ee260a129b3e2d62d0b073b97236857d10e4fc84
[users/jgh/exim.git] / src / src / transports / smtp.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2012 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8 #include "../exim.h"
9 #include "smtp.h"
10
11 #define PENDING          256
12 #define PENDING_DEFER   (PENDING + DEFER)
13 #define PENDING_OK      (PENDING + OK)
14
15
16 /* Options specific to the smtp transport. This transport also supports LMTP
17 over TCP/IP. The options must be in alphabetic order (note that "_" comes
18 before the lower case letters). Some live in the transport_instance block so as
19 to be publicly visible; these are flagged with opt_public. */
20
21 optionlist smtp_transport_options[] = {
22   { "address_retry_include_sender", opt_bool,
23       (void *)offsetof(smtp_transport_options_block, address_retry_include_sender) },
24   { "allow_localhost",      opt_bool,
25       (void *)offsetof(smtp_transport_options_block, allow_localhost) },
26   { "authenticated_sender", opt_stringptr,
27       (void *)offsetof(smtp_transport_options_block, authenticated_sender) },
28   { "authenticated_sender_force", opt_bool,
29       (void *)offsetof(smtp_transport_options_block, authenticated_sender_force) },
30   { "command_timeout",      opt_time,
31       (void *)offsetof(smtp_transport_options_block, command_timeout) },
32   { "connect_timeout",      opt_time,
33       (void *)offsetof(smtp_transport_options_block, connect_timeout) },
34   { "connection_max_messages", opt_int | opt_public,
35       (void *)offsetof(transport_instance, connection_max_messages) },
36   { "data_timeout",         opt_time,
37       (void *)offsetof(smtp_transport_options_block, data_timeout) },
38   { "delay_after_cutoff", opt_bool,
39       (void *)offsetof(smtp_transport_options_block, delay_after_cutoff) },
40 #ifndef DISABLE_DKIM
41   { "dkim_canon", opt_stringptr,
42       (void *)offsetof(smtp_transport_options_block, dkim_canon) },
43   { "dkim_domain", opt_stringptr,
44       (void *)offsetof(smtp_transport_options_block, dkim_domain) },
45   { "dkim_private_key", opt_stringptr,
46       (void *)offsetof(smtp_transport_options_block, dkim_private_key) },
47   { "dkim_selector", opt_stringptr,
48       (void *)offsetof(smtp_transport_options_block, dkim_selector) },
49   { "dkim_sign_headers", opt_stringptr,
50       (void *)offsetof(smtp_transport_options_block, dkim_sign_headers) },
51   { "dkim_strict", opt_stringptr,
52       (void *)offsetof(smtp_transport_options_block, dkim_strict) },
53 #endif
54   { "dns_qualify_single",   opt_bool,
55       (void *)offsetof(smtp_transport_options_block, dns_qualify_single) },
56   { "dns_search_parents",   opt_bool,
57       (void *)offsetof(smtp_transport_options_block, dns_search_parents) },
58   { "dscp",                 opt_stringptr,
59       (void *)offsetof(smtp_transport_options_block, dscp) },
60   { "fallback_hosts",       opt_stringptr,
61       (void *)offsetof(smtp_transport_options_block, fallback_hosts) },
62   { "final_timeout",        opt_time,
63       (void *)offsetof(smtp_transport_options_block, final_timeout) },
64   { "gethostbyname",        opt_bool,
65       (void *)offsetof(smtp_transport_options_block, gethostbyname) },
66 #ifdef SUPPORT_TLS
67   /* These are no longer honoured, as of Exim 4.80; for now, we silently
68   ignore; a later release will warn, and a later-still release will remove
69   these options, so that using them becomes an error. */
70   { "gnutls_require_kx",    opt_stringptr,
71       (void *)offsetof(smtp_transport_options_block, gnutls_require_kx) },
72   { "gnutls_require_mac",   opt_stringptr,
73       (void *)offsetof(smtp_transport_options_block, gnutls_require_mac) },
74   { "gnutls_require_protocols", opt_stringptr,
75       (void *)offsetof(smtp_transport_options_block, gnutls_require_proto) },
76 #endif
77   { "helo_data",            opt_stringptr,
78       (void *)offsetof(smtp_transport_options_block, helo_data) },
79   { "hosts",                opt_stringptr,
80       (void *)offsetof(smtp_transport_options_block, hosts) },
81   { "hosts_avoid_esmtp",    opt_stringptr,
82       (void *)offsetof(smtp_transport_options_block, hosts_avoid_esmtp) },
83   { "hosts_avoid_pipelining", opt_stringptr,
84       (void *)offsetof(smtp_transport_options_block, hosts_avoid_pipelining) },
85 #ifdef SUPPORT_TLS
86   { "hosts_avoid_tls",      opt_stringptr,
87       (void *)offsetof(smtp_transport_options_block, hosts_avoid_tls) },
88 #endif
89   { "hosts_max_try",        opt_int,
90       (void *)offsetof(smtp_transport_options_block, hosts_max_try) },
91   { "hosts_max_try_hardlimit", opt_int,
92       (void *)offsetof(smtp_transport_options_block, hosts_max_try_hardlimit) },
93 #ifdef SUPPORT_TLS
94   { "hosts_nopass_tls",     opt_stringptr,
95       (void *)offsetof(smtp_transport_options_block, hosts_nopass_tls) },
96 #endif
97   { "hosts_override",       opt_bool,
98       (void *)offsetof(smtp_transport_options_block, hosts_override) },
99   { "hosts_randomize",      opt_bool,
100       (void *)offsetof(smtp_transport_options_block, hosts_randomize) },
101   { "hosts_require_auth",   opt_stringptr,
102       (void *)offsetof(smtp_transport_options_block, hosts_require_auth) },
103 #ifdef SUPPORT_TLS
104   { "hosts_require_tls",    opt_stringptr,
105       (void *)offsetof(smtp_transport_options_block, hosts_require_tls) },
106 #endif
107   { "hosts_try_auth",       opt_stringptr,
108       (void *)offsetof(smtp_transport_options_block, hosts_try_auth) },
109 #ifdef EXPERIMENTAL_PRDR
110   { "hosts_try_prdr",       opt_stringptr,
111       (void *)offsetof(smtp_transport_options_block, hosts_try_prdr) },
112 #endif
113 #ifdef SUPPORT_TLS
114   { "hosts_verify_avoid_tls", opt_stringptr,
115       (void *)offsetof(smtp_transport_options_block, hosts_verify_avoid_tls) },
116 #endif
117   { "interface",            opt_stringptr,
118       (void *)offsetof(smtp_transport_options_block, interface) },
119   { "keepalive",            opt_bool,
120       (void *)offsetof(smtp_transport_options_block, keepalive) },
121   { "lmtp_ignore_quota",    opt_bool,
122       (void *)offsetof(smtp_transport_options_block, lmtp_ignore_quota) },
123   { "max_rcpt",             opt_int | opt_public,
124       (void *)offsetof(transport_instance, max_addresses) },
125   { "multi_domain",         opt_bool | opt_public,
126       (void *)offsetof(transport_instance, multi_domain) },
127   { "port",                 opt_stringptr,
128       (void *)offsetof(smtp_transport_options_block, port) },
129   { "protocol",             opt_stringptr,
130       (void *)offsetof(smtp_transport_options_block, protocol) },
131   { "retry_include_ip_address", opt_bool,
132       (void *)offsetof(smtp_transport_options_block, retry_include_ip_address) },
133   { "serialize_hosts",      opt_stringptr,
134       (void *)offsetof(smtp_transport_options_block, serialize_hosts) },
135   { "size_addition",        opt_int,
136       (void *)offsetof(smtp_transport_options_block, size_addition) }
137 #ifdef SUPPORT_TLS
138  ,{ "tls_certificate",      opt_stringptr,
139       (void *)offsetof(smtp_transport_options_block, tls_certificate) },
140   { "tls_crl",              opt_stringptr,
141       (void *)offsetof(smtp_transport_options_block, tls_crl) },
142   { "tls_dh_min_bits",      opt_int,
143       (void *)offsetof(smtp_transport_options_block, tls_dh_min_bits) },
144   { "tls_privatekey",       opt_stringptr,
145       (void *)offsetof(smtp_transport_options_block, tls_privatekey) },
146   { "tls_require_ciphers",  opt_stringptr,
147       (void *)offsetof(smtp_transport_options_block, tls_require_ciphers) },
148   { "tls_sni",              opt_stringptr,
149       (void *)offsetof(smtp_transport_options_block, tls_sni) },
150   { "tls_tempfail_tryclear", opt_bool,
151       (void *)offsetof(smtp_transport_options_block, tls_tempfail_tryclear) },
152   { "tls_verify_certificates", opt_stringptr,
153       (void *)offsetof(smtp_transport_options_block, tls_verify_certificates) }
154 #endif
155 };
156
157 /* Size of the options list. An extern variable has to be used so that its
158 address can appear in the tables drtables.c. */
159
160 int smtp_transport_options_count =
161   sizeof(smtp_transport_options)/sizeof(optionlist);
162
163 /* Default private options block for the smtp transport. */
164
165 smtp_transport_options_block smtp_transport_option_defaults = {
166   NULL,                /* hosts */
167   NULL,                /* fallback_hosts */
168   NULL,                /* hostlist */
169   NULL,                /* fallback_hostlist */
170   NULL,                /* authenticated_sender */
171   US"$primary_hostname", /* helo_data */
172   NULL,                /* interface */
173   NULL,                /* port */
174   US"smtp",            /* protocol */
175   NULL,                /* DSCP */
176   NULL,                /* serialize_hosts */
177   NULL,                /* hosts_try_auth */
178   NULL,                /* hosts_require_auth */
179 #ifdef EXPERIMENTAL_PRDR
180   NULL,                /* hosts_try_prdr */
181 #endif
182   NULL,                /* hosts_require_tls */
183   NULL,                /* hosts_avoid_tls */
184   US"*",               /* hosts_verify_avoid_tls */
185   NULL,                /* hosts_avoid_pipelining */
186   NULL,                /* hosts_avoid_esmtp */
187   NULL,                /* hosts_nopass_tls */
188   5*60,                /* command_timeout */
189   5*60,                /* connect_timeout; shorter system default overrides */
190   5*60,                /* data timeout */
191   10*60,               /* final timeout */
192   1024,                /* size_addition */
193   5,                   /* hosts_max_try */
194   50,                  /* hosts_max_try_hardlimit */
195   TRUE,                /* address_retry_include_sender */
196   FALSE,               /* allow_localhost */
197   FALSE,               /* authenticated_sender_force */
198   FALSE,               /* gethostbyname */
199   TRUE,                /* dns_qualify_single */
200   FALSE,               /* dns_search_parents */
201   TRUE,                /* delay_after_cutoff */
202   FALSE,               /* hosts_override */
203   FALSE,               /* hosts_randomize */
204   TRUE,                /* keepalive */
205   FALSE,               /* lmtp_ignore_quota */
206   TRUE                 /* retry_include_ip_address */
207 #ifdef SUPPORT_TLS
208  ,NULL,                /* tls_certificate */
209   NULL,                /* tls_crl */
210   NULL,                /* tls_privatekey */
211   NULL,                /* tls_require_ciphers */
212   NULL,                /* gnutls_require_kx */
213   NULL,                /* gnutls_require_mac */
214   NULL,                /* gnutls_require_proto */
215   NULL,                /* tls_sni */
216   NULL,                /* tls_verify_certificates */
217   EXIM_CLIENT_DH_DEFAULT_MIN_BITS,
218                        /* tls_dh_min_bits */
219   TRUE                 /* tls_tempfail_tryclear */
220 #endif
221 #ifndef DISABLE_DKIM
222  ,NULL,                /* dkim_canon */
223   NULL,                /* dkim_domain */
224   NULL,                /* dkim_private_key */
225   NULL,                /* dkim_selector */
226   NULL,                /* dkim_sign_headers */
227   NULL                 /* dkim_strict */
228 #endif
229 };
230
231
232 /* Local statics */
233
234 static uschar *smtp_command;   /* Points to last cmd for error messages */
235 static uschar *mail_command;   /* Points to MAIL cmd for error messages */
236 static BOOL    update_waiting; /* TRUE to update the "wait" database */
237
238
239 /*************************************************
240 *             Setup entry point                  *
241 *************************************************/
242
243 /* This function is called when the transport is about to be used,
244 but before running it in a sub-process. It is used for two things:
245
246   (1) To set the fallback host list in addresses, when delivering.
247   (2) To pass back the interface, port, protocol, and other options, for use
248       during callout verification.
249
250 Arguments:
251   tblock    pointer to the transport instance block
252   addrlist  list of addresses about to be transported
253   tf        if not NULL, pointer to block in which to return options
254   uid       the uid that will be set (not used)
255   gid       the gid that will be set (not used)
256   errmsg    place for error message (not used)
257
258 Returns:  OK always (FAIL, DEFER not used)
259 */
260
261 static int
262 smtp_transport_setup(transport_instance *tblock, address_item *addrlist,
263   transport_feedback *tf, uid_t uid, gid_t gid, uschar **errmsg)
264 {
265 smtp_transport_options_block *ob =
266   (smtp_transport_options_block *)(tblock->options_block);
267
268 errmsg = errmsg;    /* Keep picky compilers happy */
269 uid = uid;
270 gid = gid;
271
272 /* Pass back options if required. This interface is getting very messy. */
273
274 if (tf != NULL)
275   {
276   tf->interface = ob->interface;
277   tf->port = ob->port;
278   tf->protocol = ob->protocol;
279   tf->hosts = ob->hosts;
280   tf->hosts_override = ob->hosts_override;
281   tf->hosts_randomize = ob->hosts_randomize;
282   tf->gethostbyname = ob->gethostbyname;
283   tf->qualify_single = ob->dns_qualify_single;
284   tf->search_parents = ob->dns_search_parents;
285   tf->helo_data = ob->helo_data;
286   }
287
288 /* Set the fallback host list for all the addresses that don't have fallback
289 host lists, provided that the local host wasn't present in the original host
290 list. */
291
292 if (!testflag(addrlist, af_local_host_removed))
293   {
294   for (; addrlist != NULL; addrlist = addrlist->next)
295     if (addrlist->fallback_hosts == NULL)
296       addrlist->fallback_hosts = ob->fallback_hostlist;
297   }
298
299 return OK;
300 }
301
302
303
304 /*************************************************
305 *          Initialization entry point            *
306 *************************************************/
307
308 /* Called for each instance, after its options have been read, to
309 enable consistency checks to be done, or anything else that needs
310 to be set up.
311
312 Argument:   pointer to the transport instance block
313 Returns:    nothing
314 */
315
316 void
317 smtp_transport_init(transport_instance *tblock)
318 {
319 smtp_transport_options_block *ob =
320   (smtp_transport_options_block *)(tblock->options_block);
321
322 /* Retry_use_local_part defaults FALSE if unset */
323
324 if (tblock->retry_use_local_part == TRUE_UNSET)
325   tblock->retry_use_local_part = FALSE;
326
327 /* Set the default port according to the protocol */
328
329 if (ob->port == NULL)
330   ob->port = (strcmpic(ob->protocol, US"lmtp") == 0)? US"lmtp" :
331     (strcmpic(ob->protocol, US"smtps") == 0)? US"smtps" : US"smtp";
332
333 /* Set up the setup entry point, to be called before subprocesses for this
334 transport. */
335
336 tblock->setup = smtp_transport_setup;
337
338 /* Complain if any of the timeouts are zero. */
339
340 if (ob->command_timeout <= 0 || ob->data_timeout <= 0 ||
341     ob->final_timeout <= 0)
342   log_write(0, LOG_PANIC_DIE|LOG_CONFIG,
343     "command, data, or final timeout value is zero for %s transport",
344       tblock->name);
345
346 /* If hosts_override is set and there are local hosts, set the global
347 flag that stops verify from showing router hosts. */
348
349 if (ob->hosts_override && ob->hosts != NULL) tblock->overrides_hosts = TRUE;
350
351 /* If there are any fallback hosts listed, build a chain of host items
352 for them, but do not do any lookups at this time. */
353
354 host_build_hostlist(&(ob->fallback_hostlist), ob->fallback_hosts, FALSE);
355 }
356
357
358
359
360
361 /*************************************************
362 *   Set delivery info into all active addresses  *
363 *************************************************/
364
365 /* Only addresses whose status is >= PENDING are relevant. A lesser
366 status means that an address is not currently being processed.
367
368 Arguments:
369   addrlist       points to a chain of addresses
370   errno_value    to put in each address's errno field
371   msg            to put in each address's message field
372   rc             to put in each address's transport_return field
373   pass_message   if TRUE, set the "pass message" flag in the address
374
375 If errno_value has the special value ERRNO_CONNECTTIMEOUT, ETIMEDOUT is put in
376 the errno field, and RTEF_CTOUT is ORed into the more_errno field, to indicate
377 this particular type of timeout.
378
379 Returns:       nothing
380 */
381
382 static void
383 set_errno(address_item *addrlist, int errno_value, uschar *msg, int rc,
384   BOOL pass_message)
385 {
386 address_item *addr;
387 int orvalue = 0;
388 if (errno_value == ERRNO_CONNECTTIMEOUT)
389   {
390   errno_value = ETIMEDOUT;
391   orvalue = RTEF_CTOUT;
392   }
393 for (addr = addrlist; addr != NULL; addr = addr->next)
394   {
395   if (addr->transport_return < PENDING) continue;
396   addr->basic_errno = errno_value;
397   addr->more_errno |= orvalue;
398   if (msg != NULL)
399     {
400     addr->message = msg;
401     if (pass_message) setflag(addr, af_pass_message);
402     }
403   addr->transport_return = rc;
404   }
405 }
406
407
408
409 /*************************************************
410 *          Check an SMTP response                *
411 *************************************************/
412
413 /* This function is given an errno code and the SMTP response buffer
414 to analyse, together with the host identification for generating messages. It
415 sets an appropriate message and puts the first digit of the response code into
416 the yield variable. If no response was actually read, a suitable digit is
417 chosen.
418
419 Arguments:
420   host           the current host, to get its name for messages
421   errno_value    pointer to the errno value
422   more_errno     from the top address for use with ERRNO_FILTER_FAIL
423   buffer         the SMTP response buffer
424   yield          where to put a one-digit SMTP response code
425   message        where to put an errror message
426   pass_message   set TRUE if message is an SMTP response
427
428 Returns:         TRUE if an SMTP "QUIT" command should be sent, else FALSE
429 */
430
431 static BOOL check_response(host_item *host, int *errno_value, int more_errno,
432   uschar *buffer, int *yield, uschar **message, BOOL *pass_message)
433 {
434 uschar *pl = US"";
435
436 if (smtp_use_pipelining &&
437     (Ustrcmp(smtp_command, "MAIL") == 0 ||
438      Ustrcmp(smtp_command, "RCPT") == 0 ||
439      Ustrcmp(smtp_command, "DATA") == 0))
440   pl = US"pipelined ";
441
442 *yield = '4';    /* Default setting is to give a temporary error */
443
444 /* Handle response timeout */
445
446 if (*errno_value == ETIMEDOUT)
447   {
448   *message = US string_sprintf("SMTP timeout while connected to %s [%s] "
449     "after %s%s", host->name, host->address, pl, smtp_command);
450   if (transport_count > 0)
451     *message = US string_sprintf("%s (%d bytes written)", *message,
452       transport_count);
453   return FALSE;
454   }
455
456 /* Handle malformed SMTP response */
457
458 if (*errno_value == ERRNO_SMTPFORMAT)
459   {
460   uschar *malfresp = string_printing(buffer);
461   while (isspace(*malfresp)) malfresp++;
462   if (*malfresp == 0)
463     *message = string_sprintf("Malformed SMTP reply (an empty line) from "
464       "%s [%s] in response to %s%s", host->name, host->address, pl,
465       smtp_command);
466   else
467     *message = string_sprintf("Malformed SMTP reply from %s [%s] in response "
468       "to %s%s: %s", host->name, host->address, pl, smtp_command, malfresp);
469   return FALSE;
470   }
471
472 /* Handle a failed filter process error; can't send QUIT as we mustn't
473 end the DATA. */
474
475 if (*errno_value == ERRNO_FILTER_FAIL)
476   {
477   *message = US string_sprintf("transport filter process failed (%d)%s",
478     more_errno,
479     (more_errno == EX_EXECFAILED)? ": unable to execute command" : "");
480   return FALSE;
481   }
482
483 /* Handle a failed add_headers expansion; can't send QUIT as we mustn't
484 end the DATA. */
485
486 if (*errno_value == ERRNO_CHHEADER_FAIL)
487   {
488   *message =
489     US string_sprintf("failed to expand headers_add or headers_remove: %s",
490       expand_string_message);
491   return FALSE;
492   }
493
494 /* Handle failure to write a complete data block */
495
496 if (*errno_value == ERRNO_WRITEINCOMPLETE)
497   {
498   *message = US string_sprintf("failed to write a data block");
499   return FALSE;
500   }
501
502 /* Handle error responses from the remote mailer. */
503
504 if (buffer[0] != 0)
505   {
506   uschar *s = string_printing(buffer);
507   *message = US string_sprintf("SMTP error from remote mail server after %s%s: "
508     "host %s [%s]: %s", pl, smtp_command, host->name, host->address, s);
509   *pass_message = TRUE;
510   *yield = buffer[0];
511   return TRUE;
512   }
513
514 /* No data was read. If there is no errno, this must be the EOF (i.e.
515 connection closed) case, which causes deferral. An explicit connection reset
516 error has the same effect. Otherwise, put the host's identity in the message,
517 leaving the errno value to be interpreted as well. In all cases, we have to
518 assume the connection is now dead. */
519
520 if (*errno_value == 0 || *errno_value == ECONNRESET)
521   {
522   *errno_value = ERRNO_SMTPCLOSED;
523   *message = US string_sprintf("Remote host %s [%s] closed connection "
524     "in response to %s%s", host->name, host->address, pl, smtp_command);
525   }
526 else *message = US string_sprintf("%s [%s]", host->name, host->address);
527
528 return FALSE;
529 }
530
531
532
533 /*************************************************
534 *          Write error message to logs           *
535 *************************************************/
536
537 /* This writes to the main log and to the message log.
538
539 Arguments:
540   addr     the address item containing error information
541   host     the current host
542
543 Returns:   nothing
544 */
545
546 static void
547 write_logs(address_item *addr, host_item *host)
548 {
549 if (addr->message != NULL)
550   {
551   uschar *message = addr->message;
552   if (addr->basic_errno > 0)
553     message = string_sprintf("%s: %s", message, strerror(addr->basic_errno));
554   log_write(0, LOG_MAIN, "%s", message);
555   deliver_msglog("%s %s\n", tod_stamp(tod_log), message);
556   }
557 else
558   {
559   uschar *msg =
560     ((log_extra_selector & LX_outgoing_port) != 0)?
561     string_sprintf("%s [%s]:%d", host->name, host->address,
562       (host->port == PORT_NONE)? 25 : host->port)
563     :
564     string_sprintf("%s [%s]", host->name, host->address);
565   log_write(0, LOG_MAIN, "%s %s", msg, strerror(addr->basic_errno));
566   deliver_msglog("%s %s %s\n", tod_stamp(tod_log), msg,
567     strerror(addr->basic_errno));
568   }
569 }
570
571
572
573 /*************************************************
574 *           Synchronize SMTP responses           *
575 *************************************************/
576
577 /* This function is called from smtp_deliver() to receive SMTP responses from
578 the server, and match them up with the commands to which they relate. When
579 PIPELINING is not in use, this function is called after every command, and is
580 therefore somewhat over-engineered, but it is simpler to use a single scheme
581 that works both with and without PIPELINING instead of having two separate sets
582 of code.
583
584 The set of commands that are buffered up with pipelining may start with MAIL
585 and may end with DATA; in between are RCPT commands that correspond to the
586 addresses whose status is PENDING_DEFER. All other commands (STARTTLS, AUTH,
587 etc.) are never buffered.
588
589 Errors after MAIL or DATA abort the whole process leaving the response in the
590 buffer. After MAIL, pending responses are flushed, and the original command is
591 re-instated in big_buffer for error messages. For RCPT commands, the remote is
592 permitted to reject some recipient addresses while accepting others. However
593 certain errors clearly abort the whole process. Set the value in
594 transport_return to PENDING_OK if the address is accepted. If there is a
595 subsequent general error, it will get reset accordingly. If not, it will get
596 converted to OK at the end.
597
598 Arguments:
599   addrlist          the complete address list
600   include_affixes   TRUE if affixes include in RCPT
601   sync_addr         ptr to the ptr of the one to start scanning at (updated)
602   host              the host we are connected to
603   count             the number of responses to read
604   address_retry_
605     include_sender  true if 4xx retry is to include the sender it its key
606   pending_MAIL      true if the first response is for MAIL
607   pending_DATA      0 if last command sent was not DATA
608                    +1 if previously had a good recipient
609                    -1 if not previously had a good recipient
610   inblock           incoming SMTP block
611   timeout           timeout value
612   buffer            buffer for reading response
613   buffsize          size of buffer
614
615 Returns:      3 if at least one address had 2xx and one had 5xx
616               2 if at least one address had 5xx but none had 2xx
617               1 if at least one host had a 2xx response, but none had 5xx
618               0 no address had 2xx or 5xx but no errors (all 4xx, or just DATA)
619              -1 timeout while reading RCPT response
620              -2 I/O or other non-response error for RCPT
621              -3 DATA or MAIL failed - errno and buffer set
622 */
623
624 static int
625 sync_responses(address_item *addrlist, BOOL include_affixes,
626   address_item **sync_addr, host_item *host, int count,
627   BOOL address_retry_include_sender, BOOL pending_MAIL,
628   int pending_DATA, smtp_inblock *inblock, int timeout, uschar *buffer,
629   int buffsize)
630 {
631 address_item *addr = *sync_addr;
632 int yield = 0;
633
634 /* Handle the response for a MAIL command. On error, reinstate the original
635 command in big_buffer for error message use, and flush any further pending
636 responses before returning, except after I/O errors and timeouts. */
637
638 if (pending_MAIL)
639   {
640   count--;
641   if (!smtp_read_response(inblock, buffer, buffsize, '2', timeout))
642     {
643     Ustrcpy(big_buffer, mail_command);  /* Fits, because it came from there! */
644     if (errno == 0 && buffer[0] != 0)
645       {
646       uschar flushbuffer[4096];
647       int save_errno = 0;
648       if (buffer[0] == '4')
649         {
650         save_errno = ERRNO_MAIL4XX;
651         addr->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
652         }
653       while (count-- > 0)
654         {
655         if (!smtp_read_response(inblock, flushbuffer, sizeof(flushbuffer),
656                    '2', timeout)
657             && (errno != 0 || flushbuffer[0] == 0))
658           break;
659         }
660       errno = save_errno;
661       }
662     return -3;
663     }
664   }
665
666 if (pending_DATA) count--;  /* Number of RCPT responses to come */
667
668 /* Read and handle the required number of RCPT responses, matching each one up
669 with an address by scanning for the next address whose status is PENDING_DEFER.
670 */
671
672 while (count-- > 0)
673   {
674   while (addr->transport_return != PENDING_DEFER) addr = addr->next;
675
676   /* The address was accepted */
677
678   if (smtp_read_response(inblock, buffer, buffsize, '2', timeout))
679     {
680     yield |= 1;
681     addr->transport_return = PENDING_OK;
682
683     /* If af_dr_retry_exists is set, there was a routing delay on this address;
684     ensure that any address-specific retry record is expunged. We do this both
685     for the basic key and for the version that also includes the sender. */
686
687     if (testflag(addr, af_dr_retry_exists))
688       {
689       uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
690         sender_address);
691       retry_add_item(addr, altkey, rf_delete);
692       retry_add_item(addr, addr->address_retry_key, rf_delete);
693       }
694     }
695
696   /* Timeout while reading the response */
697
698   else if (errno == ETIMEDOUT)
699     {
700     int save_errno = errno;
701     uschar *message = string_sprintf("SMTP timeout while connected to %s [%s] "
702       "after RCPT TO:<%s>", host->name, host->address,
703       transport_rcpt_address(addr, include_affixes));
704     set_errno(addrlist, save_errno, message, DEFER, FALSE);
705     retry_add_item(addr, addr->address_retry_key, 0);
706     update_waiting = FALSE;
707     return -1;
708     }
709
710   /* Handle other errors in obtaining an SMTP response by returning -1. This
711   will cause all the addresses to be deferred. Restore the SMTP command in
712   big_buffer for which we are checking the response, so the error message
713   makes sense. */
714
715   else if (errno != 0 || buffer[0] == 0)
716     {
717     string_format(big_buffer, big_buffer_size, "RCPT TO:<%s>",
718       transport_rcpt_address(addr, include_affixes));
719     return -2;
720     }
721
722   /* Handle SMTP permanent and temporary response codes. */
723
724   else
725     {
726     addr->message =
727       string_sprintf("SMTP error from remote mail server after RCPT TO:<%s>: "
728         "host %s [%s]: %s", transport_rcpt_address(addr, include_affixes),
729         host->name, host->address, string_printing(buffer));
730     setflag(addr, af_pass_message);
731     deliver_msglog("%s %s\n", tod_stamp(tod_log), addr->message);
732
733     /* The response was 5xx */
734
735     if (buffer[0] == '5')
736       {
737       addr->transport_return = FAIL;
738       yield |= 2;
739       }
740
741     /* The response was 4xx */
742
743     else
744       {
745       addr->transport_return = DEFER;
746       addr->basic_errno = ERRNO_RCPT4XX;
747       addr->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
748
749       /* Log temporary errors if there are more hosts to be tried. */
750
751       if (host->next != NULL) log_write(0, LOG_MAIN, "%s", addr->message);
752
753       /* Do not put this message on the list of those waiting for specific
754       hosts, as otherwise it is likely to be tried too often. */
755
756       update_waiting = FALSE;
757
758       /* Add a retry item for the address so that it doesn't get tried again
759       too soon. If address_retry_include_sender is true, add the sender address
760       to the retry key. */
761
762       if (address_retry_include_sender)
763         {
764         uschar *altkey = string_sprintf("%s:<%s>", addr->address_retry_key,
765           sender_address);
766         retry_add_item(addr, altkey, 0);
767         }
768       else retry_add_item(addr, addr->address_retry_key, 0);
769       }
770     }
771   }       /* Loop for next RCPT response */
772
773 /* Update where to start at for the next block of responses, unless we
774 have already handled all the addresses. */
775
776 if (addr != NULL) *sync_addr = addr->next;
777
778 /* Handle a response to DATA. If we have not had any good recipients, either
779 previously or in this block, the response is ignored. */
780
781 if (pending_DATA != 0 &&
782     !smtp_read_response(inblock, buffer, buffsize, '3', timeout))
783   {
784   int code;
785   uschar *msg;
786   BOOL pass_message;
787   if (pending_DATA > 0 || (yield & 1) != 0)
788     {
789     if (errno == 0 && buffer[0] == '4')
790       {
791       errno = ERRNO_DATA4XX;
792       addrlist->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
793       }
794     return -3;
795     }
796   (void)check_response(host, &errno, 0, buffer, &code, &msg, &pass_message);
797   DEBUG(D_transport) debug_printf("%s\nerror for DATA ignored: pipelining "
798     "is in use and there were no good recipients\n", msg);
799   }
800
801 /* All responses read and handled; MAIL (if present) received 2xx and DATA (if
802 present) received 3xx. If any RCPTs were handled and yielded anything other
803 than 4xx, yield will be set non-zero. */
804
805 return yield;
806 }
807
808
809
810 /*************************************************
811 *       Deliver address list to given host       *
812 *************************************************/
813
814 /* If continue_hostname is not null, we get here only when continuing to
815 deliver down an existing channel. The channel was passed as the standard
816 input. TLS is never active on a passed channel; the previous process always
817 closes it down before passing the connection on.
818
819 Otherwise, we have to make a connection to the remote host, and do the
820 initial protocol exchange.
821
822 When running as an MUA wrapper, if the sender or any recipient is rejected,
823 temporarily or permanently, we force failure for all recipients.
824
825 Arguments:
826   addrlist        chain of potential addresses to deliver; only those whose
827                   transport_return field is set to PENDING_DEFER are currently
828                   being processed; others should be skipped - they have either
829                   been delivered to an earlier host or IP address, or been
830                   failed by one of them.
831   host            host to deliver to
832   host_af         AF_INET or AF_INET6
833   port            default TCP/IP port to use, in host byte order
834   interface       interface to bind to, or NULL
835   tblock          transport instance block
836   copy_host       TRUE if host set in addr->host_used must be copied, because
837                     it is specific to this call of the transport
838   message_defer   set TRUE if yield is OK, but all addresses were deferred
839                     because of a non-recipient, non-host failure, that is, a
840                     4xx response to MAIL FROM, DATA, or ".". This is a defer
841                     that is specific to the message.
842   suppress_tls    if TRUE, don't attempt a TLS connection - this is set for
843                     a second attempt after TLS initialization fails
844
845 Returns:          OK    - the connection was made and the delivery attempted;
846                           the result for each address is in its data block.
847                   DEFER - the connection could not be made, or something failed
848                           while setting up the SMTP session, or there was a
849                           non-message-specific error, such as a timeout.
850                   ERROR - a filter command is specified for this transport,
851                           and there was a problem setting it up; OR helo_data
852                           or add_headers or authenticated_sender is specified
853                           for this transport, and the string failed to expand
854 */
855
856 static int
857 smtp_deliver(address_item *addrlist, host_item *host, int host_af, int port,
858   uschar *interface, transport_instance *tblock, BOOL copy_host,
859   BOOL *message_defer, BOOL suppress_tls)
860 {
861 address_item *addr;
862 address_item *sync_addr;
863 address_item *first_addr = addrlist;
864 int yield = OK;
865 int address_count;
866 int save_errno;
867 int rc;
868 time_t start_delivery_time = time(NULL);
869 smtp_transport_options_block *ob =
870   (smtp_transport_options_block *)(tblock->options_block);
871 BOOL lmtp = strcmpic(ob->protocol, US"lmtp") == 0;
872 BOOL smtps = strcmpic(ob->protocol, US"smtps") == 0;
873 BOOL ok = FALSE;
874 BOOL send_rset = TRUE;
875 BOOL send_quit = TRUE;
876 BOOL setting_up = TRUE;
877 BOOL completed_address = FALSE;
878 BOOL esmtp = TRUE;
879 BOOL pending_MAIL;
880 BOOL pass_message = FALSE;
881 #ifdef EXPERIMENTAL_PRDR
882 BOOL prdr_offered = FALSE;
883 BOOL prdr_active;
884 #endif
885 smtp_inblock inblock;
886 smtp_outblock outblock;
887 int max_rcpt = tblock->max_addresses;
888 uschar *igquotstr = US"";
889 uschar *local_authenticated_sender = authenticated_sender;
890 uschar *helo_data = NULL;
891 uschar *message = NULL;
892 uschar new_message_id[MESSAGE_ID_LENGTH + 1];
893 uschar *p;
894 uschar buffer[4096];
895 uschar inbuffer[4096];
896 uschar outbuffer[1024];
897
898 suppress_tls = suppress_tls;  /* stop compiler warning when no TLS support */
899
900 *message_defer = FALSE;
901 smtp_command = US"initial connection";
902 if (max_rcpt == 0) max_rcpt = 999999;
903
904 /* Set up the buffer for reading SMTP response packets. */
905
906 inblock.buffer = inbuffer;
907 inblock.buffersize = sizeof(inbuffer);
908 inblock.ptr = inbuffer;
909 inblock.ptrend = inbuffer;
910
911 /* Set up the buffer for holding SMTP commands while pipelining */
912
913 outblock.buffer = outbuffer;
914 outblock.buffersize = sizeof(outbuffer);
915 outblock.ptr = outbuffer;
916 outblock.cmd_count = 0;
917 outblock.authenticating = FALSE;
918
919 /* Reset the parameters of a TLS session. */
920
921 tls_in.bits = 0;
922 tls_in.cipher = NULL;   /* for back-compatible behaviour */
923 tls_in.peerdn = NULL;
924 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
925 tls_in.sni = NULL;
926 #endif
927
928 tls_out.bits = 0;
929 tls_out.cipher = NULL;  /* the one we may use for this transport */
930 tls_out.peerdn = NULL;
931 #if defined(SUPPORT_TLS) && !defined(USE_GNUTLS)
932 tls_out.sni = NULL;
933 #endif
934
935 #ifndef SUPPORT_TLS
936 if (smtps)
937   {
938     set_errno(addrlist, 0, US"TLS support not available", DEFER, FALSE);
939     return ERROR;
940   }
941 #endif
942
943 /* Make a connection to the host if this isn't a continued delivery, and handle
944 the initial interaction and HELO/EHLO/LHLO. Connect timeout errors are handled
945 specially so they can be identified for retries. */
946
947 if (continue_hostname == NULL)
948   {
949   inblock.sock = outblock.sock =
950     smtp_connect(host, host_af, port, interface, ob->connect_timeout,
951       ob->keepalive, ob->dscp);   /* This puts port into host->port */
952
953   if (inblock.sock < 0)
954     {
955     set_errno(addrlist, (errno == ETIMEDOUT)? ERRNO_CONNECTTIMEOUT : errno,
956       NULL, DEFER, FALSE);
957     return DEFER;
958     }
959
960   /* Expand the greeting message while waiting for the initial response. (Makes
961   sense if helo_data contains ${lookup dnsdb ...} stuff). The expansion is
962   delayed till here so that $sending_interface and $sending_port are set. */
963
964   helo_data = expand_string(ob->helo_data);
965
966   /* The first thing is to wait for an initial OK response. The dreaded "goto"
967   is nevertheless a reasonably clean way of programming this kind of logic,
968   where you want to escape on any error. */
969
970   if (!smtps)
971     {
972     if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
973       ob->command_timeout)) goto RESPONSE_FAILED;
974
975     /* Now check if the helo_data expansion went well, and sign off cleanly if
976     it didn't. */
977
978     if (helo_data == NULL)
979       {
980       uschar *message = string_sprintf("failed to expand helo_data: %s",
981         expand_string_message);
982       set_errno(addrlist, 0, message, DEFER, FALSE);
983       yield = DEFER;
984       goto SEND_QUIT;
985       }
986     }
987
988 /** Debugging without sending a message
989 addrlist->transport_return = DEFER;
990 goto SEND_QUIT;
991 **/
992
993   /* Errors that occur after this point follow an SMTP command, which is
994   left in big_buffer by smtp_write_command() for use in error messages. */
995
996   smtp_command = big_buffer;
997
998   /* Tell the remote who we are...
999
1000   February 1998: A convention has evolved that ESMTP-speaking MTAs include the
1001   string "ESMTP" in their greeting lines, so make Exim send EHLO if the
1002   greeting is of this form. The assumption was that the far end supports it
1003   properly... but experience shows that there are some that give 5xx responses,
1004   even though the banner includes "ESMTP" (there's a bloody-minded one that
1005   says "ESMTP not spoken here"). Cope with that case.
1006
1007   September 2000: Time has passed, and it seems reasonable now to always send
1008   EHLO at the start. It is also convenient to make the change while installing
1009   the TLS stuff.
1010
1011   July 2003: Joachim Wieland met a broken server that advertises "PIPELINING"
1012   but times out after sending MAIL FROM, RCPT TO and DATA all together. There
1013   would be no way to send out the mails, so there is now a host list
1014   "hosts_avoid_esmtp" that disables ESMTP for special hosts and solves the
1015   PIPELINING problem as well. Maybe it can also be useful to cure other
1016   problems with broken servers.
1017
1018   Exim originally sent "Helo" at this point and ran for nearly a year that way.
1019   Then somebody tried it with a Microsoft mailer... It seems that all other
1020   mailers use upper case for some reason (the RFC is quite clear about case
1021   independence) so, for peace of mind, I gave in. */
1022
1023   esmtp = verify_check_this_host(&(ob->hosts_avoid_esmtp), NULL,
1024      host->name, host->address, NULL) != OK;
1025
1026   /* Alas; be careful, since this goto is not an error-out, so conceivably
1027   we might set data between here and the target which we assume to exist
1028   and be usable.  I can see this coming back to bite us. */
1029   #ifdef SUPPORT_TLS
1030   if (smtps)
1031     {
1032     tls_offered = TRUE;
1033     suppress_tls = FALSE;
1034     ob->tls_tempfail_tryclear = FALSE;
1035     smtp_command = US"SSL-on-connect";
1036     goto TLS_NEGOTIATE;
1037     }
1038   #endif
1039
1040   if (esmtp)
1041     {
1042     if (smtp_write_command(&outblock, FALSE, "%s %s\r\n",
1043          lmtp? "LHLO" : "EHLO", helo_data) < 0)
1044       goto SEND_FAILED;
1045     if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1046            ob->command_timeout))
1047       {
1048       if (errno != 0 || buffer[0] == 0 || lmtp) goto RESPONSE_FAILED;
1049       esmtp = FALSE;
1050       }
1051     }
1052   else
1053     {
1054     DEBUG(D_transport)
1055       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
1056     }
1057
1058   if (!esmtp)
1059     {
1060     if (smtp_write_command(&outblock, FALSE, "HELO %s\r\n", helo_data) < 0)
1061       goto SEND_FAILED;
1062     if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1063       ob->command_timeout)) goto RESPONSE_FAILED;
1064     }
1065
1066   /* Set IGNOREQUOTA if the response to LHLO specifies support and the
1067   lmtp_ignore_quota option was set. */
1068
1069   igquotstr = (lmtp && ob->lmtp_ignore_quota &&
1070     pcre_exec(regex_IGNOREQUOTA, NULL, CS buffer, Ustrlen(CS buffer), 0,
1071       PCRE_EOPT, NULL, 0) >= 0)? US" IGNOREQUOTA" : US"";
1072
1073   /* Set tls_offered if the response to EHLO specifies support for STARTTLS. */
1074
1075   #ifdef SUPPORT_TLS
1076   tls_offered = esmtp &&
1077     pcre_exec(regex_STARTTLS, NULL, CS buffer, Ustrlen(buffer), 0,
1078       PCRE_EOPT, NULL, 0) >= 0;
1079   #endif
1080
1081   #ifdef EXPERIMENTAL_PRDR
1082   prdr_offered = esmtp &&
1083     (pcre_exec(regex_PRDR, NULL, CS buffer, Ustrlen(buffer), 0,
1084       PCRE_EOPT, NULL, 0) >= 0) &&
1085     (verify_check_this_host(&(ob->hosts_try_prdr), NULL, host->name,
1086       host->address, NULL) == OK);
1087
1088   if (prdr_offered)
1089     {DEBUG(D_transport) debug_printf("PRDR usable\n");}
1090   #endif
1091   }
1092
1093 /* For continuing deliveries down the same channel, the socket is the standard
1094 input, and we don't need to redo EHLO here (but may need to do so for TLS - see
1095 below). Set up the pointer to where subsequent commands will be left, for
1096 error messages. Note that smtp_use_size and smtp_use_pipelining will have been
1097 set from the command line if they were set in the process that passed the
1098 connection on. */
1099
1100 else
1101   {
1102   inblock.sock = outblock.sock = fileno(stdin);
1103   smtp_command = big_buffer;
1104   host->port = port;    /* Record the port that was used */
1105   }
1106
1107 /* If TLS is available on this connection, whether continued or not, attempt to
1108 start up a TLS session, unless the host is in hosts_avoid_tls. If successful,
1109 send another EHLO - the server may give a different answer in secure mode. We
1110 use a separate buffer for reading the response to STARTTLS so that if it is
1111 negative, the original EHLO data is available for subsequent analysis, should
1112 the client not be required to use TLS. If the response is bad, copy the buffer
1113 for error analysis. */
1114
1115 #ifdef SUPPORT_TLS
1116 if (tls_offered && !suppress_tls &&
1117       verify_check_this_host(&(ob->hosts_avoid_tls), NULL, host->name,
1118         host->address, NULL) != OK)
1119   {
1120   uschar buffer2[4096];
1121   if (smtp_write_command(&outblock, FALSE, "STARTTLS\r\n") < 0)
1122     goto SEND_FAILED;
1123
1124   /* If there is an I/O error, transmission of this message is deferred. If
1125   there is a temporary rejection of STARRTLS and tls_tempfail_tryclear is
1126   false, we also defer. However, if there is a temporary rejection of STARTTLS
1127   and tls_tempfail_tryclear is true, or if there is an outright rejection of
1128   STARTTLS, we carry on. This means we will try to send the message in clear,
1129   unless the host is in hosts_require_tls (tested below). */
1130
1131   if (!smtp_read_response(&inblock, buffer2, sizeof(buffer2), '2',
1132       ob->command_timeout))
1133     {
1134     if (errno != 0 || buffer2[0] == 0 ||
1135          (buffer2[0] == '4' && !ob->tls_tempfail_tryclear))
1136       {
1137       Ustrncpy(buffer, buffer2, sizeof(buffer));
1138       goto RESPONSE_FAILED;
1139       }
1140     }
1141
1142   /* STARTTLS accepted: try to negotiate a TLS session. */
1143
1144   else
1145   TLS_NEGOTIATE:
1146     {
1147     int rc = tls_client_start(inblock.sock,
1148       host,
1149       addrlist,
1150       NULL,                    /* No DH param */
1151       ob->tls_certificate,
1152       ob->tls_privatekey,
1153       ob->tls_sni,
1154       ob->tls_verify_certificates,
1155       ob->tls_crl,
1156       ob->tls_require_ciphers,
1157       ob->tls_dh_min_bits,
1158       ob->command_timeout);
1159
1160     /* TLS negotiation failed; give an error. From outside, this function may
1161     be called again to try in clear on a new connection, if the options permit
1162     it for this host. */
1163
1164     if (rc != OK)
1165       {
1166       save_errno = ERRNO_TLSFAILURE;
1167       message = US"failure while setting up TLS session";
1168       send_quit = FALSE;
1169       goto TLS_FAILED;
1170       }
1171
1172     /* TLS session is set up */
1173
1174     for (addr = addrlist; addr != NULL; addr = addr->next)
1175       {
1176       if (addr->transport_return == PENDING_DEFER)
1177         {
1178         addr->cipher = tls_out.cipher;
1179         addr->peerdn = tls_out.peerdn;
1180         }
1181       }
1182     }
1183   }
1184
1185 /* if smtps, we'll have smtp_command set to something else; always safe to
1186 reset it here. */
1187 smtp_command = big_buffer;
1188
1189 /* If we started TLS, redo the EHLO/LHLO exchange over the secure channel. If
1190 helo_data is null, we are dealing with a connection that was passed from
1191 another process, and so we won't have expanded helo_data above. We have to
1192 expand it here. $sending_ip_address and $sending_port are set up right at the
1193 start of the Exim process (in exim.c). */
1194
1195 if (tls_out.active >= 0)
1196   {
1197   char *greeting_cmd;
1198   if (helo_data == NULL)
1199     {
1200     helo_data = expand_string(ob->helo_data);
1201     if (helo_data == NULL)
1202       {
1203       uschar *message = string_sprintf("failed to expand helo_data: %s",
1204         expand_string_message);
1205       set_errno(addrlist, 0, message, DEFER, FALSE);
1206       yield = DEFER;
1207       goto SEND_QUIT;
1208       }
1209     }
1210
1211   /* For SMTPS we need to wait for the initial OK response. */
1212   if (smtps)
1213     {
1214     if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1215       ob->command_timeout)) goto RESPONSE_FAILED;
1216     }
1217
1218   if (esmtp)
1219     greeting_cmd = "EHLO";
1220   else
1221     {
1222     greeting_cmd = "HELO";
1223     DEBUG(D_transport)
1224       debug_printf("not sending EHLO (host matches hosts_avoid_esmtp)\n");
1225     }
1226
1227   if (smtp_write_command(&outblock, FALSE, "%s %s\r\n",
1228         lmtp? "LHLO" : greeting_cmd, helo_data) < 0)
1229     goto SEND_FAILED;
1230   if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1231        ob->command_timeout))
1232     goto RESPONSE_FAILED;
1233   }
1234
1235 /* If the host is required to use a secure channel, ensure that we
1236 have one. */
1237
1238 else if (verify_check_this_host(&(ob->hosts_require_tls), NULL, host->name,
1239           host->address, NULL) == OK)
1240   {
1241   save_errno = ERRNO_TLSREQUIRED;
1242   message = string_sprintf("a TLS session is required for %s [%s], but %s",
1243     host->name, host->address,
1244     tls_offered? "an attempt to start TLS failed" :
1245                  "the server did not offer TLS support");
1246   goto TLS_FAILED;
1247   }
1248 #endif
1249
1250 /* If TLS is active, we have just started it up and re-done the EHLO command,
1251 so its response needs to be analyzed. If TLS is not active and this is a
1252 continued session down a previously-used socket, we haven't just done EHLO, so
1253 we skip this. */
1254
1255 if (continue_hostname == NULL
1256     #ifdef SUPPORT_TLS
1257     || tls_out.active >= 0
1258     #endif
1259     )
1260   {
1261   int require_auth;
1262   uschar *fail_reason = US"server did not advertise AUTH support";
1263
1264   /* Set for IGNOREQUOTA if the response to LHLO specifies support and the
1265   lmtp_ignore_quota option was set. */
1266
1267   igquotstr = (lmtp && ob->lmtp_ignore_quota &&
1268     pcre_exec(regex_IGNOREQUOTA, NULL, CS buffer, Ustrlen(CS buffer), 0,
1269       PCRE_EOPT, NULL, 0) >= 0)? US" IGNOREQUOTA" : US"";
1270
1271   /* If the response to EHLO specified support for the SIZE parameter, note
1272   this, provided size_addition is non-negative. */
1273
1274   smtp_use_size = esmtp && ob->size_addition >= 0 &&
1275     pcre_exec(regex_SIZE, NULL, CS buffer, Ustrlen(CS buffer), 0,
1276       PCRE_EOPT, NULL, 0) >= 0;
1277
1278   /* Note whether the server supports PIPELINING. If hosts_avoid_esmtp matched
1279   the current host, esmtp will be false, so PIPELINING can never be used. If
1280   the current host matches hosts_avoid_pipelining, don't do it. */
1281
1282   smtp_use_pipelining = esmtp &&
1283     verify_check_this_host(&(ob->hosts_avoid_pipelining), NULL, host->name,
1284       host->address, NULL) != OK &&
1285     pcre_exec(regex_PIPELINING, NULL, CS buffer, Ustrlen(CS buffer), 0,
1286       PCRE_EOPT, NULL, 0) >= 0;
1287
1288   DEBUG(D_transport) debug_printf("%susing PIPELINING\n",
1289     smtp_use_pipelining? "" : "not ");
1290
1291 #ifdef EXPERIMENTAL_PRDR
1292   prdr_offered = esmtp &&
1293     pcre_exec(regex_PRDR, NULL, CS buffer, Ustrlen(CS buffer), 0,
1294       PCRE_EOPT, NULL, 0) >= 0 &&
1295     verify_check_this_host(&(ob->hosts_try_prdr), NULL, host->name,
1296       host->address, NULL) == OK;
1297
1298   if (prdr_offered)
1299     {DEBUG(D_transport) debug_printf("PRDR usable\n");}
1300 #endif
1301
1302   /* Note if the response to EHLO specifies support for the AUTH extension.
1303   If it has, check that this host is one we want to authenticate to, and do
1304   the business. The host name and address must be available when the
1305   authenticator's client driver is running. */
1306
1307   smtp_authenticated = FALSE;
1308   client_authenticator = client_authenticated_id = client_authenticated_sender = NULL;
1309   require_auth = verify_check_this_host(&(ob->hosts_require_auth), NULL,
1310     host->name, host->address, NULL);
1311
1312   if (esmtp && regex_match_and_setup(regex_AUTH, buffer, 0, -1))
1313     {
1314     uschar *names = string_copyn(expand_nstring[1], expand_nlength[1]);
1315     expand_nmax = -1;                          /* reset */
1316
1317     /* Must not do this check until after we have saved the result of the
1318     regex match above. */
1319
1320     if (require_auth == OK ||
1321         verify_check_this_host(&(ob->hosts_try_auth), NULL, host->name,
1322           host->address, NULL) == OK)
1323       {
1324       auth_instance *au;
1325       fail_reason = US"no common mechanisms were found";
1326
1327       DEBUG(D_transport) debug_printf("scanning authentication mechanisms\n");
1328
1329       /* Scan the configured authenticators looking for one which is configured
1330       for use as a client, which is not suppressed by client_condition, and
1331       whose name matches an authentication mechanism supported by the server.
1332       If one is found, attempt to authenticate by calling its client function.
1333       */
1334
1335       for (au = auths; !smtp_authenticated && au != NULL; au = au->next)
1336         {
1337         uschar *p = names;
1338         if (!au->client ||
1339             (au->client_condition != NULL &&
1340              !expand_check_condition(au->client_condition, au->name,
1341                US"client authenticator")))
1342           {
1343           DEBUG(D_transport) debug_printf("skipping %s authenticator: %s\n",
1344             au->name,
1345             (au->client)? "client_condition is false" :
1346                           "not configured as a client");
1347           continue;
1348           }
1349
1350         /* Loop to scan supported server mechanisms */
1351
1352         while (*p != 0)
1353           {
1354           int rc;
1355           int len = Ustrlen(au->public_name);
1356           while (isspace(*p)) p++;
1357
1358           if (strncmpic(au->public_name, p, len) != 0 ||
1359               (p[len] != 0 && !isspace(p[len])))
1360             {
1361             while (*p != 0 && !isspace(*p)) p++;
1362             continue;
1363             }
1364
1365           /* Found data for a listed mechanism. Call its client entry. Set
1366           a flag in the outblock so that data is overwritten after sending so
1367           that reflections don't show it. */
1368
1369           fail_reason = US"authentication attempt(s) failed";
1370           outblock.authenticating = TRUE;
1371           rc = (au->info->clientcode)(au, &inblock, &outblock,
1372             ob->command_timeout, buffer, sizeof(buffer));
1373           outblock.authenticating = FALSE;
1374           DEBUG(D_transport) debug_printf("%s authenticator yielded %d\n",
1375             au->name, rc);
1376
1377           /* A temporary authentication failure must hold up delivery to
1378           this host. After a permanent authentication failure, we carry on
1379           to try other authentication methods. If all fail hard, try to
1380           deliver the message unauthenticated unless require_auth was set. */
1381
1382           switch(rc)
1383             {
1384             case OK:
1385             smtp_authenticated = TRUE;   /* stops the outer loop */
1386             client_authenticator = au->name;
1387             if (au->set_client_id != NULL)
1388               client_authenticated_id = expand_string(au->set_client_id);
1389             break;
1390
1391             /* Failure after writing a command */
1392
1393             case FAIL_SEND:
1394             goto SEND_FAILED;
1395
1396             /* Failure after reading a response */
1397
1398             case FAIL:
1399             if (errno != 0 || buffer[0] != '5') goto RESPONSE_FAILED;
1400             log_write(0, LOG_MAIN, "%s authenticator failed H=%s [%s] %s",
1401               au->name, host->name, host->address, buffer);
1402             break;
1403
1404             /* Failure by some other means. In effect, the authenticator
1405             decided it wasn't prepared to handle this case. Typically this
1406             is the result of "fail" in an expansion string. Do we need to
1407             log anything here? Feb 2006: a message is now put in the buffer
1408             if logging is required. */
1409
1410             case CANCELLED:
1411             if (*buffer != 0)
1412               log_write(0, LOG_MAIN, "%s authenticator cancelled "
1413                 "authentication H=%s [%s] %s", au->name, host->name,
1414                 host->address, buffer);
1415             break;
1416
1417             /* Internal problem, message in buffer. */
1418
1419             case ERROR:
1420             yield = ERROR;
1421             set_errno(addrlist, 0, string_copy(buffer), DEFER, FALSE);
1422             goto SEND_QUIT;
1423             }
1424
1425           break;  /* If not authenticated, try next authenticator */
1426           }       /* Loop for scanning supported server mechanisms */
1427         }         /* Loop for further authenticators */
1428       }
1429     }
1430
1431   /* If we haven't authenticated, but are required to, give up. */
1432
1433   if (require_auth == OK && !smtp_authenticated)
1434     {
1435     yield = DEFER;
1436     set_errno(addrlist, ERRNO_AUTHFAIL,
1437       string_sprintf("authentication required but %s", fail_reason), DEFER,
1438       FALSE);
1439     goto SEND_QUIT;
1440     }
1441   }
1442
1443 /* The setting up of the SMTP call is now complete. Any subsequent errors are
1444 message-specific. */
1445
1446 setting_up = FALSE;
1447
1448 /* If there is a filter command specified for this transport, we can now
1449 set it up. This cannot be done until the identify of the host is known. */
1450
1451 if (tblock->filter_command != NULL)
1452   {
1453   BOOL rc;
1454   uschar buffer[64];
1455   sprintf(CS buffer, "%.50s transport", tblock->name);
1456   rc = transport_set_up_command(&transport_filter_argv, tblock->filter_command,
1457     TRUE, DEFER, addrlist, buffer, NULL);
1458   transport_filter_timeout = tblock->filter_timeout;
1459
1460   /* On failure, copy the error to all addresses, abandon the SMTP call, and
1461   yield ERROR. */
1462
1463   if (!rc)
1464     {
1465     set_errno(addrlist->next, addrlist->basic_errno, addrlist->message, DEFER,
1466       FALSE);
1467     yield = ERROR;
1468     goto SEND_QUIT;
1469     }
1470   }
1471
1472
1473 /* For messages that have more than the maximum number of envelope recipients,
1474 we want to send several transactions down the same SMTP connection. (See
1475 comments in deliver.c as to how this reconciles, heuristically, with
1476 remote_max_parallel.) This optimization was added to Exim after the following
1477 code was already working. The simplest way to put it in without disturbing the
1478 code was to use a goto to jump back to this point when there is another
1479 transaction to handle. */
1480
1481 SEND_MESSAGE:
1482 sync_addr = first_addr;
1483 address_count = 0;
1484 ok = FALSE;
1485 send_rset = TRUE;
1486 completed_address = FALSE;
1487
1488
1489 /* Initiate a message transfer. If we know the receiving MTA supports the SIZE
1490 qualification, send it, adding something to the message size to allow for
1491 imprecision and things that get added en route. Exim keeps the number of lines
1492 in a message, so we can give an accurate value for the original message, but we
1493 need some additional to handle added headers. (Double "." characters don't get
1494 included in the count.) */
1495
1496 p = buffer;
1497 *p = 0;
1498
1499 if (smtp_use_size)
1500   {
1501   sprintf(CS p, " SIZE=%d", message_size+message_linecount+ob->size_addition);
1502   while (*p) p++;
1503   }
1504
1505 #ifdef EXPERIMENTAL_PRDR
1506 prdr_active = FALSE;
1507 if (prdr_offered)
1508   {
1509   for (addr = first_addr; addr; addr = addr->next)
1510     if (addr->transport_return == PENDING_DEFER)
1511       {
1512       for (addr = addr->next; addr; addr = addr->next)
1513         if (addr->transport_return == PENDING_DEFER)
1514           {                     /* at least two recipients to send */
1515           prdr_active = TRUE;
1516           sprintf(CS p, " PRDR"); p += 5;
1517           goto prdr_is_active;
1518           }
1519       break;
1520       }
1521   }
1522 prdr_is_active:
1523 #endif
1524
1525 /* If an authenticated_sender override has been specified for this transport
1526 instance, expand it. If the expansion is forced to fail, and there was already
1527 an authenticated_sender for this message, the original value will be used.
1528 Other expansion failures are serious. An empty result is ignored, but there is
1529 otherwise no check - this feature is expected to be used with LMTP and other
1530 cases where non-standard addresses (e.g. without domains) might be required. */
1531
1532 if (ob->authenticated_sender != NULL)
1533   {
1534   uschar *new = expand_string(ob->authenticated_sender);
1535   if (new == NULL)
1536     {
1537     if (!expand_string_forcedfail)
1538       {
1539       uschar *message = string_sprintf("failed to expand "
1540         "authenticated_sender: %s", expand_string_message);
1541       set_errno(addrlist, 0, message, DEFER, FALSE);
1542       return ERROR;
1543       }
1544     }
1545   else if (new[0] != 0) local_authenticated_sender = new;
1546   }
1547
1548 /* Add the authenticated sender address if present */
1549
1550 if ((smtp_authenticated || ob->authenticated_sender_force) &&
1551     local_authenticated_sender != NULL)
1552   {
1553   string_format(p, sizeof(buffer) - (p-buffer), " AUTH=%s",
1554     auth_xtextencode(local_authenticated_sender,
1555     Ustrlen(local_authenticated_sender)));
1556   client_authenticated_sender = string_copy(local_authenticated_sender);
1557   }
1558
1559 /* From here until we send the DATA command, we can make use of PIPELINING
1560 if the server host supports it. The code has to be able to check the responses
1561 at any point, for when the buffer fills up, so we write it totally generally.
1562 When PIPELINING is off, each command written reports that it has flushed the
1563 buffer. */
1564
1565 pending_MAIL = TRUE;     /* The block starts with MAIL */
1566
1567 rc = smtp_write_command(&outblock, smtp_use_pipelining,
1568        "MAIL FROM:<%s>%s\r\n", return_path, buffer);
1569 mail_command = string_copy(big_buffer);  /* Save for later error message */
1570
1571 switch(rc)
1572   {
1573   case -1:                /* Transmission error */
1574   goto SEND_FAILED;
1575
1576   case +1:                /* Block was sent */
1577   if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1578        ob->command_timeout))
1579     {
1580     if (errno == 0 && buffer[0] == '4')
1581       {
1582       errno = ERRNO_MAIL4XX;
1583       addrlist->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
1584       }
1585     goto RESPONSE_FAILED;
1586     }
1587   pending_MAIL = FALSE;
1588   break;
1589   }
1590
1591 /* Pass over all the relevant recipient addresses for this host, which are the
1592 ones that have status PENDING_DEFER. If we are using PIPELINING, we can send
1593 several before we have to read the responses for those seen so far. This
1594 checking is done by a subroutine because it also needs to be done at the end.
1595 Send only up to max_rcpt addresses at a time, leaving first_addr pointing to
1596 the next one if not all are sent.
1597
1598 In the MUA wrapper situation, we want to flush the PIPELINING buffer for the
1599 last address because we want to abort if any recipients have any kind of
1600 problem, temporary or permanent. We know that all recipient addresses will have
1601 the PENDING_DEFER status, because only one attempt is ever made, and we know
1602 that max_rcpt will be large, so all addresses will be done at once. */
1603
1604 for (addr = first_addr;
1605      address_count < max_rcpt && addr != NULL;
1606      addr = addr->next)
1607   {
1608   int count;
1609   BOOL no_flush;
1610
1611   if (addr->transport_return != PENDING_DEFER) continue;
1612
1613   address_count++;
1614   no_flush = smtp_use_pipelining && (!mua_wrapper || addr->next != NULL);
1615
1616   /* Now send the RCPT command, and process outstanding responses when
1617   necessary. After a timeout on RCPT, we just end the function, leaving the
1618   yield as OK, because this error can often mean that there is a problem with
1619   just one address, so we don't want to delay the host. */
1620
1621   count = smtp_write_command(&outblock, no_flush, "RCPT TO:<%s>%s\r\n",
1622     transport_rcpt_address(addr, tblock->rcpt_include_affixes), igquotstr);
1623   if (count < 0) goto SEND_FAILED;
1624   if (count > 0)
1625     {
1626     switch(sync_responses(first_addr, tblock->rcpt_include_affixes,
1627              &sync_addr, host, count, ob->address_retry_include_sender,
1628              pending_MAIL, 0, &inblock, ob->command_timeout, buffer,
1629              sizeof(buffer)))
1630       {
1631       case 3: ok = TRUE;                   /* 2xx & 5xx => OK & progress made */
1632       case 2: completed_address = TRUE;    /* 5xx (only) => progress made */
1633       break;
1634
1635       case 1: ok = TRUE;                   /* 2xx (only) => OK, but if LMTP, */
1636       if (!lmtp) completed_address = TRUE; /* can't tell about progress yet */
1637       case 0:                              /* No 2xx or 5xx, but no probs */
1638       break;
1639
1640       case -1: goto END_OFF;               /* Timeout on RCPT */
1641       default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL error */
1642       }
1643     pending_MAIL = FALSE;                  /* Dealt with MAIL */
1644     }
1645   }      /* Loop for next address */
1646
1647 /* If we are an MUA wrapper, abort if any RCPTs were rejected, either
1648 permanently or temporarily. We should have flushed and synced after the last
1649 RCPT. */
1650
1651 if (mua_wrapper)
1652   {
1653   address_item *badaddr;
1654   for (badaddr = first_addr; badaddr != NULL; badaddr = badaddr->next)
1655     {
1656     if (badaddr->transport_return != PENDING_OK) break;
1657     }
1658   if (badaddr != NULL)
1659     {
1660     set_errno(addrlist, 0, badaddr->message, FAIL,
1661       testflag(badaddr, af_pass_message));
1662     ok = FALSE;
1663     }
1664   }
1665
1666 /* If ok is TRUE, we know we have got at least one good recipient, and must now
1667 send DATA, but if it is FALSE (in the normal, non-wrapper case), we may still
1668 have a good recipient buffered up if we are pipelining. We don't want to waste
1669 time sending DATA needlessly, so we only send it if either ok is TRUE or if we
1670 are pipelining. The responses are all handled by sync_responses(). */
1671
1672 if (ok || (smtp_use_pipelining && !mua_wrapper))
1673   {
1674   int count = smtp_write_command(&outblock, FALSE, "DATA\r\n");
1675   if (count < 0) goto SEND_FAILED;
1676   switch(sync_responses(first_addr, tblock->rcpt_include_affixes, &sync_addr,
1677            host, count, ob->address_retry_include_sender, pending_MAIL,
1678            ok? +1 : -1, &inblock, ob->command_timeout, buffer, sizeof(buffer)))
1679     {
1680     case 3: ok = TRUE;                   /* 2xx & 5xx => OK & progress made */
1681     case 2: completed_address = TRUE;    /* 5xx (only) => progress made */
1682     break;
1683
1684     case 1: ok = TRUE;                   /* 2xx (only) => OK, but if LMTP, */
1685     if (!lmtp) completed_address = TRUE; /* can't tell about progress yet */
1686     case 0: break;                       /* No 2xx or 5xx, but no probs */
1687
1688     case -1: goto END_OFF;               /* Timeout on RCPT */
1689     default: goto RESPONSE_FAILED;       /* I/O error, or any MAIL/DATA error */
1690     }
1691   }
1692
1693 /* Save the first address of the next batch. */
1694
1695 first_addr = addr;
1696
1697 /* If there were no good recipients (but otherwise there have been no
1698 problems), just set ok TRUE, since we have handled address-specific errors
1699 already. Otherwise, it's OK to send the message. Use the check/escape mechanism
1700 for handling the SMTP dot-handling protocol, flagging to apply to headers as
1701 well as body. Set the appropriate timeout value to be used for each chunk.
1702 (Haven't been able to make it work using select() for writing yet.) */
1703
1704 if (!ok) ok = TRUE; else
1705   {
1706   sigalrm_seen = FALSE;
1707   transport_write_timeout = ob->data_timeout;
1708   smtp_command = US"sending data block";   /* For error messages */
1709   DEBUG(D_transport|D_v)
1710     debug_printf("  SMTP>> writing message and terminating \".\"\n");
1711   transport_count = 0;
1712 #ifndef DISABLE_DKIM
1713   ok = dkim_transport_write_message(addrlist, inblock.sock,
1714     topt_use_crlf | topt_end_dot | topt_escape_headers |
1715       (tblock->body_only? topt_no_headers : 0) |
1716       (tblock->headers_only? topt_no_body : 0) |
1717       (tblock->return_path_add? topt_add_return_path : 0) |
1718       (tblock->delivery_date_add? topt_add_delivery_date : 0) |
1719       (tblock->envelope_to_add? topt_add_envelope_to : 0),
1720     0,            /* No size limit */
1721     tblock->add_headers, tblock->remove_headers,
1722     US".", US"..",    /* Escaping strings */
1723     tblock->rewrite_rules, tblock->rewrite_existflags,
1724     ob->dkim_private_key, ob->dkim_domain, ob->dkim_selector,
1725     ob->dkim_canon, ob->dkim_strict, ob->dkim_sign_headers
1726     );
1727 #else
1728   ok = transport_write_message(addrlist, inblock.sock,
1729     topt_use_crlf | topt_end_dot | topt_escape_headers |
1730       (tblock->body_only? topt_no_headers : 0) |
1731       (tblock->headers_only? topt_no_body : 0) |
1732       (tblock->return_path_add? topt_add_return_path : 0) |
1733       (tblock->delivery_date_add? topt_add_delivery_date : 0) |
1734       (tblock->envelope_to_add? topt_add_envelope_to : 0),
1735     0,            /* No size limit */
1736     tblock->add_headers, tblock->remove_headers,
1737     US".", US"..",    /* Escaping strings */
1738     tblock->rewrite_rules, tblock->rewrite_existflags);
1739 #endif
1740
1741   /* transport_write_message() uses write() because it is called from other
1742   places to write to non-sockets. This means that under some OS (e.g. Solaris)
1743   it can exit with "Broken pipe" as its error. This really means that the
1744   socket got closed at the far end. */
1745
1746   transport_write_timeout = 0;   /* for subsequent transports */
1747
1748   /* Failure can either be some kind of I/O disaster (including timeout),
1749   or the failure of a transport filter or the expansion of added headers. */
1750
1751   if (!ok)
1752     {
1753     buffer[0] = 0;              /* There hasn't been a response */
1754     goto RESPONSE_FAILED;
1755     }
1756
1757   /* We used to send the terminating "." explicitly here, but because of
1758   buffering effects at both ends of TCP/IP connections, you don't gain
1759   anything by keeping it separate, so it might as well go in the final
1760   data buffer for efficiency. This is now done by setting the topt_end_dot
1761   flag above. */
1762
1763   smtp_command = US"end of data";
1764
1765 #ifdef EXPERIMENTAL_PRDR
1766   /* For PRDR we optionally get a partial-responses warning
1767    * followed by the individual responses, before going on with
1768    * the overall response.  If we don't get the warning then deal
1769    * with per non-PRDR. */
1770   if(prdr_active)
1771     {
1772     ok = smtp_read_response(&inblock, buffer, sizeof(buffer), '3',
1773       ob->final_timeout);
1774     if (!ok && errno == 0)
1775       switch(buffer[0])
1776         {
1777         case '2': prdr_active = FALSE;
1778                   ok = TRUE;
1779                   break;
1780         case '4': errno = ERRNO_DATA4XX;
1781                   addrlist->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
1782                   break;
1783         }
1784     }
1785   else
1786 #endif
1787
1788   /* For non-PRDR SMTP, we now read a single response that applies to the
1789   whole message.  If it is OK, then all the addresses have been delivered. */
1790
1791   if (!lmtp)
1792     {
1793     ok = smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1794       ob->final_timeout);
1795     if (!ok && errno == 0 && buffer[0] == '4')
1796       {
1797       errno = ERRNO_DATA4XX;
1798       addrlist->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
1799       }
1800     }
1801
1802   /* For LMTP, we get back a response for every RCPT command that we sent;
1803   some may be accepted and some rejected. For those that get a response, their
1804   status is fixed; any that are accepted have been handed over, even if later
1805   responses crash - at least, that's how I read RFC 2033.
1806
1807   If all went well, mark the recipient addresses as completed, record which
1808   host/IPaddress they were delivered to, and cut out RSET when sending another
1809   message down the same channel. Write the completed addresses to the journal
1810   now so that they are recorded in case there is a crash of hardware or
1811   software before the spool gets updated. Also record the final SMTP
1812   confirmation if needed (for SMTP only). */
1813
1814   if (ok)
1815     {
1816     int flag = '=';
1817     int delivery_time = (int)(time(NULL) - start_delivery_time);
1818     int len;
1819     host_item *thost;
1820     uschar *conf = NULL;
1821     send_rset = FALSE;
1822
1823     /* Make a copy of the host if it is local to this invocation
1824     of the transport. */
1825
1826     if (copy_host)
1827       {
1828       thost = store_get(sizeof(host_item));
1829       *thost = *host;
1830       thost->name = string_copy(host->name);
1831       thost->address = string_copy(host->address);
1832       }
1833     else thost = host;
1834
1835     /* Set up confirmation if needed - applies only to SMTP */
1836
1837     if ((log_extra_selector & LX_smtp_confirmation) != 0 && !lmtp)
1838       {
1839       uschar *s = string_printing(buffer);
1840       conf = (s == buffer)? (uschar *)string_copy(s) : s;
1841       }
1842
1843     /* Process all transported addresses - for LMTP or PRDR, read a status for
1844     each one. */
1845
1846     for (addr = addrlist; addr != first_addr; addr = addr->next)
1847       {
1848       if (addr->transport_return != PENDING_OK) continue;
1849
1850       /* LMTP - if the response fails badly (e.g. timeout), use it for all the
1851       remaining addresses. Otherwise, it's a return code for just the one
1852       address. For temporary errors, add a retry item for the address so that
1853       it doesn't get tried again too soon. */
1854
1855 #ifdef EXPERIMENTAL_PRDR
1856       if (lmtp || prdr_active)
1857 #else
1858       if (lmtp)
1859 #endif
1860         {
1861         if (!smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1862             ob->final_timeout))
1863           {
1864           if (errno != 0 || buffer[0] == 0) goto RESPONSE_FAILED;
1865           addr->message = string_sprintf(
1866 #ifdef EXPERIMENTAL_PRDR
1867             "%s error after %s: %s", prdr_active ? "PRDR":"LMTP",
1868 #else
1869             "LMTP error after %s: %s",
1870 #endif
1871             big_buffer, string_printing(buffer));
1872           setflag(addr, af_pass_message);   /* Allow message to go to user */
1873           if (buffer[0] == '5')
1874             addr->transport_return = FAIL;
1875           else
1876             {
1877             errno = ERRNO_DATA4XX;
1878             addr->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
1879             addr->transport_return = DEFER;
1880 #ifdef EXPERIMENTAL_PRDR
1881             if (!prdr_active)
1882 #endif
1883               retry_add_item(addr, addr->address_retry_key, 0);
1884             }
1885           continue;
1886           }
1887         completed_address = TRUE;   /* NOW we can set this flag */
1888         if ((log_extra_selector & LX_smtp_confirmation) != 0)
1889           {
1890           uschar *s = string_printing(buffer);
1891           conf = (s == buffer)? (uschar *)string_copy(s) : s;
1892           }
1893         }
1894
1895       /* SMTP, or success return from LMTP for this address. Pass back the
1896       actual host that was used. */
1897
1898       addr->transport_return = OK;
1899       addr->more_errno = delivery_time;
1900       addr->host_used = thost;
1901       addr->special_action = flag;
1902       addr->message = conf;
1903 #ifdef EXPERIMENTAL_PRDR
1904       if (prdr_active) addr->flags |= af_prdr_used;
1905 #endif
1906       flag = '-';
1907
1908 #ifdef EXPERIMENTAL_PRDR
1909       if (!prdr_active)
1910 #endif
1911         {
1912         /* Update the journal. For homonymic addresses, use the base address plus
1913         the transport name. See lots of comments in deliver.c about the reasons
1914         for the complications when homonyms are involved. Just carry on after
1915         write error, as it may prove possible to update the spool file later. */
1916   
1917         if (testflag(addr, af_homonym))
1918           sprintf(CS buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
1919         else
1920           sprintf(CS buffer, "%.500s\n", addr->unique);
1921   
1922         DEBUG(D_deliver) debug_printf("journalling %s", buffer);
1923         len = Ustrlen(CS buffer);
1924         if (write(journal_fd, buffer, len) != len)
1925           log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
1926             "%s: %s", buffer, strerror(errno));
1927         }
1928       }
1929
1930 #ifdef EXPERIMENTAL_PRDR
1931       if (prdr_active)
1932         {
1933         /* PRDR - get the final, overall response.  For any non-success
1934         upgrade all the address statuses. */
1935         ok = smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
1936           ob->final_timeout);
1937         if (!ok)
1938           {
1939           if(errno == 0 && buffer[0] == '4')
1940             {
1941             errno = ERRNO_DATA4XX;
1942             addrlist->more_errno |= ((buffer[1] - '0')*10 + buffer[2] - '0') << 8;
1943             }
1944           for (addr = addrlist; addr != first_addr; addr = addr->next)
1945             if (buffer[0] == '5' || addr->transport_return == OK)
1946               addr->transport_return = PENDING_OK; /* allow set_errno action */
1947           goto RESPONSE_FAILED;
1948           }
1949
1950         /* Update the journal, or setup retry. */
1951         for (addr = addrlist; addr != first_addr; addr = addr->next)
1952           if (addr->transport_return == OK)
1953           {
1954           if (testflag(addr, af_homonym))
1955             sprintf(CS buffer, "%.500s/%s\n", addr->unique + 3, tblock->name);
1956           else
1957             sprintf(CS buffer, "%.500s\n", addr->unique);
1958   
1959           DEBUG(D_deliver) debug_printf("journalling(PRDR) %s", buffer);
1960           len = Ustrlen(CS buffer);
1961           if (write(journal_fd, buffer, len) != len)
1962             log_write(0, LOG_MAIN|LOG_PANIC, "failed to write journal for "
1963               "%s: %s", buffer, strerror(errno));
1964           }
1965         else if (addr->transport_return == DEFER)
1966           retry_add_item(addr, addr->address_retry_key, -2);
1967         }
1968 #endif
1969
1970     /* Ensure the journal file is pushed out to disk. */
1971
1972     if (EXIMfsync(journal_fd) < 0)
1973       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fsync journal: %s",
1974         strerror(errno));
1975     }
1976   }
1977
1978
1979 /* Handle general (not specific to one address) failures here. The value of ok
1980 is used to skip over this code on the falling through case. A timeout causes a
1981 deferral. Other errors may defer or fail according to the response code, and
1982 may set up a special errno value, e.g. after connection chopped, which is
1983 assumed if errno == 0 and there is no text in the buffer. If control reaches
1984 here during the setting up phase (i.e. before MAIL FROM) then always defer, as
1985 the problem is not related to this specific message. */
1986
1987 if (!ok)
1988   {
1989   int code;
1990
1991   RESPONSE_FAILED:
1992   save_errno = errno;
1993   message = NULL;
1994   send_quit = check_response(host, &save_errno, addrlist->more_errno,
1995     buffer, &code, &message, &pass_message);
1996   goto FAILED;
1997
1998   SEND_FAILED:
1999   save_errno = errno;
2000   code = '4';
2001   message = US string_sprintf("send() to %s [%s] failed: %s",
2002     host->name, host->address, strerror(save_errno));
2003   send_quit = FALSE;
2004   goto FAILED;
2005
2006   /* This label is jumped to directly when a TLS negotiation has failed,
2007   or was not done for a host for which it is required. Values will be set
2008   in message and save_errno, and setting_up will always be true. Treat as
2009   a temporary error. */
2010
2011   #ifdef SUPPORT_TLS
2012   TLS_FAILED:
2013   code = '4';
2014   #endif
2015
2016   /* If the failure happened while setting up the call, see if the failure was
2017   a 5xx response (this will either be on connection, or following HELO - a 5xx
2018   after EHLO causes it to try HELO). If so, fail all addresses, as this host is
2019   never going to accept them. For other errors during setting up (timeouts or
2020   whatever), defer all addresses, and yield DEFER, so that the host is not
2021   tried again for a while. */
2022
2023   FAILED:
2024   ok = FALSE;                /* For when reached by GOTO */
2025
2026   if (setting_up)
2027     {
2028     if (code == '5')
2029       {
2030       set_errno(addrlist, save_errno, message, FAIL, pass_message);
2031       }
2032     else
2033       {
2034       set_errno(addrlist, save_errno, message, DEFER, pass_message);
2035       yield = DEFER;
2036       }
2037     }
2038
2039   /* We want to handle timeouts after MAIL or "." and loss of connection after
2040   "." specially. They can indicate a problem with the sender address or with
2041   the contents of the message rather than a real error on the connection. These
2042   cases are treated in the same way as a 4xx response. This next bit of code
2043   does the classification. */
2044
2045   else
2046     {
2047     BOOL message_error;
2048
2049     switch(save_errno)
2050       {
2051       case 0:
2052       case ERRNO_MAIL4XX:
2053       case ERRNO_DATA4XX:
2054       message_error = TRUE;
2055       break;
2056
2057       case ETIMEDOUT:
2058       message_error = Ustrncmp(smtp_command,"MAIL",4) == 0 ||
2059                       Ustrncmp(smtp_command,"end ",4) == 0;
2060       break;
2061
2062       case ERRNO_SMTPCLOSED:
2063       message_error = Ustrncmp(smtp_command,"end ",4) == 0;
2064       break;
2065
2066       default:
2067       message_error = FALSE;
2068       break;
2069       }
2070
2071     /* Handle the cases that are treated as message errors. These are:
2072
2073       (a) negative response or timeout after MAIL
2074       (b) negative response after DATA
2075       (c) negative response or timeout or dropped connection after "."
2076
2077     It won't be a negative response or timeout after RCPT, as that is dealt
2078     with separately above. The action in all cases is to set an appropriate
2079     error code for all the addresses, but to leave yield set to OK because the
2080     host itself has not failed. Of course, it might in practice have failed
2081     when we've had a timeout, but if so, we'll discover that at the next
2082     delivery attempt. For a temporary error, set the message_defer flag, and
2083     write to the logs for information if this is not the last host. The error
2084     for the last host will be logged as part of the address's log line. */
2085
2086     if (message_error)
2087       {
2088       if (mua_wrapper) code = '5';  /* Force hard failure in wrapper mode */
2089       set_errno(addrlist, save_errno, message, (code == '5')? FAIL : DEFER,
2090         pass_message);
2091
2092       /* If there's an errno, the message contains just the identity of
2093       the host. */
2094
2095       if (code != '5')     /* Anything other than 5 is treated as temporary */
2096         {
2097         if (save_errno > 0)
2098           message = US string_sprintf("%s: %s", message, strerror(save_errno));
2099         if (host->next != NULL) log_write(0, LOG_MAIN, "%s", message);
2100         deliver_msglog("%s %s\n", tod_stamp(tod_log), message);
2101         *message_defer = TRUE;
2102         }
2103       }
2104
2105     /* Otherwise, we have an I/O error or a timeout other than after MAIL or
2106     ".", or some other transportation error. We defer all addresses and yield
2107     DEFER, except for the case of failed add_headers expansion, or a transport
2108     filter failure, when the yield should be ERROR, to stop it trying other
2109     hosts. */
2110
2111     else
2112       {
2113       yield = (save_errno == ERRNO_CHHEADER_FAIL ||
2114                save_errno == ERRNO_FILTER_FAIL)? ERROR : DEFER;
2115       set_errno(addrlist, save_errno, message, DEFER, pass_message);
2116       }
2117     }
2118   }
2119
2120
2121 /* If all has gone well, send_quit will be set TRUE, implying we can end the
2122 SMTP session tidily. However, if there were too many addresses to send in one
2123 message (indicated by first_addr being non-NULL) we want to carry on with the
2124 rest of them. Also, it is desirable to send more than one message down the SMTP
2125 connection if there are several waiting, provided we haven't already sent so
2126 many as to hit the configured limit. The function transport_check_waiting looks
2127 for a waiting message and returns its id. Then transport_pass_socket tries to
2128 set up a continued delivery by passing the socket on to another process. The
2129 variable send_rset is FALSE if a message has just been successfully transfered.
2130
2131 If we are already sending down a continued channel, there may be further
2132 addresses not yet delivered that are aimed at the same host, but which have not
2133 been passed in this run of the transport. In this case, continue_more will be
2134 true, and all we should do is send RSET if necessary, and return, leaving the
2135 channel open.
2136
2137 However, if no address was disposed of, i.e. all addresses got 4xx errors, we
2138 do not want to continue with other messages down the same channel, because that
2139 can lead to looping between two or more messages, all with the same,
2140 temporarily failing address(es). [The retry information isn't updated yet, so
2141 new processes keep on trying.] We probably also don't want to try more of this
2142 message's addresses either.
2143
2144 If we have started a TLS session, we have to end it before passing the
2145 connection to a new process. However, not all servers can handle this (Exim
2146 can), so we do not pass such a connection on if the host matches
2147 hosts_nopass_tls. */
2148
2149 DEBUG(D_transport)
2150   debug_printf("ok=%d send_quit=%d send_rset=%d continue_more=%d "
2151     "yield=%d first_address is %sNULL\n", ok, send_quit, send_rset,
2152     continue_more, yield, (first_addr == NULL)? "":"not ");
2153
2154 if (completed_address && ok && send_quit)
2155   {
2156   BOOL more;
2157   if (first_addr != NULL || continue_more ||
2158         (
2159            (tls_out.active < 0 ||
2160            verify_check_this_host(&(ob->hosts_nopass_tls), NULL, host->name,
2161              host->address, NULL) != OK)
2162         &&
2163            transport_check_waiting(tblock->name, host->name,
2164              tblock->connection_max_messages, new_message_id, &more)
2165         ))
2166     {
2167     uschar *msg;
2168     BOOL pass_message;
2169
2170     if (send_rset)
2171       {
2172       if (! (ok = smtp_write_command(&outblock, FALSE, "RSET\r\n") >= 0))
2173         {
2174         msg = US string_sprintf("send() to %s [%s] failed: %s", host->name,
2175           host->address, strerror(save_errno));
2176         send_quit = FALSE;
2177         }
2178       else if (! (ok = smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
2179                   ob->command_timeout)))
2180         {
2181         int code;
2182         send_quit = check_response(host, &errno, 0, buffer, &code, &msg,
2183           &pass_message);
2184         if (!send_quit)
2185           {
2186           DEBUG(D_transport) debug_printf("%s\n", msg);
2187           }
2188         }
2189       }
2190
2191     /* Either RSET was not needed, or it succeeded */
2192
2193     if (ok)
2194       {
2195       if (first_addr != NULL)            /* More addresses still to be sent */
2196         {                                /*   in this run of the transport */
2197         continue_sequence++;             /* Causes * in logging */
2198         goto SEND_MESSAGE;
2199         }
2200       if (continue_more) return yield;   /* More addresses for another run */
2201
2202       /* Pass the socket to a new Exim process. Before doing so, we must shut
2203       down TLS. Not all MTAs allow for the continuation of the SMTP session
2204       when TLS is shut down. We test for this by sending a new EHLO. If we
2205       don't get a good response, we don't attempt to pass the socket on. */
2206
2207       #ifdef SUPPORT_TLS
2208       if (tls_out.active >= 0)
2209         {
2210         tls_close(FALSE, TRUE);
2211         if (smtps)
2212           ok = FALSE;
2213         else
2214           ok = smtp_write_command(&outblock,FALSE,"EHLO %s\r\n",helo_data) >= 0 &&
2215                smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
2216                  ob->command_timeout);
2217         }
2218       #endif
2219
2220       /* If the socket is successfully passed, we musn't send QUIT (or
2221       indeed anything!) from here. */
2222
2223       if (ok && transport_pass_socket(tblock->name, host->name, host->address,
2224             new_message_id, inblock.sock))
2225         {
2226         send_quit = FALSE;
2227         }
2228       }
2229
2230     /* If RSET failed and there are addresses left, they get deferred. */
2231
2232     else set_errno(first_addr, errno, msg, DEFER, FALSE);
2233     }
2234   }
2235
2236 /* End off tidily with QUIT unless the connection has died or the socket has
2237 been passed to another process. There has been discussion on the net about what
2238 to do after sending QUIT. The wording of the RFC suggests that it is necessary
2239 to wait for a response, but on the other hand, there isn't anything one can do
2240 with an error response, other than log it. Exim used to do that. However,
2241 further discussion suggested that it is positively advantageous not to wait for
2242 the response, but to close the session immediately. This is supposed to move
2243 the TCP/IP TIME_WAIT state from the server to the client, thereby removing some
2244 load from the server. (Hosts that are both servers and clients may not see much
2245 difference, of course.) Further discussion indicated that this was safe to do
2246 on Unix systems which have decent implementations of TCP/IP that leave the
2247 connection around for a while (TIME_WAIT) after the application has gone away.
2248 This enables the response sent by the server to be properly ACKed rather than
2249 timed out, as can happen on broken TCP/IP implementations on other OS.
2250
2251 This change is being made on 31-Jul-98. After over a year of trouble-free
2252 operation, the old commented-out code was removed on 17-Sep-99. */
2253
2254 SEND_QUIT:
2255 if (send_quit) (void)smtp_write_command(&outblock, FALSE, "QUIT\r\n");
2256
2257 END_OFF:
2258
2259 #ifdef SUPPORT_TLS
2260 tls_close(FALSE, TRUE);
2261 #endif
2262
2263 /* Close the socket, and return the appropriate value, first setting
2264 continue_transport and continue_hostname NULL to prevent any other addresses
2265 that may include the host from trying to re-use a continuation socket. This
2266 works because the NULL setting is passed back to the calling process, and
2267 remote_max_parallel is forced to 1 when delivering over an existing connection,
2268
2269 If all went well and continue_more is set, we shouldn't actually get here if
2270 there are further addresses, as the return above will be taken. However,
2271 writing RSET might have failed, or there may be other addresses whose hosts are
2272 specified in the transports, and therefore not visible at top level, in which
2273 case continue_more won't get set. */
2274
2275 (void)close(inblock.sock);
2276 continue_transport = NULL;
2277 continue_hostname = NULL;
2278 return yield;
2279 }
2280
2281
2282
2283
2284 /*************************************************
2285 *              Closedown entry point             *
2286 *************************************************/
2287
2288 /* This function is called when exim is passed an open smtp channel
2289 from another incarnation, but the message which it has been asked
2290 to deliver no longer exists. The channel is on stdin.
2291
2292 We might do fancy things like looking for another message to send down
2293 the channel, but if the one we sought has gone, it has probably been
2294 delivered by some other process that itself will seek further messages,
2295 so just close down our connection.
2296
2297 Argument:   pointer to the transport instance block
2298 Returns:    nothing
2299 */
2300
2301 void
2302 smtp_transport_closedown(transport_instance *tblock)
2303 {
2304 smtp_transport_options_block *ob =
2305   (smtp_transport_options_block *)(tblock->options_block);
2306 smtp_inblock inblock;
2307 smtp_outblock outblock;
2308 uschar buffer[256];
2309 uschar inbuffer[4096];
2310 uschar outbuffer[16];
2311
2312 inblock.sock = fileno(stdin);
2313 inblock.buffer = inbuffer;
2314 inblock.buffersize = sizeof(inbuffer);
2315 inblock.ptr = inbuffer;
2316 inblock.ptrend = inbuffer;
2317
2318 outblock.sock = inblock.sock;
2319 outblock.buffersize = sizeof(outbuffer);
2320 outblock.buffer = outbuffer;
2321 outblock.ptr = outbuffer;
2322 outblock.cmd_count = 0;
2323 outblock.authenticating = FALSE;
2324
2325 (void)smtp_write_command(&outblock, FALSE, "QUIT\r\n");
2326 (void)smtp_read_response(&inblock, buffer, sizeof(buffer), '2',
2327   ob->command_timeout);
2328 (void)close(inblock.sock);
2329 }
2330
2331
2332
2333 /*************************************************
2334 *            Prepare addresses for delivery      *
2335 *************************************************/
2336
2337 /* This function is called to flush out error settings from previous delivery
2338 attempts to other hosts. It also records whether we got here via an MX record
2339 or not in the more_errno field of the address. We are interested only in
2340 addresses that are still marked DEFER - others may have got delivered to a
2341 previously considered IP address. Set their status to PENDING_DEFER to indicate
2342 which ones are relevant this time.
2343
2344 Arguments:
2345   addrlist     the list of addresses
2346   host         the host we are delivering to
2347
2348 Returns:       the first address for this delivery
2349 */
2350
2351 static address_item *
2352 prepare_addresses(address_item *addrlist, host_item *host)
2353 {
2354 address_item *first_addr = NULL;
2355 address_item *addr;
2356 for (addr = addrlist; addr != NULL; addr = addr->next)
2357   {
2358   if (addr->transport_return != DEFER) continue;
2359   if (first_addr == NULL) first_addr = addr;
2360   addr->transport_return = PENDING_DEFER;
2361   addr->basic_errno = 0;
2362   addr->more_errno = (host->mx >= 0)? 'M' : 'A';
2363   addr->message = NULL;
2364   #ifdef SUPPORT_TLS
2365   addr->cipher = NULL;
2366   addr->peerdn = NULL;
2367   #endif
2368   }
2369 return first_addr;
2370 }
2371
2372
2373
2374 /*************************************************
2375 *              Main entry point                  *
2376 *************************************************/
2377
2378 /* See local README for interface details. As this is a remote transport, it is
2379 given a chain of addresses to be delivered in one connection, if possible. It
2380 always returns TRUE, indicating that each address has its own independent
2381 status set, except if there is a setting up problem, in which case it returns
2382 FALSE. */
2383
2384 BOOL
2385 smtp_transport_entry(
2386   transport_instance *tblock,      /* data for this instantiation */
2387   address_item *addrlist)          /* addresses we are working on */
2388 {
2389 int cutoff_retry;
2390 int port;
2391 int hosts_defer = 0;
2392 int hosts_fail  = 0;
2393 int hosts_looked_up = 0;
2394 int hosts_retry = 0;
2395 int hosts_serial = 0;
2396 int hosts_total = 0;
2397 int total_hosts_tried = 0;
2398 address_item *addr;
2399 BOOL expired = TRUE;
2400 BOOL continuing = continue_hostname != NULL;
2401 uschar *expanded_hosts = NULL;
2402 uschar *pistring;
2403 uschar *tid = string_sprintf("%s transport", tblock->name);
2404 smtp_transport_options_block *ob =
2405   (smtp_transport_options_block *)(tblock->options_block);
2406 host_item *hostlist = addrlist->host_list;
2407 host_item *host = NULL;
2408
2409 DEBUG(D_transport)
2410   {
2411   debug_printf("%s transport entered\n", tblock->name);
2412   for (addr = addrlist; addr != NULL; addr = addr->next)
2413     debug_printf("  %s\n", addr->address);
2414   if (continuing) debug_printf("already connected to %s [%s]\n",
2415       continue_hostname, continue_host_address);
2416   }
2417
2418 /* Set the flag requesting that these hosts be added to the waiting
2419 database if the delivery fails temporarily or if we are running with
2420 queue_smtp or a 2-stage queue run. This gets unset for certain
2421 kinds of error, typically those that are specific to the message. */
2422
2423 update_waiting =  TRUE;
2424
2425 /* If a host list is not defined for the addresses - they must all have the
2426 same one in order to be passed to a single transport - or if the transport has
2427 a host list with hosts_override set, use the host list supplied with the
2428 transport. It is an error for this not to exist. */
2429
2430 if (hostlist == NULL || (ob->hosts_override && ob->hosts != NULL))
2431   {
2432   if (ob->hosts == NULL)
2433     {
2434     addrlist->message = string_sprintf("%s transport called with no hosts set",
2435       tblock->name);
2436     addrlist->transport_return = PANIC;
2437     return FALSE;   /* Only top address has status */
2438     }
2439
2440   DEBUG(D_transport) debug_printf("using the transport's hosts: %s\n",
2441     ob->hosts);
2442
2443   /* If the transport's host list contains no '$' characters, and we are not
2444   randomizing, it is fixed and therefore a chain of hosts can be built once
2445   and for all, and remembered for subsequent use by other calls to this
2446   transport. If, on the other hand, the host list does contain '$', or we are
2447   randomizing its order, we have to rebuild it each time. In the fixed case,
2448   as the hosts string will never be used again, it doesn't matter that we
2449   replace all the : characters with zeros. */
2450
2451   if (ob->hostlist == NULL)
2452     {
2453     uschar *s = ob->hosts;
2454
2455     if (Ustrchr(s, '$') != NULL)
2456       {
2457       expanded_hosts = expand_string(s);
2458       if (expanded_hosts == NULL)
2459         {
2460         addrlist->message = string_sprintf("failed to expand list of hosts "
2461           "\"%s\" in %s transport: %s", s, tblock->name, expand_string_message);
2462         addrlist->transport_return = search_find_defer? DEFER : PANIC;
2463         return FALSE;     /* Only top address has status */
2464         }
2465       DEBUG(D_transport) debug_printf("expanded list of hosts \"%s\" to "
2466         "\"%s\"\n", s, expanded_hosts);
2467       s = expanded_hosts;
2468       }
2469     else
2470       if (ob->hosts_randomize) s = expanded_hosts = string_copy(s);
2471
2472     host_build_hostlist(&hostlist, s, ob->hosts_randomize);
2473
2474     /* Check that the expansion yielded something useful. */
2475     if (hostlist == NULL)
2476       {
2477       addrlist->message =
2478         string_sprintf("%s transport has empty hosts setting", tblock->name);
2479       addrlist->transport_return = PANIC;
2480       return FALSE;   /* Only top address has status */
2481       }
2482
2483     /* If there was no expansion of hosts, save the host list for
2484     next time. */
2485
2486     if (expanded_hosts == NULL) ob->hostlist = hostlist;
2487     }
2488
2489   /* This is not the first time this transport has been run in this delivery;
2490   the host list was built previously. */
2491
2492   else hostlist = ob->hostlist;
2493   }
2494
2495 /* The host list was supplied with the address. If hosts_randomize is set, we
2496 must sort it into a random order if it did not come from MX records and has not
2497 already been randomized (but don't bother if continuing down an existing
2498 connection). */
2499
2500 else if (ob->hosts_randomize && hostlist->mx == MX_NONE && !continuing)
2501   {
2502   host_item *newlist = NULL;
2503   while (hostlist != NULL)
2504     {
2505     host_item *h = hostlist;
2506     hostlist = hostlist->next;
2507
2508     h->sort_key = random_number(100);
2509
2510     if (newlist == NULL)
2511       {
2512       h->next = NULL;
2513       newlist = h;
2514       }
2515     else if (h->sort_key < newlist->sort_key)
2516       {
2517       h->next = newlist;
2518       newlist = h;
2519       }
2520     else
2521       {
2522       host_item *hh = newlist;
2523       while (hh->next != NULL)
2524         {
2525         if (h->sort_key < hh->next->sort_key) break;
2526         hh = hh->next;
2527         }
2528       h->next = hh->next;
2529       hh->next = h;
2530       }
2531     }
2532
2533   hostlist = addrlist->host_list = newlist;
2534   }
2535
2536
2537 /* Sort out the default port.  */
2538
2539 if (!smtp_get_port(ob->port, addrlist, &port, tid)) return FALSE;
2540
2541
2542 /* For each host-plus-IP-address on the list:
2543
2544 .  If this is a continued delivery and the host isn't the one with the
2545    current connection, skip.
2546
2547 .  If the status is unusable (i.e. previously failed or retry checked), skip.
2548
2549 .  If no IP address set, get the address, either by turning the name into
2550    an address, calling gethostbyname if gethostbyname is on, or by calling
2551    the DNS. The DNS may yield multiple addresses, in which case insert the
2552    extra ones into the list.
2553
2554 .  Get the retry data if not previously obtained for this address and set the
2555    field which remembers the state of this address. Skip if the retry time is
2556    not reached. If not, remember whether retry data was found. The retry string
2557    contains both the name and the IP address.
2558
2559 .  Scan the list of addresses and mark those whose status is DEFER as
2560    PENDING_DEFER. These are the only ones that will be processed in this cycle
2561    of the hosts loop.
2562
2563 .  Make a delivery attempt - addresses marked PENDING_DEFER will be tried.
2564    Some addresses may be successfully delivered, others may fail, and yet
2565    others may get temporary errors and so get marked DEFER.
2566
2567 .  The return from the delivery attempt is OK if a connection was made and a
2568    valid SMTP dialogue was completed. Otherwise it is DEFER.
2569
2570 .  If OK, add a "remove" retry item for this host/IPaddress, if any.
2571
2572 .  If fail to connect, or other defer state, add a retry item.
2573
2574 .  If there are any addresses whose status is still DEFER, carry on to the
2575    next host/IPaddress, unless we have tried the number of hosts given
2576    by hosts_max_try or hosts_max_try_hardlimit; otherwise return. Note that
2577    there is some fancy logic for hosts_max_try that means its limit can be
2578    overstepped in some circumstances.
2579
2580 If we get to the end of the list, all hosts have deferred at least one address,
2581 or not reached their retry times. If delay_after_cutoff is unset, it requests a
2582 delivery attempt to those hosts whose last try was before the arrival time of
2583 the current message. To cope with this, we have to go round the loop a second
2584 time. After that, set the status and error data for any addresses that haven't
2585 had it set already. */
2586
2587 for (cutoff_retry = 0; expired &&
2588      cutoff_retry < ((ob->delay_after_cutoff)? 1 : 2);
2589      cutoff_retry++)
2590   {
2591   host_item *nexthost = NULL;
2592   int unexpired_hosts_tried = 0;
2593
2594   for (host = hostlist;
2595        host != NULL &&
2596          unexpired_hosts_tried < ob->hosts_max_try &&
2597          total_hosts_tried < ob->hosts_max_try_hardlimit;
2598        host = nexthost)
2599     {
2600     int rc;
2601     int host_af;
2602     uschar *rs;
2603     BOOL serialized = FALSE;
2604     BOOL host_is_expired = FALSE;
2605     BOOL message_defer = FALSE;
2606     BOOL ifchanges = FALSE;
2607     BOOL some_deferred = FALSE;
2608     address_item *first_addr = NULL;
2609     uschar *interface = NULL;
2610     uschar *retry_host_key = NULL;
2611     uschar *retry_message_key = NULL;
2612     uschar *serialize_key = NULL;
2613
2614     /* Default next host is next host. :-) But this can vary if the
2615     hosts_max_try limit is hit (see below). It may also be reset if a host
2616     address is looked up here (in case the host was multihomed). */
2617
2618     nexthost = host->next;
2619
2620     /* If the address hasn't yet been obtained from the host name, look it up
2621     now, unless the host is already marked as unusable. If it is marked as
2622     unusable, it means that the router was unable to find its IP address (in
2623     the DNS or wherever) OR we are in the 2nd time round the cutoff loop, and
2624     the lookup failed last time. We don't get this far if *all* MX records
2625     point to non-existent hosts; that is treated as a hard error.
2626
2627     We can just skip this host entirely. When the hosts came from the router,
2628     the address will timeout based on the other host(s); when the address is
2629     looked up below, there is an explicit retry record added.
2630
2631     Note that we mustn't skip unusable hosts if the address is not unset; they
2632     may be needed as expired hosts on the 2nd time round the cutoff loop. */
2633
2634     if (host->address == NULL)
2635       {
2636       int new_port, flags;
2637       host_item *hh;
2638       uschar *canonical_name;
2639
2640       if (host->status >= hstatus_unusable)
2641         {
2642         DEBUG(D_transport) debug_printf("%s has no address and is unusable - skipping\n",
2643           host->name);
2644         continue;
2645         }
2646
2647       DEBUG(D_transport) debug_printf("getting address for %s\n", host->name);
2648
2649       /* The host name is permitted to have an attached port. Find it, and
2650       strip it from the name. Just remember it for now. */
2651
2652       new_port = host_item_get_port(host);
2653
2654       /* Count hosts looked up */
2655
2656       hosts_looked_up++;
2657
2658       /* Find by name if so configured, or if it's an IP address. We don't
2659       just copy the IP address, because we need the test-for-local to happen. */
2660
2661       flags = HOST_FIND_BY_A;
2662       if (ob->dns_qualify_single) flags |= HOST_FIND_QUALIFY_SINGLE;
2663       if (ob->dns_search_parents) flags |= HOST_FIND_SEARCH_PARENTS;
2664
2665       if (ob->gethostbyname || string_is_ip_address(host->name, NULL) != 0)
2666         rc = host_find_byname(host, NULL, flags, &canonical_name, TRUE);
2667       else
2668         rc = host_find_bydns(host, NULL, flags, NULL, NULL, NULL,
2669           &canonical_name, NULL);
2670
2671       /* Update the host (and any additional blocks, resulting from
2672       multihoming) with a host-specific port, if any. */
2673
2674       for (hh = host; hh != nexthost; hh = hh->next) hh->port = new_port;
2675
2676       /* Failure to find the host at this time (usually DNS temporary failure)
2677       is really a kind of routing failure rather than a transport failure.
2678       Therefore we add a retry item of the routing kind, not to stop us trying
2679       to look this name up here again, but to ensure the address gets timed
2680       out if the failures go on long enough. A complete failure at this point
2681       commonly points to a configuration error, but the best action is still
2682       to carry on for the next host. */
2683
2684       if (rc == HOST_FIND_AGAIN || rc == HOST_FIND_FAILED)
2685         {
2686         retry_add_item(addrlist, string_sprintf("R:%s", host->name), 0);
2687         expired = FALSE;
2688         if (rc == HOST_FIND_AGAIN) hosts_defer++; else hosts_fail++;
2689         DEBUG(D_transport) debug_printf("rc = %s for %s\n", (rc == HOST_FIND_AGAIN)?
2690           "HOST_FIND_AGAIN" : "HOST_FIND_FAILED", host->name);
2691         host->status = hstatus_unusable;
2692
2693         for (addr = addrlist; addr != NULL; addr = addr->next)
2694           {
2695           if (addr->transport_return != DEFER) continue;
2696           addr->basic_errno = ERRNO_UNKNOWNHOST;
2697           addr->message =
2698             string_sprintf("failed to lookup IP address for %s", host->name);
2699           }
2700         continue;
2701         }
2702
2703       /* If the host is actually the local host, we may have a problem, or
2704       there may be some cunning configuration going on. In the problem case,
2705       log things and give up. The default transport status is already DEFER. */
2706
2707       if (rc == HOST_FOUND_LOCAL && !ob->allow_localhost)
2708         {
2709         for (addr = addrlist; addr != NULL; addr = addr->next)
2710           {
2711           addr->basic_errno = 0;
2712           addr->message = string_sprintf("%s transport found host %s to be "
2713             "local", tblock->name, host->name);
2714           }
2715         goto END_TRANSPORT;
2716         }
2717       }   /* End of block for IP address lookup */
2718
2719     /* If this is a continued delivery, we are interested only in the host
2720     which matches the name of the existing open channel. The check is put
2721     here after the local host lookup, in case the name gets expanded as a
2722     result of the lookup. Set expired FALSE, to save the outer loop executing
2723     twice. */
2724
2725     if (continuing && (Ustrcmp(continue_hostname, host->name) != 0 ||
2726                        Ustrcmp(continue_host_address, host->address) != 0))
2727       {
2728       expired = FALSE;
2729       continue;      /* With next host */
2730       }
2731
2732     /* Reset the default next host in case a multihomed host whose addresses
2733     are not looked up till just above added to the host list. */
2734
2735     nexthost = host->next;
2736
2737     /* If queue_smtp is set (-odqs or the first part of a 2-stage run), or the
2738     domain is in queue_smtp_domains, we don't actually want to attempt any
2739     deliveries. When doing a queue run, queue_smtp_domains is always unset. If
2740     there is a lookup defer in queue_smtp_domains, proceed as if the domain
2741     were not in it. We don't want to hold up all SMTP deliveries! Except when
2742     doing a two-stage queue run, don't do this if forcing. */
2743
2744     if ((!deliver_force || queue_2stage) && (queue_smtp ||
2745         match_isinlist(addrlist->domain, &queue_smtp_domains, 0,
2746           &domainlist_anchor, NULL, MCL_DOMAIN, TRUE, NULL) == OK))
2747       {
2748       expired = FALSE;
2749       for (addr = addrlist; addr != NULL; addr = addr->next)
2750         {
2751         if (addr->transport_return != DEFER) continue;
2752         addr->message = US"domain matches queue_smtp_domains, or -odqs set";
2753         }
2754       continue;      /* With next host */
2755       }
2756
2757     /* Count hosts being considered - purely for an intelligent comment
2758     if none are usable. */
2759
2760     hosts_total++;
2761
2762     /* Set $host and $host address now in case they are needed for the
2763     interface expansion or the serialize_hosts check; they remain set if an
2764     actual delivery happens. */
2765
2766     deliver_host = host->name;
2767     deliver_host_address = host->address;
2768
2769     /* Set up a string for adding to the retry key if the port number is not
2770     the standard SMTP port. A host may have its own port setting that overrides
2771     the default. */
2772
2773     pistring = string_sprintf(":%d", (host->port == PORT_NONE)?
2774       port : host->port);
2775     if (Ustrcmp(pistring, ":25") == 0) pistring = US"";
2776
2777     /* Select IPv4 or IPv6, and choose an outgoing interface. If the interface
2778     string changes upon expansion, we must add it to the key that is used for
2779     retries, because connections to the same host from a different interface
2780     should be treated separately. */
2781
2782     host_af = (Ustrchr(host->address, ':') == NULL)? AF_INET : AF_INET6;
2783     if (!smtp_get_interface(ob->interface, host_af, addrlist, &ifchanges,
2784          &interface, tid))
2785       return FALSE;
2786     if (ifchanges) pistring = string_sprintf("%s/%s", pistring, interface);
2787
2788     /* The first time round the outer loop, check the status of the host by
2789     inspecting the retry data. The second time round, we are interested only
2790     in expired hosts that haven't been tried since this message arrived. */
2791
2792     if (cutoff_retry == 0)
2793       {
2794       /* Ensure the status of the address is set by checking retry data if
2795       necessary. There maybe host-specific retry data (applicable to all
2796       messages) and also data for retries of a specific message at this host.
2797       If either of these retry records are actually read, the keys used are
2798       returned to save recomputing them later. */
2799
2800       host_is_expired = retry_check_address(addrlist->domain, host, pistring,
2801         ob->retry_include_ip_address, &retry_host_key, &retry_message_key);
2802
2803       DEBUG(D_transport) debug_printf("%s [%s]%s status = %s\n", host->name,
2804         (host->address == NULL)? US"" : host->address, pistring,
2805         (host->status == hstatus_usable)? "usable" :
2806         (host->status == hstatus_unusable)? "unusable" :
2807         (host->status == hstatus_unusable_expired)? "unusable (expired)" : "?");
2808
2809       /* Skip this address if not usable at this time, noting if it wasn't
2810       actually expired, both locally and in the address. */
2811
2812       switch (host->status)
2813         {
2814         case hstatus_unusable:
2815         expired = FALSE;
2816         setflag(addrlist, af_retry_skipped);
2817         /* Fall through */
2818
2819         case hstatus_unusable_expired:
2820         switch (host->why)
2821           {
2822           case hwhy_retry: hosts_retry++; break;
2823           case hwhy_failed:  hosts_fail++; break;
2824           case hwhy_deferred: hosts_defer++; break;
2825           }
2826
2827         /* If there was a retry message key, implying that previously there
2828         was a message-specific defer, we don't want to update the list of
2829         messages waiting for these hosts. */
2830
2831         if (retry_message_key != NULL) update_waiting = FALSE;
2832         continue;   /* With the next host or IP address */
2833         }
2834       }
2835
2836     /* Second time round the loop: if the address is set but expired, and
2837     the message is newer than the last try, let it through. */
2838
2839     else
2840       {
2841       if (host->address == NULL ||
2842           host->status != hstatus_unusable_expired ||
2843           host->last_try > received_time)
2844         continue;
2845       DEBUG(D_transport)
2846         debug_printf("trying expired host %s [%s]%s\n",
2847           host->name, host->address, pistring);
2848       host_is_expired = TRUE;
2849       }
2850
2851     /* Setting "expired=FALSE" doesn't actually mean not all hosts are expired;
2852     it remains TRUE only if all hosts are expired and none are actually tried.
2853     */
2854
2855     expired = FALSE;
2856
2857     /* If this host is listed as one to which access must be serialized,
2858     see if another Exim process has a connection to it, and if so, skip
2859     this host. If not, update the database to record our connection to it
2860     and remember this for later deletion. Do not do any of this if we are
2861     sending the message down a pre-existing connection. */
2862
2863     if (!continuing &&
2864         verify_check_this_host(&(ob->serialize_hosts), NULL, host->name,
2865           host->address, NULL) == OK)
2866       {
2867       serialize_key = string_sprintf("host-serialize-%s", host->name);
2868       if (!enq_start(serialize_key))
2869         {
2870         DEBUG(D_transport)
2871           debug_printf("skipping host %s because another Exim process "
2872             "is connected to it\n", host->name);
2873         hosts_serial++;
2874         continue;
2875         }
2876       serialized = TRUE;
2877       }
2878
2879     /* OK, we have an IP address that is not waiting for its retry time to
2880     arrive (it might be expired) OR (second time round the loop) we have an
2881     expired host that hasn't been tried since the message arrived. Have a go
2882     at delivering the message to it. First prepare the addresses by flushing
2883     out the result of previous attempts, and finding the first address that
2884     is still to be delivered. */
2885
2886     first_addr = prepare_addresses(addrlist, host);
2887
2888     DEBUG(D_transport) debug_printf("delivering %s to %s [%s] (%s%s)\n",
2889       message_id, host->name, host->address, addrlist->address,
2890       (addrlist->next == NULL)? "" : ", ...");
2891
2892     set_process_info("delivering %s to %s [%s] (%s%s)",
2893       message_id, host->name, host->address, addrlist->address,
2894       (addrlist->next == NULL)? "" : ", ...");
2895
2896     /* This is not for real; don't do the delivery. If there are
2897     any remaining hosts, list them. */
2898
2899     if (dont_deliver)
2900       {
2901       host_item *host2;
2902       set_errno(addrlist, 0, NULL, OK, FALSE);
2903       for (addr = addrlist; addr != NULL; addr = addr->next)
2904         {
2905         addr->host_used = host;
2906         addr->special_action = '*';
2907         addr->message = US"delivery bypassed by -N option";
2908         }
2909       DEBUG(D_transport)
2910         {
2911         debug_printf("*** delivery by %s transport bypassed by -N option\n"
2912                      "*** host and remaining hosts:\n", tblock->name);
2913         for (host2 = host; host2 != NULL; host2 = host2->next)
2914           debug_printf("    %s [%s]\n", host2->name,
2915             (host2->address == NULL)? US"unset" : host2->address);
2916         }
2917       rc = OK;
2918       }
2919
2920     /* This is for real. If the host is expired, we don't count it for
2921     hosts_max_retry. This ensures that all hosts must expire before an address
2922     is timed out, unless hosts_max_try_hardlimit (which protects against
2923     lunatic DNS configurations) is reached.
2924
2925     If the host is not expired and we are about to hit the hosts_max_retry
2926     limit, check to see if there is a subsequent hosts with a different MX
2927     value. If so, make that the next host, and don't count this one. This is a
2928     heuristic to make sure that different MXs do get tried. With a normal kind
2929     of retry rule, they would get tried anyway when the earlier hosts were
2930     delayed, but if the domain has a "retry every time" type of rule - as is
2931     often used for the the very large ISPs, that won't happen. */
2932
2933     else
2934       {
2935       if (!host_is_expired && ++unexpired_hosts_tried >= ob->hosts_max_try)
2936         {
2937         host_item *h;
2938         DEBUG(D_transport)
2939           debug_printf("hosts_max_try limit reached with this host\n");
2940         for (h = host; h != NULL; h = h->next)
2941           if (h->mx != host->mx) break;
2942         if (h != NULL)
2943           {
2944           nexthost = h;
2945           unexpired_hosts_tried--;
2946           DEBUG(D_transport) debug_printf("however, a higher MX host exists "
2947             "and will be tried\n");
2948           }
2949         }
2950
2951       /* Attempt the delivery. */
2952
2953       total_hosts_tried++;
2954       rc = smtp_deliver(addrlist, host, host_af, port, interface, tblock,
2955         expanded_hosts != NULL, &message_defer, FALSE);
2956
2957       /* Yield is one of:
2958          OK     => connection made, each address contains its result;
2959                      message_defer is set for message-specific defers (when all
2960                      recipients are marked defer)
2961          DEFER  => there was a non-message-specific delivery problem;
2962          ERROR  => there was a problem setting up the arguments for a filter,
2963                    or there was a problem with expanding added headers
2964       */
2965
2966       /* If the result is not OK, there was a non-message-specific problem.
2967       If the result is DEFER, we need to write to the logs saying what happened
2968       for this particular host, except in the case of authentication and TLS
2969       failures, where the log has already been written. If all hosts defer a
2970       general message is written at the end. */
2971
2972       if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL &&
2973                          first_addr->basic_errno != ERRNO_TLSFAILURE)
2974         write_logs(first_addr, host);
2975
2976       /* If STARTTLS was accepted, but there was a failure in setting up the
2977       TLS session (usually a certificate screwup), and the host is not in
2978       hosts_require_tls, and tls_tempfail_tryclear is true, try again, with
2979       TLS forcibly turned off. We have to start from scratch with a new SMTP
2980       connection. That's why the retry is done from here, not from within
2981       smtp_deliver(). [Rejections of STARTTLS itself don't screw up the
2982       session, so the in-clear transmission after those errors, if permitted,
2983       happens inside smtp_deliver().] */
2984
2985       #ifdef SUPPORT_TLS
2986       if (rc == DEFER && first_addr->basic_errno == ERRNO_TLSFAILURE &&
2987            ob->tls_tempfail_tryclear &&
2988            verify_check_this_host(&(ob->hosts_require_tls), NULL, host->name,
2989              host->address, NULL) != OK)
2990         {
2991         log_write(0, LOG_MAIN, "TLS session failure: delivering unencrypted "
2992           "to %s [%s] (not in hosts_require_tls)", host->name, host->address);
2993         first_addr = prepare_addresses(addrlist, host);
2994         rc = smtp_deliver(addrlist, host, host_af, port, interface, tblock,
2995           expanded_hosts != NULL, &message_defer, TRUE);
2996         if (rc == DEFER && first_addr->basic_errno != ERRNO_AUTHFAIL)
2997           write_logs(first_addr, host);
2998         }
2999       #endif
3000       }
3001
3002     /* Delivery attempt finished */
3003
3004     rs = (rc == OK)? US"OK" : (rc == DEFER)? US"DEFER" : (rc == ERROR)?
3005       US"ERROR" : US"?";
3006
3007     set_process_info("delivering %s: just tried %s [%s] for %s%s: result %s",
3008       message_id, host->name, host->address, addrlist->address,
3009       (addrlist->next == NULL)? "" : " (& others)", rs);
3010
3011     /* Release serialization if set up */
3012
3013     if (serialized) enq_end(serialize_key);
3014
3015     /* If the result is DEFER, or if a host retry record is known to exist, we
3016     need to add an item to the retry chain for updating the retry database
3017     at the end of delivery. We only need to add the item to the top address,
3018     of course. Also, if DEFER, we mark the IP address unusable so as to skip it
3019     for any other delivery attempts using the same address. (It is copied into
3020     the unusable tree at the outer level, so even if different address blocks
3021     contain the same address, it still won't get tried again.) */
3022
3023     if (rc == DEFER || retry_host_key != NULL)
3024       {
3025       int delete_flag = (rc != DEFER)? rf_delete : 0;
3026       if (retry_host_key == NULL)
3027         {
3028         retry_host_key = ob->retry_include_ip_address?
3029           string_sprintf("T:%S:%s%s", host->name, host->address, pistring) :
3030           string_sprintf("T:%S%s", host->name, pistring);
3031         }
3032
3033       /* If a delivery of another message over an existing SMTP connection
3034       yields DEFER, we do NOT set up retry data for the host. This covers the
3035       case when there are delays in routing the addresses in the second message
3036       that are so long that the server times out. This is alleviated by not
3037       routing addresses that previously had routing defers when handling an
3038       existing connection, but even so, this case may occur (e.g. if a
3039       previously happily routed address starts giving routing defers). If the
3040       host is genuinely down, another non-continued message delivery will
3041       notice it soon enough. */
3042
3043       if (delete_flag != 0 || !continuing)
3044         retry_add_item(first_addr, retry_host_key, rf_host | delete_flag);
3045
3046       /* We may have tried an expired host, if its retry time has come; ensure
3047       the status reflects the expiry for the benefit of any other addresses. */
3048
3049       if (rc == DEFER)
3050         {
3051         host->status = (host_is_expired)?
3052           hstatus_unusable_expired : hstatus_unusable;
3053         host->why = hwhy_deferred;
3054         }
3055       }
3056
3057     /* If message_defer is set (host was OK, but every recipient got deferred
3058     because of some message-specific problem), or if that had happened
3059     previously so that a message retry key exists, add an appropriate item
3060     to the retry chain. Note that if there was a message defer but now there is
3061     a host defer, the message defer record gets deleted. That seems perfectly
3062     reasonable. Also, stop the message from being remembered as waiting
3063     for specific hosts. */
3064
3065     if (message_defer || retry_message_key != NULL)
3066       {
3067       int delete_flag = message_defer? 0 : rf_delete;
3068       if (retry_message_key == NULL)
3069         {
3070         retry_message_key = ob->retry_include_ip_address?
3071           string_sprintf("T:%S:%s%s:%s", host->name, host->address, pistring,
3072             message_id) :
3073           string_sprintf("T:%S%s:%s", host->name, pistring, message_id);
3074         }
3075       retry_add_item(addrlist, retry_message_key,
3076         rf_message | rf_host | delete_flag);
3077       update_waiting = FALSE;
3078       }
3079
3080     /* Any return other than DEFER (that is, OK or ERROR) means that the
3081     addresses have got their final statuses filled in for this host. In the OK
3082     case, see if any of them are deferred. */
3083
3084     if (rc == OK)
3085       {
3086       for (addr = addrlist; addr != NULL; addr = addr->next)
3087         {
3088         if (addr->transport_return == DEFER)
3089           {
3090           some_deferred = TRUE;
3091           break;
3092           }
3093         }
3094       }
3095
3096     /* If no addresses deferred or the result was ERROR, return. We do this for
3097     ERROR because a failing filter set-up or add_headers expansion is likely to
3098     fail for any host we try. */
3099
3100     if (rc == ERROR || (rc == OK && !some_deferred))
3101       {
3102       DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
3103       return TRUE;    /* Each address has its status */
3104       }
3105
3106     /* If the result was DEFER or some individual addresses deferred, let
3107     the loop run to try other hosts with the deferred addresses, except for the
3108     case when we were trying to deliver down an existing channel and failed.
3109     Don't try any other hosts in this case. */
3110
3111     if (continuing) break;
3112
3113     /* If the whole delivery, or some individual addresses, were deferred and
3114     there are more hosts that could be tried, do not count this host towards
3115     the hosts_max_try limit if the age of the message is greater than the
3116     maximum retry time for this host. This means we may try try all hosts,
3117     ignoring the limit, when messages have been around for some time. This is
3118     important because if we don't try all hosts, the address will never time
3119     out. NOTE: this does not apply to hosts_max_try_hardlimit. */
3120
3121     if ((rc == DEFER || some_deferred) && nexthost != NULL)
3122       {
3123       BOOL timedout;
3124       retry_config *retry = retry_find_config(host->name, NULL, 0, 0);
3125
3126       if (retry != NULL && retry->rules != NULL)
3127         {
3128         retry_rule *last_rule;
3129         for (last_rule = retry->rules;
3130              last_rule->next != NULL;
3131              last_rule = last_rule->next);
3132         timedout = time(NULL) - received_time > last_rule->timeout;
3133         }
3134       else timedout = TRUE;    /* No rule => timed out */
3135
3136       if (timedout)
3137         {
3138         unexpired_hosts_tried--;
3139         DEBUG(D_transport) debug_printf("temporary delivery error(s) override "
3140           "hosts_max_try (message older than host's retry time)\n");
3141         }
3142       }
3143     }   /* End of loop for trying multiple hosts. */
3144
3145   /* This is the end of the loop that repeats iff expired is TRUE and
3146   ob->delay_after_cutoff is FALSE. The second time round we will
3147   try those hosts that haven't been tried since the message arrived. */
3148
3149   DEBUG(D_transport)
3150     {
3151     debug_printf("all IP addresses skipped or deferred at least one address\n");
3152     if (expired && !ob->delay_after_cutoff && cutoff_retry == 0)
3153       debug_printf("retrying IP addresses not tried since message arrived\n");
3154     }
3155   }
3156
3157
3158 /* Get here if all IP addresses are skipped or defer at least one address. In
3159 MUA wrapper mode, this will happen only for connection or other non-message-
3160 specific failures. Force the delivery status for all addresses to FAIL. */
3161
3162 if (mua_wrapper)
3163   {
3164   for (addr = addrlist; addr != NULL; addr = addr->next)
3165     addr->transport_return = FAIL;
3166   goto END_TRANSPORT;
3167   }
3168
3169 /* In the normal, non-wrapper case, add a standard message to each deferred
3170 address if there hasn't been an error, that is, if it hasn't actually been
3171 tried this time. The variable "expired" will be FALSE if any deliveries were
3172 actually tried, or if there was at least one host that was not expired. That
3173 is, it is TRUE only if no deliveries were tried and all hosts were expired. If
3174 a delivery has been tried, an error code will be set, and the failing of the
3175 message is handled by the retry code later.
3176
3177 If queue_smtp is set, or this transport was called to send a subsequent message
3178 down an existing TCP/IP connection, and something caused the host not to be
3179 found, we end up here, but can detect these cases and handle them specially. */
3180
3181 for (addr = addrlist; addr != NULL; addr = addr->next)
3182   {
3183   /* If host is not NULL, it means that we stopped processing the host list
3184   because of hosts_max_try or hosts_max_try_hardlimit. In the former case, this
3185   means we need to behave as if some hosts were skipped because their retry
3186   time had not come. Specifically, this prevents the address from timing out.
3187   However, if we have hit hosts_max_try_hardlimit, we want to behave as if all
3188   hosts were tried. */
3189
3190   if (host != NULL)
3191     {
3192     if (total_hosts_tried >= ob->hosts_max_try_hardlimit)
3193       {
3194       DEBUG(D_transport)
3195         debug_printf("hosts_max_try_hardlimit reached: behave as if all "
3196           "hosts were tried\n");
3197       }
3198     else
3199       {
3200       DEBUG(D_transport)
3201         debug_printf("hosts_max_try limit caused some hosts to be skipped\n");
3202       setflag(addr, af_retry_skipped);
3203       }
3204     }
3205
3206   if (queue_smtp)    /* no deliveries attempted */
3207     {
3208     addr->transport_return = DEFER;
3209     addr->basic_errno = 0;
3210     addr->message = US"SMTP delivery explicitly queued";
3211     }
3212
3213   else if (addr->transport_return == DEFER &&
3214        (addr->basic_errno == ERRNO_UNKNOWNERROR || addr->basic_errno == 0) &&
3215        addr->message == NULL)
3216     {
3217     addr->basic_errno = ERRNO_HRETRY;
3218     if (continue_hostname != NULL)
3219       {
3220       addr->message = US"no host found for existing SMTP connection";
3221       }
3222     else if (expired)
3223       {
3224       setflag(addr, af_pass_message);   /* This is not a security risk */
3225       addr->message = (ob->delay_after_cutoff)?
3226         US"retry time not reached for any host after a long failure period" :
3227         US"all hosts have been failing for a long time and were last tried "
3228           "after this message arrived";
3229
3230       /* If we are already using fallback hosts, or there are no fallback hosts
3231       defined, convert the result to FAIL to cause a bounce. */
3232
3233       if (addr->host_list == addr->fallback_hosts ||
3234           addr->fallback_hosts == NULL)
3235         addr->transport_return = FAIL;
3236       }
3237     else
3238       {
3239       if (hosts_retry == hosts_total)
3240         addr->message = US"retry time not reached for any host";
3241       else if (hosts_fail == hosts_total)
3242         addr->message = US"all host address lookups failed permanently";
3243       else if (hosts_defer == hosts_total)
3244         addr->message = US"all host address lookups failed temporarily";
3245       else if (hosts_serial == hosts_total)
3246         addr->message = US"connection limit reached for all hosts";
3247       else if (hosts_fail+hosts_defer == hosts_total)
3248         addr->message = US"all host address lookups failed";
3249       else addr->message = US"some host address lookups failed and retry time "
3250         "not reached for other hosts or connection limit reached";
3251       }
3252     }
3253   }
3254
3255 /* Update the database which keeps information about which messages are waiting
3256 for which hosts to become available. For some message-specific errors, the
3257 update_waiting flag is turned off because we don't want follow-on deliveries in
3258 those cases.  If this transport instance is explicitly limited to one message
3259 per connection then follow-on deliveries are not possible and there's no need
3260 to create/update the per-transport wait-<transport_name> database. */
3261
3262 if (update_waiting && tblock->connection_max_messages != 1)
3263   transport_update_waiting(hostlist, tblock->name);
3264
3265 END_TRANSPORT:
3266
3267 DEBUG(D_transport) debug_printf("Leaving %s transport\n", tblock->name);
3268
3269 return TRUE;   /* Each address has its status */
3270 }
3271
3272 /* End of transport/smtp.c */