cfde23610acafb6d200cfd3934179e802f45ac67
[users/jgh/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2016 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 #ifndef SUPPORT_CRYPTEQ
21 #define SUPPORT_CRYPTEQ
22 #endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 #include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 #ifdef CRYPT_H
31 #include <crypt.h>
32 #endif
33 #ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 #endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Charaters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"certextract",
107   US"dlfunc",
108   US"env",
109   US"extract",
110   US"filter",
111   US"hash",
112   US"hmac",
113   US"if",
114 #ifdef SUPPORT_I18N
115   US"imapfolder",
116 #endif
117   US"length",
118   US"listextract",
119   US"lookup",
120   US"map",
121   US"nhash",
122   US"perl",
123   US"prvs",
124   US"prvscheck",
125   US"readfile",
126   US"readsocket",
127   US"reduce",
128   US"run",
129   US"sg",
130   US"sort",
131   US"substr",
132   US"tr" };
133
134 enum {
135   EITEM_ACL,
136   EITEM_CERTEXTRACT,
137   EITEM_DLFUNC,
138   EITEM_ENV,
139   EITEM_EXTRACT,
140   EITEM_FILTER,
141   EITEM_HASH,
142   EITEM_HMAC,
143   EITEM_IF,
144 #ifdef SUPPORT_I18N
145   EITEM_IMAPFOLDER,
146 #endif
147   EITEM_LENGTH,
148   EITEM_LISTEXTRACT,
149   EITEM_LOOKUP,
150   EITEM_MAP,
151   EITEM_NHASH,
152   EITEM_PERL,
153   EITEM_PRVS,
154   EITEM_PRVSCHECK,
155   EITEM_READFILE,
156   EITEM_READSOCK,
157   EITEM_REDUCE,
158   EITEM_RUN,
159   EITEM_SG,
160   EITEM_SORT,
161   EITEM_SUBSTR,
162   EITEM_TR };
163
164 /* Tables of operator names, and corresponding switch numbers. The names must be
165 in alphabetical order. There are two tables, because underscore is used in some
166 cases to introduce arguments, whereas for other it is part of the name. This is
167 an historical mis-design. */
168
169 static uschar *op_table_underscore[] = {
170   US"from_utf8",
171   US"local_part",
172   US"quote_local_part",
173   US"reverse_ip",
174   US"time_eval",
175   US"time_interval"
176 #ifdef SUPPORT_I18N
177  ,US"utf8_domain_from_alabel",
178   US"utf8_domain_to_alabel",
179   US"utf8_localpart_from_alabel",
180   US"utf8_localpart_to_alabel"
181 #endif
182   };
183
184 enum {
185   EOP_FROM_UTF8,
186   EOP_LOCAL_PART,
187   EOP_QUOTE_LOCAL_PART,
188   EOP_REVERSE_IP,
189   EOP_TIME_EVAL,
190   EOP_TIME_INTERVAL
191 #ifdef SUPPORT_I18N
192  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
193   EOP_UTF8_DOMAIN_TO_ALABEL,
194   EOP_UTF8_LOCALPART_FROM_ALABEL,
195   EOP_UTF8_LOCALPART_TO_ALABEL
196 #endif
197   };
198
199 static uschar *op_table_main[] = {
200   US"address",
201   US"addresses",
202   US"base32",
203   US"base32d",
204   US"base62",
205   US"base62d",
206   US"base64",
207   US"base64d",
208   US"domain",
209   US"escape",
210   US"escape8bit",
211   US"eval",
212   US"eval10",
213   US"expand",
214   US"h",
215   US"hash",
216   US"hex2b64",
217   US"hexquote",
218   US"ipv6denorm",
219   US"ipv6norm",
220   US"l",
221   US"lc",
222   US"length",
223   US"listcount",
224   US"listnamed",
225   US"mask",
226   US"md5",
227   US"nh",
228   US"nhash",
229   US"quote",
230   US"randint",
231   US"rfc2047",
232   US"rfc2047d",
233   US"rxquote",
234   US"s",
235   US"sha1",
236   US"sha256",
237   US"sha3",
238   US"stat",
239   US"str2b64",
240   US"strlen",
241   US"substr",
242   US"uc",
243   US"utf8clean" };
244
245 enum {
246   EOP_ADDRESS =  nelem(op_table_underscore),
247   EOP_ADDRESSES,
248   EOP_BASE32,
249   EOP_BASE32D,
250   EOP_BASE62,
251   EOP_BASE62D,
252   EOP_BASE64,
253   EOP_BASE64D,
254   EOP_DOMAIN,
255   EOP_ESCAPE,
256   EOP_ESCAPE8BIT,
257   EOP_EVAL,
258   EOP_EVAL10,
259   EOP_EXPAND,
260   EOP_H,
261   EOP_HASH,
262   EOP_HEX2B64,
263   EOP_HEXQUOTE,
264   EOP_IPV6DENORM,
265   EOP_IPV6NORM,
266   EOP_L,
267   EOP_LC,
268   EOP_LENGTH,
269   EOP_LISTCOUNT,
270   EOP_LISTNAMED,
271   EOP_MASK,
272   EOP_MD5,
273   EOP_NH,
274   EOP_NHASH,
275   EOP_QUOTE,
276   EOP_RANDINT,
277   EOP_RFC2047,
278   EOP_RFC2047D,
279   EOP_RXQUOTE,
280   EOP_S,
281   EOP_SHA1,
282   EOP_SHA256,
283   EOP_SHA3,
284   EOP_STAT,
285   EOP_STR2B64,
286   EOP_STRLEN,
287   EOP_SUBSTR,
288   EOP_UC,
289   EOP_UTF8CLEAN };
290
291
292 /* Table of condition names, and corresponding switch numbers. The names must
293 be in alphabetical order. */
294
295 static uschar *cond_table[] = {
296   US"<",
297   US"<=",
298   US"=",
299   US"==",     /* Backward compatibility */
300   US">",
301   US">=",
302   US"acl",
303   US"and",
304   US"bool",
305   US"bool_lax",
306   US"crypteq",
307   US"def",
308   US"eq",
309   US"eqi",
310   US"exists",
311   US"first_delivery",
312   US"forall",
313   US"forany",
314   US"ge",
315   US"gei",
316   US"gt",
317   US"gti",
318   US"inlist",
319   US"inlisti",
320   US"isip",
321   US"isip4",
322   US"isip6",
323   US"ldapauth",
324   US"le",
325   US"lei",
326   US"lt",
327   US"lti",
328   US"match",
329   US"match_address",
330   US"match_domain",
331   US"match_ip",
332   US"match_local_part",
333   US"or",
334   US"pam",
335   US"pwcheck",
336   US"queue_running",
337   US"radius",
338   US"saslauthd"
339 };
340
341 enum {
342   ECOND_NUM_L,
343   ECOND_NUM_LE,
344   ECOND_NUM_E,
345   ECOND_NUM_EE,
346   ECOND_NUM_G,
347   ECOND_NUM_GE,
348   ECOND_ACL,
349   ECOND_AND,
350   ECOND_BOOL,
351   ECOND_BOOL_LAX,
352   ECOND_CRYPTEQ,
353   ECOND_DEF,
354   ECOND_STR_EQ,
355   ECOND_STR_EQI,
356   ECOND_EXISTS,
357   ECOND_FIRST_DELIVERY,
358   ECOND_FORALL,
359   ECOND_FORANY,
360   ECOND_STR_GE,
361   ECOND_STR_GEI,
362   ECOND_STR_GT,
363   ECOND_STR_GTI,
364   ECOND_INLIST,
365   ECOND_INLISTI,
366   ECOND_ISIP,
367   ECOND_ISIP4,
368   ECOND_ISIP6,
369   ECOND_LDAPAUTH,
370   ECOND_STR_LE,
371   ECOND_STR_LEI,
372   ECOND_STR_LT,
373   ECOND_STR_LTI,
374   ECOND_MATCH,
375   ECOND_MATCH_ADDRESS,
376   ECOND_MATCH_DOMAIN,
377   ECOND_MATCH_IP,
378   ECOND_MATCH_LOCAL_PART,
379   ECOND_OR,
380   ECOND_PAM,
381   ECOND_PWCHECK,
382   ECOND_QUEUE_RUNNING,
383   ECOND_RADIUS,
384   ECOND_SASLAUTHD
385 };
386
387
388 /* Types of table entry */
389
390 enum vtypes {
391   vtype_int,            /* value is address of int */
392   vtype_filter_int,     /* ditto, but recognized only when filtering */
393   vtype_ino,            /* value is address of ino_t (not always an int) */
394   vtype_uid,            /* value is address of uid_t (not always an int) */
395   vtype_gid,            /* value is address of gid_t (not always an int) */
396   vtype_bool,           /* value is address of bool */
397   vtype_stringptr,      /* value is address of pointer to string */
398   vtype_msgbody,        /* as stringptr, but read when first required */
399   vtype_msgbody_end,    /* ditto, the end of the message */
400   vtype_msgheaders,     /* the message's headers, processed */
401   vtype_msgheaders_raw, /* the message's headers, unprocessed */
402   vtype_localpart,      /* extract local part from string */
403   vtype_domain,         /* extract domain from string */
404   vtype_string_func,    /* value is string returned by given function */
405   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
406   vtype_tode,           /* value not used; generate tod in epoch format */
407   vtype_todel,          /* value not used; generate tod in epoch/usec format */
408   vtype_todf,           /* value not used; generate full tod */
409   vtype_todl,           /* value not used; generate log tod */
410   vtype_todlf,          /* value not used; generate log file datestamp tod */
411   vtype_todzone,        /* value not used; generate time zone only */
412   vtype_todzulu,        /* value not used; generate zulu tod */
413   vtype_reply,          /* value not used; get reply from headers */
414   vtype_pid,            /* value not used; result is pid */
415   vtype_host_lookup,    /* value not used; get host name */
416   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
417   vtype_pspace,         /* partition space; value is T/F for spool/log */
418   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
419   vtype_cert            /* SSL certificate */
420   #ifndef DISABLE_DKIM
421   ,vtype_dkim           /* Lookup of value in DKIM signature */
422   #endif
423 };
424
425 /* Type for main variable table */
426
427 typedef struct {
428   const char *name;
429   enum vtypes type;
430   void       *value;
431 } var_entry;
432
433 /* Type for entries pointing to address/length pairs. Not currently
434 in use. */
435
436 typedef struct {
437   uschar **address;
438   int  *length;
439 } alblock;
440
441 static uschar * fn_recipients(void);
442
443 /* This table must be kept in alphabetical order. */
444
445 static var_entry var_table[] = {
446   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
447      they will be confused with user-creatable ACL variables. */
448   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
449   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
450   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
451   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
452   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
453   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
454   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
455   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
456   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
457   { "acl_narg",            vtype_int,         &acl_narg },
458   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
459   { "address_data",        vtype_stringptr,   &deliver_address_data },
460   { "address_file",        vtype_stringptr,   &address_file },
461   { "address_pipe",        vtype_stringptr,   &address_pipe },
462   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
463   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
464   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
465   { "authentication_failed",vtype_int,        &authentication_failed },
466 #ifdef WITH_CONTENT_SCAN
467   { "av_failed",           vtype_int,         &av_failed },
468 #endif
469 #ifdef EXPERIMENTAL_BRIGHTMAIL
470   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
471   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
472   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
473   { "bmi_deliver",         vtype_int,         &bmi_deliver },
474 #endif
475   { "body_linecount",      vtype_int,         &body_linecount },
476   { "body_zerocount",      vtype_int,         &body_zerocount },
477   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
478   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
479   { "caller_gid",          vtype_gid,         &real_gid },
480   { "caller_uid",          vtype_uid,         &real_uid },
481   { "callout_address",     vtype_stringptr,   &callout_address },
482   { "compile_date",        vtype_stringptr,   &version_date },
483   { "compile_number",      vtype_stringptr,   &version_cnumber },
484   { "config_dir",          vtype_stringptr,   &config_main_directory },
485   { "config_file",         vtype_stringptr,   &config_main_filename },
486   { "csa_status",          vtype_stringptr,   &csa_status },
487 #ifdef EXPERIMENTAL_DCC
488   { "dcc_header",          vtype_stringptr,   &dcc_header },
489   { "dcc_result",          vtype_stringptr,   &dcc_result },
490 #endif
491 #ifndef DISABLE_DKIM
492   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
493   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
494   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
495   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
496   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
497   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
498   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
499   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
500   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
501   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
502   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
503   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
504   { "dkim_key_length",     vtype_int,         &dkim_key_length },
505   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
506   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
507   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
508   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
509   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
510   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
511   { "dkim_verify_reason",  vtype_dkim,        (void *)DKIM_VERIFY_REASON },
512   { "dkim_verify_status",  vtype_dkim,        (void *)DKIM_VERIFY_STATUS},
513 #endif
514 #ifdef EXPERIMENTAL_DMARC
515   { "dmarc_ar_header",     vtype_stringptr,   &dmarc_ar_header },
516   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
517   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
518   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
519   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
520 #endif
521   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
522   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
523   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
524   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
525   { "domain",              vtype_stringptr,   &deliver_domain },
526   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
527 #ifndef DISABLE_EVENT
528   { "event_data",          vtype_stringptr,   &event_data },
529
530   /*XXX want to use generic vars for as many of these as possible*/
531   { "event_defer_errno",   vtype_int,         &event_defer_errno },
532
533   { "event_name",          vtype_stringptr,   &event_name },
534 #endif
535   { "exim_gid",            vtype_gid,         &exim_gid },
536   { "exim_path",           vtype_stringptr,   &exim_path },
537   { "exim_uid",            vtype_uid,         &exim_uid },
538   { "exim_version",        vtype_stringptr,   &version_string },
539   { "headers_added",       vtype_string_func, &fn_hdrs_added },
540   { "home",                vtype_stringptr,   &deliver_home },
541   { "host",                vtype_stringptr,   &deliver_host },
542   { "host_address",        vtype_stringptr,   &deliver_host_address },
543   { "host_data",           vtype_stringptr,   &host_data },
544   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
545   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
546   { "host_port",           vtype_int,         &deliver_host_port },
547   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
548   { "inode",               vtype_ino,         &deliver_inode },
549   { "interface_address",   vtype_stringptr,   &interface_address },
550   { "interface_port",      vtype_int,         &interface_port },
551   { "item",                vtype_stringptr,   &iterate_item },
552   #ifdef LOOKUP_LDAP
553   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
554   #endif
555   { "load_average",        vtype_load_avg,    NULL },
556   { "local_part",          vtype_stringptr,   &deliver_localpart },
557   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
558   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
559   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
560   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
561   { "local_user_gid",      vtype_gid,         &local_user_gid },
562   { "local_user_uid",      vtype_uid,         &local_user_uid },
563   { "localhost_number",    vtype_int,         &host_number },
564   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
565   { "log_space",           vtype_pspace,      (void *)FALSE },
566   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
567   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
568 #ifdef WITH_CONTENT_SCAN
569   { "malware_name",        vtype_stringptr,   &malware_name },
570 #endif
571   { "max_received_linelength", vtype_int,     &max_received_linelength },
572   { "message_age",         vtype_int,         &message_age },
573   { "message_body",        vtype_msgbody,     &message_body },
574   { "message_body_end",    vtype_msgbody_end, &message_body_end },
575   { "message_body_size",   vtype_int,         &message_body_size },
576   { "message_exim_id",     vtype_stringptr,   &message_id },
577   { "message_headers",     vtype_msgheaders,  NULL },
578   { "message_headers_raw", vtype_msgheaders_raw, NULL },
579   { "message_id",          vtype_stringptr,   &message_id },
580   { "message_linecount",   vtype_int,         &message_linecount },
581   { "message_size",        vtype_int,         &message_size },
582 #ifdef SUPPORT_I18N
583   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
584 #endif
585 #ifdef WITH_CONTENT_SCAN
586   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
587   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
588   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
589   { "mime_charset",        vtype_stringptr,   &mime_charset },
590   { "mime_content_description", vtype_stringptr, &mime_content_description },
591   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
592   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
593   { "mime_content_size",   vtype_int,         &mime_content_size },
594   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
595   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
596   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
597   { "mime_filename",       vtype_stringptr,   &mime_filename },
598   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
599   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
600   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
601   { "mime_part_count",     vtype_int,         &mime_part_count },
602 #endif
603   { "n0",                  vtype_filter_int,  &filter_n[0] },
604   { "n1",                  vtype_filter_int,  &filter_n[1] },
605   { "n2",                  vtype_filter_int,  &filter_n[2] },
606   { "n3",                  vtype_filter_int,  &filter_n[3] },
607   { "n4",                  vtype_filter_int,  &filter_n[4] },
608   { "n5",                  vtype_filter_int,  &filter_n[5] },
609   { "n6",                  vtype_filter_int,  &filter_n[6] },
610   { "n7",                  vtype_filter_int,  &filter_n[7] },
611   { "n8",                  vtype_filter_int,  &filter_n[8] },
612   { "n9",                  vtype_filter_int,  &filter_n[9] },
613   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
614   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
615   { "originator_gid",      vtype_gid,         &originator_gid },
616   { "originator_uid",      vtype_uid,         &originator_uid },
617   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
618   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
619   { "pid",                 vtype_pid,         NULL },
620 #ifndef DISABLE_PRDR
621   { "prdr_requested",      vtype_bool,        &prdr_requested },
622 #endif
623   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
624 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
625   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
626   { "proxy_external_port", vtype_int,         &proxy_external_port },
627   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
628   { "proxy_local_port",    vtype_int,         &proxy_local_port },
629   { "proxy_session",       vtype_bool,        &proxy_session },
630 #endif
631   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
632   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
633   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
634   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
635   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
636   { "queue_name",          vtype_stringptr,   &queue_name },
637   { "rcpt_count",          vtype_int,         &rcpt_count },
638   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
639   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
640   { "received_count",      vtype_int,         &received_count },
641   { "received_for",        vtype_stringptr,   &received_for },
642   { "received_ip_address", vtype_stringptr,   &interface_address },
643   { "received_port",       vtype_int,         &interface_port },
644   { "received_protocol",   vtype_stringptr,   &received_protocol },
645   { "received_time",       vtype_int,         &received_time },
646   { "recipient_data",      vtype_stringptr,   &recipient_data },
647   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
648   { "recipients",          vtype_string_func, &fn_recipients },
649   { "recipients_count",    vtype_int,         &recipients_count },
650 #ifdef WITH_CONTENT_SCAN
651   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
652 #endif
653   { "reply_address",       vtype_reply,       NULL },
654   { "return_path",         vtype_stringptr,   &return_path },
655   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
656   { "router_name",         vtype_stringptr,   &router_name },
657   { "runrc",               vtype_int,         &runrc },
658   { "self_hostname",       vtype_stringptr,   &self_hostname },
659   { "sender_address",      vtype_stringptr,   &sender_address },
660   { "sender_address_data", vtype_stringptr,   &sender_address_data },
661   { "sender_address_domain", vtype_domain,    &sender_address },
662   { "sender_address_local_part", vtype_localpart, &sender_address },
663   { "sender_data",         vtype_stringptr,   &sender_data },
664   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
665   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
666   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
667   { "sender_host_address", vtype_stringptr,   &sender_host_address },
668   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
669   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
670   { "sender_host_name",    vtype_host_lookup, NULL },
671   { "sender_host_port",    vtype_int,         &sender_host_port },
672   { "sender_ident",        vtype_stringptr,   &sender_ident },
673   { "sender_rate",         vtype_stringptr,   &sender_rate },
674   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
675   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
676   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
677   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
678   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
679   { "sending_port",        vtype_int,         &sending_port },
680   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
681   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
682   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
683   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
684   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
685   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
686   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
687   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
688   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
689   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
690   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
691   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
692   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
693   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
694   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
695 #ifdef WITH_CONTENT_SCAN
696   { "spam_action",         vtype_stringptr,   &spam_action },
697   { "spam_bar",            vtype_stringptr,   &spam_bar },
698   { "spam_report",         vtype_stringptr,   &spam_report },
699   { "spam_score",          vtype_stringptr,   &spam_score },
700   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
701 #endif
702 #ifdef EXPERIMENTAL_SPF
703   { "spf_guess",           vtype_stringptr,   &spf_guess },
704   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
705   { "spf_received",        vtype_stringptr,   &spf_received },
706   { "spf_result",          vtype_stringptr,   &spf_result },
707   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
708 #endif
709   { "spool_directory",     vtype_stringptr,   &spool_directory },
710   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
711   { "spool_space",         vtype_pspace,      (void *)TRUE },
712 #ifdef EXPERIMENTAL_SRS
713   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
714   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
715   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
716   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
717   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
718   { "srs_status",          vtype_stringptr,   &srs_status },
719 #endif
720   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
721
722   /* The non-(in,out) variables are now deprecated */
723   { "tls_bits",            vtype_int,         &tls_in.bits },
724   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
725   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
726
727   { "tls_in_bits",         vtype_int,         &tls_in.bits },
728   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
729   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
730   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
731   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
732   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
733   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
734 #if defined(SUPPORT_TLS)
735   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
736 #endif
737   { "tls_out_bits",        vtype_int,         &tls_out.bits },
738   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
739   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
740 #ifdef EXPERIMENTAL_DANE
741   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
742 #endif
743   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
744   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
745   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
746   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
747 #if defined(SUPPORT_TLS)
748   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
749 #endif
750 #ifdef EXPERIMENTAL_DANE
751   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
752 #endif
753
754   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
755 #if defined(SUPPORT_TLS)
756   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
757 #endif
758
759   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
760   { "tod_epoch",           vtype_tode,        NULL },
761   { "tod_epoch_l",         vtype_todel,       NULL },
762   { "tod_full",            vtype_todf,        NULL },
763   { "tod_log",             vtype_todl,        NULL },
764   { "tod_logfile",         vtype_todlf,       NULL },
765   { "tod_zone",            vtype_todzone,     NULL },
766   { "tod_zulu",            vtype_todzulu,     NULL },
767   { "transport_name",      vtype_stringptr,   &transport_name },
768   { "value",               vtype_stringptr,   &lookup_value },
769   { "verify_mode",         vtype_stringptr,   &verify_mode },
770   { "version_number",      vtype_stringptr,   &version_string },
771   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
772   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
773   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
774   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
775   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
776   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
777 };
778
779 static int var_table_size = nelem(var_table);
780 static uschar var_buffer[256];
781 static BOOL malformed_header;
782
783 /* For textual hashes */
784
785 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
786                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
787                                "0123456789";
788
789 enum { HMAC_MD5, HMAC_SHA1 };
790
791 /* For numeric hashes */
792
793 static unsigned int prime[] = {
794   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
795  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
796  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
797
798 /* For printing modes in symbolic form */
799
800 static uschar *mtable_normal[] =
801   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
802
803 static uschar *mtable_setid[] =
804   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
805
806 static uschar *mtable_sticky[] =
807   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
808
809
810
811 /*************************************************
812 *           Tables for UTF-8 support             *
813 *************************************************/
814
815 /* Table of the number of extra characters, indexed by the first character
816 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
817 0x3d. */
818
819 static uschar utf8_table1[] = {
820   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
821   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
822   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
823   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
824
825 /* These are the masks for the data bits in the first byte of a character,
826 indexed by the number of additional bytes. */
827
828 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
829
830 /* Get the next UTF-8 character, advancing the pointer. */
831
832 #define GETUTF8INC(c, ptr) \
833   c = *ptr++; \
834   if ((c & 0xc0) == 0xc0) \
835     { \
836     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
837     int s = 6*a; \
838     c = (c & utf8_table2[a]) << s; \
839     while (a-- > 0) \
840       { \
841       s -= 6; \
842       c |= (*ptr++ & 0x3f) << s; \
843       } \
844     }
845
846
847
848 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
849
850 /*************************************************
851 *           Binary chop search on a table        *
852 *************************************************/
853
854 /* This is used for matching expansion items and operators.
855
856 Arguments:
857   name        the name that is being sought
858   table       the table to search
859   table_size  the number of items in the table
860
861 Returns:      the offset in the table, or -1
862 */
863
864 static int
865 chop_match(uschar *name, uschar **table, int table_size)
866 {
867 uschar **bot = table;
868 uschar **top = table + table_size;
869
870 while (top > bot)
871   {
872   uschar **mid = bot + (top - bot)/2;
873   int c = Ustrcmp(name, *mid);
874   if (c == 0) return mid - table;
875   if (c > 0) bot = mid + 1; else top = mid;
876   }
877
878 return -1;
879 }
880
881
882
883 /*************************************************
884 *          Check a condition string              *
885 *************************************************/
886
887 /* This function is called to expand a string, and test the result for a "true"
888 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
889 forced fail or lookup defer.
890
891 We used to release all store used, but this is not not safe due
892 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
893 is reasonably careful to release what it can.
894
895 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
896
897 Arguments:
898   condition     the condition string
899   m1            text to be incorporated in panic error
900   m2            ditto
901
902 Returns:        TRUE if condition is met, FALSE if not
903 */
904
905 BOOL
906 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
907 {
908 int rc;
909 uschar *ss = expand_string(condition);
910 if (ss == NULL)
911   {
912   if (!expand_string_forcedfail && !search_find_defer)
913     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
914       "for %s %s: %s", condition, m1, m2, expand_string_message);
915   return FALSE;
916   }
917 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
918   strcmpic(ss, US"false") != 0;
919 return rc;
920 }
921
922
923
924
925 /*************************************************
926 *        Pseudo-random number generation         *
927 *************************************************/
928
929 /* Pseudo-random number generation.  The result is not "expected" to be
930 cryptographically strong but not so weak that someone will shoot themselves
931 in the foot using it as a nonce in some email header scheme or whatever
932 weirdness they'll twist this into.  The result should ideally handle fork().
933
934 However, if we're stuck unable to provide this, then we'll fall back to
935 appallingly bad randomness.
936
937 If SUPPORT_TLS is defined then this will not be used except as an emergency
938 fallback.
939
940 Arguments:
941   max       range maximum
942 Returns     a random number in range [0, max-1]
943 */
944
945 #ifdef SUPPORT_TLS
946 # define vaguely_random_number vaguely_random_number_fallback
947 #endif
948 int
949 vaguely_random_number(int max)
950 {
951 #ifdef SUPPORT_TLS
952 # undef vaguely_random_number
953 #endif
954   static pid_t pid = 0;
955   pid_t p2;
956 #if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
957   struct timeval tv;
958 #endif
959
960   p2 = getpid();
961   if (p2 != pid)
962     {
963     if (pid != 0)
964       {
965
966 #ifdef HAVE_ARC4RANDOM
967       /* cryptographically strong randomness, common on *BSD platforms, not
968       so much elsewhere.  Alas. */
969 #ifndef NOT_HAVE_ARC4RANDOM_STIR
970       arc4random_stir();
971 #endif
972 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
973 #ifdef HAVE_SRANDOMDEV
974       /* uses random(4) for seeding */
975       srandomdev();
976 #else
977       gettimeofday(&tv, NULL);
978       srandom(tv.tv_sec | tv.tv_usec | getpid());
979 #endif
980 #else
981       /* Poor randomness and no seeding here */
982 #endif
983
984       }
985     pid = p2;
986     }
987
988 #ifdef HAVE_ARC4RANDOM
989   return arc4random() % max;
990 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
991   return random() % max;
992 #else
993   /* This one returns a 16-bit number, definitely not crypto-strong */
994   return random_number(max);
995 #endif
996 }
997
998
999
1000
1001 /*************************************************
1002 *             Pick out a name from a string      *
1003 *************************************************/
1004
1005 /* If the name is too long, it is silently truncated.
1006
1007 Arguments:
1008   name      points to a buffer into which to put the name
1009   max       is the length of the buffer
1010   s         points to the first alphabetic character of the name
1011   extras    chars other than alphanumerics to permit
1012
1013 Returns:    pointer to the first character after the name
1014
1015 Note: The test for *s != 0 in the while loop is necessary because
1016 Ustrchr() yields non-NULL if the character is zero (which is not something
1017 I expected). */
1018
1019 static const uschar *
1020 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1021 {
1022 int ptr = 0;
1023 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1024   {
1025   if (ptr < max-1) name[ptr++] = *s;
1026   s++;
1027   }
1028 name[ptr] = 0;
1029 return s;
1030 }
1031
1032
1033
1034 /*************************************************
1035 *     Pick out the rest of a header name         *
1036 *************************************************/
1037
1038 /* A variable name starting $header_ (or just $h_ for those who like
1039 abbreviations) might not be the complete header name because headers can
1040 contain any printing characters in their names, except ':'. This function is
1041 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1042 on the end, if the name was terminated by white space.
1043
1044 Arguments:
1045   name      points to a buffer in which the name read so far exists
1046   max       is the length of the buffer
1047   s         points to the first character after the name so far, i.e. the
1048             first non-alphameric character after $header_xxxxx
1049
1050 Returns:    a pointer to the first character after the header name
1051 */
1052
1053 static const uschar *
1054 read_header_name(uschar *name, int max, const uschar *s)
1055 {
1056 int prelen = Ustrchr(name, '_') - name + 1;
1057 int ptr = Ustrlen(name) - prelen;
1058 if (ptr > 0) memmove(name, name+prelen, ptr);
1059 while (mac_isgraph(*s) && *s != ':')
1060   {
1061   if (ptr < max-1) name[ptr++] = *s;
1062   s++;
1063   }
1064 if (*s == ':') s++;
1065 name[ptr++] = ':';
1066 name[ptr] = 0;
1067 return s;
1068 }
1069
1070
1071
1072 /*************************************************
1073 *           Pick out a number from a string      *
1074 *************************************************/
1075
1076 /* Arguments:
1077   n     points to an integer into which to put the number
1078   s     points to the first digit of the number
1079
1080 Returns:  a pointer to the character after the last digit
1081 */
1082 /*XXX consider expanding to int_eximarith_t.  But the test for
1083 "overbig numbers" in 0002 still needs to overflow it. */
1084
1085 static uschar *
1086 read_number(int *n, uschar *s)
1087 {
1088 *n = 0;
1089 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1090 return s;
1091 }
1092
1093 static const uschar *
1094 read_cnumber(int *n, const uschar *s)
1095 {
1096 *n = 0;
1097 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1098 return s;
1099 }
1100
1101
1102
1103 /*************************************************
1104 *        Extract keyed subfield from a string    *
1105 *************************************************/
1106
1107 /* The yield is in dynamic store; NULL means that the key was not found.
1108
1109 Arguments:
1110   key       points to the name of the key
1111   s         points to the string from which to extract the subfield
1112
1113 Returns:    NULL if the subfield was not found, or
1114             a pointer to the subfield's data
1115 */
1116
1117 static uschar *
1118 expand_getkeyed(uschar *key, const uschar *s)
1119 {
1120 int length = Ustrlen(key);
1121 while (isspace(*s)) s++;
1122
1123 /* Loop to search for the key */
1124
1125 while (*s != 0)
1126   {
1127   int dkeylength;
1128   uschar *data;
1129   const uschar *dkey = s;
1130
1131   while (*s != 0 && *s != '=' && !isspace(*s)) s++;
1132   dkeylength = s - dkey;
1133   while (isspace(*s)) s++;
1134   if (*s == '=') while (isspace((*(++s))));
1135
1136   data = string_dequote(&s);
1137   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1138     return data;
1139
1140   while (isspace(*s)) s++;
1141   }
1142
1143 return NULL;
1144 }
1145
1146
1147
1148 static var_entry *
1149 find_var_ent(uschar * name)
1150 {
1151 int first = 0;
1152 int last = var_table_size;
1153
1154 while (last > first)
1155   {
1156   int middle = (first + last)/2;
1157   int c = Ustrcmp(name, var_table[middle].name);
1158
1159   if (c > 0) { first = middle + 1; continue; }
1160   if (c < 0) { last = middle; continue; }
1161   return &var_table[middle];
1162   }
1163 return NULL;
1164 }
1165
1166 /*************************************************
1167 *   Extract numbered subfield from string        *
1168 *************************************************/
1169
1170 /* Extracts a numbered field from a string that is divided by tokens - for
1171 example a line from /etc/passwd is divided by colon characters.  First field is
1172 numbered one.  Negative arguments count from the right. Zero returns the whole
1173 string. Returns NULL if there are insufficient tokens in the string
1174
1175 ***WARNING***
1176 Modifies final argument - this is a dynamically generated string, so that's OK.
1177
1178 Arguments:
1179   field       number of field to be extracted,
1180                 first field = 1, whole string = 0, last field = -1
1181   separators  characters that are used to break string into tokens
1182   s           points to the string from which to extract the subfield
1183
1184 Returns:      NULL if the field was not found,
1185               a pointer to the field's data inside s (modified to add 0)
1186 */
1187
1188 static uschar *
1189 expand_gettokened (int field, uschar *separators, uschar *s)
1190 {
1191 int sep = 1;
1192 int count;
1193 uschar *ss = s;
1194 uschar *fieldtext = NULL;
1195
1196 if (field == 0) return s;
1197
1198 /* Break the line up into fields in place; for field > 0 we stop when we have
1199 done the number of fields we want. For field < 0 we continue till the end of
1200 the string, counting the number of fields. */
1201
1202 count = (field > 0)? field : INT_MAX;
1203
1204 while (count-- > 0)
1205   {
1206   size_t len;
1207
1208   /* Previous field was the last one in the string. For a positive field
1209   number, this means there are not enough fields. For a negative field number,
1210   check that there are enough, and scan back to find the one that is wanted. */
1211
1212   if (sep == 0)
1213     {
1214     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1215     if ((-field) == (INT_MAX - count - 1)) return s;
1216     while (field++ < 0)
1217       {
1218       ss--;
1219       while (ss[-1] != 0) ss--;
1220       }
1221     fieldtext = ss;
1222     break;
1223     }
1224
1225   /* Previous field was not last in the string; save its start and put a
1226   zero at its end. */
1227
1228   fieldtext = ss;
1229   len = Ustrcspn(ss, separators);
1230   sep = ss[len];
1231   ss[len] = 0;
1232   ss += len + 1;
1233   }
1234
1235 return fieldtext;
1236 }
1237
1238
1239 static uschar *
1240 expand_getlistele(int field, const uschar * list)
1241 {
1242 const uschar * tlist= list;
1243 int sep= 0;
1244 uschar dummy;
1245
1246 if(field<0)
1247   {
1248   for(field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1249   sep= 0;
1250   }
1251 if(field==0) return NULL;
1252 while(--field>0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1253 return string_nextinlist(&list, &sep, NULL, 0);
1254 }
1255
1256
1257 /* Certificate fields, by name.  Worry about by-OID later */
1258 /* Names are chosen to not have common prefixes */
1259
1260 #ifdef SUPPORT_TLS
1261 typedef struct
1262 {
1263 uschar * name;
1264 int      namelen;
1265 uschar * (*getfn)(void * cert, uschar * mod);
1266 } certfield;
1267 static certfield certfields[] =
1268 {                       /* linear search; no special order */
1269   { US"version",         7,  &tls_cert_version },
1270   { US"serial_number",   13, &tls_cert_serial_number },
1271   { US"subject",         7,  &tls_cert_subject },
1272   { US"notbefore",       9,  &tls_cert_not_before },
1273   { US"notafter",        8,  &tls_cert_not_after },
1274   { US"issuer",          6,  &tls_cert_issuer },
1275   { US"signature",       9,  &tls_cert_signature },
1276   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1277   { US"subj_altname",    12, &tls_cert_subject_altname },
1278   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1279   { US"crl_uri",         7,  &tls_cert_crl_uri },
1280 };
1281
1282 static uschar *
1283 expand_getcertele(uschar * field, uschar * certvar)
1284 {
1285 var_entry * vp;
1286 certfield * cp;
1287
1288 if (!(vp = find_var_ent(certvar)))
1289   {
1290   expand_string_message =
1291     string_sprintf("no variable named \"%s\"", certvar);
1292   return NULL;          /* Unknown variable name */
1293   }
1294 /* NB this stops us passing certs around in variable.  Might
1295 want to do that in future */
1296 if (vp->type != vtype_cert)
1297   {
1298   expand_string_message =
1299     string_sprintf("\"%s\" is not a certificate", certvar);
1300   return NULL;          /* Unknown variable name */
1301   }
1302 if (!*(void **)vp->value)
1303   return NULL;
1304
1305 if (*field >= '0' && *field <= '9')
1306   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1307
1308 for(cp = certfields;
1309     cp < certfields + nelem(certfields);
1310     cp++)
1311   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1312     {
1313     uschar * modifier = *(field += cp->namelen) == ','
1314       ? ++field : NULL;
1315     return (*cp->getfn)( *(void **)vp->value, modifier );
1316     }
1317
1318 expand_string_message =
1319   string_sprintf("bad field selector \"%s\" for certextract", field);
1320 return NULL;
1321 }
1322 #endif  /*SUPPORT_TLS*/
1323
1324 /*************************************************
1325 *        Extract a substring from a string       *
1326 *************************************************/
1327
1328 /* Perform the ${substr or ${length expansion operations.
1329
1330 Arguments:
1331   subject     the input string
1332   value1      the offset from the start of the input string to the start of
1333                 the output string; if negative, count from the right.
1334   value2      the length of the output string, or negative (-1) for unset
1335                 if value1 is positive, unset means "all after"
1336                 if value1 is negative, unset means "all before"
1337   len         set to the length of the returned string
1338
1339 Returns:      pointer to the output string, or NULL if there is an error
1340 */
1341
1342 static uschar *
1343 extract_substr(uschar *subject, int value1, int value2, int *len)
1344 {
1345 int sublen = Ustrlen(subject);
1346
1347 if (value1 < 0)    /* count from right */
1348   {
1349   value1 += sublen;
1350
1351   /* If the position is before the start, skip to the start, and adjust the
1352   length. If the length ends up negative, the substring is null because nothing
1353   can precede. This falls out naturally when the length is unset, meaning "all
1354   to the left". */
1355
1356   if (value1 < 0)
1357     {
1358     value2 += value1;
1359     if (value2 < 0) value2 = 0;
1360     value1 = 0;
1361     }
1362
1363   /* Otherwise an unset length => characters before value1 */
1364
1365   else if (value2 < 0)
1366     {
1367     value2 = value1;
1368     value1 = 0;
1369     }
1370   }
1371
1372 /* For a non-negative offset, if the starting position is past the end of the
1373 string, the result will be the null string. Otherwise, an unset length means
1374 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1375
1376 else
1377   {
1378   if (value1 > sublen)
1379     {
1380     value1 = sublen;
1381     value2 = 0;
1382     }
1383   else if (value2 < 0) value2 = sublen;
1384   }
1385
1386 /* Cut the length down to the maximum possible for the offset value, and get
1387 the required characters. */
1388
1389 if (value1 + value2 > sublen) value2 = sublen - value1;
1390 *len = value2;
1391 return subject + value1;
1392 }
1393
1394
1395
1396
1397 /*************************************************
1398 *            Old-style hash of a string          *
1399 *************************************************/
1400
1401 /* Perform the ${hash expansion operation.
1402
1403 Arguments:
1404   subject     the input string (an expanded substring)
1405   value1      the length of the output string; if greater or equal to the
1406                 length of the input string, the input string is returned
1407   value2      the number of hash characters to use, or 26 if negative
1408   len         set to the length of the returned string
1409
1410 Returns:      pointer to the output string, or NULL if there is an error
1411 */
1412
1413 static uschar *
1414 compute_hash(uschar *subject, int value1, int value2, int *len)
1415 {
1416 int sublen = Ustrlen(subject);
1417
1418 if (value2 < 0) value2 = 26;
1419 else if (value2 > Ustrlen(hashcodes))
1420   {
1421   expand_string_message =
1422     string_sprintf("hash count \"%d\" too big", value2);
1423   return NULL;
1424   }
1425
1426 /* Calculate the hash text. We know it is shorter than the original string, so
1427 can safely place it in subject[] (we know that subject is always itself an
1428 expanded substring). */
1429
1430 if (value1 < sublen)
1431   {
1432   int c;
1433   int i = 0;
1434   int j = value1;
1435   while ((c = (subject[j])) != 0)
1436     {
1437     int shift = (c + j++) & 7;
1438     subject[i] ^= (c << shift) | (c >> (8-shift));
1439     if (++i >= value1) i = 0;
1440     }
1441   for (i = 0; i < value1; i++)
1442     subject[i] = hashcodes[(subject[i]) % value2];
1443   }
1444 else value1 = sublen;
1445
1446 *len = value1;
1447 return subject;
1448 }
1449
1450
1451
1452
1453 /*************************************************
1454 *             Numeric hash of a string           *
1455 *************************************************/
1456
1457 /* Perform the ${nhash expansion operation. The first characters of the
1458 string are treated as most important, and get the highest prime numbers.
1459
1460 Arguments:
1461   subject     the input string
1462   value1      the maximum value of the first part of the result
1463   value2      the maximum value of the second part of the result,
1464                 or negative to produce only a one-part result
1465   len         set to the length of the returned string
1466
1467 Returns:  pointer to the output string, or NULL if there is an error.
1468 */
1469
1470 static uschar *
1471 compute_nhash (uschar *subject, int value1, int value2, int *len)
1472 {
1473 uschar *s = subject;
1474 int i = 0;
1475 unsigned long int total = 0; /* no overflow */
1476
1477 while (*s != 0)
1478   {
1479   if (i == 0) i = nelem(prime) - 1;
1480   total += prime[i--] * (unsigned int)(*s++);
1481   }
1482
1483 /* If value2 is unset, just compute one number */
1484
1485 if (value2 < 0)
1486   {
1487   s = string_sprintf("%d", total % value1);
1488   }
1489
1490 /* Otherwise do a div/mod hash */
1491
1492 else
1493   {
1494   total = total % (value1 * value2);
1495   s = string_sprintf("%d/%d", total/value2, total % value2);
1496   }
1497
1498 *len = Ustrlen(s);
1499 return s;
1500 }
1501
1502
1503
1504
1505
1506 /*************************************************
1507 *     Find the value of a header or headers      *
1508 *************************************************/
1509
1510 /* Multiple instances of the same header get concatenated, and this function
1511 can also return a concatenation of all the header lines. When concatenating
1512 specific headers that contain lists of addresses, a comma is inserted between
1513 them. Otherwise we use a straight concatenation. Because some messages can have
1514 pathologically large number of lines, there is a limit on the length that is
1515 returned. Also, to avoid massive store use which would result from using
1516 string_cat() as it copies and extends strings, we do a preliminary pass to find
1517 out exactly how much store will be needed. On "normal" messages this will be
1518 pretty trivial.
1519
1520 Arguments:
1521   name          the name of the header, without the leading $header_ or $h_,
1522                 or NULL if a concatenation of all headers is required
1523   exists_only   TRUE if called from a def: test; don't need to build a string;
1524                 just return a string that is not "" and not "0" if the header
1525                 exists
1526   newsize       return the size of memory block that was obtained; may be NULL
1527                 if exists_only is TRUE
1528   want_raw      TRUE if called for $rh_ or $rheader_ variables; no processing,
1529                 other than concatenating, will be done on the header. Also used
1530                 for $message_headers_raw.
1531   charset       name of charset to translate MIME words to; used only if
1532                 want_raw is false; if NULL, no translation is done (this is
1533                 used for $bh_ and $bheader_)
1534
1535 Returns:        NULL if the header does not exist, else a pointer to a new
1536                 store block
1537 */
1538
1539 static uschar *
1540 find_header(uschar *name, BOOL exists_only, int *newsize, BOOL want_raw,
1541   uschar *charset)
1542 {
1543 BOOL found = name == NULL;
1544 int comma = 0;
1545 int len = found? 0 : Ustrlen(name);
1546 int i;
1547 uschar *yield = NULL;
1548 uschar *ptr = NULL;
1549
1550 /* Loop for two passes - saves code repetition */
1551
1552 for (i = 0; i < 2; i++)
1553   {
1554   int size = 0;
1555   header_line *h;
1556
1557   for (h = header_list; size < header_insert_maxlen && h != NULL; h = h->next)
1558     {
1559     if (h->type != htype_old && h->text != NULL)  /* NULL => Received: placeholder */
1560       {
1561       if (name == NULL || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1562         {
1563         int ilen;
1564         uschar *t;
1565
1566         if (exists_only) return US"1";      /* don't need actual string */
1567         found = TRUE;
1568         t = h->text + len;                  /* text to insert */
1569         if (!want_raw)                      /* unless wanted raw, */
1570           while (isspace(*t)) t++;          /* remove leading white space */
1571         ilen = h->slen - (t - h->text);     /* length to insert */
1572
1573         /* Unless wanted raw, remove trailing whitespace, including the
1574         newline. */
1575
1576         if (!want_raw)
1577           while (ilen > 0 && isspace(t[ilen-1])) ilen--;
1578
1579         /* Set comma = 1 if handling a single header and it's one of those
1580         that contains an address list, except when asked for raw headers. Only
1581         need to do this once. */
1582
1583         if (!want_raw && name != NULL && comma == 0 &&
1584             Ustrchr("BCFRST", h->type) != NULL)
1585           comma = 1;
1586
1587         /* First pass - compute total store needed; second pass - compute
1588         total store used, including this header. */
1589
1590         size += ilen + comma + 1;  /* +1 for the newline */
1591
1592         /* Second pass - concatentate the data, up to a maximum. Note that
1593         the loop stops when size hits the limit. */
1594
1595         if (i != 0)
1596           {
1597           if (size > header_insert_maxlen)
1598             {
1599             ilen -= size - header_insert_maxlen - 1;
1600             comma = 0;
1601             }
1602           Ustrncpy(ptr, t, ilen);
1603           ptr += ilen;
1604
1605           /* For a non-raw header, put in the comma if needed, then add
1606           back the newline we removed above, provided there was some text in
1607           the header. */
1608
1609           if (!want_raw && ilen > 0)
1610             {
1611             if (comma != 0) *ptr++ = ',';
1612             *ptr++ = '\n';
1613             }
1614           }
1615         }
1616       }
1617     }
1618
1619   /* At end of first pass, return NULL if no header found. Then truncate size
1620   if necessary, and get the buffer to hold the data, returning the buffer size.
1621   */
1622
1623   if (i == 0)
1624     {
1625     if (!found) return NULL;
1626     if (size > header_insert_maxlen) size = header_insert_maxlen;
1627     *newsize = size + 1;
1628     ptr = yield = store_get(*newsize);
1629     }
1630   }
1631
1632 /* That's all we do for raw header expansion. */
1633
1634 if (want_raw)
1635   {
1636   *ptr = 0;
1637   }
1638
1639 /* Otherwise, remove a final newline and a redundant added comma. Then we do
1640 RFC 2047 decoding, translating the charset if requested. The rfc2047_decode2()
1641 function can return an error with decoded data if the charset translation
1642 fails. If decoding fails, it returns NULL. */
1643
1644 else
1645   {
1646   uschar *decoded, *error;
1647   if (ptr > yield && ptr[-1] == '\n') ptr--;
1648   if (ptr > yield && comma != 0 && ptr[-1] == ',') ptr--;
1649   *ptr = 0;
1650   decoded = rfc2047_decode2(yield, check_rfc2047_length, charset, '?', NULL,
1651     newsize, &error);
1652   if (error != NULL)
1653     {
1654     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1655       "    input was: %s\n", error, yield);
1656     }
1657   if (decoded != NULL) yield = decoded;
1658   }
1659
1660 return yield;
1661 }
1662
1663
1664
1665
1666 /*************************************************
1667 *               Return list of recipients        *
1668 *************************************************/
1669 /* A recipients list is available only during system message filtering,
1670 during ACL processing after DATA, and while expanding pipe commands
1671 generated from a system filter, but not elsewhere. */
1672
1673 static uschar *
1674 fn_recipients(void)
1675 {
1676 if (!enable_dollar_recipients) return NULL; else
1677   {
1678   int size = 128;
1679   int ptr = 0;
1680   int i;
1681   uschar * s = store_get(size);
1682   for (i = 0; i < recipients_count; i++)
1683     {
1684     if (i != 0) s = string_catn(s, &size, &ptr, US", ", 2);
1685     s = string_cat(s, &size, &ptr, recipients_list[i].address);
1686     }
1687   s[ptr] = 0;     /* string_cat() leaves room */
1688   return s;
1689   }
1690 }
1691
1692
1693 /*************************************************
1694 *               Find value of a variable         *
1695 *************************************************/
1696
1697 /* The table of variables is kept in alphabetic order, so we can search it
1698 using a binary chop. The "choplen" variable is nothing to do with the binary
1699 chop.
1700
1701 Arguments:
1702   name          the name of the variable being sought
1703   exists_only   TRUE if this is a def: test; passed on to find_header()
1704   skipping      TRUE => skip any processing evaluation; this is not the same as
1705                   exists_only because def: may test for values that are first
1706                   evaluated here
1707   newsize       pointer to an int which is initially zero; if the answer is in
1708                 a new memory buffer, *newsize is set to its size
1709
1710 Returns:        NULL if the variable does not exist, or
1711                 a pointer to the variable's contents, or
1712                 something non-NULL if exists_only is TRUE
1713 */
1714
1715 static uschar *
1716 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1717 {
1718 var_entry * vp;
1719 uschar *s, *domain;
1720 uschar **ss;
1721 void * val;
1722
1723 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1724 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1725 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1726 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1727 (this gave backwards compatibility at the changeover). There may be built-in
1728 variables whose names start acl_ but they should never start in this way. This
1729 slightly messy specification is a consequence of the history, needless to say.
1730
1731 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1732 set, in which case give an error. */
1733
1734 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1735      !isalpha(name[5]))
1736   {
1737   tree_node *node =
1738     tree_search((name[4] == 'c')? acl_var_c : acl_var_m, name + 4);
1739   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1740   }
1741
1742 /* Handle $auth<n> variables. */
1743
1744 if (Ustrncmp(name, "auth", 4) == 0)
1745   {
1746   uschar *endptr;
1747   int n = Ustrtoul(name + 4, &endptr, 10);
1748   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1749     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1750   }
1751 else if (Ustrncmp(name, "regex", 5) == 0)
1752   {
1753   uschar *endptr;
1754   int n = Ustrtoul(name + 5, &endptr, 10);
1755   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1756     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1757   }
1758
1759 /* For all other variables, search the table */
1760
1761 if (!(vp = find_var_ent(name)))
1762   return NULL;          /* Unknown variable name */
1763
1764 /* Found an existing variable. If in skipping state, the value isn't needed,
1765 and we want to avoid processing (such as looking up the host name). */
1766
1767 if (skipping)
1768   return US"";
1769
1770 val = vp->value;
1771 switch (vp->type)
1772   {
1773   case vtype_filter_int:
1774     if (!filter_running) return NULL;
1775     /* Fall through */
1776     /* VVVVVVVVVVVV */
1777   case vtype_int:
1778     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1779     return var_buffer;
1780
1781   case vtype_ino:
1782     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1783     return var_buffer;
1784
1785   case vtype_gid:
1786     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1787     return var_buffer;
1788
1789   case vtype_uid:
1790     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1791     return var_buffer;
1792
1793   case vtype_bool:
1794     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1795     return var_buffer;
1796
1797   case vtype_stringptr:                      /* Pointer to string */
1798     return (s = *((uschar **)(val))) ? s : US"";
1799
1800   case vtype_pid:
1801     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1802     return var_buffer;
1803
1804   case vtype_load_avg:
1805     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1806     return var_buffer;
1807
1808   case vtype_host_lookup:                    /* Lookup if not done so */
1809     if (sender_host_name == NULL && sender_host_address != NULL &&
1810         !host_lookup_failed && host_name_lookup() == OK)
1811       host_build_sender_fullhost();
1812     return (sender_host_name == NULL)? US"" : sender_host_name;
1813
1814   case vtype_localpart:                      /* Get local part from address */
1815     s = *((uschar **)(val));
1816     if (s == NULL) return US"";
1817     domain = Ustrrchr(s, '@');
1818     if (domain == NULL) return s;
1819     if (domain - s > sizeof(var_buffer) - 1)
1820       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1821           " in string expansion", sizeof(var_buffer));
1822     Ustrncpy(var_buffer, s, domain - s);
1823     var_buffer[domain - s] = 0;
1824     return var_buffer;
1825
1826   case vtype_domain:                         /* Get domain from address */
1827     s = *((uschar **)(val));
1828     if (s == NULL) return US"";
1829     domain = Ustrrchr(s, '@');
1830     return (domain == NULL)? US"" : domain + 1;
1831
1832   case vtype_msgheaders:
1833     return find_header(NULL, exists_only, newsize, FALSE, NULL);
1834
1835   case vtype_msgheaders_raw:
1836     return find_header(NULL, exists_only, newsize, TRUE, NULL);
1837
1838   case vtype_msgbody:                        /* Pointer to msgbody string */
1839   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1840     ss = (uschar **)(val);
1841     if (*ss == NULL && deliver_datafile >= 0)  /* Read body when needed */
1842       {
1843       uschar *body;
1844       off_t start_offset = SPOOL_DATA_START_OFFSET;
1845       int len = message_body_visible;
1846       if (len > message_size) len = message_size;
1847       *ss = body = store_malloc(len+1);
1848       body[0] = 0;
1849       if (vp->type == vtype_msgbody_end)
1850         {
1851         struct stat statbuf;
1852         if (fstat(deliver_datafile, &statbuf) == 0)
1853           {
1854           start_offset = statbuf.st_size - len;
1855           if (start_offset < SPOOL_DATA_START_OFFSET)
1856             start_offset = SPOOL_DATA_START_OFFSET;
1857           }
1858         }
1859       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1860         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1861           strerror(errno));
1862       len = read(deliver_datafile, body, len);
1863       if (len > 0)
1864         {
1865         body[len] = 0;
1866         if (message_body_newlines)   /* Separate loops for efficiency */
1867           while (len > 0)
1868             { if (body[--len] == 0) body[len] = ' '; }
1869         else
1870           while (len > 0)
1871             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1872         }
1873       }
1874     return (*ss == NULL)? US"" : *ss;
1875
1876   case vtype_todbsdin:                       /* BSD inbox time of day */
1877     return tod_stamp(tod_bsdin);
1878
1879   case vtype_tode:                           /* Unix epoch time of day */
1880     return tod_stamp(tod_epoch);
1881
1882   case vtype_todel:                          /* Unix epoch/usec time of day */
1883     return tod_stamp(tod_epoch_l);
1884
1885   case vtype_todf:                           /* Full time of day */
1886     return tod_stamp(tod_full);
1887
1888   case vtype_todl:                           /* Log format time of day */
1889     return tod_stamp(tod_log_bare);            /* (without timezone) */
1890
1891   case vtype_todzone:                        /* Time zone offset only */
1892     return tod_stamp(tod_zone);
1893
1894   case vtype_todzulu:                        /* Zulu time */
1895     return tod_stamp(tod_zulu);
1896
1897   case vtype_todlf:                          /* Log file datestamp tod */
1898     return tod_stamp(tod_log_datestamp_daily);
1899
1900   case vtype_reply:                          /* Get reply address */
1901     s = find_header(US"reply-to:", exists_only, newsize, TRUE,
1902       headers_charset);
1903     if (s != NULL) while (isspace(*s)) s++;
1904     if (s == NULL || *s == 0)
1905       {
1906       *newsize = 0;                            /* For the *s==0 case */
1907       s = find_header(US"from:", exists_only, newsize, TRUE, headers_charset);
1908       }
1909     if (s != NULL)
1910       {
1911       uschar *t;
1912       while (isspace(*s)) s++;
1913       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1914       while (t > s && isspace(t[-1])) t--;
1915       *t = 0;
1916       }
1917     return (s == NULL)? US"" : s;
1918
1919   case vtype_string_func:
1920     {
1921     uschar * (*fn)() = val;
1922     return fn();
1923     }
1924
1925   case vtype_pspace:
1926     {
1927     int inodes;
1928     sprintf(CS var_buffer, "%d",
1929       receive_statvfs(val == (void *)TRUE, &inodes));
1930     }
1931   return var_buffer;
1932
1933   case vtype_pinodes:
1934     {
1935     int inodes;
1936     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1937     sprintf(CS var_buffer, "%d", inodes);
1938     }
1939   return var_buffer;
1940
1941   case vtype_cert:
1942     return *(void **)val ? US"<cert>" : US"";
1943
1944 #ifndef DISABLE_DKIM
1945   case vtype_dkim:
1946     return dkim_exim_expand_query((int)(long)val);
1947 #endif
1948
1949   }
1950
1951 return NULL;  /* Unknown variable. Silences static checkers. */
1952 }
1953
1954
1955
1956
1957 void
1958 modify_variable(uschar *name, void * value)
1959 {
1960 var_entry * vp;
1961 if ((vp = find_var_ent(name))) vp->value = value;
1962 return;          /* Unknown variable name, fail silently */
1963 }
1964
1965
1966
1967
1968
1969 /*************************************************
1970 *           Read and expand substrings           *
1971 *************************************************/
1972
1973 /* This function is called to read and expand argument substrings for various
1974 expansion items. Some have a minimum requirement that is less than the maximum;
1975 in these cases, the first non-present one is set to NULL.
1976
1977 Arguments:
1978   sub        points to vector of pointers to set
1979   n          maximum number of substrings
1980   m          minimum required
1981   sptr       points to current string pointer
1982   skipping   the skipping flag
1983   check_end  if TRUE, check for final '}'
1984   name       name of item, for error message
1985   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
1986              the store.
1987
1988 Returns:     0 OK; string pointer updated
1989              1 curly bracketing error (too few arguments)
1990              2 too many arguments (only if check_end is set); message set
1991              3 other error (expansion failure)
1992 */
1993
1994 static int
1995 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
1996   BOOL check_end, uschar *name, BOOL *resetok)
1997 {
1998 int i;
1999 const uschar *s = *sptr;
2000
2001 while (isspace(*s)) s++;
2002 for (i = 0; i < n; i++)
2003   {
2004   if (*s != '{')
2005     {
2006     if (i < m)
2007       {
2008       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2009         "(min is %d)", name, m);
2010       return 1;
2011       }
2012     sub[i] = NULL;
2013     break;
2014     }
2015   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2016     return 3;
2017   if (*s++ != '}') return 1;
2018   while (isspace(*s)) s++;
2019   }
2020 if (check_end && *s++ != '}')
2021   {
2022   if (s[-1] == '{')
2023     {
2024     expand_string_message = string_sprintf("Too many arguments for '%s' "
2025       "(max is %d)", name, n);
2026     return 2;
2027     }
2028   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2029   return 1;
2030   }
2031
2032 *sptr = s;
2033 return 0;
2034 }
2035
2036
2037
2038
2039 /*************************************************
2040 *     Elaborate message for bad variable         *
2041 *************************************************/
2042
2043 /* For the "unknown variable" message, take a look at the variable's name, and
2044 give additional information about possible ACL variables. The extra information
2045 is added on to expand_string_message.
2046
2047 Argument:   the name of the variable
2048 Returns:    nothing
2049 */
2050
2051 static void
2052 check_variable_error_message(uschar *name)
2053 {
2054 if (Ustrncmp(name, "acl_", 4) == 0)
2055   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2056     (name[4] == 'c' || name[4] == 'm')?
2057       (isalpha(name[5])?
2058         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2059         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2060       ) :
2061       US"user-defined ACL variables must start acl_c or acl_m");
2062 }
2063
2064
2065
2066 /*
2067 Load args from sub array to globals, and call acl_check().
2068 Sub array will be corrupted on return.
2069
2070 Returns:       OK         access is granted by an ACCEPT verb
2071                DISCARD    access is (apparently) granted by a DISCARD verb
2072                FAIL       access is denied
2073                FAIL_DROP  access is denied; drop the connection
2074                DEFER      can't tell at the moment
2075                ERROR      disaster
2076 */
2077 static int
2078 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2079 {
2080 int i;
2081 int sav_narg = acl_narg;
2082 int ret;
2083 uschar * dummy_logmsg;
2084 extern int acl_where;
2085
2086 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2087 for (i = 0; i < nsub && sub[i+1]; i++)
2088   {
2089   uschar * tmp = acl_arg[i];
2090   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2091   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2092   }
2093 acl_narg = i;
2094 while (i < nsub)
2095   {
2096   sub[i+1] = acl_arg[i];
2097   acl_arg[i++] = NULL;
2098   }
2099
2100 DEBUG(D_expand)
2101   debug_printf("expanding: acl: %s  arg: %s%s\n",
2102     sub[0],
2103     acl_narg>0 ? acl_arg[0] : US"<none>",
2104     acl_narg>1 ? " +more"   : "");
2105
2106 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2107
2108 for (i = 0; i < nsub; i++)
2109   acl_arg[i] = sub[i+1];        /* restore old args */
2110 acl_narg = sav_narg;
2111
2112 return ret;
2113 }
2114
2115
2116
2117
2118 /*************************************************
2119 *        Read and evaluate a condition           *
2120 *************************************************/
2121
2122 /*
2123 Arguments:
2124   s        points to the start of the condition text
2125   resetok  points to a BOOL which is written false if it is unsafe to
2126            free memory. Certain condition types (acl) may have side-effect
2127            allocation which must be preserved.
2128   yield    points to a BOOL to hold the result of the condition test;
2129            if NULL, we are just reading through a condition that is
2130            part of an "or" combination to check syntax, or in a state
2131            where the answer isn't required
2132
2133 Returns:   a pointer to the first character after the condition, or
2134            NULL after an error
2135 */
2136
2137 static const uschar *
2138 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2139 {
2140 BOOL testfor = TRUE;
2141 BOOL tempcond, combined_cond;
2142 BOOL *subcondptr;
2143 BOOL sub2_honour_dollar = TRUE;
2144 int i, rc, cond_type, roffset;
2145 int_eximarith_t num[2];
2146 struct stat statbuf;
2147 uschar name[256];
2148 const uschar *sub[10];
2149
2150 const pcre *re;
2151 const uschar *rerror;
2152
2153 for (;;)
2154   {
2155   while (isspace(*s)) s++;
2156   if (*s == '!') { testfor = !testfor; s++; } else break;
2157   }
2158
2159 /* Numeric comparisons are symbolic */
2160
2161 if (*s == '=' || *s == '>' || *s == '<')
2162   {
2163   int p = 0;
2164   name[p++] = *s++;
2165   if (*s == '=')
2166     {
2167     name[p++] = '=';
2168     s++;
2169     }
2170   name[p] = 0;
2171   }
2172
2173 /* All other conditions are named */
2174
2175 else s = read_name(name, 256, s, US"_");
2176
2177 /* If we haven't read a name, it means some non-alpha character is first. */
2178
2179 if (name[0] == 0)
2180   {
2181   expand_string_message = string_sprintf("condition name expected, "
2182     "but found \"%.16s\"", s);
2183   return NULL;
2184   }
2185
2186 /* Find which condition we are dealing with, and switch on it */
2187
2188 cond_type = chop_match(name, cond_table, nelem(cond_table));
2189 switch(cond_type)
2190   {
2191   /* def: tests for a non-empty variable, or for the existence of a header. If
2192   yield == NULL we are in a skipping state, and don't care about the answer. */
2193
2194   case ECOND_DEF:
2195   if (*s != ':')
2196     {
2197     expand_string_message = US"\":\" expected after \"def\"";
2198     return NULL;
2199     }
2200
2201   s = read_name(name, 256, s+1, US"_");
2202
2203   /* Test for a header's existence. If the name contains a closing brace
2204   character, this may be a user error where the terminating colon has been
2205   omitted. Set a flag to adjust a subsequent error message in this case. */
2206
2207   if (Ustrncmp(name, "h_", 2) == 0 ||
2208       Ustrncmp(name, "rh_", 3) == 0 ||
2209       Ustrncmp(name, "bh_", 3) == 0 ||
2210       Ustrncmp(name, "header_", 7) == 0 ||
2211       Ustrncmp(name, "rheader_", 8) == 0 ||
2212       Ustrncmp(name, "bheader_", 8) == 0)
2213     {
2214     s = read_header_name(name, 256, s);
2215     /* {-for-text-editors */
2216     if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2217     if (yield != NULL) *yield =
2218       (find_header(name, TRUE, NULL, FALSE, NULL) != NULL) == testfor;
2219     }
2220
2221   /* Test for a variable's having a non-empty value. A non-existent variable
2222   causes an expansion failure. */
2223
2224   else
2225     {
2226     uschar *value = find_variable(name, TRUE, yield == NULL, NULL);
2227     if (value == NULL)
2228       {
2229       expand_string_message = (name[0] == 0)?
2230         string_sprintf("variable name omitted after \"def:\"") :
2231         string_sprintf("unknown variable \"%s\" after \"def:\"", name);
2232       check_variable_error_message(name);
2233       return NULL;
2234       }
2235     if (yield != NULL) *yield = (value[0] != 0) == testfor;
2236     }
2237
2238   return s;
2239
2240
2241   /* first_delivery tests for first delivery attempt */
2242
2243   case ECOND_FIRST_DELIVERY:
2244   if (yield != NULL) *yield = deliver_firsttime == testfor;
2245   return s;
2246
2247
2248   /* queue_running tests for any process started by a queue runner */
2249
2250   case ECOND_QUEUE_RUNNING:
2251   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2252   return s;
2253
2254
2255   /* exists:  tests for file existence
2256        isip:  tests for any IP address
2257       isip4:  tests for an IPv4 address
2258       isip6:  tests for an IPv6 address
2259         pam:  does PAM authentication
2260      radius:  does RADIUS authentication
2261    ldapauth:  does LDAP authentication
2262     pwcheck:  does Cyrus SASL pwcheck authentication
2263   */
2264
2265   case ECOND_EXISTS:
2266   case ECOND_ISIP:
2267   case ECOND_ISIP4:
2268   case ECOND_ISIP6:
2269   case ECOND_PAM:
2270   case ECOND_RADIUS:
2271   case ECOND_LDAPAUTH:
2272   case ECOND_PWCHECK:
2273
2274   while (isspace(*s)) s++;
2275   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2276
2277   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2278   if (sub[0] == NULL) return NULL;
2279   /* {-for-text-editors */
2280   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2281
2282   if (yield == NULL) return s;   /* No need to run the test if skipping */
2283
2284   switch(cond_type)
2285     {
2286     case ECOND_EXISTS:
2287     if ((expand_forbid & RDO_EXISTS) != 0)
2288       {
2289       expand_string_message = US"File existence tests are not permitted";
2290       return NULL;
2291       }
2292     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2293     break;
2294
2295     case ECOND_ISIP:
2296     case ECOND_ISIP4:
2297     case ECOND_ISIP6:
2298     rc = string_is_ip_address(sub[0], NULL);
2299     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2300              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2301     break;
2302
2303     /* Various authentication tests - all optionally compiled */
2304
2305     case ECOND_PAM:
2306     #ifdef SUPPORT_PAM
2307     rc = auth_call_pam(sub[0], &expand_string_message);
2308     goto END_AUTH;
2309     #else
2310     goto COND_FAILED_NOT_COMPILED;
2311     #endif  /* SUPPORT_PAM */
2312
2313     case ECOND_RADIUS:
2314     #ifdef RADIUS_CONFIG_FILE
2315     rc = auth_call_radius(sub[0], &expand_string_message);
2316     goto END_AUTH;
2317     #else
2318     goto COND_FAILED_NOT_COMPILED;
2319     #endif  /* RADIUS_CONFIG_FILE */
2320
2321     case ECOND_LDAPAUTH:
2322     #ifdef LOOKUP_LDAP
2323       {
2324       /* Just to keep the interface the same */
2325       BOOL do_cache;
2326       int old_pool = store_pool;
2327       store_pool = POOL_SEARCH;
2328       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2329         &expand_string_message, &do_cache);
2330       store_pool = old_pool;
2331       }
2332     goto END_AUTH;
2333     #else
2334     goto COND_FAILED_NOT_COMPILED;
2335     #endif  /* LOOKUP_LDAP */
2336
2337     case ECOND_PWCHECK:
2338     #ifdef CYRUS_PWCHECK_SOCKET
2339     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2340     goto END_AUTH;
2341     #else
2342     goto COND_FAILED_NOT_COMPILED;
2343     #endif  /* CYRUS_PWCHECK_SOCKET */
2344
2345     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2346         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2347     END_AUTH:
2348     if (rc == ERROR || rc == DEFER) return NULL;
2349     *yield = (rc == OK) == testfor;
2350     #endif
2351     }
2352   return s;
2353
2354
2355   /* call ACL (in a conditional context).  Accept true, deny false.
2356   Defer is a forced-fail.  Anything set by message= goes to $value.
2357   Up to ten parameters are used; we use the braces round the name+args
2358   like the saslauthd condition does, to permit a variable number of args.
2359   See also the expansion-item version EITEM_ACL and the traditional
2360   acl modifier ACLC_ACL.
2361   Since the ACL may allocate new global variables, tell our caller to not
2362   reclaim memory.
2363   */
2364
2365   case ECOND_ACL:
2366     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2367     {
2368     uschar *sub[10];
2369     uschar *user_msg;
2370     BOOL cond = FALSE;
2371     int size = 0;
2372     int ptr = 0;
2373
2374     while (isspace(*s)) s++;
2375     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2376
2377     switch(read_subs(sub, nelem(sub), 1,
2378       &s, yield == NULL, TRUE, US"acl", resetok))
2379       {
2380       case 1: expand_string_message = US"too few arguments or bracketing "
2381         "error for acl";
2382       case 2:
2383       case 3: return NULL;
2384       }
2385
2386     *resetok = FALSE;   /* eval_acl() might allocate; do not reclaim */
2387     if (yield != NULL) switch(eval_acl(sub, nelem(sub), &user_msg))
2388         {
2389         case OK:
2390           cond = TRUE;
2391         case FAIL:
2392           lookup_value = NULL;
2393           if (user_msg)
2394             {
2395             lookup_value = string_cat(NULL, &size, &ptr, user_msg);
2396             lookup_value[ptr] = '\0';
2397             }
2398           *yield = cond == testfor;
2399           break;
2400
2401         case DEFER:
2402           expand_string_forcedfail = TRUE;
2403           /*FALLTHROUGH*/
2404         default:
2405           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
2406           return NULL;
2407         }
2408     return s;
2409     }
2410
2411
2412   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2413
2414      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2415
2416   However, the last two are optional. That is why the whole set is enclosed
2417   in their own set of braces. */
2418
2419   case ECOND_SASLAUTHD:
2420 #ifndef CYRUS_SASLAUTHD_SOCKET
2421     goto COND_FAILED_NOT_COMPILED;
2422 #else
2423     {
2424     uschar *sub[4];
2425     while (isspace(*s)) s++;
2426     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2427     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2428                     resetok))
2429       {
2430       case 1: expand_string_message = US"too few arguments or bracketing "
2431         "error for saslauthd";
2432       case 2:
2433       case 3: return NULL;
2434       }
2435     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2436     if (yield != NULL)
2437       {
2438       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2439         &expand_string_message);
2440       if (rc == ERROR || rc == DEFER) return NULL;
2441       *yield = (rc == OK) == testfor;
2442       }
2443     return s;
2444     }
2445 #endif /* CYRUS_SASLAUTHD_SOCKET */
2446
2447
2448   /* symbolic operators for numeric and string comparison, and a number of
2449   other operators, all requiring two arguments.
2450
2451   crypteq:           encrypts plaintext and compares against an encrypted text,
2452                        using crypt(), crypt16(), MD5 or SHA-1
2453   inlist/inlisti:    checks if first argument is in the list of the second
2454   match:             does a regular expression match and sets up the numerical
2455                        variables if it succeeds
2456   match_address:     matches in an address list
2457   match_domain:      matches in a domain list
2458   match_ip:          matches a host list that is restricted to IP addresses
2459   match_local_part:  matches in a local part list
2460   */
2461
2462   case ECOND_MATCH_ADDRESS:
2463   case ECOND_MATCH_DOMAIN:
2464   case ECOND_MATCH_IP:
2465   case ECOND_MATCH_LOCAL_PART:
2466 #ifndef EXPAND_LISTMATCH_RHS
2467     sub2_honour_dollar = FALSE;
2468 #endif
2469     /* FALLTHROUGH */
2470
2471   case ECOND_CRYPTEQ:
2472   case ECOND_INLIST:
2473   case ECOND_INLISTI:
2474   case ECOND_MATCH:
2475
2476   case ECOND_NUM_L:     /* Numerical comparisons */
2477   case ECOND_NUM_LE:
2478   case ECOND_NUM_E:
2479   case ECOND_NUM_EE:
2480   case ECOND_NUM_G:
2481   case ECOND_NUM_GE:
2482
2483   case ECOND_STR_LT:    /* String comparisons */
2484   case ECOND_STR_LTI:
2485   case ECOND_STR_LE:
2486   case ECOND_STR_LEI:
2487   case ECOND_STR_EQ:
2488   case ECOND_STR_EQI:
2489   case ECOND_STR_GT:
2490   case ECOND_STR_GTI:
2491   case ECOND_STR_GE:
2492   case ECOND_STR_GEI:
2493
2494   for (i = 0; i < 2; i++)
2495     {
2496     /* Sometimes, we don't expand substrings; too many insecure configurations
2497     created using match_address{}{} and friends, where the second param
2498     includes information from untrustworthy sources. */
2499     BOOL honour_dollar = TRUE;
2500     if ((i > 0) && !sub2_honour_dollar)
2501       honour_dollar = FALSE;
2502
2503     while (isspace(*s)) s++;
2504     if (*s != '{')
2505       {
2506       if (i == 0) goto COND_FAILED_CURLY_START;
2507       expand_string_message = string_sprintf("missing 2nd string in {} "
2508         "after \"%s\"", name);
2509       return NULL;
2510       }
2511     sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2512         honour_dollar, resetok);
2513     if (sub[i] == NULL) return NULL;
2514     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2515
2516     /* Convert to numerical if required; we know that the names of all the
2517     conditions that compare numbers do not start with a letter. This just saves
2518     checking for them individually. */
2519
2520     if (!isalpha(name[0]) && yield != NULL)
2521       if (sub[i][0] == 0)
2522         {
2523         num[i] = 0;
2524         DEBUG(D_expand)
2525           debug_printf("empty string cast to zero for numerical comparison\n");
2526         }
2527       else
2528         {
2529         num[i] = expanded_string_integer(sub[i], FALSE);
2530         if (expand_string_message != NULL) return NULL;
2531         }
2532     }
2533
2534   /* Result not required */
2535
2536   if (yield == NULL) return s;
2537
2538   /* Do an appropriate comparison */
2539
2540   switch(cond_type)
2541     {
2542     case ECOND_NUM_E:
2543     case ECOND_NUM_EE:
2544     tempcond = (num[0] == num[1]);
2545     break;
2546
2547     case ECOND_NUM_G:
2548     tempcond = (num[0] > num[1]);
2549     break;
2550
2551     case ECOND_NUM_GE:
2552     tempcond = (num[0] >= num[1]);
2553     break;
2554
2555     case ECOND_NUM_L:
2556     tempcond = (num[0] < num[1]);
2557     break;
2558
2559     case ECOND_NUM_LE:
2560     tempcond = (num[0] <= num[1]);
2561     break;
2562
2563     case ECOND_STR_LT:
2564     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2565     break;
2566
2567     case ECOND_STR_LTI:
2568     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2569     break;
2570
2571     case ECOND_STR_LE:
2572     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2573     break;
2574
2575     case ECOND_STR_LEI:
2576     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2577     break;
2578
2579     case ECOND_STR_EQ:
2580     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2581     break;
2582
2583     case ECOND_STR_EQI:
2584     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2585     break;
2586
2587     case ECOND_STR_GT:
2588     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2589     break;
2590
2591     case ECOND_STR_GTI:
2592     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2593     break;
2594
2595     case ECOND_STR_GE:
2596     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2597     break;
2598
2599     case ECOND_STR_GEI:
2600     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2601     break;
2602
2603     case ECOND_MATCH:   /* Regular expression match */
2604     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2605       NULL);
2606     if (re == NULL)
2607       {
2608       expand_string_message = string_sprintf("regular expression error in "
2609         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2610       return NULL;
2611       }
2612     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2613     break;
2614
2615     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2616     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2617     goto MATCHED_SOMETHING;
2618
2619     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2620     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2621       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2622     goto MATCHED_SOMETHING;
2623
2624     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2625     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2626       {
2627       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2628         sub[0]);
2629       return NULL;
2630       }
2631     else
2632       {
2633       unsigned int *nullcache = NULL;
2634       check_host_block cb;
2635
2636       cb.host_name = US"";
2637       cb.host_address = sub[0];
2638
2639       /* If the host address starts off ::ffff: it is an IPv6 address in
2640       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2641       addresses. */
2642
2643       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2644         cb.host_address + 7 : cb.host_address;
2645
2646       rc = match_check_list(
2647              &sub[1],                   /* the list */
2648              0,                         /* separator character */
2649              &hostlist_anchor,          /* anchor pointer */
2650              &nullcache,                /* cache pointer */
2651              check_host,                /* function for testing */
2652              &cb,                       /* argument for function */
2653              MCL_HOST,                  /* type of check */
2654              sub[0],                    /* text for debugging */
2655              NULL);                     /* where to pass back data */
2656       }
2657     goto MATCHED_SOMETHING;
2658
2659     case ECOND_MATCH_LOCAL_PART:
2660     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2661       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2662     /* Fall through */
2663     /* VVVVVVVVVVVV */
2664     MATCHED_SOMETHING:
2665     switch(rc)
2666       {
2667       case OK:
2668       tempcond = TRUE;
2669       break;
2670
2671       case FAIL:
2672       tempcond = FALSE;
2673       break;
2674
2675       case DEFER:
2676       expand_string_message = string_sprintf("unable to complete match "
2677         "against \"%s\": %s", sub[1], search_error_message);
2678       return NULL;
2679       }
2680
2681     break;
2682
2683     /* Various "encrypted" comparisons. If the second string starts with
2684     "{" then an encryption type is given. Default to crypt() or crypt16()
2685     (build-time choice). */
2686     /* }-for-text-editors */
2687
2688     case ECOND_CRYPTEQ:
2689     #ifndef SUPPORT_CRYPTEQ
2690     goto COND_FAILED_NOT_COMPILED;
2691     #else
2692     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2693       {
2694       int sublen = Ustrlen(sub[1]+5);
2695       md5 base;
2696       uschar digest[16];
2697
2698       md5_start(&base);
2699       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2700
2701       /* If the length that we are comparing against is 24, the MD5 digest
2702       is expressed as a base64 string. This is the way LDAP does it. However,
2703       some other software uses a straightforward hex representation. We assume
2704       this if the length is 32. Other lengths fail. */
2705
2706       if (sublen == 24)
2707         {
2708         uschar *coded = b64encode(digest, 16);
2709         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2710           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2711         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2712         }
2713       else if (sublen == 32)
2714         {
2715         int i;
2716         uschar coded[36];
2717         for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2718         coded[32] = 0;
2719         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2720           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2721         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2722         }
2723       else
2724         {
2725         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2726           "fail\n  crypted=%s\n", sub[1]+5);
2727         tempcond = FALSE;
2728         }
2729       }
2730
2731     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2732       {
2733       int sublen = Ustrlen(sub[1]+6);
2734       hctx h;
2735       uschar digest[20];
2736
2737       sha1_start(&h);
2738       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
2739
2740       /* If the length that we are comparing against is 28, assume the SHA1
2741       digest is expressed as a base64 string. If the length is 40, assume a
2742       straightforward hex representation. Other lengths fail. */
2743
2744       if (sublen == 28)
2745         {
2746         uschar *coded = b64encode(digest, 20);
2747         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2748           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2749         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2750         }
2751       else if (sublen == 40)
2752         {
2753         int i;
2754         uschar coded[44];
2755         for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2756         coded[40] = 0;
2757         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2758           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2759         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2760         }
2761       else
2762         {
2763         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2764           "fail\n  crypted=%s\n", sub[1]+6);
2765         tempcond = FALSE;
2766         }
2767       }
2768
2769     else   /* {crypt} or {crypt16} and non-{ at start */
2770            /* }-for-text-editors */
2771       {
2772       int which = 0;
2773       uschar *coded;
2774
2775       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2776         {
2777         sub[1] += 7;
2778         which = 1;
2779         }
2780       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2781         {
2782         sub[1] += 9;
2783         which = 2;
2784         }
2785       else if (sub[1][0] == '{')                /* }-for-text-editors */
2786         {
2787         expand_string_message = string_sprintf("unknown encryption mechanism "
2788           "in \"%s\"", sub[1]);
2789         return NULL;
2790         }
2791
2792       switch(which)
2793         {
2794         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2795         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2796         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2797         }
2798
2799       #define STR(s) # s
2800       #define XSTR(s) STR(s)
2801       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2802         "  subject=%s\n  crypted=%s\n",
2803         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2804         coded, sub[1]);
2805       #undef STR
2806       #undef XSTR
2807
2808       /* If the encrypted string contains fewer than two characters (for the
2809       salt), force failure. Otherwise we get false positives: with an empty
2810       string the yield of crypt() is an empty string! */
2811
2812       if (coded)
2813         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2814       else if (errno == EINVAL)
2815         tempcond = FALSE;
2816       else
2817         {
2818         expand_string_message = string_sprintf("crypt error: %s\n",
2819           US strerror(errno));
2820         return NULL;
2821         }
2822       }
2823     break;
2824     #endif  /* SUPPORT_CRYPTEQ */
2825
2826     case ECOND_INLIST:
2827     case ECOND_INLISTI:
2828       {
2829       const uschar * list = sub[1];
2830       int sep = 0;
2831       uschar *save_iterate_item = iterate_item;
2832       int (*compare)(const uschar *, const uschar *);
2833
2834       DEBUG(D_expand) debug_printf("condition: %s\n", name);
2835
2836       tempcond = FALSE;
2837       compare = cond_type == ECOND_INLISTI
2838         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2839
2840       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2841         if (compare(sub[0], iterate_item) == 0)
2842           {
2843           tempcond = TRUE;
2844           break;
2845           }
2846       iterate_item = save_iterate_item;
2847       }
2848
2849     }   /* Switch for comparison conditions */
2850
2851   *yield = tempcond == testfor;
2852   return s;    /* End of comparison conditions */
2853
2854
2855   /* and/or: computes logical and/or of several conditions */
2856
2857   case ECOND_AND:
2858   case ECOND_OR:
2859   subcondptr = (yield == NULL)? NULL : &tempcond;
2860   combined_cond = (cond_type == ECOND_AND);
2861
2862   while (isspace(*s)) s++;
2863   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
2864
2865   for (;;)
2866     {
2867     while (isspace(*s)) s++;
2868     /* {-for-text-editors */
2869     if (*s == '}') break;
2870     if (*s != '{')                                      /* }-for-text-editors */
2871       {
2872       expand_string_message = string_sprintf("each subcondition "
2873         "inside an \"%s{...}\" condition must be in its own {}", name);
2874       return NULL;
2875       }
2876
2877     if (!(s = eval_condition(s+1, resetok, subcondptr)))
2878       {
2879       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
2880         expand_string_message, name);
2881       return NULL;
2882       }
2883     while (isspace(*s)) s++;
2884
2885     /* {-for-text-editors */
2886     if (*s++ != '}')
2887       {
2888       /* {-for-text-editors */
2889       expand_string_message = string_sprintf("missing } at end of condition "
2890         "inside \"%s\" group", name);
2891       return NULL;
2892       }
2893
2894     if (yield != NULL)
2895       {
2896       if (cond_type == ECOND_AND)
2897         {
2898         combined_cond &= tempcond;
2899         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
2900         }                                       /* evaluate any more */
2901       else
2902         {
2903         combined_cond |= tempcond;
2904         if (combined_cond) subcondptr = NULL;   /* once true, don't */
2905         }                                       /* evaluate any more */
2906       }
2907     }
2908
2909   if (yield != NULL) *yield = (combined_cond == testfor);
2910   return ++s;
2911
2912
2913   /* forall/forany: iterates a condition with different values */
2914
2915   case ECOND_FORALL:
2916   case ECOND_FORANY:
2917     {
2918     const uschar * list;
2919     int sep = 0;
2920     uschar *save_iterate_item = iterate_item;
2921
2922     DEBUG(D_expand) debug_printf("condition: %s\n", name);
2923
2924     while (isspace(*s)) s++;
2925     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2926     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
2927     if (sub[0] == NULL) return NULL;
2928     /* {-for-text-editors */
2929     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2930
2931     while (isspace(*s)) s++;
2932     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2933
2934     sub[1] = s;
2935
2936     /* Call eval_condition once, with result discarded (as if scanning a
2937     "false" part). This allows us to find the end of the condition, because if
2938     the list it empty, we won't actually evaluate the condition for real. */
2939
2940     if (!(s = eval_condition(sub[1], resetok, NULL)))
2941       {
2942       expand_string_message = string_sprintf("%s inside \"%s\" condition",
2943         expand_string_message, name);
2944       return NULL;
2945       }
2946     while (isspace(*s)) s++;
2947
2948     /* {-for-text-editors */
2949     if (*s++ != '}')
2950       {
2951       /* {-for-text-editors */
2952       expand_string_message = string_sprintf("missing } at end of condition "
2953         "inside \"%s\"", name);
2954       return NULL;
2955       }
2956
2957     if (yield != NULL) *yield = !testfor;
2958     list = sub[0];
2959     while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
2960       {
2961       DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
2962       if (!eval_condition(sub[1], resetok, &tempcond))
2963         {
2964         expand_string_message = string_sprintf("%s inside \"%s\" condition",
2965           expand_string_message, name);
2966         iterate_item = save_iterate_item;
2967         return NULL;
2968         }
2969       DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", name,
2970         tempcond? "true":"false");
2971
2972       if (yield != NULL) *yield = (tempcond == testfor);
2973       if (tempcond == (cond_type == ECOND_FORANY)) break;
2974       }
2975
2976     iterate_item = save_iterate_item;
2977     return s;
2978     }
2979
2980
2981   /* The bool{} expansion condition maps a string to boolean.
2982   The values supported should match those supported by the ACL condition
2983   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
2984   of true/false.  Note that Router "condition" rules have a different
2985   interpretation, where general data can be used and only a few values
2986   map to FALSE.
2987   Note that readconf.c boolean matching, for boolean configuration options,
2988   only matches true/yes/false/no.
2989   The bool_lax{} condition matches the Router logic, which is much more
2990   liberal. */
2991   case ECOND_BOOL:
2992   case ECOND_BOOL_LAX:
2993     {
2994     uschar *sub_arg[1];
2995     uschar *t, *t2;
2996     uschar *ourname;
2997     size_t len;
2998     BOOL boolvalue = FALSE;
2999     while (isspace(*s)) s++;
3000     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3001     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3002     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3003       {
3004       case 1: expand_string_message = string_sprintf(
3005                   "too few arguments or bracketing error for %s",
3006                   ourname);
3007       /*FALLTHROUGH*/
3008       case 2:
3009       case 3: return NULL;
3010       }
3011     t = sub_arg[0];
3012     while (isspace(*t)) t++;
3013     len = Ustrlen(t);
3014     if (len)
3015       {
3016       /* trailing whitespace: seems like a good idea to ignore it too */
3017       t2 = t + len - 1;
3018       while (isspace(*t2)) t2--;
3019       if (t2 != (t + len))
3020         {
3021         *++t2 = '\0';
3022         len = t2 - t;
3023         }
3024       }
3025     DEBUG(D_expand)
3026       debug_printf("considering %s: %s\n", ourname, len ? t : US"<empty>");
3027     /* logic for the lax case from expand_check_condition(), which also does
3028     expands, and the logic is both short and stable enough that there should
3029     be no maintenance burden from replicating it. */
3030     if (len == 0)
3031       boolvalue = FALSE;
3032     else if (*t == '-'
3033              ? Ustrspn(t+1, "0123456789") == len-1
3034              : Ustrspn(t,   "0123456789") == len)
3035       {
3036       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3037       /* expand_check_condition only does a literal string "0" check */
3038       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3039         boolvalue = TRUE;
3040       }
3041     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3042       boolvalue = TRUE;
3043     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3044       boolvalue = FALSE;
3045     else if (cond_type == ECOND_BOOL_LAX)
3046       boolvalue = TRUE;
3047     else
3048       {
3049       expand_string_message = string_sprintf("unrecognised boolean "
3050        "value \"%s\"", t);
3051       return NULL;
3052       }
3053     DEBUG(D_expand) debug_printf("%s: condition evaluated to %s\n", ourname,
3054         boolvalue? "true":"false");
3055     if (yield != NULL) *yield = (boolvalue == testfor);
3056     return s;
3057     }
3058
3059   /* Unknown condition */
3060
3061   default:
3062   expand_string_message = string_sprintf("unknown condition \"%s\"", name);
3063   return NULL;
3064   }   /* End switch on condition type */
3065
3066 /* Missing braces at start and end of data */
3067
3068 COND_FAILED_CURLY_START:
3069 expand_string_message = string_sprintf("missing { after \"%s\"", name);
3070 return NULL;
3071
3072 COND_FAILED_CURLY_END:
3073 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3074   name);
3075 return NULL;
3076
3077 /* A condition requires code that is not compiled */
3078
3079 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3080     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3081     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3082 COND_FAILED_NOT_COMPILED:
3083 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3084   name);
3085 return NULL;
3086 #endif
3087 }
3088
3089
3090
3091
3092 /*************************************************
3093 *          Save numerical variables              *
3094 *************************************************/
3095
3096 /* This function is called from items such as "if" that want to preserve and
3097 restore the numbered variables.
3098
3099 Arguments:
3100   save_expand_string    points to an array of pointers to set
3101   save_expand_nlength   points to an array of ints for the lengths
3102
3103 Returns:                the value of expand max to save
3104 */
3105
3106 static int
3107 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3108 {
3109 int i;
3110 for (i = 0; i <= expand_nmax; i++)
3111   {
3112   save_expand_nstring[i] = expand_nstring[i];
3113   save_expand_nlength[i] = expand_nlength[i];
3114   }
3115 return expand_nmax;
3116 }
3117
3118
3119
3120 /*************************************************
3121 *           Restore numerical variables          *
3122 *************************************************/
3123
3124 /* This function restored saved values of numerical strings.
3125
3126 Arguments:
3127   save_expand_nmax      the number of strings to restore
3128   save_expand_string    points to an array of pointers
3129   save_expand_nlength   points to an array of ints
3130
3131 Returns:                nothing
3132 */
3133
3134 static void
3135 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3136   int *save_expand_nlength)
3137 {
3138 int i;
3139 expand_nmax = save_expand_nmax;
3140 for (i = 0; i <= expand_nmax; i++)
3141   {
3142   expand_nstring[i] = save_expand_nstring[i];
3143   expand_nlength[i] = save_expand_nlength[i];
3144   }
3145 }
3146
3147
3148
3149
3150
3151 /*************************************************
3152 *            Handle yes/no substrings            *
3153 *************************************************/
3154
3155 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3156 alternative substrings that depend on whether or not the condition was true,
3157 or the lookup or extraction succeeded. The substrings always have to be
3158 expanded, to check their syntax, but "skipping" is set when the result is not
3159 needed - this avoids unnecessary nested lookups.
3160
3161 Arguments:
3162   skipping       TRUE if we were skipping when this item was reached
3163   yes            TRUE if the first string is to be used, else use the second
3164   save_lookup    a value to put back into lookup_value before the 2nd expansion
3165   sptr           points to the input string pointer
3166   yieldptr       points to the output string pointer
3167   sizeptr        points to the output string size
3168   ptrptr         points to the output string pointer
3169   type           "lookup", "if", "extract", "run", "env", "listextract" or
3170                  "certextract" for error message
3171   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3172                 the store.
3173
3174 Returns:         0 OK; lookup_value has been reset to save_lookup
3175                  1 expansion failed
3176                  2 expansion failed because of bracketing error
3177 */
3178
3179 static int
3180 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3181   uschar **yieldptr, int *sizeptr, int *ptrptr, uschar *type, BOOL *resetok)
3182 {
3183 int rc = 0;
3184 const uschar *s = *sptr;    /* Local value */
3185 uschar *sub1, *sub2;
3186 const uschar * errwhere;
3187
3188 /* If there are no following strings, we substitute the contents of $value for
3189 lookups and for extractions in the success case. For the ${if item, the string
3190 "true" is substituted. In the fail case, nothing is substituted for all three
3191 items. */
3192
3193 while (isspace(*s)) s++;
3194 if (*s == '}')
3195   {
3196   if (!skipping)
3197     if (type[0] == 'i')
3198       {
3199       if (yes) *yieldptr = string_catn(*yieldptr, sizeptr, ptrptr, US"true", 4);
3200       }
3201     else
3202       {
3203       if (yes && lookup_value)
3204         *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, lookup_value);
3205       lookup_value = save_lookup;
3206       }
3207   s++;
3208   goto RETURN;
3209   }
3210
3211 /* The first following string must be braced. */
3212
3213 if (*s++ != '{')
3214   {
3215   errwhere = US"'yes' part did not start with '{'";
3216   goto FAILED_CURLY;
3217   }
3218
3219 /* Expand the first substring. Forced failures are noticed only if we actually
3220 want this string. Set skipping in the call in the fail case (this will always
3221 be the case if we were already skipping). */
3222
3223 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3224 if (sub1 == NULL && (yes || !expand_string_forcedfail)) goto FAILED;
3225 expand_string_forcedfail = FALSE;
3226 if (*s++ != '}')
3227   {
3228   errwhere = US"'yes' part did not end with '}'";
3229   goto FAILED_CURLY;
3230   }
3231
3232 /* If we want the first string, add it to the output */
3233
3234 if (yes)
3235   *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub1);
3236
3237 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3238 $value to what it was at the start of the item, so that it has this value
3239 during the second string expansion. For the call from "if" or "run" to this
3240 function, save_lookup is set to lookup_value, so that this statement does
3241 nothing. */
3242
3243 lookup_value = save_lookup;
3244
3245 /* There now follows either another substring, or "fail", or nothing. This
3246 time, forced failures are noticed only if we want the second string. We must
3247 set skipping in the nested call if we don't want this string, or if we were
3248 already skipping. */
3249
3250 while (isspace(*s)) s++;
3251 if (*s == '{')
3252   {
3253   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3254   if (sub2 == NULL && (!yes || !expand_string_forcedfail)) goto FAILED;
3255   expand_string_forcedfail = FALSE;
3256   if (*s++ != '}')
3257     {
3258     errwhere = US"'no' part did not start with '{'";
3259     goto FAILED_CURLY;
3260     }
3261
3262   /* If we want the second string, add it to the output */
3263
3264   if (!yes)
3265     *yieldptr = string_cat(*yieldptr, sizeptr, ptrptr, sub2);
3266   }
3267
3268 /* If there is no second string, but the word "fail" is present when the use of
3269 the second string is wanted, set a flag indicating it was a forced failure
3270 rather than a syntactic error. Swallow the terminating } in case this is nested
3271 inside another lookup or if or extract. */
3272
3273 else if (*s != '}')
3274   {
3275   uschar name[256];
3276   /* deconst cast ok here as source is s anyway */
3277   s = US read_name(name, sizeof(name), s, US"_");
3278   if (Ustrcmp(name, "fail") == 0)
3279     {
3280     if (!yes && !skipping)
3281       {
3282       while (isspace(*s)) s++;
3283       if (*s++ != '}')
3284         {
3285         errwhere = US"did not close with '}' after forcedfail";
3286         goto FAILED_CURLY;
3287         }
3288       expand_string_message =
3289         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3290       expand_string_forcedfail = TRUE;
3291       goto FAILED;
3292       }
3293     }
3294   else
3295     {
3296     expand_string_message =
3297       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3298     goto FAILED;
3299     }
3300   }
3301
3302 /* All we have to do now is to check on the final closing brace. */
3303
3304 while (isspace(*s)) s++;
3305 if (*s++ != '}')
3306   {
3307   errwhere = US"did not close with '}'";
3308   goto FAILED_CURLY;
3309   }
3310
3311
3312 RETURN:
3313 /* Update the input pointer value before returning */
3314 *sptr = s;
3315 return rc;
3316
3317 FAILED_CURLY:
3318   /* Get here if there is a bracketing failure */
3319   expand_string_message = string_sprintf(
3320     "curly-bracket problem in conditional yes/no parsing: %s\n"
3321     " remaining string is '%s'", errwhere, --s);
3322   rc = 2;
3323   goto RETURN;
3324
3325 FAILED:
3326   /* Get here for other failures */
3327   rc = 1;
3328   goto RETURN;
3329 }
3330
3331
3332
3333
3334 /*************************************************
3335 *    Handle MD5 or SHA-1 computation for HMAC    *
3336 *************************************************/
3337
3338 /* These are some wrapping functions that enable the HMAC code to be a bit
3339 cleaner. A good compiler will spot the tail recursion.
3340
3341 Arguments:
3342   type         HMAC_MD5 or HMAC_SHA1
3343   remaining    are as for the cryptographic hash functions
3344
3345 Returns:       nothing
3346 */
3347
3348 static void
3349 chash_start(int type, void *base)
3350 {
3351 if (type == HMAC_MD5)
3352   md5_start((md5 *)base);
3353 else
3354   sha1_start((hctx *)base);
3355 }
3356
3357 static void
3358 chash_mid(int type, void *base, uschar *string)
3359 {
3360 if (type == HMAC_MD5)
3361   md5_mid((md5 *)base, string);
3362 else
3363   sha1_mid((hctx *)base, string);
3364 }
3365
3366 static void
3367 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3368 {
3369 if (type == HMAC_MD5)
3370   md5_end((md5 *)base, string, length, digest);
3371 else
3372   sha1_end((hctx *)base, string, length, digest);
3373 }
3374
3375
3376
3377
3378
3379 /********************************************************
3380 * prvs: Get last three digits of days since Jan 1, 1970 *
3381 ********************************************************/
3382
3383 /* This is needed to implement the "prvs" BATV reverse
3384    path signing scheme
3385
3386 Argument: integer "days" offset to add or substract to
3387           or from the current number of days.
3388
3389 Returns:  pointer to string containing the last three
3390           digits of the number of days since Jan 1, 1970,
3391           modified by the offset argument, NULL if there
3392           was an error in the conversion.
3393
3394 */
3395
3396 static uschar *
3397 prvs_daystamp(int day_offset)
3398 {
3399 uschar *days = store_get(32);                /* Need at least 24 for cases */
3400 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3401   (time(NULL) + day_offset*86400)/86400);
3402 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3403 }
3404
3405
3406
3407 /********************************************************
3408 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3409 ********************************************************/
3410
3411 /* This is needed to implement the "prvs" BATV reverse
3412    path signing scheme
3413
3414 Arguments:
3415   address RFC2821 Address to use
3416       key The key to use (must be less than 64 characters
3417           in size)
3418   key_num Single-digit key number to use. Defaults to
3419           '0' when NULL.
3420
3421 Returns:  pointer to string containing the first three
3422           bytes of the final hash in hex format, NULL if
3423           there was an error in the process.
3424 */
3425
3426 static uschar *
3427 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3428 {
3429 uschar *hash_source, *p;
3430 int size = 0,offset = 0,i;
3431 hctx h;
3432 uschar innerhash[20];
3433 uschar finalhash[20];
3434 uschar innerkey[64];
3435 uschar outerkey[64];
3436 uschar *finalhash_hex = store_get(40);
3437
3438 if (key_num == NULL)
3439   key_num = US"0";
3440
3441 if (Ustrlen(key) > 64)
3442   return NULL;
3443
3444 hash_source = string_catn(NULL, &size, &offset, key_num, 1);
3445 hash_source = string_catn(hash_source, &size, &offset, daystamp, 3);
3446 hash_source = string_cat(hash_source, &size, &offset, address);
3447 hash_source[offset] = '\0';
3448
3449 DEBUG(D_expand) debug_printf("prvs: hash source is '%s'\n", hash_source);
3450
3451 memset(innerkey, 0x36, 64);
3452 memset(outerkey, 0x5c, 64);
3453
3454 for (i = 0; i < Ustrlen(key); i++)
3455   {
3456   innerkey[i] ^= key[i];
3457   outerkey[i] ^= key[i];
3458   }
3459
3460 chash_start(HMAC_SHA1, &h);
3461 chash_mid(HMAC_SHA1, &h, innerkey);
3462 chash_end(HMAC_SHA1, &h, hash_source, offset, innerhash);
3463
3464 chash_start(HMAC_SHA1, &h);
3465 chash_mid(HMAC_SHA1, &h, outerkey);
3466 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3467
3468 p = finalhash_hex;
3469 for (i = 0; i < 3; i++)
3470   {
3471   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3472   *p++ = hex_digits[finalhash[i] & 0x0f];
3473   }
3474 *p = '\0';
3475
3476 return finalhash_hex;
3477 }
3478
3479
3480
3481
3482 /*************************************************
3483 *        Join a file onto the output string      *
3484 *************************************************/
3485
3486 /* This is used for readfile/readsock and after a run expansion.
3487 It joins the contents of a file onto the output string, globally replacing
3488 newlines with a given string (optionally).
3489
3490 Arguments:
3491   f            the FILE
3492   yield        pointer to the expandable string
3493   sizep        pointer to the current size
3494   ptrp         pointer to the current position
3495   eol          newline replacement string, or NULL
3496
3497 Returns:       new value of string pointer
3498 */
3499
3500 static uschar *
3501 cat_file(FILE *f, uschar *yield, int *sizep, int *ptrp, uschar *eol)
3502 {
3503 uschar buffer[1024];
3504
3505 while (Ufgets(buffer, sizeof(buffer), f))
3506   {
3507   int len = Ustrlen(buffer);
3508   if (eol && buffer[len-1] == '\n') len--;
3509   yield = string_catn(yield, sizep, ptrp, buffer, len);
3510   if (eol && buffer[len])
3511     yield = string_cat(yield, sizep, ptrp, eol);
3512   }
3513
3514 if (yield) yield[*ptrp] = 0;
3515
3516 return yield;
3517 }
3518
3519
3520
3521
3522 /*************************************************
3523 *          Evaluate numeric expression           *
3524 *************************************************/
3525
3526 /* This is a set of mutually recursive functions that evaluate an arithmetic
3527 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3528 these functions that is called from elsewhere is eval_expr, whose interface is:
3529
3530 Arguments:
3531   sptr        pointer to the pointer to the string - gets updated
3532   decimal     TRUE if numbers are to be assumed decimal
3533   error       pointer to where to put an error message - must be NULL on input
3534   endket      TRUE if ')' must terminate - FALSE for external call
3535
3536 Returns:      on success: the value of the expression, with *error still NULL
3537               on failure: an undefined value, with *error = a message
3538 */
3539
3540 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3541
3542
3543 static int_eximarith_t
3544 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3545 {
3546 uschar *s = *sptr;
3547 int_eximarith_t x = eval_op_or(&s, decimal, error);
3548 if (*error == NULL)
3549   {
3550   if (endket)
3551     {
3552     if (*s != ')')
3553       *error = US"expecting closing parenthesis";
3554     else
3555       while (isspace(*(++s)));
3556     }
3557   else if (*s != 0) *error = US"expecting operator";
3558   }
3559 *sptr = s;
3560 return x;
3561 }
3562
3563
3564 static int_eximarith_t
3565 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3566 {
3567 register int c;
3568 int_eximarith_t n;
3569 uschar *s = *sptr;
3570 while (isspace(*s)) s++;
3571 c = *s;
3572 if (isdigit(c))
3573   {
3574   int count;
3575   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3576   s += count;
3577   switch (tolower(*s))
3578     {
3579     default: break;
3580     case 'k': n *= 1024; s++; break;
3581     case 'm': n *= 1024*1024; s++; break;
3582     case 'g': n *= 1024*1024*1024; s++; break;
3583     }
3584   while (isspace (*s)) s++;
3585   }
3586 else if (c == '(')
3587   {
3588   s++;
3589   n = eval_expr(&s, decimal, error, 1);
3590   }
3591 else
3592   {
3593   *error = US"expecting number or opening parenthesis";
3594   n = 0;
3595   }
3596 *sptr = s;
3597 return n;
3598 }
3599
3600
3601 static int_eximarith_t
3602 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3603 {
3604 uschar *s = *sptr;
3605 int_eximarith_t x;
3606 while (isspace(*s)) s++;
3607 if (*s == '+' || *s == '-' || *s == '~')
3608   {
3609   int op = *s++;
3610   x = eval_op_unary(&s, decimal, error);
3611   if (op == '-') x = -x;
3612     else if (op == '~') x = ~x;
3613   }
3614 else
3615   {
3616   x = eval_number(&s, decimal, error);
3617   }
3618 *sptr = s;
3619 return x;
3620 }
3621
3622
3623 static int_eximarith_t
3624 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3625 {
3626 uschar *s = *sptr;
3627 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3628 if (*error == NULL)
3629   {
3630   while (*s == '*' || *s == '/' || *s == '%')
3631     {
3632     int op = *s++;
3633     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3634     if (*error != NULL) break;
3635     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3636      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3637      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3638      * -N*M is INT_MIN will yielf INT_MIN.
3639      * Since we don't support floating point, this is somewhat simpler.
3640      * Ideally, we'd return an error, but since we overflow for all other
3641      * arithmetic, consistency suggests otherwise, but what's the correct value
3642      * to use?  There is none.
3643      * The C standard guarantees overflow for unsigned arithmetic but signed
3644      * overflow invokes undefined behaviour; in practice, this is overflow
3645      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3646      * that long/longlong larger than int are available, or we could just work
3647      * with larger types.  We should consider whether to guarantee 32bit eval
3648      * and 64-bit working variables, with errors returned.  For now ...
3649      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3650      * can just let the other invalid results occur otherwise, as they have
3651      * until now.  For this one case, we can coerce.
3652      */
3653     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3654       {
3655       DEBUG(D_expand)
3656         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3657             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3658       x = EXIM_ARITH_MAX;
3659       continue;
3660       }
3661     if (op == '*')
3662       x *= y;
3663     else
3664       {
3665       if (y == 0)
3666         {
3667         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3668         x = 0;
3669         break;
3670         }
3671       if (op == '/')
3672         x /= y;
3673       else
3674         x %= y;
3675       }
3676     }
3677   }
3678 *sptr = s;
3679 return x;
3680 }
3681
3682
3683 static int_eximarith_t
3684 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3685 {
3686 uschar *s = *sptr;
3687 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3688 if (!*error)
3689   {
3690   while (*s == '+' || *s == '-')
3691     {
3692     int op = *s++;
3693     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3694     if (*error) break;
3695     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3696        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3697       {                 /* over-conservative check */
3698       *error = op == '+'
3699         ? US"overflow in sum" : US"overflow in difference";
3700       break;
3701       }
3702     if (op == '+') x += y; else x -= y;
3703     }
3704   }
3705 *sptr = s;
3706 return x;
3707 }
3708
3709
3710 static int_eximarith_t
3711 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3712 {
3713 uschar *s = *sptr;
3714 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3715 if (*error == NULL)
3716   {
3717   while ((*s == '<' || *s == '>') && s[1] == s[0])
3718     {
3719     int_eximarith_t y;
3720     int op = *s++;
3721     s++;
3722     y = eval_op_sum(&s, decimal, error);
3723     if (*error != NULL) break;
3724     if (op == '<') x <<= y; else x >>= y;
3725     }
3726   }
3727 *sptr = s;
3728 return x;
3729 }
3730
3731
3732 static int_eximarith_t
3733 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3734 {
3735 uschar *s = *sptr;
3736 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3737 if (*error == NULL)
3738   {
3739   while (*s == '&')
3740     {
3741     int_eximarith_t y;
3742     s++;
3743     y = eval_op_shift(&s, decimal, error);
3744     if (*error != NULL) break;
3745     x &= y;
3746     }
3747   }
3748 *sptr = s;
3749 return x;
3750 }
3751
3752
3753 static int_eximarith_t
3754 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3755 {
3756 uschar *s = *sptr;
3757 int_eximarith_t x = eval_op_and(&s, decimal, error);
3758 if (*error == NULL)
3759   {
3760   while (*s == '^')
3761     {
3762     int_eximarith_t y;
3763     s++;
3764     y = eval_op_and(&s, decimal, error);
3765     if (*error != NULL) break;
3766     x ^= y;
3767     }
3768   }
3769 *sptr = s;
3770 return x;
3771 }
3772
3773
3774 static int_eximarith_t
3775 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3776 {
3777 uschar *s = *sptr;
3778 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3779 if (*error == NULL)
3780   {
3781   while (*s == '|')
3782     {
3783     int_eximarith_t y;
3784     s++;
3785     y = eval_op_xor(&s, decimal, error);
3786     if (*error != NULL) break;
3787     x |= y;
3788     }
3789   }
3790 *sptr = s;
3791 return x;
3792 }
3793
3794
3795
3796 /*************************************************
3797 *                 Expand string                  *
3798 *************************************************/
3799
3800 /* Returns either an unchanged string, or the expanded string in stacking pool
3801 store. Interpreted sequences are:
3802
3803    \...                    normal escaping rules
3804    $name                   substitutes the variable
3805    ${name}                 ditto
3806    ${op:string}            operates on the expanded string value
3807    ${item{arg1}{arg2}...}  expands the args and then does the business
3808                              some literal args are not enclosed in {}
3809
3810 There are now far too many operators and item types to make it worth listing
3811 them here in detail any more.
3812
3813 We use an internal routine recursively to handle embedded substrings. The
3814 external function follows. The yield is NULL if the expansion failed, and there
3815 are two cases: if something collapsed syntactically, or if "fail" was given
3816 as the action on a lookup failure. These can be distinguised by looking at the
3817 variable expand_string_forcedfail, which is TRUE in the latter case.
3818
3819 The skipping flag is set true when expanding a substring that isn't actually
3820 going to be used (after "if" or "lookup") and it prevents lookups from
3821 happening lower down.
3822
3823 Store usage: At start, a store block of the length of the input plus 64
3824 is obtained. This is expanded as necessary by string_cat(), which might have to
3825 get a new block, or might be able to expand the original. At the end of the
3826 function we can release any store above that portion of the yield block that
3827 was actually used. In many cases this will be optimal.
3828
3829 However: if the first item in the expansion is a variable name or header name,
3830 we reset the store before processing it; if the result is in fresh store, we
3831 use that without copying. This is helpful for expanding strings like
3832 $message_headers which can get very long.
3833
3834 There's a problem if a ${dlfunc item has side-effects that cause allocation,
3835 since resetting the store at the end of the expansion will free store that was
3836 allocated by the plugin code as well as the slop after the expanded string. So
3837 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
3838 and, given the acl condition, ${if }. This is an unfortunate consequence of
3839 string expansion becoming too powerful.
3840
3841 Arguments:
3842   string         the string to be expanded
3843   ket_ends       true if expansion is to stop at }
3844   left           if not NULL, a pointer to the first character after the
3845                  expansion is placed here (typically used with ket_ends)
3846   skipping       TRUE for recursive calls when the value isn't actually going
3847                  to be used (to allow for optimisation)
3848   honour_dollar  TRUE if $ is to be expanded,
3849                  FALSE if it's just another character
3850   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
3851                  the store.
3852
3853 Returns:         NULL if expansion fails:
3854                    expand_string_forcedfail is set TRUE if failure was forced
3855                    expand_string_message contains a textual error message
3856                  a pointer to the expanded string on success
3857 */
3858
3859 static uschar *
3860 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
3861   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
3862 {
3863 int ptr = 0;
3864 int size = Ustrlen(string)+ 64;
3865 uschar *yield = store_get(size);
3866 int item_type;
3867 const uschar *s = string;
3868 uschar *save_expand_nstring[EXPAND_MAXN+1];
3869 int save_expand_nlength[EXPAND_MAXN+1];
3870 BOOL resetok = TRUE;
3871
3872 DEBUG(D_expand)
3873   debug_printf("%s: %s\n", skipping ? "   scanning" : "considering", string);
3874
3875 expand_string_forcedfail = FALSE;
3876 expand_string_message = US"";
3877
3878 while (*s != 0)
3879   {
3880   uschar *value;
3881   uschar name[256];
3882
3883   /* \ escapes the next character, which must exist, or else
3884   the expansion fails. There's a special escape, \N, which causes
3885   copying of the subject verbatim up to the next \N. Otherwise,
3886   the escapes are the standard set. */
3887
3888   if (*s == '\\')
3889     {
3890     if (s[1] == 0)
3891       {
3892       expand_string_message = US"\\ at end of string";
3893       goto EXPAND_FAILED;
3894       }
3895
3896     if (s[1] == 'N')
3897       {
3898       const uschar * t = s + 2;
3899       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
3900       yield = string_catn(yield, &size, &ptr, t, s - t);
3901       if (*s != 0) s += 2;
3902       }
3903
3904     else
3905       {
3906       uschar ch[1];
3907       ch[0] = string_interpret_escape(&s);
3908       s++;
3909       yield = string_catn(yield, &size, &ptr, ch, 1);
3910       }
3911
3912     continue;
3913     }
3914
3915   /*{*/
3916   /* Anything other than $ is just copied verbatim, unless we are
3917   looking for a terminating } character. */
3918
3919   /*{*/
3920   if (ket_ends && *s == '}') break;
3921
3922   if (*s != '$' || !honour_dollar)
3923     {
3924     yield = string_catn(yield, &size, &ptr, s++, 1);
3925     continue;
3926     }
3927
3928   /* No { after the $ - must be a plain name or a number for string
3929   match variable. There has to be a fudge for variables that are the
3930   names of header fields preceded by "$header_" because header field
3931   names can contain any printing characters except space and colon.
3932   For those that don't like typing this much, "$h_" is a synonym for
3933   "$header_". A non-existent header yields a NULL value; nothing is
3934   inserted. */  /*}*/
3935
3936   if (isalpha((*(++s))))
3937     {
3938     int len;
3939     int newsize = 0;
3940
3941     s = read_name(name, sizeof(name), s, US"_");
3942
3943     /* If this is the first thing to be expanded, release the pre-allocated
3944     buffer. */
3945
3946     if (ptr == 0 && yield != NULL)
3947       {
3948       if (resetok) store_reset(yield);
3949       yield = NULL;
3950       size = 0;
3951       }
3952
3953     /* Header */
3954
3955     if (Ustrncmp(name, "h_", 2) == 0 ||
3956         Ustrncmp(name, "rh_", 3) == 0 ||
3957         Ustrncmp(name, "bh_", 3) == 0 ||
3958         Ustrncmp(name, "header_", 7) == 0 ||
3959         Ustrncmp(name, "rheader_", 8) == 0 ||
3960         Ustrncmp(name, "bheader_", 8) == 0)
3961       {
3962       BOOL want_raw = (name[0] == 'r')? TRUE : FALSE;
3963       uschar *charset = (name[0] == 'b')? NULL : headers_charset;
3964       s = read_header_name(name, sizeof(name), s);
3965       value = find_header(name, FALSE, &newsize, want_raw, charset);
3966
3967       /* If we didn't find the header, and the header contains a closing brace
3968       character, this may be a user error where the terminating colon
3969       has been omitted. Set a flag to adjust the error message in this case.
3970       But there is no error here - nothing gets inserted. */
3971
3972       if (value == NULL)
3973         {
3974         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
3975         continue;
3976         }
3977       }
3978
3979     /* Variable */
3980
3981     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
3982       {
3983       expand_string_message =
3984         string_sprintf("unknown variable name \"%s\"", name);
3985         check_variable_error_message(name);
3986       goto EXPAND_FAILED;
3987       }
3988
3989     /* If the data is known to be in a new buffer, newsize will be set to the
3990     size of that buffer. If this is the first thing in an expansion string,
3991     yield will be NULL; just point it at the new store instead of copying. Many
3992     expansion strings contain just one reference, so this is a useful
3993     optimization, especially for humungous headers. */
3994
3995     len = Ustrlen(value);
3996     if (yield == NULL && newsize != 0)
3997       {
3998       yield = value;
3999       size = newsize;
4000       ptr = len;
4001       }
4002     else yield = string_catn(yield, &size, &ptr, value, len);
4003
4004     continue;
4005     }
4006
4007   if (isdigit(*s))
4008     {
4009     int n;
4010     s = read_cnumber(&n, s);
4011     if (n >= 0 && n <= expand_nmax)
4012       yield = string_catn(yield, &size, &ptr, expand_nstring[n],
4013         expand_nlength[n]);
4014     continue;
4015     }
4016
4017   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4018
4019   if (*s != '{')                                                        /*}*/
4020     {
4021     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4022     goto EXPAND_FAILED;
4023     }
4024
4025   /* After { there can be various things, but they all start with
4026   an initial word, except for a number for a string match variable. */
4027
4028   if (isdigit((*(++s))))
4029     {
4030     int n;
4031     s = read_cnumber(&n, s);            /*{*/
4032     if (*s++ != '}')
4033       {                                 /*{*/
4034       expand_string_message = US"} expected after number";
4035       goto EXPAND_FAILED;
4036       }
4037     if (n >= 0 && n <= expand_nmax)
4038       yield = string_catn(yield, &size, &ptr, expand_nstring[n],
4039         expand_nlength[n]);
4040     continue;
4041     }
4042
4043   if (!isalpha(*s))
4044     {
4045     expand_string_message = US"letter or digit expected after ${";      /*}*/
4046     goto EXPAND_FAILED;
4047     }
4048
4049   /* Allow "-" in names to cater for substrings with negative
4050   arguments. Since we are checking for known names after { this is
4051   OK. */
4052
4053   s = read_name(name, sizeof(name), s, US"_-");
4054   item_type = chop_match(name, item_table, nelem(item_table));
4055
4056   switch(item_type)
4057     {
4058     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4059     If the ACL returns accept or reject we return content set by "message ="
4060     There is currently no limit on recursion; this would have us call
4061     acl_check_internal() directly and get a current level from somewhere.
4062     See also the acl expansion condition ECOND_ACL and the traditional
4063     acl modifier ACLC_ACL.
4064     Assume that the function has side-effects on the store that must be preserved.
4065     */
4066
4067     case EITEM_ACL:
4068       /* ${acl {name} {arg1}{arg2}...} */
4069       {
4070       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4071       uschar *user_msg;
4072
4073       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4074                       &resetok))
4075         {
4076         case 1: goto EXPAND_FAILED_CURLY;
4077         case 2:
4078         case 3: goto EXPAND_FAILED;
4079         }
4080       if (skipping) continue;
4081
4082       resetok = FALSE;
4083       switch(eval_acl(sub, nelem(sub), &user_msg))
4084         {
4085         case OK:
4086         case FAIL:
4087           DEBUG(D_expand)
4088             debug_printf("acl expansion yield: %s\n", user_msg);
4089           if (user_msg)
4090             yield = string_cat(yield, &size, &ptr, user_msg);
4091           continue;
4092
4093         case DEFER:
4094           expand_string_forcedfail = TRUE;
4095           /*FALLTHROUGH*/
4096         default:
4097           expand_string_message = string_sprintf("error from acl \"%s\"", sub[0]);
4098           goto EXPAND_FAILED;
4099         }
4100       }
4101
4102     /* Handle conditionals - preserve the values of the numerical expansion
4103     variables in case they get changed by a regular expression match in the
4104     condition. If not, they retain their external settings. At the end
4105     of this "if" section, they get restored to their previous values. */
4106
4107     case EITEM_IF:
4108       {
4109       BOOL cond = FALSE;
4110       const uschar *next_s;
4111       int save_expand_nmax =
4112         save_expand_strings(save_expand_nstring, save_expand_nlength);
4113
4114       while (isspace(*s)) s++;
4115       next_s = eval_condition(s, &resetok, skipping ? NULL : &cond);
4116       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4117
4118       DEBUG(D_expand)
4119         debug_printf("  condition: %.*s\n     result: %s\n",
4120           (int)(next_s - s), s,
4121           cond ? "true" : "false");
4122
4123       s = next_s;
4124
4125       /* The handling of "yes" and "no" result strings is now in a separate
4126       function that is also used by ${lookup} and ${extract} and ${run}. */
4127
4128       switch(process_yesno(
4129                skipping,                     /* were previously skipping */
4130                cond,                         /* success/failure indicator */
4131                lookup_value,                 /* value to reset for string2 */
4132                &s,                           /* input pointer */
4133                &yield,                       /* output pointer */
4134                &size,                        /* output size */
4135                &ptr,                         /* output current point */
4136                US"if",                       /* condition type */
4137                &resetok))
4138         {
4139         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4140         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4141         }
4142
4143       /* Restore external setting of expansion variables for continuation
4144       at this level. */
4145
4146       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4147         save_expand_nlength);
4148       continue;
4149       }
4150
4151 #ifdef SUPPORT_I18N
4152     case EITEM_IMAPFOLDER:
4153       {                         /* ${imapfolder {name}{sep]{specials}} */
4154       uschar *sub_arg[3];
4155       uschar *encoded;
4156
4157       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4158                       &resetok))
4159         {
4160         case 1: goto EXPAND_FAILED_CURLY;
4161         case 2:
4162         case 3: goto EXPAND_FAILED;
4163         }
4164
4165       if (sub_arg[1] == NULL)           /* One argument */
4166         {
4167         sub_arg[1] = US"/";             /* default separator */
4168         sub_arg[2] = NULL;
4169         }
4170       else if (Ustrlen(sub_arg[1]) != 1)
4171         {
4172         expand_string_message =
4173           string_sprintf(
4174                 "IMAP folder separator must be one character, found \"%s\"",
4175                 sub_arg[1]);
4176         goto EXPAND_FAILED;
4177         }
4178
4179       if (!skipping)
4180         {
4181         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4182                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4183           goto EXPAND_FAILED;
4184         yield = string_cat(yield, &size, &ptr, encoded);
4185         }
4186       continue;
4187       }
4188 #endif
4189
4190     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4191     expanding an internal string that isn't actually going to be used. All we
4192     need to do is check the syntax, so don't do a lookup at all. Preserve the
4193     values of the numerical expansion variables in case they get changed by a
4194     partial lookup. If not, they retain their external settings. At the end
4195     of this "lookup" section, they get restored to their previous values. */
4196
4197     case EITEM_LOOKUP:
4198       {
4199       int stype, partial, affixlen, starflags;
4200       int expand_setup = 0;
4201       int nameptr = 0;
4202       uschar *key, *filename;
4203       const uschar *affix;
4204       uschar *save_lookup_value = lookup_value;
4205       int save_expand_nmax =
4206         save_expand_strings(save_expand_nstring, save_expand_nlength);
4207
4208       if ((expand_forbid & RDO_LOOKUP) != 0)
4209         {
4210         expand_string_message = US"lookup expansions are not permitted";
4211         goto EXPAND_FAILED;
4212         }
4213
4214       /* Get the key we are to look up for single-key+file style lookups.
4215       Otherwise set the key NULL pro-tem. */
4216
4217       while (isspace(*s)) s++;
4218       if (*s == '{')                                    /*}*/
4219         {
4220         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4221         if (!key) goto EXPAND_FAILED;                   /*{{*/
4222         if (*s++ != '}')
4223           {
4224           expand_string_message = US"missing '}' after lookup key";
4225           goto EXPAND_FAILED_CURLY;
4226           }
4227         while (isspace(*s)) s++;
4228         }
4229       else key = NULL;
4230
4231       /* Find out the type of database */
4232
4233       if (!isalpha(*s))
4234         {
4235         expand_string_message = US"missing lookup type";
4236         goto EXPAND_FAILED;
4237         }
4238
4239       /* The type is a string that may contain special characters of various
4240       kinds. Allow everything except space or { to appear; the actual content
4241       is checked by search_findtype_partial. */         /*}*/
4242
4243       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4244         {
4245         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4246         s++;
4247         }
4248       name[nameptr] = 0;
4249       while (isspace(*s)) s++;
4250
4251       /* Now check for the individual search type and any partial or default
4252       options. Only those types that are actually in the binary are valid. */
4253
4254       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4255         &starflags);
4256       if (stype < 0)
4257         {
4258         expand_string_message = search_error_message;
4259         goto EXPAND_FAILED;
4260         }
4261
4262       /* Check that a key was provided for those lookup types that need it,
4263       and was not supplied for those that use the query style. */
4264
4265       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4266         {
4267         if (key == NULL)
4268           {
4269           expand_string_message = string_sprintf("missing {key} for single-"
4270             "key \"%s\" lookup", name);
4271           goto EXPAND_FAILED;
4272           }
4273         }
4274       else
4275         {
4276         if (key != NULL)
4277           {
4278           expand_string_message = string_sprintf("a single key was given for "
4279             "lookup type \"%s\", which is not a single-key lookup type", name);
4280           goto EXPAND_FAILED;
4281           }
4282         }
4283
4284       /* Get the next string in brackets and expand it. It is the file name for
4285       single-key+file lookups, and the whole query otherwise. In the case of
4286       queries that also require a file name (e.g. sqlite), the file name comes
4287       first. */
4288
4289       if (*s != '{')
4290         {
4291         expand_string_message = US"missing '{' for lookup file-or-query arg";
4292         goto EXPAND_FAILED_CURLY;
4293         }
4294       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4295       if (filename == NULL) goto EXPAND_FAILED;
4296       if (*s++ != '}')
4297         {
4298         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4299         goto EXPAND_FAILED_CURLY;
4300         }
4301       while (isspace(*s)) s++;
4302
4303       /* If this isn't a single-key+file lookup, re-arrange the variables
4304       to be appropriate for the search_ functions. For query-style lookups,
4305       there is just a "key", and no file name. For the special query-style +
4306       file types, the query (i.e. "key") starts with a file name. */
4307
4308       if (!key)
4309         {
4310         while (isspace(*filename)) filename++;
4311         key = filename;
4312
4313         if (mac_islookup(stype, lookup_querystyle))
4314           filename = NULL;
4315         else
4316           {
4317           if (*filename != '/')
4318             {
4319             expand_string_message = string_sprintf(
4320               "absolute file name expected for \"%s\" lookup", name);
4321             goto EXPAND_FAILED;
4322             }
4323           while (*key != 0 && !isspace(*key)) key++;
4324           if (*key != 0) *key++ = 0;
4325           }
4326         }
4327
4328       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4329       the entry was not found. Note that there is no search_close() function.
4330       Files are left open in case of re-use. At suitable places in higher logic,
4331       search_tidyup() is called to tidy all open files. This can save opening
4332       the same file several times. However, files may also get closed when
4333       others are opened, if too many are open at once. The rule is that a
4334       handle should not be used after a second search_open().
4335
4336       Request that a partial search sets up $1 and maybe $2 by passing
4337       expand_setup containing zero. If its value changes, reset expand_nmax,
4338       since new variables will have been set. Note that at the end of this
4339       "lookup" section, the old numeric variables are restored. */
4340
4341       if (skipping)
4342         lookup_value = NULL;
4343       else
4344         {
4345         void *handle = search_open(filename, stype, 0, NULL, NULL);
4346         if (handle == NULL)
4347           {
4348           expand_string_message = search_error_message;
4349           goto EXPAND_FAILED;
4350           }
4351         lookup_value = search_find(handle, filename, key, partial, affix,
4352           affixlen, starflags, &expand_setup);
4353         if (search_find_defer)
4354           {
4355           expand_string_message =
4356             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4357               string_printing2(key, FALSE), search_error_message);
4358           goto EXPAND_FAILED;
4359           }
4360         if (expand_setup > 0) expand_nmax = expand_setup;
4361         }
4362
4363       /* The handling of "yes" and "no" result strings is now in a separate
4364       function that is also used by ${if} and ${extract}. */
4365
4366       switch(process_yesno(
4367                skipping,                     /* were previously skipping */
4368                lookup_value != NULL,         /* success/failure indicator */
4369                save_lookup_value,            /* value to reset for string2 */
4370                &s,                           /* input pointer */
4371                &yield,                       /* output pointer */
4372                &size,                        /* output size */
4373                &ptr,                         /* output current point */
4374                US"lookup",                   /* condition type */
4375                &resetok))
4376         {
4377         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4378         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4379         }
4380
4381       /* Restore external setting of expansion variables for carrying on
4382       at this level, and continue. */
4383
4384       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4385         save_expand_nlength);
4386       continue;
4387       }
4388
4389     /* If Perl support is configured, handle calling embedded perl subroutines,
4390     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4391     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4392     arguments (defined below). */
4393
4394     #define EXIM_PERL_MAX_ARGS 8
4395
4396     case EITEM_PERL:
4397     #ifndef EXIM_PERL
4398     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4399       "is not included in this binary";
4400     goto EXPAND_FAILED;
4401
4402     #else   /* EXIM_PERL */
4403       {
4404       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4405       uschar *new_yield;
4406
4407       if ((expand_forbid & RDO_PERL) != 0)
4408         {
4409         expand_string_message = US"Perl calls are not permitted";
4410         goto EXPAND_FAILED;
4411         }
4412
4413       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4414            US"perl", &resetok))
4415         {
4416         case 1: goto EXPAND_FAILED_CURLY;
4417         case 2:
4418         case 3: goto EXPAND_FAILED;
4419         }
4420
4421       /* If skipping, we don't actually do anything */
4422
4423       if (skipping) continue;
4424
4425       /* Start the interpreter if necessary */
4426
4427       if (!opt_perl_started)
4428         {
4429         uschar *initerror;
4430         if (opt_perl_startup == NULL)
4431           {
4432           expand_string_message = US"A setting of perl_startup is needed when "
4433             "using the Perl interpreter";
4434           goto EXPAND_FAILED;
4435           }
4436         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4437         initerror = init_perl(opt_perl_startup);
4438         if (initerror != NULL)
4439           {
4440           expand_string_message =
4441             string_sprintf("error in perl_startup code: %s\n", initerror);
4442           goto EXPAND_FAILED;
4443           }
4444         opt_perl_started = TRUE;
4445         }
4446
4447       /* Call the function */
4448
4449       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4450       new_yield = call_perl_cat(yield, &size, &ptr, &expand_string_message,
4451         sub_arg[0], sub_arg + 1);
4452
4453       /* NULL yield indicates failure; if the message pointer has been set to
4454       NULL, the yield was undef, indicating a forced failure. Otherwise the
4455       message will indicate some kind of Perl error. */
4456
4457       if (new_yield == NULL)
4458         {
4459         if (expand_string_message == NULL)
4460           {
4461           expand_string_message =
4462             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4463               "failure", sub_arg[0]);
4464           expand_string_forcedfail = TRUE;
4465           }
4466         goto EXPAND_FAILED;
4467         }
4468
4469       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4470       set during a callback from Perl. */
4471
4472       expand_string_forcedfail = FALSE;
4473       yield = new_yield;
4474       continue;
4475       }
4476     #endif /* EXIM_PERL */
4477
4478     /* Transform email address to "prvs" scheme to use
4479        as BATV-signed return path */
4480
4481     case EITEM_PRVS:
4482       {
4483       uschar *sub_arg[3];
4484       uschar *p,*domain;
4485
4486       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4487         {
4488         case 1: goto EXPAND_FAILED_CURLY;
4489         case 2:
4490         case 3: goto EXPAND_FAILED;
4491         }
4492
4493       /* If skipping, we don't actually do anything */
4494       if (skipping) continue;
4495
4496       /* sub_arg[0] is the address */
4497       domain = Ustrrchr(sub_arg[0],'@');
4498       if ( (domain == NULL) || (domain == sub_arg[0]) || (Ustrlen(domain) == 1) )
4499         {
4500         expand_string_message = US"prvs first argument must be a qualified email address";
4501         goto EXPAND_FAILED;
4502         }
4503
4504       /* Calculate the hash. The second argument must be a single-digit
4505       key number, or unset. */
4506
4507       if (sub_arg[2] != NULL &&
4508           (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4509         {
4510         expand_string_message = US"prvs second argument must be a single digit";
4511         goto EXPAND_FAILED;
4512         }
4513
4514       p = prvs_hmac_sha1(sub_arg[0],sub_arg[1],sub_arg[2],prvs_daystamp(7));
4515       if (p == NULL)
4516         {
4517         expand_string_message = US"prvs hmac-sha1 conversion failed";
4518         goto EXPAND_FAILED;
4519         }
4520
4521       /* Now separate the domain from the local part */
4522       *domain++ = '\0';
4523
4524       yield = string_catn(yield, &size, &ptr, US"prvs=", 5);
4525       yield = string_catn(yield, &size, &ptr, sub_arg[2] ? sub_arg[2] : US"0", 1);
4526       yield = string_catn(yield, &size, &ptr, prvs_daystamp(7), 3);
4527       yield = string_catn(yield, &size, &ptr, p, 6);
4528       yield = string_catn(yield, &size, &ptr, US"=", 1);
4529       yield = string_cat (yield, &size, &ptr, sub_arg[0]);
4530       yield = string_catn(yield, &size, &ptr, US"@", 1);
4531       yield = string_cat (yield, &size, &ptr, domain);
4532
4533       continue;
4534       }
4535
4536     /* Check a prvs-encoded address for validity */
4537
4538     case EITEM_PRVSCHECK:
4539       {
4540       uschar *sub_arg[3];
4541       int mysize = 0, myptr = 0;
4542       const pcre *re;
4543       uschar *p;
4544
4545       /* TF: Ugliness: We want to expand parameter 1 first, then set
4546          up expansion variables that are used in the expansion of
4547          parameter 2. So we clone the string for the first
4548          expansion, where we only expand parameter 1.
4549
4550          PH: Actually, that isn't necessary. The read_subs() function is
4551          designed to work this way for the ${if and ${lookup expansions. I've
4552          tidied the code.
4553       */
4554
4555       /* Reset expansion variables */
4556       prvscheck_result = NULL;
4557       prvscheck_address = NULL;
4558       prvscheck_keynum = NULL;
4559
4560       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4561         {
4562         case 1: goto EXPAND_FAILED_CURLY;
4563         case 2:
4564         case 3: goto EXPAND_FAILED;
4565         }
4566
4567       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4568                               TRUE,FALSE);
4569
4570       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4571         {
4572         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4573         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4574         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4575         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4576         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4577
4578         DEBUG(D_expand) debug_printf("prvscheck localpart: %s\n", local_part);
4579         DEBUG(D_expand) debug_printf("prvscheck key number: %s\n", key_num);
4580         DEBUG(D_expand) debug_printf("prvscheck daystamp: %s\n", daystamp);
4581         DEBUG(D_expand) debug_printf("prvscheck hash: %s\n", hash);
4582         DEBUG(D_expand) debug_printf("prvscheck domain: %s\n", domain);
4583
4584         /* Set up expansion variables */
4585         prvscheck_address = string_cat (NULL, &mysize, &myptr, local_part);
4586         prvscheck_address = string_catn(prvscheck_address, &mysize, &myptr, US"@", 1);
4587         prvscheck_address = string_cat (prvscheck_address, &mysize, &myptr, domain);
4588         prvscheck_address[myptr] = '\0';
4589         prvscheck_keynum = string_copy(key_num);
4590
4591         /* Now expand the second argument */
4592         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4593           {
4594           case 1: goto EXPAND_FAILED_CURLY;
4595           case 2:
4596           case 3: goto EXPAND_FAILED;
4597           }
4598
4599         /* Now we have the key and can check the address. */
4600
4601         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4602           daystamp);
4603
4604         if (p == NULL)
4605           {
4606           expand_string_message = US"hmac-sha1 conversion failed";
4607           goto EXPAND_FAILED;
4608           }
4609
4610         DEBUG(D_expand) debug_printf("prvscheck: received hash is %s\n", hash);
4611         DEBUG(D_expand) debug_printf("prvscheck:      own hash is %s\n", p);
4612
4613         if (Ustrcmp(p,hash) == 0)
4614           {
4615           /* Success, valid BATV address. Now check the expiry date. */
4616           uschar *now = prvs_daystamp(0);
4617           unsigned int inow = 0,iexpire = 1;
4618
4619           (void)sscanf(CS now,"%u",&inow);
4620           (void)sscanf(CS daystamp,"%u",&iexpire);
4621
4622           /* When "iexpire" is < 7, a "flip" has occured.
4623              Adjust "inow" accordingly. */
4624           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4625
4626           if (iexpire >= inow)
4627             {
4628             prvscheck_result = US"1";
4629             DEBUG(D_expand) debug_printf("prvscheck: success, $pvrs_result set to 1\n");
4630             }
4631             else
4632             {
4633             prvscheck_result = NULL;
4634             DEBUG(D_expand) debug_printf("prvscheck: signature expired, $pvrs_result unset\n");
4635             }
4636           }
4637         else
4638           {
4639           prvscheck_result = NULL;
4640           DEBUG(D_expand) debug_printf("prvscheck: hash failure, $pvrs_result unset\n");
4641           }
4642
4643         /* Now expand the final argument. We leave this till now so that
4644         it can include $prvscheck_result. */
4645
4646         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4647           {
4648           case 1: goto EXPAND_FAILED_CURLY;
4649           case 2:
4650           case 3: goto EXPAND_FAILED;
4651           }
4652
4653         yield = string_cat(yield, &size, &ptr,
4654           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
4655
4656         /* Reset the "internal" variables afterwards, because they are in
4657         dynamic store that will be reclaimed if the expansion succeeded. */
4658
4659         prvscheck_address = NULL;
4660         prvscheck_keynum = NULL;
4661         }
4662       else
4663         /* Does not look like a prvs encoded address, return the empty string.
4664            We need to make sure all subs are expanded first, so as to skip over
4665            the entire item. */
4666
4667         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4668           {
4669           case 1: goto EXPAND_FAILED_CURLY;
4670           case 2:
4671           case 3: goto EXPAND_FAILED;
4672           }
4673
4674       continue;
4675       }
4676
4677     /* Handle "readfile" to insert an entire file */
4678
4679     case EITEM_READFILE:
4680       {
4681       FILE *f;
4682       uschar *sub_arg[2];
4683
4684       if ((expand_forbid & RDO_READFILE) != 0)
4685         {
4686         expand_string_message = US"file insertions are not permitted";
4687         goto EXPAND_FAILED;
4688         }
4689
4690       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4691         {
4692         case 1: goto EXPAND_FAILED_CURLY;
4693         case 2:
4694         case 3: goto EXPAND_FAILED;
4695         }
4696
4697       /* If skipping, we don't actually do anything */
4698
4699       if (skipping) continue;
4700
4701       /* Open the file and read it */
4702
4703       f = Ufopen(sub_arg[0], "rb");
4704       if (f == NULL)
4705         {
4706         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
4707         goto EXPAND_FAILED;
4708         }
4709
4710       yield = cat_file(f, yield, &size, &ptr, sub_arg[1]);
4711       (void)fclose(f);
4712       continue;
4713       }
4714
4715     /* Handle "readsocket" to insert data from a Unix domain socket */
4716
4717     case EITEM_READSOCK:
4718       {
4719       int fd;
4720       int timeout = 5;
4721       int save_ptr = ptr;
4722       FILE *f;
4723       struct sockaddr_un sockun;         /* don't call this "sun" ! */
4724       uschar *arg;
4725       uschar *sub_arg[4];
4726
4727       if ((expand_forbid & RDO_READSOCK) != 0)
4728         {
4729         expand_string_message = US"socket insertions are not permitted";
4730         goto EXPAND_FAILED;
4731         }
4732
4733       /* Read up to 4 arguments, but don't do the end of item check afterwards,
4734       because there may be a string for expansion on failure. */
4735
4736       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
4737         {
4738         case 1: goto EXPAND_FAILED_CURLY;
4739         case 2:                             /* Won't occur: no end check */
4740         case 3: goto EXPAND_FAILED;
4741         }
4742
4743       /* Sort out timeout, if given */
4744
4745       if (sub_arg[2] != NULL)
4746         {
4747         timeout = readconf_readtime(sub_arg[2], 0, FALSE);
4748         if (timeout < 0)
4749           {
4750           expand_string_message = string_sprintf("bad time value %s",
4751             sub_arg[2]);
4752           goto EXPAND_FAILED;
4753           }
4754         }
4755       else sub_arg[3] = NULL;                     /* No eol if no timeout */
4756
4757       /* If skipping, we don't actually do anything. Otherwise, arrange to
4758       connect to either an IP or a Unix socket. */
4759
4760       if (!skipping)
4761         {
4762         /* Handle an IP (internet) domain */
4763
4764         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
4765           {
4766           int port;
4767           uschar *server_name = sub_arg[0] + 5;
4768           uschar *port_name = Ustrrchr(server_name, ':');
4769
4770           /* Sort out the port */
4771
4772           if (port_name == NULL)
4773             {
4774             expand_string_message =
4775               string_sprintf("missing port for readsocket %s", sub_arg[0]);
4776             goto EXPAND_FAILED;
4777             }
4778           *port_name++ = 0;           /* Terminate server name */
4779
4780           if (isdigit(*port_name))
4781             {
4782             uschar *end;
4783             port = Ustrtol(port_name, &end, 0);
4784             if (end != port_name + Ustrlen(port_name))
4785               {
4786               expand_string_message =
4787                 string_sprintf("invalid port number %s", port_name);
4788               goto EXPAND_FAILED;
4789               }
4790             }
4791           else
4792             {
4793             struct servent *service_info = getservbyname(CS port_name, "tcp");
4794             if (service_info == NULL)
4795               {
4796               expand_string_message = string_sprintf("unknown port \"%s\"",
4797                 port_name);
4798               goto EXPAND_FAILED;
4799               }
4800             port = ntohs(service_info->s_port);
4801             }
4802
4803           if ((fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
4804                   timeout, NULL, &expand_string_message)) < 0)
4805               goto SOCK_FAIL;
4806           }
4807
4808         /* Handle a Unix domain socket */
4809
4810         else
4811           {
4812           int rc;
4813           if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
4814             {
4815             expand_string_message = string_sprintf("failed to create socket: %s",
4816               strerror(errno));
4817             goto SOCK_FAIL;
4818             }
4819
4820           sockun.sun_family = AF_UNIX;
4821           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
4822             sub_arg[0]);
4823
4824           sigalrm_seen = FALSE;
4825           alarm(timeout);
4826           rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
4827           alarm(0);
4828           if (sigalrm_seen)
4829             {
4830             expand_string_message = US "socket connect timed out";
4831             goto SOCK_FAIL;
4832             }
4833           if (rc < 0)
4834             {
4835             expand_string_message = string_sprintf("failed to connect to socket "
4836               "%s: %s", sub_arg[0], strerror(errno));
4837             goto SOCK_FAIL;
4838             }
4839           }
4840
4841         DEBUG(D_expand) debug_printf("connected to socket %s\n", sub_arg[0]);
4842
4843         /* Allow sequencing of test actions */
4844         if (running_in_test_harness) millisleep(100);
4845
4846         /* Write the request string, if not empty */
4847
4848         if (sub_arg[1][0] != 0)
4849           {
4850           int len = Ustrlen(sub_arg[1]);
4851           DEBUG(D_expand) debug_printf("writing \"%s\" to socket\n",
4852             sub_arg[1]);
4853           if (write(fd, sub_arg[1], len) != len)
4854             {
4855             expand_string_message = string_sprintf("request write to socket "
4856               "failed: %s", strerror(errno));
4857             goto SOCK_FAIL;
4858             }
4859           }
4860
4861         /* Shut down the sending side of the socket. This helps some servers to
4862         recognise that it is their turn to do some work. Just in case some
4863         system doesn't have this function, make it conditional. */
4864
4865         #ifdef SHUT_WR
4866         shutdown(fd, SHUT_WR);
4867         #endif
4868
4869         if (running_in_test_harness) millisleep(100);
4870
4871         /* Now we need to read from the socket, under a timeout. The function
4872         that reads a file can be used. */
4873
4874         f = fdopen(fd, "rb");
4875         sigalrm_seen = FALSE;
4876         alarm(timeout);
4877         yield = cat_file(f, yield, &size, &ptr, sub_arg[3]);
4878         alarm(0);
4879         (void)fclose(f);
4880
4881         /* After a timeout, we restore the pointer in the result, that is,
4882         make sure we add nothing from the socket. */
4883
4884         if (sigalrm_seen)
4885           {
4886           ptr = save_ptr;
4887           expand_string_message = US "socket read timed out";
4888           goto SOCK_FAIL;
4889           }
4890         }
4891
4892       /* The whole thing has worked (or we were skipping). If there is a
4893       failure string following, we need to skip it. */
4894
4895       if (*s == '{')
4896         {
4897         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
4898           goto EXPAND_FAILED;
4899         if (*s++ != '}')
4900           {
4901           expand_string_message = US"missing '}' closing failstring for readsocket";
4902           goto EXPAND_FAILED_CURLY;
4903           }
4904         while (isspace(*s)) s++;
4905         }
4906
4907     readsock_done:
4908       if (*s++ != '}')
4909         {
4910         expand_string_message = US"missing '}' closing readsocket";
4911         goto EXPAND_FAILED_CURLY;
4912         }
4913       continue;
4914
4915       /* Come here on failure to create socket, connect socket, write to the
4916       socket, or timeout on reading. If another substring follows, expand and
4917       use it. Otherwise, those conditions give expand errors. */
4918
4919       SOCK_FAIL:
4920       if (*s != '{') goto EXPAND_FAILED;
4921       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
4922       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
4923         goto EXPAND_FAILED;
4924       yield = string_cat(yield, &size, &ptr, arg);
4925       if (*s++ != '}')
4926         {
4927         expand_string_message = US"missing '}' closing failstring for readsocket";
4928         goto EXPAND_FAILED_CURLY;
4929         }
4930       while (isspace(*s)) s++;
4931       goto readsock_done;
4932       }
4933
4934     /* Handle "run" to execute a program. */
4935
4936     case EITEM_RUN:
4937       {
4938       FILE *f;
4939       uschar *arg;
4940       const uschar **argv;
4941       pid_t pid;
4942       int fd_in, fd_out;
4943       int lsize = 0, lptr = 0;
4944
4945       if ((expand_forbid & RDO_RUN) != 0)
4946         {
4947         expand_string_message = US"running a command is not permitted";
4948         goto EXPAND_FAILED;
4949         }
4950
4951       while (isspace(*s)) s++;
4952       if (*s != '{')
4953         {
4954         expand_string_message = US"missing '{' for command arg of run";
4955         goto EXPAND_FAILED_CURLY;
4956         }
4957       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4958       if (arg == NULL) goto EXPAND_FAILED;
4959       while (isspace(*s)) s++;
4960       if (*s++ != '}')
4961         {
4962         expand_string_message = US"missing '}' closing command arg of run";
4963         goto EXPAND_FAILED_CURLY;
4964         }
4965
4966       if (skipping)   /* Just pretend it worked when we're skipping */
4967         {
4968         runrc = 0;
4969         lookup_value = NULL;
4970         }
4971       else
4972         {
4973         if (!transport_set_up_command(&argv,    /* anchor for arg list */
4974             arg,                                /* raw command */
4975             FALSE,                              /* don't expand the arguments */
4976             0,                                  /* not relevant when... */
4977             NULL,                               /* no transporting address */
4978             US"${run} expansion",               /* for error messages */
4979             &expand_string_message))            /* where to put error message */
4980           goto EXPAND_FAILED;
4981
4982         /* Create the child process, making it a group leader. */
4983
4984         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
4985           {
4986           expand_string_message =
4987             string_sprintf("couldn't create child process: %s", strerror(errno));
4988           goto EXPAND_FAILED;
4989           }
4990
4991         /* Nothing is written to the standard input. */
4992
4993         (void)close(fd_in);
4994
4995         /* Read the pipe to get the command's output into $value (which is kept
4996         in lookup_value). Read during execution, so that if the output exceeds
4997         the OS pipe buffer limit, we don't block forever. Remember to not release
4998         memory just allocated for $value. */
4999
5000         resetok = FALSE;
5001         f = fdopen(fd_out, "rb");
5002         sigalrm_seen = FALSE;
5003         alarm(60);
5004         lookup_value = cat_file(f, NULL, &lsize, &lptr, NULL);
5005         alarm(0);
5006         (void)fclose(f);
5007
5008         /* Wait for the process to finish, applying the timeout, and inspect its
5009         return code for serious disasters. Simple non-zero returns are passed on.
5010         */
5011
5012         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5013           {
5014           if (sigalrm_seen || runrc == -256)
5015             {
5016             expand_string_message = string_sprintf("command timed out");
5017             killpg(pid, SIGKILL);       /* Kill the whole process group */
5018             }
5019
5020           else if (runrc == -257)
5021             expand_string_message = string_sprintf("wait() failed: %s",
5022               strerror(errno));
5023
5024           else
5025             expand_string_message = string_sprintf("command killed by signal %d",
5026               -runrc);
5027
5028           goto EXPAND_FAILED;
5029           }
5030         }
5031
5032       /* Process the yes/no strings; $value may be useful in both cases */
5033
5034       switch(process_yesno(
5035                skipping,                     /* were previously skipping */
5036                runrc == 0,                   /* success/failure indicator */
5037                lookup_value,                 /* value to reset for string2 */
5038                &s,                           /* input pointer */
5039                &yield,                       /* output pointer */
5040                &size,                        /* output size */
5041                &ptr,                         /* output current point */
5042                US"run",                      /* condition type */
5043                &resetok))
5044         {
5045         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5046         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5047         }
5048
5049       continue;
5050       }
5051
5052     /* Handle character translation for "tr" */
5053
5054     case EITEM_TR:
5055       {
5056       int oldptr = ptr;
5057       int o2m;
5058       uschar *sub[3];
5059
5060       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5061         {
5062         case 1: goto EXPAND_FAILED_CURLY;
5063         case 2:
5064         case 3: goto EXPAND_FAILED;
5065         }
5066
5067       yield = string_cat(yield, &size, &ptr, sub[0]);
5068       o2m = Ustrlen(sub[2]) - 1;
5069
5070       if (o2m >= 0) for (; oldptr < ptr; oldptr++)
5071         {
5072         uschar *m = Ustrrchr(sub[1], yield[oldptr]);
5073         if (m != NULL)
5074           {
5075           int o = m - sub[1];
5076           yield[oldptr] = sub[2][(o < o2m)? o : o2m];
5077           }
5078         }
5079
5080       continue;
5081       }
5082
5083     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5084     expanded arguments. */
5085
5086     case EITEM_HASH:
5087     case EITEM_LENGTH:
5088     case EITEM_NHASH:
5089     case EITEM_SUBSTR:
5090       {
5091       int i;
5092       int len;
5093       uschar *ret;
5094       int val[2] = { 0, -1 };
5095       uschar *sub[3];
5096
5097       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5098       Ensure that sub[2] is set in the ${length } case. */
5099
5100       sub[2] = NULL;
5101       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5102              TRUE, name, &resetok))
5103         {
5104         case 1: goto EXPAND_FAILED_CURLY;
5105         case 2:
5106         case 3: goto EXPAND_FAILED;
5107         }
5108
5109       /* Juggle the arguments if there are only two of them: always move the
5110       string to the last position and make ${length{n}{str}} equivalent to
5111       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5112
5113       if (sub[2] == NULL)
5114         {
5115         sub[2] = sub[1];
5116         sub[1] = NULL;
5117         if (item_type == EITEM_LENGTH)
5118           {
5119           sub[1] = sub[0];
5120           sub[0] = NULL;
5121           }
5122         }
5123
5124       for (i = 0; i < 2; i++)
5125         {
5126         if (sub[i] == NULL) continue;
5127         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5128         if (*ret != 0 || (i != 0 && val[i] < 0))
5129           {
5130           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5131             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5132           goto EXPAND_FAILED;
5133           }
5134         }
5135
5136       ret =
5137         (item_type == EITEM_HASH)?
5138           compute_hash(sub[2], val[0], val[1], &len) :
5139         (item_type == EITEM_NHASH)?
5140           compute_nhash(sub[2], val[0], val[1], &len) :
5141           extract_substr(sub[2], val[0], val[1], &len);
5142
5143       if (ret == NULL) goto EXPAND_FAILED;
5144       yield = string_catn(yield, &size, &ptr, ret, len);
5145       continue;
5146       }
5147
5148     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5149     This code originally contributed by Steve Haslam. It currently supports
5150     the use of MD5 and SHA-1 hashes.
5151
5152     We need some workspace that is large enough to handle all the supported
5153     hash types. Use macros to set the sizes rather than be too elaborate. */
5154
5155     #define MAX_HASHLEN      20
5156     #define MAX_HASHBLOCKLEN 64
5157
5158     case EITEM_HMAC:
5159       {
5160       uschar *sub[3];
5161       md5 md5_base;
5162       hctx sha1_ctx;
5163       void *use_base;
5164       int type, i;
5165       int hashlen;      /* Number of octets for the hash algorithm's output */
5166       int hashblocklen; /* Number of octets the hash algorithm processes */
5167       uschar *keyptr, *p;
5168       unsigned int keylen;
5169
5170       uschar keyhash[MAX_HASHLEN];
5171       uschar innerhash[MAX_HASHLEN];
5172       uschar finalhash[MAX_HASHLEN];
5173       uschar finalhash_hex[2*MAX_HASHLEN];
5174       uschar innerkey[MAX_HASHBLOCKLEN];
5175       uschar outerkey[MAX_HASHBLOCKLEN];
5176
5177       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5178         {
5179         case 1: goto EXPAND_FAILED_CURLY;
5180         case 2:
5181         case 3: goto EXPAND_FAILED;
5182         }
5183
5184       if (!skipping)
5185         {
5186         if (Ustrcmp(sub[0], "md5") == 0)
5187           {
5188           type = HMAC_MD5;
5189           use_base = &md5_base;
5190           hashlen = 16;
5191           hashblocklen = 64;
5192           }
5193         else if (Ustrcmp(sub[0], "sha1") == 0)
5194           {
5195           type = HMAC_SHA1;
5196           use_base = &sha1_ctx;
5197           hashlen = 20;
5198           hashblocklen = 64;
5199           }
5200         else
5201           {
5202           expand_string_message =
5203             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5204           goto EXPAND_FAILED;
5205           }
5206
5207         keyptr = sub[1];
5208         keylen = Ustrlen(keyptr);
5209
5210         /* If the key is longer than the hash block length, then hash the key
5211         first */
5212
5213         if (keylen > hashblocklen)
5214           {
5215           chash_start(type, use_base);
5216           chash_end(type, use_base, keyptr, keylen, keyhash);
5217           keyptr = keyhash;
5218           keylen = hashlen;
5219           }
5220
5221         /* Now make the inner and outer key values */
5222
5223         memset(innerkey, 0x36, hashblocklen);
5224         memset(outerkey, 0x5c, hashblocklen);
5225
5226         for (i = 0; i < keylen; i++)
5227           {
5228           innerkey[i] ^= keyptr[i];
5229           outerkey[i] ^= keyptr[i];
5230           }
5231
5232         /* Now do the hashes */
5233
5234         chash_start(type, use_base);
5235         chash_mid(type, use_base, innerkey);
5236         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5237
5238         chash_start(type, use_base);
5239         chash_mid(type, use_base, outerkey);
5240         chash_end(type, use_base, innerhash, hashlen, finalhash);
5241
5242         /* Encode the final hash as a hex string */
5243
5244         p = finalhash_hex;
5245         for (i = 0; i < hashlen; i++)
5246           {
5247           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5248           *p++ = hex_digits[finalhash[i] & 0x0f];
5249           }
5250
5251         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5252           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5253
5254         yield = string_catn(yield, &size, &ptr, finalhash_hex, hashlen*2);
5255         }
5256       continue;
5257       }
5258
5259     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5260     We have to save the numerical variables and restore them afterwards. */
5261
5262     case EITEM_SG:
5263       {
5264       const pcre *re;
5265       int moffset, moffsetextra, slen;
5266       int roffset;
5267       int emptyopt;
5268       const uschar *rerror;
5269       uschar *subject;
5270       uschar *sub[3];
5271       int save_expand_nmax =
5272         save_expand_strings(save_expand_nstring, save_expand_nlength);
5273
5274       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5275         {
5276         case 1: goto EXPAND_FAILED_CURLY;
5277         case 2:
5278         case 3: goto EXPAND_FAILED;
5279         }
5280
5281       /* Compile the regular expression */
5282
5283       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5284         NULL);
5285
5286       if (re == NULL)
5287         {
5288         expand_string_message = string_sprintf("regular expression error in "
5289           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5290         goto EXPAND_FAILED;
5291         }
5292
5293       /* Now run a loop to do the substitutions as often as necessary. It ends
5294       when there are no more matches. Take care over matches of the null string;
5295       do the same thing as Perl does. */
5296
5297       subject = sub[0];
5298       slen = Ustrlen(sub[0]);
5299       moffset = moffsetextra = 0;
5300       emptyopt = 0;
5301
5302       for (;;)
5303         {
5304         int ovector[3*(EXPAND_MAXN+1)];
5305         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5306           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5307         int nn;
5308         uschar *insert;
5309
5310         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5311         is not necessarily the end. We want to repeat the match from one
5312         character further along, but leaving the basic offset the same (for
5313         copying below). We can't be at the end of the string - that was checked
5314         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5315         finished; copy the remaining string and end the loop. */
5316
5317         if (n < 0)
5318           {
5319           if (emptyopt != 0)
5320             {
5321             moffsetextra = 1;
5322             emptyopt = 0;
5323             continue;
5324             }
5325           yield = string_catn(yield, &size, &ptr, subject+moffset, slen-moffset);
5326           break;
5327           }
5328
5329         /* Match - set up for expanding the replacement. */
5330
5331         if (n == 0) n = EXPAND_MAXN + 1;
5332         expand_nmax = 0;
5333         for (nn = 0; nn < n*2; nn += 2)
5334           {
5335           expand_nstring[expand_nmax] = subject + ovector[nn];
5336           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5337           }
5338         expand_nmax--;
5339
5340         /* Copy the characters before the match, plus the expanded insertion. */
5341
5342         yield = string_catn(yield, &size, &ptr, subject + moffset,
5343           ovector[0] - moffset);
5344         insert = expand_string(sub[2]);
5345         if (insert == NULL) goto EXPAND_FAILED;
5346         yield = string_cat(yield, &size, &ptr, insert);
5347
5348         moffset = ovector[1];
5349         moffsetextra = 0;
5350         emptyopt = 0;
5351
5352         /* If we have matched an empty string, first check to see if we are at
5353         the end of the subject. If so, the loop is over. Otherwise, mimic
5354         what Perl's /g options does. This turns out to be rather cunning. First
5355         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5356         string at the same point. If this fails (picked up above) we advance to
5357         the next character. */
5358
5359         if (ovector[0] == ovector[1])
5360           {
5361           if (ovector[0] == slen) break;
5362           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5363           }
5364         }
5365
5366       /* All done - restore numerical variables. */
5367
5368       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5369         save_expand_nlength);
5370       continue;
5371       }
5372
5373     /* Handle keyed and numbered substring extraction. If the first argument
5374     consists entirely of digits, then a numerical extraction is assumed. */
5375
5376     case EITEM_EXTRACT:
5377       {
5378       int i;
5379       int j;
5380       int field_number = 1;
5381       BOOL field_number_set = FALSE;
5382       uschar *save_lookup_value = lookup_value;
5383       uschar *sub[3];
5384       int save_expand_nmax =
5385         save_expand_strings(save_expand_nstring, save_expand_nlength);
5386
5387       /* While skipping we cannot rely on the data for expansions being
5388       available (eg. $item) hence cannot decide on numeric vs. keyed.
5389       Read a maximum of 5 arguments (inclding the yes/no) */
5390
5391       if (skipping)
5392         {
5393         while (isspace(*s)) s++;
5394         for (j = 5; j > 0 && *s == '{'; j--)
5395           {
5396           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5397             goto EXPAND_FAILED;                                 /*{*/
5398           if (*s++ != '}')
5399             {
5400             expand_string_message = US"missing '{' for arg of extract";
5401             goto EXPAND_FAILED_CURLY;
5402             }
5403           while (isspace(*s)) s++;
5404           }
5405         if (  Ustrncmp(s, "fail", 4) == 0
5406            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5407            )
5408           {
5409           s += 4;
5410           while (isspace(*s)) s++;
5411           }
5412         if (*s != '}')
5413           {
5414           expand_string_message = US"missing '}' closing extract";
5415           goto EXPAND_FAILED_CURLY;
5416           }
5417         }
5418
5419       else for (i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5420         {
5421         while (isspace(*s)) s++;
5422         if (*s == '{')                                          /*}*/
5423           {
5424           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5425           if (sub[i] == NULL) goto EXPAND_FAILED;               /*{*/
5426           if (*s++ != '}')
5427             {
5428             expand_string_message = string_sprintf(
5429               "missing '}' closing arg %d of extract", i+1);
5430             goto EXPAND_FAILED_CURLY;
5431             }
5432
5433           /* After removal of leading and trailing white space, the first
5434           argument must not be empty; if it consists entirely of digits
5435           (optionally preceded by a minus sign), this is a numerical
5436           extraction, and we expect 3 arguments. */
5437
5438           if (i == 0)
5439             {
5440             int len;
5441             int x = 0;
5442             uschar *p = sub[0];
5443
5444             while (isspace(*p)) p++;
5445             sub[0] = p;
5446
5447             len = Ustrlen(p);
5448             while (len > 0 && isspace(p[len-1])) len--;
5449             p[len] = 0;
5450
5451             if (*p == 0)
5452               {
5453               expand_string_message = US"first argument of \"extract\" must "
5454                 "not be empty";
5455               goto EXPAND_FAILED;
5456               }
5457
5458             if (*p == '-')
5459               {
5460               field_number = -1;
5461               p++;
5462               }
5463             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5464             if (*p == 0)
5465               {
5466               field_number *= x;
5467               j = 3;               /* Need 3 args */
5468               field_number_set = TRUE;
5469               }
5470             }
5471           }
5472         else
5473           {
5474           expand_string_message = string_sprintf(
5475             "missing '{' for arg %d of extract", i+1);
5476           goto EXPAND_FAILED_CURLY;
5477           }
5478         }
5479
5480       /* Extract either the numbered or the keyed substring into $value. If
5481       skipping, just pretend the extraction failed. */
5482
5483       lookup_value = skipping? NULL : field_number_set?
5484         expand_gettokened(field_number, sub[1], sub[2]) :
5485         expand_getkeyed(sub[0], sub[1]);
5486
5487       /* If no string follows, $value gets substituted; otherwise there can
5488       be yes/no strings, as for lookup or if. */
5489
5490       switch(process_yesno(
5491                skipping,                     /* were previously skipping */
5492                lookup_value != NULL,         /* success/failure indicator */
5493                save_lookup_value,            /* value to reset for string2 */
5494                &s,                           /* input pointer */
5495                &yield,                       /* output pointer */
5496                &size,                        /* output size */
5497                &ptr,                         /* output current point */
5498                US"extract",                  /* condition type */
5499                &resetok))
5500         {
5501         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5502         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5503         }
5504
5505       /* All done - restore numerical variables. */
5506
5507       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5508         save_expand_nlength);
5509
5510       continue;
5511       }
5512
5513     /* return the Nth item from a list */
5514
5515     case EITEM_LISTEXTRACT:
5516       {
5517       int i;
5518       int field_number = 1;
5519       uschar *save_lookup_value = lookup_value;
5520       uschar *sub[2];
5521       int save_expand_nmax =
5522         save_expand_strings(save_expand_nstring, save_expand_nlength);
5523
5524       /* Read the field & list arguments */
5525
5526       for (i = 0; i < 2; i++)
5527         {
5528         while (isspace(*s)) s++;
5529         if (*s != '{')                                  /*}*/
5530           {
5531           expand_string_message = string_sprintf(
5532             "missing '{' for arg %d of listextract", i+1);
5533           goto EXPAND_FAILED_CURLY;
5534           }
5535
5536         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5537         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
5538         if (*s++ != '}')
5539           {
5540           expand_string_message = string_sprintf(
5541             "missing '}' closing arg %d of listextract", i+1);
5542           goto EXPAND_FAILED_CURLY;
5543           }
5544
5545         /* After removal of leading and trailing white space, the first
5546         argument must be numeric and nonempty. */
5547
5548         if (i == 0)
5549           {
5550           int len;
5551           int x = 0;
5552           uschar *p = sub[0];
5553
5554           while (isspace(*p)) p++;
5555           sub[0] = p;
5556
5557           len = Ustrlen(p);
5558           while (len > 0 && isspace(p[len-1])) len--;
5559           p[len] = 0;
5560
5561           if (!*p && !skipping)
5562             {
5563             expand_string_message = US"first argument of \"listextract\" must "
5564               "not be empty";
5565             goto EXPAND_FAILED;
5566             }
5567
5568           if (*p == '-')
5569             {
5570             field_number = -1;
5571             p++;
5572             }
5573           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
5574           if (*p)
5575             {
5576             expand_string_message = US"first argument of \"listextract\" must "
5577               "be numeric";
5578             goto EXPAND_FAILED;
5579             }
5580           field_number *= x;
5581           }
5582         }
5583
5584       /* Extract the numbered element into $value. If
5585       skipping, just pretend the extraction failed. */
5586
5587       lookup_value = skipping? NULL : expand_getlistele(field_number, sub[1]);
5588
5589       /* If no string follows, $value gets substituted; otherwise there can
5590       be yes/no strings, as for lookup or if. */
5591
5592       switch(process_yesno(
5593                skipping,                     /* were previously skipping */
5594                lookup_value != NULL,         /* success/failure indicator */
5595                save_lookup_value,            /* value to reset for string2 */
5596                &s,                           /* input pointer */
5597                &yield,                       /* output pointer */
5598                &size,                        /* output size */
5599                &ptr,                         /* output current point */
5600                US"listextract",              /* condition type */
5601                &resetok))
5602         {
5603         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5604         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5605         }
5606
5607       /* All done - restore numerical variables. */
5608
5609       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5610         save_expand_nlength);
5611
5612       continue;
5613       }
5614
5615 #ifdef SUPPORT_TLS
5616     case EITEM_CERTEXTRACT:
5617       {
5618       uschar *save_lookup_value = lookup_value;
5619       uschar *sub[2];
5620       int save_expand_nmax =
5621         save_expand_strings(save_expand_nstring, save_expand_nlength);
5622
5623       /* Read the field argument */
5624       while (isspace(*s)) s++;
5625       if (*s != '{')                                    /*}*/
5626         {
5627         expand_string_message = US"missing '{' for field arg of certextract";
5628         goto EXPAND_FAILED_CURLY;
5629         }
5630       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5631       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
5632       if (*s++ != '}')
5633         {
5634         expand_string_message = US"missing '}' closing field arg of certextract";
5635         goto EXPAND_FAILED_CURLY;
5636         }
5637       /* strip spaces fore & aft */
5638       {
5639       int len;
5640       uschar *p = sub[0];
5641
5642       while (isspace(*p)) p++;
5643       sub[0] = p;
5644
5645       len = Ustrlen(p);
5646       while (len > 0 && isspace(p[len-1])) len--;
5647       p[len] = 0;
5648       }
5649
5650       /* inspect the cert argument */
5651       while (isspace(*s)) s++;
5652       if (*s != '{')                                    /*}*/
5653         {
5654         expand_string_message = US"missing '{' for cert variable arg of certextract";
5655         goto EXPAND_FAILED_CURLY;
5656         }
5657       if (*++s != '$')
5658         {
5659         expand_string_message = US"second argument of \"certextract\" must "
5660           "be a certificate variable";
5661         goto EXPAND_FAILED;
5662         }
5663       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
5664       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
5665       if (*s++ != '}')
5666         {
5667         expand_string_message = US"missing '}' closing cert variable arg of certextract";
5668         goto EXPAND_FAILED_CURLY;
5669         }
5670
5671       if (skipping)
5672         lookup_value = NULL;
5673       else
5674         {
5675         lookup_value = expand_getcertele(sub[0], sub[1]);
5676         if (*expand_string_message) goto EXPAND_FAILED;
5677         }
5678       switch(process_yesno(
5679                skipping,                     /* were previously skipping */
5680                lookup_value != NULL,         /* success/failure indicator */
5681                save_lookup_value,            /* value to reset for string2 */
5682                &s,                           /* input pointer */
5683                &yield,                       /* output pointer */
5684                &size,                        /* output size */
5685                &ptr,                         /* output current point */
5686                US"certextract",              /* condition type */
5687                &resetok))
5688         {
5689         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5690         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5691         }
5692
5693       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5694         save_expand_nlength);
5695       continue;
5696       }
5697 #endif  /*SUPPORT_TLS*/
5698
5699     /* Handle list operations */
5700
5701     case EITEM_FILTER:
5702     case EITEM_MAP:
5703     case EITEM_REDUCE:
5704       {
5705       int sep = 0;
5706       int save_ptr = ptr;
5707       uschar outsep[2] = { '\0', '\0' };
5708       const uschar *list, *expr, *temp;
5709       uschar *save_iterate_item = iterate_item;
5710       uschar *save_lookup_value = lookup_value;
5711
5712       while (isspace(*s)) s++;
5713       if (*s++ != '{')
5714         {
5715         expand_string_message =
5716           string_sprintf("missing '{' for first arg of %s", name);
5717         goto EXPAND_FAILED_CURLY;
5718         }
5719
5720       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5721       if (list == NULL) goto EXPAND_FAILED;
5722       if (*s++ != '}')
5723         {
5724         expand_string_message =
5725           string_sprintf("missing '}' closing first arg of %s", name);
5726         goto EXPAND_FAILED_CURLY;
5727         }
5728
5729       if (item_type == EITEM_REDUCE)
5730         {
5731         uschar * t;
5732         while (isspace(*s)) s++;
5733         if (*s++ != '{')
5734           {
5735           expand_string_message = US"missing '{' for second arg of reduce";
5736           goto EXPAND_FAILED_CURLY;
5737           }
5738         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5739         if (!t) goto EXPAND_FAILED;
5740         lookup_value = t;
5741         if (*s++ != '}')
5742           {
5743           expand_string_message = US"missing '}' closing second arg of reduce";
5744           goto EXPAND_FAILED_CURLY;
5745           }
5746         }
5747
5748       while (isspace(*s)) s++;
5749       if (*s++ != '{')
5750         {
5751         expand_string_message =
5752           string_sprintf("missing '{' for last arg of %s", name);
5753         goto EXPAND_FAILED_CURLY;
5754         }
5755
5756       expr = s;
5757
5758       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
5759       if scanning a "false" part). This allows us to find the end of the
5760       condition, because if the list is empty, we won't actually evaluate the
5761       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
5762       the normal internal expansion function. */
5763
5764       if (item_type == EITEM_FILTER)
5765         {
5766         temp = eval_condition(expr, &resetok, NULL);
5767         if (temp != NULL) s = temp;
5768         }
5769       else
5770         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5771
5772       if (temp == NULL)
5773         {
5774         expand_string_message = string_sprintf("%s inside \"%s\" item",
5775           expand_string_message, name);
5776         goto EXPAND_FAILED;
5777         }
5778
5779       while (isspace(*s)) s++;
5780       if (*s++ != '}')
5781         {                                               /*{*/
5782         expand_string_message = string_sprintf("missing } at end of condition "
5783           "or expression inside \"%s\"", name);
5784         goto EXPAND_FAILED;
5785         }
5786
5787       while (isspace(*s)) s++;                          /*{*/
5788       if (*s++ != '}')
5789         {                                               /*{*/
5790         expand_string_message = string_sprintf("missing } at end of \"%s\"",
5791           name);
5792         goto EXPAND_FAILED;
5793         }
5794
5795       /* If we are skipping, we can now just move on to the next item. When
5796       processing for real, we perform the iteration. */
5797
5798       if (skipping) continue;
5799       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
5800         {
5801         *outsep = (uschar)sep;      /* Separator as a string */
5802
5803         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, iterate_item);
5804
5805         if (item_type == EITEM_FILTER)
5806           {
5807           BOOL condresult;
5808           if (eval_condition(expr, &resetok, &condresult) == NULL)
5809             {
5810             iterate_item = save_iterate_item;
5811             lookup_value = save_lookup_value;
5812             expand_string_message = string_sprintf("%s inside \"%s\" condition",
5813               expand_string_message, name);
5814             goto EXPAND_FAILED;
5815             }
5816           DEBUG(D_expand) debug_printf("%s: condition is %s\n", name,
5817             condresult? "true":"false");
5818           if (condresult)
5819             temp = iterate_item;    /* TRUE => include this item */
5820           else
5821             continue;               /* FALSE => skip this item */
5822           }
5823
5824         /* EITEM_MAP and EITEM_REDUCE */
5825
5826         else
5827           {
5828           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
5829           temp = t;
5830           if (temp == NULL)
5831             {
5832             iterate_item = save_iterate_item;
5833             expand_string_message = string_sprintf("%s inside \"%s\" item",
5834               expand_string_message, name);
5835             goto EXPAND_FAILED;
5836             }
5837           if (item_type == EITEM_REDUCE)
5838             {
5839             lookup_value = t;         /* Update the value of $value */
5840             continue;                 /* and continue the iteration */
5841             }
5842           }
5843
5844         /* We reach here for FILTER if the condition is true, always for MAP,
5845         and never for REDUCE. The value in "temp" is to be added to the output
5846         list that is being created, ensuring that any occurrences of the
5847         separator character are doubled. Unless we are dealing with the first
5848         item of the output list, add in a space if the new item begins with the
5849         separator character, or is an empty string. */
5850
5851         if (ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
5852           yield = string_catn(yield, &size, &ptr, US" ", 1);
5853
5854         /* Add the string in "temp" to the output list that we are building,
5855         This is done in chunks by searching for the separator character. */
5856
5857         for (;;)
5858           {
5859           size_t seglen = Ustrcspn(temp, outsep);
5860
5861           yield = string_catn(yield, &size, &ptr, temp, seglen + 1);
5862
5863           /* If we got to the end of the string we output one character
5864           too many; backup and end the loop. Otherwise arrange to double the
5865           separator. */
5866
5867           if (temp[seglen] == '\0') { ptr--; break; }
5868           yield = string_catn(yield, &size, &ptr, outsep, 1);
5869           temp += seglen + 1;
5870           }
5871
5872         /* Output a separator after the string: we will remove the redundant
5873         final one at the end. */
5874
5875         yield = string_catn(yield, &size, &ptr, outsep, 1);
5876         }   /* End of iteration over the list loop */
5877
5878       /* REDUCE has generated no output above: output the final value of
5879       $value. */
5880
5881       if (item_type == EITEM_REDUCE)
5882         {
5883         yield = string_cat(yield, &size, &ptr, lookup_value);
5884         lookup_value = save_lookup_value;  /* Restore $value */
5885         }
5886
5887       /* FILTER and MAP generate lists: if they have generated anything, remove
5888       the redundant final separator. Even though an empty item at the end of a
5889       list does not count, this is tidier. */
5890
5891       else if (ptr != save_ptr) ptr--;
5892
5893       /* Restore preserved $item */
5894
5895       iterate_item = save_iterate_item;
5896       continue;
5897       }
5898
5899     case EITEM_SORT:
5900       {
5901       int sep = 0;
5902       const uschar *srclist, *cmp, *xtract;
5903       uschar *srcitem;
5904       const uschar *dstlist = NULL, *dstkeylist = NULL;
5905       uschar * tmp;
5906       uschar *save_iterate_item = iterate_item;
5907
5908       while (isspace(*s)) s++;
5909       if (*s++ != '{')
5910         {
5911         expand_string_message = US"missing '{' for list arg of sort";
5912         goto EXPAND_FAILED_CURLY;
5913         }
5914
5915       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
5916       if (!srclist) goto EXPAND_FAILED;
5917       if (*s++ != '}')
5918         {
5919         expand_string_message = US"missing '}' closing list arg of sort";
5920         goto EXPAND_FAILED_CURLY;
5921         }
5922
5923       while (isspace(*s)) s++;
5924       if (*s++ != '{')
5925         {
5926         expand_string_message = US"missing '{' for comparator arg of sort";
5927         goto EXPAND_FAILED_CURLY;
5928         }
5929
5930       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
5931       if (!cmp) goto EXPAND_FAILED;
5932       if (*s++ != '}')
5933         {
5934         expand_string_message = US"missing '}' closing comparator arg of sort";
5935         goto EXPAND_FAILED_CURLY;
5936         }
5937
5938       while (isspace(*s)) s++;
5939       if (*s++ != '{')
5940         {
5941         expand_string_message = US"missing '{' for extractor arg of sort";
5942         goto EXPAND_FAILED_CURLY;
5943         }
5944
5945       xtract = s;
5946       tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
5947       if (!tmp) goto EXPAND_FAILED;
5948       xtract = string_copyn(xtract, s - xtract);
5949
5950       if (*s++ != '}')
5951         {
5952         expand_string_message = US"missing '}' closing extractor arg of sort";
5953         goto EXPAND_FAILED_CURLY;
5954         }
5955                                                         /*{*/
5956       if (*s++ != '}')
5957         {                                               /*{*/
5958         expand_string_message = US"missing } at end of \"sort\"";
5959         goto EXPAND_FAILED;
5960         }
5961
5962       if (skipping) continue;
5963
5964       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
5965         {
5966         uschar * dstitem;
5967         uschar * newlist = NULL;
5968         uschar * newkeylist = NULL;
5969         uschar * srcfield;
5970
5971         DEBUG(D_expand) debug_printf("%s: $item = \"%s\"\n", name, srcitem);
5972
5973         /* extract field for comparisons */
5974         iterate_item = srcitem;
5975         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
5976                                           TRUE, &resetok))
5977            || !*srcfield)
5978           {
5979           expand_string_message = string_sprintf(
5980               "field-extract in sort: \"%s\"", xtract);
5981           goto EXPAND_FAILED;
5982           }
5983
5984         /* Insertion sort */
5985
5986         /* copy output list until new-item < list-item */
5987         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
5988           {
5989           uschar * dstfield;
5990           uschar * expr;
5991           BOOL before;
5992
5993           /* field for comparison */
5994           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
5995             goto sort_mismatch;
5996
5997           /* build and run condition string */
5998           expr = string_sprintf("%s{%s}{%s}", cmp, srcfield, dstfield);
5999
6000           DEBUG(D_expand) debug_printf("%s: cond = \"%s\"\n", name, expr);
6001           if (!eval_condition(expr, &resetok, &before))
6002             {
6003             expand_string_message = string_sprintf("comparison in sort: %s",
6004                 expr);
6005             goto EXPAND_FAILED;
6006             }
6007
6008           if (before)
6009             {
6010             /* New-item sorts before this dst-item.  Append new-item,
6011             then dst-item, then remainder of dst list. */
6012
6013             newlist = string_append_listele(newlist, sep, srcitem);
6014             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6015             srcitem = NULL;
6016
6017             newlist = string_append_listele(newlist, sep, dstitem);
6018             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6019
6020             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6021               {
6022               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6023                 goto sort_mismatch;
6024               newlist = string_append_listele(newlist, sep, dstitem);
6025               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6026               }
6027
6028             break;
6029             }
6030
6031           newlist = string_append_listele(newlist, sep, dstitem);
6032           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6033           }
6034
6035         /* If we ran out of dstlist without consuming srcitem, append it */
6036         if (srcitem)
6037           {
6038           newlist = string_append_listele(newlist, sep, srcitem);
6039           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6040           }
6041
6042         dstlist = newlist;
6043         dstkeylist = newkeylist;
6044
6045         DEBUG(D_expand) debug_printf("%s: dstlist = \"%s\"\n", name, dstlist);
6046         DEBUG(D_expand) debug_printf("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6047         }
6048
6049       if (dstlist)
6050         yield = string_cat(yield, &size, &ptr, dstlist);
6051
6052       /* Restore preserved $item */
6053       iterate_item = save_iterate_item;
6054       continue;
6055
6056       sort_mismatch:
6057         expand_string_message = US"Internal error in sort (list mismatch)";
6058         goto EXPAND_FAILED;
6059       }
6060
6061
6062     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6063     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6064     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6065     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6066
6067     #define EXPAND_DLFUNC_MAX_ARGS 8
6068
6069     case EITEM_DLFUNC:
6070 #ifndef EXPAND_DLFUNC
6071       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6072         "is not included in this binary";
6073       goto EXPAND_FAILED;
6074
6075 #else   /* EXPAND_DLFUNC */
6076       {
6077       tree_node *t;
6078       exim_dlfunc_t *func;
6079       uschar *result;
6080       int status, argc;
6081       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6082
6083       if ((expand_forbid & RDO_DLFUNC) != 0)
6084         {
6085         expand_string_message =
6086           US"dynamically-loaded functions are not permitted";
6087         goto EXPAND_FAILED;
6088         }
6089
6090       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6091            TRUE, US"dlfunc", &resetok))
6092         {
6093         case 1: goto EXPAND_FAILED_CURLY;
6094         case 2:
6095         case 3: goto EXPAND_FAILED;
6096         }
6097
6098       /* If skipping, we don't actually do anything */
6099
6100       if (skipping) continue;
6101
6102       /* Look up the dynamically loaded object handle in the tree. If it isn't
6103       found, dlopen() the file and put the handle in the tree for next time. */
6104
6105       t = tree_search(dlobj_anchor, argv[0]);
6106       if (t == NULL)
6107         {
6108         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6109         if (handle == NULL)
6110           {
6111           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6112             argv[0], dlerror());
6113           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6114           goto EXPAND_FAILED;
6115           }
6116         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]));
6117         Ustrcpy(t->name, argv[0]);
6118         t->data.ptr = handle;
6119         (void)tree_insertnode(&dlobj_anchor, t);
6120         }
6121
6122       /* Having obtained the dynamically loaded object handle, look up the
6123       function pointer. */
6124
6125       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
6126       if (func == NULL)
6127         {
6128         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6129           "%s", argv[1], argv[0], dlerror());
6130         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6131         goto EXPAND_FAILED;
6132         }
6133
6134       /* Call the function and work out what to do with the result. If it
6135       returns OK, we have a replacement string; if it returns DEFER then
6136       expansion has failed in a non-forced manner; if it returns FAIL then
6137       failure was forced; if it returns ERROR or any other value there's a
6138       problem, so panic slightly. In any case, assume that the function has
6139       side-effects on the store that must be preserved. */
6140
6141       resetok = FALSE;
6142       result = NULL;
6143       for (argc = 0; argv[argc] != NULL; argc++);
6144       status = func(&result, argc - 2, &argv[2]);
6145       if(status == OK)
6146         {
6147         if (result == NULL) result = US"";
6148         yield = string_cat(yield, &size, &ptr, result);
6149         continue;
6150         }
6151       else
6152         {
6153         expand_string_message = result == NULL ? US"(no message)" : result;
6154         if(status == FAIL_FORCED) expand_string_forcedfail = TRUE;
6155           else if(status != FAIL)
6156             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6157               argv[0], argv[1], status, expand_string_message);
6158         goto EXPAND_FAILED;
6159         }
6160       }
6161 #endif /* EXPAND_DLFUNC */
6162
6163     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6164       {
6165       uschar * key;
6166       uschar *save_lookup_value = lookup_value;
6167
6168       while (isspace(*s)) s++;
6169       if (*s != '{')                                    /*}*/
6170         goto EXPAND_FAILED;
6171
6172       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6173       if (!key) goto EXPAND_FAILED;                     /*{*/
6174       if (*s++ != '}')
6175         {
6176         expand_string_message = US"missing '{' for name arg of env";
6177         goto EXPAND_FAILED_CURLY;
6178         }
6179
6180       lookup_value = US getenv(CS key);
6181
6182       switch(process_yesno(
6183                skipping,                     /* were previously skipping */
6184                lookup_value != NULL,         /* success/failure indicator */
6185                save_lookup_value,            /* value to reset for string2 */
6186                &s,                           /* input pointer */
6187                &yield,                       /* output pointer */
6188                &size,                        /* output size */
6189                &ptr,                         /* output current point */
6190                US"env",                      /* condition type */
6191                &resetok))
6192         {
6193         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6194         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6195         }
6196       continue;
6197       }
6198     }   /* EITEM_* switch */
6199
6200   /* Control reaches here if the name is not recognized as one of the more
6201   complicated expansion items. Check for the "operator" syntax (name terminated
6202   by a colon). Some of the operators have arguments, separated by _ from the
6203   name. */
6204
6205   if (*s == ':')
6206     {
6207     int c;
6208     uschar *arg = NULL;
6209     uschar *sub;
6210     var_entry *vp = NULL;
6211
6212     /* Owing to an historical mis-design, an underscore may be part of the
6213     operator name, or it may introduce arguments.  We therefore first scan the
6214     table of names that contain underscores. If there is no match, we cut off
6215     the arguments and then scan the main table. */
6216
6217     if ((c = chop_match(name, op_table_underscore,
6218                         nelem(op_table_underscore))) < 0)
6219       {
6220       arg = Ustrchr(name, '_');
6221       if (arg != NULL) *arg = 0;
6222       c = chop_match(name, op_table_main, nelem(op_table_main));
6223       if (c >= 0) c += nelem(op_table_underscore);
6224       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6225       }
6226
6227     /* Deal specially with operators that might take a certificate variable
6228     as we do not want to do the usual expansion. For most, expand the string.*/
6229     switch(c)
6230       {
6231 #ifdef SUPPORT_TLS
6232       case EOP_MD5:
6233       case EOP_SHA1:
6234       case EOP_SHA256:
6235       case EOP_BASE64:
6236         if (s[1] == '$')
6237           {
6238           const uschar * s1 = s;
6239           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6240                   FALSE, &resetok);
6241           if (!sub)       goto EXPAND_FAILED;           /*{*/
6242           if (*s1 != '}')
6243             {
6244             expand_string_message =
6245               string_sprintf("missing '}' closing cert arg of %s", name);
6246             goto EXPAND_FAILED_CURLY;
6247             }
6248           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6249             {
6250             s = s1+1;
6251             break;
6252             }
6253           vp = NULL;
6254           }
6255         /*FALLTHROUGH*/
6256 #endif
6257       default:
6258         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6259         if (!sub) goto EXPAND_FAILED;
6260         s++;
6261         break;
6262       }
6263
6264     /* If we are skipping, we don't need to perform the operation at all.
6265     This matters for operations like "mask", because the data may not be
6266     in the correct format when skipping. For example, the expression may test
6267     for the existence of $sender_host_address before trying to mask it. For
6268     other operations, doing them may not fail, but it is a waste of time. */
6269
6270     if (skipping && c >= 0) continue;
6271
6272     /* Otherwise, switch on the operator type */
6273
6274     switch(c)
6275       {
6276       case EOP_BASE32:
6277         {
6278         uschar *t;
6279         unsigned long int n = Ustrtoul(sub, &t, 10);
6280         uschar * s = NULL;
6281         int sz = 0, i = 0;
6282
6283         if (*t != 0)
6284           {
6285           expand_string_message = string_sprintf("argument for base32 "
6286             "operator is \"%s\", which is not a decimal number", sub);
6287           goto EXPAND_FAILED;
6288           }
6289         for ( ; n; n >>= 5)
6290           s = string_catn(s, &sz, &i, &base32_chars[n & 0x1f], 1);
6291
6292         while (i > 0) yield = string_catn(yield, &size, &ptr, &s[--i], 1);
6293         continue;
6294         }
6295
6296       case EOP_BASE32D:
6297         {
6298         uschar *tt = sub;
6299         unsigned long int n = 0;
6300         uschar * s;
6301         while (*tt)
6302           {
6303           uschar * t = Ustrchr(base32_chars, *tt++);
6304           if (t == NULL)
6305             {
6306             expand_string_message = string_sprintf("argument for base32d "
6307               "operator is \"%s\", which is not a base 32 number", sub);
6308             goto EXPAND_FAILED;
6309             }
6310           n = n * 32 + (t - base32_chars);
6311           }
6312         s = string_sprintf("%ld", n);
6313         yield = string_cat(yield, &size, &ptr, s);
6314         continue;
6315         }
6316
6317       case EOP_BASE62:
6318         {
6319         uschar *t;
6320         unsigned long int n = Ustrtoul(sub, &t, 10);
6321         if (*t != 0)
6322           {
6323           expand_string_message = string_sprintf("argument for base62 "
6324             "operator is \"%s\", which is not a decimal number", sub);
6325           goto EXPAND_FAILED;
6326           }
6327         t = string_base62(n);
6328         yield = string_cat(yield, &size, &ptr, t);
6329         continue;
6330         }
6331
6332       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6333
6334       case EOP_BASE62D:
6335         {
6336         uschar buf[16];
6337         uschar *tt = sub;
6338         unsigned long int n = 0;
6339         while (*tt != 0)
6340           {
6341           uschar *t = Ustrchr(base62_chars, *tt++);
6342           if (t == NULL)
6343             {
6344             expand_string_message = string_sprintf("argument for base62d "
6345               "operator is \"%s\", which is not a base %d number", sub,
6346               BASE_62);
6347             goto EXPAND_FAILED;
6348             }
6349           n = n * BASE_62 + (t - base62_chars);
6350           }
6351         (void)sprintf(CS buf, "%ld", n);
6352         yield = string_cat(yield, &size, &ptr, buf);
6353         continue;
6354         }
6355
6356       case EOP_EXPAND:
6357         {
6358         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6359         if (expanded == NULL)
6360           {
6361           expand_string_message =
6362             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6363               expand_string_message);
6364           goto EXPAND_FAILED;
6365           }
6366         yield = string_cat(yield, &size, &ptr, expanded);
6367         continue;
6368         }
6369
6370       case EOP_LC:
6371         {
6372         int count = 0;
6373         uschar *t = sub - 1;
6374         while (*(++t) != 0) { *t = tolower(*t); count++; }
6375         yield = string_catn(yield, &size, &ptr, sub, count);
6376         continue;
6377         }
6378
6379       case EOP_UC:
6380         {
6381         int count = 0;
6382         uschar *t = sub - 1;
6383         while (*(++t) != 0) { *t = toupper(*t); count++; }
6384         yield = string_catn(yield, &size, &ptr, sub, count);
6385         continue;
6386         }
6387
6388       case EOP_MD5:
6389 #ifdef SUPPORT_TLS
6390         if (vp && *(void **)vp->value)
6391           {
6392           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6393           yield = string_cat(yield, &size, &ptr, cp);
6394           }
6395         else
6396 #endif
6397           {
6398           md5 base;
6399           uschar digest[16];
6400           int j;
6401           char st[33];
6402           md5_start(&base);
6403           md5_end(&base, sub, Ustrlen(sub), digest);
6404           for(j = 0; j < 16; j++) sprintf(st+2*j, "%02x", digest[j]);
6405           yield = string_cat(yield, &size, &ptr, US st);
6406           }
6407         continue;
6408
6409       case EOP_SHA1:
6410 #ifdef SUPPORT_TLS
6411         if (vp && *(void **)vp->value)
6412           {
6413           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6414           yield = string_cat(yield, &size, &ptr, cp);
6415           }
6416         else
6417 #endif
6418           {
6419           hctx h;
6420           uschar digest[20];
6421           int j;
6422           char st[41];
6423           sha1_start(&h);
6424           sha1_end(&h, sub, Ustrlen(sub), digest);
6425           for(j = 0; j < 20; j++) sprintf(st+2*j, "%02X", digest[j]);
6426           yield = string_catn(yield, &size, &ptr, US st, 40);
6427           }
6428         continue;
6429
6430       case EOP_SHA256:
6431 #ifdef EXIM_HAVE_SHA2
6432         if (vp && *(void **)vp->value)
6433           {
6434           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
6435           yield = string_cat(yield, &size, &ptr, cp);
6436           }
6437         else
6438           {
6439           hctx h;
6440           blob b;
6441           char st[3];
6442
6443           exim_sha_init(&h, HASH_SHA256);
6444           exim_sha_update(&h, sub, Ustrlen(sub));
6445           exim_sha_finish(&h, &b);
6446           while (b.len-- > 0)
6447             {
6448             sprintf(st, "%02X", *b.data++);
6449             yield = string_catn(yield, &size, &ptr, US st, 2);
6450             }
6451           }
6452 #else
6453           expand_string_message = US"sha256 only supported with TLS";
6454 #endif
6455         continue;
6456
6457       case EOP_SHA3:
6458 #ifdef EXIM_HAVE_SHA3
6459         {
6460         hctx h;
6461         blob b;
6462         char st[3];
6463         hashmethod m = !arg ? HASH_SHA3_256
6464           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
6465           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
6466           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
6467           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
6468           : HASH_BADTYPE;
6469
6470         if (m == HASH_BADTYPE)
6471           {
6472           expand_string_message = US"unrecognised sha3 variant";
6473           goto EXPAND_FAILED;
6474           }
6475
6476         exim_sha_init(&h, m);
6477         exim_sha_update(&h, sub, Ustrlen(sub));
6478         exim_sha_finish(&h, &b);
6479         while (b.len-- > 0)
6480           {
6481           sprintf(st, "%02X", *b.data++);
6482           yield = string_catn(yield, &size, &ptr, US st, 2);
6483           }
6484         }
6485         continue;
6486 #else
6487         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 +";
6488         goto EXPAND_FAILED;
6489 #endif
6490
6491       /* Convert hex encoding to base64 encoding */
6492
6493       case EOP_HEX2B64:
6494         {
6495         int c = 0;
6496         int b = -1;
6497         uschar *in = sub;
6498         uschar *out = sub;
6499         uschar *enc;
6500
6501         for (enc = sub; *enc != 0; enc++)
6502           {
6503           if (!isxdigit(*enc))
6504             {
6505             expand_string_message = string_sprintf("\"%s\" is not a hex "
6506               "string", sub);
6507             goto EXPAND_FAILED;
6508             }
6509           c++;
6510           }
6511
6512         if ((c & 1) != 0)
6513           {
6514           expand_string_message = string_sprintf("\"%s\" contains an odd "
6515             "number of characters", sub);
6516           goto EXPAND_FAILED;
6517           }
6518
6519         while ((c = *in++) != 0)
6520           {
6521           if (isdigit(c)) c -= '0';
6522           else c = toupper(c) - 'A' + 10;
6523           if (b == -1)
6524             {
6525             b = c << 4;
6526             }
6527           else
6528             {
6529             *out++ = b | c;
6530             b = -1;
6531             }
6532           }
6533
6534         enc = b64encode(sub, out - sub);
6535         yield = string_cat(yield, &size, &ptr, enc);
6536         continue;
6537         }
6538
6539       /* Convert octets outside 0x21..0x7E to \xXX form */
6540
6541       case EOP_HEXQUOTE:
6542         {
6543         uschar *t = sub - 1;
6544         while (*(++t) != 0)
6545           {
6546           if (*t < 0x21 || 0x7E < *t)
6547             yield = string_catn(yield, &size, &ptr,
6548               string_sprintf("\\x%02x", *t), 4);
6549           else
6550             yield = string_catn(yield, &size, &ptr, t, 1);
6551           }
6552         continue;
6553         }
6554
6555       /* count the number of list elements */
6556
6557       case EOP_LISTCOUNT:
6558         {
6559         int cnt = 0;
6560         int sep = 0;
6561         uschar * cp;
6562         uschar buffer[256];
6563
6564         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
6565         cp = string_sprintf("%d", cnt);
6566         yield = string_cat(yield, &size, &ptr, cp);
6567         continue;
6568         }
6569
6570       /* expand a named list given the name */
6571       /* handles nested named lists; requotes as colon-sep list */
6572
6573       case EOP_LISTNAMED:
6574         {
6575         tree_node *t = NULL;
6576         const uschar * list;
6577         int sep = 0;
6578         uschar * item;
6579         uschar * suffix = US"";
6580         BOOL needsep = FALSE;
6581         uschar buffer[256];
6582
6583         if (*sub == '+') sub++;
6584         if (arg == NULL)        /* no-argument version */
6585           {
6586           if (!(t = tree_search(addresslist_anchor, sub)) &&
6587               !(t = tree_search(domainlist_anchor,  sub)) &&
6588               !(t = tree_search(hostlist_anchor,    sub)))
6589             t = tree_search(localpartlist_anchor, sub);
6590           }
6591         else switch(*arg)       /* specific list-type version */
6592           {
6593           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
6594           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
6595           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
6596           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
6597           default:
6598             expand_string_message = string_sprintf("bad suffix on \"list\" operator");
6599             goto EXPAND_FAILED;
6600           }
6601
6602         if(!t)
6603           {
6604           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
6605             sub, !arg?""
6606               : *arg=='a'?"address "
6607               : *arg=='d'?"domain "
6608               : *arg=='h'?"host "
6609               : *arg=='l'?"localpart "
6610               : 0);
6611           goto EXPAND_FAILED;
6612           }
6613
6614         list = ((namedlist_block *)(t->data.ptr))->string;
6615
6616         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))) != NULL)
6617           {
6618           uschar * buf = US" : ";
6619           if (needsep)
6620             yield = string_catn(yield, &size, &ptr, buf, 3);
6621           else
6622             needsep = TRUE;
6623
6624           if (*item == '+')     /* list item is itself a named list */
6625             {
6626             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
6627             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
6628             }
6629           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
6630             {
6631             char * cp;
6632             char tok[3];
6633             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
6634             while ((cp= strpbrk((const char *)item, tok)))
6635               {
6636               yield = string_catn(yield, &size, &ptr, item, cp-(char *)item);
6637               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
6638                 {
6639                 yield = string_catn(yield, &size, &ptr, US"::", 2);
6640                 item = (uschar *)cp;
6641                 }
6642               else              /* sep in item; should already be doubled; emit once */
6643                 {
6644                 yield = string_catn(yield, &size, &ptr, (uschar *)tok, 1);
6645                 if (*cp == sep) cp++;
6646                 item = (uschar *)cp;
6647                 }
6648               }
6649             }
6650           yield = string_cat(yield, &size, &ptr, item);
6651           }
6652         continue;
6653         }
6654
6655       /* mask applies a mask to an IP address; for example the result of
6656       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
6657
6658       case EOP_MASK:
6659         {
6660         int count;
6661         uschar *endptr;
6662         int binary[4];
6663         int mask, maskoffset;
6664         int type = string_is_ip_address(sub, &maskoffset);
6665         uschar buffer[64];
6666
6667         if (type == 0)
6668           {
6669           expand_string_message = string_sprintf("\"%s\" is not an IP address",
6670            sub);
6671           goto EXPAND_FAILED;
6672           }
6673
6674         if (maskoffset == 0)
6675           {
6676           expand_string_message = string_sprintf("missing mask value in \"%s\"",
6677             sub);
6678           goto EXPAND_FAILED;
6679           }
6680
6681         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
6682
6683         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
6684           {
6685           expand_string_message = string_sprintf("mask value too big in \"%s\"",
6686             sub);
6687           goto EXPAND_FAILED;
6688           }
6689
6690         /* Convert the address to binary integer(s) and apply the mask */
6691
6692         sub[maskoffset] = 0;
6693         count = host_aton(sub, binary);
6694         host_mask(count, binary, mask);
6695
6696         /* Convert to masked textual format and add to output. */
6697
6698         yield = string_catn(yield, &size, &ptr, buffer,
6699           host_nmtoa(count, binary, mask, buffer, '.'));
6700         continue;
6701         }
6702
6703       case EOP_IPV6NORM:
6704       case EOP_IPV6DENORM:
6705         {
6706         int type = string_is_ip_address(sub, NULL);
6707         int binary[4];
6708         uschar buffer[44];
6709
6710         switch (type)
6711           {
6712           case 6:
6713             (void) host_aton(sub, binary);
6714             break;
6715
6716           case 4:       /* convert to IPv4-mapped IPv6 */
6717             binary[0] = binary[1] = 0;
6718             binary[2] = 0x0000ffff;
6719             (void) host_aton(sub, binary+3);
6720             break;
6721
6722           case 0:
6723             expand_string_message =
6724               string_sprintf("\"%s\" is not an IP address", sub);
6725             goto EXPAND_FAILED;
6726           }
6727
6728         yield = string_catn(yield, &size, &ptr, buffer,
6729                   c == EOP_IPV6NORM
6730                     ? ipv6_nmtoa(binary, buffer)
6731                     : host_nmtoa(4, binary, -1, buffer, ':')
6732                   );
6733         continue;
6734         }
6735
6736       case EOP_ADDRESS:
6737       case EOP_LOCAL_PART:
6738       case EOP_DOMAIN:
6739         {
6740         uschar *error;
6741         int start, end, domain;
6742         uschar *t = parse_extract_address(sub, &error, &start, &end, &domain,
6743           FALSE);
6744         if (t != NULL)
6745           {
6746           if (c != EOP_DOMAIN)
6747             {
6748             if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
6749             yield = string_catn(yield, &size, &ptr, sub+start, end-start);
6750             }
6751           else if (domain != 0)
6752             {
6753             domain += start;
6754             yield = string_catn(yield, &size, &ptr, sub+domain, end-domain);
6755             }
6756           }
6757         continue;
6758         }
6759
6760       case EOP_ADDRESSES:
6761         {
6762         uschar outsep[2] = { ':', '\0' };
6763         uschar *address, *error;
6764         int save_ptr = ptr;
6765         int start, end, domain;  /* Not really used */
6766
6767         while (isspace(*sub)) sub++;
6768         if (*sub == '>') { *outsep = *++sub; ++sub; }
6769         parse_allow_group = TRUE;
6770
6771         for (;;)
6772           {
6773           uschar *p = parse_find_address_end(sub, FALSE);
6774           uschar saveend = *p;
6775           *p = '\0';
6776           address = parse_extract_address(sub, &error, &start, &end, &domain,
6777             FALSE);
6778           *p = saveend;
6779
6780           /* Add the address to the output list that we are building. This is
6781           done in chunks by searching for the separator character. At the
6782           start, unless we are dealing with the first address of the output
6783           list, add in a space if the new address begins with the separator
6784           character, or is an empty string. */
6785
6786           if (address != NULL)
6787             {
6788             if (ptr != save_ptr && address[0] == *outsep)
6789               yield = string_catn(yield, &size, &ptr, US" ", 1);
6790
6791             for (;;)
6792               {
6793               size_t seglen = Ustrcspn(address, outsep);
6794               yield = string_catn(yield, &size, &ptr, address, seglen + 1);
6795
6796               /* If we got to the end of the string we output one character
6797               too many. */
6798
6799               if (address[seglen] == '\0') { ptr--; break; }
6800               yield = string_catn(yield, &size, &ptr, outsep, 1);
6801               address += seglen + 1;
6802               }
6803
6804             /* Output a separator after the string: we will remove the
6805             redundant final one at the end. */
6806
6807             yield = string_catn(yield, &size, &ptr, outsep, 1);
6808             }
6809
6810           if (saveend == '\0') break;
6811           sub = p + 1;
6812           }
6813
6814         /* If we have generated anything, remove the redundant final
6815         separator. */
6816
6817         if (ptr != save_ptr) ptr--;
6818         parse_allow_group = FALSE;
6819         continue;
6820         }
6821
6822
6823       /* quote puts a string in quotes if it is empty or contains anything
6824       other than alphamerics, underscore, dot, or hyphen.
6825
6826       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
6827       be quoted in order to be a valid local part.
6828
6829       In both cases, newlines and carriage returns are converted into \n and \r
6830       respectively */
6831
6832       case EOP_QUOTE:
6833       case EOP_QUOTE_LOCAL_PART:
6834       if (arg == NULL)
6835         {
6836         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
6837         uschar *t = sub - 1;
6838
6839         if (c == EOP_QUOTE)
6840           {
6841           while (!needs_quote && *(++t) != 0)
6842             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
6843           }
6844         else  /* EOP_QUOTE_LOCAL_PART */
6845           {
6846           while (!needs_quote && *(++t) != 0)
6847             needs_quote = !isalnum(*t) &&
6848               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
6849               (*t != '.' || t == sub || t[1] == 0);
6850           }
6851
6852         if (needs_quote)
6853           {
6854           yield = string_catn(yield, &size, &ptr, US"\"", 1);
6855           t = sub - 1;
6856           while (*(++t) != 0)
6857             {
6858             if (*t == '\n')
6859               yield = string_catn(yield, &size, &ptr, US"\\n", 2);
6860             else if (*t == '\r')
6861               yield = string_catn(yield, &size, &ptr, US"\\r", 2);
6862             else
6863               {
6864               if (*t == '\\' || *t == '"')
6865                 yield = string_catn(yield, &size, &ptr, US"\\", 1);
6866               yield = string_catn(yield, &size, &ptr, t, 1);
6867               }
6868             }
6869           yield = string_catn(yield, &size, &ptr, US"\"", 1);
6870           }
6871         else yield = string_cat(yield, &size, &ptr, sub);
6872         continue;
6873         }
6874
6875       /* quote_lookuptype does lookup-specific quoting */
6876
6877       else
6878         {
6879         int n;
6880         uschar *opt = Ustrchr(arg, '_');
6881
6882         if (opt != NULL) *opt++ = 0;
6883
6884         n = search_findtype(arg, Ustrlen(arg));
6885         if (n < 0)
6886           {
6887           expand_string_message = search_error_message;
6888           goto EXPAND_FAILED;
6889           }
6890
6891         if (lookup_list[n]->quote != NULL)
6892           sub = (lookup_list[n]->quote)(sub, opt);
6893         else if (opt != NULL) sub = NULL;
6894
6895         if (sub == NULL)
6896           {
6897           expand_string_message = string_sprintf(
6898             "\"%s\" unrecognized after \"${quote_%s\"",
6899             opt, arg);
6900           goto EXPAND_FAILED;
6901           }
6902
6903         yield = string_cat(yield, &size, &ptr, sub);
6904         continue;
6905         }
6906
6907       /* rx quote sticks in \ before any non-alphameric character so that
6908       the insertion works in a regular expression. */
6909
6910       case EOP_RXQUOTE:
6911         {
6912         uschar *t = sub - 1;
6913         while (*(++t) != 0)
6914           {
6915           if (!isalnum(*t))
6916             yield = string_catn(yield, &size, &ptr, US"\\", 1);
6917           yield = string_catn(yield, &size, &ptr, t, 1);
6918           }
6919         continue;
6920         }
6921
6922       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
6923       prescribed by the RFC, if there are characters that need to be encoded */
6924
6925       case EOP_RFC2047:
6926         {
6927         uschar buffer[2048];
6928         const uschar *string = parse_quote_2047(sub, Ustrlen(sub), headers_charset,
6929           buffer, sizeof(buffer), FALSE);
6930         yield = string_cat(yield, &size, &ptr, string);
6931         continue;
6932         }
6933
6934       /* RFC 2047 decode */
6935
6936       case EOP_RFC2047D:
6937         {
6938         int len;
6939         uschar *error;
6940         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
6941           headers_charset, '?', &len, &error);
6942         if (error != NULL)
6943           {
6944           expand_string_message = error;
6945           goto EXPAND_FAILED;
6946           }
6947         yield = string_catn(yield, &size, &ptr, decoded, len);
6948         continue;
6949         }
6950
6951       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
6952       underscores */
6953
6954       case EOP_FROM_UTF8:
6955         {
6956         while (*sub != 0)
6957           {
6958           int c;
6959           uschar buff[4];
6960           GETUTF8INC(c, sub);
6961           if (c > 255) c = '_';
6962           buff[0] = c;
6963           yield = string_catn(yield, &size, &ptr, buff, 1);
6964           }
6965         continue;
6966         }
6967
6968           /* replace illegal UTF-8 sequences by replacement character  */
6969
6970       #define UTF8_REPLACEMENT_CHAR US"?"
6971
6972       case EOP_UTF8CLEAN:
6973         {
6974         int seq_len = 0, index = 0;
6975         int bytes_left = 0;
6976         long codepoint = -1;
6977         uschar seq_buff[4];                     /* accumulate utf-8 here */
6978
6979         while (*sub != 0)
6980           {
6981           int complete = 0;
6982           uschar c = *sub++;
6983
6984           if (bytes_left)
6985             {
6986             if ((c & 0xc0) != 0x80)
6987                     /* wrong continuation byte; invalidate all bytes */
6988               complete = 1; /* error */
6989             else
6990               {
6991               codepoint = (codepoint << 6) | (c & 0x3f);
6992               seq_buff[index++] = c;
6993               if (--bytes_left == 0)            /* codepoint complete */
6994                 if(codepoint > 0x10FFFF)        /* is it too large? */
6995                   complete = -1;        /* error (RFC3629 limit) */
6996                 else
6997                   {             /* finished; output utf-8 sequence */
6998                   yield = string_catn(yield, &size, &ptr, seq_buff, seq_len);
6999                   index = 0;
7000                   }
7001               }
7002             }
7003           else  /* no bytes left: new sequence */
7004             {
7005             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7006               {
7007               yield = string_catn(yield, &size, &ptr, &c, 1);
7008               continue;
7009               }
7010             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7011               {
7012               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7013                 complete = -1;
7014               else
7015                 {
7016                   bytes_left = 1;
7017                   codepoint = c & 0x1f;
7018                 }
7019               }
7020             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7021               {
7022               bytes_left = 2;
7023               codepoint = c & 0x0f;
7024               }
7025             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7026               {
7027               bytes_left = 3;
7028               codepoint = c & 0x07;
7029               }
7030             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7031               complete = -1;
7032
7033             seq_buff[index++] = c;
7034             seq_len = bytes_left + 1;
7035             }           /* if(bytes_left) */
7036
7037           if (complete != 0)
7038             {
7039             bytes_left = index = 0;
7040             yield = string_catn(yield, &size, &ptr, UTF8_REPLACEMENT_CHAR, 1);
7041             }
7042           if ((complete == 1) && ((c & 0x80) == 0))
7043                         /* ASCII character follows incomplete sequence */
7044               yield = string_catn(yield, &size, &ptr, &c, 1);
7045           }
7046         continue;
7047         }
7048
7049 #ifdef SUPPORT_I18N
7050       case EOP_UTF8_DOMAIN_TO_ALABEL:
7051         {
7052         uschar * error = NULL;
7053         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7054         if (error)
7055           {
7056           expand_string_message = string_sprintf(
7057             "error converting utf8 (%s) to alabel: %s",
7058             string_printing(sub), error);
7059           goto EXPAND_FAILED;
7060           }
7061         yield = string_cat(yield, &size, &ptr, s);
7062         continue;
7063         }
7064
7065       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7066         {
7067         uschar * error = NULL;
7068         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7069         if (error)
7070           {
7071           expand_string_message = string_sprintf(
7072             "error converting alabel (%s) to utf8: %s",
7073             string_printing(sub), error);
7074           goto EXPAND_FAILED;
7075           }
7076         yield = string_cat(yield, &size, &ptr, s);
7077         continue;
7078         }
7079
7080       case EOP_UTF8_LOCALPART_TO_ALABEL:
7081         {
7082         uschar * error = NULL;
7083         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7084         if (error)
7085           {
7086           expand_string_message = string_sprintf(
7087             "error converting utf8 (%s) to alabel: %s",
7088             string_printing(sub), error);
7089           goto EXPAND_FAILED;
7090           }
7091         yield = string_cat(yield, &size, &ptr, s);
7092         DEBUG(D_expand) debug_printf("yield: '%s'\n", yield);
7093         continue;
7094         }
7095
7096       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7097         {
7098         uschar * error = NULL;
7099         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7100         if (error)
7101           {
7102           expand_string_message = string_sprintf(
7103             "error converting alabel (%s) to utf8: %s",
7104             string_printing(sub), error);
7105           goto EXPAND_FAILED;
7106           }
7107         yield = string_cat(yield, &size, &ptr, s);
7108         continue;
7109         }
7110 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7111
7112       /* escape turns all non-printing characters into escape sequences. */
7113
7114       case EOP_ESCAPE:
7115         {
7116         const uschar * t = string_printing(sub);
7117         yield = string_cat(yield, &size, &ptr, t);
7118         continue;
7119         }
7120
7121       case EOP_ESCAPE8BIT:
7122         {
7123         const uschar * s = sub;
7124         uschar c;
7125
7126         for (s = sub; (c = *s); s++)
7127           yield = c < 127 && c != '\\'
7128             ? string_catn(yield, &size, &ptr, s, 1)
7129             : string_catn(yield, &size, &ptr, string_sprintf("\\%03o", c), 4);
7130         continue;
7131         }
7132
7133       /* Handle numeric expression evaluation */
7134
7135       case EOP_EVAL:
7136       case EOP_EVAL10:
7137         {
7138         uschar *save_sub = sub;
7139         uschar *error = NULL;
7140         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7141         if (error != NULL)
7142           {
7143           expand_string_message = string_sprintf("error in expression "
7144             "evaluation: %s (after processing \"%.*s\")", error, sub-save_sub,
7145               save_sub);
7146           goto EXPAND_FAILED;
7147           }
7148         sprintf(CS var_buffer, PR_EXIM_ARITH, n);
7149         yield = string_cat(yield, &size, &ptr, var_buffer);
7150         continue;
7151         }
7152
7153       /* Handle time period formating */
7154
7155       case EOP_TIME_EVAL:
7156         {
7157         int n = readconf_readtime(sub, 0, FALSE);
7158         if (n < 0)
7159           {
7160           expand_string_message = string_sprintf("string \"%s\" is not an "
7161             "Exim time interval in \"%s\" operator", sub, name);
7162           goto EXPAND_FAILED;
7163           }
7164         sprintf(CS var_buffer, "%d", n);
7165         yield = string_cat(yield, &size, &ptr, var_buffer);
7166         continue;
7167         }
7168
7169       case EOP_TIME_INTERVAL:
7170         {
7171         int n;
7172         uschar *t = read_number(&n, sub);
7173         if (*t != 0) /* Not A Number*/
7174           {
7175           expand_string_message = string_sprintf("string \"%s\" is not a "
7176             "positive number in \"%s\" operator", sub, name);
7177           goto EXPAND_FAILED;
7178           }
7179         t = readconf_printtime(n);
7180         yield = string_cat(yield, &size, &ptr, t);
7181         continue;
7182         }
7183
7184       /* Convert string to base64 encoding */
7185
7186       case EOP_STR2B64:
7187       case EOP_BASE64:
7188         {
7189 #ifdef SUPPORT_TLS
7190         uschar * s = vp && *(void **)vp->value
7191           ? tls_cert_der_b64(*(void **)vp->value)
7192           : b64encode(sub, Ustrlen(sub));
7193 #else
7194         uschar * s = b64encode(sub, Ustrlen(sub));
7195 #endif
7196         yield = string_cat(yield, &size, &ptr, s);
7197         continue;
7198         }
7199
7200       case EOP_BASE64D:
7201         {
7202         uschar * s;
7203         int len = b64decode(sub, &s);
7204         if (len < 0)
7205           {
7206           expand_string_message = string_sprintf("string \"%s\" is not "
7207             "well-formed for \"%s\" operator", sub, name);
7208           goto EXPAND_FAILED;
7209           }
7210         yield = string_cat(yield, &size, &ptr, s);
7211         continue;
7212         }
7213
7214       /* strlen returns the length of the string */
7215
7216       case EOP_STRLEN:
7217         {
7218         uschar buff[24];
7219         (void)sprintf(CS buff, "%d", Ustrlen(sub));
7220         yield = string_cat(yield, &size, &ptr, buff);
7221         continue;
7222         }
7223
7224       /* length_n or l_n takes just the first n characters or the whole string,
7225       whichever is the shorter;
7226
7227       substr_m_n, and s_m_n take n characters from offset m; negative m take
7228       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7229       takes the rest, either to the right or to the left.
7230
7231       hash_n or h_n makes a hash of length n from the string, yielding n
7232       characters from the set a-z; hash_n_m makes a hash of length n, but
7233       uses m characters from the set a-zA-Z0-9.
7234
7235       nhash_n returns a single number between 0 and n-1 (in text form), while
7236       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7237       between 0 and n-1 and the second between 0 and m-1. */
7238
7239       case EOP_LENGTH:
7240       case EOP_L:
7241       case EOP_SUBSTR:
7242       case EOP_S:
7243       case EOP_HASH:
7244       case EOP_H:
7245       case EOP_NHASH:
7246       case EOP_NH:
7247         {
7248         int sign = 1;
7249         int value1 = 0;
7250         int value2 = -1;
7251         int *pn;
7252         int len;
7253         uschar *ret;
7254
7255         if (arg == NULL)
7256           {
7257           expand_string_message = string_sprintf("missing values after %s",
7258             name);
7259           goto EXPAND_FAILED;
7260           }
7261
7262         /* "length" has only one argument, effectively being synonymous with
7263         substr_0_n. */
7264
7265         if (c == EOP_LENGTH || c == EOP_L)
7266           {
7267           pn = &value2;
7268           value2 = 0;
7269           }
7270
7271         /* The others have one or two arguments; for "substr" the first may be
7272         negative. The second being negative means "not supplied". */
7273
7274         else
7275           {
7276           pn = &value1;
7277           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7278           }
7279
7280         /* Read up to two numbers, separated by underscores */
7281
7282         ret = arg;
7283         while (*arg != 0)
7284           {
7285           if (arg != ret && *arg == '_' && pn == &value1)
7286             {
7287             pn = &value2;
7288             value2 = 0;
7289             if (arg[1] != 0) arg++;
7290             }
7291           else if (!isdigit(*arg))
7292             {
7293             expand_string_message =
7294               string_sprintf("non-digit after underscore in \"%s\"", name);
7295             goto EXPAND_FAILED;
7296             }
7297           else *pn = (*pn)*10 + *arg++ - '0';
7298           }
7299         value1 *= sign;
7300
7301         /* Perform the required operation */
7302
7303         ret =
7304           (c == EOP_HASH || c == EOP_H)?
7305              compute_hash(sub, value1, value2, &len) :
7306           (c == EOP_NHASH || c == EOP_NH)?
7307              compute_nhash(sub, value1, value2, &len) :
7308              extract_substr(sub, value1, value2, &len);
7309
7310         if (ret == NULL) goto EXPAND_FAILED;
7311         yield = string_catn(yield, &size, &ptr, ret, len);
7312         continue;
7313         }
7314
7315       /* Stat a path */
7316
7317       case EOP_STAT:
7318         {
7319         uschar *s;
7320         uschar smode[12];
7321         uschar **modetable[3];
7322         int i;
7323         mode_t mode;
7324         struct stat st;
7325
7326         if ((expand_forbid & RDO_EXISTS) != 0)
7327           {
7328           expand_string_message = US"Use of the stat() expansion is not permitted";
7329           goto EXPAND_FAILED;
7330           }
7331
7332         if (stat(CS sub, &st) < 0)
7333           {
7334           expand_string_message = string_sprintf("stat(%s) failed: %s",
7335             sub, strerror(errno));
7336           goto EXPAND_FAILED;
7337           }
7338         mode = st.st_mode;
7339         switch (mode & S_IFMT)
7340           {
7341           case S_IFIFO: smode[0] = 'p'; break;
7342           case S_IFCHR: smode[0] = 'c'; break;
7343           case S_IFDIR: smode[0] = 'd'; break;
7344           case S_IFBLK: smode[0] = 'b'; break;
7345           case S_IFREG: smode[0] = '-'; break;
7346           default: smode[0] = '?'; break;
7347           }
7348
7349         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7350         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7351         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7352
7353         for (i = 0; i < 3; i++)
7354           {
7355           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7356           mode >>= 3;
7357           }
7358
7359         smode[10] = 0;
7360         s = string_sprintf("mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7361           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7362           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7363           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7364           (long)st.st_gid, st.st_size, (long)st.st_atime,
7365           (long)st.st_mtime, (long)st.st_ctime);
7366         yield = string_cat(yield, &size, &ptr, s);
7367         continue;
7368         }
7369
7370       /* vaguely random number less than N */
7371
7372       case EOP_RANDINT:
7373         {
7374         int_eximarith_t max;
7375         uschar *s;
7376
7377         max = expanded_string_integer(sub, TRUE);
7378         if (expand_string_message != NULL)
7379           goto EXPAND_FAILED;
7380         s = string_sprintf("%d", vaguely_random_number((int)max));
7381         yield = string_cat(yield, &size, &ptr, s);
7382         continue;
7383         }
7384
7385       /* Reverse IP, including IPv6 to dotted-nibble */
7386
7387       case EOP_REVERSE_IP:
7388         {
7389         int family, maskptr;
7390         uschar reversed[128];
7391
7392         family = string_is_ip_address(sub, &maskptr);
7393         if (family == 0)
7394           {
7395           expand_string_message = string_sprintf(
7396               "reverse_ip() not given an IP address [%s]", sub);
7397           goto EXPAND_FAILED;
7398           }
7399         invert_address(reversed, sub);
7400         yield = string_cat(yield, &size, &ptr, reversed);
7401         continue;
7402         }
7403
7404       /* Unknown operator */
7405
7406       default:
7407       expand_string_message =
7408         string_sprintf("unknown expansion operator \"%s\"", name);
7409       goto EXPAND_FAILED;
7410       }
7411     }
7412
7413   /* Handle a plain name. If this is the first thing in the expansion, release
7414   the pre-allocated buffer. If the result data is known to be in a new buffer,
7415   newsize will be set to the size of that buffer, and we can just point at that
7416   store instead of copying. Many expansion strings contain just one reference,
7417   so this is a useful optimization, especially for humungous headers
7418   ($message_headers). */
7419                                                 /*{*/
7420   if (*s++ == '}')
7421     {
7422     int len;
7423     int newsize = 0;
7424     if (ptr == 0)
7425       {
7426       if (resetok) store_reset(yield);
7427       yield = NULL;
7428       size = 0;
7429       }
7430     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
7431       {
7432       expand_string_message =
7433         string_sprintf("unknown variable in \"${%s}\"", name);
7434       check_variable_error_message(name);
7435       goto EXPAND_FAILED;
7436       }
7437     len = Ustrlen(value);
7438     if (!yield && newsize)
7439       {
7440       yield = value;
7441       size = newsize;
7442       ptr = len;
7443       }
7444     else
7445       yield = string_catn(yield, &size, &ptr, value, len);
7446     continue;
7447     }
7448
7449   /* Else there's something wrong */
7450
7451   expand_string_message =
7452     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7453     "in a variable reference)", name);
7454   goto EXPAND_FAILED;
7455   }
7456
7457 /* If we hit the end of the string when ket_ends is set, there is a missing
7458 terminating brace. */
7459
7460 if (ket_ends && *s == 0)
7461   {
7462   expand_string_message = malformed_header?
7463     US"missing } at end of string - could be header name not terminated by colon"
7464     :
7465     US"missing } at end of string";
7466   goto EXPAND_FAILED;
7467   }
7468
7469 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7470 added to the string. If so, set up an empty string. Add a terminating zero. If
7471 left != NULL, return a pointer to the terminator. */
7472
7473 if (yield == NULL) yield = store_get(1);
7474 yield[ptr] = 0;
7475 if (left != NULL) *left = s;
7476
7477 /* Any stacking store that was used above the final string is no longer needed.
7478 In many cases the final string will be the first one that was got and so there
7479 will be optimal store usage. */
7480
7481 if (resetok) store_reset(yield + ptr + 1);
7482 else if (resetok_p) *resetok_p = FALSE;
7483
7484 DEBUG(D_expand)
7485   {
7486   debug_printf("  expanding: %.*s\n     result: %s\n", (int)(s - string), string,
7487     yield);
7488   if (skipping) debug_printf("   skipping: result is not used\n");
7489   }
7490 return yield;
7491
7492 /* This is the failure exit: easiest to program with a goto. We still need
7493 to update the pointer to the terminator, for cases of nested calls with "fail".
7494 */
7495
7496 EXPAND_FAILED_CURLY:
7497 if (malformed_header)
7498   expand_string_message =
7499     US"missing or misplaced { or } - could be header name not terminated by colon";
7500
7501 else if (!expand_string_message || !*expand_string_message)
7502   expand_string_message = US"missing or misplaced { or }";
7503
7504 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7505 that is a bad idea, because expand_string_message is in dynamic store. */
7506
7507 EXPAND_FAILED:
7508 if (left != NULL) *left = s;
7509 DEBUG(D_expand)
7510   {
7511   debug_printf("failed to expand: %s\n", string);
7512   debug_printf("   error message: %s\n", expand_string_message);
7513   if (expand_string_forcedfail) debug_printf("failure was forced\n");
7514   }
7515 if (resetok_p) *resetok_p = resetok;
7516 return NULL;
7517 }
7518
7519
7520 /* This is the external function call. Do a quick check for any expansion
7521 metacharacters, and if there are none, just return the input string.
7522
7523 Argument: the string to be expanded
7524 Returns:  the expanded string, or NULL if expansion failed; if failure was
7525           due to a lookup deferring, search_find_defer will be TRUE
7526 */
7527
7528 uschar *
7529 expand_string(uschar *string)
7530 {
7531 search_find_defer = FALSE;
7532 malformed_header = FALSE;
7533 return (Ustrpbrk(string, "$\\") == NULL)? string :
7534   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7535 }
7536
7537
7538
7539 const uschar *
7540 expand_cstring(const uschar *string)
7541 {
7542 search_find_defer = FALSE;
7543 malformed_header = FALSE;
7544 return (Ustrpbrk(string, "$\\") == NULL)? string :
7545   expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
7546 }
7547
7548
7549
7550 /*************************************************
7551 *              Expand and copy                   *
7552 *************************************************/
7553
7554 /* Now and again we want to expand a string and be sure that the result is in a
7555 new bit of store. This function does that.
7556 Since we know it has been copied, the de-const cast is safe.
7557
7558 Argument: the string to be expanded
7559 Returns:  the expanded string, always in a new bit of store, or NULL
7560 */
7561
7562 uschar *
7563 expand_string_copy(const uschar *string)
7564 {
7565 const uschar *yield = expand_cstring(string);
7566 if (yield == string) yield = string_copy(string);
7567 return US yield;
7568 }
7569
7570
7571
7572 /*************************************************
7573 *        Expand and interpret as an integer      *
7574 *************************************************/
7575
7576 /* Expand a string, and convert the result into an integer.
7577
7578 Arguments:
7579   string  the string to be expanded
7580   isplus  TRUE if a non-negative number is expected
7581
7582 Returns:  the integer value, or
7583           -1 for an expansion error               ) in both cases, message in
7584           -2 for an integer interpretation error  ) expand_string_message
7585           expand_string_message is set NULL for an OK integer
7586 */
7587
7588 int_eximarith_t
7589 expand_string_integer(uschar *string, BOOL isplus)
7590 {
7591 return expanded_string_integer(expand_string(string), isplus);
7592 }
7593
7594
7595 /*************************************************
7596  *         Interpret string as an integer        *
7597  *************************************************/
7598
7599 /* Convert a string (that has already been expanded) into an integer.
7600
7601 This function is used inside the expansion code.
7602
7603 Arguments:
7604   s       the string to be expanded
7605   isplus  TRUE if a non-negative number is expected
7606
7607 Returns:  the integer value, or
7608           -1 if string is NULL (which implies an expansion error)
7609           -2 for an integer interpretation error
7610           expand_string_message is set NULL for an OK integer
7611 */
7612
7613 static int_eximarith_t
7614 expanded_string_integer(const uschar *s, BOOL isplus)
7615 {
7616 int_eximarith_t value;
7617 uschar *msg = US"invalid integer \"%s\"";
7618 uschar *endptr;
7619
7620 /* If expansion failed, expand_string_message will be set. */
7621
7622 if (s == NULL) return -1;
7623
7624 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
7625 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
7626 systems, so we set it zero ourselves. */
7627
7628 errno = 0;
7629 expand_string_message = NULL;               /* Indicates no error */
7630
7631 /* Before Exim 4.64, strings consisting entirely of whitespace compared
7632 equal to 0.  Unfortunately, people actually relied upon that, so preserve
7633 the behaviour explicitly.  Stripping leading whitespace is a harmless
7634 noop change since strtol skips it anyway (provided that there is a number
7635 to find at all). */
7636 if (isspace(*s))
7637   {
7638   while (isspace(*s)) ++s;
7639   if (*s == '\0')
7640     {
7641       DEBUG(D_expand)
7642        debug_printf("treating blank string as number 0\n");
7643       return 0;
7644     }
7645   }
7646
7647 value = strtoll(CS s, CSS &endptr, 10);
7648
7649 if (endptr == s)
7650   {
7651   msg = US"integer expected but \"%s\" found";
7652   }
7653 else if (value < 0 && isplus)
7654   {
7655   msg = US"non-negative integer expected but \"%s\" found";
7656   }
7657 else
7658   {
7659   switch (tolower(*endptr))
7660     {
7661     default:
7662       break;
7663     case 'k':
7664       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
7665       else value *= 1024;
7666       endptr++;
7667       break;
7668     case 'm':
7669       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
7670       else value *= 1024*1024;
7671       endptr++;
7672       break;
7673     case 'g':
7674       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
7675       else value *= 1024*1024*1024;
7676       endptr++;
7677       break;
7678     }
7679   if (errno == ERANGE)
7680     msg = US"absolute value of integer \"%s\" is too large (overflow)";
7681   else
7682     {
7683     while (isspace(*endptr)) endptr++;
7684     if (*endptr == 0) return value;
7685     }
7686   }
7687
7688 expand_string_message = string_sprintf(CS msg, s);
7689 return -2;
7690 }
7691
7692
7693 /* These values are usually fixed boolean values, but they are permitted to be
7694 expanded strings.
7695
7696 Arguments:
7697   addr       address being routed
7698   mtype      the module type
7699   mname      the module name
7700   dbg_opt    debug selectors
7701   oname      the option name
7702   bvalue     the router's boolean value
7703   svalue     the router's string value
7704   rvalue     where to put the returned value
7705
7706 Returns:     OK     value placed in rvalue
7707              DEFER  expansion failed
7708 */
7709
7710 int
7711 exp_bool(address_item *addr,
7712   uschar *mtype, uschar *mname, unsigned dbg_opt,
7713   uschar *oname, BOOL bvalue,
7714   uschar *svalue, BOOL *rvalue)
7715 {
7716 uschar *expanded;
7717 if (svalue == NULL) { *rvalue = bvalue; return OK; }
7718
7719 expanded = expand_string(svalue);
7720 if (expanded == NULL)
7721   {
7722   if (expand_string_forcedfail)
7723     {
7724     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
7725     *rvalue = bvalue;
7726     return OK;
7727     }
7728   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
7729       oname, mname, mtype, expand_string_message);
7730   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
7731   return DEFER;
7732   }
7733
7734 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
7735   expanded);
7736
7737 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
7738   *rvalue = TRUE;
7739 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
7740   *rvalue = FALSE;
7741 else
7742   {
7743   addr->message = string_sprintf("\"%s\" is not a valid value for the "
7744     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
7745   return DEFER;
7746   }
7747
7748 return OK;
7749 }
7750
7751
7752
7753 /* Avoid potentially exposing a password in a string about to be logged */
7754
7755 uschar *
7756 expand_hide_passwords(uschar * s)
7757 {
7758 return (  (  Ustrstr(s, "failed to expand") != NULL
7759           || Ustrstr(s, "expansion of ")    != NULL
7760           ) 
7761        && (  Ustrstr(s, "mysql")   != NULL
7762           || Ustrstr(s, "pgsql")   != NULL
7763           || Ustrstr(s, "redis")   != NULL
7764           || Ustrstr(s, "sqlite")  != NULL
7765           || Ustrstr(s, "ldap:")   != NULL
7766           || Ustrstr(s, "ldaps:")  != NULL
7767           || Ustrstr(s, "ldapi:")  != NULL
7768           || Ustrstr(s, "ldapdn:") != NULL
7769           || Ustrstr(s, "ldapm:")  != NULL
7770        )  ) 
7771   ? US"Temporary internal error" : s;
7772 }
7773
7774
7775
7776
7777 /*************************************************
7778 **************************************************
7779 *             Stand-alone test program           *
7780 **************************************************
7781 *************************************************/
7782
7783 #ifdef STAND_ALONE
7784
7785
7786 BOOL
7787 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
7788 {
7789 int ovector[3*(EXPAND_MAXN+1)];
7790 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
7791   ovector, nelem(ovector));
7792 BOOL yield = n >= 0;
7793 if (n == 0) n = EXPAND_MAXN + 1;
7794 if (yield)
7795   {
7796   int nn;
7797   expand_nmax = (setup < 0)? 0 : setup + 1;
7798   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
7799     {
7800     expand_nstring[expand_nmax] = subject + ovector[nn];
7801     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
7802     }
7803   expand_nmax--;
7804   }
7805 return yield;
7806 }
7807
7808
7809 int main(int argc, uschar **argv)
7810 {
7811 int i;
7812 uschar buffer[1024];
7813
7814 debug_selector = D_v;
7815 debug_file = stderr;
7816 debug_fd = fileno(debug_file);
7817 big_buffer = malloc(big_buffer_size);
7818
7819 for (i = 1; i < argc; i++)
7820   {
7821   if (argv[i][0] == '+')
7822     {
7823     debug_trace_memory = 2;
7824     argv[i]++;
7825     }
7826   if (isdigit(argv[i][0]))
7827     debug_selector = Ustrtol(argv[i], NULL, 0);
7828   else
7829     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
7830         Ustrlen(argv[i]))
7831       {
7832 #ifdef LOOKUP_LDAP
7833       eldap_default_servers = argv[i];
7834 #endif
7835 #ifdef LOOKUP_MYSQL
7836       mysql_servers = argv[i];
7837 #endif
7838 #ifdef LOOKUP_PGSQL
7839       pgsql_servers = argv[i];
7840 #endif
7841 #ifdef LOOKUP_REDIS
7842       redis_servers = argv[i];
7843 #endif
7844       }
7845 #ifdef EXIM_PERL
7846   else opt_perl_startup = argv[i];
7847 #endif
7848   }
7849
7850 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
7851
7852 expand_nstring[1] = US"string 1....";
7853 expand_nlength[1] = 8;
7854 expand_nmax = 1;
7855
7856 #ifdef EXIM_PERL
7857 if (opt_perl_startup != NULL)
7858   {
7859   uschar *errstr;
7860   printf("Starting Perl interpreter\n");
7861   errstr = init_perl(opt_perl_startup);
7862   if (errstr != NULL)
7863     {
7864     printf("** error in perl_startup code: %s\n", errstr);
7865     return EXIT_FAILURE;
7866     }
7867   }
7868 #endif /* EXIM_PERL */
7869
7870 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
7871   {
7872   void *reset_point = store_get(0);
7873   uschar *yield = expand_string(buffer);
7874   if (yield != NULL)
7875     {
7876     printf("%s\n", yield);
7877     store_reset(reset_point);
7878     }
7879   else
7880     {
7881     if (search_find_defer) printf("search_find deferred\n");
7882     printf("Failed: %s\n", expand_string_message);
7883     if (expand_string_forcedfail) printf("Forced failure\n");
7884     printf("\n");
7885     }
7886   }
7887
7888 search_tidyup();
7889
7890 return 0;
7891 }
7892
7893 #endif
7894
7895 /* vi: aw ai sw=2
7896 */
7897 /* End of expand.c */