be6cd616250957aa60bee30cab69d70fcb2cb216
[users/jgh/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"authresults",
107   US"certextract",
108   US"dlfunc",
109   US"env",
110   US"extract",
111   US"filter",
112   US"hash",
113   US"hmac",
114   US"if",
115 #ifdef SUPPORT_I18N
116   US"imapfolder",
117 #endif
118   US"length",
119   US"listextract",
120   US"lookup",
121   US"map",
122   US"nhash",
123   US"perl",
124   US"prvs",
125   US"prvscheck",
126   US"readfile",
127   US"readsocket",
128   US"reduce",
129   US"run",
130   US"sg",
131   US"sort",
132 #ifdef EXPERIMENTAL_SRS_NATIVE
133   US"srs_encode",
134 #endif
135   US"substr",
136   US"tr" };
137
138 enum {
139   EITEM_ACL,
140   EITEM_AUTHRESULTS,
141   EITEM_CERTEXTRACT,
142   EITEM_DLFUNC,
143   EITEM_ENV,
144   EITEM_EXTRACT,
145   EITEM_FILTER,
146   EITEM_HASH,
147   EITEM_HMAC,
148   EITEM_IF,
149 #ifdef SUPPORT_I18N
150   EITEM_IMAPFOLDER,
151 #endif
152   EITEM_LENGTH,
153   EITEM_LISTEXTRACT,
154   EITEM_LOOKUP,
155   EITEM_MAP,
156   EITEM_NHASH,
157   EITEM_PERL,
158   EITEM_PRVS,
159   EITEM_PRVSCHECK,
160   EITEM_READFILE,
161   EITEM_READSOCK,
162   EITEM_REDUCE,
163   EITEM_RUN,
164   EITEM_SG,
165   EITEM_SORT,
166 #ifdef EXPERIMENTAL_SRS_NATIVE
167   EITEM_SRS_ENCODE,
168 #endif
169   EITEM_SUBSTR,
170   EITEM_TR };
171
172 /* Tables of operator names, and corresponding switch numbers. The names must be
173 in alphabetical order. There are two tables, because underscore is used in some
174 cases to introduce arguments, whereas for other it is part of the name. This is
175 an historical mis-design. */
176
177 static uschar *op_table_underscore[] = {
178   US"from_utf8",
179   US"local_part",
180   US"quote_local_part",
181   US"reverse_ip",
182   US"time_eval",
183   US"time_interval"
184 #ifdef SUPPORT_I18N
185  ,US"utf8_domain_from_alabel",
186   US"utf8_domain_to_alabel",
187   US"utf8_localpart_from_alabel",
188   US"utf8_localpart_to_alabel"
189 #endif
190   };
191
192 enum {
193   EOP_FROM_UTF8,
194   EOP_LOCAL_PART,
195   EOP_QUOTE_LOCAL_PART,
196   EOP_REVERSE_IP,
197   EOP_TIME_EVAL,
198   EOP_TIME_INTERVAL
199 #ifdef SUPPORT_I18N
200  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
201   EOP_UTF8_DOMAIN_TO_ALABEL,
202   EOP_UTF8_LOCALPART_FROM_ALABEL,
203   EOP_UTF8_LOCALPART_TO_ALABEL
204 #endif
205   };
206
207 static uschar *op_table_main[] = {
208   US"address",
209   US"addresses",
210   US"base32",
211   US"base32d",
212   US"base62",
213   US"base62d",
214   US"base64",
215   US"base64d",
216   US"domain",
217   US"escape",
218   US"escape8bit",
219   US"eval",
220   US"eval10",
221   US"expand",
222   US"h",
223   US"hash",
224   US"hex2b64",
225   US"hexquote",
226   US"ipv6denorm",
227   US"ipv6norm",
228   US"l",
229   US"lc",
230   US"length",
231   US"listcount",
232   US"listnamed",
233   US"mask",
234   US"md5",
235   US"nh",
236   US"nhash",
237   US"quote",
238   US"randint",
239   US"rfc2047",
240   US"rfc2047d",
241   US"rxquote",
242   US"s",
243   US"sha1",
244   US"sha2",
245   US"sha256",
246   US"sha3",
247   US"stat",
248   US"str2b64",
249   US"strlen",
250   US"substr",
251   US"uc",
252   US"utf8clean" };
253
254 enum {
255   EOP_ADDRESS =  nelem(op_table_underscore),
256   EOP_ADDRESSES,
257   EOP_BASE32,
258   EOP_BASE32D,
259   EOP_BASE62,
260   EOP_BASE62D,
261   EOP_BASE64,
262   EOP_BASE64D,
263   EOP_DOMAIN,
264   EOP_ESCAPE,
265   EOP_ESCAPE8BIT,
266   EOP_EVAL,
267   EOP_EVAL10,
268   EOP_EXPAND,
269   EOP_H,
270   EOP_HASH,
271   EOP_HEX2B64,
272   EOP_HEXQUOTE,
273   EOP_IPV6DENORM,
274   EOP_IPV6NORM,
275   EOP_L,
276   EOP_LC,
277   EOP_LENGTH,
278   EOP_LISTCOUNT,
279   EOP_LISTNAMED,
280   EOP_MASK,
281   EOP_MD5,
282   EOP_NH,
283   EOP_NHASH,
284   EOP_QUOTE,
285   EOP_RANDINT,
286   EOP_RFC2047,
287   EOP_RFC2047D,
288   EOP_RXQUOTE,
289   EOP_S,
290   EOP_SHA1,
291   EOP_SHA2,
292   EOP_SHA256,
293   EOP_SHA3,
294   EOP_STAT,
295   EOP_STR2B64,
296   EOP_STRLEN,
297   EOP_SUBSTR,
298   EOP_UC,
299   EOP_UTF8CLEAN };
300
301
302 /* Table of condition names, and corresponding switch numbers. The names must
303 be in alphabetical order. */
304
305 static uschar *cond_table[] = {
306   US"<",
307   US"<=",
308   US"=",
309   US"==",     /* Backward compatibility */
310   US">",
311   US">=",
312   US"acl",
313   US"and",
314   US"bool",
315   US"bool_lax",
316   US"crypteq",
317   US"def",
318   US"eq",
319   US"eqi",
320   US"exists",
321   US"first_delivery",
322   US"forall",
323   US"forall_json",
324   US"forall_jsons",
325   US"forany",
326   US"forany_json",
327   US"forany_jsons",
328   US"ge",
329   US"gei",
330   US"gt",
331   US"gti",
332 #ifdef EXPERIMENTAL_SRS_NATIVE
333   US"inbound_srs",
334 #endif
335   US"inlist",
336   US"inlisti",
337   US"isip",
338   US"isip4",
339   US"isip6",
340   US"ldapauth",
341   US"le",
342   US"lei",
343   US"lt",
344   US"lti",
345   US"match",
346   US"match_address",
347   US"match_domain",
348   US"match_ip",
349   US"match_local_part",
350   US"or",
351   US"pam",
352   US"pwcheck",
353   US"queue_running",
354   US"radius",
355   US"saslauthd"
356 };
357
358 enum {
359   ECOND_NUM_L,
360   ECOND_NUM_LE,
361   ECOND_NUM_E,
362   ECOND_NUM_EE,
363   ECOND_NUM_G,
364   ECOND_NUM_GE,
365   ECOND_ACL,
366   ECOND_AND,
367   ECOND_BOOL,
368   ECOND_BOOL_LAX,
369   ECOND_CRYPTEQ,
370   ECOND_DEF,
371   ECOND_STR_EQ,
372   ECOND_STR_EQI,
373   ECOND_EXISTS,
374   ECOND_FIRST_DELIVERY,
375   ECOND_FORALL,
376   ECOND_FORALL_JSON,
377   ECOND_FORALL_JSONS,
378   ECOND_FORANY,
379   ECOND_FORANY_JSON,
380   ECOND_FORANY_JSONS,
381   ECOND_STR_GE,
382   ECOND_STR_GEI,
383   ECOND_STR_GT,
384   ECOND_STR_GTI,
385 #ifdef EXPERIMENTAL_SRS_NATIVE
386   ECOND_INBOUND_SRS,
387 #endif
388   ECOND_INLIST,
389   ECOND_INLISTI,
390   ECOND_ISIP,
391   ECOND_ISIP4,
392   ECOND_ISIP6,
393   ECOND_LDAPAUTH,
394   ECOND_STR_LE,
395   ECOND_STR_LEI,
396   ECOND_STR_LT,
397   ECOND_STR_LTI,
398   ECOND_MATCH,
399   ECOND_MATCH_ADDRESS,
400   ECOND_MATCH_DOMAIN,
401   ECOND_MATCH_IP,
402   ECOND_MATCH_LOCAL_PART,
403   ECOND_OR,
404   ECOND_PAM,
405   ECOND_PWCHECK,
406   ECOND_QUEUE_RUNNING,
407   ECOND_RADIUS,
408   ECOND_SASLAUTHD
409 };
410
411
412 /* Types of table entry */
413
414 enum vtypes {
415   vtype_int,            /* value is address of int */
416   vtype_filter_int,     /* ditto, but recognized only when filtering */
417   vtype_ino,            /* value is address of ino_t (not always an int) */
418   vtype_uid,            /* value is address of uid_t (not always an int) */
419   vtype_gid,            /* value is address of gid_t (not always an int) */
420   vtype_bool,           /* value is address of bool */
421   vtype_stringptr,      /* value is address of pointer to string */
422   vtype_msgbody,        /* as stringptr, but read when first required */
423   vtype_msgbody_end,    /* ditto, the end of the message */
424   vtype_msgheaders,     /* the message's headers, processed */
425   vtype_msgheaders_raw, /* the message's headers, unprocessed */
426   vtype_localpart,      /* extract local part from string */
427   vtype_domain,         /* extract domain from string */
428   vtype_string_func,    /* value is string returned by given function */
429   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
430   vtype_tode,           /* value not used; generate tod in epoch format */
431   vtype_todel,          /* value not used; generate tod in epoch/usec format */
432   vtype_todf,           /* value not used; generate full tod */
433   vtype_todl,           /* value not used; generate log tod */
434   vtype_todlf,          /* value not used; generate log file datestamp tod */
435   vtype_todzone,        /* value not used; generate time zone only */
436   vtype_todzulu,        /* value not used; generate zulu tod */
437   vtype_reply,          /* value not used; get reply from headers */
438   vtype_pid,            /* value not used; result is pid */
439   vtype_host_lookup,    /* value not used; get host name */
440   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
441   vtype_pspace,         /* partition space; value is T/F for spool/log */
442   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
443   vtype_cert            /* SSL certificate */
444   #ifndef DISABLE_DKIM
445   ,vtype_dkim           /* Lookup of value in DKIM signature */
446   #endif
447 };
448
449 /* Type for main variable table */
450
451 typedef struct {
452   const char *name;
453   enum vtypes type;
454   void       *value;
455 } var_entry;
456
457 /* Type for entries pointing to address/length pairs. Not currently
458 in use. */
459
460 typedef struct {
461   uschar **address;
462   int  *length;
463 } alblock;
464
465 static uschar * fn_recipients(void);
466 typedef uschar * stringptr_fn_t(void);
467
468 /* This table must be kept in alphabetical order. */
469
470 static var_entry var_table[] = {
471   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
472      they will be confused with user-creatable ACL variables. */
473   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
474   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
475   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
476   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
477   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
478   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
479   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
480   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
481   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
482   { "acl_narg",            vtype_int,         &acl_narg },
483   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
484   { "address_data",        vtype_stringptr,   &deliver_address_data },
485   { "address_file",        vtype_stringptr,   &address_file },
486   { "address_pipe",        vtype_stringptr,   &address_pipe },
487 #ifdef EXPERIMENTAL_ARC
488   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
489   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
490   { "arc_state",           vtype_stringptr,   &arc_state },
491   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
492 #endif
493   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
494   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
495   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
496   { "authentication_failed",vtype_int,        &authentication_failed },
497 #ifdef WITH_CONTENT_SCAN
498   { "av_failed",           vtype_int,         &av_failed },
499 #endif
500 #ifdef EXPERIMENTAL_BRIGHTMAIL
501   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
502   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
503   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
504   { "bmi_deliver",         vtype_int,         &bmi_deliver },
505 #endif
506   { "body_linecount",      vtype_int,         &body_linecount },
507   { "body_zerocount",      vtype_int,         &body_zerocount },
508   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
509   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
510   { "caller_gid",          vtype_gid,         &real_gid },
511   { "caller_uid",          vtype_uid,         &real_uid },
512   { "callout_address",     vtype_stringptr,   &callout_address },
513   { "compile_date",        vtype_stringptr,   &version_date },
514   { "compile_number",      vtype_stringptr,   &version_cnumber },
515   { "config_dir",          vtype_stringptr,   &config_main_directory },
516   { "config_file",         vtype_stringptr,   &config_main_filename },
517   { "csa_status",          vtype_stringptr,   &csa_status },
518 #ifdef EXPERIMENTAL_DCC
519   { "dcc_header",          vtype_stringptr,   &dcc_header },
520   { "dcc_result",          vtype_stringptr,   &dcc_result },
521 #endif
522 #ifndef DISABLE_DKIM
523   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
524   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
525   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
526   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
527   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
528   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
529   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
530   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
531   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
532   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
533   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
534   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
535   { "dkim_key_length",     vtype_int,         &dkim_key_length },
536   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
537   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
538   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
539   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
540   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
541   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
542   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
543   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
544 #endif
545 #ifdef SUPPORT_DMARC
546   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
547   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
548   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
549   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
550 #endif
551   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
552   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
553   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
554   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
555   { "domain",              vtype_stringptr,   &deliver_domain },
556   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
557 #ifndef DISABLE_EVENT
558   { "event_data",          vtype_stringptr,   &event_data },
559
560   /*XXX want to use generic vars for as many of these as possible*/
561   { "event_defer_errno",   vtype_int,         &event_defer_errno },
562
563   { "event_name",          vtype_stringptr,   &event_name },
564 #endif
565   { "exim_gid",            vtype_gid,         &exim_gid },
566   { "exim_path",           vtype_stringptr,   &exim_path },
567   { "exim_uid",            vtype_uid,         &exim_uid },
568   { "exim_version",        vtype_stringptr,   &version_string },
569   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
570   { "home",                vtype_stringptr,   &deliver_home },
571   { "host",                vtype_stringptr,   &deliver_host },
572   { "host_address",        vtype_stringptr,   &deliver_host_address },
573   { "host_data",           vtype_stringptr,   &host_data },
574   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
575   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
576   { "host_port",           vtype_int,         &deliver_host_port },
577   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
578   { "inode",               vtype_ino,         &deliver_inode },
579   { "interface_address",   vtype_stringptr,   &interface_address },
580   { "interface_port",      vtype_int,         &interface_port },
581   { "item",                vtype_stringptr,   &iterate_item },
582   #ifdef LOOKUP_LDAP
583   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
584   #endif
585   { "load_average",        vtype_load_avg,    NULL },
586   { "local_part",          vtype_stringptr,   &deliver_localpart },
587   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
588   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
589   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
590   { "local_part_verified", vtype_stringptr,   &deliver_localpart_verified },
591 #ifdef HAVE_LOCAL_SCAN
592   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
593 #endif
594   { "local_user_gid",      vtype_gid,         &local_user_gid },
595   { "local_user_uid",      vtype_uid,         &local_user_uid },
596   { "localhost_number",    vtype_int,         &host_number },
597   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
598   { "log_space",           vtype_pspace,      (void *)FALSE },
599   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
600   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
601 #ifdef WITH_CONTENT_SCAN
602   { "malware_name",        vtype_stringptr,   &malware_name },
603 #endif
604   { "max_received_linelength", vtype_int,     &max_received_linelength },
605   { "message_age",         vtype_int,         &message_age },
606   { "message_body",        vtype_msgbody,     &message_body },
607   { "message_body_end",    vtype_msgbody_end, &message_body_end },
608   { "message_body_size",   vtype_int,         &message_body_size },
609   { "message_exim_id",     vtype_stringptr,   &message_id },
610   { "message_headers",     vtype_msgheaders,  NULL },
611   { "message_headers_raw", vtype_msgheaders_raw, NULL },
612   { "message_id",          vtype_stringptr,   &message_id },
613   { "message_linecount",   vtype_int,         &message_linecount },
614   { "message_size",        vtype_int,         &message_size },
615 #ifdef SUPPORT_I18N
616   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
617 #endif
618 #ifdef WITH_CONTENT_SCAN
619   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
620   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
621   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
622   { "mime_charset",        vtype_stringptr,   &mime_charset },
623   { "mime_content_description", vtype_stringptr, &mime_content_description },
624   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
625   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
626   { "mime_content_size",   vtype_int,         &mime_content_size },
627   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
628   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
629   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
630   { "mime_filename",       vtype_stringptr,   &mime_filename },
631   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
632   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
633   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
634   { "mime_part_count",     vtype_int,         &mime_part_count },
635 #endif
636   { "n0",                  vtype_filter_int,  &filter_n[0] },
637   { "n1",                  vtype_filter_int,  &filter_n[1] },
638   { "n2",                  vtype_filter_int,  &filter_n[2] },
639   { "n3",                  vtype_filter_int,  &filter_n[3] },
640   { "n4",                  vtype_filter_int,  &filter_n[4] },
641   { "n5",                  vtype_filter_int,  &filter_n[5] },
642   { "n6",                  vtype_filter_int,  &filter_n[6] },
643   { "n7",                  vtype_filter_int,  &filter_n[7] },
644   { "n8",                  vtype_filter_int,  &filter_n[8] },
645   { "n9",                  vtype_filter_int,  &filter_n[9] },
646   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
647   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
648   { "originator_gid",      vtype_gid,         &originator_gid },
649   { "originator_uid",      vtype_uid,         &originator_uid },
650   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
651   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
652   { "pid",                 vtype_pid,         NULL },
653 #ifndef DISABLE_PRDR
654   { "prdr_requested",      vtype_bool,        &prdr_requested },
655 #endif
656   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
657 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
658   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
659   { "proxy_external_port", vtype_int,         &proxy_external_port },
660   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
661   { "proxy_local_port",    vtype_int,         &proxy_local_port },
662   { "proxy_session",       vtype_bool,        &proxy_session },
663 #endif
664   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
665   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
666   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
667   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
668   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
669   { "queue_name",          vtype_stringptr,   &queue_name },
670   { "rcpt_count",          vtype_int,         &rcpt_count },
671   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
672   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
673   { "received_count",      vtype_int,         &received_count },
674   { "received_for",        vtype_stringptr,   &received_for },
675   { "received_ip_address", vtype_stringptr,   &interface_address },
676   { "received_port",       vtype_int,         &interface_port },
677   { "received_protocol",   vtype_stringptr,   &received_protocol },
678   { "received_time",       vtype_int,         &received_time.tv_sec },
679   { "recipient_data",      vtype_stringptr,   &recipient_data },
680   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
681   { "recipients",          vtype_string_func, (void *) &fn_recipients },
682   { "recipients_count",    vtype_int,         &recipients_count },
683 #ifdef WITH_CONTENT_SCAN
684   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
685 #endif
686   { "reply_address",       vtype_reply,       NULL },
687   { "return_path",         vtype_stringptr,   &return_path },
688   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
689   { "router_name",         vtype_stringptr,   &router_name },
690   { "runrc",               vtype_int,         &runrc },
691   { "self_hostname",       vtype_stringptr,   &self_hostname },
692   { "sender_address",      vtype_stringptr,   &sender_address },
693   { "sender_address_data", vtype_stringptr,   &sender_address_data },
694   { "sender_address_domain", vtype_domain,    &sender_address },
695   { "sender_address_local_part", vtype_localpart, &sender_address },
696   { "sender_data",         vtype_stringptr,   &sender_data },
697   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
698   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
699   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
700   { "sender_host_address", vtype_stringptr,   &sender_host_address },
701   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
702   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
703   { "sender_host_name",    vtype_host_lookup, NULL },
704   { "sender_host_port",    vtype_int,         &sender_host_port },
705   { "sender_ident",        vtype_stringptr,   &sender_ident },
706   { "sender_rate",         vtype_stringptr,   &sender_rate },
707   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
708   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
709   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
710   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
711   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
712   { "sending_port",        vtype_int,         &sending_port },
713   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
714   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
715   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
716   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
717   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
718   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
719   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
720   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
721   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
722   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
723   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
724   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
725   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
726   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
727   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
728   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
729 #ifdef WITH_CONTENT_SCAN
730   { "spam_action",         vtype_stringptr,   &spam_action },
731   { "spam_bar",            vtype_stringptr,   &spam_bar },
732   { "spam_report",         vtype_stringptr,   &spam_report },
733   { "spam_score",          vtype_stringptr,   &spam_score },
734   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
735 #endif
736 #ifdef SUPPORT_SPF
737   { "spf_guess",           vtype_stringptr,   &spf_guess },
738   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
739   { "spf_received",        vtype_stringptr,   &spf_received },
740   { "spf_result",          vtype_stringptr,   &spf_result },
741   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
742   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
743 #endif
744   { "spool_directory",     vtype_stringptr,   &spool_directory },
745   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
746   { "spool_space",         vtype_pspace,      (void *)TRUE },
747 #ifdef EXPERIMENTAL_SRS
748   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
749   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
750   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
751   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
752 #endif
753 #if defined(EXPERIMENTAL_SRS) || defined(EXPERIMENTAL_SRS_NATIVE)
754   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
755 #endif
756 #ifdef EXPERIMENTAL_SRS
757   { "srs_status",          vtype_stringptr,   &srs_status },
758 #endif
759   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
760
761   /* The non-(in,out) variables are now deprecated */
762   { "tls_bits",            vtype_int,         &tls_in.bits },
763   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
764   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
765
766   { "tls_in_bits",         vtype_int,         &tls_in.bits },
767   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
768   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
769   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
770   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
771   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
772   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
773   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
774 #ifdef EXPERIMENTAL_TLS_RESUME
775   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
776 #endif
777 #ifndef DISABLE_TLS
778   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
779 #endif
780   { "tls_in_ver",          vtype_stringptr,   &tls_in.ver },
781   { "tls_out_bits",        vtype_int,         &tls_out.bits },
782   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
783   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
784   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
785 #ifdef SUPPORT_DANE
786   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
787 #endif
788   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
789   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
790   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
791   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
792 #ifdef EXPERIMENTAL_TLS_RESUME
793   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
794 #endif
795 #ifndef DISABLE_TLS
796   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
797 #endif
798 #ifdef SUPPORT_DANE
799   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
800 #endif
801   { "tls_out_ver",         vtype_stringptr,   &tls_out.ver },
802
803   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
804 #ifndef DISABLE_TLS
805   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
806 #endif
807
808   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
809   { "tod_epoch",           vtype_tode,        NULL },
810   { "tod_epoch_l",         vtype_todel,       NULL },
811   { "tod_full",            vtype_todf,        NULL },
812   { "tod_log",             vtype_todl,        NULL },
813   { "tod_logfile",         vtype_todlf,       NULL },
814   { "tod_zone",            vtype_todzone,     NULL },
815   { "tod_zulu",            vtype_todzulu,     NULL },
816   { "transport_name",      vtype_stringptr,   &transport_name },
817   { "value",               vtype_stringptr,   &lookup_value },
818   { "verify_mode",         vtype_stringptr,   &verify_mode },
819   { "version_number",      vtype_stringptr,   &version_string },
820   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
821   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
822   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
823   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
824   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
825   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
826 };
827
828 static int var_table_size = nelem(var_table);
829 static uschar var_buffer[256];
830 static BOOL malformed_header;
831
832 /* For textual hashes */
833
834 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
835                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
836                                "0123456789";
837
838 enum { HMAC_MD5, HMAC_SHA1 };
839
840 /* For numeric hashes */
841
842 static unsigned int prime[] = {
843   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
844  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
845  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
846
847 /* For printing modes in symbolic form */
848
849 static uschar *mtable_normal[] =
850   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
851
852 static uschar *mtable_setid[] =
853   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
854
855 static uschar *mtable_sticky[] =
856   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
857
858 /* flags for find_header() */
859 #define FH_EXISTS_ONLY  BIT(0)
860 #define FH_WANT_RAW     BIT(1)
861 #define FH_WANT_LIST    BIT(2)
862
863
864 /*************************************************
865 *           Tables for UTF-8 support             *
866 *************************************************/
867
868 /* Table of the number of extra characters, indexed by the first character
869 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
870 0x3d. */
871
872 static uschar utf8_table1[] = {
873   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
874   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
875   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
876   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
877
878 /* These are the masks for the data bits in the first byte of a character,
879 indexed by the number of additional bytes. */
880
881 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
882
883 /* Get the next UTF-8 character, advancing the pointer. */
884
885 #define GETUTF8INC(c, ptr) \
886   c = *ptr++; \
887   if ((c & 0xc0) == 0xc0) \
888     { \
889     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
890     int s = 6*a; \
891     c = (c & utf8_table2[a]) << s; \
892     while (a-- > 0) \
893       { \
894       s -= 6; \
895       c |= (*ptr++ & 0x3f) << s; \
896       } \
897     }
898
899
900
901 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
902
903 /*************************************************
904 *           Binary chop search on a table        *
905 *************************************************/
906
907 /* This is used for matching expansion items and operators.
908
909 Arguments:
910   name        the name that is being sought
911   table       the table to search
912   table_size  the number of items in the table
913
914 Returns:      the offset in the table, or -1
915 */
916
917 static int
918 chop_match(uschar *name, uschar **table, int table_size)
919 {
920 uschar **bot = table;
921 uschar **top = table + table_size;
922
923 while (top > bot)
924   {
925   uschar **mid = bot + (top - bot)/2;
926   int c = Ustrcmp(name, *mid);
927   if (c == 0) return mid - table;
928   if (c > 0) bot = mid + 1; else top = mid;
929   }
930
931 return -1;
932 }
933
934
935
936 /*************************************************
937 *          Check a condition string              *
938 *************************************************/
939
940 /* This function is called to expand a string, and test the result for a "true"
941 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
942 forced fail or lookup defer.
943
944 We used to release all store used, but this is not not safe due
945 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
946 is reasonably careful to release what it can.
947
948 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
949
950 Arguments:
951   condition     the condition string
952   m1            text to be incorporated in panic error
953   m2            ditto
954
955 Returns:        TRUE if condition is met, FALSE if not
956 */
957
958 BOOL
959 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
960 {
961 uschar * ss = expand_string(condition);
962 if (!ss)
963   {
964   if (!f.expand_string_forcedfail && !f.search_find_defer)
965     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
966       "for %s %s: %s", condition, m1, m2, expand_string_message);
967   return FALSE;
968   }
969 return *ss && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
970   strcmpic(ss, US"false") != 0;
971 }
972
973
974
975
976 /*************************************************
977 *        Pseudo-random number generation         *
978 *************************************************/
979
980 /* Pseudo-random number generation.  The result is not "expected" to be
981 cryptographically strong but not so weak that someone will shoot themselves
982 in the foot using it as a nonce in some email header scheme or whatever
983 weirdness they'll twist this into.  The result should ideally handle fork().
984
985 However, if we're stuck unable to provide this, then we'll fall back to
986 appallingly bad randomness.
987
988 If DISABLE_TLS is not defined then this will not be used except as an emergency
989 fallback.
990
991 Arguments:
992   max       range maximum
993 Returns     a random number in range [0, max-1]
994 */
995
996 #ifndef DISABLE_TLS
997 # define vaguely_random_number vaguely_random_number_fallback
998 #endif
999 int
1000 vaguely_random_number(int max)
1001 {
1002 #ifndef DISABLE_TLS
1003 # undef vaguely_random_number
1004 #endif
1005 static pid_t pid = 0;
1006 pid_t p2;
1007
1008 if ((p2 = getpid()) != pid)
1009   {
1010   if (pid != 0)
1011     {
1012
1013 #ifdef HAVE_ARC4RANDOM
1014     /* cryptographically strong randomness, common on *BSD platforms, not
1015     so much elsewhere.  Alas. */
1016 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1017     arc4random_stir();
1018 # endif
1019 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1020 # ifdef HAVE_SRANDOMDEV
1021     /* uses random(4) for seeding */
1022     srandomdev();
1023 # else
1024     {
1025     struct timeval tv;
1026     gettimeofday(&tv, NULL);
1027     srandom(tv.tv_sec | tv.tv_usec | getpid());
1028     }
1029 # endif
1030 #else
1031     /* Poor randomness and no seeding here */
1032 #endif
1033
1034     }
1035   pid = p2;
1036   }
1037
1038 #ifdef HAVE_ARC4RANDOM
1039 return arc4random() % max;
1040 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1041 return random() % max;
1042 #else
1043 /* This one returns a 16-bit number, definitely not crypto-strong */
1044 return random_number(max);
1045 #endif
1046 }
1047
1048
1049
1050
1051 /*************************************************
1052 *             Pick out a name from a string      *
1053 *************************************************/
1054
1055 /* If the name is too long, it is silently truncated.
1056
1057 Arguments:
1058   name      points to a buffer into which to put the name
1059   max       is the length of the buffer
1060   s         points to the first alphabetic character of the name
1061   extras    chars other than alphanumerics to permit
1062
1063 Returns:    pointer to the first character after the name
1064
1065 Note: The test for *s != 0 in the while loop is necessary because
1066 Ustrchr() yields non-NULL if the character is zero (which is not something
1067 I expected). */
1068
1069 static const uschar *
1070 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1071 {
1072 int ptr = 0;
1073 while (*s && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1074   {
1075   if (ptr < max-1) name[ptr++] = *s;
1076   s++;
1077   }
1078 name[ptr] = 0;
1079 return s;
1080 }
1081
1082
1083
1084 /*************************************************
1085 *     Pick out the rest of a header name         *
1086 *************************************************/
1087
1088 /* A variable name starting $header_ (or just $h_ for those who like
1089 abbreviations) might not be the complete header name because headers can
1090 contain any printing characters in their names, except ':'. This function is
1091 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1092 on the end, if the name was terminated by white space.
1093
1094 Arguments:
1095   name      points to a buffer in which the name read so far exists
1096   max       is the length of the buffer
1097   s         points to the first character after the name so far, i.e. the
1098             first non-alphameric character after $header_xxxxx
1099
1100 Returns:    a pointer to the first character after the header name
1101 */
1102
1103 static const uschar *
1104 read_header_name(uschar *name, int max, const uschar *s)
1105 {
1106 int prelen = Ustrchr(name, '_') - name + 1;
1107 int ptr = Ustrlen(name) - prelen;
1108 if (ptr > 0) memmove(name, name+prelen, ptr);
1109 while (mac_isgraph(*s) && *s != ':')
1110   {
1111   if (ptr < max-1) name[ptr++] = *s;
1112   s++;
1113   }
1114 if (*s == ':') s++;
1115 name[ptr++] = ':';
1116 name[ptr] = 0;
1117 return s;
1118 }
1119
1120
1121
1122 /*************************************************
1123 *           Pick out a number from a string      *
1124 *************************************************/
1125
1126 /* Arguments:
1127   n     points to an integer into which to put the number
1128   s     points to the first digit of the number
1129
1130 Returns:  a pointer to the character after the last digit
1131 */
1132 /*XXX consider expanding to int_eximarith_t.  But the test for
1133 "overbig numbers" in 0002 still needs to overflow it. */
1134
1135 static uschar *
1136 read_number(int *n, uschar *s)
1137 {
1138 *n = 0;
1139 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1140 return s;
1141 }
1142
1143 static const uschar *
1144 read_cnumber(int *n, const uschar *s)
1145 {
1146 *n = 0;
1147 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1148 return s;
1149 }
1150
1151
1152
1153 /*************************************************
1154 *        Extract keyed subfield from a string    *
1155 *************************************************/
1156
1157 /* The yield is in dynamic store; NULL means that the key was not found.
1158
1159 Arguments:
1160   key       points to the name of the key
1161   s         points to the string from which to extract the subfield
1162
1163 Returns:    NULL if the subfield was not found, or
1164             a pointer to the subfield's data
1165 */
1166
1167 static uschar *
1168 expand_getkeyed(uschar * key, const uschar * s)
1169 {
1170 int length = Ustrlen(key);
1171 while (isspace(*s)) s++;
1172
1173 /* Loop to search for the key */
1174
1175 while (*s)
1176   {
1177   int dkeylength;
1178   uschar * data;
1179   const uschar * dkey = s;
1180
1181   while (*s && *s != '=' && !isspace(*s)) s++;
1182   dkeylength = s - dkey;
1183   while (isspace(*s)) s++;
1184   if (*s == '=') while (isspace((*(++s))));
1185
1186   data = string_dequote(&s);
1187   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1188     return data;
1189
1190   while (isspace(*s)) s++;
1191   }
1192
1193 return NULL;
1194 }
1195
1196
1197
1198 static var_entry *
1199 find_var_ent(uschar * name)
1200 {
1201 int first = 0;
1202 int last = var_table_size;
1203
1204 while (last > first)
1205   {
1206   int middle = (first + last)/2;
1207   int c = Ustrcmp(name, var_table[middle].name);
1208
1209   if (c > 0) { first = middle + 1; continue; }
1210   if (c < 0) { last = middle; continue; }
1211   return &var_table[middle];
1212   }
1213 return NULL;
1214 }
1215
1216 /*************************************************
1217 *   Extract numbered subfield from string        *
1218 *************************************************/
1219
1220 /* Extracts a numbered field from a string that is divided by tokens - for
1221 example a line from /etc/passwd is divided by colon characters.  First field is
1222 numbered one.  Negative arguments count from the right. Zero returns the whole
1223 string. Returns NULL if there are insufficient tokens in the string
1224
1225 ***WARNING***
1226 Modifies final argument - this is a dynamically generated string, so that's OK.
1227
1228 Arguments:
1229   field       number of field to be extracted,
1230                 first field = 1, whole string = 0, last field = -1
1231   separators  characters that are used to break string into tokens
1232   s           points to the string from which to extract the subfield
1233
1234 Returns:      NULL if the field was not found,
1235               a pointer to the field's data inside s (modified to add 0)
1236 */
1237
1238 static uschar *
1239 expand_gettokened (int field, uschar *separators, uschar *s)
1240 {
1241 int sep = 1;
1242 int count;
1243 uschar *ss = s;
1244 uschar *fieldtext = NULL;
1245
1246 if (field == 0) return s;
1247
1248 /* Break the line up into fields in place; for field > 0 we stop when we have
1249 done the number of fields we want. For field < 0 we continue till the end of
1250 the string, counting the number of fields. */
1251
1252 count = (field > 0)? field : INT_MAX;
1253
1254 while (count-- > 0)
1255   {
1256   size_t len;
1257
1258   /* Previous field was the last one in the string. For a positive field
1259   number, this means there are not enough fields. For a negative field number,
1260   check that there are enough, and scan back to find the one that is wanted. */
1261
1262   if (sep == 0)
1263     {
1264     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1265     if ((-field) == (INT_MAX - count - 1)) return s;
1266     while (field++ < 0)
1267       {
1268       ss--;
1269       while (ss[-1] != 0) ss--;
1270       }
1271     fieldtext = ss;
1272     break;
1273     }
1274
1275   /* Previous field was not last in the string; save its start and put a
1276   zero at its end. */
1277
1278   fieldtext = ss;
1279   len = Ustrcspn(ss, separators);
1280   sep = ss[len];
1281   ss[len] = 0;
1282   ss += len + 1;
1283   }
1284
1285 return fieldtext;
1286 }
1287
1288
1289 static uschar *
1290 expand_getlistele(int field, const uschar * list)
1291 {
1292 const uschar * tlist = list;
1293 int sep = 0;
1294 uschar dummy;
1295
1296 if (field < 0)
1297   {
1298   for (field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1299   sep = 0;
1300   }
1301 if (field == 0) return NULL;
1302 while (--field > 0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1303 return string_nextinlist(&list, &sep, NULL, 0);
1304 }
1305
1306
1307 /* Certificate fields, by name.  Worry about by-OID later */
1308 /* Names are chosen to not have common prefixes */
1309
1310 #ifndef DISABLE_TLS
1311 typedef struct
1312 {
1313 uschar * name;
1314 int      namelen;
1315 uschar * (*getfn)(void * cert, uschar * mod);
1316 } certfield;
1317 static certfield certfields[] =
1318 {                       /* linear search; no special order */
1319   { US"version",         7,  &tls_cert_version },
1320   { US"serial_number",   13, &tls_cert_serial_number },
1321   { US"subject",         7,  &tls_cert_subject },
1322   { US"notbefore",       9,  &tls_cert_not_before },
1323   { US"notafter",        8,  &tls_cert_not_after },
1324   { US"issuer",          6,  &tls_cert_issuer },
1325   { US"signature",       9,  &tls_cert_signature },
1326   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1327   { US"subj_altname",    12, &tls_cert_subject_altname },
1328   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1329   { US"crl_uri",         7,  &tls_cert_crl_uri },
1330 };
1331
1332 static uschar *
1333 expand_getcertele(uschar * field, uschar * certvar)
1334 {
1335 var_entry * vp;
1336
1337 if (!(vp = find_var_ent(certvar)))
1338   {
1339   expand_string_message =
1340     string_sprintf("no variable named \"%s\"", certvar);
1341   return NULL;          /* Unknown variable name */
1342   }
1343 /* NB this stops us passing certs around in variable.  Might
1344 want to do that in future */
1345 if (vp->type != vtype_cert)
1346   {
1347   expand_string_message =
1348     string_sprintf("\"%s\" is not a certificate", certvar);
1349   return NULL;          /* Unknown variable name */
1350   }
1351 if (!*(void **)vp->value)
1352   return NULL;
1353
1354 if (*field >= '0' && *field <= '9')
1355   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1356
1357 for (certfield * cp = certfields;
1358      cp < certfields + nelem(certfields);
1359      cp++)
1360   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1361     {
1362     uschar * modifier = *(field += cp->namelen) == ','
1363       ? ++field : NULL;
1364     return (*cp->getfn)( *(void **)vp->value, modifier );
1365     }
1366
1367 expand_string_message =
1368   string_sprintf("bad field selector \"%s\" for certextract", field);
1369 return NULL;
1370 }
1371 #endif  /*DISABLE_TLS*/
1372
1373 /*************************************************
1374 *        Extract a substring from a string       *
1375 *************************************************/
1376
1377 /* Perform the ${substr or ${length expansion operations.
1378
1379 Arguments:
1380   subject     the input string
1381   value1      the offset from the start of the input string to the start of
1382                 the output string; if negative, count from the right.
1383   value2      the length of the output string, or negative (-1) for unset
1384                 if value1 is positive, unset means "all after"
1385                 if value1 is negative, unset means "all before"
1386   len         set to the length of the returned string
1387
1388 Returns:      pointer to the output string, or NULL if there is an error
1389 */
1390
1391 static uschar *
1392 extract_substr(uschar *subject, int value1, int value2, int *len)
1393 {
1394 int sublen = Ustrlen(subject);
1395
1396 if (value1 < 0)    /* count from right */
1397   {
1398   value1 += sublen;
1399
1400   /* If the position is before the start, skip to the start, and adjust the
1401   length. If the length ends up negative, the substring is null because nothing
1402   can precede. This falls out naturally when the length is unset, meaning "all
1403   to the left". */
1404
1405   if (value1 < 0)
1406     {
1407     value2 += value1;
1408     if (value2 < 0) value2 = 0;
1409     value1 = 0;
1410     }
1411
1412   /* Otherwise an unset length => characters before value1 */
1413
1414   else if (value2 < 0)
1415     {
1416     value2 = value1;
1417     value1 = 0;
1418     }
1419   }
1420
1421 /* For a non-negative offset, if the starting position is past the end of the
1422 string, the result will be the null string. Otherwise, an unset length means
1423 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1424
1425 else
1426   {
1427   if (value1 > sublen)
1428     {
1429     value1 = sublen;
1430     value2 = 0;
1431     }
1432   else if (value2 < 0) value2 = sublen;
1433   }
1434
1435 /* Cut the length down to the maximum possible for the offset value, and get
1436 the required characters. */
1437
1438 if (value1 + value2 > sublen) value2 = sublen - value1;
1439 *len = value2;
1440 return subject + value1;
1441 }
1442
1443
1444
1445
1446 /*************************************************
1447 *            Old-style hash of a string          *
1448 *************************************************/
1449
1450 /* Perform the ${hash expansion operation.
1451
1452 Arguments:
1453   subject     the input string (an expanded substring)
1454   value1      the length of the output string; if greater or equal to the
1455                 length of the input string, the input string is returned
1456   value2      the number of hash characters to use, or 26 if negative
1457   len         set to the length of the returned string
1458
1459 Returns:      pointer to the output string, or NULL if there is an error
1460 */
1461
1462 static uschar *
1463 compute_hash(uschar *subject, int value1, int value2, int *len)
1464 {
1465 int sublen = Ustrlen(subject);
1466
1467 if (value2 < 0) value2 = 26;
1468 else if (value2 > Ustrlen(hashcodes))
1469   {
1470   expand_string_message =
1471     string_sprintf("hash count \"%d\" too big", value2);
1472   return NULL;
1473   }
1474
1475 /* Calculate the hash text. We know it is shorter than the original string, so
1476 can safely place it in subject[] (we know that subject is always itself an
1477 expanded substring). */
1478
1479 if (value1 < sublen)
1480   {
1481   int c;
1482   int i = 0;
1483   int j = value1;
1484   while ((c = (subject[j])) != 0)
1485     {
1486     int shift = (c + j++) & 7;
1487     subject[i] ^= (c << shift) | (c >> (8-shift));
1488     if (++i >= value1) i = 0;
1489     }
1490   for (i = 0; i < value1; i++)
1491     subject[i] = hashcodes[(subject[i]) % value2];
1492   }
1493 else value1 = sublen;
1494
1495 *len = value1;
1496 return subject;
1497 }
1498
1499
1500
1501
1502 /*************************************************
1503 *             Numeric hash of a string           *
1504 *************************************************/
1505
1506 /* Perform the ${nhash expansion operation. The first characters of the
1507 string are treated as most important, and get the highest prime numbers.
1508
1509 Arguments:
1510   subject     the input string
1511   value1      the maximum value of the first part of the result
1512   value2      the maximum value of the second part of the result,
1513                 or negative to produce only a one-part result
1514   len         set to the length of the returned string
1515
1516 Returns:  pointer to the output string, or NULL if there is an error.
1517 */
1518
1519 static uschar *
1520 compute_nhash (uschar *subject, int value1, int value2, int *len)
1521 {
1522 uschar *s = subject;
1523 int i = 0;
1524 unsigned long int total = 0; /* no overflow */
1525
1526 while (*s != 0)
1527   {
1528   if (i == 0) i = nelem(prime) - 1;
1529   total += prime[i--] * (unsigned int)(*s++);
1530   }
1531
1532 /* If value2 is unset, just compute one number */
1533
1534 if (value2 < 0)
1535   s = string_sprintf("%lu", total % value1);
1536
1537 /* Otherwise do a div/mod hash */
1538
1539 else
1540   {
1541   total = total % (value1 * value2);
1542   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1543   }
1544
1545 *len = Ustrlen(s);
1546 return s;
1547 }
1548
1549
1550
1551
1552
1553 /*************************************************
1554 *     Find the value of a header or headers      *
1555 *************************************************/
1556
1557 /* Multiple instances of the same header get concatenated, and this function
1558 can also return a concatenation of all the header lines. When concatenating
1559 specific headers that contain lists of addresses, a comma is inserted between
1560 them. Otherwise we use a straight concatenation. Because some messages can have
1561 pathologically large number of lines, there is a limit on the length that is
1562 returned.
1563
1564 Arguments:
1565   name          the name of the header, without the leading $header_ or $h_,
1566                 or NULL if a concatenation of all headers is required
1567   newsize       return the size of memory block that was obtained; may be NULL
1568                 if exists_only is TRUE
1569   flags         FH_EXISTS_ONLY
1570                   set if called from a def: test; don't need to build a string;
1571                   just return a string that is not "" and not "0" if the header
1572                   exists
1573                 FH_WANT_RAW
1574                   set if called for $rh_ or $rheader_ items; no processing,
1575                   other than concatenating, will be done on the header. Also used
1576                   for $message_headers_raw.
1577                 FH_WANT_LIST
1578                   Double colon chars in the content, and replace newline with
1579                   colon between each element when concatenating; returning a
1580                   colon-sep list (elements might contain newlines)
1581   charset       name of charset to translate MIME words to; used only if
1582                 want_raw is false; if NULL, no translation is done (this is
1583                 used for $bh_ and $bheader_)
1584
1585 Returns:        NULL if the header does not exist, else a pointer to a new
1586                 store block
1587 */
1588
1589 static uschar *
1590 find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
1591 {
1592 BOOL found = !name;
1593 int len = name ? Ustrlen(name) : 0;
1594 BOOL comma = FALSE;
1595 gstring * g = NULL;
1596
1597 for (header_line * h = header_list; h; h = h->next)
1598   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1599     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1600       {
1601       uschar * s, * t;
1602       size_t inc;
1603
1604       if (flags & FH_EXISTS_ONLY)
1605         return US"1";  /* don't need actual string */
1606
1607       found = TRUE;
1608       s = h->text + len;                /* text to insert */
1609       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1610         while (isspace(*s)) s++;        /* remove leading white space */
1611       t = h->text + h->slen;            /* end-point */
1612
1613       /* Unless wanted raw, remove trailing whitespace, including the
1614       newline. */
1615
1616       if (flags & FH_WANT_LIST)
1617         while (t > s && t[-1] == '\n') t--;
1618       else if (!(flags & FH_WANT_RAW))
1619         {
1620         while (t > s && isspace(t[-1])) t--;
1621
1622         /* Set comma if handling a single header and it's one of those
1623         that contains an address list, except when asked for raw headers. Only
1624         need to do this once. */
1625
1626         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1627         }
1628
1629       /* Trim the header roughly if we're approaching limits */
1630       inc = t - s;
1631       if ((g ? g->ptr : 0) + inc > header_insert_maxlen)
1632         inc = header_insert_maxlen - (g ? g->ptr : 0);
1633
1634       /* For raw just copy the data; for a list, add the data as a colon-sep
1635       list-element; for comma-list add as an unchecked comma,newline sep
1636       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1637       stripped trailing WS above including the newline). We ignore the potential
1638       expansion due to colon-doubling, just leaving the loop if the limit is met
1639       or exceeded. */
1640
1641       if (flags & FH_WANT_LIST)
1642         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1643       else if (flags & FH_WANT_RAW)
1644         {
1645         g = string_catn(g, s, (unsigned)inc);
1646         (void) string_from_gstring(g);
1647         }
1648       else if (inc > 0)
1649         if (comma)
1650           g = string_append2_listele_n(g, US",\n", s, (unsigned)inc);
1651         else
1652           g = string_append2_listele_n(g, US"\n", s, (unsigned)inc);
1653
1654       if (g && g->ptr >= header_insert_maxlen) break;
1655       }
1656
1657 if (!found) return NULL;        /* No header found */
1658 if (!g) return US"";
1659
1660 /* That's all we do for raw header expansion. */
1661
1662 *newsize = g->size;
1663 if (flags & FH_WANT_RAW)
1664   return g->s;
1665
1666 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1667 The rfc2047_decode2() function can return an error with decoded data if the
1668 charset translation fails. If decoding fails, it returns NULL. */
1669
1670 else
1671   {
1672   uschar *decoded, *error;
1673
1674   decoded = rfc2047_decode2(g->s, check_rfc2047_length, charset, '?', NULL,
1675     newsize, &error);
1676   if (error)
1677     {
1678     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1679       "    input was: %s\n", error, g->s);
1680     }
1681   return decoded ? decoded : g->s;
1682   }
1683 }
1684
1685
1686
1687
1688 /* Append a "local" element to an Authentication-Results: header
1689 if this was a non-smtp message.
1690 */
1691
1692 static gstring *
1693 authres_local(gstring * g, const uschar * sysname)
1694 {
1695 if (!f.authentication_local)
1696   return g;
1697 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1698 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1699 return g;
1700 }
1701
1702
1703 /* Append an "iprev" element to an Authentication-Results: header
1704 if we have attempted to get the calling host's name.
1705 */
1706
1707 static gstring *
1708 authres_iprev(gstring * g)
1709 {
1710 if (sender_host_name)
1711   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1712 else if (host_lookup_deferred)
1713   g = string_catn(g, US";\n\tiprev=temperror", 19);
1714 else if (host_lookup_failed)
1715   g = string_catn(g, US";\n\tiprev=fail", 13);
1716 else
1717   return g;
1718
1719 if (sender_host_address)
1720   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1721 return g;
1722 }
1723
1724
1725
1726 /*************************************************
1727 *               Return list of recipients        *
1728 *************************************************/
1729 /* A recipients list is available only during system message filtering,
1730 during ACL processing after DATA, and while expanding pipe commands
1731 generated from a system filter, but not elsewhere. */
1732
1733 static uschar *
1734 fn_recipients(void)
1735 {
1736 uschar * s;
1737 gstring * g = NULL;
1738
1739 if (!f.enable_dollar_recipients) return NULL;
1740
1741 for (int i = 0; i < recipients_count; i++)
1742   {
1743   s = recipients_list[i].address;
1744   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1745   }
1746 return g ? g->s : NULL;
1747 }
1748
1749
1750 /*************************************************
1751 *               Find value of a variable         *
1752 *************************************************/
1753
1754 /* The table of variables is kept in alphabetic order, so we can search it
1755 using a binary chop. The "choplen" variable is nothing to do with the binary
1756 chop.
1757
1758 Arguments:
1759   name          the name of the variable being sought
1760   exists_only   TRUE if this is a def: test; passed on to find_header()
1761   skipping      TRUE => skip any processing evaluation; this is not the same as
1762                   exists_only because def: may test for values that are first
1763                   evaluated here
1764   newsize       pointer to an int which is initially zero; if the answer is in
1765                 a new memory buffer, *newsize is set to its size
1766
1767 Returns:        NULL if the variable does not exist, or
1768                 a pointer to the variable's contents, or
1769                 something non-NULL if exists_only is TRUE
1770 */
1771
1772 static uschar *
1773 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1774 {
1775 var_entry * vp;
1776 uschar *s, *domain;
1777 uschar **ss;
1778 void * val;
1779
1780 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1781 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1782 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1783 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1784 (this gave backwards compatibility at the changeover). There may be built-in
1785 variables whose names start acl_ but they should never start in this way. This
1786 slightly messy specification is a consequence of the history, needless to say.
1787
1788 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1789 set, in which case give an error. */
1790
1791 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1792      !isalpha(name[5]))
1793   {
1794   tree_node * node =
1795     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1796   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1797   }
1798 else if (Ustrncmp(name, "r_", 2) == 0)
1799   {
1800   tree_node * node = tree_search(router_var, name + 2);
1801   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1802   }
1803
1804 /* Handle $auth<n> variables. */
1805
1806 if (Ustrncmp(name, "auth", 4) == 0)
1807   {
1808   uschar *endptr;
1809   int n = Ustrtoul(name + 4, &endptr, 10);
1810   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1811     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1812   }
1813 else if (Ustrncmp(name, "regex", 5) == 0)
1814   {
1815   uschar *endptr;
1816   int n = Ustrtoul(name + 5, &endptr, 10);
1817   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1818     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1819   }
1820
1821 /* For all other variables, search the table */
1822
1823 if (!(vp = find_var_ent(name)))
1824   return NULL;          /* Unknown variable name */
1825
1826 /* Found an existing variable. If in skipping state, the value isn't needed,
1827 and we want to avoid processing (such as looking up the host name). */
1828
1829 if (skipping)
1830   return US"";
1831
1832 val = vp->value;
1833 switch (vp->type)
1834   {
1835   case vtype_filter_int:
1836     if (!f.filter_running) return NULL;
1837     /* Fall through */
1838     /* VVVVVVVVVVVV */
1839   case vtype_int:
1840     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1841     return var_buffer;
1842
1843   case vtype_ino:
1844     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1845     return var_buffer;
1846
1847   case vtype_gid:
1848     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1849     return var_buffer;
1850
1851   case vtype_uid:
1852     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1853     return var_buffer;
1854
1855   case vtype_bool:
1856     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1857     return var_buffer;
1858
1859   case vtype_stringptr:                      /* Pointer to string */
1860     return (s = *((uschar **)(val))) ? s : US"";
1861
1862   case vtype_pid:
1863     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1864     return var_buffer;
1865
1866   case vtype_load_avg:
1867     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1868     return var_buffer;
1869
1870   case vtype_host_lookup:                    /* Lookup if not done so */
1871     if (  !sender_host_name && sender_host_address
1872        && !host_lookup_failed && host_name_lookup() == OK)
1873       host_build_sender_fullhost();
1874     return sender_host_name ? sender_host_name : US"";
1875
1876   case vtype_localpart:                      /* Get local part from address */
1877     if (!(s = *((uschar **)(val)))) return US"";
1878     if (!(domain = Ustrrchr(s, '@'))) return s;
1879     if (domain - s > sizeof(var_buffer) - 1)
1880       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1881           " in string expansion", sizeof(var_buffer));
1882     return string_copyn(s, domain - s);
1883
1884   case vtype_domain:                         /* Get domain from address */
1885     if (!(s = *((uschar **)(val)))) return US"";
1886     domain = Ustrrchr(s, '@');
1887     return domain ? domain + 1 : US"";
1888
1889   case vtype_msgheaders:
1890     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
1891
1892   case vtype_msgheaders_raw:
1893     return find_header(NULL, newsize,
1894                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
1895
1896   case vtype_msgbody:                        /* Pointer to msgbody string */
1897   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1898     ss = (uschar **)(val);
1899     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1900       {
1901       uschar *body;
1902       off_t start_offset = SPOOL_DATA_START_OFFSET;
1903       int len = message_body_visible;
1904       if (len > message_size) len = message_size;
1905       *ss = body = store_malloc(len+1);
1906       body[0] = 0;
1907       if (vp->type == vtype_msgbody_end)
1908         {
1909         struct stat statbuf;
1910         if (fstat(deliver_datafile, &statbuf) == 0)
1911           {
1912           start_offset = statbuf.st_size - len;
1913           if (start_offset < SPOOL_DATA_START_OFFSET)
1914             start_offset = SPOOL_DATA_START_OFFSET;
1915           }
1916         }
1917       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1918         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1919           strerror(errno));
1920       len = read(deliver_datafile, body, len);
1921       if (len > 0)
1922         {
1923         body[len] = 0;
1924         if (message_body_newlines)   /* Separate loops for efficiency */
1925           while (len > 0)
1926             { if (body[--len] == 0) body[len] = ' '; }
1927         else
1928           while (len > 0)
1929             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1930         }
1931       }
1932     return *ss ? *ss : US"";
1933
1934   case vtype_todbsdin:                       /* BSD inbox time of day */
1935     return tod_stamp(tod_bsdin);
1936
1937   case vtype_tode:                           /* Unix epoch time of day */
1938     return tod_stamp(tod_epoch);
1939
1940   case vtype_todel:                          /* Unix epoch/usec time of day */
1941     return tod_stamp(tod_epoch_l);
1942
1943   case vtype_todf:                           /* Full time of day */
1944     return tod_stamp(tod_full);
1945
1946   case vtype_todl:                           /* Log format time of day */
1947     return tod_stamp(tod_log_bare);            /* (without timezone) */
1948
1949   case vtype_todzone:                        /* Time zone offset only */
1950     return tod_stamp(tod_zone);
1951
1952   case vtype_todzulu:                        /* Zulu time */
1953     return tod_stamp(tod_zulu);
1954
1955   case vtype_todlf:                          /* Log file datestamp tod */
1956     return tod_stamp(tod_log_datestamp_daily);
1957
1958   case vtype_reply:                          /* Get reply address */
1959     s = find_header(US"reply-to:", newsize,
1960                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1961                 headers_charset);
1962     if (s) while (isspace(*s)) s++;
1963     if (!s || !*s)
1964       {
1965       *newsize = 0;                            /* For the *s==0 case */
1966       s = find_header(US"from:", newsize,
1967                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1968                 headers_charset);
1969       }
1970     if (s)
1971       {
1972       uschar *t;
1973       while (isspace(*s)) s++;
1974       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1975       while (t > s && isspace(t[-1])) t--;
1976       *t = 0;
1977       }
1978     return s ? s : US"";
1979
1980   case vtype_string_func:
1981     {
1982     stringptr_fn_t * fn = (stringptr_fn_t *) val;
1983     return fn();
1984     }
1985
1986   case vtype_pspace:
1987     {
1988     int inodes;
1989     sprintf(CS var_buffer, PR_EXIM_ARITH,
1990       receive_statvfs(val == (void *)TRUE, &inodes));
1991     }
1992   return var_buffer;
1993
1994   case vtype_pinodes:
1995     {
1996     int inodes;
1997     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1998     sprintf(CS var_buffer, "%d", inodes);
1999     }
2000   return var_buffer;
2001
2002   case vtype_cert:
2003     return *(void **)val ? US"<cert>" : US"";
2004
2005 #ifndef DISABLE_DKIM
2006   case vtype_dkim:
2007     return dkim_exim_expand_query((int)(long)val);
2008 #endif
2009
2010   }
2011
2012 return NULL;  /* Unknown variable. Silences static checkers. */
2013 }
2014
2015
2016
2017
2018 void
2019 modify_variable(uschar *name, void * value)
2020 {
2021 var_entry * vp;
2022 if ((vp = find_var_ent(name))) vp->value = value;
2023 return;          /* Unknown variable name, fail silently */
2024 }
2025
2026
2027
2028
2029
2030
2031 /*************************************************
2032 *           Read and expand substrings           *
2033 *************************************************/
2034
2035 /* This function is called to read and expand argument substrings for various
2036 expansion items. Some have a minimum requirement that is less than the maximum;
2037 in these cases, the first non-present one is set to NULL.
2038
2039 Arguments:
2040   sub        points to vector of pointers to set
2041   n          maximum number of substrings
2042   m          minimum required
2043   sptr       points to current string pointer
2044   skipping   the skipping flag
2045   check_end  if TRUE, check for final '}'
2046   name       name of item, for error message
2047   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2048              the store.
2049
2050 Returns:     0 OK; string pointer updated
2051              1 curly bracketing error (too few arguments)
2052              2 too many arguments (only if check_end is set); message set
2053              3 other error (expansion failure)
2054 */
2055
2056 static int
2057 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
2058   BOOL check_end, uschar *name, BOOL *resetok)
2059 {
2060 const uschar *s = *sptr;
2061
2062 while (isspace(*s)) s++;
2063 for (int i = 0; i < n; i++)
2064   {
2065   if (*s != '{')
2066     {
2067     if (i < m)
2068       {
2069       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2070         "(min is %d)", name, m);
2071       return 1;
2072       }
2073     sub[i] = NULL;
2074     break;
2075     }
2076   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2077     return 3;
2078   if (*s++ != '}') return 1;
2079   while (isspace(*s)) s++;
2080   }
2081 if (check_end && *s++ != '}')
2082   {
2083   if (s[-1] == '{')
2084     {
2085     expand_string_message = string_sprintf("Too many arguments for '%s' "
2086       "(max is %d)", name, n);
2087     return 2;
2088     }
2089   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2090   return 1;
2091   }
2092
2093 *sptr = s;
2094 return 0;
2095 }
2096
2097
2098
2099
2100 /*************************************************
2101 *     Elaborate message for bad variable         *
2102 *************************************************/
2103
2104 /* For the "unknown variable" message, take a look at the variable's name, and
2105 give additional information about possible ACL variables. The extra information
2106 is added on to expand_string_message.
2107
2108 Argument:   the name of the variable
2109 Returns:    nothing
2110 */
2111
2112 static void
2113 check_variable_error_message(uschar *name)
2114 {
2115 if (Ustrncmp(name, "acl_", 4) == 0)
2116   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2117     (name[4] == 'c' || name[4] == 'm')?
2118       (isalpha(name[5])?
2119         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2120         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2121       ) :
2122       US"user-defined ACL variables must start acl_c or acl_m");
2123 }
2124
2125
2126
2127 /*
2128 Load args from sub array to globals, and call acl_check().
2129 Sub array will be corrupted on return.
2130
2131 Returns:       OK         access is granted by an ACCEPT verb
2132                DISCARD    access is (apparently) granted by a DISCARD verb
2133                FAIL       access is denied
2134                FAIL_DROP  access is denied; drop the connection
2135                DEFER      can't tell at the moment
2136                ERROR      disaster
2137 */
2138 static int
2139 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2140 {
2141 int i;
2142 int sav_narg = acl_narg;
2143 int ret;
2144 uschar * dummy_logmsg;
2145 extern int acl_where;
2146
2147 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2148 for (i = 0; i < nsub && sub[i+1]; i++)
2149   {
2150   uschar * tmp = acl_arg[i];
2151   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2152   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2153   }
2154 acl_narg = i;
2155 while (i < nsub)
2156   {
2157   sub[i+1] = acl_arg[i];
2158   acl_arg[i++] = NULL;
2159   }
2160
2161 DEBUG(D_expand)
2162   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2163     sub[0],
2164     acl_narg>0 ? acl_arg[0] : US"<none>",
2165     acl_narg>1 ? " +more"   : "");
2166
2167 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2168
2169 for (i = 0; i < nsub; i++)
2170   acl_arg[i] = sub[i+1];        /* restore old args */
2171 acl_narg = sav_narg;
2172
2173 return ret;
2174 }
2175
2176
2177
2178
2179 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2180 The given string is modified on return.  Leading whitespace is skipped while
2181 looking for the opening wrap character, then the rest is scanned for the trailing
2182 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2183
2184 A nul is written over the trailing wrap, and a pointer to the char after the
2185 leading wrap is returned.
2186
2187 Arguments:
2188   s     String for de-wrapping
2189   wrap  Two-char string, the first being the opener, second the closer wrapping
2190         character
2191 Return:
2192   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2193 */
2194
2195 static uschar *
2196 dewrap(uschar * s, const uschar * wrap)
2197 {
2198 uschar * p = s;
2199 unsigned depth = 0;
2200 BOOL quotesmode = wrap[0] == wrap[1];
2201
2202 while (isspace(*p)) p++;
2203
2204 if (*p == *wrap)
2205   {
2206   s = ++p;
2207   wrap++;
2208   while (*p)
2209     {
2210     if (*p == '\\') p++;
2211     else if (!quotesmode && *p == wrap[-1]) depth++;
2212     else if (*p == *wrap)
2213       if (depth == 0)
2214         {
2215         *p = '\0';
2216         return s;
2217         }
2218       else
2219         depth--;
2220     p++;
2221     }
2222   }
2223 expand_string_message = string_sprintf("missing '%c'", *wrap);
2224 return NULL;
2225 }
2226
2227
2228 /* Pull off the leading array or object element, returning
2229 a copy in an allocated string.  Update the list pointer.
2230
2231 The element may itself be an abject or array.
2232 Return NULL when the list is empty.
2233 */
2234
2235 static uschar *
2236 json_nextinlist(const uschar ** list)
2237 {
2238 unsigned array_depth = 0, object_depth = 0;
2239 const uschar * s = *list, * item;
2240
2241 while (isspace(*s)) s++;
2242
2243 for (item = s;
2244      *s && (*s != ',' || array_depth != 0 || object_depth != 0);
2245      s++)
2246   switch (*s)
2247     {
2248     case '[': array_depth++; break;
2249     case ']': array_depth--; break;
2250     case '{': object_depth++; break;
2251     case '}': object_depth--; break;
2252     }
2253 *list = *s ? s+1 : s;
2254 if (item == s) return NULL;
2255 item = string_copyn(item, s - item);
2256 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2257 return US item;
2258 }
2259
2260
2261
2262 /************************************************/
2263 /*  Return offset in ops table, or -1 if not found.
2264 Repoint to just after the operator in the string.
2265
2266 Argument:
2267  ss     string representation of operator
2268  opname split-out operator name
2269 */
2270
2271 static int
2272 identify_operator(const uschar ** ss, uschar ** opname)
2273 {
2274 const uschar * s = *ss;
2275 uschar name[256];
2276
2277 /* Numeric comparisons are symbolic */
2278
2279 if (*s == '=' || *s == '>' || *s == '<')
2280   {
2281   int p = 0;
2282   name[p++] = *s++;
2283   if (*s == '=')
2284     {
2285     name[p++] = '=';
2286     s++;
2287     }
2288   name[p] = 0;
2289   }
2290
2291 /* All other conditions are named */
2292
2293 else
2294   s = read_name(name, sizeof(name), s, US"_");
2295 *ss = s;
2296
2297 /* If we haven't read a name, it means some non-alpha character is first. */
2298
2299 if (!name[0])
2300   {
2301   expand_string_message = string_sprintf("condition name expected, "
2302     "but found \"%.16s\"", s);
2303   return -1;
2304   }
2305 if (opname)
2306   *opname = string_copy(name);
2307
2308 return chop_match(name, cond_table, nelem(cond_table));
2309 }
2310
2311
2312 /*************************************************
2313 *    Handle MD5 or SHA-1 computation for HMAC    *
2314 *************************************************/
2315
2316 /* These are some wrapping functions that enable the HMAC code to be a bit
2317 cleaner. A good compiler will spot the tail recursion.
2318
2319 Arguments:
2320   type         HMAC_MD5 or HMAC_SHA1
2321   remaining    are as for the cryptographic hash functions
2322
2323 Returns:       nothing
2324 */
2325
2326 static void
2327 chash_start(int type, void * base)
2328 {
2329 if (type == HMAC_MD5)
2330   md5_start((md5 *)base);
2331 else
2332   sha1_start((hctx *)base);
2333 }
2334
2335 static void
2336 chash_mid(int type, void * base, const uschar * string)
2337 {
2338 if (type == HMAC_MD5)
2339   md5_mid((md5 *)base, string);
2340 else
2341   sha1_mid((hctx *)base, string);
2342 }
2343
2344 static void
2345 chash_end(int type, void * base, const uschar * string, int length,
2346   uschar * digest)
2347 {
2348 if (type == HMAC_MD5)
2349   md5_end((md5 *)base, string, length, digest);
2350 else
2351   sha1_end((hctx *)base, string, length, digest);
2352 }
2353
2354
2355
2356
2357 /* Do an hmac_md5.  The result is _not_ nul-terminated, and is sized as
2358 the smaller of a full hmac_md5 result (16 bytes) or the supplied output buffer.
2359
2360 Arguments:
2361         key     encoding key, nul-terminated
2362         src     data to be hashed, nul-terminated
2363         buf     output buffer
2364         len     size of output buffer
2365 */
2366
2367 static void
2368 hmac_md5(const uschar * key, const uschar * src, uschar * buf, unsigned len)
2369 {
2370 md5 md5_base;
2371 const uschar * keyptr;
2372 uschar * p;
2373 unsigned int keylen;
2374
2375 #define MD5_HASHLEN      16
2376 #define MD5_HASHBLOCKLEN 64
2377
2378 uschar keyhash[MD5_HASHLEN];
2379 uschar innerhash[MD5_HASHLEN];
2380 uschar finalhash[MD5_HASHLEN];
2381 uschar innerkey[MD5_HASHBLOCKLEN];
2382 uschar outerkey[MD5_HASHBLOCKLEN];
2383
2384 keyptr = key;
2385 keylen = Ustrlen(keyptr);
2386
2387 /* If the key is longer than the hash block length, then hash the key
2388 first */
2389
2390 if (keylen > MD5_HASHBLOCKLEN)
2391   {
2392   chash_start(HMAC_MD5, &md5_base);
2393   chash_end(HMAC_MD5, &md5_base, keyptr, keylen, keyhash);
2394   keyptr = keyhash;
2395   keylen = MD5_HASHLEN;
2396   }
2397
2398 /* Now make the inner and outer key values */
2399
2400 memset(innerkey, 0x36, MD5_HASHBLOCKLEN);
2401 memset(outerkey, 0x5c, MD5_HASHBLOCKLEN);
2402
2403 for (int i = 0; i < keylen; i++)
2404   {
2405   innerkey[i] ^= keyptr[i];
2406   outerkey[i] ^= keyptr[i];
2407   }
2408
2409 /* Now do the hashes */
2410
2411 chash_start(HMAC_MD5, &md5_base);
2412 chash_mid(HMAC_MD5, &md5_base, innerkey);
2413 chash_end(HMAC_MD5, &md5_base, src, Ustrlen(src), innerhash);
2414
2415 chash_start(HMAC_MD5, &md5_base);
2416 chash_mid(HMAC_MD5, &md5_base, outerkey);
2417 chash_end(HMAC_MD5, &md5_base, innerhash, MD5_HASHLEN, finalhash);
2418
2419 /* Encode the final hash as a hex string, limited by output buffer size */
2420
2421 p = buf;
2422 for (int i = 0, j = len; i < MD5_HASHLEN; i++)
2423   {
2424   if (j-- <= 0) break;
2425   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2426   if (j-- <= 0) break;
2427   *p++ = hex_digits[finalhash[i] & 0x0f];
2428   }
2429 return;
2430 }
2431
2432
2433 /*************************************************
2434 *        Read and evaluate a condition           *
2435 *************************************************/
2436
2437 /*
2438 Arguments:
2439   s        points to the start of the condition text
2440   resetok  points to a BOOL which is written false if it is unsafe to
2441            free memory. Certain condition types (acl) may have side-effect
2442            allocation which must be preserved.
2443   yield    points to a BOOL to hold the result of the condition test;
2444            if NULL, we are just reading through a condition that is
2445            part of an "or" combination to check syntax, or in a state
2446            where the answer isn't required
2447
2448 Returns:   a pointer to the first character after the condition, or
2449            NULL after an error
2450 */
2451
2452 static const uschar *
2453 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2454 {
2455 BOOL testfor = TRUE;
2456 BOOL tempcond, combined_cond;
2457 BOOL *subcondptr;
2458 BOOL sub2_honour_dollar = TRUE;
2459 BOOL is_forany, is_json, is_jsons;
2460 int rc, cond_type, roffset;
2461 int_eximarith_t num[2];
2462 struct stat statbuf;
2463 uschar * opname;
2464 uschar name[256];
2465 const uschar *sub[10];
2466
2467 const pcre *re;
2468 const uschar *rerror;
2469
2470 for (;;)
2471   {
2472   while (isspace(*s)) s++;
2473   if (*s == '!') { testfor = !testfor; s++; } else break;
2474   }
2475
2476 switch(cond_type = identify_operator(&s, &opname))
2477   {
2478   /* def: tests for a non-empty variable, or for the existence of a header. If
2479   yield == NULL we are in a skipping state, and don't care about the answer. */
2480
2481   case ECOND_DEF:
2482     {
2483     uschar * t;
2484
2485     if (*s != ':')
2486       {
2487       expand_string_message = US"\":\" expected after \"def\"";
2488       return NULL;
2489       }
2490
2491     s = read_name(name, sizeof(name), s+1, US"_");
2492
2493     /* Test for a header's existence. If the name contains a closing brace
2494     character, this may be a user error where the terminating colon has been
2495     omitted. Set a flag to adjust a subsequent error message in this case. */
2496
2497     if (  ( *(t = name) == 'h'
2498           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2499           )
2500        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2501        )
2502       {
2503       s = read_header_name(name, sizeof(name), s);
2504       /* {-for-text-editors */
2505       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2506       if (yield) *yield =
2507         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2508       }
2509
2510     /* Test for a variable's having a non-empty value. A non-existent variable
2511     causes an expansion failure. */
2512
2513     else
2514       {
2515       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2516         {
2517         expand_string_message = name[0]
2518           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2519           : US"variable name omitted after \"def:\"";
2520         check_variable_error_message(name);
2521         return NULL;
2522         }
2523       if (yield) *yield = (t[0] != 0) == testfor;
2524       }
2525
2526     return s;
2527     }
2528
2529
2530   /* first_delivery tests for first delivery attempt */
2531
2532   case ECOND_FIRST_DELIVERY:
2533   if (yield) *yield = f.deliver_firsttime == testfor;
2534   return s;
2535
2536
2537   /* queue_running tests for any process started by a queue runner */
2538
2539   case ECOND_QUEUE_RUNNING:
2540   if (yield) *yield = (queue_run_pid != (pid_t)0) == testfor;
2541   return s;
2542
2543
2544   /* exists:  tests for file existence
2545        isip:  tests for any IP address
2546       isip4:  tests for an IPv4 address
2547       isip6:  tests for an IPv6 address
2548         pam:  does PAM authentication
2549      radius:  does RADIUS authentication
2550    ldapauth:  does LDAP authentication
2551     pwcheck:  does Cyrus SASL pwcheck authentication
2552   */
2553
2554   case ECOND_EXISTS:
2555   case ECOND_ISIP:
2556   case ECOND_ISIP4:
2557   case ECOND_ISIP6:
2558   case ECOND_PAM:
2559   case ECOND_RADIUS:
2560   case ECOND_LDAPAUTH:
2561   case ECOND_PWCHECK:
2562
2563   while (isspace(*s)) s++;
2564   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2565
2566   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2567   if (!sub[0]) return NULL;
2568   /* {-for-text-editors */
2569   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2570
2571   if (!yield) return s;   /* No need to run the test if skipping */
2572
2573   switch(cond_type)
2574     {
2575     case ECOND_EXISTS:
2576     if ((expand_forbid & RDO_EXISTS) != 0)
2577       {
2578       expand_string_message = US"File existence tests are not permitted";
2579       return NULL;
2580       }
2581     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2582     break;
2583
2584     case ECOND_ISIP:
2585     case ECOND_ISIP4:
2586     case ECOND_ISIP6:
2587     rc = string_is_ip_address(sub[0], NULL);
2588     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2589              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2590     break;
2591
2592     /* Various authentication tests - all optionally compiled */
2593
2594     case ECOND_PAM:
2595     #ifdef SUPPORT_PAM
2596     rc = auth_call_pam(sub[0], &expand_string_message);
2597     goto END_AUTH;
2598     #else
2599     goto COND_FAILED_NOT_COMPILED;
2600     #endif  /* SUPPORT_PAM */
2601
2602     case ECOND_RADIUS:
2603     #ifdef RADIUS_CONFIG_FILE
2604     rc = auth_call_radius(sub[0], &expand_string_message);
2605     goto END_AUTH;
2606     #else
2607     goto COND_FAILED_NOT_COMPILED;
2608     #endif  /* RADIUS_CONFIG_FILE */
2609
2610     case ECOND_LDAPAUTH:
2611     #ifdef LOOKUP_LDAP
2612       {
2613       /* Just to keep the interface the same */
2614       BOOL do_cache;
2615       int old_pool = store_pool;
2616       store_pool = POOL_SEARCH;
2617       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2618         &expand_string_message, &do_cache);
2619       store_pool = old_pool;
2620       }
2621     goto END_AUTH;
2622     #else
2623     goto COND_FAILED_NOT_COMPILED;
2624     #endif  /* LOOKUP_LDAP */
2625
2626     case ECOND_PWCHECK:
2627     #ifdef CYRUS_PWCHECK_SOCKET
2628     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2629     goto END_AUTH;
2630     #else
2631     goto COND_FAILED_NOT_COMPILED;
2632     #endif  /* CYRUS_PWCHECK_SOCKET */
2633
2634     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2635         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2636     END_AUTH:
2637     if (rc == ERROR || rc == DEFER) return NULL;
2638     *yield = (rc == OK) == testfor;
2639     #endif
2640     }
2641   return s;
2642
2643
2644   /* call ACL (in a conditional context).  Accept true, deny false.
2645   Defer is a forced-fail.  Anything set by message= goes to $value.
2646   Up to ten parameters are used; we use the braces round the name+args
2647   like the saslauthd condition does, to permit a variable number of args.
2648   See also the expansion-item version EITEM_ACL and the traditional
2649   acl modifier ACLC_ACL.
2650   Since the ACL may allocate new global variables, tell our caller to not
2651   reclaim memory.
2652   */
2653
2654   case ECOND_ACL:
2655     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2656     {
2657     uschar *sub[10];
2658     uschar *user_msg;
2659     BOOL cond = FALSE;
2660
2661     while (isspace(*s)) s++;
2662     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2663
2664     switch(read_subs(sub, nelem(sub), 1,
2665       &s, yield == NULL, TRUE, US"acl", resetok))
2666       {
2667       case 1: expand_string_message = US"too few arguments or bracketing "
2668         "error for acl";
2669       case 2:
2670       case 3: return NULL;
2671       }
2672
2673     if (yield)
2674       {
2675       int rc;
2676       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2677       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2678         {
2679         case OK:
2680           cond = TRUE;
2681         case FAIL:
2682           lookup_value = NULL;
2683           if (user_msg)
2684             lookup_value = string_copy(user_msg);
2685           *yield = cond == testfor;
2686           break;
2687
2688         case DEFER:
2689           f.expand_string_forcedfail = TRUE;
2690           /*FALLTHROUGH*/
2691         default:
2692           expand_string_message = string_sprintf("%s from acl \"%s\"",
2693             rc_names[rc], sub[0]);
2694           return NULL;
2695         }
2696       }
2697     return s;
2698     }
2699
2700
2701   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2702
2703      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2704
2705   However, the last two are optional. That is why the whole set is enclosed
2706   in their own set of braces. */
2707
2708   case ECOND_SASLAUTHD:
2709 #ifndef CYRUS_SASLAUTHD_SOCKET
2710     goto COND_FAILED_NOT_COMPILED;
2711 #else
2712     {
2713     uschar *sub[4];
2714     while (isspace(*s)) s++;
2715     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2716     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2717                     resetok))
2718       {
2719       case 1: expand_string_message = US"too few arguments or bracketing "
2720         "error for saslauthd";
2721       case 2:
2722       case 3: return NULL;
2723       }
2724     if (!sub[2]) sub[3] = NULL;  /* realm if no service */
2725     if (yield)
2726       {
2727       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2728         &expand_string_message);
2729       if (rc == ERROR || rc == DEFER) return NULL;
2730       *yield = (rc == OK) == testfor;
2731       }
2732     return s;
2733     }
2734 #endif /* CYRUS_SASLAUTHD_SOCKET */
2735
2736
2737   /* symbolic operators for numeric and string comparison, and a number of
2738   other operators, all requiring two arguments.
2739
2740   crypteq:           encrypts plaintext and compares against an encrypted text,
2741                        using crypt(), crypt16(), MD5 or SHA-1
2742   inlist/inlisti:    checks if first argument is in the list of the second
2743   match:             does a regular expression match and sets up the numerical
2744                        variables if it succeeds
2745   match_address:     matches in an address list
2746   match_domain:      matches in a domain list
2747   match_ip:          matches a host list that is restricted to IP addresses
2748   match_local_part:  matches in a local part list
2749   */
2750
2751   case ECOND_MATCH_ADDRESS:
2752   case ECOND_MATCH_DOMAIN:
2753   case ECOND_MATCH_IP:
2754   case ECOND_MATCH_LOCAL_PART:
2755 #ifndef EXPAND_LISTMATCH_RHS
2756     sub2_honour_dollar = FALSE;
2757 #endif
2758     /* FALLTHROUGH */
2759
2760   case ECOND_CRYPTEQ:
2761   case ECOND_INLIST:
2762   case ECOND_INLISTI:
2763   case ECOND_MATCH:
2764
2765   case ECOND_NUM_L:     /* Numerical comparisons */
2766   case ECOND_NUM_LE:
2767   case ECOND_NUM_E:
2768   case ECOND_NUM_EE:
2769   case ECOND_NUM_G:
2770   case ECOND_NUM_GE:
2771
2772   case ECOND_STR_LT:    /* String comparisons */
2773   case ECOND_STR_LTI:
2774   case ECOND_STR_LE:
2775   case ECOND_STR_LEI:
2776   case ECOND_STR_EQ:
2777   case ECOND_STR_EQI:
2778   case ECOND_STR_GT:
2779   case ECOND_STR_GTI:
2780   case ECOND_STR_GE:
2781   case ECOND_STR_GEI:
2782
2783   for (int i = 0; i < 2; i++)
2784     {
2785     /* Sometimes, we don't expand substrings; too many insecure configurations
2786     created using match_address{}{} and friends, where the second param
2787     includes information from untrustworthy sources. */
2788     BOOL honour_dollar = TRUE;
2789     if ((i > 0) && !sub2_honour_dollar)
2790       honour_dollar = FALSE;
2791
2792     while (isspace(*s)) s++;
2793     if (*s != '{')
2794       {
2795       if (i == 0) goto COND_FAILED_CURLY_START;
2796       expand_string_message = string_sprintf("missing 2nd string in {} "
2797         "after \"%s\"", opname);
2798       return NULL;
2799       }
2800     if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2801         honour_dollar, resetok)))
2802       return NULL;
2803     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2804       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2805                         " for security reasons\n");
2806     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2807
2808     /* Convert to numerical if required; we know that the names of all the
2809     conditions that compare numbers do not start with a letter. This just saves
2810     checking for them individually. */
2811
2812     if (!isalpha(opname[0]) && yield)
2813       if (sub[i][0] == 0)
2814         {
2815         num[i] = 0;
2816         DEBUG(D_expand)
2817           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2818         }
2819       else
2820         {
2821         num[i] = expanded_string_integer(sub[i], FALSE);
2822         if (expand_string_message) return NULL;
2823         }
2824     }
2825
2826   /* Result not required */
2827
2828   if (!yield) return s;
2829
2830   /* Do an appropriate comparison */
2831
2832   switch(cond_type)
2833     {
2834     case ECOND_NUM_E:
2835     case ECOND_NUM_EE:
2836     tempcond = (num[0] == num[1]);
2837     break;
2838
2839     case ECOND_NUM_G:
2840     tempcond = (num[0] > num[1]);
2841     break;
2842
2843     case ECOND_NUM_GE:
2844     tempcond = (num[0] >= num[1]);
2845     break;
2846
2847     case ECOND_NUM_L:
2848     tempcond = (num[0] < num[1]);
2849     break;
2850
2851     case ECOND_NUM_LE:
2852     tempcond = (num[0] <= num[1]);
2853     break;
2854
2855     case ECOND_STR_LT:
2856     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2857     break;
2858
2859     case ECOND_STR_LTI:
2860     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2861     break;
2862
2863     case ECOND_STR_LE:
2864     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2865     break;
2866
2867     case ECOND_STR_LEI:
2868     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2869     break;
2870
2871     case ECOND_STR_EQ:
2872     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2873     break;
2874
2875     case ECOND_STR_EQI:
2876     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2877     break;
2878
2879     case ECOND_STR_GT:
2880     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2881     break;
2882
2883     case ECOND_STR_GTI:
2884     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2885     break;
2886
2887     case ECOND_STR_GE:
2888     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2889     break;
2890
2891     case ECOND_STR_GEI:
2892     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2893     break;
2894
2895     case ECOND_MATCH:   /* Regular expression match */
2896     if (!(re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror,
2897                             &roffset, NULL)))
2898       {
2899       expand_string_message = string_sprintf("regular expression error in "
2900         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2901       return NULL;
2902       }
2903     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2904     break;
2905
2906     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2907     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2908     goto MATCHED_SOMETHING;
2909
2910     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2911     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2912       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2913     goto MATCHED_SOMETHING;
2914
2915     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2916     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2917       {
2918       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2919         sub[0]);
2920       return NULL;
2921       }
2922     else
2923       {
2924       unsigned int *nullcache = NULL;
2925       check_host_block cb;
2926
2927       cb.host_name = US"";
2928       cb.host_address = sub[0];
2929
2930       /* If the host address starts off ::ffff: it is an IPv6 address in
2931       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2932       addresses. */
2933
2934       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2935         cb.host_address + 7 : cb.host_address;
2936
2937       rc = match_check_list(
2938              &sub[1],                   /* the list */
2939              0,                         /* separator character */
2940              &hostlist_anchor,          /* anchor pointer */
2941              &nullcache,                /* cache pointer */
2942              check_host,                /* function for testing */
2943              &cb,                       /* argument for function */
2944              MCL_HOST,                  /* type of check */
2945              sub[0],                    /* text for debugging */
2946              NULL);                     /* where to pass back data */
2947       }
2948     goto MATCHED_SOMETHING;
2949
2950     case ECOND_MATCH_LOCAL_PART:
2951     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2952       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2953     /* Fall through */
2954     /* VVVVVVVVVVVV */
2955     MATCHED_SOMETHING:
2956     switch(rc)
2957       {
2958       case OK:
2959       tempcond = TRUE;
2960       break;
2961
2962       case FAIL:
2963       tempcond = FALSE;
2964       break;
2965
2966       case DEFER:
2967       expand_string_message = string_sprintf("unable to complete match "
2968         "against \"%s\": %s", sub[1], search_error_message);
2969       return NULL;
2970       }
2971
2972     break;
2973
2974     /* Various "encrypted" comparisons. If the second string starts with
2975     "{" then an encryption type is given. Default to crypt() or crypt16()
2976     (build-time choice). */
2977     /* }-for-text-editors */
2978
2979     case ECOND_CRYPTEQ:
2980     #ifndef SUPPORT_CRYPTEQ
2981     goto COND_FAILED_NOT_COMPILED;
2982     #else
2983     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2984       {
2985       int sublen = Ustrlen(sub[1]+5);
2986       md5 base;
2987       uschar digest[16];
2988
2989       md5_start(&base);
2990       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2991
2992       /* If the length that we are comparing against is 24, the MD5 digest
2993       is expressed as a base64 string. This is the way LDAP does it. However,
2994       some other software uses a straightforward hex representation. We assume
2995       this if the length is 32. Other lengths fail. */
2996
2997       if (sublen == 24)
2998         {
2999         uschar *coded = b64encode(CUS digest, 16);
3000         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
3001           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3002         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
3003         }
3004       else if (sublen == 32)
3005         {
3006         uschar coded[36];
3007         for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3008         coded[32] = 0;
3009         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
3010           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3011         tempcond = (strcmpic(coded, sub[1]+5) == 0);
3012         }
3013       else
3014         {
3015         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
3016           "fail\n  crypted=%s\n", sub[1]+5);
3017         tempcond = FALSE;
3018         }
3019       }
3020
3021     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
3022       {
3023       int sublen = Ustrlen(sub[1]+6);
3024       hctx h;
3025       uschar digest[20];
3026
3027       sha1_start(&h);
3028       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
3029
3030       /* If the length that we are comparing against is 28, assume the SHA1
3031       digest is expressed as a base64 string. If the length is 40, assume a
3032       straightforward hex representation. Other lengths fail. */
3033
3034       if (sublen == 28)
3035         {
3036         uschar *coded = b64encode(CUS digest, 20);
3037         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
3038           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3039         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
3040         }
3041       else if (sublen == 40)
3042         {
3043         uschar coded[44];
3044         for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3045         coded[40] = 0;
3046         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
3047           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3048         tempcond = (strcmpic(coded, sub[1]+6) == 0);
3049         }
3050       else
3051         {
3052         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
3053           "fail\n  crypted=%s\n", sub[1]+6);
3054         tempcond = FALSE;
3055         }
3056       }
3057
3058     else   /* {crypt} or {crypt16} and non-{ at start */
3059            /* }-for-text-editors */
3060       {
3061       int which = 0;
3062       uschar *coded;
3063
3064       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
3065         {
3066         sub[1] += 7;
3067         which = 1;
3068         }
3069       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
3070         {
3071         sub[1] += 9;
3072         which = 2;
3073         }
3074       else if (sub[1][0] == '{')                /* }-for-text-editors */
3075         {
3076         expand_string_message = string_sprintf("unknown encryption mechanism "
3077           "in \"%s\"", sub[1]);
3078         return NULL;
3079         }
3080
3081       switch(which)
3082         {
3083         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
3084         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
3085         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
3086         }
3087
3088       #define STR(s) # s
3089       #define XSTR(s) STR(s)
3090       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
3091         "  subject=%s\n  crypted=%s\n",
3092         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
3093         coded, sub[1]);
3094       #undef STR
3095       #undef XSTR
3096
3097       /* If the encrypted string contains fewer than two characters (for the
3098       salt), force failure. Otherwise we get false positives: with an empty
3099       string the yield of crypt() is an empty string! */
3100
3101       if (coded)
3102         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
3103       else if (errno == EINVAL)
3104         tempcond = FALSE;
3105       else
3106         {
3107         expand_string_message = string_sprintf("crypt error: %s\n",
3108           US strerror(errno));
3109         return NULL;
3110         }
3111       }
3112     break;
3113     #endif  /* SUPPORT_CRYPTEQ */
3114
3115     case ECOND_INLIST:
3116     case ECOND_INLISTI:
3117       {
3118       const uschar * list = sub[1];
3119       int sep = 0;
3120       uschar *save_iterate_item = iterate_item;
3121       int (*compare)(const uschar *, const uschar *);
3122
3123       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
3124
3125       tempcond = FALSE;
3126       compare = cond_type == ECOND_INLISTI
3127         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
3128
3129       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
3130         {
3131         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
3132         if (compare(sub[0], iterate_item) == 0)
3133           {
3134           tempcond = TRUE;
3135           break;
3136           }
3137         }
3138       iterate_item = save_iterate_item;
3139       }
3140
3141     }   /* Switch for comparison conditions */
3142
3143   *yield = tempcond == testfor;
3144   return s;    /* End of comparison conditions */
3145
3146
3147   /* and/or: computes logical and/or of several conditions */
3148
3149   case ECOND_AND:
3150   case ECOND_OR:
3151   subcondptr = (yield == NULL) ? NULL : &tempcond;
3152   combined_cond = (cond_type == ECOND_AND);
3153
3154   while (isspace(*s)) s++;
3155   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3156
3157   for (;;)
3158     {
3159     while (isspace(*s)) s++;
3160     /* {-for-text-editors */
3161     if (*s == '}') break;
3162     if (*s != '{')                                      /* }-for-text-editors */
3163       {
3164       expand_string_message = string_sprintf("each subcondition "
3165         "inside an \"%s{...}\" condition must be in its own {}", opname);
3166       return NULL;
3167       }
3168
3169     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3170       {
3171       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3172         expand_string_message, opname);
3173       return NULL;
3174       }
3175     while (isspace(*s)) s++;
3176
3177     /* {-for-text-editors */
3178     if (*s++ != '}')
3179       {
3180       /* {-for-text-editors */
3181       expand_string_message = string_sprintf("missing } at end of condition "
3182         "inside \"%s\" group", opname);
3183       return NULL;
3184       }
3185
3186     if (yield)
3187       if (cond_type == ECOND_AND)
3188         {
3189         combined_cond &= tempcond;
3190         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3191         }                                       /* evaluate any more */
3192       else
3193         {
3194         combined_cond |= tempcond;
3195         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3196         }                                       /* evaluate any more */
3197     }
3198
3199   if (yield) *yield = (combined_cond == testfor);
3200   return ++s;
3201
3202
3203   /* forall/forany: iterates a condition with different values */
3204
3205   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3206   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3207   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3208   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3209   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3210   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3211
3212   FORMANY:
3213     {
3214     const uschar * list;
3215     int sep = 0;
3216     uschar *save_iterate_item = iterate_item;
3217
3218     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3219
3220     while (isspace(*s)) s++;
3221     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3222     if (!(sub[0] = expand_string_internal(s, TRUE, &s, yield == NULL, TRUE, resetok)))
3223       return NULL;
3224     /* {-for-text-editors */
3225     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3226
3227     while (isspace(*s)) s++;
3228     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3229
3230     sub[1] = s;
3231
3232     /* Call eval_condition once, with result discarded (as if scanning a
3233     "false" part). This allows us to find the end of the condition, because if
3234     the list it empty, we won't actually evaluate the condition for real. */
3235
3236     if (!(s = eval_condition(sub[1], resetok, NULL)))
3237       {
3238       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3239         expand_string_message, opname);
3240       return NULL;
3241       }
3242     while (isspace(*s)) s++;
3243
3244     /* {-for-text-editors */
3245     if (*s++ != '}')
3246       {
3247       /* {-for-text-editors */
3248       expand_string_message = string_sprintf("missing } at end of condition "
3249         "inside \"%s\"", opname);
3250       return NULL;
3251       }
3252
3253     if (yield) *yield = !testfor;
3254     list = sub[0];
3255     if (is_json) list = dewrap(string_copy(list), US"[]");
3256     while ((iterate_item = is_json
3257       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3258       {
3259       if (is_jsons)
3260         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3261           {
3262           expand_string_message =
3263             string_sprintf("%s wrapping string result for extract jsons",
3264               expand_string_message);
3265           iterate_item = save_iterate_item;
3266           return NULL;
3267           }
3268
3269       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3270       if (!eval_condition(sub[1], resetok, &tempcond))
3271         {
3272         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3273           expand_string_message, opname);
3274         iterate_item = save_iterate_item;
3275         return NULL;
3276         }
3277       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3278         tempcond? "true":"false");
3279
3280       if (yield) *yield = (tempcond == testfor);
3281       if (tempcond == is_forany) break;
3282       }
3283
3284     iterate_item = save_iterate_item;
3285     return s;
3286     }
3287
3288
3289   /* The bool{} expansion condition maps a string to boolean.
3290   The values supported should match those supported by the ACL condition
3291   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3292   of true/false.  Note that Router "condition" rules have a different
3293   interpretation, where general data can be used and only a few values
3294   map to FALSE.
3295   Note that readconf.c boolean matching, for boolean configuration options,
3296   only matches true/yes/false/no.
3297   The bool_lax{} condition matches the Router logic, which is much more
3298   liberal. */
3299   case ECOND_BOOL:
3300   case ECOND_BOOL_LAX:
3301     {
3302     uschar *sub_arg[1];
3303     uschar *t, *t2;
3304     uschar *ourname;
3305     size_t len;
3306     BOOL boolvalue = FALSE;
3307     while (isspace(*s)) s++;
3308     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3309     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3310     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3311       {
3312       case 1: expand_string_message = string_sprintf(
3313                   "too few arguments or bracketing error for %s",
3314                   ourname);
3315       /*FALLTHROUGH*/
3316       case 2:
3317       case 3: return NULL;
3318       }
3319     t = sub_arg[0];
3320     while (isspace(*t)) t++;
3321     len = Ustrlen(t);
3322     if (len)
3323       {
3324       /* trailing whitespace: seems like a good idea to ignore it too */
3325       t2 = t + len - 1;
3326       while (isspace(*t2)) t2--;
3327       if (t2 != (t + len))
3328         {
3329         *++t2 = '\0';
3330         len = t2 - t;
3331         }
3332       }
3333     DEBUG(D_expand)
3334       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3335     /* logic for the lax case from expand_check_condition(), which also does
3336     expands, and the logic is both short and stable enough that there should
3337     be no maintenance burden from replicating it. */
3338     if (len == 0)
3339       boolvalue = FALSE;
3340     else if (*t == '-'
3341              ? Ustrspn(t+1, "0123456789") == len-1
3342              : Ustrspn(t,   "0123456789") == len)
3343       {
3344       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3345       /* expand_check_condition only does a literal string "0" check */
3346       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3347         boolvalue = TRUE;
3348       }
3349     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3350       boolvalue = TRUE;
3351     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3352       boolvalue = FALSE;
3353     else if (cond_type == ECOND_BOOL_LAX)
3354       boolvalue = TRUE;
3355     else
3356       {
3357       expand_string_message = string_sprintf("unrecognised boolean "
3358        "value \"%s\"", t);
3359       return NULL;
3360       }
3361     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3362         boolvalue? "true":"false");
3363     if (yield) *yield = (boolvalue == testfor);
3364     return s;
3365     }
3366
3367 #ifdef EXPERIMENTAL_SRS_NATIVE
3368   case ECOND_INBOUND_SRS:
3369     /* ${if inbound_srs {local_part}{secret}  {yes}{no}} */
3370     {
3371     uschar * sub[2];
3372     const pcre * re;
3373     int ovec[3*(4+1)];
3374     int n;
3375     uschar cksum[4];
3376     BOOL boolvalue = FALSE;
3377
3378     switch(read_subs(sub, 2, 2, CUSS &s, yield == NULL, FALSE, US"inbound_srs", resetok))
3379       {
3380       case 1: expand_string_message = US"too few arguments or bracketing "
3381         "error for inbound_srs";
3382       case 2:
3383       case 3: return NULL;
3384       }
3385
3386     /* Match the given local_part against the SRS-encoded pattern */
3387
3388     re = regex_must_compile(US"^(?i)SRS0=([^=]+)=([A-Z2-7]+)=([^=]*)=(.*)$",
3389                             TRUE, FALSE);
3390     if (pcre_exec(re, NULL, CS sub[0], Ustrlen(sub[0]), 0, PCRE_EOPT,
3391                   ovec, nelem(ovec)) < 0)
3392       {
3393       DEBUG(D_expand) debug_printf("no match for SRS'd local-part pattern\n");
3394       goto srs_result;
3395       }
3396
3397     /* Side-effect: record the decoded recipient */
3398
3399     srs_recipient = string_sprintf("%.*S@%.*S",                 /* lowercased */
3400                       ovec[9]-ovec[8], sub[0] + ovec[8],        /* substring 4 */
3401                       ovec[7]-ovec[6], sub[0] + ovec[6]);       /* substring 3 */
3402
3403     /* If a zero-length secret was given, we're done.  Otherwise carry on
3404     and validate the given SRS local_part againt our secret. */
3405
3406     if (!*sub[1])
3407       {
3408       boolvalue = TRUE;
3409       goto srs_result;
3410       }
3411
3412     /* check the timestamp */
3413       {
3414       struct timeval now;
3415       uschar * ss = sub[0] + ovec[4];   /* substring 2, the timestamp */
3416       long d;
3417
3418       gettimeofday(&now, NULL);
3419       now.tv_sec /= 86400;              /* days since epoch */
3420
3421       /* Decode substring 2 from base32 to a number */
3422
3423       for (d = 0, n = ovec[5]-ovec[4]; n; n--)
3424         {
3425         uschar * t = Ustrchr(base32_chars, *ss++);
3426         d = d * 32 + (t - base32_chars);
3427         }
3428
3429       if (((now.tv_sec - d) & 0x3ff) > 10)      /* days since SRS generated */
3430         {
3431         DEBUG(D_expand) debug_printf("SRS too old\n");
3432         goto srs_result;
3433         }
3434       }
3435
3436     /* check length of substring 1, the offered checksum */
3437
3438     if (ovec[3]-ovec[2] != 4)
3439       {
3440       DEBUG(D_expand) debug_printf("SRS checksum wrong size\n");
3441       goto srs_result;
3442       }
3443
3444     /* Hash the address with our secret, and compare that computed checksum
3445     with the one extracted from the arg */
3446
3447     hmac_md5(sub[1], srs_recipient, cksum, sizeof(cksum));
3448     if (Ustrncmp(cksum, sub[0] + ovec[2], 4) != 0)
3449       {
3450       DEBUG(D_expand) debug_printf("SRS checksum mismatch\n");
3451       goto srs_result;
3452       }
3453     boolvalue = TRUE;
3454
3455 srs_result:
3456     if (yield) *yield = (boolvalue == testfor);
3457     return s;
3458     }
3459 #endif /*EXPERIMENTAL_SRS_NATIVE*/
3460
3461   /* Unknown condition */
3462
3463   default:
3464     if (!expand_string_message || !*expand_string_message)
3465       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3466     return NULL;
3467   }   /* End switch on condition type */
3468
3469 /* Missing braces at start and end of data */
3470
3471 COND_FAILED_CURLY_START:
3472 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3473 return NULL;
3474
3475 COND_FAILED_CURLY_END:
3476 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3477   opname);
3478 return NULL;
3479
3480 /* A condition requires code that is not compiled */
3481
3482 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3483     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3484     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3485 COND_FAILED_NOT_COMPILED:
3486 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3487   opname);
3488 return NULL;
3489 #endif
3490 }
3491
3492
3493
3494
3495 /*************************************************
3496 *          Save numerical variables              *
3497 *************************************************/
3498
3499 /* This function is called from items such as "if" that want to preserve and
3500 restore the numbered variables.
3501
3502 Arguments:
3503   save_expand_string    points to an array of pointers to set
3504   save_expand_nlength   points to an array of ints for the lengths
3505
3506 Returns:                the value of expand max to save
3507 */
3508
3509 static int
3510 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3511 {
3512 for (int i = 0; i <= expand_nmax; i++)
3513   {
3514   save_expand_nstring[i] = expand_nstring[i];
3515   save_expand_nlength[i] = expand_nlength[i];
3516   }
3517 return expand_nmax;
3518 }
3519
3520
3521
3522 /*************************************************
3523 *           Restore numerical variables          *
3524 *************************************************/
3525
3526 /* This function restored saved values of numerical strings.
3527
3528 Arguments:
3529   save_expand_nmax      the number of strings to restore
3530   save_expand_string    points to an array of pointers
3531   save_expand_nlength   points to an array of ints
3532
3533 Returns:                nothing
3534 */
3535
3536 static void
3537 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3538   int *save_expand_nlength)
3539 {
3540 expand_nmax = save_expand_nmax;
3541 for (int i = 0; i <= expand_nmax; i++)
3542   {
3543   expand_nstring[i] = save_expand_nstring[i];
3544   expand_nlength[i] = save_expand_nlength[i];
3545   }
3546 }
3547
3548
3549
3550
3551
3552 /*************************************************
3553 *            Handle yes/no substrings            *
3554 *************************************************/
3555
3556 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3557 alternative substrings that depend on whether or not the condition was true,
3558 or the lookup or extraction succeeded. The substrings always have to be
3559 expanded, to check their syntax, but "skipping" is set when the result is not
3560 needed - this avoids unnecessary nested lookups.
3561
3562 Arguments:
3563   skipping       TRUE if we were skipping when this item was reached
3564   yes            TRUE if the first string is to be used, else use the second
3565   save_lookup    a value to put back into lookup_value before the 2nd expansion
3566   sptr           points to the input string pointer
3567   yieldptr       points to the output growable-string pointer
3568   type           "lookup", "if", "extract", "run", "env", "listextract" or
3569                  "certextract" for error message
3570   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3571                 the store.
3572
3573 Returns:         0 OK; lookup_value has been reset to save_lookup
3574                  1 expansion failed
3575                  2 expansion failed because of bracketing error
3576 */
3577
3578 static int
3579 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3580   gstring ** yieldptr, uschar *type, BOOL *resetok)
3581 {
3582 int rc = 0;
3583 const uschar *s = *sptr;    /* Local value */
3584 uschar *sub1, *sub2;
3585 const uschar * errwhere;
3586
3587 /* If there are no following strings, we substitute the contents of $value for
3588 lookups and for extractions in the success case. For the ${if item, the string
3589 "true" is substituted. In the fail case, nothing is substituted for all three
3590 items. */
3591
3592 while (isspace(*s)) s++;
3593 if (*s == '}')
3594   {
3595   if (type[0] == 'i')
3596     {
3597     if (yes && !skipping)
3598       *yieldptr = string_catn(*yieldptr, US"true", 4);
3599     }
3600   else
3601     {
3602     if (yes && lookup_value && !skipping)
3603       *yieldptr = string_cat(*yieldptr, lookup_value);
3604     lookup_value = save_lookup;
3605     }
3606   s++;
3607   goto RETURN;
3608   }
3609
3610 /* The first following string must be braced. */
3611
3612 if (*s++ != '{')
3613   {
3614   errwhere = US"'yes' part did not start with '{'";
3615   goto FAILED_CURLY;
3616   }
3617
3618 /* Expand the first substring. Forced failures are noticed only if we actually
3619 want this string. Set skipping in the call in the fail case (this will always
3620 be the case if we were already skipping). */
3621
3622 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3623 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3624 f.expand_string_forcedfail = FALSE;
3625 if (*s++ != '}')
3626   {
3627   errwhere = US"'yes' part did not end with '}'";
3628   goto FAILED_CURLY;
3629   }
3630
3631 /* If we want the first string, add it to the output */
3632
3633 if (yes)
3634   *yieldptr = string_cat(*yieldptr, sub1);
3635
3636 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3637 $value to what it was at the start of the item, so that it has this value
3638 during the second string expansion. For the call from "if" or "run" to this
3639 function, save_lookup is set to lookup_value, so that this statement does
3640 nothing. */
3641
3642 lookup_value = save_lookup;
3643
3644 /* There now follows either another substring, or "fail", or nothing. This
3645 time, forced failures are noticed only if we want the second string. We must
3646 set skipping in the nested call if we don't want this string, or if we were
3647 already skipping. */
3648
3649 while (isspace(*s)) s++;
3650 if (*s == '{')
3651   {
3652   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3653   if (sub2 == NULL && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3654   f.expand_string_forcedfail = FALSE;
3655   if (*s++ != '}')
3656     {
3657     errwhere = US"'no' part did not start with '{'";
3658     goto FAILED_CURLY;
3659     }
3660
3661   /* If we want the second string, add it to the output */
3662
3663   if (!yes)
3664     *yieldptr = string_cat(*yieldptr, sub2);
3665   }
3666
3667 /* If there is no second string, but the word "fail" is present when the use of
3668 the second string is wanted, set a flag indicating it was a forced failure
3669 rather than a syntactic error. Swallow the terminating } in case this is nested
3670 inside another lookup or if or extract. */
3671
3672 else if (*s != '}')
3673   {
3674   uschar name[256];
3675   /* deconst cast ok here as source is s anyway */
3676   s = US read_name(name, sizeof(name), s, US"_");
3677   if (Ustrcmp(name, "fail") == 0)
3678     {
3679     if (!yes && !skipping)
3680       {
3681       while (isspace(*s)) s++;
3682       if (*s++ != '}')
3683         {
3684         errwhere = US"did not close with '}' after forcedfail";
3685         goto FAILED_CURLY;
3686         }
3687       expand_string_message =
3688         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3689       f.expand_string_forcedfail = TRUE;
3690       goto FAILED;
3691       }
3692     }
3693   else
3694     {
3695     expand_string_message =
3696       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3697     goto FAILED;
3698     }
3699   }
3700
3701 /* All we have to do now is to check on the final closing brace. */
3702
3703 while (isspace(*s)) s++;
3704 if (*s++ != '}')
3705   {
3706   errwhere = US"did not close with '}'";
3707   goto FAILED_CURLY;
3708   }
3709
3710
3711 RETURN:
3712 /* Update the input pointer value before returning */
3713 *sptr = s;
3714 return rc;
3715
3716 FAILED_CURLY:
3717   /* Get here if there is a bracketing failure */
3718   expand_string_message = string_sprintf(
3719     "curly-bracket problem in conditional yes/no parsing: %s\n"
3720     " remaining string is '%s'", errwhere, --s);
3721   rc = 2;
3722   goto RETURN;
3723
3724 FAILED:
3725   /* Get here for other failures */
3726   rc = 1;
3727   goto RETURN;
3728 }
3729
3730
3731
3732
3733 /********************************************************
3734 * prvs: Get last three digits of days since Jan 1, 1970 *
3735 ********************************************************/
3736
3737 /* This is needed to implement the "prvs" BATV reverse
3738    path signing scheme
3739
3740 Argument: integer "days" offset to add or substract to
3741           or from the current number of days.
3742
3743 Returns:  pointer to string containing the last three
3744           digits of the number of days since Jan 1, 1970,
3745           modified by the offset argument, NULL if there
3746           was an error in the conversion.
3747
3748 */
3749
3750 static uschar *
3751 prvs_daystamp(int day_offset)
3752 {
3753 uschar *days = store_get(32, FALSE);         /* Need at least 24 for cases */
3754 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3755   (time(NULL) + day_offset*86400)/86400);
3756 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3757 }
3758
3759
3760
3761 /********************************************************
3762 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3763 ********************************************************/
3764
3765 /* This is needed to implement the "prvs" BATV reverse
3766    path signing scheme
3767
3768 Arguments:
3769   address RFC2821 Address to use
3770       key The key to use (must be less than 64 characters
3771           in size)
3772   key_num Single-digit key number to use. Defaults to
3773           '0' when NULL.
3774
3775 Returns:  pointer to string containing the first three
3776           bytes of the final hash in hex format, NULL if
3777           there was an error in the process.
3778 */
3779
3780 static uschar *
3781 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3782 {
3783 gstring * hash_source;
3784 uschar * p;
3785 hctx h;
3786 uschar innerhash[20];
3787 uschar finalhash[20];
3788 uschar innerkey[64];
3789 uschar outerkey[64];
3790 uschar *finalhash_hex;
3791
3792 if (!key_num)
3793   key_num = US"0";
3794
3795 if (Ustrlen(key) > 64)
3796   return NULL;
3797
3798 hash_source = string_catn(NULL, key_num, 1);
3799 hash_source = string_catn(hash_source, daystamp, 3);
3800 hash_source = string_cat(hash_source, address);
3801 (void) string_from_gstring(hash_source);
3802
3803 DEBUG(D_expand)
3804   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3805
3806 memset(innerkey, 0x36, 64);
3807 memset(outerkey, 0x5c, 64);
3808
3809 for (int i = 0; i < Ustrlen(key); i++)
3810   {
3811   innerkey[i] ^= key[i];
3812   outerkey[i] ^= key[i];
3813   }
3814
3815 chash_start(HMAC_SHA1, &h);
3816 chash_mid(HMAC_SHA1, &h, innerkey);
3817 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3818
3819 chash_start(HMAC_SHA1, &h);
3820 chash_mid(HMAC_SHA1, &h, outerkey);
3821 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3822
3823 /* Hashing is deemed sufficient to de-taint any input data */
3824
3825 p = finalhash_hex = store_get(40, FALSE);
3826 for (int i = 0; i < 3; i++)
3827   {
3828   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3829   *p++ = hex_digits[finalhash[i] & 0x0f];
3830   }
3831 *p = '\0';
3832
3833 return finalhash_hex;
3834 }
3835
3836
3837
3838
3839 /*************************************************
3840 *        Join a file onto the output string      *
3841 *************************************************/
3842
3843 /* This is used for readfile/readsock and after a run expansion.
3844 It joins the contents of a file onto the output string, globally replacing
3845 newlines with a given string (optionally).
3846
3847 Arguments:
3848   f            the FILE
3849   yield        pointer to the expandable string struct
3850   eol          newline replacement string, or NULL
3851
3852 Returns:       new pointer for expandable string, terminated if non-null
3853 */
3854
3855 static gstring *
3856 cat_file(FILE *f, gstring *yield, uschar *eol)
3857 {
3858 uschar buffer[1024];
3859
3860 while (Ufgets(buffer, sizeof(buffer), f))
3861   {
3862   int len = Ustrlen(buffer);
3863   if (eol && buffer[len-1] == '\n') len--;
3864   yield = string_catn(yield, buffer, len);
3865   if (eol && buffer[len])
3866     yield = string_cat(yield, eol);
3867   }
3868
3869 (void) string_from_gstring(yield);
3870 return yield;
3871 }
3872
3873
3874 #ifndef DISABLE_TLS
3875 static gstring *
3876 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
3877 {
3878 int rc;
3879 uschar buffer[1024];
3880
3881 /*XXX could we read direct into a pre-grown string? */
3882
3883 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
3884   for (uschar * s = buffer; rc--; s++)
3885     yield = eol && *s == '\n'
3886       ? string_cat(yield, eol) : string_catn(yield, s, 1);
3887
3888 /* We assume that all errors, and any returns of zero bytes,
3889 are actually EOF. */
3890
3891 (void) string_from_gstring(yield);
3892 return yield;
3893 }
3894 #endif
3895
3896
3897 /*************************************************
3898 *          Evaluate numeric expression           *
3899 *************************************************/
3900
3901 /* This is a set of mutually recursive functions that evaluate an arithmetic
3902 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3903 these functions that is called from elsewhere is eval_expr, whose interface is:
3904
3905 Arguments:
3906   sptr        pointer to the pointer to the string - gets updated
3907   decimal     TRUE if numbers are to be assumed decimal
3908   error       pointer to where to put an error message - must be NULL on input
3909   endket      TRUE if ')' must terminate - FALSE for external call
3910
3911 Returns:      on success: the value of the expression, with *error still NULL
3912               on failure: an undefined value, with *error = a message
3913 */
3914
3915 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3916
3917
3918 static int_eximarith_t
3919 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3920 {
3921 uschar *s = *sptr;
3922 int_eximarith_t x = eval_op_or(&s, decimal, error);
3923
3924 if (!*error)
3925   if (endket)
3926     if (*s != ')')
3927       *error = US"expecting closing parenthesis";
3928     else
3929       while (isspace(*(++s)));
3930   else if (*s)
3931     *error = US"expecting operator";
3932 *sptr = s;
3933 return x;
3934 }
3935
3936
3937 static int_eximarith_t
3938 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3939 {
3940 int c;
3941 int_eximarith_t n;
3942 uschar *s = *sptr;
3943
3944 while (isspace(*s)) s++;
3945 if (isdigit((c = *s)))
3946   {
3947   int count;
3948   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3949   s += count;
3950   switch (tolower(*s))
3951     {
3952     default: break;
3953     case 'k': n *= 1024; s++; break;
3954     case 'm': n *= 1024*1024; s++; break;
3955     case 'g': n *= 1024*1024*1024; s++; break;
3956     }
3957   while (isspace (*s)) s++;
3958   }
3959 else if (c == '(')
3960   {
3961   s++;
3962   n = eval_expr(&s, decimal, error, 1);
3963   }
3964 else
3965   {
3966   *error = US"expecting number or opening parenthesis";
3967   n = 0;
3968   }
3969 *sptr = s;
3970 return n;
3971 }
3972
3973
3974 static int_eximarith_t
3975 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3976 {
3977 uschar *s = *sptr;
3978 int_eximarith_t x;
3979 while (isspace(*s)) s++;
3980 if (*s == '+' || *s == '-' || *s == '~')
3981   {
3982   int op = *s++;
3983   x = eval_op_unary(&s, decimal, error);
3984   if (op == '-') x = -x;
3985     else if (op == '~') x = ~x;
3986   }
3987 else
3988   x = eval_number(&s, decimal, error);
3989
3990 *sptr = s;
3991 return x;
3992 }
3993
3994
3995 static int_eximarith_t
3996 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3997 {
3998 uschar *s = *sptr;
3999 int_eximarith_t x = eval_op_unary(&s, decimal, error);
4000 if (!*error)
4001   {
4002   while (*s == '*' || *s == '/' || *s == '%')
4003     {
4004     int op = *s++;
4005     int_eximarith_t y = eval_op_unary(&s, decimal, error);
4006     if (*error) break;
4007     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
4008      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
4009      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
4010      * -N*M is INT_MIN will yield INT_MIN.
4011      * Since we don't support floating point, this is somewhat simpler.
4012      * Ideally, we'd return an error, but since we overflow for all other
4013      * arithmetic, consistency suggests otherwise, but what's the correct value
4014      * to use?  There is none.
4015      * The C standard guarantees overflow for unsigned arithmetic but signed
4016      * overflow invokes undefined behaviour; in practice, this is overflow
4017      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
4018      * that long/longlong larger than int are available, or we could just work
4019      * with larger types.  We should consider whether to guarantee 32bit eval
4020      * and 64-bit working variables, with errors returned.  For now ...
4021      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
4022      * can just let the other invalid results occur otherwise, as they have
4023      * until now.  For this one case, we can coerce.
4024      */
4025     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
4026       {
4027       DEBUG(D_expand)
4028         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
4029             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
4030       x = EXIM_ARITH_MAX;
4031       continue;
4032       }
4033     if (op == '*')
4034       x *= y;
4035     else
4036       {
4037       if (y == 0)
4038         {
4039         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
4040         x = 0;
4041         break;
4042         }
4043       if (op == '/')
4044         x /= y;
4045       else
4046         x %= y;
4047       }
4048     }
4049   }
4050 *sptr = s;
4051 return x;
4052 }
4053
4054
4055 static int_eximarith_t
4056 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
4057 {
4058 uschar *s = *sptr;
4059 int_eximarith_t x = eval_op_mult(&s, decimal, error);
4060 if (!*error)
4061   {
4062   while (*s == '+' || *s == '-')
4063     {
4064     int op = *s++;
4065     int_eximarith_t y = eval_op_mult(&s, decimal, error);
4066     if (*error) break;
4067     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
4068        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
4069       {                 /* over-conservative check */
4070       *error = op == '+'
4071         ? US"overflow in sum" : US"overflow in difference";
4072       break;
4073       }
4074     if (op == '+') x += y; else x -= y;
4075     }
4076   }
4077 *sptr = s;
4078 return x;
4079 }
4080
4081
4082 static int_eximarith_t
4083 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
4084 {
4085 uschar *s = *sptr;
4086 int_eximarith_t x = eval_op_sum(&s, decimal, error);
4087 if (!*error)
4088   {
4089   while ((*s == '<' || *s == '>') && s[1] == s[0])
4090     {
4091     int_eximarith_t y;
4092     int op = *s++;
4093     s++;
4094     y = eval_op_sum(&s, decimal, error);
4095     if (*error) break;
4096     if (op == '<') x <<= y; else x >>= y;
4097     }
4098   }
4099 *sptr = s;
4100 return x;
4101 }
4102
4103
4104 static int_eximarith_t
4105 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
4106 {
4107 uschar *s = *sptr;
4108 int_eximarith_t x = eval_op_shift(&s, decimal, error);
4109 if (!*error)
4110   {
4111   while (*s == '&')
4112     {
4113     int_eximarith_t y;
4114     s++;
4115     y = eval_op_shift(&s, decimal, error);
4116     if (*error) break;
4117     x &= y;
4118     }
4119   }
4120 *sptr = s;
4121 return x;
4122 }
4123
4124
4125 static int_eximarith_t
4126 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
4127 {
4128 uschar *s = *sptr;
4129 int_eximarith_t x = eval_op_and(&s, decimal, error);
4130 if (!*error)
4131   {
4132   while (*s == '^')
4133     {
4134     int_eximarith_t y;
4135     s++;
4136     y = eval_op_and(&s, decimal, error);
4137     if (*error) break;
4138     x ^= y;
4139     }
4140   }
4141 *sptr = s;
4142 return x;
4143 }
4144
4145
4146 static int_eximarith_t
4147 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
4148 {
4149 uschar *s = *sptr;
4150 int_eximarith_t x = eval_op_xor(&s, decimal, error);
4151 if (!*error)
4152   {
4153   while (*s == '|')
4154     {
4155     int_eximarith_t y;
4156     s++;
4157     y = eval_op_xor(&s, decimal, error);
4158     if (*error) break;
4159     x |= y;
4160     }
4161   }
4162 *sptr = s;
4163 return x;
4164 }
4165
4166
4167
4168 /************************************************/
4169 /* Comparison operation for sort expansion.  We need to avoid
4170 re-expanding the fields being compared, so need a custom routine.
4171
4172 Arguments:
4173  cond_type              Comparison operator code
4174  leftarg, rightarg      Arguments for comparison
4175
4176 Return true iff (leftarg compare rightarg)
4177 */
4178
4179 static BOOL
4180 sortsbefore(int cond_type, BOOL alpha_cond,
4181   const uschar * leftarg, const uschar * rightarg)
4182 {
4183 int_eximarith_t l_num, r_num;
4184
4185 if (!alpha_cond)
4186   {
4187   l_num = expanded_string_integer(leftarg, FALSE);
4188   if (expand_string_message) return FALSE;
4189   r_num = expanded_string_integer(rightarg, FALSE);
4190   if (expand_string_message) return FALSE;
4191
4192   switch (cond_type)
4193     {
4194     case ECOND_NUM_G:   return l_num >  r_num;
4195     case ECOND_NUM_GE:  return l_num >= r_num;
4196     case ECOND_NUM_L:   return l_num <  r_num;
4197     case ECOND_NUM_LE:  return l_num <= r_num;
4198     default: break;
4199     }
4200   }
4201 else
4202   switch (cond_type)
4203     {
4204     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4205     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4206     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4207     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4208     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4209     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4210     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4211     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4212     default: break;
4213     }
4214 return FALSE;   /* should not happen */
4215 }
4216
4217
4218 /*************************************************
4219 *                 Expand string                  *
4220 *************************************************/
4221
4222 /* Returns either an unchanged string, or the expanded string in stacking pool
4223 store. Interpreted sequences are:
4224
4225    \...                    normal escaping rules
4226    $name                   substitutes the variable
4227    ${name}                 ditto
4228    ${op:string}            operates on the expanded string value
4229    ${item{arg1}{arg2}...}  expands the args and then does the business
4230                              some literal args are not enclosed in {}
4231
4232 There are now far too many operators and item types to make it worth listing
4233 them here in detail any more.
4234
4235 We use an internal routine recursively to handle embedded substrings. The
4236 external function follows. The yield is NULL if the expansion failed, and there
4237 are two cases: if something collapsed syntactically, or if "fail" was given
4238 as the action on a lookup failure. These can be distinguished by looking at the
4239 variable expand_string_forcedfail, which is TRUE in the latter case.
4240
4241 The skipping flag is set true when expanding a substring that isn't actually
4242 going to be used (after "if" or "lookup") and it prevents lookups from
4243 happening lower down.
4244
4245 Store usage: At start, a store block of the length of the input plus 64
4246 is obtained. This is expanded as necessary by string_cat(), which might have to
4247 get a new block, or might be able to expand the original. At the end of the
4248 function we can release any store above that portion of the yield block that
4249 was actually used. In many cases this will be optimal.
4250
4251 However: if the first item in the expansion is a variable name or header name,
4252 we reset the store before processing it; if the result is in fresh store, we
4253 use that without copying. This is helpful for expanding strings like
4254 $message_headers which can get very long.
4255
4256 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4257 since resetting the store at the end of the expansion will free store that was
4258 allocated by the plugin code as well as the slop after the expanded string. So
4259 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4260 and, given the acl condition, ${if }. This is an unfortunate consequence of
4261 string expansion becoming too powerful.
4262
4263 Arguments:
4264   string         the string to be expanded
4265   ket_ends       true if expansion is to stop at }
4266   left           if not NULL, a pointer to the first character after the
4267                  expansion is placed here (typically used with ket_ends)
4268   skipping       TRUE for recursive calls when the value isn't actually going
4269                  to be used (to allow for optimisation)
4270   honour_dollar  TRUE if $ is to be expanded,
4271                  FALSE if it's just another character
4272   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4273                  the store.
4274
4275 Returns:         NULL if expansion fails:
4276                    expand_string_forcedfail is set TRUE if failure was forced
4277                    expand_string_message contains a textual error message
4278                  a pointer to the expanded string on success
4279 */
4280
4281 static uschar *
4282 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
4283   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
4284 {
4285 rmark reset_point = store_mark();
4286 gstring * yield = string_get(Ustrlen(string) + 64);
4287 int item_type;
4288 const uschar *s = string;
4289 uschar *save_expand_nstring[EXPAND_MAXN+1];
4290 int save_expand_nlength[EXPAND_MAXN+1];
4291 BOOL resetok = TRUE;
4292
4293 expand_level++;
4294 DEBUG(D_expand)
4295   DEBUG(D_noutf8)
4296     debug_printf_indent("/%s: %s\n",
4297       skipping ? "---scanning" : "considering", string);
4298   else
4299     debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
4300       skipping
4301       ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
4302       : "considering",
4303       string);
4304
4305 f.expand_string_forcedfail = FALSE;
4306 expand_string_message = US"";
4307
4308 if (is_tainted(string))
4309   {
4310   expand_string_message =
4311     string_sprintf("attempt to expand tainted string '%s'", s);
4312   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4313   goto EXPAND_FAILED;
4314   }
4315
4316 while (*s != 0)
4317   {
4318   uschar *value;
4319   uschar name[256];
4320
4321   /* \ escapes the next character, which must exist, or else
4322   the expansion fails. There's a special escape, \N, which causes
4323   copying of the subject verbatim up to the next \N. Otherwise,
4324   the escapes are the standard set. */
4325
4326   if (*s == '\\')
4327     {
4328     if (s[1] == 0)
4329       {
4330       expand_string_message = US"\\ at end of string";
4331       goto EXPAND_FAILED;
4332       }
4333
4334     if (s[1] == 'N')
4335       {
4336       const uschar * t = s + 2;
4337       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
4338       yield = string_catn(yield, t, s - t);
4339       if (*s != 0) s += 2;
4340       }
4341
4342     else
4343       {
4344       uschar ch[1];
4345       ch[0] = string_interpret_escape(&s);
4346       s++;
4347       yield = string_catn(yield, ch, 1);
4348       }
4349
4350     continue;
4351     }
4352
4353   /*{*/
4354   /* Anything other than $ is just copied verbatim, unless we are
4355   looking for a terminating } character. */
4356
4357   /*{*/
4358   if (ket_ends && *s == '}') break;
4359
4360   if (*s != '$' || !honour_dollar)
4361     {
4362     yield = string_catn(yield, s++, 1);
4363     continue;
4364     }
4365
4366   /* No { after the $ - must be a plain name or a number for string
4367   match variable. There has to be a fudge for variables that are the
4368   names of header fields preceded by "$header_" because header field
4369   names can contain any printing characters except space and colon.
4370   For those that don't like typing this much, "$h_" is a synonym for
4371   "$header_". A non-existent header yields a NULL value; nothing is
4372   inserted. */  /*}*/
4373
4374   if (isalpha((*(++s))))
4375     {
4376     int len;
4377     int newsize = 0;
4378     gstring * g = NULL;
4379     uschar * t;
4380
4381     s = read_name(name, sizeof(name), s, US"_");
4382
4383     /* If this is the first thing to be expanded, release the pre-allocated
4384     buffer. */
4385
4386     if (!yield)
4387       g = store_get(sizeof(gstring), FALSE);
4388     else if (yield->ptr == 0)
4389       {
4390       if (resetok) reset_point = store_reset(reset_point);
4391       yield = NULL;
4392       reset_point = store_mark();
4393       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
4394       }
4395
4396     /* Header */
4397
4398     if (  ( *(t = name) == 'h'
4399           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4400           )
4401        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4402        )
4403       {
4404       unsigned flags = *name == 'r' ? FH_WANT_RAW
4405                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4406                       : 0;
4407       uschar * charset = *name == 'b' ? NULL : headers_charset;
4408
4409       s = read_header_name(name, sizeof(name), s);
4410       value = find_header(name, &newsize, flags, charset);
4411
4412       /* If we didn't find the header, and the header contains a closing brace
4413       character, this may be a user error where the terminating colon
4414       has been omitted. Set a flag to adjust the error message in this case.
4415       But there is no error here - nothing gets inserted. */
4416
4417       if (!value)
4418         {
4419         if (Ustrchr(name, '}')) malformed_header = TRUE;
4420         continue;
4421         }
4422       }
4423
4424     /* Variable */
4425
4426     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
4427       {
4428       expand_string_message =
4429         string_sprintf("unknown variable name \"%s\"", name);
4430         check_variable_error_message(name);
4431       goto EXPAND_FAILED;
4432       }
4433
4434     /* If the data is known to be in a new buffer, newsize will be set to the
4435     size of that buffer. If this is the first thing in an expansion string,
4436     yield will be NULL; just point it at the new store instead of copying. Many
4437     expansion strings contain just one reference, so this is a useful
4438     optimization, especially for humungous headers.  We need to use a gstring
4439     structure that is not allocated after that new-buffer, else a later store
4440     reset in the middle of the buffer will make it inaccessible. */
4441
4442     len = Ustrlen(value);
4443     if (!yield && newsize != 0)
4444       {
4445       yield = g;
4446       yield->size = newsize;
4447       yield->ptr = len;
4448       yield->s = value;
4449       }
4450     else
4451       yield = string_catn(yield, value, len);
4452
4453     continue;
4454     }
4455
4456   if (isdigit(*s))
4457     {
4458     int n;
4459     s = read_cnumber(&n, s);
4460     if (n >= 0 && n <= expand_nmax)
4461       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4462     continue;
4463     }
4464
4465   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4466
4467   if (*s != '{')                                                        /*}*/
4468     {
4469     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4470     goto EXPAND_FAILED;
4471     }
4472
4473   /* After { there can be various things, but they all start with
4474   an initial word, except for a number for a string match variable. */
4475
4476   if (isdigit((*(++s))))
4477     {
4478     int n;
4479     s = read_cnumber(&n, s);            /*{*/
4480     if (*s++ != '}')
4481       {                                 /*{*/
4482       expand_string_message = US"} expected after number";
4483       goto EXPAND_FAILED;
4484       }
4485     if (n >= 0 && n <= expand_nmax)
4486       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4487     continue;
4488     }
4489
4490   if (!isalpha(*s))
4491     {
4492     expand_string_message = US"letter or digit expected after ${";      /*}*/
4493     goto EXPAND_FAILED;
4494     }
4495
4496   /* Allow "-" in names to cater for substrings with negative
4497   arguments. Since we are checking for known names after { this is
4498   OK. */
4499
4500   s = read_name(name, sizeof(name), s, US"_-");
4501   item_type = chop_match(name, item_table, nelem(item_table));
4502
4503   switch(item_type)
4504     {
4505     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4506     If the ACL returns accept or reject we return content set by "message ="
4507     There is currently no limit on recursion; this would have us call
4508     acl_check_internal() directly and get a current level from somewhere.
4509     See also the acl expansion condition ECOND_ACL and the traditional
4510     acl modifier ACLC_ACL.
4511     Assume that the function has side-effects on the store that must be preserved.
4512     */
4513
4514     case EITEM_ACL:
4515       /* ${acl {name} {arg1}{arg2}...} */
4516       {
4517       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4518       uschar *user_msg;
4519       int rc;
4520
4521       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4522                       &resetok))
4523         {
4524         case 1: goto EXPAND_FAILED_CURLY;
4525         case 2:
4526         case 3: goto EXPAND_FAILED;
4527         }
4528       if (skipping) continue;
4529
4530       resetok = FALSE;
4531       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4532         {
4533         case OK:
4534         case FAIL:
4535           DEBUG(D_expand)
4536             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4537           if (user_msg)
4538             yield = string_cat(yield, user_msg);
4539           continue;
4540
4541         case DEFER:
4542           f.expand_string_forcedfail = TRUE;
4543           /*FALLTHROUGH*/
4544         default:
4545           expand_string_message = string_sprintf("%s from acl \"%s\"",
4546             rc_names[rc], sub[0]);
4547           goto EXPAND_FAILED;
4548         }
4549       }
4550
4551     case EITEM_AUTHRESULTS:
4552       /* ${authresults {mysystemname}} */
4553       {
4554       uschar *sub_arg[1];
4555
4556       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4557                       &resetok))
4558         {
4559         case 1: goto EXPAND_FAILED_CURLY;
4560         case 2:
4561         case 3: goto EXPAND_FAILED;
4562         }
4563
4564       yield = string_append(yield, 3,
4565                         US"Authentication-Results: ", sub_arg[0], US"; none");
4566       yield->ptr -= 6;
4567
4568       yield = authres_local(yield, sub_arg[0]);
4569       yield = authres_iprev(yield);
4570       yield = authres_smtpauth(yield);
4571 #ifdef SUPPORT_SPF
4572       yield = authres_spf(yield);
4573 #endif
4574 #ifndef DISABLE_DKIM
4575       yield = authres_dkim(yield);
4576 #endif
4577 #ifdef SUPPORT_DMARC
4578       yield = authres_dmarc(yield);
4579 #endif
4580 #ifdef EXPERIMENTAL_ARC
4581       yield = authres_arc(yield);
4582 #endif
4583       continue;
4584       }
4585
4586     /* Handle conditionals - preserve the values of the numerical expansion
4587     variables in case they get changed by a regular expression match in the
4588     condition. If not, they retain their external settings. At the end
4589     of this "if" section, they get restored to their previous values. */
4590
4591     case EITEM_IF:
4592       {
4593       BOOL cond = FALSE;
4594       const uschar *next_s;
4595       int save_expand_nmax =
4596         save_expand_strings(save_expand_nstring, save_expand_nlength);
4597
4598       while (isspace(*s)) s++;
4599       if (!(next_s = eval_condition(s, &resetok, skipping ? NULL : &cond)))
4600         goto EXPAND_FAILED;  /* message already set */
4601
4602       DEBUG(D_expand)
4603         DEBUG(D_noutf8)
4604           {
4605           debug_printf_indent("|--condition: %.*s\n", (int)(next_s - s), s);
4606           debug_printf_indent("|-----result: %s\n", cond ? "true" : "false");
4607           }
4608         else
4609           {
4610           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4611             "condition: %.*s\n",
4612             (int)(next_s - s), s);
4613           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4614             UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4615             "result: %s\n",
4616             cond ? "true" : "false");
4617           }
4618
4619       s = next_s;
4620
4621       /* The handling of "yes" and "no" result strings is now in a separate
4622       function that is also used by ${lookup} and ${extract} and ${run}. */
4623
4624       switch(process_yesno(
4625                skipping,                     /* were previously skipping */
4626                cond,                         /* success/failure indicator */
4627                lookup_value,                 /* value to reset for string2 */
4628                &s,                           /* input pointer */
4629                &yield,                       /* output pointer */
4630                US"if",                       /* condition type */
4631                &resetok))
4632         {
4633         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4634         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4635         }
4636
4637       /* Restore external setting of expansion variables for continuation
4638       at this level. */
4639
4640       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4641         save_expand_nlength);
4642       continue;
4643       }
4644
4645 #ifdef SUPPORT_I18N
4646     case EITEM_IMAPFOLDER:
4647       {                         /* ${imapfolder {name}{sep]{specials}} */
4648       uschar *sub_arg[3];
4649       uschar *encoded;
4650
4651       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4652                       &resetok))
4653         {
4654         case 1: goto EXPAND_FAILED_CURLY;
4655         case 2:
4656         case 3: goto EXPAND_FAILED;
4657         }
4658
4659       if (!sub_arg[1])                  /* One argument */
4660         {
4661         sub_arg[1] = US"/";             /* default separator */
4662         sub_arg[2] = NULL;
4663         }
4664       else if (Ustrlen(sub_arg[1]) != 1)
4665         {
4666         expand_string_message =
4667           string_sprintf(
4668                 "IMAP folder separator must be one character, found \"%s\"",
4669                 sub_arg[1]);
4670         goto EXPAND_FAILED;
4671         }
4672
4673       if (!skipping)
4674         {
4675         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4676                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4677           goto EXPAND_FAILED;
4678         yield = string_cat(yield, encoded);
4679         }
4680       continue;
4681       }
4682 #endif
4683
4684     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4685     expanding an internal string that isn't actually going to be used. All we
4686     need to do is check the syntax, so don't do a lookup at all. Preserve the
4687     values of the numerical expansion variables in case they get changed by a
4688     partial lookup. If not, they retain their external settings. At the end
4689     of this "lookup" section, they get restored to their previous values. */
4690
4691     case EITEM_LOOKUP:
4692       {
4693       int stype, partial, affixlen, starflags;
4694       int expand_setup = 0;
4695       int nameptr = 0;
4696       uschar *key, *filename;
4697       const uschar *affix;
4698       uschar *save_lookup_value = lookup_value;
4699       int save_expand_nmax =
4700         save_expand_strings(save_expand_nstring, save_expand_nlength);
4701
4702       if ((expand_forbid & RDO_LOOKUP) != 0)
4703         {
4704         expand_string_message = US"lookup expansions are not permitted";
4705         goto EXPAND_FAILED;
4706         }
4707
4708       /* Get the key we are to look up for single-key+file style lookups.
4709       Otherwise set the key NULL pro-tem. */
4710
4711       while (isspace(*s)) s++;
4712       if (*s == '{')                                    /*}*/
4713         {
4714         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4715         if (!key) goto EXPAND_FAILED;                   /*{{*/
4716         if (*s++ != '}')
4717           {
4718           expand_string_message = US"missing '}' after lookup key";
4719           goto EXPAND_FAILED_CURLY;
4720           }
4721         while (isspace(*s)) s++;
4722         }
4723       else key = NULL;
4724
4725       /* Find out the type of database */
4726
4727       if (!isalpha(*s))
4728         {
4729         expand_string_message = US"missing lookup type";
4730         goto EXPAND_FAILED;
4731         }
4732
4733       /* The type is a string that may contain special characters of various
4734       kinds. Allow everything except space or { to appear; the actual content
4735       is checked by search_findtype_partial. */         /*}*/
4736
4737       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4738         {
4739         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4740         s++;
4741         }
4742       name[nameptr] = 0;
4743       while (isspace(*s)) s++;
4744
4745       /* Now check for the individual search type and any partial or default
4746       options. Only those types that are actually in the binary are valid. */
4747
4748       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4749         &starflags);
4750       if (stype < 0)
4751         {
4752         expand_string_message = search_error_message;
4753         goto EXPAND_FAILED;
4754         }
4755
4756       /* Check that a key was provided for those lookup types that need it,
4757       and was not supplied for those that use the query style. */
4758
4759       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4760         {
4761         if (!key)
4762           {
4763           expand_string_message = string_sprintf("missing {key} for single-"
4764             "key \"%s\" lookup", name);
4765           goto EXPAND_FAILED;
4766           }
4767         }
4768       else
4769         {
4770         if (key)
4771           {
4772           expand_string_message = string_sprintf("a single key was given for "
4773             "lookup type \"%s\", which is not a single-key lookup type", name);
4774           goto EXPAND_FAILED;
4775           }
4776         }
4777
4778       /* Get the next string in brackets and expand it. It is the file name for
4779       single-key+file lookups, and the whole query otherwise. In the case of
4780       queries that also require a file name (e.g. sqlite), the file name comes
4781       first. */
4782
4783       if (*s != '{')
4784         {
4785         expand_string_message = US"missing '{' for lookup file-or-query arg";
4786         goto EXPAND_FAILED_CURLY;
4787         }
4788       if (!(filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
4789         goto EXPAND_FAILED;
4790       if (*s++ != '}')
4791         {
4792         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4793         goto EXPAND_FAILED_CURLY;
4794         }
4795       while (isspace(*s)) s++;
4796
4797       /* If this isn't a single-key+file lookup, re-arrange the variables
4798       to be appropriate for the search_ functions. For query-style lookups,
4799       there is just a "key", and no file name. For the special query-style +
4800       file types, the query (i.e. "key") starts with a file name. */
4801
4802       if (!key)
4803         {
4804         while (isspace(*filename)) filename++;
4805         key = filename;
4806
4807         if (mac_islookup(stype, lookup_querystyle))
4808           filename = NULL;
4809         else
4810           {
4811           if (*filename != '/')
4812             {
4813             expand_string_message = string_sprintf(
4814               "absolute file name expected for \"%s\" lookup", name);
4815             goto EXPAND_FAILED;
4816             }
4817           while (*key != 0 && !isspace(*key)) key++;
4818           if (*key != 0) *key++ = 0;
4819           }
4820         }
4821
4822       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4823       the entry was not found. Note that there is no search_close() function.
4824       Files are left open in case of re-use. At suitable places in higher logic,
4825       search_tidyup() is called to tidy all open files. This can save opening
4826       the same file several times. However, files may also get closed when
4827       others are opened, if too many are open at once. The rule is that a
4828       handle should not be used after a second search_open().
4829
4830       Request that a partial search sets up $1 and maybe $2 by passing
4831       expand_setup containing zero. If its value changes, reset expand_nmax,
4832       since new variables will have been set. Note that at the end of this
4833       "lookup" section, the old numeric variables are restored. */
4834
4835       if (skipping)
4836         lookup_value = NULL;
4837       else
4838         {
4839         void *handle = search_open(filename, stype, 0, NULL, NULL);
4840         if (!handle)
4841           {
4842           expand_string_message = search_error_message;
4843           goto EXPAND_FAILED;
4844           }
4845         lookup_value = search_find(handle, filename, key, partial, affix,
4846           affixlen, starflags, &expand_setup);
4847         if (f.search_find_defer)
4848           {
4849           expand_string_message =
4850             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4851               string_printing2(key, FALSE), search_error_message);
4852           goto EXPAND_FAILED;
4853           }
4854         if (expand_setup > 0) expand_nmax = expand_setup;
4855         }
4856
4857       /* The handling of "yes" and "no" result strings is now in a separate
4858       function that is also used by ${if} and ${extract}. */
4859
4860       switch(process_yesno(
4861                skipping,                     /* were previously skipping */
4862                lookup_value != NULL,         /* success/failure indicator */
4863                save_lookup_value,            /* value to reset for string2 */
4864                &s,                           /* input pointer */
4865                &yield,                       /* output pointer */
4866                US"lookup",                   /* condition type */
4867                &resetok))
4868         {
4869         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4870         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4871         }
4872
4873       /* Restore external setting of expansion variables for carrying on
4874       at this level, and continue. */
4875
4876       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4877         save_expand_nlength);
4878       continue;
4879       }
4880
4881     /* If Perl support is configured, handle calling embedded perl subroutines,
4882     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4883     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4884     arguments (defined below). */
4885
4886     #define EXIM_PERL_MAX_ARGS 8
4887
4888     case EITEM_PERL:
4889     #ifndef EXIM_PERL
4890     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4891       "is not included in this binary";
4892     goto EXPAND_FAILED;
4893
4894     #else   /* EXIM_PERL */
4895       {
4896       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4897       gstring *new_yield;
4898
4899       if ((expand_forbid & RDO_PERL) != 0)
4900         {
4901         expand_string_message = US"Perl calls are not permitted";
4902         goto EXPAND_FAILED;
4903         }
4904
4905       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4906            US"perl", &resetok))
4907         {
4908         case 1: goto EXPAND_FAILED_CURLY;
4909         case 2:
4910         case 3: goto EXPAND_FAILED;
4911         }
4912
4913       /* If skipping, we don't actually do anything */
4914
4915       if (skipping) continue;
4916
4917       /* Start the interpreter if necessary */
4918
4919       if (!opt_perl_started)
4920         {
4921         uschar *initerror;
4922         if (!opt_perl_startup)
4923           {
4924           expand_string_message = US"A setting of perl_startup is needed when "
4925             "using the Perl interpreter";
4926           goto EXPAND_FAILED;
4927           }
4928         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4929         if ((initerror = init_perl(opt_perl_startup)))
4930           {
4931           expand_string_message =
4932             string_sprintf("error in perl_startup code: %s\n", initerror);
4933           goto EXPAND_FAILED;
4934           }
4935         opt_perl_started = TRUE;
4936         }
4937
4938       /* Call the function */
4939
4940       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4941       new_yield = call_perl_cat(yield, &expand_string_message,
4942         sub_arg[0], sub_arg + 1);
4943
4944       /* NULL yield indicates failure; if the message pointer has been set to
4945       NULL, the yield was undef, indicating a forced failure. Otherwise the
4946       message will indicate some kind of Perl error. */
4947
4948       if (!new_yield)
4949         {
4950         if (!expand_string_message)
4951           {
4952           expand_string_message =
4953             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4954               "failure", sub_arg[0]);
4955           f.expand_string_forcedfail = TRUE;
4956           }
4957         goto EXPAND_FAILED;
4958         }
4959
4960       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4961       set during a callback from Perl. */
4962
4963       f.expand_string_forcedfail = FALSE;
4964       yield = new_yield;
4965       continue;
4966       }
4967     #endif /* EXIM_PERL */
4968
4969     /* Transform email address to "prvs" scheme to use
4970        as BATV-signed return path */
4971
4972     case EITEM_PRVS:
4973       {
4974       uschar *sub_arg[3];
4975       uschar *p,*domain;
4976
4977       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4978         {
4979         case 1: goto EXPAND_FAILED_CURLY;
4980         case 2:
4981         case 3: goto EXPAND_FAILED;
4982         }
4983
4984       /* If skipping, we don't actually do anything */
4985       if (skipping) continue;
4986
4987       /* sub_arg[0] is the address */
4988       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
4989          || domain == sub_arg[0] || Ustrlen(domain) == 1)
4990         {
4991         expand_string_message = US"prvs first argument must be a qualified email address";
4992         goto EXPAND_FAILED;
4993         }
4994
4995       /* Calculate the hash. The third argument must be a single-digit
4996       key number, or unset. */
4997
4998       if (  sub_arg[2]
4999          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
5000         {
5001         expand_string_message = US"prvs third argument must be a single digit";
5002         goto EXPAND_FAILED;
5003         }
5004
5005       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
5006       if (!p)
5007         {
5008         expand_string_message = US"prvs hmac-sha1 conversion failed";
5009         goto EXPAND_FAILED;
5010         }
5011
5012       /* Now separate the domain from the local part */
5013       *domain++ = '\0';
5014
5015       yield = string_catn(yield, US"prvs=", 5);
5016       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
5017       yield = string_catn(yield, prvs_daystamp(7), 3);
5018       yield = string_catn(yield, p, 6);
5019       yield = string_catn(yield, US"=", 1);
5020       yield = string_cat (yield, sub_arg[0]);
5021       yield = string_catn(yield, US"@", 1);
5022       yield = string_cat (yield, domain);
5023
5024       continue;
5025       }
5026
5027     /* Check a prvs-encoded address for validity */
5028
5029     case EITEM_PRVSCHECK:
5030       {
5031       uschar *sub_arg[3];
5032       gstring * g;
5033       const pcre *re;
5034       uschar *p;
5035
5036       /* TF: Ugliness: We want to expand parameter 1 first, then set
5037          up expansion variables that are used in the expansion of
5038          parameter 2. So we clone the string for the first
5039          expansion, where we only expand parameter 1.
5040
5041          PH: Actually, that isn't necessary. The read_subs() function is
5042          designed to work this way for the ${if and ${lookup expansions. I've
5043          tidied the code.
5044       */
5045
5046       /* Reset expansion variables */
5047       prvscheck_result = NULL;
5048       prvscheck_address = NULL;
5049       prvscheck_keynum = NULL;
5050
5051       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
5052         {
5053         case 1: goto EXPAND_FAILED_CURLY;
5054         case 2:
5055         case 3: goto EXPAND_FAILED;
5056         }
5057
5058       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
5059                               TRUE,FALSE);
5060
5061       if (regex_match_and_setup(re,sub_arg[0],0,-1))
5062         {
5063         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
5064         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
5065         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
5066         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
5067         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
5068
5069         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
5070         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
5071         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
5072         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
5073         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
5074
5075         /* Set up expansion variables */
5076         g = string_cat (NULL, local_part);
5077         g = string_catn(g, US"@", 1);
5078         g = string_cat (g, domain);
5079         prvscheck_address = string_from_gstring(g);
5080         prvscheck_keynum = string_copy(key_num);
5081
5082         /* Now expand the second argument */
5083         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
5084           {
5085           case 1: goto EXPAND_FAILED_CURLY;
5086           case 2:
5087           case 3: goto EXPAND_FAILED;
5088           }
5089
5090         /* Now we have the key and can check the address. */
5091
5092         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
5093           daystamp);
5094
5095         if (!p)
5096           {
5097           expand_string_message = US"hmac-sha1 conversion failed";
5098           goto EXPAND_FAILED;
5099           }
5100
5101         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
5102         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
5103
5104         if (Ustrcmp(p,hash) == 0)
5105           {
5106           /* Success, valid BATV address. Now check the expiry date. */
5107           uschar *now = prvs_daystamp(0);
5108           unsigned int inow = 0,iexpire = 1;
5109
5110           (void)sscanf(CS now,"%u",&inow);
5111           (void)sscanf(CS daystamp,"%u",&iexpire);
5112
5113           /* When "iexpire" is < 7, a "flip" has occurred.
5114              Adjust "inow" accordingly. */
5115           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
5116
5117           if (iexpire >= inow)
5118             {
5119             prvscheck_result = US"1";
5120             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
5121             }
5122           else
5123             {
5124             prvscheck_result = NULL;
5125             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
5126             }
5127           }
5128         else
5129           {
5130           prvscheck_result = NULL;
5131           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
5132           }
5133
5134         /* Now expand the final argument. We leave this till now so that
5135         it can include $prvscheck_result. */
5136
5137         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
5138           {
5139           case 1: goto EXPAND_FAILED_CURLY;
5140           case 2:
5141           case 3: goto EXPAND_FAILED;
5142           }
5143
5144         yield = string_cat(yield,
5145           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
5146
5147         /* Reset the "internal" variables afterwards, because they are in
5148         dynamic store that will be reclaimed if the expansion succeeded. */
5149
5150         prvscheck_address = NULL;
5151         prvscheck_keynum = NULL;
5152         }
5153       else
5154         /* Does not look like a prvs encoded address, return the empty string.
5155            We need to make sure all subs are expanded first, so as to skip over
5156            the entire item. */
5157
5158         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
5159           {
5160           case 1: goto EXPAND_FAILED_CURLY;
5161           case 2:
5162           case 3: goto EXPAND_FAILED;
5163           }
5164
5165       continue;
5166       }
5167
5168     /* Handle "readfile" to insert an entire file */
5169
5170     case EITEM_READFILE:
5171       {
5172       FILE *f;
5173       uschar *sub_arg[2];
5174
5175       if ((expand_forbid & RDO_READFILE) != 0)
5176         {
5177         expand_string_message = US"file insertions are not permitted";
5178         goto EXPAND_FAILED;
5179         }
5180
5181       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
5182         {
5183         case 1: goto EXPAND_FAILED_CURLY;
5184         case 2:
5185         case 3: goto EXPAND_FAILED;
5186         }
5187
5188       /* If skipping, we don't actually do anything */
5189
5190       if (skipping) continue;
5191
5192       /* Open the file and read it */
5193
5194       if (!(f = Ufopen(sub_arg[0], "rb")))
5195         {
5196         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
5197         goto EXPAND_FAILED;
5198         }
5199
5200       yield = cat_file(f, yield, sub_arg[1]);
5201       (void)fclose(f);
5202       continue;
5203       }
5204
5205     /* Handle "readsocket" to insert data from a socket, either
5206     Inet or Unix domain */
5207
5208     case EITEM_READSOCK:
5209       {
5210       client_conn_ctx cctx;
5211       int timeout = 5;
5212       int save_ptr = yield->ptr;
5213       FILE * fp = NULL;
5214       uschar * arg;
5215       uschar * sub_arg[4];
5216       uschar * server_name = NULL;
5217       host_item host;
5218       BOOL do_shutdown = TRUE;
5219       BOOL do_tls = FALSE;      /* Only set under ! DISABLE_TLS */
5220       blob reqstr;
5221
5222       if (expand_forbid & RDO_READSOCK)
5223         {
5224         expand_string_message = US"socket insertions are not permitted";
5225         goto EXPAND_FAILED;
5226         }
5227
5228       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5229       because there may be a string for expansion on failure. */
5230
5231       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
5232         {
5233         case 1: goto EXPAND_FAILED_CURLY;
5234         case 2:                             /* Won't occur: no end check */
5235         case 3: goto EXPAND_FAILED;
5236         }
5237
5238       /* Grab the request string, if any */
5239
5240       reqstr.data = sub_arg[1];
5241       reqstr.len = Ustrlen(sub_arg[1]);
5242
5243       /* Sort out timeout, if given.  The second arg is a list with the first element
5244       being a time value.  Any more are options of form "name=value".  Currently the
5245       only option recognised is "shutdown". */
5246
5247       if (sub_arg[2])
5248         {
5249         const uschar * list = sub_arg[2];
5250         uschar * item;
5251         int sep = 0;
5252
5253         item = string_nextinlist(&list, &sep, NULL, 0);
5254         if ((timeout = readconf_readtime(item, 0, FALSE)) < 0)
5255           {
5256           expand_string_message = string_sprintf("bad time value %s", item);
5257           goto EXPAND_FAILED;
5258           }
5259
5260         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5261           if (Ustrncmp(item, US"shutdown=", 9) == 0)
5262             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
5263 #ifndef DISABLE_TLS
5264           else if (Ustrncmp(item, US"tls=", 4) == 0)
5265             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
5266 #endif
5267         }
5268       else
5269         sub_arg[3] = NULL;                     /* No eol if no timeout */
5270
5271       /* If skipping, we don't actually do anything. Otherwise, arrange to
5272       connect to either an IP or a Unix socket. */
5273
5274       if (!skipping)
5275         {
5276         /* Handle an IP (internet) domain */
5277
5278         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
5279           {
5280           int port;
5281           uschar * port_name;
5282
5283           server_name = sub_arg[0] + 5;
5284           port_name = Ustrrchr(server_name, ':');
5285
5286           /* Sort out the port */
5287
5288           if (!port_name)
5289             {
5290             expand_string_message =
5291               string_sprintf("missing port for readsocket %s", sub_arg[0]);
5292             goto EXPAND_FAILED;
5293             }
5294           *port_name++ = 0;           /* Terminate server name */
5295
5296           if (isdigit(*port_name))
5297             {
5298             uschar *end;
5299             port = Ustrtol(port_name, &end, 0);
5300             if (end != port_name + Ustrlen(port_name))
5301               {
5302               expand_string_message =
5303                 string_sprintf("invalid port number %s", port_name);
5304               goto EXPAND_FAILED;
5305               }
5306             }
5307           else
5308             {
5309             struct servent *service_info = getservbyname(CS port_name, "tcp");
5310             if (!service_info)
5311               {
5312               expand_string_message = string_sprintf("unknown port \"%s\"",
5313                 port_name);
5314               goto EXPAND_FAILED;
5315               }
5316             port = ntohs(service_info->s_port);
5317             }
5318
5319           /*XXX we trust that the request is idempotent for TFO.  Hmm. */
5320           cctx.sock = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
5321                   timeout, &host, &expand_string_message,
5322                   do_tls ? NULL : &reqstr);
5323           callout_address = NULL;
5324           if (cctx.sock < 0)
5325             goto SOCK_FAIL;
5326           if (!do_tls)
5327             reqstr.len = 0;
5328           }
5329
5330         /* Handle a Unix domain socket */
5331
5332         else
5333           {
5334           struct sockaddr_un sockun;         /* don't call this "sun" ! */
5335           int rc;
5336
5337           if ((cctx.sock = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
5338             {
5339             expand_string_message = string_sprintf("failed to create socket: %s",
5340               strerror(errno));
5341             goto SOCK_FAIL;
5342             }
5343
5344           sockun.sun_family = AF_UNIX;
5345           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
5346             sub_arg[0]);
5347           server_name = US sockun.sun_path;
5348
5349           sigalrm_seen = FALSE;
5350           ALARM(timeout);
5351           rc = connect(cctx.sock, (struct sockaddr *)(&sockun), sizeof(sockun));
5352           ALARM_CLR(0);
5353           if (sigalrm_seen)
5354             {
5355             expand_string_message = US "socket connect timed out";
5356             goto SOCK_FAIL;
5357             }
5358           if (rc < 0)
5359             {
5360             expand_string_message = string_sprintf("failed to connect to socket "
5361               "%s: %s", sub_arg[0], strerror(errno));
5362             goto SOCK_FAIL;
5363             }
5364           host.name = server_name;
5365           host.address = US"";
5366           }
5367
5368         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
5369
5370 #ifndef DISABLE_TLS
5371         if (do_tls)
5372           {
5373           smtp_connect_args conn_args = {.host = &host };
5374           tls_support tls_dummy = {.sni=NULL};
5375           uschar * errstr;
5376
5377           if (!tls_client_start(&cctx, &conn_args, NULL, &tls_dummy, &errstr))
5378             {
5379             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
5380             goto SOCK_FAIL;
5381             }
5382           }
5383 #endif
5384
5385         /* Allow sequencing of test actions */
5386         testharness_pause_ms(100);
5387
5388         /* Write the request string, if not empty or already done */
5389
5390         if (reqstr.len)
5391           {
5392           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
5393             reqstr.data);
5394           if ( (
5395 #ifndef DISABLE_TLS
5396               do_tls ? tls_write(cctx.tls_ctx, reqstr.data, reqstr.len, FALSE) :
5397 #endif
5398                         write(cctx.sock, reqstr.data, reqstr.len)) != reqstr.len)
5399             {
5400             expand_string_message = string_sprintf("request write to socket "
5401               "failed: %s", strerror(errno));
5402             goto SOCK_FAIL;
5403             }
5404           }
5405
5406         /* Shut down the sending side of the socket. This helps some servers to
5407         recognise that it is their turn to do some work. Just in case some
5408         system doesn't have this function, make it conditional. */
5409
5410 #ifdef SHUT_WR
5411         if (!do_tls && do_shutdown) shutdown(cctx.sock, SHUT_WR);
5412 #endif
5413
5414         testharness_pause_ms(100);
5415
5416         /* Now we need to read from the socket, under a timeout. The function
5417         that reads a file can be used. */
5418
5419         if (!do_tls)
5420           fp = fdopen(cctx.sock, "rb");
5421         sigalrm_seen = FALSE;
5422         ALARM(timeout);
5423         yield =
5424 #ifndef DISABLE_TLS
5425           do_tls ? cat_file_tls(cctx.tls_ctx, yield, sub_arg[3]) :
5426 #endif
5427                     cat_file(fp, yield, sub_arg[3]);
5428         ALARM_CLR(0);
5429
5430 #ifndef DISABLE_TLS
5431         if (do_tls)
5432           {
5433           tls_close(cctx.tls_ctx, TRUE);
5434           close(cctx.sock);
5435           }
5436         else
5437 #endif
5438           (void)fclose(fp);
5439
5440         /* After a timeout, we restore the pointer in the result, that is,
5441         make sure we add nothing from the socket. */
5442
5443         if (sigalrm_seen)
5444           {
5445           yield->ptr = save_ptr;
5446           expand_string_message = US "socket read timed out";
5447           goto SOCK_FAIL;
5448           }
5449         }
5450
5451       /* The whole thing has worked (or we were skipping). If there is a
5452       failure string following, we need to skip it. */
5453
5454       if (*s == '{')
5455         {
5456         if (!expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok))
5457           goto EXPAND_FAILED;
5458         if (*s++ != '}')
5459           {
5460           expand_string_message = US"missing '}' closing failstring for readsocket";
5461           goto EXPAND_FAILED_CURLY;
5462           }
5463         while (isspace(*s)) s++;
5464         }
5465
5466     READSOCK_DONE:
5467       if (*s++ != '}')
5468         {
5469         expand_string_message = US"missing '}' closing readsocket";
5470         goto EXPAND_FAILED_CURLY;
5471         }
5472       continue;
5473
5474       /* Come here on failure to create socket, connect socket, write to the
5475       socket, or timeout on reading. If another substring follows, expand and
5476       use it. Otherwise, those conditions give expand errors. */
5477
5478     SOCK_FAIL:
5479       if (*s != '{') goto EXPAND_FAILED;
5480       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5481       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
5482         goto EXPAND_FAILED;
5483       yield = string_cat(yield, arg);
5484       if (*s++ != '}')
5485         {
5486         expand_string_message = US"missing '}' closing failstring for readsocket";
5487         goto EXPAND_FAILED_CURLY;
5488         }
5489       while (isspace(*s)) s++;
5490       goto READSOCK_DONE;
5491       }
5492
5493     /* Handle "run" to execute a program. */
5494
5495     case EITEM_RUN:
5496       {
5497       FILE *f;
5498       uschar *arg;
5499       const uschar **argv;
5500       pid_t pid;
5501       int fd_in, fd_out;
5502
5503       if ((expand_forbid & RDO_RUN) != 0)
5504         {
5505         expand_string_message = US"running a command is not permitted";
5506         goto EXPAND_FAILED;
5507         }
5508
5509       while (isspace(*s)) s++;
5510       if (*s != '{')
5511         {
5512         expand_string_message = US"missing '{' for command arg of run";
5513         goto EXPAND_FAILED_CURLY;
5514         }
5515       if (!(arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
5516         goto EXPAND_FAILED;
5517       while (isspace(*s)) s++;
5518       if (*s++ != '}')
5519         {
5520         expand_string_message = US"missing '}' closing command arg of run";
5521         goto EXPAND_FAILED_CURLY;
5522         }
5523
5524       if (skipping)   /* Just pretend it worked when we're skipping */
5525         {
5526         runrc = 0;
5527         lookup_value = NULL;
5528         }
5529       else
5530         {
5531         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5532             arg,                                /* raw command */
5533             FALSE,                              /* don't expand the arguments */
5534             0,                                  /* not relevant when... */
5535             NULL,                               /* no transporting address */
5536             US"${run} expansion",               /* for error messages */
5537             &expand_string_message))            /* where to put error message */
5538           goto EXPAND_FAILED;
5539
5540         /* Create the child process, making it a group leader. */
5541
5542         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
5543           {
5544           expand_string_message =
5545             string_sprintf("couldn't create child process: %s", strerror(errno));
5546           goto EXPAND_FAILED;
5547           }
5548
5549         /* Nothing is written to the standard input. */
5550
5551         (void)close(fd_in);
5552
5553         /* Read the pipe to get the command's output into $value (which is kept
5554         in lookup_value). Read during execution, so that if the output exceeds
5555         the OS pipe buffer limit, we don't block forever. Remember to not release
5556         memory just allocated for $value. */
5557
5558         resetok = FALSE;
5559         f = fdopen(fd_out, "rb");
5560         sigalrm_seen = FALSE;
5561         ALARM(60);
5562         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5563         ALARM_CLR(0);
5564         (void)fclose(f);
5565
5566         /* Wait for the process to finish, applying the timeout, and inspect its
5567         return code for serious disasters. Simple non-zero returns are passed on.
5568         */
5569
5570         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5571           {
5572           if (sigalrm_seen || runrc == -256)
5573             {
5574             expand_string_message = US"command timed out";
5575             killpg(pid, SIGKILL);       /* Kill the whole process group */
5576             }
5577
5578           else if (runrc == -257)
5579             expand_string_message = string_sprintf("wait() failed: %s",
5580               strerror(errno));
5581
5582           else
5583             expand_string_message = string_sprintf("command killed by signal %d",
5584               -runrc);
5585
5586           goto EXPAND_FAILED;
5587           }
5588         }
5589
5590       /* Process the yes/no strings; $value may be useful in both cases */
5591
5592       switch(process_yesno(
5593                skipping,                     /* were previously skipping */
5594                runrc == 0,                   /* success/failure indicator */
5595                lookup_value,                 /* value to reset for string2 */
5596                &s,                           /* input pointer */
5597                &yield,                       /* output pointer */
5598                US"run",                      /* condition type */
5599                &resetok))
5600         {
5601         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5602         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5603         }
5604
5605       continue;
5606       }
5607
5608     /* Handle character translation for "tr" */
5609
5610     case EITEM_TR:
5611       {
5612       int oldptr = yield->ptr;
5613       int o2m;
5614       uschar *sub[3];
5615
5616       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5617         {
5618         case 1: goto EXPAND_FAILED_CURLY;
5619         case 2:
5620         case 3: goto EXPAND_FAILED;
5621         }
5622
5623       yield = string_cat(yield, sub[0]);
5624       o2m = Ustrlen(sub[2]) - 1;
5625
5626       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5627         {
5628         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5629         if (m)
5630           {
5631           int o = m - sub[1];
5632           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5633           }
5634         }
5635
5636       continue;
5637       }
5638
5639     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5640     expanded arguments. */
5641
5642     case EITEM_HASH:
5643     case EITEM_LENGTH:
5644     case EITEM_NHASH:
5645     case EITEM_SUBSTR:
5646       {
5647       int len;
5648       uschar *ret;
5649       int val[2] = { 0, -1 };
5650       uschar *sub[3];
5651
5652       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5653       Ensure that sub[2] is set in the ${length } case. */
5654
5655       sub[2] = NULL;
5656       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5657              TRUE, name, &resetok))
5658         {
5659         case 1: goto EXPAND_FAILED_CURLY;
5660         case 2:
5661         case 3: goto EXPAND_FAILED;
5662         }
5663
5664       /* Juggle the arguments if there are only two of them: always move the
5665       string to the last position and make ${length{n}{str}} equivalent to
5666       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5667
5668       if (!sub[2])
5669         {
5670         sub[2] = sub[1];
5671         sub[1] = NULL;
5672         if (item_type == EITEM_LENGTH)
5673           {
5674           sub[1] = sub[0];
5675           sub[0] = NULL;
5676           }
5677         }
5678
5679       for (int i = 0; i < 2; i++) if (sub[i])
5680         {
5681         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5682         if (*ret != 0 || (i != 0 && val[i] < 0))
5683           {
5684           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5685             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5686           goto EXPAND_FAILED;
5687           }
5688         }
5689
5690       ret =
5691         item_type == EITEM_HASH
5692         ?  compute_hash(sub[2], val[0], val[1], &len)
5693         : item_type == EITEM_NHASH
5694         ? compute_nhash(sub[2], val[0], val[1], &len)
5695         : extract_substr(sub[2], val[0], val[1], &len);
5696       if (!ret)
5697         goto EXPAND_FAILED;
5698       yield = string_catn(yield, ret, len);
5699       continue;
5700       }
5701
5702     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5703     This code originally contributed by Steve Haslam. It currently supports
5704     the use of MD5 and SHA-1 hashes.
5705
5706     We need some workspace that is large enough to handle all the supported
5707     hash types. Use macros to set the sizes rather than be too elaborate. */
5708
5709     #define MAX_HASHLEN      20
5710     #define MAX_HASHBLOCKLEN 64
5711
5712     case EITEM_HMAC:
5713       {
5714       uschar *sub[3];
5715       md5 md5_base;
5716       hctx sha1_ctx;
5717       void *use_base;
5718       int type;
5719       int hashlen;      /* Number of octets for the hash algorithm's output */
5720       int hashblocklen; /* Number of octets the hash algorithm processes */
5721       uschar *keyptr, *p;
5722       unsigned int keylen;
5723
5724       uschar keyhash[MAX_HASHLEN];
5725       uschar innerhash[MAX_HASHLEN];
5726       uschar finalhash[MAX_HASHLEN];
5727       uschar finalhash_hex[2*MAX_HASHLEN];
5728       uschar innerkey[MAX_HASHBLOCKLEN];
5729       uschar outerkey[MAX_HASHBLOCKLEN];
5730
5731       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5732         {
5733         case 1: goto EXPAND_FAILED_CURLY;
5734         case 2:
5735         case 3: goto EXPAND_FAILED;
5736         }
5737
5738       if (!skipping)
5739         {
5740         if (Ustrcmp(sub[0], "md5") == 0)
5741           {
5742           type = HMAC_MD5;
5743           use_base = &md5_base;
5744           hashlen = 16;
5745           hashblocklen = 64;
5746           }
5747         else if (Ustrcmp(sub[0], "sha1") == 0)
5748           {
5749           type = HMAC_SHA1;
5750           use_base = &sha1_ctx;
5751           hashlen = 20;
5752           hashblocklen = 64;
5753           }
5754         else
5755           {
5756           expand_string_message =
5757             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5758           goto EXPAND_FAILED;
5759           }
5760
5761         keyptr = sub[1];
5762         keylen = Ustrlen(keyptr);
5763
5764         /* If the key is longer than the hash block length, then hash the key
5765         first */
5766
5767         if (keylen > hashblocklen)
5768           {
5769           chash_start(type, use_base);
5770           chash_end(type, use_base, keyptr, keylen, keyhash);
5771           keyptr = keyhash;
5772           keylen = hashlen;
5773           }
5774
5775         /* Now make the inner and outer key values */
5776
5777         memset(innerkey, 0x36, hashblocklen);
5778         memset(outerkey, 0x5c, hashblocklen);
5779
5780         for (int i = 0; i < keylen; i++)
5781           {
5782           innerkey[i] ^= keyptr[i];
5783           outerkey[i] ^= keyptr[i];
5784           }
5785
5786         /* Now do the hashes */
5787
5788         chash_start(type, use_base);
5789         chash_mid(type, use_base, innerkey);
5790         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5791
5792         chash_start(type, use_base);
5793         chash_mid(type, use_base, outerkey);
5794         chash_end(type, use_base, innerhash, hashlen, finalhash);
5795
5796         /* Encode the final hash as a hex string */
5797
5798         p = finalhash_hex;
5799         for (int i = 0; i < hashlen; i++)
5800           {
5801           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5802           *p++ = hex_digits[finalhash[i] & 0x0f];
5803           }
5804
5805         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5806           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5807
5808         yield = string_catn(yield, finalhash_hex, hashlen*2);
5809         }
5810       continue;
5811       }
5812
5813     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5814     We have to save the numerical variables and restore them afterwards. */
5815
5816     case EITEM_SG:
5817       {
5818       const pcre *re;
5819       int moffset, moffsetextra, slen;
5820       int roffset;
5821       int emptyopt;
5822       const uschar *rerror;
5823       uschar *subject;
5824       uschar *sub[3];
5825       int save_expand_nmax =
5826         save_expand_strings(save_expand_nstring, save_expand_nlength);
5827
5828       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5829         {
5830         case 1: goto EXPAND_FAILED_CURLY;
5831         case 2:
5832         case 3: goto EXPAND_FAILED;
5833         }
5834
5835       /* Compile the regular expression */
5836
5837       if (!(re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror,
5838                               &roffset, NULL)))
5839         {
5840         expand_string_message = string_sprintf("regular expression error in "
5841           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5842         goto EXPAND_FAILED;
5843         }
5844
5845       /* Now run a loop to do the substitutions as often as necessary. It ends
5846       when there are no more matches. Take care over matches of the null string;
5847       do the same thing as Perl does. */
5848
5849       subject = sub[0];
5850       slen = Ustrlen(sub[0]);
5851       moffset = moffsetextra = 0;
5852       emptyopt = 0;
5853
5854       for (;;)
5855         {
5856         int ovector[3*(EXPAND_MAXN+1)];
5857         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5858           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5859         uschar *insert;
5860
5861         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5862         is not necessarily the end. We want to repeat the match from one
5863         character further along, but leaving the basic offset the same (for
5864         copying below). We can't be at the end of the string - that was checked
5865         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5866         finished; copy the remaining string and end the loop. */
5867
5868         if (n < 0)
5869           {
5870           if (emptyopt != 0)
5871             {
5872             moffsetextra = 1;
5873             emptyopt = 0;
5874             continue;
5875             }
5876           yield = string_catn(yield, subject+moffset, slen-moffset);
5877           break;
5878           }
5879
5880         /* Match - set up for expanding the replacement. */
5881
5882         if (n == 0) n = EXPAND_MAXN + 1;
5883         expand_nmax = 0;
5884         for (int nn = 0; nn < n*2; nn += 2)
5885           {
5886           expand_nstring[expand_nmax] = subject + ovector[nn];
5887           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5888           }
5889         expand_nmax--;
5890
5891         /* Copy the characters before the match, plus the expanded insertion. */
5892
5893         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5894         if (!(insert = expand_string(sub[2])))
5895           goto EXPAND_FAILED;
5896         yield = string_cat(yield, insert);
5897
5898         moffset = ovector[1];
5899         moffsetextra = 0;
5900         emptyopt = 0;
5901
5902         /* If we have matched an empty string, first check to see if we are at
5903         the end of the subject. If so, the loop is over. Otherwise, mimic
5904         what Perl's /g options does. This turns out to be rather cunning. First
5905         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5906         string at the same point. If this fails (picked up above) we advance to
5907         the next character. */
5908
5909         if (ovector[0] == ovector[1])
5910           {
5911           if (ovector[0] == slen) break;
5912           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5913           }
5914         }
5915
5916       /* All done - restore numerical variables. */
5917
5918       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5919         save_expand_nlength);
5920       continue;
5921       }
5922
5923     /* Handle keyed and numbered substring extraction. If the first argument
5924     consists entirely of digits, then a numerical extraction is assumed. */
5925
5926     case EITEM_EXTRACT:
5927       {
5928       int field_number = 1;
5929       BOOL field_number_set = FALSE;
5930       uschar *save_lookup_value = lookup_value;
5931       uschar *sub[3];
5932       int save_expand_nmax =
5933         save_expand_strings(save_expand_nstring, save_expand_nlength);
5934
5935       /* On reflection the original behaviour of extract-json for a string
5936       result, leaving it quoted, was a mistake.  But it was already published,
5937       hence the addition of jsons.  In a future major version, make json
5938       work like josons, and withdraw jsons. */
5939
5940       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
5941
5942       while (isspace(*s)) s++;
5943
5944       /* Check for a format-variant specifier */
5945
5946       if (*s != '{')                                    /*}*/
5947         if (Ustrncmp(s, "json", 4) == 0)
5948           if (*(s += 4) == 's')
5949             {fmt = extract_jsons; s++;}
5950           else
5951             fmt = extract_json;
5952
5953       /* While skipping we cannot rely on the data for expansions being
5954       available (eg. $item) hence cannot decide on numeric vs. keyed.
5955       Read a maximum of 5 arguments (including the yes/no) */
5956
5957       if (skipping)
5958         {
5959         for (int j = 5; j > 0 && *s == '{'; j--)                /*'}'*/
5960           {
5961           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5962             goto EXPAND_FAILED;                                 /*'{'*/
5963           if (*s++ != '}')
5964             {
5965             expand_string_message = US"missing '{' for arg of extract";
5966             goto EXPAND_FAILED_CURLY;
5967             }
5968           while (isspace(*s)) s++;
5969           }
5970         if (  Ustrncmp(s, "fail", 4) == 0                       /*'{'*/
5971            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5972            )
5973           {
5974           s += 4;
5975           while (isspace(*s)) s++;
5976           }                                                     /*'{'*/
5977         if (*s != '}')
5978           {
5979           expand_string_message = US"missing '}' closing extract";
5980           goto EXPAND_FAILED_CURLY;
5981           }
5982         }
5983
5984       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5985         {
5986         while (isspace(*s)) s++;
5987         if (*s == '{')                                          /*'}'*/
5988           {
5989           if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
5990             goto EXPAND_FAILED;                                 /*'{'*/
5991           if (*s++ != '}')
5992             {
5993             expand_string_message = string_sprintf(
5994               "missing '}' closing arg %d of extract", i+1);
5995             goto EXPAND_FAILED_CURLY;
5996             }
5997
5998           /* After removal of leading and trailing white space, the first
5999           argument must not be empty; if it consists entirely of digits
6000           (optionally preceded by a minus sign), this is a numerical
6001           extraction, and we expect 3 arguments (normal) or 2 (json). */
6002
6003           if (i == 0)
6004             {
6005             int len;
6006             int x = 0;
6007             uschar *p = sub[0];
6008
6009             while (isspace(*p)) p++;
6010             sub[0] = p;
6011
6012             len = Ustrlen(p);
6013             while (len > 0 && isspace(p[len-1])) len--;
6014             p[len] = 0;
6015
6016             if (*p == 0)
6017               {
6018               expand_string_message = US"first argument of \"extract\" must "
6019                 "not be empty";
6020               goto EXPAND_FAILED;
6021               }
6022
6023             if (*p == '-')
6024               {
6025               field_number = -1;
6026               p++;
6027               }
6028             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
6029             if (*p == 0)
6030               {
6031               field_number *= x;
6032               if (fmt == extract_basic) j = 3;               /* Need 3 args */
6033               field_number_set = TRUE;
6034               }
6035             }
6036           }
6037         else
6038           {
6039           expand_string_message = string_sprintf(
6040             "missing '{' for arg %d of extract", i+1);
6041           goto EXPAND_FAILED_CURLY;
6042           }
6043         }
6044
6045       /* Extract either the numbered or the keyed substring into $value. If
6046       skipping, just pretend the extraction failed. */
6047
6048       if (skipping)
6049         lookup_value = NULL;
6050       else switch (fmt)
6051         {
6052         case extract_basic:
6053           lookup_value = field_number_set
6054             ? expand_gettokened(field_number, sub[1], sub[2])
6055             : expand_getkeyed(sub[0], sub[1]);
6056           break;
6057
6058         case extract_json:
6059         case extract_jsons:
6060           {
6061           uschar * s, * item;
6062           const uschar * list;
6063
6064           /* Array: Bracket-enclosed and comma-separated.
6065           Object: Brace-enclosed, comma-sep list of name:value pairs */
6066
6067           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
6068             {
6069             expand_string_message =
6070               string_sprintf("%s wrapping %s for extract json",
6071                 expand_string_message,
6072                 field_number_set ? "array" : "object");
6073             goto EXPAND_FAILED_CURLY;
6074             }
6075
6076           list = s;
6077           if (field_number_set)
6078             {
6079             if (field_number <= 0)
6080               {
6081               expand_string_message = US"first argument of \"extract\" must "
6082                 "be greater than zero";
6083               goto EXPAND_FAILED;
6084               }
6085             while (field_number > 0 && (item = json_nextinlist(&list)))
6086               field_number--;
6087             if ((lookup_value = s = item))
6088               {
6089               while (*s) s++;
6090               while (--s >= lookup_value && isspace(*s)) *s = '\0';
6091               }
6092             }
6093           else
6094             {
6095             lookup_value = NULL;
6096             while ((item = json_nextinlist(&list)))
6097               {
6098               /* Item is:  string name-sep value.  string is quoted.
6099               Dequote the string and compare with the search key. */
6100
6101               if (!(item = dewrap(item, US"\"\"")))
6102                 {
6103                 expand_string_message =
6104                   string_sprintf("%s wrapping string key for extract json",
6105                     expand_string_message);
6106                 goto EXPAND_FAILED_CURLY;
6107                 }
6108               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
6109                 {
6110                 s = item + Ustrlen(item) + 1;
6111                 while (isspace(*s)) s++;
6112                 if (*s != ':')
6113                   {
6114                   expand_string_message =
6115                     US"missing object value-separator for extract json";
6116                   goto EXPAND_FAILED_CURLY;
6117                   }
6118                 s++;
6119                 while (isspace(*s)) s++;
6120                 lookup_value = s;
6121                 break;
6122                 }
6123               }
6124             }
6125           }
6126
6127           if (  fmt == extract_jsons
6128              && lookup_value
6129              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
6130             {
6131             expand_string_message =
6132               string_sprintf("%s wrapping string result for extract jsons",
6133                 expand_string_message);
6134             goto EXPAND_FAILED_CURLY;
6135             }
6136           break;        /* json/s */
6137         }
6138
6139       /* If no string follows, $value gets substituted; otherwise there can
6140       be yes/no strings, as for lookup or if. */
6141
6142       switch(process_yesno(
6143                skipping,                     /* were previously skipping */
6144                lookup_value != NULL,         /* success/failure indicator */
6145                save_lookup_value,            /* value to reset for string2 */
6146                &s,                           /* input pointer */
6147                &yield,                       /* output pointer */
6148                US"extract",                  /* condition type */
6149                &resetok))
6150         {
6151         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6152         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6153         }
6154
6155       /* All done - restore numerical variables. */
6156
6157       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6158         save_expand_nlength);
6159
6160       continue;
6161       }
6162
6163     /* return the Nth item from a list */
6164
6165     case EITEM_LISTEXTRACT:
6166       {
6167       int field_number = 1;
6168       uschar *save_lookup_value = lookup_value;
6169       uschar *sub[2];
6170       int save_expand_nmax =
6171         save_expand_strings(save_expand_nstring, save_expand_nlength);
6172
6173       /* Read the field & list arguments */
6174
6175       for (int i = 0; i < 2; i++)
6176         {
6177         while (isspace(*s)) s++;
6178         if (*s != '{')                                  /*'}'*/
6179           {
6180           expand_string_message = string_sprintf(
6181             "missing '{' for arg %d of listextract", i+1);
6182           goto EXPAND_FAILED_CURLY;
6183           }
6184
6185         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6186         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
6187         if (*s++ != '}')
6188           {
6189           expand_string_message = string_sprintf(
6190             "missing '}' closing arg %d of listextract", i+1);
6191           goto EXPAND_FAILED_CURLY;
6192           }
6193
6194         /* After removal of leading and trailing white space, the first
6195         argument must be numeric and nonempty. */
6196
6197         if (i == 0)
6198           {
6199           int len;
6200           int x = 0;
6201           uschar *p = sub[0];
6202
6203           while (isspace(*p)) p++;
6204           sub[0] = p;
6205
6206           len = Ustrlen(p);
6207           while (len > 0 && isspace(p[len-1])) len--;
6208           p[len] = 0;
6209
6210           if (!*p && !skipping)
6211             {
6212             expand_string_message = US"first argument of \"listextract\" must "
6213               "not be empty";
6214             goto EXPAND_FAILED;
6215             }
6216
6217           if (*p == '-')
6218             {
6219             field_number = -1;
6220             p++;
6221             }
6222           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6223           if (*p)
6224             {
6225             expand_string_message = US"first argument of \"listextract\" must "
6226               "be numeric";
6227             goto EXPAND_FAILED;
6228             }
6229           field_number *= x;
6230           }
6231         }
6232
6233       /* Extract the numbered element into $value. If
6234       skipping, just pretend the extraction failed. */
6235
6236       lookup_value = skipping ? NULL : expand_getlistele(field_number, sub[1]);
6237
6238       /* If no string follows, $value gets substituted; otherwise there can
6239       be yes/no strings, as for lookup or if. */
6240
6241       switch(process_yesno(
6242                skipping,                     /* were previously skipping */
6243                lookup_value != NULL,         /* success/failure indicator */
6244                save_lookup_value,            /* value to reset for string2 */
6245                &s,                           /* input pointer */
6246                &yield,                       /* output pointer */
6247                US"listextract",              /* condition type */
6248                &resetok))
6249         {
6250         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6251         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6252         }
6253
6254       /* All done - restore numerical variables. */
6255
6256       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6257         save_expand_nlength);
6258
6259       continue;
6260       }
6261
6262 #ifndef DISABLE_TLS
6263     case EITEM_CERTEXTRACT:
6264       {
6265       uschar *save_lookup_value = lookup_value;
6266       uschar *sub[2];
6267       int save_expand_nmax =
6268         save_expand_strings(save_expand_nstring, save_expand_nlength);
6269
6270       /* Read the field argument */
6271       while (isspace(*s)) s++;
6272       if (*s != '{')                                    /*}*/
6273         {
6274         expand_string_message = US"missing '{' for field arg of certextract";
6275         goto EXPAND_FAILED_CURLY;
6276         }
6277       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6278       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
6279       if (*s++ != '}')
6280         {
6281         expand_string_message = US"missing '}' closing field arg of certextract";
6282         goto EXPAND_FAILED_CURLY;
6283         }
6284       /* strip spaces fore & aft */
6285       {
6286       int len;
6287       uschar *p = sub[0];
6288
6289       while (isspace(*p)) p++;
6290       sub[0] = p;
6291
6292       len = Ustrlen(p);
6293       while (len > 0 && isspace(p[len-1])) len--;
6294       p[len] = 0;
6295       }
6296
6297       /* inspect the cert argument */
6298       while (isspace(*s)) s++;
6299       if (*s != '{')                                    /*}*/
6300         {
6301         expand_string_message = US"missing '{' for cert variable arg of certextract";
6302         goto EXPAND_FAILED_CURLY;
6303         }
6304       if (*++s != '$')
6305         {
6306         expand_string_message = US"second argument of \"certextract\" must "
6307           "be a certificate variable";
6308         goto EXPAND_FAILED;
6309         }
6310       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
6311       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
6312       if (*s++ != '}')
6313         {
6314         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6315         goto EXPAND_FAILED_CURLY;
6316         }
6317
6318       if (skipping)
6319         lookup_value = NULL;
6320       else
6321         {
6322         lookup_value = expand_getcertele(sub[0], sub[1]);
6323         if (*expand_string_message) goto EXPAND_FAILED;
6324         }
6325       switch(process_yesno(
6326                skipping,                     /* were previously skipping */
6327                lookup_value != NULL,         /* success/failure indicator */
6328                save_lookup_value,            /* value to reset for string2 */
6329                &s,                           /* input pointer */
6330                &yield,                       /* output pointer */
6331                US"certextract",              /* condition type */
6332                &resetok))
6333         {
6334         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6335         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6336         }
6337
6338       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6339         save_expand_nlength);
6340       continue;
6341       }
6342 #endif  /*DISABLE_TLS*/
6343
6344     /* Handle list operations */
6345
6346     case EITEM_FILTER:
6347     case EITEM_MAP:
6348     case EITEM_REDUCE:
6349       {
6350       int sep = 0;
6351       int save_ptr = yield->ptr;
6352       uschar outsep[2] = { '\0', '\0' };
6353       const uschar *list, *expr, *temp;
6354       uschar *save_iterate_item = iterate_item;
6355       uschar *save_lookup_value = lookup_value;
6356
6357       while (isspace(*s)) s++;
6358       if (*s++ != '{')
6359         {
6360         expand_string_message =
6361           string_sprintf("missing '{' for first arg of %s", name);
6362         goto EXPAND_FAILED_CURLY;
6363         }
6364
6365       if (!(list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok)))
6366         goto EXPAND_FAILED;
6367       if (*s++ != '}')
6368         {
6369         expand_string_message =
6370           string_sprintf("missing '}' closing first arg of %s", name);
6371         goto EXPAND_FAILED_CURLY;
6372         }
6373
6374       if (item_type == EITEM_REDUCE)
6375         {
6376         uschar * t;
6377         while (isspace(*s)) s++;
6378         if (*s++ != '{')
6379           {
6380           expand_string_message = US"missing '{' for second arg of reduce";
6381           goto EXPAND_FAILED_CURLY;
6382           }
6383         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6384         if (!t) goto EXPAND_FAILED;
6385         lookup_value = t;
6386         if (*s++ != '}')
6387           {
6388           expand_string_message = US"missing '}' closing second arg of reduce";
6389           goto EXPAND_FAILED_CURLY;
6390           }
6391         }
6392
6393       while (isspace(*s)) s++;
6394       if (*s++ != '{')
6395         {
6396         expand_string_message =
6397           string_sprintf("missing '{' for last arg of %s", name);
6398         goto EXPAND_FAILED_CURLY;
6399         }
6400
6401       expr = s;
6402
6403       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6404       if scanning a "false" part). This allows us to find the end of the
6405       condition, because if the list is empty, we won't actually evaluate the
6406       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6407       the normal internal expansion function. */
6408
6409       if (item_type == EITEM_FILTER)
6410         {
6411         if ((temp = eval_condition(expr, &resetok, NULL)))
6412           s = temp;
6413         }
6414       else
6415         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6416
6417       if (!temp)
6418         {
6419         expand_string_message = string_sprintf("%s inside \"%s\" item",
6420           expand_string_message, name);
6421         goto EXPAND_FAILED;
6422         }
6423
6424       while (isspace(*s)) s++;
6425       if (*s++ != '}')
6426         {                                               /*{*/
6427         expand_string_message = string_sprintf("missing } at end of condition "
6428           "or expression inside \"%s\"; could be an unquoted } in the content",
6429           name);
6430         goto EXPAND_FAILED;
6431         }
6432
6433       while (isspace(*s)) s++;                          /*{*/
6434       if (*s++ != '}')
6435         {                                               /*{*/
6436         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6437           name);
6438         goto EXPAND_FAILED;
6439         }
6440
6441       /* If we are skipping, we can now just move on to the next item. When
6442       processing for real, we perform the iteration. */
6443
6444       if (skipping) continue;
6445       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6446         {
6447         *outsep = (uschar)sep;      /* Separator as a string */
6448
6449         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6450                           name, iterate_item, lookup_value);
6451
6452         if (item_type == EITEM_FILTER)
6453           {
6454           BOOL condresult;
6455           if (!eval_condition(expr, &resetok, &condresult))
6456             {
6457             iterate_item = save_iterate_item;
6458             lookup_value = save_lookup_value;
6459             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6460               expand_string_message, name);
6461             goto EXPAND_FAILED;
6462             }
6463           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6464             condresult? "true":"false");
6465           if (condresult)
6466             temp = iterate_item;    /* TRUE => include this item */
6467           else
6468             continue;               /* FALSE => skip this item */
6469           }
6470
6471         /* EITEM_MAP and EITEM_REDUCE */
6472
6473         else
6474           {
6475           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
6476           temp = t;
6477           if (!temp)
6478             {
6479             iterate_item = save_iterate_item;
6480             expand_string_message = string_sprintf("%s inside \"%s\" item",
6481               expand_string_message, name);
6482             goto EXPAND_FAILED;
6483             }
6484           if (item_type == EITEM_REDUCE)
6485             {
6486             lookup_value = t;         /* Update the value of $value */
6487             continue;                 /* and continue the iteration */
6488             }
6489           }
6490
6491         /* We reach here for FILTER if the condition is true, always for MAP,
6492         and never for REDUCE. The value in "temp" is to be added to the output
6493         list that is being created, ensuring that any occurrences of the
6494         separator character are doubled. Unless we are dealing with the first
6495         item of the output list, add in a space if the new item begins with the
6496         separator character, or is an empty string. */
6497
6498         if (yield->ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
6499           yield = string_catn(yield, US" ", 1);
6500
6501         /* Add the string in "temp" to the output list that we are building,
6502         This is done in chunks by searching for the separator character. */
6503
6504         for (;;)
6505           {
6506           size_t seglen = Ustrcspn(temp, outsep);
6507
6508           yield = string_catn(yield, temp, seglen + 1);
6509
6510           /* If we got to the end of the string we output one character
6511           too many; backup and end the loop. Otherwise arrange to double the
6512           separator. */
6513
6514           if (temp[seglen] == '\0') { yield->ptr--; break; }
6515           yield = string_catn(yield, outsep, 1);
6516           temp += seglen + 1;
6517           }
6518
6519         /* Output a separator after the string: we will remove the redundant
6520         final one at the end. */
6521
6522         yield = string_catn(yield, outsep, 1);
6523         }   /* End of iteration over the list loop */
6524
6525       /* REDUCE has generated no output above: output the final value of
6526       $value. */
6527
6528       if (item_type == EITEM_REDUCE)
6529         {
6530         yield = string_cat(yield, lookup_value);
6531         lookup_value = save_lookup_value;  /* Restore $value */
6532         }
6533
6534       /* FILTER and MAP generate lists: if they have generated anything, remove
6535       the redundant final separator. Even though an empty item at the end of a
6536       list does not count, this is tidier. */
6537
6538       else if (yield->ptr != save_ptr) yield->ptr--;
6539
6540       /* Restore preserved $item */
6541
6542       iterate_item = save_iterate_item;
6543       continue;
6544       }
6545
6546     case EITEM_SORT:
6547       {
6548       int cond_type;
6549       int sep = 0;
6550       const uschar *srclist, *cmp, *xtract;
6551       uschar * opname, * srcitem;
6552       const uschar *dstlist = NULL, *dstkeylist = NULL;
6553       uschar * tmp;
6554       uschar *save_iterate_item = iterate_item;
6555
6556       while (isspace(*s)) s++;
6557       if (*s++ != '{')
6558         {
6559         expand_string_message = US"missing '{' for list arg of sort";
6560         goto EXPAND_FAILED_CURLY;
6561         }
6562
6563       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6564       if (!srclist) goto EXPAND_FAILED;
6565       if (*s++ != '}')
6566         {
6567         expand_string_message = US"missing '}' closing list arg of sort";
6568         goto EXPAND_FAILED_CURLY;
6569         }
6570
6571       while (isspace(*s)) s++;
6572       if (*s++ != '{')
6573         {
6574         expand_string_message = US"missing '{' for comparator arg of sort";
6575         goto EXPAND_FAILED_CURLY;
6576         }
6577
6578       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
6579       if (!cmp) goto EXPAND_FAILED;
6580       if (*s++ != '}')
6581         {
6582         expand_string_message = US"missing '}' closing comparator arg of sort";
6583         goto EXPAND_FAILED_CURLY;
6584         }
6585
6586       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6587         {
6588         if (!expand_string_message)
6589           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6590         goto EXPAND_FAILED;
6591         }
6592       switch(cond_type)
6593         {
6594         case ECOND_NUM_L: case ECOND_NUM_LE:
6595         case ECOND_NUM_G: case ECOND_NUM_GE:
6596         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6597         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6598           break;
6599
6600         default:
6601           expand_string_message = US"comparator not handled for sort";
6602           goto EXPAND_FAILED;
6603         }
6604
6605       while (isspace(*s)) s++;
6606       if (*s++ != '{')
6607         {
6608         expand_string_message = US"missing '{' for extractor arg of sort";
6609         goto EXPAND_FAILED_CURLY;
6610         }
6611
6612       xtract = s;
6613       if (!(tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok)))
6614         goto EXPAND_FAILED;
6615       xtract = string_copyn(xtract, s - xtract);
6616
6617       if (*s++ != '}')
6618         {
6619         expand_string_message = US"missing '}' closing extractor arg of sort";
6620         goto EXPAND_FAILED_CURLY;
6621         }
6622                                                         /*{*/
6623       if (*s++ != '}')
6624         {                                               /*{*/
6625         expand_string_message = US"missing } at end of \"sort\"";
6626         goto EXPAND_FAILED;
6627         }
6628
6629       if (skipping) continue;
6630
6631       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6632         {
6633         uschar * srcfield, * dstitem;
6634         gstring * newlist = NULL;
6635         gstring * newkeylist = NULL;
6636
6637         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6638
6639         /* extract field for comparisons */
6640         iterate_item = srcitem;
6641         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
6642                                           TRUE, &resetok))
6643            || !*srcfield)
6644           {
6645           expand_string_message = string_sprintf(
6646               "field-extract in sort: \"%s\"", xtract);
6647           goto EXPAND_FAILED;
6648           }
6649
6650         /* Insertion sort */
6651
6652         /* copy output list until new-item < list-item */
6653         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6654           {
6655           uschar * dstfield;
6656
6657           /* field for comparison */
6658           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6659             goto sort_mismatch;
6660
6661           /* String-comparator names start with a letter; numeric names do not */
6662
6663           if (sortsbefore(cond_type, isalpha(opname[0]),
6664               srcfield, dstfield))
6665             {
6666             /* New-item sorts before this dst-item.  Append new-item,
6667             then dst-item, then remainder of dst list. */
6668
6669             newlist = string_append_listele(newlist, sep, srcitem);
6670             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6671             srcitem = NULL;
6672
6673             newlist = string_append_listele(newlist, sep, dstitem);
6674             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6675
6676 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6677             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6678               {
6679               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6680                 goto sort_mismatch;
6681               newlist = string_append_listele(newlist, sep, dstitem);
6682               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6683               }
6684
6685             break;
6686             }
6687
6688           newlist = string_append_listele(newlist, sep, dstitem);
6689           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6690           }
6691
6692         /* If we ran out of dstlist without consuming srcitem, append it */
6693         if (srcitem)
6694           {
6695           newlist = string_append_listele(newlist, sep, srcitem);
6696           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6697           }
6698
6699         dstlist = newlist->s;
6700         dstkeylist = newkeylist->s;
6701
6702         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6703         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6704         }
6705
6706       if (dstlist)
6707         yield = string_cat(yield, dstlist);
6708
6709       /* Restore preserved $item */
6710       iterate_item = save_iterate_item;
6711       continue;
6712
6713       sort_mismatch:
6714         expand_string_message = US"Internal error in sort (list mismatch)";
6715         goto EXPAND_FAILED;
6716       }
6717
6718
6719     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6720     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6721     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6722     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6723
6724     #define EXPAND_DLFUNC_MAX_ARGS 8
6725
6726     case EITEM_DLFUNC:
6727 #ifndef EXPAND_DLFUNC
6728       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6729         "is not included in this binary";
6730       goto EXPAND_FAILED;
6731
6732 #else   /* EXPAND_DLFUNC */
6733       {
6734       tree_node *t;
6735       exim_dlfunc_t *func;
6736       uschar *result;
6737       int status, argc;
6738       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6739
6740       if ((expand_forbid & RDO_DLFUNC) != 0)
6741         {
6742         expand_string_message =
6743           US"dynamically-loaded functions are not permitted";
6744         goto EXPAND_FAILED;
6745         }
6746
6747       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6748            TRUE, US"dlfunc", &resetok))
6749         {
6750         case 1: goto EXPAND_FAILED_CURLY;
6751         case 2:
6752         case 3: goto EXPAND_FAILED;
6753         }
6754
6755       /* If skipping, we don't actually do anything */
6756
6757       if (skipping) continue;
6758
6759       /* Look up the dynamically loaded object handle in the tree. If it isn't
6760       found, dlopen() the file and put the handle in the tree for next time. */
6761
6762       if (!(t = tree_search(dlobj_anchor, argv[0])))
6763         {
6764         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6765         if (!handle)
6766           {
6767           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6768             argv[0], dlerror());
6769           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6770           goto EXPAND_FAILED;
6771           }
6772         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), is_tainted(argv[0]));
6773         Ustrcpy(t->name, argv[0]);
6774         t->data.ptr = handle;
6775         (void)tree_insertnode(&dlobj_anchor, t);
6776         }
6777
6778       /* Having obtained the dynamically loaded object handle, look up the
6779       function pointer. */
6780
6781       if (!(func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1])))
6782         {
6783         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6784           "%s", argv[1], argv[0], dlerror());
6785         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6786         goto EXPAND_FAILED;
6787         }
6788
6789       /* Call the function and work out what to do with the result. If it
6790       returns OK, we have a replacement string; if it returns DEFER then
6791       expansion has failed in a non-forced manner; if it returns FAIL then
6792       failure was forced; if it returns ERROR or any other value there's a
6793       problem, so panic slightly. In any case, assume that the function has
6794       side-effects on the store that must be preserved. */
6795
6796       resetok = FALSE;
6797       result = NULL;
6798       for (argc = 0; argv[argc]; argc++);
6799       status = func(&result, argc - 2, &argv[2]);
6800       if(status == OK)
6801         {
6802         if (!result) result = US"";
6803         yield = string_cat(yield, result);
6804         continue;
6805         }
6806       else
6807         {
6808         expand_string_message = result ? result : US"(no message)";
6809         if (status == FAIL_FORCED)
6810           f.expand_string_forcedfail = TRUE;
6811         else if (status != FAIL)
6812           log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6813               argv[0], argv[1], status, expand_string_message);
6814         goto EXPAND_FAILED;
6815         }
6816       }
6817 #endif /* EXPAND_DLFUNC */
6818
6819     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6820       {
6821       uschar * key;
6822       uschar *save_lookup_value = lookup_value;
6823
6824       while (isspace(*s)) s++;
6825       if (*s != '{')                                    /*}*/
6826         goto EXPAND_FAILED;
6827
6828       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6829       if (!key) goto EXPAND_FAILED;                     /*{*/
6830       if (*s++ != '}')
6831         {
6832         expand_string_message = US"missing '{' for name arg of env";
6833         goto EXPAND_FAILED_CURLY;
6834         }
6835
6836       lookup_value = US getenv(CS key);
6837
6838       switch(process_yesno(
6839                skipping,                     /* were previously skipping */
6840                lookup_value != NULL,         /* success/failure indicator */
6841                save_lookup_value,            /* value to reset for string2 */
6842                &s,                           /* input pointer */
6843                &yield,                       /* output pointer */
6844                US"env",                      /* condition type */
6845                &resetok))
6846         {
6847         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6848         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6849         }
6850       continue;
6851       }
6852
6853 #ifdef EXPERIMENTAL_SRS_NATIVE
6854     case EITEM_SRS_ENCODE:
6855       /* ${srs_encode {secret} {return_path} {orig_domain}} */
6856       {
6857       uschar * sub[3];
6858       uschar cksum[4];
6859
6860       switch (read_subs(sub, 3, 3, CUSS &s, skipping, TRUE, name, &resetok))
6861         {
6862         case 1: goto EXPAND_FAILED_CURLY;
6863         case 2:
6864         case 3: goto EXPAND_FAILED;
6865         }
6866
6867       yield = string_catn(yield, US"SRS0=", 5);
6868
6869       /* ${l_4:${hmac{md5}{SRS_SECRET}{${lc:$return_path}}}}= */
6870       hmac_md5(sub[0], string_copylc(sub[1]), cksum, sizeof(cksum));
6871       yield = string_catn(yield, cksum, sizeof(cksum));
6872       yield = string_catn(yield, US"=", 1);
6873
6874       /* ${base32:${eval:$tod_epoch/86400&0x3ff}}= */
6875         {
6876         struct timeval now;
6877         unsigned long i;
6878         gstring * g = NULL;
6879
6880         gettimeofday(&now, NULL);
6881         for (unsigned long i = (now.tv_sec / 86400) & 0x3ff; i; i >>= 5)
6882           g = string_catn(g, &base32_chars[i & 0x1f], 1);
6883         if (g) while (g->ptr > 0)
6884           yield = string_catn(yield, &g->s[--g->ptr], 1);
6885         }
6886       yield = string_catn(yield, US"=", 1);
6887
6888       /* ${domain:$return_path}=${local_part:$return_path} */
6889         {
6890         int start, end, domain;
6891         uschar * t = parse_extract_address(sub[1], &expand_string_message,
6892                                           &start, &end, &domain, FALSE);
6893         if (!t)
6894           goto EXPAND_FAILED;
6895
6896         if (domain > 0) yield = string_cat(yield, t + domain);
6897         yield = string_catn(yield, US"=", 1);
6898         yield = domain > 0
6899           ? string_catn(yield, t, domain - 1) : string_cat(yield, t);
6900         }
6901
6902       /* @$original_domain */
6903       yield = string_catn(yield, US"@", 1);
6904       yield = string_cat(yield, sub[2]);
6905       continue;
6906       }
6907 #endif /*EXPERIMENTAL_SRS_NATIVE*/
6908     }   /* EITEM_* switch */
6909
6910   /* Control reaches here if the name is not recognized as one of the more
6911   complicated expansion items. Check for the "operator" syntax (name terminated
6912   by a colon). Some of the operators have arguments, separated by _ from the
6913   name. */
6914
6915   if (*s == ':')
6916     {
6917     int c;
6918     uschar *arg = NULL;
6919     uschar *sub;
6920 #ifndef DISABLE_TLS
6921     var_entry *vp = NULL;
6922 #endif
6923
6924     /* Owing to an historical mis-design, an underscore may be part of the
6925     operator name, or it may introduce arguments.  We therefore first scan the
6926     table of names that contain underscores. If there is no match, we cut off
6927     the arguments and then scan the main table. */
6928
6929     if ((c = chop_match(name, op_table_underscore,
6930                         nelem(op_table_underscore))) < 0)
6931       {
6932       if ((arg = Ustrchr(name, '_')))
6933         *arg = 0;
6934       if ((c = chop_match(name, op_table_main, nelem(op_table_main))) >= 0)
6935         c += nelem(op_table_underscore);
6936       if (arg) *arg++ = '_';            /* Put back for error messages */
6937       }
6938
6939     /* Deal specially with operators that might take a certificate variable
6940     as we do not want to do the usual expansion. For most, expand the string.*/
6941     switch(c)
6942       {
6943 #ifndef DISABLE_TLS
6944       case EOP_MD5:
6945       case EOP_SHA1:
6946       case EOP_SHA256:
6947       case EOP_BASE64:
6948         if (s[1] == '$')
6949           {
6950           const uschar * s1 = s;
6951           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6952                   FALSE, &resetok);
6953           if (!sub)       goto EXPAND_FAILED;           /*{*/
6954           if (*s1 != '}')
6955             {
6956             expand_string_message =
6957               string_sprintf("missing '}' closing cert arg of %s", name);
6958             goto EXPAND_FAILED_CURLY;
6959             }
6960           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6961             {
6962             s = s1+1;
6963             break;
6964             }
6965           vp = NULL;
6966           }
6967         /*FALLTHROUGH*/
6968 #endif
6969       default:
6970         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6971         if (!sub) goto EXPAND_FAILED;
6972         s++;
6973         break;
6974       }
6975
6976     /* If we are skipping, we don't need to perform the operation at all.
6977     This matters for operations like "mask", because the data may not be
6978     in the correct format when skipping. For example, the expression may test
6979     for the existence of $sender_host_address before trying to mask it. For
6980     other operations, doing them may not fail, but it is a waste of time. */
6981
6982     if (skipping && c >= 0) continue;
6983
6984     /* Otherwise, switch on the operator type */
6985
6986     switch(c)
6987       {
6988       case EOP_BASE32:
6989         {
6990         uschar *t;
6991         unsigned long int n = Ustrtoul(sub, &t, 10);
6992         gstring * g = NULL;
6993
6994         if (*t != 0)
6995           {
6996           expand_string_message = string_sprintf("argument for base32 "
6997             "operator is \"%s\", which is not a decimal number", sub);
6998           goto EXPAND_FAILED;
6999           }
7000         for ( ; n; n >>= 5)
7001           g = string_catn(g, &base32_chars[n & 0x1f], 1);
7002
7003         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
7004         continue;
7005         }
7006
7007       case EOP_BASE32D:
7008         {
7009         uschar *tt = sub;
7010         unsigned long int n = 0;
7011         while (*tt)
7012           {
7013           uschar * t = Ustrchr(base32_chars, *tt++);
7014           if (!t)
7015             {
7016             expand_string_message = string_sprintf("argument for base32d "
7017               "operator is \"%s\", which is not a base 32 number", sub);
7018             goto EXPAND_FAILED;
7019             }
7020           n = n * 32 + (t - base32_chars);
7021           }
7022         yield = string_fmt_append(yield, "%ld", n);
7023         continue;
7024         }
7025
7026       case EOP_BASE62:
7027         {
7028         uschar *t;
7029         unsigned long int n = Ustrtoul(sub, &t, 10);
7030         if (*t != 0)
7031           {
7032           expand_string_message = string_sprintf("argument for base62 "
7033             "operator is \"%s\", which is not a decimal number", sub);
7034           goto EXPAND_FAILED;
7035           }
7036         yield = string_cat(yield, string_base62(n));
7037         continue;
7038         }
7039
7040       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
7041
7042       case EOP_BASE62D:
7043         {
7044         uschar *tt = sub;
7045         unsigned long int n = 0;
7046         while (*tt != 0)
7047           {
7048           uschar *t = Ustrchr(base62_chars, *tt++);
7049           if (!t)
7050             {
7051             expand_string_message = string_sprintf("argument for base62d "
7052               "operator is \"%s\", which is not a base %d number", sub,
7053               BASE_62);
7054             goto EXPAND_FAILED;
7055             }
7056           n = n * BASE_62 + (t - base62_chars);
7057           }
7058         yield = string_fmt_append(yield, "%ld", n);
7059         continue;
7060         }
7061
7062       case EOP_EXPAND:
7063         {
7064         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
7065         if (!expanded)
7066           {
7067           expand_string_message =
7068             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
7069               expand_string_message);
7070           goto EXPAND_FAILED;
7071           }
7072         yield = string_cat(yield, expanded);
7073         continue;
7074         }
7075
7076       case EOP_LC:
7077         {
7078         int count = 0;
7079         uschar *t = sub - 1;
7080         while (*(++t) != 0) { *t = tolower(*t); count++; }
7081         yield = string_catn(yield, sub, count);
7082         continue;
7083         }
7084
7085       case EOP_UC:
7086         {
7087         int count = 0;
7088         uschar *t = sub - 1;
7089         while (*(++t) != 0) { *t = toupper(*t); count++; }
7090         yield = string_catn(yield, sub, count);
7091         continue;
7092         }
7093
7094       case EOP_MD5:
7095 #ifndef DISABLE_TLS
7096         if (vp && *(void **)vp->value)
7097           {
7098           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
7099           yield = string_cat(yield, cp);
7100           }
7101         else
7102 #endif
7103           {
7104           md5 base;
7105           uschar digest[16];
7106           md5_start(&base);
7107           md5_end(&base, sub, Ustrlen(sub), digest);
7108           for (int j = 0; j < 16; j++)
7109             yield = string_fmt_append(yield, "%02x", digest[j]);
7110           }
7111         continue;
7112
7113       case EOP_SHA1:
7114 #ifndef DISABLE_TLS
7115         if (vp && *(void **)vp->value)
7116           {
7117           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
7118           yield = string_cat(yield, cp);
7119           }
7120         else
7121 #endif
7122           {
7123           hctx h;
7124           uschar digest[20];
7125           sha1_start(&h);
7126           sha1_end(&h, sub, Ustrlen(sub), digest);
7127           for (int j = 0; j < 20; j++)
7128             yield = string_fmt_append(yield, "%02X", digest[j]);
7129           }
7130         continue;
7131
7132       case EOP_SHA2:
7133       case EOP_SHA256:
7134 #ifdef EXIM_HAVE_SHA2
7135         if (vp && *(void **)vp->value)
7136           if (c == EOP_SHA256)
7137             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
7138           else
7139             expand_string_message = US"sha2_N not supported with certificates";
7140         else
7141           {
7142           hctx h;
7143           blob b;
7144           hashmethod m = !arg ? HASH_SHA2_256
7145             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
7146             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
7147             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
7148             : HASH_BADTYPE;
7149
7150           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7151             {
7152             expand_string_message = US"unrecognised sha2 variant";
7153             goto EXPAND_FAILED;
7154             }
7155
7156           exim_sha_update(&h, sub, Ustrlen(sub));
7157           exim_sha_finish(&h, &b);
7158           while (b.len-- > 0)
7159             yield = string_fmt_append(yield, "%02X", *b.data++);
7160           }
7161 #else
7162           expand_string_message = US"sha256 only supported with TLS";
7163 #endif
7164         continue;
7165
7166       case EOP_SHA3:
7167 #ifdef EXIM_HAVE_SHA3
7168         {
7169         hctx h;
7170         blob b;
7171         hashmethod m = !arg ? HASH_SHA3_256
7172           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
7173           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
7174           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
7175           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
7176           : HASH_BADTYPE;
7177
7178         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7179           {
7180           expand_string_message = US"unrecognised sha3 variant";
7181           goto EXPAND_FAILED;
7182           }
7183
7184         exim_sha_update(&h, sub, Ustrlen(sub));
7185         exim_sha_finish(&h, &b);
7186         while (b.len-- > 0)
7187           yield = string_fmt_append(yield, "%02X", *b.data++);
7188         }
7189         continue;
7190 #else
7191         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
7192         goto EXPAND_FAILED;
7193 #endif
7194
7195       /* Convert hex encoding to base64 encoding */
7196
7197       case EOP_HEX2B64:
7198         {
7199         int c = 0;
7200         int b = -1;
7201         uschar *in = sub;
7202         uschar *out = sub;
7203         uschar *enc;
7204
7205         for (enc = sub; *enc; enc++)
7206           {
7207           if (!isxdigit(*enc))
7208             {
7209             expand_string_message = string_sprintf("\"%s\" is not a hex "
7210               "string", sub);
7211             goto EXPAND_FAILED;
7212             }
7213           c++;
7214           }
7215
7216         if ((c & 1) != 0)
7217           {
7218           expand_string_message = string_sprintf("\"%s\" contains an odd "
7219             "number of characters", sub);
7220           goto EXPAND_FAILED;
7221           }
7222
7223         while ((c = *in++) != 0)
7224           {
7225           if (isdigit(c)) c -= '0';
7226           else c = toupper(c) - 'A' + 10;
7227           if (b == -1)
7228             b = c << 4;
7229           else
7230             {
7231             *out++ = b | c;
7232             b = -1;
7233             }
7234           }
7235
7236         enc = b64encode(CUS sub, out - sub);
7237         yield = string_cat(yield, enc);
7238         continue;
7239         }
7240
7241       /* Convert octets outside 0x21..0x7E to \xXX form */
7242
7243       case EOP_HEXQUOTE:
7244         {
7245         uschar *t = sub - 1;
7246         while (*(++t) != 0)
7247           {
7248           if (*t < 0x21 || 0x7E < *t)
7249             yield = string_fmt_append(yield, "\\x%02x", *t);
7250           else
7251             yield = string_catn(yield, t, 1);
7252           }
7253         continue;
7254         }
7255
7256       /* count the number of list elements */
7257
7258       case EOP_LISTCOUNT:
7259         {
7260         int cnt = 0;
7261         int sep = 0;
7262         uschar buffer[256];
7263
7264         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer))) cnt++;
7265         yield = string_fmt_append(yield, "%d", cnt);
7266         continue;
7267         }
7268
7269       /* expand a named list given the name */
7270       /* handles nested named lists; requotes as colon-sep list */
7271
7272       case EOP_LISTNAMED:
7273         {
7274         tree_node *t = NULL;
7275         const uschar * list;
7276         int sep = 0;
7277         uschar * item;
7278         uschar * suffix = US"";
7279         BOOL needsep = FALSE;
7280         uschar buffer[256];
7281
7282         if (*sub == '+') sub++;
7283         if (!arg)               /* no-argument version */
7284           {
7285           if (!(t = tree_search(addresslist_anchor, sub)) &&
7286               !(t = tree_search(domainlist_anchor,  sub)) &&
7287               !(t = tree_search(hostlist_anchor,    sub)))
7288             t = tree_search(localpartlist_anchor, sub);
7289           }
7290         else switch(*arg)       /* specific list-type version */
7291           {
7292           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
7293           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
7294           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
7295           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
7296           default:
7297             expand_string_message = US"bad suffix on \"list\" operator";
7298             goto EXPAND_FAILED;
7299           }
7300
7301         if(!t)
7302           {
7303           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
7304             sub, !arg?""
7305               : *arg=='a'?"address "
7306               : *arg=='d'?"domain "
7307               : *arg=='h'?"host "
7308               : *arg=='l'?"localpart "
7309               : 0);
7310           goto EXPAND_FAILED;
7311           }
7312
7313         list = ((namedlist_block *)(t->data.ptr))->string;
7314
7315         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
7316           {
7317           uschar * buf = US" : ";
7318           if (needsep)
7319             yield = string_catn(yield, buf, 3);
7320           else
7321             needsep = TRUE;
7322
7323           if (*item == '+')     /* list item is itself a named list */
7324             {
7325             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
7326             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
7327             }
7328           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
7329             {
7330             char * cp;
7331             char tok[3];
7332             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
7333             while ((cp= strpbrk(CCS item, tok)))
7334               {
7335               yield = string_catn(yield, item, cp - CS item);
7336               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
7337                 {
7338                 yield = string_catn(yield, US"::", 2);
7339                 item = US cp;
7340                 }
7341               else              /* sep in item; should already be doubled; emit once */
7342                 {
7343                 yield = string_catn(yield, US tok, 1);
7344                 if (*cp == sep) cp++;
7345                 item = US cp;
7346                 }
7347               }
7348             }
7349           yield = string_cat(yield, item);
7350           }
7351         continue;
7352         }
7353
7354       /* mask applies a mask to an IP address; for example the result of
7355       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7356
7357       case EOP_MASK:
7358         {
7359         int count;
7360         uschar *endptr;
7361         int binary[4];
7362         int mask, maskoffset;
7363         int type = string_is_ip_address(sub, &maskoffset);
7364         uschar buffer[64];
7365
7366         if (type == 0)
7367           {
7368           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7369            sub);
7370           goto EXPAND_FAILED;
7371           }
7372
7373         if (maskoffset == 0)
7374           {
7375           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7376             sub);
7377           goto EXPAND_FAILED;
7378           }
7379
7380         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7381
7382         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
7383           {
7384           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7385             sub);
7386           goto EXPAND_FAILED;
7387           }
7388
7389         /* Convert the address to binary integer(s) and apply the mask */
7390
7391         sub[maskoffset] = 0;
7392         count = host_aton(sub, binary);
7393         host_mask(count, binary, mask);
7394
7395         /* Convert to masked textual format and add to output. */
7396
7397         yield = string_catn(yield, buffer,
7398           host_nmtoa(count, binary, mask, buffer, '.'));
7399         continue;
7400         }
7401
7402       case EOP_IPV6NORM:
7403       case EOP_IPV6DENORM:
7404         {
7405         int type = string_is_ip_address(sub, NULL);
7406         int binary[4];
7407         uschar buffer[44];
7408
7409         switch (type)
7410           {
7411           case 6:
7412             (void) host_aton(sub, binary);
7413             break;
7414
7415           case 4:       /* convert to IPv4-mapped IPv6 */
7416             binary[0] = binary[1] = 0;
7417             binary[2] = 0x0000ffff;
7418             (void) host_aton(sub, binary+3);
7419             break;
7420
7421           case 0:
7422             expand_string_message =
7423               string_sprintf("\"%s\" is not an IP address", sub);
7424             goto EXPAND_FAILED;
7425           }
7426
7427         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7428                     ? ipv6_nmtoa(binary, buffer)
7429                     : host_nmtoa(4, binary, -1, buffer, ':')
7430                   );
7431         continue;
7432         }
7433
7434       case EOP_ADDRESS:
7435       case EOP_LOCAL_PART:
7436       case EOP_DOMAIN:
7437         {
7438         uschar * error;
7439         int start, end, domain;
7440         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7441           FALSE);
7442         if (t)
7443           if (c != EOP_DOMAIN)
7444             yield = c == EOP_LOCAL_PART && domain > 0
7445               ? string_catn(yield, t, domain - 1)
7446               : string_cat(yield, t);
7447           else if (domain > 0)
7448             yield = string_cat(yield, t + domain);
7449         continue;
7450         }
7451
7452       case EOP_ADDRESSES:
7453         {
7454         uschar outsep[2] = { ':', '\0' };
7455         uschar *address, *error;
7456         int save_ptr = yield->ptr;
7457         int start, end, domain;  /* Not really used */
7458
7459         while (isspace(*sub)) sub++;
7460         if (*sub == '>')
7461           if (*outsep = *++sub) ++sub;
7462           else
7463             {
7464             expand_string_message = string_sprintf("output separator "
7465               "missing in expanding ${addresses:%s}", --sub);
7466             goto EXPAND_FAILED;
7467             }
7468         f.parse_allow_group = TRUE;
7469
7470         for (;;)
7471           {
7472           uschar * p = parse_find_address_end(sub, FALSE);
7473           uschar saveend = *p;
7474           *p = '\0';
7475           address = parse_extract_address(sub, &error, &start, &end, &domain,
7476             FALSE);
7477           *p = saveend;
7478
7479           /* Add the address to the output list that we are building. This is
7480           done in chunks by searching for the separator character. At the
7481           start, unless we are dealing with the first address of the output
7482           list, add in a space if the new address begins with the separator
7483           character, or is an empty string. */
7484
7485           if (address)
7486             {
7487             if (yield->ptr != save_ptr && address[0] == *outsep)
7488               yield = string_catn(yield, US" ", 1);
7489
7490             for (;;)
7491               {
7492               size_t seglen = Ustrcspn(address, outsep);
7493               yield = string_catn(yield, address, seglen + 1);
7494
7495               /* If we got to the end of the string we output one character
7496               too many. */
7497
7498               if (address[seglen] == '\0') { yield->ptr--; break; }
7499               yield = string_catn(yield, outsep, 1);
7500               address += seglen + 1;
7501               }
7502
7503             /* Output a separator after the string: we will remove the
7504             redundant final one at the end. */
7505
7506             yield = string_catn(yield, outsep, 1);
7507             }
7508
7509           if (saveend == '\0') break;
7510           sub = p + 1;
7511           }
7512
7513         /* If we have generated anything, remove the redundant final
7514         separator. */
7515
7516         if (yield->ptr != save_ptr) yield->ptr--;
7517         f.parse_allow_group = FALSE;
7518         continue;
7519         }
7520
7521
7522       /* quote puts a string in quotes if it is empty or contains anything
7523       other than alphamerics, underscore, dot, or hyphen.
7524
7525       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7526       be quoted in order to be a valid local part.
7527
7528       In both cases, newlines and carriage returns are converted into \n and \r
7529       respectively */
7530
7531       case EOP_QUOTE:
7532       case EOP_QUOTE_LOCAL_PART:
7533       if (!arg)
7534         {
7535         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
7536         uschar *t = sub - 1;
7537
7538         if (c == EOP_QUOTE)
7539           {
7540           while (!needs_quote && *(++t) != 0)
7541             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7542           }
7543         else  /* EOP_QUOTE_LOCAL_PART */
7544           {
7545           while (!needs_quote && *(++t) != 0)
7546             needs_quote = !isalnum(*t) &&
7547               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
7548               (*t != '.' || t == sub || t[1] == 0);
7549           }
7550
7551         if (needs_quote)
7552           {
7553           yield = string_catn(yield, US"\"", 1);
7554           t = sub - 1;
7555           while (*(++t) != 0)
7556             {
7557             if (*t == '\n')
7558               yield = string_catn(yield, US"\\n", 2);
7559             else if (*t == '\r')
7560               yield = string_catn(yield, US"\\r", 2);
7561             else
7562               {
7563               if (*t == '\\' || *t == '"')
7564                 yield = string_catn(yield, US"\\", 1);
7565               yield = string_catn(yield, t, 1);
7566               }
7567             }
7568           yield = string_catn(yield, US"\"", 1);
7569           }
7570         else yield = string_cat(yield, sub);
7571         continue;
7572         }
7573
7574       /* quote_lookuptype does lookup-specific quoting */
7575
7576       else
7577         {
7578         int n;
7579         uschar *opt = Ustrchr(arg, '_');
7580
7581         if (opt) *opt++ = 0;
7582
7583         if ((n = search_findtype(arg, Ustrlen(arg))) < 0)
7584           {
7585           expand_string_message = search_error_message;
7586           goto EXPAND_FAILED;
7587           }
7588
7589         if (lookup_list[n]->quote)
7590           sub = (lookup_list[n]->quote)(sub, opt);
7591         else if (opt)
7592           sub = NULL;
7593
7594         if (!sub)
7595           {
7596           expand_string_message = string_sprintf(
7597             "\"%s\" unrecognized after \"${quote_%s\"",
7598             opt, arg);
7599           goto EXPAND_FAILED;
7600           }
7601
7602         yield = string_cat(yield, sub);
7603         continue;
7604         }
7605
7606       /* rx quote sticks in \ before any non-alphameric character so that
7607       the insertion works in a regular expression. */
7608
7609       case EOP_RXQUOTE:
7610         {
7611         uschar *t = sub - 1;
7612         while (*(++t) != 0)
7613           {
7614           if (!isalnum(*t))
7615             yield = string_catn(yield, US"\\", 1);
7616           yield = string_catn(yield, t, 1);
7617           }
7618         continue;
7619         }
7620
7621       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7622       prescribed by the RFC, if there are characters that need to be encoded */
7623
7624       case EOP_RFC2047:
7625         {
7626         uschar buffer[2048];
7627         yield = string_cat(yield,
7628                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7629                               buffer, sizeof(buffer), FALSE));
7630         continue;
7631         }
7632
7633       /* RFC 2047 decode */
7634
7635       case EOP_RFC2047D:
7636         {
7637         int len;
7638         uschar *error;
7639         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7640           headers_charset, '?', &len, &error);
7641         if (error)
7642           {
7643           expand_string_message = error;
7644           goto EXPAND_FAILED;
7645           }
7646         yield = string_catn(yield, decoded, len);
7647         continue;
7648         }
7649
7650       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7651       underscores */
7652
7653       case EOP_FROM_UTF8:
7654         {
7655         while (*sub != 0)
7656           {
7657           int c;
7658           uschar buff[4];
7659           GETUTF8INC(c, sub);
7660           if (c > 255) c = '_';
7661           buff[0] = c;
7662           yield = string_catn(yield, buff, 1);
7663           }
7664         continue;
7665         }
7666
7667           /* replace illegal UTF-8 sequences by replacement character  */
7668
7669       #define UTF8_REPLACEMENT_CHAR US"?"
7670
7671       case EOP_UTF8CLEAN:
7672         {
7673         int seq_len = 0, index = 0;
7674         int bytes_left = 0;
7675         long codepoint = -1;
7676         int complete;
7677         uschar seq_buff[4];                     /* accumulate utf-8 here */
7678
7679         while (*sub != 0)
7680           {
7681           complete = 0;
7682           uschar c = *sub++;
7683
7684           if (bytes_left)
7685             {
7686             if ((c & 0xc0) != 0x80)
7687                     /* wrong continuation byte; invalidate all bytes */
7688               complete = 1; /* error */
7689             else
7690               {
7691               codepoint = (codepoint << 6) | (c & 0x3f);
7692               seq_buff[index++] = c;
7693               if (--bytes_left == 0)            /* codepoint complete */
7694                 if(codepoint > 0x10FFFF)        /* is it too large? */
7695                   complete = -1;        /* error (RFC3629 limit) */
7696                 else
7697                   {             /* finished; output utf-8 sequence */
7698                   yield = string_catn(yield, seq_buff, seq_len);
7699                   index = 0;
7700                   }
7701               }
7702             }
7703           else  /* no bytes left: new sequence */
7704             {
7705             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7706               {
7707               yield = string_catn(yield, &c, 1);
7708               continue;
7709               }
7710             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7711               {
7712               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7713                 complete = -1;
7714               else
7715                 {
7716                   bytes_left = 1;
7717                   codepoint = c & 0x1f;
7718                 }
7719               }
7720             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7721               {
7722               bytes_left = 2;
7723               codepoint = c & 0x0f;
7724               }
7725             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7726               {
7727               bytes_left = 3;
7728               codepoint = c & 0x07;
7729               }
7730             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7731               complete = -1;
7732
7733             seq_buff[index++] = c;
7734             seq_len = bytes_left + 1;
7735             }           /* if(bytes_left) */
7736
7737           if (complete != 0)
7738             {
7739             bytes_left = index = 0;
7740             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7741             }
7742           if ((complete == 1) && ((c & 0x80) == 0))
7743                         /* ASCII character follows incomplete sequence */
7744               yield = string_catn(yield, &c, 1);
7745           }
7746         /* If given a sequence truncated mid-character, we also want to report ?
7747         * Eg, ${length_1:フィル} is one byte, not one character, so we expect
7748         * ${utf8clean:${length_1:フィル}} to yield '?' */
7749         if (bytes_left != 0)
7750           {
7751           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7752           }
7753         continue;
7754         }
7755
7756 #ifdef SUPPORT_I18N
7757       case EOP_UTF8_DOMAIN_TO_ALABEL:
7758         {
7759         uschar * error = NULL;
7760         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7761         if (error)
7762           {
7763           expand_string_message = string_sprintf(
7764             "error converting utf8 (%s) to alabel: %s",
7765             string_printing(sub), error);
7766           goto EXPAND_FAILED;
7767           }
7768         yield = string_cat(yield, s);
7769         continue;
7770         }
7771
7772       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7773         {
7774         uschar * error = NULL;
7775         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7776         if (error)
7777           {
7778           expand_string_message = string_sprintf(
7779             "error converting alabel (%s) to utf8: %s",
7780             string_printing(sub), error);
7781           goto EXPAND_FAILED;
7782           }
7783         yield = string_cat(yield, s);
7784         continue;
7785         }
7786
7787       case EOP_UTF8_LOCALPART_TO_ALABEL:
7788         {
7789         uschar * error = NULL;
7790         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7791         if (error)
7792           {
7793           expand_string_message = string_sprintf(
7794             "error converting utf8 (%s) to alabel: %s",
7795             string_printing(sub), error);
7796           goto EXPAND_FAILED;
7797           }
7798         yield = string_cat(yield, s);
7799         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7800         continue;
7801         }
7802
7803       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7804         {
7805         uschar * error = NULL;
7806         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7807         if (error)
7808           {
7809           expand_string_message = string_sprintf(
7810             "error converting alabel (%s) to utf8: %s",
7811             string_printing(sub), error);
7812           goto EXPAND_FAILED;
7813           }
7814         yield = string_cat(yield, s);
7815         continue;
7816         }
7817 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7818
7819       /* escape turns all non-printing characters into escape sequences. */
7820
7821       case EOP_ESCAPE:
7822         {
7823         const uschar * t = string_printing(sub);
7824         yield = string_cat(yield, t);
7825         continue;
7826         }
7827
7828       case EOP_ESCAPE8BIT:
7829         {
7830         uschar c;
7831
7832         for (const uschar * s = sub; (c = *s); s++)
7833           yield = c < 127 && c != '\\'
7834             ? string_catn(yield, s, 1)
7835             : string_fmt_append(yield, "\\%03o", c);
7836         continue;
7837         }
7838
7839       /* Handle numeric expression evaluation */
7840
7841       case EOP_EVAL:
7842       case EOP_EVAL10:
7843         {
7844         uschar *save_sub = sub;
7845         uschar *error = NULL;
7846         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7847         if (error)
7848           {
7849           expand_string_message = string_sprintf("error in expression "
7850             "evaluation: %s (after processing \"%.*s\")", error,
7851             (int)(sub-save_sub), save_sub);
7852           goto EXPAND_FAILED;
7853           }
7854         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
7855         continue;
7856         }
7857
7858       /* Handle time period formatting */
7859
7860       case EOP_TIME_EVAL:
7861         {
7862         int n = readconf_readtime(sub, 0, FALSE);
7863         if (n < 0)
7864           {
7865           expand_string_message = string_sprintf("string \"%s\" is not an "
7866             "Exim time interval in \"%s\" operator", sub, name);
7867           goto EXPAND_FAILED;
7868           }
7869         yield = string_fmt_append(yield, "%d", n);
7870         continue;
7871         }
7872
7873       case EOP_TIME_INTERVAL:
7874         {
7875         int n;
7876         uschar *t = read_number(&n, sub);
7877         if (*t != 0) /* Not A Number*/
7878           {
7879           expand_string_message = string_sprintf("string \"%s\" is not a "
7880             "positive number in \"%s\" operator", sub, name);
7881           goto EXPAND_FAILED;
7882           }
7883         t = readconf_printtime(n);
7884         yield = string_cat(yield, t);
7885         continue;
7886         }
7887
7888       /* Convert string to base64 encoding */
7889
7890       case EOP_STR2B64:
7891       case EOP_BASE64:
7892         {
7893 #ifndef DISABLE_TLS
7894         uschar * s = vp && *(void **)vp->value
7895           ? tls_cert_der_b64(*(void **)vp->value)
7896           : b64encode(CUS sub, Ustrlen(sub));
7897 #else
7898         uschar * s = b64encode(CUS sub, Ustrlen(sub));
7899 #endif
7900         yield = string_cat(yield, s);
7901         continue;
7902         }
7903
7904       case EOP_BASE64D:
7905         {
7906         uschar * s;
7907         int len = b64decode(sub, &s);
7908         if (len < 0)
7909           {
7910           expand_string_message = string_sprintf("string \"%s\" is not "
7911             "well-formed for \"%s\" operator", sub, name);
7912           goto EXPAND_FAILED;
7913           }
7914         yield = string_cat(yield, s);
7915         continue;
7916         }
7917
7918       /* strlen returns the length of the string */
7919
7920       case EOP_STRLEN:
7921         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
7922         continue;
7923
7924       /* length_n or l_n takes just the first n characters or the whole string,
7925       whichever is the shorter;
7926
7927       substr_m_n, and s_m_n take n characters from offset m; negative m take
7928       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7929       takes the rest, either to the right or to the left.
7930
7931       hash_n or h_n makes a hash of length n from the string, yielding n
7932       characters from the set a-z; hash_n_m makes a hash of length n, but
7933       uses m characters from the set a-zA-Z0-9.
7934
7935       nhash_n returns a single number between 0 and n-1 (in text form), while
7936       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7937       between 0 and n-1 and the second between 0 and m-1. */
7938
7939       case EOP_LENGTH:
7940       case EOP_L:
7941       case EOP_SUBSTR:
7942       case EOP_S:
7943       case EOP_HASH:
7944       case EOP_H:
7945       case EOP_NHASH:
7946       case EOP_NH:
7947         {
7948         int sign = 1;
7949         int value1 = 0;
7950         int value2 = -1;
7951         int *pn;
7952         int len;
7953         uschar *ret;
7954
7955         if (!arg)
7956           {
7957           expand_string_message = string_sprintf("missing values after %s",
7958             name);
7959           goto EXPAND_FAILED;
7960           }
7961
7962         /* "length" has only one argument, effectively being synonymous with
7963         substr_0_n. */
7964
7965         if (c == EOP_LENGTH || c == EOP_L)
7966           {
7967           pn = &value2;
7968           value2 = 0;
7969           }
7970
7971         /* The others have one or two arguments; for "substr" the first may be
7972         negative. The second being negative means "not supplied". */
7973
7974         else
7975           {
7976           pn = &value1;
7977           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7978           }
7979
7980         /* Read up to two numbers, separated by underscores */
7981
7982         ret = arg;
7983         while (*arg != 0)
7984           {
7985           if (arg != ret && *arg == '_' && pn == &value1)
7986             {
7987             pn = &value2;
7988             value2 = 0;
7989             if (arg[1] != 0) arg++;
7990             }
7991           else if (!isdigit(*arg))
7992             {
7993             expand_string_message =
7994               string_sprintf("non-digit after underscore in \"%s\"", name);
7995             goto EXPAND_FAILED;
7996             }
7997           else *pn = (*pn)*10 + *arg++ - '0';
7998           }
7999         value1 *= sign;
8000
8001         /* Perform the required operation */
8002
8003         ret = c == EOP_HASH || c == EOP_H
8004           ? compute_hash(sub, value1, value2, &len)
8005           : c == EOP_NHASH || c == EOP_NH
8006           ? compute_nhash(sub, value1, value2, &len)
8007           : extract_substr(sub, value1, value2, &len);
8008         if (!ret) goto EXPAND_FAILED;
8009
8010         yield = string_catn(yield, ret, len);
8011         continue;
8012         }
8013
8014       /* Stat a path */
8015
8016       case EOP_STAT:
8017         {
8018         uschar smode[12];
8019         uschar **modetable[3];
8020         mode_t mode;
8021         struct stat st;
8022
8023         if (expand_forbid & RDO_EXISTS)
8024           {
8025           expand_string_message = US"Use of the stat() expansion is not permitted";
8026           goto EXPAND_FAILED;
8027           }
8028
8029         if (stat(CS sub, &st) < 0)
8030           {
8031           expand_string_message = string_sprintf("stat(%s) failed: %s",
8032             sub, strerror(errno));
8033           goto EXPAND_FAILED;
8034           }
8035         mode = st.st_mode;
8036         switch (mode & S_IFMT)
8037           {
8038           case S_IFIFO: smode[0] = 'p'; break;
8039           case S_IFCHR: smode[0] = 'c'; break;
8040           case S_IFDIR: smode[0] = 'd'; break;
8041           case S_IFBLK: smode[0] = 'b'; break;
8042           case S_IFREG: smode[0] = '-'; break;
8043           default: smode[0] = '?'; break;
8044           }
8045
8046         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
8047         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
8048         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
8049
8050         for (int i = 0; i < 3; i++)
8051           {
8052           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
8053           mode >>= 3;
8054           }
8055
8056         smode[10] = 0;
8057         yield = string_fmt_append(yield,
8058           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
8059           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
8060           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
8061           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
8062           (long)st.st_gid, st.st_size, (long)st.st_atime,
8063           (long)st.st_mtime, (long)st.st_ctime);
8064         continue;
8065         }
8066
8067       /* vaguely random number less than N */
8068
8069       case EOP_RANDINT:
8070         {
8071         int_eximarith_t max = expanded_string_integer(sub, TRUE);
8072
8073         if (expand_string_message)
8074           goto EXPAND_FAILED;
8075         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
8076         continue;
8077         }
8078
8079       /* Reverse IP, including IPv6 to dotted-nibble */
8080
8081       case EOP_REVERSE_IP:
8082         {
8083         int family, maskptr;
8084         uschar reversed[128];
8085
8086         family = string_is_ip_address(sub, &maskptr);
8087         if (family == 0)
8088           {
8089           expand_string_message = string_sprintf(
8090               "reverse_ip() not given an IP address [%s]", sub);
8091           goto EXPAND_FAILED;
8092           }
8093         invert_address(reversed, sub);
8094         yield = string_cat(yield, reversed);
8095         continue;
8096         }
8097
8098       /* Unknown operator */
8099
8100       default:
8101         expand_string_message =
8102           string_sprintf("unknown expansion operator \"%s\"", name);
8103         goto EXPAND_FAILED;
8104       }
8105     }
8106
8107   /* Handle a plain name. If this is the first thing in the expansion, release
8108   the pre-allocated buffer. If the result data is known to be in a new buffer,
8109   newsize will be set to the size of that buffer, and we can just point at that
8110   store instead of copying. Many expansion strings contain just one reference,
8111   so this is a useful optimization, especially for humungous headers
8112   ($message_headers). */
8113                                                 /*{*/
8114   if (*s++ == '}')
8115     {
8116     int len;
8117     int newsize = 0;
8118     gstring * g = NULL;
8119
8120     if (!yield)
8121       g = store_get(sizeof(gstring), FALSE);
8122     else if (yield->ptr == 0)
8123       {
8124       if (resetok) reset_point = store_reset(reset_point);
8125       yield = NULL;
8126       reset_point = store_mark();
8127       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
8128       }
8129     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
8130       {
8131       expand_string_message =
8132         string_sprintf("unknown variable in \"${%s}\"", name);
8133       check_variable_error_message(name);
8134       goto EXPAND_FAILED;
8135       }
8136     len = Ustrlen(value);
8137     if (!yield && newsize)
8138       {
8139       yield = g;
8140       yield->size = newsize;
8141       yield->ptr = len;
8142       yield->s = value;
8143       }
8144     else
8145       yield = string_catn(yield, value, len);
8146     continue;
8147     }
8148
8149   /* Else there's something wrong */
8150
8151   expand_string_message =
8152     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
8153     "in a variable reference)", name);
8154   goto EXPAND_FAILED;
8155   }
8156
8157 /* If we hit the end of the string when ket_ends is set, there is a missing
8158 terminating brace. */
8159
8160 if (ket_ends && *s == 0)
8161   {
8162   expand_string_message = malformed_header
8163     ? US"missing } at end of string - could be header name not terminated by colon"
8164     : US"missing } at end of string";
8165   goto EXPAND_FAILED;
8166   }
8167
8168 /* Expansion succeeded; yield may still be NULL here if nothing was actually
8169 added to the string. If so, set up an empty string. Add a terminating zero. If
8170 left != NULL, return a pointer to the terminator. */
8171
8172 if (!yield)
8173   yield = string_get(1);
8174 (void) string_from_gstring(yield);
8175 if (left) *left = s;
8176
8177 /* Any stacking store that was used above the final string is no longer needed.
8178 In many cases the final string will be the first one that was got and so there
8179 will be optimal store usage. */
8180
8181 if (resetok) gstring_release_unused(yield);
8182 else if (resetok_p) *resetok_p = FALSE;
8183
8184 DEBUG(D_expand)
8185   {
8186   BOOL tainted = is_tainted(yield->s);
8187   DEBUG(D_noutf8)
8188     {
8189     debug_printf_indent("|--expanding: %.*s\n", (int)(s - string), string);
8190     debug_printf_indent("%sresult: %s\n",
8191       skipping ? "|-----" : "\\_____", yield->s);
8192     if (tainted)
8193       debug_printf_indent("%s     \\__(tainted)\n",
8194         skipping ? "|     " : "      ");
8195     if (skipping)
8196       debug_printf_indent("\\___skipping: result is not used\n");
8197     }
8198   else
8199     {
8200     debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
8201       "expanding: %.*s\n",
8202       (int)(s - string), string);
8203     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8204       "result: %s\n",
8205       skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8206       yield->s);
8207     if (tainted)
8208       debug_printf_indent("%s(tainted)\n",
8209         skipping
8210         ? UTF8_VERT "             " : "           " UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ);
8211     if (skipping)
8212       debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8213         "skipping: result is not used\n");
8214     }
8215   }
8216 expand_level--;
8217 return yield->s;
8218
8219 /* This is the failure exit: easiest to program with a goto. We still need
8220 to update the pointer to the terminator, for cases of nested calls with "fail".
8221 */
8222
8223 EXPAND_FAILED_CURLY:
8224 if (malformed_header)
8225   expand_string_message =
8226     US"missing or misplaced { or } - could be header name not terminated by colon";
8227
8228 else if (!expand_string_message || !*expand_string_message)
8229   expand_string_message = US"missing or misplaced { or }";
8230
8231 /* At one point, Exim reset the store to yield (if yield was not NULL), but
8232 that is a bad idea, because expand_string_message is in dynamic store. */
8233
8234 EXPAND_FAILED:
8235 if (left) *left = s;
8236 DEBUG(D_expand)
8237   DEBUG(D_noutf8)
8238     {
8239     debug_printf_indent("|failed to expand: %s\n", string);
8240     debug_printf_indent("%serror message: %s\n",
8241       f.expand_string_forcedfail ? "|---" : "\\___", expand_string_message);
8242     if (f.expand_string_forcedfail)
8243       debug_printf_indent("\\failure was forced\n");
8244     }
8245   else
8246     {
8247     debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
8248       string);
8249     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8250       "error message: %s\n",
8251       f.expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8252       expand_string_message);
8253     if (f.expand_string_forcedfail)
8254       debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
8255     }
8256 if (resetok_p && !resetok) *resetok_p = FALSE;
8257 expand_level--;
8258 return NULL;
8259 }
8260
8261
8262 /* This is the external function call. Do a quick check for any expansion
8263 metacharacters, and if there are none, just return the input string.
8264
8265 Argument: the string to be expanded
8266 Returns:  the expanded string, or NULL if expansion failed; if failure was
8267           due to a lookup deferring, search_find_defer will be TRUE
8268 */
8269
8270 const uschar *
8271 expand_cstring(const uschar * string)
8272 {
8273 if (Ustrpbrk(string, "$\\") != NULL)
8274   {
8275   int old_pool = store_pool;
8276   uschar * s;
8277
8278   f.search_find_defer = FALSE;
8279   malformed_header = FALSE;
8280   store_pool = POOL_MAIN;
8281     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
8282   store_pool = old_pool;
8283   return s;
8284   }
8285 return string;
8286 }
8287
8288
8289 uschar *
8290 expand_string(uschar * string)
8291 {
8292 return US expand_cstring(CUS string);
8293 }
8294
8295
8296
8297
8298
8299 /*************************************************
8300 *              Expand and copy                   *
8301 *************************************************/
8302
8303 /* Now and again we want to expand a string and be sure that the result is in a
8304 new bit of store. This function does that.
8305 Since we know it has been copied, the de-const cast is safe.
8306
8307 Argument: the string to be expanded
8308 Returns:  the expanded string, always in a new bit of store, or NULL
8309 */
8310
8311 uschar *
8312 expand_string_copy(const uschar *string)
8313 {
8314 const uschar *yield = expand_cstring(string);
8315 if (yield == string) yield = string_copy(string);
8316 return US yield;
8317 }
8318
8319
8320
8321 /*************************************************
8322 *        Expand and interpret as an integer      *
8323 *************************************************/
8324
8325 /* Expand a string, and convert the result into an integer.
8326
8327 Arguments:
8328   string  the string to be expanded
8329   isplus  TRUE if a non-negative number is expected
8330
8331 Returns:  the integer value, or
8332           -1 for an expansion error               ) in both cases, message in
8333           -2 for an integer interpretation error  ) expand_string_message
8334           expand_string_message is set NULL for an OK integer
8335 */
8336
8337 int_eximarith_t
8338 expand_string_integer(uschar *string, BOOL isplus)
8339 {
8340 return expanded_string_integer(expand_string(string), isplus);
8341 }
8342
8343
8344 /*************************************************
8345  *         Interpret string as an integer        *
8346  *************************************************/
8347
8348 /* Convert a string (that has already been expanded) into an integer.
8349
8350 This function is used inside the expansion code.
8351
8352 Arguments:
8353   s       the string to be expanded
8354   isplus  TRUE if a non-negative number is expected
8355
8356 Returns:  the integer value, or
8357           -1 if string is NULL (which implies an expansion error)
8358           -2 for an integer interpretation error
8359           expand_string_message is set NULL for an OK integer
8360 */
8361
8362 static int_eximarith_t
8363 expanded_string_integer(const uschar *s, BOOL isplus)
8364 {
8365 int_eximarith_t value;
8366 uschar *msg = US"invalid integer \"%s\"";
8367 uschar *endptr;
8368
8369 /* If expansion failed, expand_string_message will be set. */
8370
8371 if (!s) return -1;
8372
8373 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8374 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8375 systems, so we set it zero ourselves. */
8376
8377 errno = 0;
8378 expand_string_message = NULL;               /* Indicates no error */
8379
8380 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8381 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8382 the behaviour explicitly.  Stripping leading whitespace is a harmless
8383 noop change since strtol skips it anyway (provided that there is a number
8384 to find at all). */
8385 if (isspace(*s))
8386   {
8387   while (isspace(*s)) ++s;
8388   if (*s == '\0')
8389     {
8390       DEBUG(D_expand)
8391        debug_printf_indent("treating blank string as number 0\n");
8392       return 0;
8393     }
8394   }
8395
8396 value = strtoll(CS s, CSS &endptr, 10);
8397
8398 if (endptr == s)
8399   {
8400   msg = US"integer expected but \"%s\" found";
8401   }
8402 else if (value < 0 && isplus)
8403   {
8404   msg = US"non-negative integer expected but \"%s\" found";
8405   }
8406 else
8407   {
8408   switch (tolower(*endptr))
8409     {
8410     default:
8411       break;
8412     case 'k':
8413       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8414       else value *= 1024;
8415       endptr++;
8416       break;
8417     case 'm':
8418       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8419       else value *= 1024*1024;
8420       endptr++;
8421       break;
8422     case 'g':
8423       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8424       else value *= 1024*1024*1024;
8425       endptr++;
8426       break;
8427     }
8428   if (errno == ERANGE)
8429     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8430   else
8431     {
8432     while (isspace(*endptr)) endptr++;
8433     if (*endptr == 0) return value;
8434     }
8435   }
8436
8437 expand_string_message = string_sprintf(CS msg, s);
8438 return -2;
8439 }
8440
8441
8442 /* These values are usually fixed boolean values, but they are permitted to be
8443 expanded strings.
8444
8445 Arguments:
8446   addr       address being routed
8447   mtype      the module type
8448   mname      the module name
8449   dbg_opt    debug selectors
8450   oname      the option name
8451   bvalue     the router's boolean value
8452   svalue     the router's string value
8453   rvalue     where to put the returned value
8454
8455 Returns:     OK     value placed in rvalue
8456              DEFER  expansion failed
8457 */
8458
8459 int
8460 exp_bool(address_item *addr,
8461   uschar *mtype, uschar *mname, unsigned dbg_opt,
8462   uschar *oname, BOOL bvalue,
8463   uschar *svalue, BOOL *rvalue)
8464 {
8465 uschar *expanded;
8466 if (!svalue) { *rvalue = bvalue; return OK; }
8467
8468 if (!(expanded = expand_string(svalue)))
8469   {
8470   if (f.expand_string_forcedfail)
8471     {
8472     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8473     *rvalue = bvalue;
8474     return OK;
8475     }
8476   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8477       oname, mname, mtype, expand_string_message);
8478   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8479   return DEFER;
8480   }
8481
8482 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8483   expanded);
8484
8485 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8486   *rvalue = TRUE;
8487 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8488   *rvalue = FALSE;
8489 else
8490   {
8491   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8492     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8493   return DEFER;
8494   }
8495
8496 return OK;
8497 }
8498
8499
8500
8501 /* Avoid potentially exposing a password in a string about to be logged */
8502
8503 uschar *
8504 expand_hide_passwords(uschar * s)
8505 {
8506 return (  (  Ustrstr(s, "failed to expand") != NULL
8507           || Ustrstr(s, "expansion of ")    != NULL
8508           )
8509        && (  Ustrstr(s, "mysql")   != NULL
8510           || Ustrstr(s, "pgsql")   != NULL
8511           || Ustrstr(s, "redis")   != NULL
8512           || Ustrstr(s, "sqlite")  != NULL
8513           || Ustrstr(s, "ldap:")   != NULL
8514           || Ustrstr(s, "ldaps:")  != NULL
8515           || Ustrstr(s, "ldapi:")  != NULL
8516           || Ustrstr(s, "ldapdn:") != NULL
8517           || Ustrstr(s, "ldapm:")  != NULL
8518        )  )
8519   ? US"Temporary internal error" : s;
8520 }
8521
8522
8523 /* Read given named file into big_buffer.  Use for keying material etc.
8524 The content will have an ascii NUL appended.
8525
8526 Arguments:
8527  filename       as it says
8528
8529 Return:  pointer to buffer, or NULL on error.
8530 */
8531
8532 uschar *
8533 expand_file_big_buffer(const uschar * filename)
8534 {
8535 int fd, off = 0, len;
8536
8537 if ((fd = open(CS filename, O_RDONLY)) < 0)
8538   {
8539   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8540              filename);
8541   return NULL;
8542   }
8543
8544 do
8545   {
8546   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8547     {
8548     (void) close(fd);
8549     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8550     return NULL;
8551     }
8552   off += len;
8553   }
8554 while (len > 0);
8555
8556 (void) close(fd);
8557 big_buffer[off] = '\0';
8558 return big_buffer;
8559 }
8560
8561
8562
8563 /*************************************************
8564 * Error-checking for testsuite                   *
8565 *************************************************/
8566 typedef struct {
8567   uschar *      region_start;
8568   uschar *      region_end;
8569   const uschar *var_name;
8570   const uschar *var_data;
8571 } err_ctx;
8572
8573 static void
8574 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8575 {
8576 err_ctx * e = ctx;
8577 if (var_data >= e->region_start  &&  var_data < e->region_end)
8578   {
8579   e->var_name = CUS var_name;
8580   e->var_data = CUS var_data;
8581   }
8582 }
8583
8584 void
8585 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8586 {
8587 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8588               .var_name = NULL, .var_data = NULL };
8589
8590 /* check acl_ variables */
8591 tree_walk(acl_var_c, assert_variable_notin, &e);
8592 tree_walk(acl_var_m, assert_variable_notin, &e);
8593
8594 /* check auth<n> variables */
8595 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8596   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
8597
8598 /* check regex<n> variables */
8599 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8600   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
8601
8602 /* check known-name variables */
8603 for (var_entry * v = var_table; v < var_table + var_table_size; v++)
8604   if (v->type == vtype_stringptr)
8605     assert_variable_notin(US v->name, *(USS v->value), &e);
8606
8607 /* check dns and address trees */
8608 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8609 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8610 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8611 tree_walk(tree_unusable,      assert_variable_notin, &e);
8612
8613 if (e.var_name)
8614   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8615     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8616     e.var_name, filename, linenumber, e.var_data);
8617 }
8618
8619
8620
8621 /*************************************************
8622 **************************************************
8623 *             Stand-alone test program           *
8624 **************************************************
8625 *************************************************/
8626
8627 #ifdef STAND_ALONE
8628
8629
8630 BOOL
8631 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
8632 {
8633 int ovector[3*(EXPAND_MAXN+1)];
8634 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8635   ovector, nelem(ovector));
8636 BOOL yield = n >= 0;
8637 if (n == 0) n = EXPAND_MAXN + 1;
8638 if (yield)
8639   {
8640   expand_nmax = setup < 0 ? 0 : setup + 1;
8641   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8642     {
8643     expand_nstring[expand_nmax] = subject + ovector[nn];
8644     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
8645     }
8646   expand_nmax--;
8647   }
8648 return yield;
8649 }
8650
8651
8652 int main(int argc, uschar **argv)
8653 {
8654 uschar buffer[1024];
8655
8656 debug_selector = D_v;
8657 debug_file = stderr;
8658 debug_fd = fileno(debug_file);
8659 big_buffer = malloc(big_buffer_size);
8660
8661 for (int i = 1; i < argc; i++)
8662   {
8663   if (argv[i][0] == '+')
8664     {
8665     debug_trace_memory = 2;
8666     argv[i]++;
8667     }
8668   if (isdigit(argv[i][0]))
8669     debug_selector = Ustrtol(argv[i], NULL, 0);
8670   else
8671     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8672         Ustrlen(argv[i]))
8673       {
8674 #ifdef LOOKUP_LDAP
8675       eldap_default_servers = argv[i];
8676 #endif
8677 #ifdef LOOKUP_MYSQL
8678       mysql_servers = argv[i];
8679 #endif
8680 #ifdef LOOKUP_PGSQL
8681       pgsql_servers = argv[i];
8682 #endif
8683 #ifdef LOOKUP_REDIS
8684       redis_servers = argv[i];
8685 #endif
8686       }
8687 #ifdef EXIM_PERL
8688   else opt_perl_startup = argv[i];
8689 #endif
8690   }
8691
8692 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8693
8694 expand_nstring[1] = US"string 1....";
8695 expand_nlength[1] = 8;
8696 expand_nmax = 1;
8697
8698 #ifdef EXIM_PERL
8699 if (opt_perl_startup != NULL)
8700   {
8701   uschar *errstr;
8702   printf("Starting Perl interpreter\n");
8703   errstr = init_perl(opt_perl_startup);
8704   if (errstr != NULL)
8705     {
8706     printf("** error in perl_startup code: %s\n", errstr);
8707     return EXIT_FAILURE;
8708     }
8709   }
8710 #endif /* EXIM_PERL */
8711
8712 /* Thie deliberately regards the input as untainted, so that it can be
8713 expanded; only reasonable since this is a test for string-expansions. */
8714
8715 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8716   {
8717   rmark reset_point = store_mark();
8718   uschar *yield = expand_string(buffer);
8719   if (yield)
8720     printf("%s\n", yield);
8721   else
8722     {
8723     if (f.search_find_defer) printf("search_find deferred\n");
8724     printf("Failed: %s\n", expand_string_message);
8725     if (f.expand_string_forcedfail) printf("Forced failure\n");
8726     printf("\n");
8727     }
8728   store_reset(reset_point);
8729   }
8730
8731 search_tidyup();
8732
8733 return 0;
8734 }
8735
8736 #endif
8737
8738 /* vi: aw ai sw=2
8739 */
8740 /* End of expand.c */