_name = expand_string(gecos_name);
4430             expand_nmax = -1;
4431             if (new_name != NULL)
4432               {
4433               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4434                 "gecos field \"%s\"\n", new_name, name);
4435               name = new_name;
4436               }
4437             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4438               "\"%s\": %s\n", gecos_name, expand_string_message);
4439             }
4440           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4441             "gecos field \"%s\"\n", gecos_pattern, name);
4442           store_free((void *)re);
4443           }
4444         originator_name = string_copy(name);
4445         }
4446
4447       /* A trusted caller has used -f but not -F */
4448
4449       else originator_name = US"";
4450       }
4451
4452     /* Break the retry loop */
4453
4454     break;
4455     }
4456
4457   if (++i > finduser_retries) break;
4458   sleep(1);
4459   }
4460
4461 /* If we cannot get a user login, log the incident and give up, unless the
4462 configuration specifies something to use. When running in the test harness,
4463 any setting of unknown_login overrides the actual name. */
4464
4465 if (originator_login == NULL || running_in_test_harness)
4466   {
4467   if (unknown_login != NULL)
4468     {
4469     originator_login = expand_string(unknown_login);
4470     if (originator_name == NULL && unknown_username != NULL)
4471       originator_name = expand_string(unknown_username);
4472     if (originator_name == NULL) originator_name = US"";
4473     }
4474   if (originator_login == NULL)
4475     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4476       (int)real_uid);
4477   }
4478
4479 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4480 RFC822 address.*/
4481
4482 originator_name = string_copy(parse_fix_phrase(originator_name,
4483   Ustrlen(originator_name), big_buffer, big_buffer_size));
4484
4485 /* If a message is created by this call of Exim, the uid/gid of its originator
4486 are those of the caller. These values are overridden if an existing message is
4487 read in from the spool. */
4488
4489 originator_uid = real_uid;
4490 originator_gid = real_gid;
4491
4492 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4493   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4494
4495 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4496 returns. We leave this till here so that the originator_ fields are available
4497 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4498 mode. */
4499
4500 if (daemon_listen || inetd_wait_mode || queue_interval > 0)
4501   {
4502   if (mua_wrapper)
4503     {
4504     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4505     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4506       "mua_wrapper is set");
4507     }
4508   daemon_go();
4509   }
4510
4511 /* If the sender ident has not been set (by a trusted caller) set it to
4512 the caller. This will get overwritten below for an inetd call. If a trusted
4513 caller has set it empty, unset it. */
4514
4515 if (sender_ident == NULL) sender_ident = originator_login;
4516   else if (sender_ident[0] == 0) sender_ident = NULL;
4517
4518 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4519 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4520 originator_* variables set. */
4521
4522 if (test_rewrite_arg >= 0)
4523   {
4524   really_exim = FALSE;
4525   if (test_rewrite_arg >= argc)
4526     {
4527     printf("-brw needs an address argument\n");
4528     exim_exit(EXIT_FAILURE);
4529     }
4530   rewrite_test(argv[test_rewrite_arg]);
4531   exim_exit(EXIT_SUCCESS);
4532   }
4533
4534 /* A locally-supplied message is considered to be coming from a local user
4535 unless a trusted caller supplies a sender address with -f, or is passing in the
4536 message via SMTP (inetd invocation or otherwise). */
4537
4538 if ((sender_address == NULL && !smtp_input) ||
4539     (!trusted_caller && filter_test == FTEST_NONE))
4540   {
4541   sender_local = TRUE;
4542
4543   /* A trusted caller can supply authenticated_sender and authenticated_id
4544   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4545   defaults except when host checking. */
4546
4547   if (authenticated_sender == NULL && !host_checking)
4548     authenticated_sender = string_sprintf("%s@%s", originator_login,
4549       qualify_domain_sender);
4550   if (authenticated_id == NULL && !host_checking)
4551     authenticated_id = originator_login;
4552   }
4553
4554 /* Trusted callers are always permitted to specify the sender address.
4555 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4556 is specified is the empty address. However, if a trusted caller does not
4557 specify a sender address for SMTP input, we leave sender_address unset. This
4558 causes the MAIL commands to be honoured. */
4559
4560 if ((!smtp_input && sender_address == NULL) ||
4561     !receive_check_set_sender(sender_address))
4562   {
4563   /* Either the caller is not permitted to set a general sender, or this is
4564   non-SMTP input and the trusted caller has not set a sender. If there is no
4565   sender, or if a sender other than <> is set, override with the originator's
4566   login (which will get qualified below), except when checking things. */
4567
4568   if (sender_address == NULL             /* No sender_address set */
4569        ||                                /*         OR            */
4570        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4571        !checking &&                      /* Not running tests, AND */
4572        filter_test == FTEST_NONE))       /* Not testing a filter */
4573     {
4574     sender_address = originator_login;
4575     sender_address_forced = FALSE;
4576     sender_address_domain = 0;
4577     }
4578   }
4579
4580 /* Remember whether an untrusted caller set the sender address */
4581
4582 sender_set_untrusted = sender_address != originator_login && !trusted_caller;
4583
4584 /* Ensure that the sender address is fully qualified unless it is the empty
4585 address, which indicates an error message, or doesn't exist (root caller, smtp
4586 interface, no -f argument). */
4587
4588 if (sender_address != NULL && sender_address[0] != 0 &&
4589     sender_address_domain == 0)
4590   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4591     qualify_domain_sender);
4592
4593 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4594
4595 /* Handle a request to verify a list of addresses, or test them for delivery.
4596 This must follow the setting of the sender address, since routers can be
4597 predicated upon the sender. If no arguments are given, read addresses from
4598 stdin. Set debug_level to at least D_v to get full output for address testing.
4599 */
4600
4601 if (verify_address_mode || address_test_mode)
4602   {
4603   int exit_value = 0;
4604   int flags = vopt_qualify;
4605
4606   if (verify_address_mode)
4607     {
4608     if (!verify_as_sender) flags |= vopt_is_recipient;
4609     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4610     }
4611
4612   else
4613     {
4614     flags |= vopt_is_recipient;
4615     debug_selector |= D_v;
4616     debug_file = stderr;
4617     debug_fd = fileno(debug_file);
4618     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4619     }
4620
4621   if (recipients_arg < argc)
4622     {
4623     while (recipients_arg < argc)
4624       {
4625       uschar *s = argv[recipients_arg++];
4626       while (*s != 0)
4627         {
4628         BOOL finished = FALSE;
4629         uschar *ss = parse_find_address_end(s, FALSE);
4630         if (*ss == ',') *ss = 0; else finished = TRUE;
4631         test_address(s, flags, &exit_value);
4632         s = ss;
4633         if (!finished)
4634           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4635         }
4636       }
4637     }
4638
4639   else for (;;)
4640     {
4641     uschar *s = get_stdinput(NULL, NULL);
4642     if (s == NULL) break;
4643     test_address(s, flags, &exit_value);
4644     }
4645
4646   route_tidyup();
4647   exim_exit(exit_value);
4648   }
4649
4650 /* Handle expansion checking. Either expand items on the command line, or read
4651 from stdin if there aren't any. If -Mset was specified, load the message so
4652 that its variables can be used, but restrict this facility to admin users.
4653 Otherwise, if -bem was used, read a message from stdin. */
4654
4655 if (expansion_test)
4656   {
4657   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4658     {
4659     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4660     if (!admin_user)
4661       {
4662       fprintf(stderr, "exim: permission denied\n");
4663       exit(EXIT_FAILURE);
4664       }
4665     message_id = argv[msg_action_arg];
4666     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4667     if (!spool_open_datafile(message_id))
4668       printf ("Failed to load message datafile %s\n", message_id);
4669     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4670       printf ("Failed to load message %s\n", message_id);
4671     }
4672
4673   /* Read a test message from a file. We fudge it up to be on stdin, saving
4674   stdin itself for later reading of expansion strings. */
4675
4676   else if (expansion_test_message != NULL)
4677     {
4678     int save_stdin = dup(0);
4679     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
4680     if (fd < 0)
4681       {
4682       fprintf(stderr, "exim: failed to open %s: %s\n", expansion_test_message,
4683         strerror(errno));
4684       return EXIT_FAILURE;
4685       }
4686     (void) dup2(fd, 0);
4687     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
4688     message_ended = END_NOTENDED;
4689     read_message_body(receive_msg(extract_recipients));
4690     message_linecount += body_linecount;
4691     (void)dup2(save_stdin, 0);
4692     (void)close(save_stdin);
4693     clearerr(stdin);               /* Required by Darwin */
4694     }
4695
4696   /* Allow $recipients for this testing */
4697
4698   enable_dollar_recipients = TRUE;
4699
4700   /* Expand command line items */
4701
4702   if (recipients_arg < argc)
4703     {
4704     while (recipients_arg < argc)
4705       {
4706       uschar *s = argv[recipients_arg++];
4707       uschar *ss = expand_string(s);
4708       if (ss == NULL) printf ("Failed: %s\n", expand_string_message);
4709       else printf("%s\n", CS ss);
4710       }
4711     }
4712
4713   /* Read stdin */
4714
4715   else
4716     {
4717     char *(*fn_readline)(const char *) = NULL;
4718     void (*fn_addhist)(const char *) = NULL;
4719
4720     #ifdef USE_READLINE
4721     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
4722     #endif
4723
4724     for (;;)
4725       {
4726       uschar *ss;
4727       uschar *source = get_stdinput(fn_readline, fn_addhist);
4728       if (source == NULL) break;
4729       ss = expand_string(source);
4730       if (ss == NULL)
4731         printf ("Failed: %s\n", expand_string_message);
4732       else printf("%s\n", CS ss);
4733       }
4734
4735     #ifdef USE_READLINE
4736     if (dlhandle != NULL) dlclose(dlhandle);
4737     #endif
4738     }
4739
4740   /* The data file will be open after -Mset */
4741
4742   if (deliver_datafile >= 0)
4743     {
4744     (void)close(deliver_datafile);
4745     deliver_datafile = -1;
4746     }
4747
4748   exim_exit(EXIT_SUCCESS);
4749   }
4750
4751
4752 /* The active host name is normally the primary host name, but it can be varied
4753 for hosts that want to play several parts at once. We need to ensure that it is
4754 set for host checking, and for receiving messages. */
4755
4756 smtp_active_hostname = primary_hostname;
4757 if (raw_active_hostname != NULL)
4758   {
4759   uschar *nah = expand_string(raw_active_hostname);
4760   if (nah == NULL)
4761     {
4762     if (!expand_string_forcedfail)
4763       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
4764         "(smtp_active_hostname): %s", raw_active_hostname,
4765         expand_string_message);
4766     }
4767   else if (nah[0] != 0) smtp_active_hostname = nah;
4768   }
4769
4770 /* Handle host checking: this facility mocks up an incoming SMTP call from a
4771 given IP address so that the blocking and relay configuration can be tested.
4772 Unless a sender_ident was set by -oMt, we discard it (the default is the
4773 caller's login name). An RFC 1413 call is made only if we are running in the
4774 test harness and an incoming interface and both ports are specified, because
4775 there is no TCP/IP call to find the ident for. */
4776
4777 if (host_checking)
4778   {
4779   int x[4];
4780   int size;
4781
4782   if (!sender_ident_set)
4783     {
4784     sender_ident = NULL;
4785     if (running_in_test_harness && sender_host_port != 0 &&
4786         interface_address != NULL && interface_port != 0)
4787       verify_get_ident(1413);
4788     }
4789
4790   /* In case the given address is a non-canonical IPv6 address, canonicize
4791   it. The code works for both IPv4 and IPv6, as it happens. */
4792
4793   size = host_aton(sender_host_address, x);
4794   sender_host_address = store_get(48);  /* large enough for full IPv6 */
4795   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
4796
4797   /* Now set up for testing */
4798
4799   host_build_sender_fullhost();
4800   smtp_input = TRUE;
4801   smtp_in = stdin;
4802   smtp_out = stdout;
4803   sender_local = FALSE;
4804   sender_host_notsocket = TRUE;
4805   debug_file = stderr;
4806   debug_fd = fileno(debug_file);
4807   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
4808     "**** but without any ident (RFC 1413) callback.\n"
4809     "**** This is not for real!\n\n",
4810       sender_host_address);
4811
4812   if (verify_check_host(&hosts_connection_nolog) == OK)
4813     log_write_selector &= ~L_smtp_connection;
4814   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
4815
4816   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
4817   because a log line has already been written for all its failure exists
4818   (usually "connection refused: <reason>") and writing another one is
4819   unnecessary clutter. */
4820
4821   if (smtp_start_session())
4822     {
4823     reset_point = store_get(0);
4824     for (;;)
4825       {
4826       store_reset(reset_point);
4827       if (smtp_setup_msg() <= 0) break;
4828       if (!receive_msg(FALSE)) break;
4829       }
4830     smtp_log_no_mail();
4831     }
4832   exim_exit(EXIT_SUCCESS);
4833   }
4834
4835
4836 /* Arrange for message reception if recipients or SMTP were specified;
4837 otherwise complain unless a version print (-bV) happened or this is a filter
4838 verification test or info dump.
4839 In the former case, show the configuration file name. */
4840
4841 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
4842   {
4843   if (version_printed)
4844     {
4845     printf("Configuration file is %s\n", config_main_filename);
4846     return EXIT_SUCCESS;
4847     }
4848
4849   if (info_flag != CMDINFO_NONE)
4850     {
4851     show_exim_information(info_flag, info_stdout ? stdout : stderr);
4852     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
4853     }
4854
4855   if (filter_test == FTEST_NONE)
4856     exim_usage(called_as);
4857   }
4858
4859
4860 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
4861 standard input into an MUA that submits to a smarthost over TCP/IP. We know
4862 that we are not called from inetd, because that is rejected above. The
4863 following configuration settings are forced here:
4864
4865   (1) Synchronous delivery (-odi)
4866   (2) Errors to stderr (-oep == -oeq)
4867   (3) No parallel remote delivery
4868   (4) Unprivileged delivery
4869
4870 We don't force overall queueing options because there are several of them;
4871 instead, queueing is avoided below when mua_wrapper is set. However, we do need
4872 to override any SMTP queueing. */
4873
4874 if (mua_wrapper)
4875   {
4876   synchronous_delivery = TRUE;
4877   arg_error_handling = ERRORS_STDERR;
4878   remote_max_parallel = 1;
4879   deliver_drop_privilege = TRUE;
4880   queue_smtp = FALSE;
4881   queue_smtp_domains = NULL;
4882   }
4883
4884
4885 /* Prepare to accept one or more new messages on the standard input. When a
4886 message has been read, its id is returned in message_id[]. If doing immediate
4887 delivery, we fork a delivery process for each received message, except for the
4888 last one, where we can save a process switch.
4889
4890 It is only in non-smtp mode that error_handling is allowed to be changed from
4891 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
4892 sendmail error modes other than -oem ever actually used? Later: yes.) */
4893
4894 if (!smtp_input) error_handling = arg_error_handling;
4895
4896 /* If this is an inetd call, ensure that stderr is closed to prevent panic
4897 logging being sent down the socket and make an identd call to get the
4898 sender_ident. */
4899
4900 else if (is_inetd)
4901   {
4902   (void)fclose(stderr);
4903   exim_nullstd();                       /* Re-open to /dev/null */
4904   verify_get_ident(IDENT_PORT);
4905   host_build_sender_fullhost();
4906   set_process_info("handling incoming connection from %s via inetd",
4907     sender_fullhost);
4908   }
4909
4910 /* If the sender host address has been set, build sender_fullhost if it hasn't
4911 already been done (which it will have been for inetd). This caters for the
4912 case when it is forced by -oMa. However, we must flag that it isn't a socket,
4913 so that the test for IP options is skipped for -bs input. */
4914
4915 if (sender_host_address != NULL && sender_fullhost == NULL)
4916   {
4917   host_build_sender_fullhost();
4918   set_process_info("handling incoming connection from %s via -oMa",
4919     sender_fullhost);
4920   sender_host_notsocket = TRUE;
4921   }
4922
4923 /* Otherwise, set the sender host as unknown except for inetd calls. This
4924 prevents host checking in the case of -bs not from inetd and also for -bS. */
4925
4926 else if (!is_inetd) sender_host_unknown = TRUE;
4927
4928 /* If stdout does not exist, then dup stdin to stdout. This can happen
4929 if exim is started from inetd. In this case fd 0 will be set to the socket,
4930 but fd 1 will not be set. This also happens for passed SMTP channels. */
4931
4932 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
4933
4934 /* Set up the incoming protocol name and the state of the program. Root is
4935 allowed to force received protocol via the -oMr option above. If we have come
4936 via inetd, the process info has already been set up. We don't set
4937 received_protocol here for smtp input, as it varies according to
4938 batch/HELO/EHLO/AUTH/TLS. */
4939
4940 if (smtp_input)
4941   {
4942   if (!is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
4943     smtp_batched_input? "batched " : "",
4944     (sender_address!= NULL)? sender_address : originator_login);
4945   }
4946 else
4947   {
4948   if (received_protocol == NULL)
4949     received_protocol = string_sprintf("local%s", called_as);
4950   set_process_info("accepting a local non-SMTP message from <%s>",
4951     sender_address);
4952   }
4953
4954 /* Initialize the session_local_queue-only flag (this will be ignored if
4955 mua_wrapper is set) */
4956
4957 queue_check_only();
4958 session_local_queue_only = queue_only;
4959
4960 /* For non-SMTP and for batched SMTP input, check that there is enough space on
4961 the spool if so configured. On failure, we must not attempt to send an error
4962 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
4963 error code is given.) */
4964
4965 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
4966   {
4967   fprintf(stderr, "exim: insufficient disk space\n");
4968   return EXIT_FAILURE;
4969   }
4970
4971 /* If this is smtp input of any kind, real or batched, handle the start of the
4972 SMTP session.
4973
4974 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
4975 because a log line has already been written for all its failure exists
4976 (usually "connection refused: <reason>") and writing another one is
4977 unnecessary clutter. */
4978
4979 if (smtp_input)
4980   {
4981   smtp_in = stdin;
4982   smtp_out = stdout;
4983   if (verify_check_host(&hosts_connection_nolog) == OK)
4984     log_write_selector &= ~L_smtp_connection;
4985   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
4986   if (!smtp_start_session())
4987     {
4988     mac_smtp_fflush();
4989     exim_exit(EXIT_SUCCESS);
4990     }
4991   }
4992
4993 /* Otherwise, set up the input size limit here. */
4994
4995 else
4996   {
4997   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
4998   if (expand_string_message != NULL)
4999     {
5000     if (thismessage_size_limit == -1)
5001       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5002         "message_size_limit: %s", expand_string_message);
5003     else
5004       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5005         "message_size_limit: %s", expand_string_message);
5006     }
5007   }
5008
5009 /* Loop for several messages when reading SMTP input. If we fork any child
5010 processes, we don't want to wait for them unless synchronous delivery is
5011 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5012 same as SIG_DFL, despite the fact that documentation often lists the default as
5013 "ignore". This is a confusing area. This is what I know:
5014
5015 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5016 processes that complete simply to go away without ever becoming defunct. You
5017 can't then wait for them - but we don't want to wait for them in the
5018 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5019 happen for all OS (e.g. *BSD is different).
5020
5021 But that's not the end of the story. Some (many? all?) systems have the
5022 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5023 has by default, so it seems that the difference is merely one of default
5024 (compare restarting vs non-restarting signals).
5025
5026 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5027 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5028 of the loop below. Paranoia rules.
5029
5030 February 2003: That's *still* not the end of the story. There are now versions
5031 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5032 process then calls waitpid(), a grumble is written to the system log, because
5033 this is logically inconsistent. In other words, it doesn't like the paranoia.
5034 As a consequenc of this, the waitpid() below is now excluded if we are sure
5035 that SIG_IGN works. */
5036
5037 if (!synchronous_delivery)
5038   {
5039   #ifdef SA_NOCLDWAIT
5040   struct sigaction act;
5041   act.sa_handler = SIG_IGN;
5042   sigemptyset(&(act.sa_mask));
5043   act.sa_flags = SA_NOCLDWAIT;
5044   sigaction(SIGCHLD, &act, NULL);
5045   #else
5046   signal(SIGCHLD, SIG_IGN);
5047   #endif
5048   }
5049
5050 /* Save the current store pool point, for resetting at the start of
5051 each message, and save the real sender address, if any. */
5052
5053 reset_point = store_get(0);
5054 real_sender_address = sender_address;
5055
5056 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5057 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5058 collapsed). */
5059
5060 while (more)
5061   {
5062   store_reset(reset_point);
5063   message_id[0] = 0;
5064
5065   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5066   input and build the recipients list, before calling receive_msg() to read the
5067   message proper. Whatever sender address is given in the SMTP transaction is
5068   often ignored for local senders - we use the actual sender, which is normally
5069   either the underlying user running this process or a -f argument provided by
5070   a trusted caller. It is saved in real_sender_address. The test for whether to
5071   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5072
5073   if (smtp_input)
5074     {
5075     int rc;
5076     if ((rc = smtp_setup_msg()) > 0)
5077       {
5078       if (real_sender_address != NULL &&
5079           !receive_check_set_sender(sender_address))
5080         {
5081         sender_address = raw_sender = real_sender_address;
5082         sender_address_unrewritten = NULL;
5083         }
5084
5085       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5086       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5087       the very end. The result of the ACL is ignored (as for other non-SMTP
5088       messages). It is run for its potential side effects. */
5089
5090       if (smtp_batched_input && acl_not_smtp_start != NULL)
5091         {
5092         uschar *user_msg, *log_msg;
5093         enable_dollar_recipients = TRUE;
5094         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5095           &user_msg, &log_msg);
5096         enable_dollar_recipients = FALSE;
5097         }
5098
5099       /* Now get the data for the message */
5100
5101       more = receive_msg(extract_recipients);
5102       if (message_id[0] == 0)
5103         {
5104         if (more) continue;
5105         smtp_log_no_mail();               /* Log no mail if configured */
5106         exim_exit(EXIT_FAILURE);
5107         }
5108       }
5109     else
5110       {
5111       smtp_log_no_mail();               /* Log no mail if configured */
5112       exim_exit((rc == 0)? EXIT_SUCCESS : EXIT_FAILURE);
5113       }
5114     }
5115
5116   /* In the non-SMTP case, we have all the information from the command
5117   line, but must process it in case it is in the more general RFC822
5118   format, and in any case, to detect syntax errors. Also, it appears that
5119   the use of comma-separated lists as single arguments is common, so we
5120   had better support them. */
5121
5122   else
5123     {
5124     int i;
5125     int rcount = 0;
5126     int count = argc - recipients_arg;
5127     uschar **list = argv + recipients_arg;
5128
5129     /* These options cannot be changed dynamically for non-SMTP messages */
5130
5131     active_local_sender_retain = local_sender_retain;
5132     active_local_from_check = local_from_check;
5133
5134     /* Save before any rewriting */
5135
5136     raw_sender = string_copy(sender_address);
5137
5138     /* Loop for each argument */
5139
5140     for (i = 0; i < count; i++)
5141       {
5142       int start, end, domain;
5143       uschar *errmess;
5144       uschar *s = list[i];
5145
5146       /* Loop for each comma-separated address */
5147
5148       while (*s != 0)
5149         {
5150         BOOL finished = FALSE;
5151         uschar *recipient;
5152         uschar *ss = parse_find_address_end(s, FALSE);
5153
5154         if (*ss == ',') *ss = 0; else finished = TRUE;
5155
5156         /* Check max recipients - if -t was used, these aren't recipients */
5157
5158         if (recipients_max > 0 && ++rcount > recipients_max &&
5159             !extract_recipients)
5160           {
5161           if (error_handling == ERRORS_STDERR)
5162             {
5163             fprintf(stderr, "exim: too many recipients\n");
5164             exim_exit(EXIT_FAILURE);
5165             }
5166           else
5167             {
5168             return
5169               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5170                 errors_sender_rc : EXIT_FAILURE;
5171             }
5172           }
5173
5174         recipient =
5175           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5176
5177         if (domain == 0 && !allow_unqualified_recipient)
5178           {
5179           recipient = NULL;
5180           errmess = US"unqualified recipient address not allowed";
5181           }
5182
5183         if (recipient == NULL)
5184           {
5185           if (error_handling == ERRORS_STDERR)
5186             {
5187             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5188               string_printing(list[i]), errmess);
5189             exim_exit(EXIT_FAILURE);
5190             }
5191           else
5192             {
5193             error_block eblock;
5194             eblock.next = NULL;
5195             eblock.text1 = string_printing(list[i]);
5196             eblock.text2 = errmess;
5197             return
5198               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5199                 errors_sender_rc : EXIT_FAILURE;
5200             }
5201           }
5202
5203         receive_add_recipient(recipient, -1);
5204         s = ss;
5205         if (!finished)
5206           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5207         }
5208       }
5209
5210     /* Show the recipients when debugging */
5211
5212     DEBUG(D_receive)
5213       {
5214       int i;
5215       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5216       if (recipients_list != NULL)
5217         {
5218         debug_printf("Recipients:\n");
5219         for (i = 0; i < recipients_count; i++)
5220           debug_printf("  %s\n", recipients_list[i].address);
5221         }
5222       }
5223
5224     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5225     ignored; rejecting here would just add complication, and it can just as
5226     well be done later. Allow $recipients to be visible in the ACL. */
5227
5228     if (acl_not_smtp_start != NULL)
5229       {
5230       uschar *user_msg, *log_msg;
5231       enable_dollar_recipients = TRUE;
5232       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5233         &user_msg, &log_msg);
5234       enable_dollar_recipients = FALSE;
5235       }
5236
5237     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5238     will just read the headers for the message, and not write anything onto the
5239     spool. */
5240
5241     message_ended = END_NOTENDED;
5242     more = receive_msg(extract_recipients);
5243
5244     /* more is always FALSE here (not SMTP message) when reading a message
5245     for real; when reading the headers of a message for filter testing,
5246     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5247
5248     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5249     }  /* Non-SMTP message reception */
5250
5251   /* If this is a filter testing run, there are headers in store, but
5252   no message on the spool. Run the filtering code in testing mode, setting
5253   the domain to the qualify domain and the local part to the current user,
5254   unless they have been set by options. The prefix and suffix are left unset
5255   unless specified. The the return path is set to to the sender unless it has
5256   already been set from a return-path header in the message. */
5257
5258   if (filter_test != FTEST_NONE)
5259     {
5260     deliver_domain = (ftest_domain != NULL)?
5261       ftest_domain : qualify_domain_recipient;
5262     deliver_domain_orig = deliver_domain;
5263     deliver_localpart = (ftest_localpart != NULL)?
5264       ftest_localpart : originator_login;
5265     deliver_localpart_orig = deliver_localpart;
5266     deliver_localpart_prefix = ftest_prefix;
5267     deliver_localpart_suffix = ftest_suffix;
5268     deliver_home = originator_home;
5269
5270     if (return_path == NULL)
5271       {
5272       printf("Return-path copied from sender\n");
5273       return_path = string_copy(sender_address);
5274       }
5275     else
5276       {
5277       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5278       }
5279     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5280
5281     receive_add_recipient(
5282       string_sprintf("%s%s%s@%s",
5283         (ftest_prefix == NULL)? US"" : ftest_prefix,
5284         deliver_localpart,
5285         (ftest_suffix == NULL)? US"" : ftest_suffix,
5286         deliver_domain), -1);
5287
5288     printf("Recipient   = %s\n", recipients_list[0].address);
5289     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5290     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5291
5292     (void)chdir("/");   /* Get away from wherever the user is running this from */
5293
5294     /* Now we run either a system filter test, or a user filter test, or both.
5295     In the latter case, headers added by the system filter will persist and be
5296     available to the user filter. We need to copy the filter variables
5297     explicitly. */
5298
5299     if ((filter_test & FTEST_SYSTEM) != 0)
5300       {
5301       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5302         exim_exit(EXIT_FAILURE);
5303       }
5304
5305     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5306
5307     if ((filter_test & FTEST_USER) != 0)
5308       {
5309       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5310         exim_exit(EXIT_FAILURE);
5311       }
5312
5313     exim_exit(EXIT_SUCCESS);
5314     }
5315
5316   /* Else act on the result of message reception. We should not get here unless
5317   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5318   will be TRUE. If it is not, check on the number of messages received in this
5319   connection. */
5320
5321   if (!session_local_queue_only &&
5322       smtp_accept_queue_per_connection > 0 &&
5323       receive_messagecount > smtp_accept_queue_per_connection)
5324     {
5325     session_local_queue_only = TRUE;
5326     queue_only_reason = 2;
5327     }
5328
5329   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5330   and queue_only_load is set, check that the load average is below it. If it is
5331   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5332   default), we put the whole session into queue_only mode. It then remains this
5333   way for any subsequent messages on the same SMTP connection. This is a
5334   deliberate choice; even though the load average may fall, it doesn't seem
5335   right to deliver later messages on the same call when not delivering earlier
5336   ones. However, there are odd cases where this is not wanted, so this can be
5337   changed by setting queue_only_load_latch false. */
5338
5339   local_queue_only = session_local_queue_only;
5340   if (!local_queue_only && queue_only_load >= 0)
5341     {
5342     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5343     if (local_queue_only)
5344       {
5345       queue_only_reason = 3;
5346       if (queue_only_load_latch) session_local_queue_only = TRUE;
5347       }
5348     }
5349
5350   /* If running as an MUA wrapper, all queueing options and freezing options
5351   are ignored. */
5352
5353   if (mua_wrapper)
5354     local_queue_only = queue_only_policy = deliver_freeze = FALSE;
5355
5356   /* Log the queueing here, when it will get a message id attached, but
5357   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5358   connections). */
5359
5360   if (local_queue_only) switch(queue_only_reason)
5361     {
5362     case 2:
5363     log_write(L_delay_delivery,
5364               LOG_MAIN, "no immediate delivery: more than %d messages "
5365       "received in one connection", smtp_accept_queue_per_connection);
5366     break;
5367
5368     case 3:
5369     log_write(L_delay_delivery,
5370               LOG_MAIN, "no immediate delivery: load average %.2f",
5371               (double)load_average/1000.0);
5372     break;
5373     }
5374
5375   /* Else do the delivery unless the ACL or local_scan() called for queue only
5376   or froze the message. Always deliver in a separate process. A fork failure is
5377   not a disaster, as the delivery will eventually happen on a subsequent queue
5378   run. The search cache must be tidied before the fork, as the parent will
5379   do it before exiting. The child will trigger a lookup failure and
5380   thereby defer the delivery if it tries to use (for example) a cached ldap
5381   connection that the parent has called unbind on. */
5382
5383   else if (!queue_only_policy && !deliver_freeze)
5384     {
5385     pid_t pid;
5386     search_tidyup();
5387
5388     if ((pid = fork()) == 0)
5389       {
5390       int rc;
5391       close_unwanted();      /* Close unwanted file descriptors and TLS */
5392       exim_nullstd();        /* Ensure std{in,out,err} exist */
5393
5394       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5395       mode, deliver_drop_privilege is forced TRUE). */
5396
5397       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5398         {
5399         (void)child_exec_exim(CEE_EXEC_EXIT, FALSE, NULL, FALSE, 2, US"-Mc",
5400           message_id);
5401         /* Control does not return here. */
5402         }
5403
5404       /* No need to re-exec */
5405
5406       rc = deliver_message(message_id, FALSE, FALSE);
5407       search_tidyup();
5408       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5409         EXIT_SUCCESS : EXIT_FAILURE);
5410       }
5411
5412     if (pid < 0)
5413       {
5414       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5415         "process: %s", strerror(errno));
5416       }
5417
5418     /* In the parent, wait if synchronous delivery is required. This will
5419     always be the case in MUA wrapper mode. */
5420
5421     else if (synchronous_delivery)
5422       {
5423       int status;
5424       while (wait(&status) != pid);
5425       if ((status & 0x00ff) != 0)
5426         log_write(0, LOG_MAIN|LOG_PANIC,
5427           "process %d crashed with signal %d while delivering %s",
5428           (int)pid, status & 0x00ff, message_id);
5429       if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5430       }
5431     }
5432
5433   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5434   automatically reaps children (see comments above the loop), clear away any
5435   finished subprocesses here, in case there are lots of messages coming in
5436   from the same source. */
5437
5438   #ifndef SIG_IGN_WORKS
5439   while (waitpid(-1, NULL, WNOHANG) > 0);
5440   #endif
5441   }
5442
5443 exim_exit(EXIT_SUCCESS);   /* Never returns */
5444 return 0;                  /* To stop compiler warning */
5445 }
5446
5447 /* End of exim.c */