f38d7a49232d9665190774a278f19336f00e2c4e
[users/jgh/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"authresults",
107   US"certextract",
108   US"dlfunc",
109   US"env",
110   US"extract",
111   US"filter",
112   US"hash",
113   US"hmac",
114   US"if",
115 #ifdef SUPPORT_I18N
116   US"imapfolder",
117 #endif
118   US"length",
119   US"listextract",
120   US"lookup",
121   US"map",
122   US"nhash",
123   US"perl",
124   US"prvs",
125   US"prvscheck",
126   US"readfile",
127   US"readsocket",
128   US"reduce",
129   US"run",
130   US"sg",
131   US"sort",
132   US"substr",
133   US"tr" };
134
135 enum {
136   EITEM_ACL,
137   EITEM_AUTHRESULTS,
138   EITEM_CERTEXTRACT,
139   EITEM_DLFUNC,
140   EITEM_ENV,
141   EITEM_EXTRACT,
142   EITEM_FILTER,
143   EITEM_HASH,
144   EITEM_HMAC,
145   EITEM_IF,
146 #ifdef SUPPORT_I18N
147   EITEM_IMAPFOLDER,
148 #endif
149   EITEM_LENGTH,
150   EITEM_LISTEXTRACT,
151   EITEM_LOOKUP,
152   EITEM_MAP,
153   EITEM_NHASH,
154   EITEM_PERL,
155   EITEM_PRVS,
156   EITEM_PRVSCHECK,
157   EITEM_READFILE,
158   EITEM_READSOCK,
159   EITEM_REDUCE,
160   EITEM_RUN,
161   EITEM_SG,
162   EITEM_SORT,
163   EITEM_SUBSTR,
164   EITEM_TR };
165
166 /* Tables of operator names, and corresponding switch numbers. The names must be
167 in alphabetical order. There are two tables, because underscore is used in some
168 cases to introduce arguments, whereas for other it is part of the name. This is
169 an historical mis-design. */
170
171 static uschar *op_table_underscore[] = {
172   US"from_utf8",
173   US"local_part",
174   US"quote_local_part",
175   US"reverse_ip",
176   US"time_eval",
177   US"time_interval"
178 #ifdef SUPPORT_I18N
179  ,US"utf8_domain_from_alabel",
180   US"utf8_domain_to_alabel",
181   US"utf8_localpart_from_alabel",
182   US"utf8_localpart_to_alabel"
183 #endif
184   };
185
186 enum {
187   EOP_FROM_UTF8,
188   EOP_LOCAL_PART,
189   EOP_QUOTE_LOCAL_PART,
190   EOP_REVERSE_IP,
191   EOP_TIME_EVAL,
192   EOP_TIME_INTERVAL
193 #ifdef SUPPORT_I18N
194  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
195   EOP_UTF8_DOMAIN_TO_ALABEL,
196   EOP_UTF8_LOCALPART_FROM_ALABEL,
197   EOP_UTF8_LOCALPART_TO_ALABEL
198 #endif
199   };
200
201 static uschar *op_table_main[] = {
202   US"address",
203   US"addresses",
204   US"base32",
205   US"base32d",
206   US"base62",
207   US"base62d",
208   US"base64",
209   US"base64d",
210   US"domain",
211   US"escape",
212   US"escape8bit",
213   US"eval",
214   US"eval10",
215   US"expand",
216   US"h",
217   US"hash",
218   US"hex2b64",
219   US"hexquote",
220   US"ipv6denorm",
221   US"ipv6norm",
222   US"l",
223   US"lc",
224   US"length",
225   US"listcount",
226   US"listnamed",
227   US"mask",
228   US"md5",
229   US"nh",
230   US"nhash",
231   US"quote",
232   US"randint",
233   US"rfc2047",
234   US"rfc2047d",
235   US"rxquote",
236   US"s",
237   US"sha1",
238   US"sha2",
239   US"sha256",
240   US"sha3",
241   US"stat",
242   US"str2b64",
243   US"strlen",
244   US"substr",
245   US"uc",
246   US"utf8clean" };
247
248 enum {
249   EOP_ADDRESS =  nelem(op_table_underscore),
250   EOP_ADDRESSES,
251   EOP_BASE32,
252   EOP_BASE32D,
253   EOP_BASE62,
254   EOP_BASE62D,
255   EOP_BASE64,
256   EOP_BASE64D,
257   EOP_DOMAIN,
258   EOP_ESCAPE,
259   EOP_ESCAPE8BIT,
260   EOP_EVAL,
261   EOP_EVAL10,
262   EOP_EXPAND,
263   EOP_H,
264   EOP_HASH,
265   EOP_HEX2B64,
266   EOP_HEXQUOTE,
267   EOP_IPV6DENORM,
268   EOP_IPV6NORM,
269   EOP_L,
270   EOP_LC,
271   EOP_LENGTH,
272   EOP_LISTCOUNT,
273   EOP_LISTNAMED,
274   EOP_MASK,
275   EOP_MD5,
276   EOP_NH,
277   EOP_NHASH,
278   EOP_QUOTE,
279   EOP_RANDINT,
280   EOP_RFC2047,
281   EOP_RFC2047D,
282   EOP_RXQUOTE,
283   EOP_S,
284   EOP_SHA1,
285   EOP_SHA2,
286   EOP_SHA256,
287   EOP_SHA3,
288   EOP_STAT,
289   EOP_STR2B64,
290   EOP_STRLEN,
291   EOP_SUBSTR,
292   EOP_UC,
293   EOP_UTF8CLEAN };
294
295
296 /* Table of condition names, and corresponding switch numbers. The names must
297 be in alphabetical order. */
298
299 static uschar *cond_table[] = {
300   US"<",
301   US"<=",
302   US"=",
303   US"==",     /* Backward compatibility */
304   US">",
305   US">=",
306   US"acl",
307   US"and",
308   US"bool",
309   US"bool_lax",
310   US"crypteq",
311   US"def",
312   US"eq",
313   US"eqi",
314   US"exists",
315   US"first_delivery",
316   US"forall",
317   US"forall_json",
318   US"forall_jsons",
319   US"forany",
320   US"forany_json",
321   US"forany_jsons",
322   US"ge",
323   US"gei",
324   US"gt",
325   US"gti",
326   US"inlist",
327   US"inlisti",
328   US"isip",
329   US"isip4",
330   US"isip6",
331   US"ldapauth",
332   US"le",
333   US"lei",
334   US"lt",
335   US"lti",
336   US"match",
337   US"match_address",
338   US"match_domain",
339   US"match_ip",
340   US"match_local_part",
341   US"or",
342   US"pam",
343   US"pwcheck",
344   US"queue_running",
345   US"radius",
346   US"saslauthd"
347 };
348
349 enum {
350   ECOND_NUM_L,
351   ECOND_NUM_LE,
352   ECOND_NUM_E,
353   ECOND_NUM_EE,
354   ECOND_NUM_G,
355   ECOND_NUM_GE,
356   ECOND_ACL,
357   ECOND_AND,
358   ECOND_BOOL,
359   ECOND_BOOL_LAX,
360   ECOND_CRYPTEQ,
361   ECOND_DEF,
362   ECOND_STR_EQ,
363   ECOND_STR_EQI,
364   ECOND_EXISTS,
365   ECOND_FIRST_DELIVERY,
366   ECOND_FORALL,
367   ECOND_FORALL_JSON,
368   ECOND_FORALL_JSONS,
369   ECOND_FORANY,
370   ECOND_FORANY_JSON,
371   ECOND_FORANY_JSONS,
372   ECOND_STR_GE,
373   ECOND_STR_GEI,
374   ECOND_STR_GT,
375   ECOND_STR_GTI,
376   ECOND_INLIST,
377   ECOND_INLISTI,
378   ECOND_ISIP,
379   ECOND_ISIP4,
380   ECOND_ISIP6,
381   ECOND_LDAPAUTH,
382   ECOND_STR_LE,
383   ECOND_STR_LEI,
384   ECOND_STR_LT,
385   ECOND_STR_LTI,
386   ECOND_MATCH,
387   ECOND_MATCH_ADDRESS,
388   ECOND_MATCH_DOMAIN,
389   ECOND_MATCH_IP,
390   ECOND_MATCH_LOCAL_PART,
391   ECOND_OR,
392   ECOND_PAM,
393   ECOND_PWCHECK,
394   ECOND_QUEUE_RUNNING,
395   ECOND_RADIUS,
396   ECOND_SASLAUTHD
397 };
398
399
400 /* Types of table entry */
401
402 enum vtypes {
403   vtype_int,            /* value is address of int */
404   vtype_filter_int,     /* ditto, but recognized only when filtering */
405   vtype_ino,            /* value is address of ino_t (not always an int) */
406   vtype_uid,            /* value is address of uid_t (not always an int) */
407   vtype_gid,            /* value is address of gid_t (not always an int) */
408   vtype_bool,           /* value is address of bool */
409   vtype_stringptr,      /* value is address of pointer to string */
410   vtype_msgbody,        /* as stringptr, but read when first required */
411   vtype_msgbody_end,    /* ditto, the end of the message */
412   vtype_msgheaders,     /* the message's headers, processed */
413   vtype_msgheaders_raw, /* the message's headers, unprocessed */
414   vtype_localpart,      /* extract local part from string */
415   vtype_domain,         /* extract domain from string */
416   vtype_string_func,    /* value is string returned by given function */
417   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
418   vtype_tode,           /* value not used; generate tod in epoch format */
419   vtype_todel,          /* value not used; generate tod in epoch/usec format */
420   vtype_todf,           /* value not used; generate full tod */
421   vtype_todl,           /* value not used; generate log tod */
422   vtype_todlf,          /* value not used; generate log file datestamp tod */
423   vtype_todzone,        /* value not used; generate time zone only */
424   vtype_todzulu,        /* value not used; generate zulu tod */
425   vtype_reply,          /* value not used; get reply from headers */
426   vtype_pid,            /* value not used; result is pid */
427   vtype_host_lookup,    /* value not used; get host name */
428   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
429   vtype_pspace,         /* partition space; value is T/F for spool/log */
430   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
431   vtype_cert            /* SSL certificate */
432   #ifndef DISABLE_DKIM
433   ,vtype_dkim           /* Lookup of value in DKIM signature */
434   #endif
435 };
436
437 /* Type for main variable table */
438
439 typedef struct {
440   const char *name;
441   enum vtypes type;
442   void       *value;
443 } var_entry;
444
445 /* Type for entries pointing to address/length pairs. Not currently
446 in use. */
447
448 typedef struct {
449   uschar **address;
450   int  *length;
451 } alblock;
452
453 static uschar * fn_recipients(void);
454 typedef uschar * stringptr_fn_t(void);
455
456 /* This table must be kept in alphabetical order. */
457
458 static var_entry var_table[] = {
459   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
460      they will be confused with user-creatable ACL variables. */
461   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
462   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
463   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
464   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
465   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
466   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
467   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
468   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
469   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
470   { "acl_narg",            vtype_int,         &acl_narg },
471   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
472   { "address_data",        vtype_stringptr,   &deliver_address_data },
473   { "address_file",        vtype_stringptr,   &address_file },
474   { "address_pipe",        vtype_stringptr,   &address_pipe },
475 #ifdef EXPERIMENTAL_ARC
476   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
477   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
478   { "arc_state",           vtype_stringptr,   &arc_state },
479   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
480 #endif
481   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
482   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
483   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
484   { "authentication_failed",vtype_int,        &authentication_failed },
485 #ifdef WITH_CONTENT_SCAN
486   { "av_failed",           vtype_int,         &av_failed },
487 #endif
488 #ifdef EXPERIMENTAL_BRIGHTMAIL
489   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
490   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
491   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
492   { "bmi_deliver",         vtype_int,         &bmi_deliver },
493 #endif
494   { "body_linecount",      vtype_int,         &body_linecount },
495   { "body_zerocount",      vtype_int,         &body_zerocount },
496   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
497   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
498   { "caller_gid",          vtype_gid,         &real_gid },
499   { "caller_uid",          vtype_uid,         &real_uid },
500   { "callout_address",     vtype_stringptr,   &callout_address },
501   { "compile_date",        vtype_stringptr,   &version_date },
502   { "compile_number",      vtype_stringptr,   &version_cnumber },
503   { "config_dir",          vtype_stringptr,   &config_main_directory },
504   { "config_file",         vtype_stringptr,   &config_main_filename },
505   { "csa_status",          vtype_stringptr,   &csa_status },
506 #ifdef EXPERIMENTAL_DCC
507   { "dcc_header",          vtype_stringptr,   &dcc_header },
508   { "dcc_result",          vtype_stringptr,   &dcc_result },
509 #endif
510 #ifndef DISABLE_DKIM
511   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
512   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
513   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
514   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
515   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
516   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
517   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
518   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
519   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
520   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
521   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
522   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
523   { "dkim_key_length",     vtype_int,         &dkim_key_length },
524   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
525   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
526   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
527   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
528   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
529   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
530   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
531   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
532 #endif
533 #ifdef EXPERIMENTAL_DMARC
534   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
535   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
536   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
537   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
538 #endif
539   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
540   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
541   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
542   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
543   { "domain",              vtype_stringptr,   &deliver_domain },
544   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
545 #ifndef DISABLE_EVENT
546   { "event_data",          vtype_stringptr,   &event_data },
547
548   /*XXX want to use generic vars for as many of these as possible*/
549   { "event_defer_errno",   vtype_int,         &event_defer_errno },
550
551   { "event_name",          vtype_stringptr,   &event_name },
552 #endif
553   { "exim_gid",            vtype_gid,         &exim_gid },
554   { "exim_path",           vtype_stringptr,   &exim_path },
555   { "exim_uid",            vtype_uid,         &exim_uid },
556   { "exim_version",        vtype_stringptr,   &version_string },
557   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
558   { "home",                vtype_stringptr,   &deliver_home },
559   { "host",                vtype_stringptr,   &deliver_host },
560   { "host_address",        vtype_stringptr,   &deliver_host_address },
561   { "host_data",           vtype_stringptr,   &host_data },
562   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
563   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
564   { "host_port",           vtype_int,         &deliver_host_port },
565   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
566   { "inode",               vtype_ino,         &deliver_inode },
567   { "interface_address",   vtype_stringptr,   &interface_address },
568   { "interface_port",      vtype_int,         &interface_port },
569   { "item",                vtype_stringptr,   &iterate_item },
570   #ifdef LOOKUP_LDAP
571   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
572   #endif
573   { "load_average",        vtype_load_avg,    NULL },
574   { "local_part",          vtype_stringptr,   &deliver_localpart },
575   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
576   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
577   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
578 #ifdef HAVE_LOCAL_SCAN
579   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
580 #endif
581   { "local_user_gid",      vtype_gid,         &local_user_gid },
582   { "local_user_uid",      vtype_uid,         &local_user_uid },
583   { "localhost_number",    vtype_int,         &host_number },
584   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
585   { "log_space",           vtype_pspace,      (void *)FALSE },
586   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
587   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
588 #ifdef WITH_CONTENT_SCAN
589   { "malware_name",        vtype_stringptr,   &malware_name },
590 #endif
591   { "max_received_linelength", vtype_int,     &max_received_linelength },
592   { "message_age",         vtype_int,         &message_age },
593   { "message_body",        vtype_msgbody,     &message_body },
594   { "message_body_end",    vtype_msgbody_end, &message_body_end },
595   { "message_body_size",   vtype_int,         &message_body_size },
596   { "message_exim_id",     vtype_stringptr,   &message_id },
597   { "message_headers",     vtype_msgheaders,  NULL },
598   { "message_headers_raw", vtype_msgheaders_raw, NULL },
599   { "message_id",          vtype_stringptr,   &message_id },
600   { "message_linecount",   vtype_int,         &message_linecount },
601   { "message_size",        vtype_int,         &message_size },
602 #ifdef SUPPORT_I18N
603   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
604 #endif
605 #ifdef WITH_CONTENT_SCAN
606   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
607   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
608   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
609   { "mime_charset",        vtype_stringptr,   &mime_charset },
610   { "mime_content_description", vtype_stringptr, &mime_content_description },
611   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
612   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
613   { "mime_content_size",   vtype_int,         &mime_content_size },
614   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
615   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
616   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
617   { "mime_filename",       vtype_stringptr,   &mime_filename },
618   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
619   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
620   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
621   { "mime_part_count",     vtype_int,         &mime_part_count },
622 #endif
623   { "n0",                  vtype_filter_int,  &filter_n[0] },
624   { "n1",                  vtype_filter_int,  &filter_n[1] },
625   { "n2",                  vtype_filter_int,  &filter_n[2] },
626   { "n3",                  vtype_filter_int,  &filter_n[3] },
627   { "n4",                  vtype_filter_int,  &filter_n[4] },
628   { "n5",                  vtype_filter_int,  &filter_n[5] },
629   { "n6",                  vtype_filter_int,  &filter_n[6] },
630   { "n7",                  vtype_filter_int,  &filter_n[7] },
631   { "n8",                  vtype_filter_int,  &filter_n[8] },
632   { "n9",                  vtype_filter_int,  &filter_n[9] },
633   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
634   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
635   { "originator_gid",      vtype_gid,         &originator_gid },
636   { "originator_uid",      vtype_uid,         &originator_uid },
637   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
638   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
639   { "pid",                 vtype_pid,         NULL },
640 #ifndef DISABLE_PRDR
641   { "prdr_requested",      vtype_bool,        &prdr_requested },
642 #endif
643   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
644 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
645   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
646   { "proxy_external_port", vtype_int,         &proxy_external_port },
647   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
648   { "proxy_local_port",    vtype_int,         &proxy_local_port },
649   { "proxy_session",       vtype_bool,        &proxy_session },
650 #endif
651   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
652   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
653   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
654   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
655   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
656   { "queue_name",          vtype_stringptr,   &queue_name },
657   { "rcpt_count",          vtype_int,         &rcpt_count },
658   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
659   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
660   { "received_count",      vtype_int,         &received_count },
661   { "received_for",        vtype_stringptr,   &received_for },
662   { "received_ip_address", vtype_stringptr,   &interface_address },
663   { "received_port",       vtype_int,         &interface_port },
664   { "received_protocol",   vtype_stringptr,   &received_protocol },
665   { "received_time",       vtype_int,         &received_time.tv_sec },
666   { "recipient_data",      vtype_stringptr,   &recipient_data },
667   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
668   { "recipients",          vtype_string_func, (void *) &fn_recipients },
669   { "recipients_count",    vtype_int,         &recipients_count },
670 #ifdef WITH_CONTENT_SCAN
671   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
672 #endif
673   { "reply_address",       vtype_reply,       NULL },
674   { "return_path",         vtype_stringptr,   &return_path },
675   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
676   { "router_name",         vtype_stringptr,   &router_name },
677   { "runrc",               vtype_int,         &runrc },
678   { "self_hostname",       vtype_stringptr,   &self_hostname },
679   { "sender_address",      vtype_stringptr,   &sender_address },
680   { "sender_address_data", vtype_stringptr,   &sender_address_data },
681   { "sender_address_domain", vtype_domain,    &sender_address },
682   { "sender_address_local_part", vtype_localpart, &sender_address },
683   { "sender_data",         vtype_stringptr,   &sender_data },
684   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
685   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
686   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
687   { "sender_host_address", vtype_stringptr,   &sender_host_address },
688   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
689   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
690   { "sender_host_name",    vtype_host_lookup, NULL },
691   { "sender_host_port",    vtype_int,         &sender_host_port },
692   { "sender_ident",        vtype_stringptr,   &sender_ident },
693   { "sender_rate",         vtype_stringptr,   &sender_rate },
694   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
695   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
696   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
697   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
698   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
699   { "sending_port",        vtype_int,         &sending_port },
700   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
701   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
702   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
703   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
704   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
705   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
706   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
707   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
708   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
709   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
710   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
711   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
712   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
713   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
714   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
715   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
716 #ifdef WITH_CONTENT_SCAN
717   { "spam_action",         vtype_stringptr,   &spam_action },
718   { "spam_bar",            vtype_stringptr,   &spam_bar },
719   { "spam_report",         vtype_stringptr,   &spam_report },
720   { "spam_score",          vtype_stringptr,   &spam_score },
721   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
722 #endif
723 #ifdef SUPPORT_SPF
724   { "spf_guess",           vtype_stringptr,   &spf_guess },
725   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
726   { "spf_received",        vtype_stringptr,   &spf_received },
727   { "spf_result",          vtype_stringptr,   &spf_result },
728   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
729   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
730 #endif
731   { "spool_directory",     vtype_stringptr,   &spool_directory },
732   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
733   { "spool_space",         vtype_pspace,      (void *)TRUE },
734 #ifdef EXPERIMENTAL_SRS
735   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
736   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
737   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
738   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
739   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
740   { "srs_status",          vtype_stringptr,   &srs_status },
741 #endif
742   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
743
744   /* The non-(in,out) variables are now deprecated */
745   { "tls_bits",            vtype_int,         &tls_in.bits },
746   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
747   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
748
749   { "tls_in_bits",         vtype_int,         &tls_in.bits },
750   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
751   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
752   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
753   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
754   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
755   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
756   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
757 #ifdef EXPERIMENTAL_TLS_RESUME
758   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
759 #endif
760 #ifndef DISABLE_TLS
761   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
762 #endif
763   { "tls_out_bits",        vtype_int,         &tls_out.bits },
764   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
765   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
766   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
767 #ifdef SUPPORT_DANE
768   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
769 #endif
770   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
771   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
772   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
773   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
774 #ifdef EXPERIMENTAL_TLS_RESUME
775   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
776 #endif
777 #ifndef DISABLE_TLS
778   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
779 #endif
780 #ifdef SUPPORT_DANE
781   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
782 #endif
783
784   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
785 #ifndef DISABLE_TLS
786   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
787 #endif
788
789   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
790   { "tod_epoch",           vtype_tode,        NULL },
791   { "tod_epoch_l",         vtype_todel,       NULL },
792   { "tod_full",            vtype_todf,        NULL },
793   { "tod_log",             vtype_todl,        NULL },
794   { "tod_logfile",         vtype_todlf,       NULL },
795   { "tod_zone",            vtype_todzone,     NULL },
796   { "tod_zulu",            vtype_todzulu,     NULL },
797   { "transport_name",      vtype_stringptr,   &transport_name },
798   { "value",               vtype_stringptr,   &lookup_value },
799   { "verify_mode",         vtype_stringptr,   &verify_mode },
800   { "version_number",      vtype_stringptr,   &version_string },
801   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
802   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
803   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
804   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
805   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
806   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
807 };
808
809 static int var_table_size = nelem(var_table);
810 static uschar var_buffer[256];
811 static BOOL malformed_header;
812
813 /* For textual hashes */
814
815 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
816                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
817                                "0123456789";
818
819 enum { HMAC_MD5, HMAC_SHA1 };
820
821 /* For numeric hashes */
822
823 static unsigned int prime[] = {
824   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
825  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
826  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
827
828 /* For printing modes in symbolic form */
829
830 static uschar *mtable_normal[] =
831   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
832
833 static uschar *mtable_setid[] =
834   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
835
836 static uschar *mtable_sticky[] =
837   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
838
839 /* flags for find_header() */
840 #define FH_EXISTS_ONLY  BIT(0)
841 #define FH_WANT_RAW     BIT(1)
842 #define FH_WANT_LIST    BIT(2)
843
844
845 /*************************************************
846 *           Tables for UTF-8 support             *
847 *************************************************/
848
849 /* Table of the number of extra characters, indexed by the first character
850 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
851 0x3d. */
852
853 static uschar utf8_table1[] = {
854   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
855   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
856   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
857   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
858
859 /* These are the masks for the data bits in the first byte of a character,
860 indexed by the number of additional bytes. */
861
862 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
863
864 /* Get the next UTF-8 character, advancing the pointer. */
865
866 #define GETUTF8INC(c, ptr) \
867   c = *ptr++; \
868   if ((c & 0xc0) == 0xc0) \
869     { \
870     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
871     int s = 6*a; \
872     c = (c & utf8_table2[a]) << s; \
873     while (a-- > 0) \
874       { \
875       s -= 6; \
876       c |= (*ptr++ & 0x3f) << s; \
877       } \
878     }
879
880
881
882 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
883
884 /*************************************************
885 *           Binary chop search on a table        *
886 *************************************************/
887
888 /* This is used for matching expansion items and operators.
889
890 Arguments:
891   name        the name that is being sought
892   table       the table to search
893   table_size  the number of items in the table
894
895 Returns:      the offset in the table, or -1
896 */
897
898 static int
899 chop_match(uschar *name, uschar **table, int table_size)
900 {
901 uschar **bot = table;
902 uschar **top = table + table_size;
903
904 while (top > bot)
905   {
906   uschar **mid = bot + (top - bot)/2;
907   int c = Ustrcmp(name, *mid);
908   if (c == 0) return mid - table;
909   if (c > 0) bot = mid + 1; else top = mid;
910   }
911
912 return -1;
913 }
914
915
916
917 /*************************************************
918 *          Check a condition string              *
919 *************************************************/
920
921 /* This function is called to expand a string, and test the result for a "true"
922 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
923 forced fail or lookup defer.
924
925 We used to release all store used, but this is not not safe due
926 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
927 is reasonably careful to release what it can.
928
929 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
930
931 Arguments:
932   condition     the condition string
933   m1            text to be incorporated in panic error
934   m2            ditto
935
936 Returns:        TRUE if condition is met, FALSE if not
937 */
938
939 BOOL
940 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
941 {
942 int rc;
943 uschar *ss = expand_string(condition);
944 if (ss == NULL)
945   {
946   if (!f.expand_string_forcedfail && !f.search_find_defer)
947     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
948       "for %s %s: %s", condition, m1, m2, expand_string_message);
949   return FALSE;
950   }
951 rc = ss[0] != 0 && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
952   strcmpic(ss, US"false") != 0;
953 return rc;
954 }
955
956
957
958
959 /*************************************************
960 *        Pseudo-random number generation         *
961 *************************************************/
962
963 /* Pseudo-random number generation.  The result is not "expected" to be
964 cryptographically strong but not so weak that someone will shoot themselves
965 in the foot using it as a nonce in some email header scheme or whatever
966 weirdness they'll twist this into.  The result should ideally handle fork().
967
968 However, if we're stuck unable to provide this, then we'll fall back to
969 appallingly bad randomness.
970
971 If DISABLE_TLS is not defined then this will not be used except as an emergency
972 fallback.
973
974 Arguments:
975   max       range maximum
976 Returns     a random number in range [0, max-1]
977 */
978
979 #ifndef DISABLE_TLS
980 # define vaguely_random_number vaguely_random_number_fallback
981 #endif
982 int
983 vaguely_random_number(int max)
984 {
985 #ifndef DISABLE_TLS
986 # undef vaguely_random_number
987 #endif
988 static pid_t pid = 0;
989 pid_t p2;
990
991 if ((p2 = getpid()) != pid)
992   {
993   if (pid != 0)
994     {
995
996 #ifdef HAVE_ARC4RANDOM
997     /* cryptographically strong randomness, common on *BSD platforms, not
998     so much elsewhere.  Alas. */
999 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1000     arc4random_stir();
1001 # endif
1002 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1003 # ifdef HAVE_SRANDOMDEV
1004     /* uses random(4) for seeding */
1005     srandomdev();
1006 # else
1007     {
1008     struct timeval tv;
1009     gettimeofday(&tv, NULL);
1010     srandom(tv.tv_sec | tv.tv_usec | getpid());
1011     }
1012 # endif
1013 #else
1014     /* Poor randomness and no seeding here */
1015 #endif
1016
1017     }
1018   pid = p2;
1019   }
1020
1021 #ifdef HAVE_ARC4RANDOM
1022 return arc4random() % max;
1023 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1024 return random() % max;
1025 #else
1026 /* This one returns a 16-bit number, definitely not crypto-strong */
1027 return random_number(max);
1028 #endif
1029 }
1030
1031
1032
1033
1034 /*************************************************
1035 *             Pick out a name from a string      *
1036 *************************************************/
1037
1038 /* If the name is too long, it is silently truncated.
1039
1040 Arguments:
1041   name      points to a buffer into which to put the name
1042   max       is the length of the buffer
1043   s         points to the first alphabetic character of the name
1044   extras    chars other than alphanumerics to permit
1045
1046 Returns:    pointer to the first character after the name
1047
1048 Note: The test for *s != 0 in the while loop is necessary because
1049 Ustrchr() yields non-NULL if the character is zero (which is not something
1050 I expected). */
1051
1052 static const uschar *
1053 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1054 {
1055 int ptr = 0;
1056 while (*s != 0 && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1057   {
1058   if (ptr < max-1) name[ptr++] = *s;
1059   s++;
1060   }
1061 name[ptr] = 0;
1062 return s;
1063 }
1064
1065
1066
1067 /*************************************************
1068 *     Pick out the rest of a header name         *
1069 *************************************************/
1070
1071 /* A variable name starting $header_ (or just $h_ for those who like
1072 abbreviations) might not be the complete header name because headers can
1073 contain any printing characters in their names, except ':'. This function is
1074 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1075 on the end, if the name was terminated by white space.
1076
1077 Arguments:
1078   name      points to a buffer in which the name read so far exists
1079   max       is the length of the buffer
1080   s         points to the first character after the name so far, i.e. the
1081             first non-alphameric character after $header_xxxxx
1082
1083 Returns:    a pointer to the first character after the header name
1084 */
1085
1086 static const uschar *
1087 read_header_name(uschar *name, int max, const uschar *s)
1088 {
1089 int prelen = Ustrchr(name, '_') - name + 1;
1090 int ptr = Ustrlen(name) - prelen;
1091 if (ptr > 0) memmove(name, name+prelen, ptr);
1092 while (mac_isgraph(*s) && *s != ':')
1093   {
1094   if (ptr < max-1) name[ptr++] = *s;
1095   s++;
1096   }
1097 if (*s == ':') s++;
1098 name[ptr++] = ':';
1099 name[ptr] = 0;
1100 return s;
1101 }
1102
1103
1104
1105 /*************************************************
1106 *           Pick out a number from a string      *
1107 *************************************************/
1108
1109 /* Arguments:
1110   n     points to an integer into which to put the number
1111   s     points to the first digit of the number
1112
1113 Returns:  a pointer to the character after the last digit
1114 */
1115 /*XXX consider expanding to int_eximarith_t.  But the test for
1116 "overbig numbers" in 0002 still needs to overflow it. */
1117
1118 static uschar *
1119 read_number(int *n, uschar *s)
1120 {
1121 *n = 0;
1122 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1123 return s;
1124 }
1125
1126 static const uschar *
1127 read_cnumber(int *n, const uschar *s)
1128 {
1129 *n = 0;
1130 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1131 return s;
1132 }
1133
1134
1135
1136 /*************************************************
1137 *        Extract keyed subfield from a string    *
1138 *************************************************/
1139
1140 /* The yield is in dynamic store; NULL means that the key was not found.
1141
1142 Arguments:
1143   key       points to the name of the key
1144   s         points to the string from which to extract the subfield
1145
1146 Returns:    NULL if the subfield was not found, or
1147             a pointer to the subfield's data
1148 */
1149
1150 static uschar *
1151 expand_getkeyed(uschar * key, const uschar * s)
1152 {
1153 int length = Ustrlen(key);
1154 while (isspace(*s)) s++;
1155
1156 /* Loop to search for the key */
1157
1158 while (*s)
1159   {
1160   int dkeylength;
1161   uschar * data;
1162   const uschar * dkey = s;
1163
1164   while (*s && *s != '=' && !isspace(*s)) s++;
1165   dkeylength = s - dkey;
1166   while (isspace(*s)) s++;
1167   if (*s == '=') while (isspace((*(++s))));
1168
1169   data = string_dequote(&s);
1170   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1171     return data;
1172
1173   while (isspace(*s)) s++;
1174   }
1175
1176 return NULL;
1177 }
1178
1179
1180
1181 static var_entry *
1182 find_var_ent(uschar * name)
1183 {
1184 int first = 0;
1185 int last = var_table_size;
1186
1187 while (last > first)
1188   {
1189   int middle = (first + last)/2;
1190   int c = Ustrcmp(name, var_table[middle].name);
1191
1192   if (c > 0) { first = middle + 1; continue; }
1193   if (c < 0) { last = middle; continue; }
1194   return &var_table[middle];
1195   }
1196 return NULL;
1197 }
1198
1199 /*************************************************
1200 *   Extract numbered subfield from string        *
1201 *************************************************/
1202
1203 /* Extracts a numbered field from a string that is divided by tokens - for
1204 example a line from /etc/passwd is divided by colon characters.  First field is
1205 numbered one.  Negative arguments count from the right. Zero returns the whole
1206 string. Returns NULL if there are insufficient tokens in the string
1207
1208 ***WARNING***
1209 Modifies final argument - this is a dynamically generated string, so that's OK.
1210
1211 Arguments:
1212   field       number of field to be extracted,
1213                 first field = 1, whole string = 0, last field = -1
1214   separators  characters that are used to break string into tokens
1215   s           points to the string from which to extract the subfield
1216
1217 Returns:      NULL if the field was not found,
1218               a pointer to the field's data inside s (modified to add 0)
1219 */
1220
1221 static uschar *
1222 expand_gettokened (int field, uschar *separators, uschar *s)
1223 {
1224 int sep = 1;
1225 int count;
1226 uschar *ss = s;
1227 uschar *fieldtext = NULL;
1228
1229 if (field == 0) return s;
1230
1231 /* Break the line up into fields in place; for field > 0 we stop when we have
1232 done the number of fields we want. For field < 0 we continue till the end of
1233 the string, counting the number of fields. */
1234
1235 count = (field > 0)? field : INT_MAX;
1236
1237 while (count-- > 0)
1238   {
1239   size_t len;
1240
1241   /* Previous field was the last one in the string. For a positive field
1242   number, this means there are not enough fields. For a negative field number,
1243   check that there are enough, and scan back to find the one that is wanted. */
1244
1245   if (sep == 0)
1246     {
1247     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1248     if ((-field) == (INT_MAX - count - 1)) return s;
1249     while (field++ < 0)
1250       {
1251       ss--;
1252       while (ss[-1] != 0) ss--;
1253       }
1254     fieldtext = ss;
1255     break;
1256     }
1257
1258   /* Previous field was not last in the string; save its start and put a
1259   zero at its end. */
1260
1261   fieldtext = ss;
1262   len = Ustrcspn(ss, separators);
1263   sep = ss[len];
1264   ss[len] = 0;
1265   ss += len + 1;
1266   }
1267
1268 return fieldtext;
1269 }
1270
1271
1272 static uschar *
1273 expand_getlistele(int field, const uschar * list)
1274 {
1275 const uschar * tlist = list;
1276 int sep = 0;
1277 uschar dummy;
1278
1279 if (field < 0)
1280   {
1281   for (field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1282   sep = 0;
1283   }
1284 if (field == 0) return NULL;
1285 while (--field > 0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1286 return string_nextinlist(&list, &sep, NULL, 0);
1287 }
1288
1289
1290 /* Certificate fields, by name.  Worry about by-OID later */
1291 /* Names are chosen to not have common prefixes */
1292
1293 #ifndef DISABLE_TLS
1294 typedef struct
1295 {
1296 uschar * name;
1297 int      namelen;
1298 uschar * (*getfn)(void * cert, uschar * mod);
1299 } certfield;
1300 static certfield certfields[] =
1301 {                       /* linear search; no special order */
1302   { US"version",         7,  &tls_cert_version },
1303   { US"serial_number",   13, &tls_cert_serial_number },
1304   { US"subject",         7,  &tls_cert_subject },
1305   { US"notbefore",       9,  &tls_cert_not_before },
1306   { US"notafter",        8,  &tls_cert_not_after },
1307   { US"issuer",          6,  &tls_cert_issuer },
1308   { US"signature",       9,  &tls_cert_signature },
1309   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1310   { US"subj_altname",    12, &tls_cert_subject_altname },
1311   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1312   { US"crl_uri",         7,  &tls_cert_crl_uri },
1313 };
1314
1315 static uschar *
1316 expand_getcertele(uschar * field, uschar * certvar)
1317 {
1318 var_entry * vp;
1319
1320 if (!(vp = find_var_ent(certvar)))
1321   {
1322   expand_string_message =
1323     string_sprintf("no variable named \"%s\"", certvar);
1324   return NULL;          /* Unknown variable name */
1325   }
1326 /* NB this stops us passing certs around in variable.  Might
1327 want to do that in future */
1328 if (vp->type != vtype_cert)
1329   {
1330   expand_string_message =
1331     string_sprintf("\"%s\" is not a certificate", certvar);
1332   return NULL;          /* Unknown variable name */
1333   }
1334 if (!*(void **)vp->value)
1335   return NULL;
1336
1337 if (*field >= '0' && *field <= '9')
1338   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1339
1340 for (certfield * cp = certfields;
1341      cp < certfields + nelem(certfields);
1342      cp++)
1343   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1344     {
1345     uschar * modifier = *(field += cp->namelen) == ','
1346       ? ++field : NULL;
1347     return (*cp->getfn)( *(void **)vp->value, modifier );
1348     }
1349
1350 expand_string_message =
1351   string_sprintf("bad field selector \"%s\" for certextract", field);
1352 return NULL;
1353 }
1354 #endif  /*DISABLE_TLS*/
1355
1356 /*************************************************
1357 *        Extract a substring from a string       *
1358 *************************************************/
1359
1360 /* Perform the ${substr or ${length expansion operations.
1361
1362 Arguments:
1363   subject     the input string
1364   value1      the offset from the start of the input string to the start of
1365                 the output string; if negative, count from the right.
1366   value2      the length of the output string, or negative (-1) for unset
1367                 if value1 is positive, unset means "all after"
1368                 if value1 is negative, unset means "all before"
1369   len         set to the length of the returned string
1370
1371 Returns:      pointer to the output string, or NULL if there is an error
1372 */
1373
1374 static uschar *
1375 extract_substr(uschar *subject, int value1, int value2, int *len)
1376 {
1377 int sublen = Ustrlen(subject);
1378
1379 if (value1 < 0)    /* count from right */
1380   {
1381   value1 += sublen;
1382
1383   /* If the position is before the start, skip to the start, and adjust the
1384   length. If the length ends up negative, the substring is null because nothing
1385   can precede. This falls out naturally when the length is unset, meaning "all
1386   to the left". */
1387
1388   if (value1 < 0)
1389     {
1390     value2 += value1;
1391     if (value2 < 0) value2 = 0;
1392     value1 = 0;
1393     }
1394
1395   /* Otherwise an unset length => characters before value1 */
1396
1397   else if (value2 < 0)
1398     {
1399     value2 = value1;
1400     value1 = 0;
1401     }
1402   }
1403
1404 /* For a non-negative offset, if the starting position is past the end of the
1405 string, the result will be the null string. Otherwise, an unset length means
1406 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1407
1408 else
1409   {
1410   if (value1 > sublen)
1411     {
1412     value1 = sublen;
1413     value2 = 0;
1414     }
1415   else if (value2 < 0) value2 = sublen;
1416   }
1417
1418 /* Cut the length down to the maximum possible for the offset value, and get
1419 the required characters. */
1420
1421 if (value1 + value2 > sublen) value2 = sublen - value1;
1422 *len = value2;
1423 return subject + value1;
1424 }
1425
1426
1427
1428
1429 /*************************************************
1430 *            Old-style hash of a string          *
1431 *************************************************/
1432
1433 /* Perform the ${hash expansion operation.
1434
1435 Arguments:
1436   subject     the input string (an expanded substring)
1437   value1      the length of the output string; if greater or equal to the
1438                 length of the input string, the input string is returned
1439   value2      the number of hash characters to use, or 26 if negative
1440   len         set to the length of the returned string
1441
1442 Returns:      pointer to the output string, or NULL if there is an error
1443 */
1444
1445 static uschar *
1446 compute_hash(uschar *subject, int value1, int value2, int *len)
1447 {
1448 int sublen = Ustrlen(subject);
1449
1450 if (value2 < 0) value2 = 26;
1451 else if (value2 > Ustrlen(hashcodes))
1452   {
1453   expand_string_message =
1454     string_sprintf("hash count \"%d\" too big", value2);
1455   return NULL;
1456   }
1457
1458 /* Calculate the hash text. We know it is shorter than the original string, so
1459 can safely place it in subject[] (we know that subject is always itself an
1460 expanded substring). */
1461
1462 if (value1 < sublen)
1463   {
1464   int c;
1465   int i = 0;
1466   int j = value1;
1467   while ((c = (subject[j])) != 0)
1468     {
1469     int shift = (c + j++) & 7;
1470     subject[i] ^= (c << shift) | (c >> (8-shift));
1471     if (++i >= value1) i = 0;
1472     }
1473   for (i = 0; i < value1; i++)
1474     subject[i] = hashcodes[(subject[i]) % value2];
1475   }
1476 else value1 = sublen;
1477
1478 *len = value1;
1479 return subject;
1480 }
1481
1482
1483
1484
1485 /*************************************************
1486 *             Numeric hash of a string           *
1487 *************************************************/
1488
1489 /* Perform the ${nhash expansion operation. The first characters of the
1490 string are treated as most important, and get the highest prime numbers.
1491
1492 Arguments:
1493   subject     the input string
1494   value1      the maximum value of the first part of the result
1495   value2      the maximum value of the second part of the result,
1496                 or negative to produce only a one-part result
1497   len         set to the length of the returned string
1498
1499 Returns:  pointer to the output string, or NULL if there is an error.
1500 */
1501
1502 static uschar *
1503 compute_nhash (uschar *subject, int value1, int value2, int *len)
1504 {
1505 uschar *s = subject;
1506 int i = 0;
1507 unsigned long int total = 0; /* no overflow */
1508
1509 while (*s != 0)
1510   {
1511   if (i == 0) i = nelem(prime) - 1;
1512   total += prime[i--] * (unsigned int)(*s++);
1513   }
1514
1515 /* If value2 is unset, just compute one number */
1516
1517 if (value2 < 0)
1518   s = string_sprintf("%lu", total % value1);
1519
1520 /* Otherwise do a div/mod hash */
1521
1522 else
1523   {
1524   total = total % (value1 * value2);
1525   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1526   }
1527
1528 *len = Ustrlen(s);
1529 return s;
1530 }
1531
1532
1533
1534
1535
1536 /*************************************************
1537 *     Find the value of a header or headers      *
1538 *************************************************/
1539
1540 /* Multiple instances of the same header get concatenated, and this function
1541 can also return a concatenation of all the header lines. When concatenating
1542 specific headers that contain lists of addresses, a comma is inserted between
1543 them. Otherwise we use a straight concatenation. Because some messages can have
1544 pathologically large number of lines, there is a limit on the length that is
1545 returned.
1546
1547 Arguments:
1548   name          the name of the header, without the leading $header_ or $h_,
1549                 or NULL if a concatenation of all headers is required
1550   newsize       return the size of memory block that was obtained; may be NULL
1551                 if exists_only is TRUE
1552   flags         FH_EXISTS_ONLY
1553                   set if called from a def: test; don't need to build a string;
1554                   just return a string that is not "" and not "0" if the header
1555                   exists
1556                 FH_WANT_RAW
1557                   set if called for $rh_ or $rheader_ items; no processing,
1558                   other than concatenating, will be done on the header. Also used
1559                   for $message_headers_raw.
1560                 FH_WANT_LIST
1561                   Double colon chars in the content, and replace newline with
1562                   colon between each element when concatenating; returning a
1563                   colon-sep list (elements might contain newlines)
1564   charset       name of charset to translate MIME words to; used only if
1565                 want_raw is false; if NULL, no translation is done (this is
1566                 used for $bh_ and $bheader_)
1567
1568 Returns:        NULL if the header does not exist, else a pointer to a new
1569                 store block
1570 */
1571
1572 static uschar *
1573 find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
1574 {
1575 BOOL found = !name;
1576 int len = name ? Ustrlen(name) : 0;
1577 BOOL comma = FALSE;
1578 gstring * g = NULL;
1579
1580 for (header_line * h = header_list; h; h = h->next)
1581   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1582     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1583       {
1584       uschar * s, * t;
1585       size_t inc;
1586
1587       if (flags & FH_EXISTS_ONLY)
1588         return US"1";  /* don't need actual string */
1589
1590       found = TRUE;
1591       s = h->text + len;                /* text to insert */
1592       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1593         while (isspace(*s)) s++;        /* remove leading white space */
1594       t = h->text + h->slen;            /* end-point */
1595
1596       /* Unless wanted raw, remove trailing whitespace, including the
1597       newline. */
1598
1599       if (flags & FH_WANT_LIST)
1600         while (t > s && t[-1] == '\n') t--;
1601       else if (!(flags & FH_WANT_RAW))
1602         {
1603         while (t > s && isspace(t[-1])) t--;
1604
1605         /* Set comma if handling a single header and it's one of those
1606         that contains an address list, except when asked for raw headers. Only
1607         need to do this once. */
1608
1609         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1610         }
1611
1612       /* Trim the header roughly if we're approaching limits */
1613       inc = t - s;
1614       if ((g ? g->ptr : 0) + inc > header_insert_maxlen)
1615         inc = header_insert_maxlen - (g ? g->ptr : 0);
1616
1617       /* For raw just copy the data; for a list, add the data as a colon-sep
1618       list-element; for comma-list add as an unchecked comma,newline sep
1619       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1620       stripped trailing WS above including the newline). We ignore the potential
1621       expansion due to colon-doubling, just leaving the loop if the limit is met
1622       or exceeded. */
1623
1624       if (flags & FH_WANT_LIST)
1625         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1626       else if (flags & FH_WANT_RAW)
1627         {
1628         g = string_catn(g, s, (unsigned)inc);
1629         (void) string_from_gstring(g);
1630         }
1631       else if (inc > 0)
1632         if (comma)
1633           g = string_append2_listele_n(g, US",\n", s, (unsigned)inc);
1634         else
1635           g = string_append2_listele_n(g, US"\n", s, (unsigned)inc);
1636
1637       if (g && g->ptr >= header_insert_maxlen) break;
1638       }
1639
1640 if (!found) return NULL;        /* No header found */
1641 if (!g) return US"";
1642
1643 /* That's all we do for raw header expansion. */
1644
1645 *newsize = g->size;
1646 if (flags & FH_WANT_RAW)
1647   return g->s;
1648
1649 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1650 The rfc2047_decode2() function can return an error with decoded data if the
1651 charset translation fails. If decoding fails, it returns NULL. */
1652
1653 else
1654   {
1655   uschar *decoded, *error;
1656
1657   decoded = rfc2047_decode2(g->s, check_rfc2047_length, charset, '?', NULL,
1658     newsize, &error);
1659   if (error)
1660     {
1661     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1662       "    input was: %s\n", error, g->s);
1663     }
1664   return decoded ? decoded : g->s;
1665   }
1666 }
1667
1668
1669
1670
1671 /* Append a "local" element to an Authentication-Results: header
1672 if this was a non-smtp message.
1673 */
1674
1675 static gstring *
1676 authres_local(gstring * g, const uschar * sysname)
1677 {
1678 if (!f.authentication_local)
1679   return g;
1680 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1681 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1682 return g;
1683 }
1684
1685
1686 /* Append an "iprev" element to an Authentication-Results: header
1687 if we have attempted to get the calling host's name.
1688 */
1689
1690 static gstring *
1691 authres_iprev(gstring * g)
1692 {
1693 if (sender_host_name)
1694   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1695 else if (host_lookup_deferred)
1696   g = string_catn(g, US";\n\tiprev=temperror", 19);
1697 else if (host_lookup_failed)
1698   g = string_catn(g, US";\n\tiprev=fail", 13);
1699 else
1700   return g;
1701
1702 if (sender_host_address)
1703   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1704 return g;
1705 }
1706
1707
1708
1709 /*************************************************
1710 *               Return list of recipients        *
1711 *************************************************/
1712 /* A recipients list is available only during system message filtering,
1713 during ACL processing after DATA, and while expanding pipe commands
1714 generated from a system filter, but not elsewhere. */
1715
1716 static uschar *
1717 fn_recipients(void)
1718 {
1719 uschar * s;
1720 gstring * g = NULL;
1721
1722 if (!f.enable_dollar_recipients) return NULL;
1723
1724 for (int i = 0; i < recipients_count; i++)
1725   {
1726   s = recipients_list[i].address;
1727   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1728   }
1729 return g ? g->s : NULL;
1730 }
1731
1732
1733 /*************************************************
1734 *               Find value of a variable         *
1735 *************************************************/
1736
1737 /* The table of variables is kept in alphabetic order, so we can search it
1738 using a binary chop. The "choplen" variable is nothing to do with the binary
1739 chop.
1740
1741 Arguments:
1742   name          the name of the variable being sought
1743   exists_only   TRUE if this is a def: test; passed on to find_header()
1744   skipping      TRUE => skip any processing evaluation; this is not the same as
1745                   exists_only because def: may test for values that are first
1746                   evaluated here
1747   newsize       pointer to an int which is initially zero; if the answer is in
1748                 a new memory buffer, *newsize is set to its size
1749
1750 Returns:        NULL if the variable does not exist, or
1751                 a pointer to the variable's contents, or
1752                 something non-NULL if exists_only is TRUE
1753 */
1754
1755 static uschar *
1756 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1757 {
1758 var_entry * vp;
1759 uschar *s, *domain;
1760 uschar **ss;
1761 void * val;
1762
1763 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1764 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1765 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1766 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1767 (this gave backwards compatibility at the changeover). There may be built-in
1768 variables whose names start acl_ but they should never start in this way. This
1769 slightly messy specification is a consequence of the history, needless to say.
1770
1771 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1772 set, in which case give an error. */
1773
1774 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1775      !isalpha(name[5]))
1776   {
1777   tree_node * node =
1778     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1779   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1780   }
1781 else if (Ustrncmp(name, "r_", 2) == 0)
1782   {
1783   tree_node * node = tree_search(router_var, name + 2);
1784   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1785   }
1786
1787 /* Handle $auth<n> variables. */
1788
1789 if (Ustrncmp(name, "auth", 4) == 0)
1790   {
1791   uschar *endptr;
1792   int n = Ustrtoul(name + 4, &endptr, 10);
1793   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1794     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1795   }
1796 else if (Ustrncmp(name, "regex", 5) == 0)
1797   {
1798   uschar *endptr;
1799   int n = Ustrtoul(name + 5, &endptr, 10);
1800   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1801     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1802   }
1803
1804 /* For all other variables, search the table */
1805
1806 if (!(vp = find_var_ent(name)))
1807   return NULL;          /* Unknown variable name */
1808
1809 /* Found an existing variable. If in skipping state, the value isn't needed,
1810 and we want to avoid processing (such as looking up the host name). */
1811
1812 if (skipping)
1813   return US"";
1814
1815 val = vp->value;
1816 switch (vp->type)
1817   {
1818   case vtype_filter_int:
1819     if (!f.filter_running) return NULL;
1820     /* Fall through */
1821     /* VVVVVVVVVVVV */
1822   case vtype_int:
1823     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1824     return var_buffer;
1825
1826   case vtype_ino:
1827     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1828     return var_buffer;
1829
1830   case vtype_gid:
1831     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1832     return var_buffer;
1833
1834   case vtype_uid:
1835     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1836     return var_buffer;
1837
1838   case vtype_bool:
1839     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1840     return var_buffer;
1841
1842   case vtype_stringptr:                      /* Pointer to string */
1843     return (s = *((uschar **)(val))) ? s : US"";
1844
1845   case vtype_pid:
1846     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1847     return var_buffer;
1848
1849   case vtype_load_avg:
1850     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1851     return var_buffer;
1852
1853   case vtype_host_lookup:                    /* Lookup if not done so */
1854     if (  !sender_host_name && sender_host_address
1855        && !host_lookup_failed && host_name_lookup() == OK)
1856       host_build_sender_fullhost();
1857     return sender_host_name ? sender_host_name : US"";
1858
1859   case vtype_localpart:                      /* Get local part from address */
1860     if (!(s = *((uschar **)(val)))) return US"";
1861     if (!(domain = Ustrrchr(s, '@'))) return s;
1862     if (domain - s > sizeof(var_buffer) - 1)
1863       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1864           " in string expansion", sizeof(var_buffer));
1865     return string_copyn(s, domain - s);
1866
1867   case vtype_domain:                         /* Get domain from address */
1868     if (!(s = *((uschar **)(val)))) return US"";
1869     domain = Ustrrchr(s, '@');
1870     return domain ? domain + 1 : US"";
1871
1872   case vtype_msgheaders:
1873     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
1874
1875   case vtype_msgheaders_raw:
1876     return find_header(NULL, newsize,
1877                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
1878
1879   case vtype_msgbody:                        /* Pointer to msgbody string */
1880   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1881     ss = (uschar **)(val);
1882     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1883       {
1884       uschar *body;
1885       off_t start_offset = SPOOL_DATA_START_OFFSET;
1886       int len = message_body_visible;
1887       if (len > message_size) len = message_size;
1888       *ss = body = store_malloc(len+1);
1889       body[0] = 0;
1890       if (vp->type == vtype_msgbody_end)
1891         {
1892         struct stat statbuf;
1893         if (fstat(deliver_datafile, &statbuf) == 0)
1894           {
1895           start_offset = statbuf.st_size - len;
1896           if (start_offset < SPOOL_DATA_START_OFFSET)
1897             start_offset = SPOOL_DATA_START_OFFSET;
1898           }
1899         }
1900       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
1901         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
1902           strerror(errno));
1903       len = read(deliver_datafile, body, len);
1904       if (len > 0)
1905         {
1906         body[len] = 0;
1907         if (message_body_newlines)   /* Separate loops for efficiency */
1908           while (len > 0)
1909             { if (body[--len] == 0) body[len] = ' '; }
1910         else
1911           while (len > 0)
1912             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
1913         }
1914       }
1915     return *ss ? *ss : US"";
1916
1917   case vtype_todbsdin:                       /* BSD inbox time of day */
1918     return tod_stamp(tod_bsdin);
1919
1920   case vtype_tode:                           /* Unix epoch time of day */
1921     return tod_stamp(tod_epoch);
1922
1923   case vtype_todel:                          /* Unix epoch/usec time of day */
1924     return tod_stamp(tod_epoch_l);
1925
1926   case vtype_todf:                           /* Full time of day */
1927     return tod_stamp(tod_full);
1928
1929   case vtype_todl:                           /* Log format time of day */
1930     return tod_stamp(tod_log_bare);            /* (without timezone) */
1931
1932   case vtype_todzone:                        /* Time zone offset only */
1933     return tod_stamp(tod_zone);
1934
1935   case vtype_todzulu:                        /* Zulu time */
1936     return tod_stamp(tod_zulu);
1937
1938   case vtype_todlf:                          /* Log file datestamp tod */
1939     return tod_stamp(tod_log_datestamp_daily);
1940
1941   case vtype_reply:                          /* Get reply address */
1942     s = find_header(US"reply-to:", newsize,
1943                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1944                 headers_charset);
1945     if (s) while (isspace(*s)) s++;
1946     if (!s || !*s)
1947       {
1948       *newsize = 0;                            /* For the *s==0 case */
1949       s = find_header(US"from:", newsize,
1950                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
1951                 headers_charset);
1952       }
1953     if (s)
1954       {
1955       uschar *t;
1956       while (isspace(*s)) s++;
1957       for (t = s; *t != 0; t++) if (*t == '\n') *t = ' ';
1958       while (t > s && isspace(t[-1])) t--;
1959       *t = 0;
1960       }
1961     return s ? s : US"";
1962
1963   case vtype_string_func:
1964     {
1965     stringptr_fn_t * fn = (stringptr_fn_t *) val;
1966     return fn();
1967     }
1968
1969   case vtype_pspace:
1970     {
1971     int inodes;
1972     sprintf(CS var_buffer, PR_EXIM_ARITH,
1973       receive_statvfs(val == (void *)TRUE, &inodes));
1974     }
1975   return var_buffer;
1976
1977   case vtype_pinodes:
1978     {
1979     int inodes;
1980     (void) receive_statvfs(val == (void *)TRUE, &inodes);
1981     sprintf(CS var_buffer, "%d", inodes);
1982     }
1983   return var_buffer;
1984
1985   case vtype_cert:
1986     return *(void **)val ? US"<cert>" : US"";
1987
1988 #ifndef DISABLE_DKIM
1989   case vtype_dkim:
1990     return dkim_exim_expand_query((int)(long)val);
1991 #endif
1992
1993   }
1994
1995 return NULL;  /* Unknown variable. Silences static checkers. */
1996 }
1997
1998
1999
2000
2001 void
2002 modify_variable(uschar *name, void * value)
2003 {
2004 var_entry * vp;
2005 if ((vp = find_var_ent(name))) vp->value = value;
2006 return;          /* Unknown variable name, fail silently */
2007 }
2008
2009
2010
2011
2012
2013
2014 /*************************************************
2015 *           Read and expand substrings           *
2016 *************************************************/
2017
2018 /* This function is called to read and expand argument substrings for various
2019 expansion items. Some have a minimum requirement that is less than the maximum;
2020 in these cases, the first non-present one is set to NULL.
2021
2022 Arguments:
2023   sub        points to vector of pointers to set
2024   n          maximum number of substrings
2025   m          minimum required
2026   sptr       points to current string pointer
2027   skipping   the skipping flag
2028   check_end  if TRUE, check for final '}'
2029   name       name of item, for error message
2030   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2031              the store.
2032
2033 Returns:     0 OK; string pointer updated
2034              1 curly bracketing error (too few arguments)
2035              2 too many arguments (only if check_end is set); message set
2036              3 other error (expansion failure)
2037 */
2038
2039 static int
2040 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
2041   BOOL check_end, uschar *name, BOOL *resetok)
2042 {
2043 const uschar *s = *sptr;
2044
2045 while (isspace(*s)) s++;
2046 for (int i = 0; i < n; i++)
2047   {
2048   if (*s != '{')
2049     {
2050     if (i < m)
2051       {
2052       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2053         "(min is %d)", name, m);
2054       return 1;
2055       }
2056     sub[i] = NULL;
2057     break;
2058     }
2059   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2060     return 3;
2061   if (*s++ != '}') return 1;
2062   while (isspace(*s)) s++;
2063   }
2064 if (check_end && *s++ != '}')
2065   {
2066   if (s[-1] == '{')
2067     {
2068     expand_string_message = string_sprintf("Too many arguments for '%s' "
2069       "(max is %d)", name, n);
2070     return 2;
2071     }
2072   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2073   return 1;
2074   }
2075
2076 *sptr = s;
2077 return 0;
2078 }
2079
2080
2081
2082
2083 /*************************************************
2084 *     Elaborate message for bad variable         *
2085 *************************************************/
2086
2087 /* For the "unknown variable" message, take a look at the variable's name, and
2088 give additional information about possible ACL variables. The extra information
2089 is added on to expand_string_message.
2090
2091 Argument:   the name of the variable
2092 Returns:    nothing
2093 */
2094
2095 static void
2096 check_variable_error_message(uschar *name)
2097 {
2098 if (Ustrncmp(name, "acl_", 4) == 0)
2099   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2100     (name[4] == 'c' || name[4] == 'm')?
2101       (isalpha(name[5])?
2102         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2103         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2104       ) :
2105       US"user-defined ACL variables must start acl_c or acl_m");
2106 }
2107
2108
2109
2110 /*
2111 Load args from sub array to globals, and call acl_check().
2112 Sub array will be corrupted on return.
2113
2114 Returns:       OK         access is granted by an ACCEPT verb
2115                DISCARD    access is (apparently) granted by a DISCARD verb
2116                FAIL       access is denied
2117                FAIL_DROP  access is denied; drop the connection
2118                DEFER      can't tell at the moment
2119                ERROR      disaster
2120 */
2121 static int
2122 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2123 {
2124 int i;
2125 int sav_narg = acl_narg;
2126 int ret;
2127 uschar * dummy_logmsg;
2128 extern int acl_where;
2129
2130 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2131 for (i = 0; i < nsub && sub[i+1]; i++)
2132   {
2133   uschar * tmp = acl_arg[i];
2134   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2135   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2136   }
2137 acl_narg = i;
2138 while (i < nsub)
2139   {
2140   sub[i+1] = acl_arg[i];
2141   acl_arg[i++] = NULL;
2142   }
2143
2144 DEBUG(D_expand)
2145   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2146     sub[0],
2147     acl_narg>0 ? acl_arg[0] : US"<none>",
2148     acl_narg>1 ? " +more"   : "");
2149
2150 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2151
2152 for (i = 0; i < nsub; i++)
2153   acl_arg[i] = sub[i+1];        /* restore old args */
2154 acl_narg = sav_narg;
2155
2156 return ret;
2157 }
2158
2159
2160
2161
2162 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2163 The given string is modified on return.  Leading whitespace is skipped while
2164 looking for the opening wrap character, then the rest is scanned for the trailing
2165 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2166
2167 A nul is written over the trailing wrap, and a pointer to the char after the
2168 leading wrap is returned.
2169
2170 Arguments:
2171   s     String for de-wrapping
2172   wrap  Two-char string, the first being the opener, second the closer wrapping
2173         character
2174 Return:
2175   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2176 */
2177
2178 static uschar *
2179 dewrap(uschar * s, const uschar * wrap)
2180 {
2181 uschar * p = s;
2182 unsigned depth = 0;
2183 BOOL quotesmode = wrap[0] == wrap[1];
2184
2185 while (isspace(*p)) p++;
2186
2187 if (*p == *wrap)
2188   {
2189   s = ++p;
2190   wrap++;
2191   while (*p)
2192     {
2193     if (*p == '\\') p++;
2194     else if (!quotesmode && *p == wrap[-1]) depth++;
2195     else if (*p == *wrap)
2196       if (depth == 0)
2197         {
2198         *p = '\0';
2199         return s;
2200         }
2201       else
2202         depth--;
2203     p++;
2204     }
2205   }
2206 expand_string_message = string_sprintf("missing '%c'", *wrap);
2207 return NULL;
2208 }
2209
2210
2211 /* Pull off the leading array or object element, returning
2212 a copy in an allocated string.  Update the list pointer.
2213
2214 The element may itself be an abject or array.
2215 Return NULL when the list is empty.
2216 */
2217
2218 static uschar *
2219 json_nextinlist(const uschar ** list)
2220 {
2221 unsigned array_depth = 0, object_depth = 0;
2222 const uschar * s = *list, * item;
2223
2224 while (isspace(*s)) s++;
2225
2226 for (item = s;
2227      *s && (*s != ',' || array_depth != 0 || object_depth != 0);
2228      s++)
2229   switch (*s)
2230     {
2231     case '[': array_depth++; break;
2232     case ']': array_depth--; break;
2233     case '{': object_depth++; break;
2234     case '}': object_depth--; break;
2235     }
2236 *list = *s ? s+1 : s;
2237 if (item == s) return NULL;
2238 item = string_copyn(item, s - item);
2239 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2240 return US item;
2241 }
2242
2243
2244
2245 /************************************************/
2246 /*  Return offset in ops table, or -1 if not found.
2247 Repoint to just after the operator in the string.
2248
2249 Argument:
2250  ss     string representation of operator
2251  opname split-out operator name
2252 */
2253
2254 static int
2255 identify_operator(const uschar ** ss, uschar ** opname)
2256 {
2257 const uschar * s = *ss;
2258 uschar name[256];
2259
2260 /* Numeric comparisons are symbolic */
2261
2262 if (*s == '=' || *s == '>' || *s == '<')
2263   {
2264   int p = 0;
2265   name[p++] = *s++;
2266   if (*s == '=')
2267     {
2268     name[p++] = '=';
2269     s++;
2270     }
2271   name[p] = 0;
2272   }
2273
2274 /* All other conditions are named */
2275
2276 else
2277   s = read_name(name, sizeof(name), s, US"_");
2278 *ss = s;
2279
2280 /* If we haven't read a name, it means some non-alpha character is first. */
2281
2282 if (!name[0])
2283   {
2284   expand_string_message = string_sprintf("condition name expected, "
2285     "but found \"%.16s\"", s);
2286   return -1;
2287   }
2288 if (opname)
2289   *opname = string_copy(name);
2290
2291 return chop_match(name, cond_table, nelem(cond_table));
2292 }
2293
2294
2295 /*************************************************
2296 *        Read and evaluate a condition           *
2297 *************************************************/
2298
2299 /*
2300 Arguments:
2301   s        points to the start of the condition text
2302   resetok  points to a BOOL which is written false if it is unsafe to
2303            free memory. Certain condition types (acl) may have side-effect
2304            allocation which must be preserved.
2305   yield    points to a BOOL to hold the result of the condition test;
2306            if NULL, we are just reading through a condition that is
2307            part of an "or" combination to check syntax, or in a state
2308            where the answer isn't required
2309
2310 Returns:   a pointer to the first character after the condition, or
2311            NULL after an error
2312 */
2313
2314 static const uschar *
2315 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2316 {
2317 BOOL testfor = TRUE;
2318 BOOL tempcond, combined_cond;
2319 BOOL *subcondptr;
2320 BOOL sub2_honour_dollar = TRUE;
2321 BOOL is_forany, is_json, is_jsons;
2322 int rc, cond_type, roffset;
2323 int_eximarith_t num[2];
2324 struct stat statbuf;
2325 uschar * opname;
2326 uschar name[256];
2327 const uschar *sub[10];
2328
2329 const pcre *re;
2330 const uschar *rerror;
2331
2332 for (;;)
2333   {
2334   while (isspace(*s)) s++;
2335   if (*s == '!') { testfor = !testfor; s++; } else break;
2336   }
2337
2338 switch(cond_type = identify_operator(&s, &opname))
2339   {
2340   /* def: tests for a non-empty variable, or for the existence of a header. If
2341   yield == NULL we are in a skipping state, and don't care about the answer. */
2342
2343   case ECOND_DEF:
2344     {
2345     uschar * t;
2346
2347     if (*s != ':')
2348       {
2349       expand_string_message = US"\":\" expected after \"def\"";
2350       return NULL;
2351       }
2352
2353     s = read_name(name, sizeof(name), s+1, US"_");
2354
2355     /* Test for a header's existence. If the name contains a closing brace
2356     character, this may be a user error where the terminating colon has been
2357     omitted. Set a flag to adjust a subsequent error message in this case. */
2358
2359     if (  ( *(t = name) == 'h'
2360           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2361           )
2362        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2363        )
2364       {
2365       s = read_header_name(name, sizeof(name), s);
2366       /* {-for-text-editors */
2367       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2368       if (yield) *yield =
2369         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2370       }
2371
2372     /* Test for a variable's having a non-empty value. A non-existent variable
2373     causes an expansion failure. */
2374
2375     else
2376       {
2377       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2378         {
2379         expand_string_message = name[0]
2380           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2381           : US"variable name omitted after \"def:\"";
2382         check_variable_error_message(name);
2383         return NULL;
2384         }
2385       if (yield) *yield = (t[0] != 0) == testfor;
2386       }
2387
2388     return s;
2389     }
2390
2391
2392   /* first_delivery tests for first delivery attempt */
2393
2394   case ECOND_FIRST_DELIVERY:
2395   if (yield != NULL) *yield = f.deliver_firsttime == testfor;
2396   return s;
2397
2398
2399   /* queue_running tests for any process started by a queue runner */
2400
2401   case ECOND_QUEUE_RUNNING:
2402   if (yield != NULL) *yield = (queue_run_pid != (pid_t)0) == testfor;
2403   return s;
2404
2405
2406   /* exists:  tests for file existence
2407        isip:  tests for any IP address
2408       isip4:  tests for an IPv4 address
2409       isip6:  tests for an IPv6 address
2410         pam:  does PAM authentication
2411      radius:  does RADIUS authentication
2412    ldapauth:  does LDAP authentication
2413     pwcheck:  does Cyrus SASL pwcheck authentication
2414   */
2415
2416   case ECOND_EXISTS:
2417   case ECOND_ISIP:
2418   case ECOND_ISIP4:
2419   case ECOND_ISIP6:
2420   case ECOND_PAM:
2421   case ECOND_RADIUS:
2422   case ECOND_LDAPAUTH:
2423   case ECOND_PWCHECK:
2424
2425   while (isspace(*s)) s++;
2426   if (*s != '{') goto COND_FAILED_CURLY_START;          /* }-for-text-editors */
2427
2428   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2429   if (sub[0] == NULL) return NULL;
2430   /* {-for-text-editors */
2431   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2432
2433   if (yield == NULL) return s;   /* No need to run the test if skipping */
2434
2435   switch(cond_type)
2436     {
2437     case ECOND_EXISTS:
2438     if ((expand_forbid & RDO_EXISTS) != 0)
2439       {
2440       expand_string_message = US"File existence tests are not permitted";
2441       return NULL;
2442       }
2443     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2444     break;
2445
2446     case ECOND_ISIP:
2447     case ECOND_ISIP4:
2448     case ECOND_ISIP6:
2449     rc = string_is_ip_address(sub[0], NULL);
2450     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2451              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2452     break;
2453
2454     /* Various authentication tests - all optionally compiled */
2455
2456     case ECOND_PAM:
2457     #ifdef SUPPORT_PAM
2458     rc = auth_call_pam(sub[0], &expand_string_message);
2459     goto END_AUTH;
2460     #else
2461     goto COND_FAILED_NOT_COMPILED;
2462     #endif  /* SUPPORT_PAM */
2463
2464     case ECOND_RADIUS:
2465     #ifdef RADIUS_CONFIG_FILE
2466     rc = auth_call_radius(sub[0], &expand_string_message);
2467     goto END_AUTH;
2468     #else
2469     goto COND_FAILED_NOT_COMPILED;
2470     #endif  /* RADIUS_CONFIG_FILE */
2471
2472     case ECOND_LDAPAUTH:
2473     #ifdef LOOKUP_LDAP
2474       {
2475       /* Just to keep the interface the same */
2476       BOOL do_cache;
2477       int old_pool = store_pool;
2478       store_pool = POOL_SEARCH;
2479       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2480         &expand_string_message, &do_cache);
2481       store_pool = old_pool;
2482       }
2483     goto END_AUTH;
2484     #else
2485     goto COND_FAILED_NOT_COMPILED;
2486     #endif  /* LOOKUP_LDAP */
2487
2488     case ECOND_PWCHECK:
2489     #ifdef CYRUS_PWCHECK_SOCKET
2490     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2491     goto END_AUTH;
2492     #else
2493     goto COND_FAILED_NOT_COMPILED;
2494     #endif  /* CYRUS_PWCHECK_SOCKET */
2495
2496     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2497         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2498     END_AUTH:
2499     if (rc == ERROR || rc == DEFER) return NULL;
2500     *yield = (rc == OK) == testfor;
2501     #endif
2502     }
2503   return s;
2504
2505
2506   /* call ACL (in a conditional context).  Accept true, deny false.
2507   Defer is a forced-fail.  Anything set by message= goes to $value.
2508   Up to ten parameters are used; we use the braces round the name+args
2509   like the saslauthd condition does, to permit a variable number of args.
2510   See also the expansion-item version EITEM_ACL and the traditional
2511   acl modifier ACLC_ACL.
2512   Since the ACL may allocate new global variables, tell our caller to not
2513   reclaim memory.
2514   */
2515
2516   case ECOND_ACL:
2517     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2518     {
2519     uschar *sub[10];
2520     uschar *user_msg;
2521     BOOL cond = FALSE;
2522
2523     while (isspace(*s)) s++;
2524     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2525
2526     switch(read_subs(sub, nelem(sub), 1,
2527       &s, yield == NULL, TRUE, US"acl", resetok))
2528       {
2529       case 1: expand_string_message = US"too few arguments or bracketing "
2530         "error for acl";
2531       case 2:
2532       case 3: return NULL;
2533       }
2534
2535     if (yield != NULL)
2536       {
2537       int rc;
2538       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2539       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2540         {
2541         case OK:
2542           cond = TRUE;
2543         case FAIL:
2544           lookup_value = NULL;
2545           if (user_msg)
2546             lookup_value = string_copy(user_msg);
2547           *yield = cond == testfor;
2548           break;
2549
2550         case DEFER:
2551           f.expand_string_forcedfail = TRUE;
2552           /*FALLTHROUGH*/
2553         default:
2554           expand_string_message = string_sprintf("%s from acl \"%s\"",
2555             rc_names[rc], sub[0]);
2556           return NULL;
2557         }
2558       }
2559     return s;
2560     }
2561
2562
2563   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2564
2565      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2566
2567   However, the last two are optional. That is why the whole set is enclosed
2568   in their own set of braces. */
2569
2570   case ECOND_SASLAUTHD:
2571 #ifndef CYRUS_SASLAUTHD_SOCKET
2572     goto COND_FAILED_NOT_COMPILED;
2573 #else
2574     {
2575     uschar *sub[4];
2576     while (isspace(*s)) s++;
2577     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2578     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, US"saslauthd",
2579                     resetok))
2580       {
2581       case 1: expand_string_message = US"too few arguments or bracketing "
2582         "error for saslauthd";
2583       case 2:
2584       case 3: return NULL;
2585       }
2586     if (sub[2] == NULL) sub[3] = NULL;  /* realm if no service */
2587     if (yield != NULL)
2588       {
2589       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2590         &expand_string_message);
2591       if (rc == ERROR || rc == DEFER) return NULL;
2592       *yield = (rc == OK) == testfor;
2593       }
2594     return s;
2595     }
2596 #endif /* CYRUS_SASLAUTHD_SOCKET */
2597
2598
2599   /* symbolic operators for numeric and string comparison, and a number of
2600   other operators, all requiring two arguments.
2601
2602   crypteq:           encrypts plaintext and compares against an encrypted text,
2603                        using crypt(), crypt16(), MD5 or SHA-1
2604   inlist/inlisti:    checks if first argument is in the list of the second
2605   match:             does a regular expression match and sets up the numerical
2606                        variables if it succeeds
2607   match_address:     matches in an address list
2608   match_domain:      matches in a domain list
2609   match_ip:          matches a host list that is restricted to IP addresses
2610   match_local_part:  matches in a local part list
2611   */
2612
2613   case ECOND_MATCH_ADDRESS:
2614   case ECOND_MATCH_DOMAIN:
2615   case ECOND_MATCH_IP:
2616   case ECOND_MATCH_LOCAL_PART:
2617 #ifndef EXPAND_LISTMATCH_RHS
2618     sub2_honour_dollar = FALSE;
2619 #endif
2620     /* FALLTHROUGH */
2621
2622   case ECOND_CRYPTEQ:
2623   case ECOND_INLIST:
2624   case ECOND_INLISTI:
2625   case ECOND_MATCH:
2626
2627   case ECOND_NUM_L:     /* Numerical comparisons */
2628   case ECOND_NUM_LE:
2629   case ECOND_NUM_E:
2630   case ECOND_NUM_EE:
2631   case ECOND_NUM_G:
2632   case ECOND_NUM_GE:
2633
2634   case ECOND_STR_LT:    /* String comparisons */
2635   case ECOND_STR_LTI:
2636   case ECOND_STR_LE:
2637   case ECOND_STR_LEI:
2638   case ECOND_STR_EQ:
2639   case ECOND_STR_EQI:
2640   case ECOND_STR_GT:
2641   case ECOND_STR_GTI:
2642   case ECOND_STR_GE:
2643   case ECOND_STR_GEI:
2644
2645   for (int i = 0; i < 2; i++)
2646     {
2647     /* Sometimes, we don't expand substrings; too many insecure configurations
2648     created using match_address{}{} and friends, where the second param
2649     includes information from untrustworthy sources. */
2650     BOOL honour_dollar = TRUE;
2651     if ((i > 0) && !sub2_honour_dollar)
2652       honour_dollar = FALSE;
2653
2654     while (isspace(*s)) s++;
2655     if (*s != '{')
2656       {
2657       if (i == 0) goto COND_FAILED_CURLY_START;
2658       expand_string_message = string_sprintf("missing 2nd string in {} "
2659         "after \"%s\"", opname);
2660       return NULL;
2661       }
2662     if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2663         honour_dollar, resetok)))
2664       return NULL;
2665     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2666       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2667                         " for security reasons\n");
2668     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2669
2670     /* Convert to numerical if required; we know that the names of all the
2671     conditions that compare numbers do not start with a letter. This just saves
2672     checking for them individually. */
2673
2674     if (!isalpha(opname[0]) && yield != NULL)
2675       if (sub[i][0] == 0)
2676         {
2677         num[i] = 0;
2678         DEBUG(D_expand)
2679           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2680         }
2681       else
2682         {
2683         num[i] = expanded_string_integer(sub[i], FALSE);
2684         if (expand_string_message != NULL) return NULL;
2685         }
2686     }
2687
2688   /* Result not required */
2689
2690   if (yield == NULL) return s;
2691
2692   /* Do an appropriate comparison */
2693
2694   switch(cond_type)
2695     {
2696     case ECOND_NUM_E:
2697     case ECOND_NUM_EE:
2698     tempcond = (num[0] == num[1]);
2699     break;
2700
2701     case ECOND_NUM_G:
2702     tempcond = (num[0] > num[1]);
2703     break;
2704
2705     case ECOND_NUM_GE:
2706     tempcond = (num[0] >= num[1]);
2707     break;
2708
2709     case ECOND_NUM_L:
2710     tempcond = (num[0] < num[1]);
2711     break;
2712
2713     case ECOND_NUM_LE:
2714     tempcond = (num[0] <= num[1]);
2715     break;
2716
2717     case ECOND_STR_LT:
2718     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2719     break;
2720
2721     case ECOND_STR_LTI:
2722     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2723     break;
2724
2725     case ECOND_STR_LE:
2726     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2727     break;
2728
2729     case ECOND_STR_LEI:
2730     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2731     break;
2732
2733     case ECOND_STR_EQ:
2734     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2735     break;
2736
2737     case ECOND_STR_EQI:
2738     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2739     break;
2740
2741     case ECOND_STR_GT:
2742     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2743     break;
2744
2745     case ECOND_STR_GTI:
2746     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2747     break;
2748
2749     case ECOND_STR_GE:
2750     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2751     break;
2752
2753     case ECOND_STR_GEI:
2754     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2755     break;
2756
2757     case ECOND_MATCH:   /* Regular expression match */
2758     re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
2759       NULL);
2760     if (re == NULL)
2761       {
2762       expand_string_message = string_sprintf("regular expression error in "
2763         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2764       return NULL;
2765       }
2766     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2767     break;
2768
2769     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2770     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2771     goto MATCHED_SOMETHING;
2772
2773     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2774     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2775       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2776     goto MATCHED_SOMETHING;
2777
2778     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2779     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2780       {
2781       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2782         sub[0]);
2783       return NULL;
2784       }
2785     else
2786       {
2787       unsigned int *nullcache = NULL;
2788       check_host_block cb;
2789
2790       cb.host_name = US"";
2791       cb.host_address = sub[0];
2792
2793       /* If the host address starts off ::ffff: it is an IPv6 address in
2794       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
2795       addresses. */
2796
2797       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
2798         cb.host_address + 7 : cb.host_address;
2799
2800       rc = match_check_list(
2801              &sub[1],                   /* the list */
2802              0,                         /* separator character */
2803              &hostlist_anchor,          /* anchor pointer */
2804              &nullcache,                /* cache pointer */
2805              check_host,                /* function for testing */
2806              &cb,                       /* argument for function */
2807              MCL_HOST,                  /* type of check */
2808              sub[0],                    /* text for debugging */
2809              NULL);                     /* where to pass back data */
2810       }
2811     goto MATCHED_SOMETHING;
2812
2813     case ECOND_MATCH_LOCAL_PART:
2814     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
2815       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
2816     /* Fall through */
2817     /* VVVVVVVVVVVV */
2818     MATCHED_SOMETHING:
2819     switch(rc)
2820       {
2821       case OK:
2822       tempcond = TRUE;
2823       break;
2824
2825       case FAIL:
2826       tempcond = FALSE;
2827       break;
2828
2829       case DEFER:
2830       expand_string_message = string_sprintf("unable to complete match "
2831         "against \"%s\": %s", sub[1], search_error_message);
2832       return NULL;
2833       }
2834
2835     break;
2836
2837     /* Various "encrypted" comparisons. If the second string starts with
2838     "{" then an encryption type is given. Default to crypt() or crypt16()
2839     (build-time choice). */
2840     /* }-for-text-editors */
2841
2842     case ECOND_CRYPTEQ:
2843     #ifndef SUPPORT_CRYPTEQ
2844     goto COND_FAILED_NOT_COMPILED;
2845     #else
2846     if (strncmpic(sub[1], US"{md5}", 5) == 0)
2847       {
2848       int sublen = Ustrlen(sub[1]+5);
2849       md5 base;
2850       uschar digest[16];
2851
2852       md5_start(&base);
2853       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
2854
2855       /* If the length that we are comparing against is 24, the MD5 digest
2856       is expressed as a base64 string. This is the way LDAP does it. However,
2857       some other software uses a straightforward hex representation. We assume
2858       this if the length is 32. Other lengths fail. */
2859
2860       if (sublen == 24)
2861         {
2862         uschar *coded = b64encode(CUS digest, 16);
2863         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
2864           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2865         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
2866         }
2867       else if (sublen == 32)
2868         {
2869         uschar coded[36];
2870         for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2871         coded[32] = 0;
2872         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
2873           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
2874         tempcond = (strcmpic(coded, sub[1]+5) == 0);
2875         }
2876       else
2877         {
2878         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
2879           "fail\n  crypted=%s\n", sub[1]+5);
2880         tempcond = FALSE;
2881         }
2882       }
2883
2884     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
2885       {
2886       int sublen = Ustrlen(sub[1]+6);
2887       hctx h;
2888       uschar digest[20];
2889
2890       sha1_start(&h);
2891       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
2892
2893       /* If the length that we are comparing against is 28, assume the SHA1
2894       digest is expressed as a base64 string. If the length is 40, assume a
2895       straightforward hex representation. Other lengths fail. */
2896
2897       if (sublen == 28)
2898         {
2899         uschar *coded = b64encode(CUS digest, 20);
2900         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
2901           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2902         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
2903         }
2904       else if (sublen == 40)
2905         {
2906         uschar coded[44];
2907         for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
2908         coded[40] = 0;
2909         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
2910           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
2911         tempcond = (strcmpic(coded, sub[1]+6) == 0);
2912         }
2913       else
2914         {
2915         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
2916           "fail\n  crypted=%s\n", sub[1]+6);
2917         tempcond = FALSE;
2918         }
2919       }
2920
2921     else   /* {crypt} or {crypt16} and non-{ at start */
2922            /* }-for-text-editors */
2923       {
2924       int which = 0;
2925       uschar *coded;
2926
2927       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
2928         {
2929         sub[1] += 7;
2930         which = 1;
2931         }
2932       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
2933         {
2934         sub[1] += 9;
2935         which = 2;
2936         }
2937       else if (sub[1][0] == '{')                /* }-for-text-editors */
2938         {
2939         expand_string_message = string_sprintf("unknown encryption mechanism "
2940           "in \"%s\"", sub[1]);
2941         return NULL;
2942         }
2943
2944       switch(which)
2945         {
2946         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
2947         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
2948         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
2949         }
2950
2951       #define STR(s) # s
2952       #define XSTR(s) STR(s)
2953       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
2954         "  subject=%s\n  crypted=%s\n",
2955         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
2956         coded, sub[1]);
2957       #undef STR
2958       #undef XSTR
2959
2960       /* If the encrypted string contains fewer than two characters (for the
2961       salt), force failure. Otherwise we get false positives: with an empty
2962       string the yield of crypt() is an empty string! */
2963
2964       if (coded)
2965         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
2966       else if (errno == EINVAL)
2967         tempcond = FALSE;
2968       else
2969         {
2970         expand_string_message = string_sprintf("crypt error: %s\n",
2971           US strerror(errno));
2972         return NULL;
2973         }
2974       }
2975     break;
2976     #endif  /* SUPPORT_CRYPTEQ */
2977
2978     case ECOND_INLIST:
2979     case ECOND_INLISTI:
2980       {
2981       const uschar * list = sub[1];
2982       int sep = 0;
2983       uschar *save_iterate_item = iterate_item;
2984       int (*compare)(const uschar *, const uschar *);
2985
2986       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
2987
2988       tempcond = FALSE;
2989       compare = cond_type == ECOND_INLISTI
2990         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
2991
2992       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
2993         {
2994         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
2995         if (compare(sub[0], iterate_item) == 0)
2996           {
2997           tempcond = TRUE;
2998           break;
2999           }
3000         }
3001       iterate_item = save_iterate_item;
3002       }
3003
3004     }   /* Switch for comparison conditions */
3005
3006   *yield = tempcond == testfor;
3007   return s;    /* End of comparison conditions */
3008
3009
3010   /* and/or: computes logical and/or of several conditions */
3011
3012   case ECOND_AND:
3013   case ECOND_OR:
3014   subcondptr = (yield == NULL)? NULL : &tempcond;
3015   combined_cond = (cond_type == ECOND_AND);
3016
3017   while (isspace(*s)) s++;
3018   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3019
3020   for (;;)
3021     {
3022     while (isspace(*s)) s++;
3023     /* {-for-text-editors */
3024     if (*s == '}') break;
3025     if (*s != '{')                                      /* }-for-text-editors */
3026       {
3027       expand_string_message = string_sprintf("each subcondition "
3028         "inside an \"%s{...}\" condition must be in its own {}", opname);
3029       return NULL;
3030       }
3031
3032     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3033       {
3034       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3035         expand_string_message, opname);
3036       return NULL;
3037       }
3038     while (isspace(*s)) s++;
3039
3040     /* {-for-text-editors */
3041     if (*s++ != '}')
3042       {
3043       /* {-for-text-editors */
3044       expand_string_message = string_sprintf("missing } at end of condition "
3045         "inside \"%s\" group", opname);
3046       return NULL;
3047       }
3048
3049     if (yield != NULL)
3050       {
3051       if (cond_type == ECOND_AND)
3052         {
3053         combined_cond &= tempcond;
3054         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3055         }                                       /* evaluate any more */
3056       else
3057         {
3058         combined_cond |= tempcond;
3059         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3060         }                                       /* evaluate any more */
3061       }
3062     }
3063
3064   if (yield != NULL) *yield = (combined_cond == testfor);
3065   return ++s;
3066
3067
3068   /* forall/forany: iterates a condition with different values */
3069
3070   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3071   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3072   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3073   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3074   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3075   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3076
3077   FORMANY:
3078     {
3079     const uschar * list;
3080     int sep = 0;
3081     uschar *save_iterate_item = iterate_item;
3082
3083     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3084
3085     while (isspace(*s)) s++;
3086     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3087     sub[0] = expand_string_internal(s, TRUE, &s, (yield == NULL), TRUE, resetok);
3088     if (sub[0] == NULL) return NULL;
3089     /* {-for-text-editors */
3090     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3091
3092     while (isspace(*s)) s++;
3093     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3094
3095     sub[1] = s;
3096
3097     /* Call eval_condition once, with result discarded (as if scanning a
3098     "false" part). This allows us to find the end of the condition, because if
3099     the list it empty, we won't actually evaluate the condition for real. */
3100
3101     if (!(s = eval_condition(sub[1], resetok, NULL)))
3102       {
3103       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3104         expand_string_message, opname);
3105       return NULL;
3106       }
3107     while (isspace(*s)) s++;
3108
3109     /* {-for-text-editors */
3110     if (*s++ != '}')
3111       {
3112       /* {-for-text-editors */
3113       expand_string_message = string_sprintf("missing } at end of condition "
3114         "inside \"%s\"", opname);
3115       return NULL;
3116       }
3117
3118     if (yield) *yield = !testfor;
3119     list = sub[0];
3120     if (is_json) list = dewrap(string_copy(list), US"[]");
3121     while ((iterate_item = is_json
3122       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3123       {
3124       if (is_jsons)
3125         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3126           {
3127           expand_string_message =
3128             string_sprintf("%s wrapping string result for extract jsons",
3129               expand_string_message);
3130           iterate_item = save_iterate_item;
3131           return NULL;
3132           }
3133
3134       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3135       if (!eval_condition(sub[1], resetok, &tempcond))
3136         {
3137         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3138           expand_string_message, opname);
3139         iterate_item = save_iterate_item;
3140         return NULL;
3141         }
3142       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3143         tempcond? "true":"false");
3144
3145       if (yield) *yield = (tempcond == testfor);
3146       if (tempcond == is_forany) break;
3147       }
3148
3149     iterate_item = save_iterate_item;
3150     return s;
3151     }
3152
3153
3154   /* The bool{} expansion condition maps a string to boolean.
3155   The values supported should match those supported by the ACL condition
3156   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3157   of true/false.  Note that Router "condition" rules have a different
3158   interpretation, where general data can be used and only a few values
3159   map to FALSE.
3160   Note that readconf.c boolean matching, for boolean configuration options,
3161   only matches true/yes/false/no.
3162   The bool_lax{} condition matches the Router logic, which is much more
3163   liberal. */
3164   case ECOND_BOOL:
3165   case ECOND_BOOL_LAX:
3166     {
3167     uschar *sub_arg[1];
3168     uschar *t, *t2;
3169     uschar *ourname;
3170     size_t len;
3171     BOOL boolvalue = FALSE;
3172     while (isspace(*s)) s++;
3173     if (*s != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3174     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3175     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3176       {
3177       case 1: expand_string_message = string_sprintf(
3178                   "too few arguments or bracketing error for %s",
3179                   ourname);
3180       /*FALLTHROUGH*/
3181       case 2:
3182       case 3: return NULL;
3183       }
3184     t = sub_arg[0];
3185     while (isspace(*t)) t++;
3186     len = Ustrlen(t);
3187     if (len)
3188       {
3189       /* trailing whitespace: seems like a good idea to ignore it too */
3190       t2 = t + len - 1;
3191       while (isspace(*t2)) t2--;
3192       if (t2 != (t + len))
3193         {
3194         *++t2 = '\0';
3195         len = t2 - t;
3196         }
3197       }
3198     DEBUG(D_expand)
3199       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3200     /* logic for the lax case from expand_check_condition(), which also does
3201     expands, and the logic is both short and stable enough that there should
3202     be no maintenance burden from replicating it. */
3203     if (len == 0)
3204       boolvalue = FALSE;
3205     else if (*t == '-'
3206              ? Ustrspn(t+1, "0123456789") == len-1
3207              : Ustrspn(t,   "0123456789") == len)
3208       {
3209       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3210       /* expand_check_condition only does a literal string "0" check */
3211       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3212         boolvalue = TRUE;
3213       }
3214     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3215       boolvalue = TRUE;
3216     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3217       boolvalue = FALSE;
3218     else if (cond_type == ECOND_BOOL_LAX)
3219       boolvalue = TRUE;
3220     else
3221       {
3222       expand_string_message = string_sprintf("unrecognised boolean "
3223        "value \"%s\"", t);
3224       return NULL;
3225       }
3226     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3227         boolvalue? "true":"false");
3228     if (yield != NULL) *yield = (boolvalue == testfor);
3229     return s;
3230     }
3231
3232   /* Unknown condition */
3233
3234   default:
3235     if (!expand_string_message || !*expand_string_message)
3236       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3237     return NULL;
3238   }   /* End switch on condition type */
3239
3240 /* Missing braces at start and end of data */
3241
3242 COND_FAILED_CURLY_START:
3243 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3244 return NULL;
3245
3246 COND_FAILED_CURLY_END:
3247 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3248   opname);
3249 return NULL;
3250
3251 /* A condition requires code that is not compiled */
3252
3253 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3254     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3255     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3256 COND_FAILED_NOT_COMPILED:
3257 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3258   opname);
3259 return NULL;
3260 #endif
3261 }
3262
3263
3264
3265
3266 /*************************************************
3267 *          Save numerical variables              *
3268 *************************************************/
3269
3270 /* This function is called from items such as "if" that want to preserve and
3271 restore the numbered variables.
3272
3273 Arguments:
3274   save_expand_string    points to an array of pointers to set
3275   save_expand_nlength   points to an array of ints for the lengths
3276
3277 Returns:                the value of expand max to save
3278 */
3279
3280 static int
3281 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3282 {
3283 for (int i = 0; i <= expand_nmax; i++)
3284   {
3285   save_expand_nstring[i] = expand_nstring[i];
3286   save_expand_nlength[i] = expand_nlength[i];
3287   }
3288 return expand_nmax;
3289 }
3290
3291
3292
3293 /*************************************************
3294 *           Restore numerical variables          *
3295 *************************************************/
3296
3297 /* This function restored saved values of numerical strings.
3298
3299 Arguments:
3300   save_expand_nmax      the number of strings to restore
3301   save_expand_string    points to an array of pointers
3302   save_expand_nlength   points to an array of ints
3303
3304 Returns:                nothing
3305 */
3306
3307 static void
3308 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3309   int *save_expand_nlength)
3310 {
3311 expand_nmax = save_expand_nmax;
3312 for (int i = 0; i <= expand_nmax; i++)
3313   {
3314   expand_nstring[i] = save_expand_nstring[i];
3315   expand_nlength[i] = save_expand_nlength[i];
3316   }
3317 }
3318
3319
3320
3321
3322
3323 /*************************************************
3324 *            Handle yes/no substrings            *
3325 *************************************************/
3326
3327 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3328 alternative substrings that depend on whether or not the condition was true,
3329 or the lookup or extraction succeeded. The substrings always have to be
3330 expanded, to check their syntax, but "skipping" is set when the result is not
3331 needed - this avoids unnecessary nested lookups.
3332
3333 Arguments:
3334   skipping       TRUE if we were skipping when this item was reached
3335   yes            TRUE if the first string is to be used, else use the second
3336   save_lookup    a value to put back into lookup_value before the 2nd expansion
3337   sptr           points to the input string pointer
3338   yieldptr       points to the output growable-string pointer
3339   type           "lookup", "if", "extract", "run", "env", "listextract" or
3340                  "certextract" for error message
3341   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3342                 the store.
3343
3344 Returns:         0 OK; lookup_value has been reset to save_lookup
3345                  1 expansion failed
3346                  2 expansion failed because of bracketing error
3347 */
3348
3349 static int
3350 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3351   gstring ** yieldptr, uschar *type, BOOL *resetok)
3352 {
3353 int rc = 0;
3354 const uschar *s = *sptr;    /* Local value */
3355 uschar *sub1, *sub2;
3356 const uschar * errwhere;
3357
3358 /* If there are no following strings, we substitute the contents of $value for
3359 lookups and for extractions in the success case. For the ${if item, the string
3360 "true" is substituted. In the fail case, nothing is substituted for all three
3361 items. */
3362
3363 while (isspace(*s)) s++;
3364 if (*s == '}')
3365   {
3366   if (type[0] == 'i')
3367     {
3368     if (yes && !skipping)
3369       *yieldptr = string_catn(*yieldptr, US"true", 4);
3370     }
3371   else
3372     {
3373     if (yes && lookup_value && !skipping)
3374       *yieldptr = string_cat(*yieldptr, lookup_value);
3375     lookup_value = save_lookup;
3376     }
3377   s++;
3378   goto RETURN;
3379   }
3380
3381 /* The first following string must be braced. */
3382
3383 if (*s++ != '{')
3384   {
3385   errwhere = US"'yes' part did not start with '{'";
3386   goto FAILED_CURLY;
3387   }
3388
3389 /* Expand the first substring. Forced failures are noticed only if we actually
3390 want this string. Set skipping in the call in the fail case (this will always
3391 be the case if we were already skipping). */
3392
3393 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3394 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3395 f.expand_string_forcedfail = FALSE;
3396 if (*s++ != '}')
3397   {
3398   errwhere = US"'yes' part did not end with '}'";
3399   goto FAILED_CURLY;
3400   }
3401
3402 /* If we want the first string, add it to the output */
3403
3404 if (yes)
3405   *yieldptr = string_cat(*yieldptr, sub1);
3406
3407 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3408 $value to what it was at the start of the item, so that it has this value
3409 during the second string expansion. For the call from "if" or "run" to this
3410 function, save_lookup is set to lookup_value, so that this statement does
3411 nothing. */
3412
3413 lookup_value = save_lookup;
3414
3415 /* There now follows either another substring, or "fail", or nothing. This
3416 time, forced failures are noticed only if we want the second string. We must
3417 set skipping in the nested call if we don't want this string, or if we were
3418 already skipping. */
3419
3420 while (isspace(*s)) s++;
3421 if (*s == '{')
3422   {
3423   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3424   if (sub2 == NULL && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3425   f.expand_string_forcedfail = FALSE;
3426   if (*s++ != '}')
3427     {
3428     errwhere = US"'no' part did not start with '{'";
3429     goto FAILED_CURLY;
3430     }
3431
3432   /* If we want the second string, add it to the output */
3433
3434   if (!yes)
3435     *yieldptr = string_cat(*yieldptr, sub2);
3436   }
3437
3438 /* If there is no second string, but the word "fail" is present when the use of
3439 the second string is wanted, set a flag indicating it was a forced failure
3440 rather than a syntactic error. Swallow the terminating } in case this is nested
3441 inside another lookup or if or extract. */
3442
3443 else if (*s != '}')
3444   {
3445   uschar name[256];
3446   /* deconst cast ok here as source is s anyway */
3447   s = US read_name(name, sizeof(name), s, US"_");
3448   if (Ustrcmp(name, "fail") == 0)
3449     {
3450     if (!yes && !skipping)
3451       {
3452       while (isspace(*s)) s++;
3453       if (*s++ != '}')
3454         {
3455         errwhere = US"did not close with '}' after forcedfail";
3456         goto FAILED_CURLY;
3457         }
3458       expand_string_message =
3459         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3460       f.expand_string_forcedfail = TRUE;
3461       goto FAILED;
3462       }
3463     }
3464   else
3465     {
3466     expand_string_message =
3467       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3468     goto FAILED;
3469     }
3470   }
3471
3472 /* All we have to do now is to check on the final closing brace. */
3473
3474 while (isspace(*s)) s++;
3475 if (*s++ != '}')
3476   {
3477   errwhere = US"did not close with '}'";
3478   goto FAILED_CURLY;
3479   }
3480
3481
3482 RETURN:
3483 /* Update the input pointer value before returning */
3484 *sptr = s;
3485 return rc;
3486
3487 FAILED_CURLY:
3488   /* Get here if there is a bracketing failure */
3489   expand_string_message = string_sprintf(
3490     "curly-bracket problem in conditional yes/no parsing: %s\n"
3491     " remaining string is '%s'", errwhere, --s);
3492   rc = 2;
3493   goto RETURN;
3494
3495 FAILED:
3496   /* Get here for other failures */
3497   rc = 1;
3498   goto RETURN;
3499 }
3500
3501
3502
3503
3504 /*************************************************
3505 *    Handle MD5 or SHA-1 computation for HMAC    *
3506 *************************************************/
3507
3508 /* These are some wrapping functions that enable the HMAC code to be a bit
3509 cleaner. A good compiler will spot the tail recursion.
3510
3511 Arguments:
3512   type         HMAC_MD5 or HMAC_SHA1
3513   remaining    are as for the cryptographic hash functions
3514
3515 Returns:       nothing
3516 */
3517
3518 static void
3519 chash_start(int type, void *base)
3520 {
3521 if (type == HMAC_MD5)
3522   md5_start((md5 *)base);
3523 else
3524   sha1_start((hctx *)base);
3525 }
3526
3527 static void
3528 chash_mid(int type, void *base, uschar *string)
3529 {
3530 if (type == HMAC_MD5)
3531   md5_mid((md5 *)base, string);
3532 else
3533   sha1_mid((hctx *)base, string);
3534 }
3535
3536 static void
3537 chash_end(int type, void *base, uschar *string, int length, uschar *digest)
3538 {
3539 if (type == HMAC_MD5)
3540   md5_end((md5 *)base, string, length, digest);
3541 else
3542   sha1_end((hctx *)base, string, length, digest);
3543 }
3544
3545
3546
3547
3548
3549 /********************************************************
3550 * prvs: Get last three digits of days since Jan 1, 1970 *
3551 ********************************************************/
3552
3553 /* This is needed to implement the "prvs" BATV reverse
3554    path signing scheme
3555
3556 Argument: integer "days" offset to add or substract to
3557           or from the current number of days.
3558
3559 Returns:  pointer to string containing the last three
3560           digits of the number of days since Jan 1, 1970,
3561           modified by the offset argument, NULL if there
3562           was an error in the conversion.
3563
3564 */
3565
3566 static uschar *
3567 prvs_daystamp(int day_offset)
3568 {
3569 uschar *days = store_get(32, FALSE);         /* Need at least 24 for cases */
3570 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3571   (time(NULL) + day_offset*86400)/86400);
3572 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3573 }
3574
3575
3576
3577 /********************************************************
3578 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3579 ********************************************************/
3580
3581 /* This is needed to implement the "prvs" BATV reverse
3582    path signing scheme
3583
3584 Arguments:
3585   address RFC2821 Address to use
3586       key The key to use (must be less than 64 characters
3587           in size)
3588   key_num Single-digit key number to use. Defaults to
3589           '0' when NULL.
3590
3591 Returns:  pointer to string containing the first three
3592           bytes of the final hash in hex format, NULL if
3593           there was an error in the process.
3594 */
3595
3596 static uschar *
3597 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3598 {
3599 gstring * hash_source;
3600 uschar * p;
3601 hctx h;
3602 uschar innerhash[20];
3603 uschar finalhash[20];
3604 uschar innerkey[64];
3605 uschar outerkey[64];
3606 uschar *finalhash_hex;
3607
3608 if (key_num == NULL)
3609   key_num = US"0";
3610
3611 if (Ustrlen(key) > 64)
3612   return NULL;
3613
3614 hash_source = string_catn(NULL, key_num, 1);
3615 hash_source = string_catn(hash_source, daystamp, 3);
3616 hash_source = string_cat(hash_source, address);
3617 (void) string_from_gstring(hash_source);
3618
3619 DEBUG(D_expand)
3620   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3621
3622 memset(innerkey, 0x36, 64);
3623 memset(outerkey, 0x5c, 64);
3624
3625 for (int i = 0; i < Ustrlen(key); i++)
3626   {
3627   innerkey[i] ^= key[i];
3628   outerkey[i] ^= key[i];
3629   }
3630
3631 chash_start(HMAC_SHA1, &h);
3632 chash_mid(HMAC_SHA1, &h, innerkey);
3633 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3634
3635 chash_start(HMAC_SHA1, &h);
3636 chash_mid(HMAC_SHA1, &h, outerkey);
3637 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3638
3639 /* Hashing is deemed sufficient to de-taint any input data */
3640
3641 p = finalhash_hex = store_get(40, FALSE);
3642 for (int i = 0; i < 3; i++)
3643   {
3644   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3645   *p++ = hex_digits[finalhash[i] & 0x0f];
3646   }
3647 *p = '\0';
3648
3649 return finalhash_hex;
3650 }
3651
3652
3653
3654
3655 /*************************************************
3656 *        Join a file onto the output string      *
3657 *************************************************/
3658
3659 /* This is used for readfile/readsock and after a run expansion.
3660 It joins the contents of a file onto the output string, globally replacing
3661 newlines with a given string (optionally).
3662
3663 Arguments:
3664   f            the FILE
3665   yield        pointer to the expandable string struct
3666   eol          newline replacement string, or NULL
3667
3668 Returns:       new pointer for expandable string, terminated if non-null
3669 */
3670
3671 static gstring *
3672 cat_file(FILE *f, gstring *yield, uschar *eol)
3673 {
3674 uschar buffer[1024];
3675
3676 while (Ufgets(buffer, sizeof(buffer), f))
3677   {
3678   int len = Ustrlen(buffer);
3679   if (eol && buffer[len-1] == '\n') len--;
3680   yield = string_catn(yield, buffer, len);
3681   if (eol && buffer[len])
3682     yield = string_cat(yield, eol);
3683   }
3684
3685 (void) string_from_gstring(yield);
3686 return yield;
3687 }
3688
3689
3690 #ifndef DISABLE_TLS
3691 static gstring *
3692 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
3693 {
3694 int rc;
3695 uschar buffer[1024];
3696
3697 /*XXX could we read direct into a pre-grown string? */
3698
3699 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
3700   for (uschar * s = buffer; rc--; s++)
3701     yield = eol && *s == '\n'
3702       ? string_cat(yield, eol) : string_catn(yield, s, 1);
3703
3704 /* We assume that all errors, and any returns of zero bytes,
3705 are actually EOF. */
3706
3707 (void) string_from_gstring(yield);
3708 return yield;
3709 }
3710 #endif
3711
3712
3713 /*************************************************
3714 *          Evaluate numeric expression           *
3715 *************************************************/
3716
3717 /* This is a set of mutually recursive functions that evaluate an arithmetic
3718 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3719 these functions that is called from elsewhere is eval_expr, whose interface is:
3720
3721 Arguments:
3722   sptr        pointer to the pointer to the string - gets updated
3723   decimal     TRUE if numbers are to be assumed decimal
3724   error       pointer to where to put an error message - must be NULL on input
3725   endket      TRUE if ')' must terminate - FALSE for external call
3726
3727 Returns:      on success: the value of the expression, with *error still NULL
3728               on failure: an undefined value, with *error = a message
3729 */
3730
3731 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3732
3733
3734 static int_eximarith_t
3735 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3736 {
3737 uschar *s = *sptr;
3738 int_eximarith_t x = eval_op_or(&s, decimal, error);
3739
3740 if (!*error)
3741   if (endket)
3742     if (*s != ')')
3743       *error = US"expecting closing parenthesis";
3744     else
3745       while (isspace(*(++s)));
3746   else if (*s)
3747     *error = US"expecting operator";
3748 *sptr = s;
3749 return x;
3750 }
3751
3752
3753 static int_eximarith_t
3754 eval_number(uschar **sptr, BOOL decimal, uschar **error)
3755 {
3756 int c;
3757 int_eximarith_t n;
3758 uschar *s = *sptr;
3759
3760 while (isspace(*s)) s++;
3761 if (isdigit((c = *s)))
3762   {
3763   int count;
3764   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
3765   s += count;
3766   switch (tolower(*s))
3767     {
3768     default: break;
3769     case 'k': n *= 1024; s++; break;
3770     case 'm': n *= 1024*1024; s++; break;
3771     case 'g': n *= 1024*1024*1024; s++; break;
3772     }
3773   while (isspace (*s)) s++;
3774   }
3775 else if (c == '(')
3776   {
3777   s++;
3778   n = eval_expr(&s, decimal, error, 1);
3779   }
3780 else
3781   {
3782   *error = US"expecting number or opening parenthesis";
3783   n = 0;
3784   }
3785 *sptr = s;
3786 return n;
3787 }
3788
3789
3790 static int_eximarith_t
3791 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
3792 {
3793 uschar *s = *sptr;
3794 int_eximarith_t x;
3795 while (isspace(*s)) s++;
3796 if (*s == '+' || *s == '-' || *s == '~')
3797   {
3798   int op = *s++;
3799   x = eval_op_unary(&s, decimal, error);
3800   if (op == '-') x = -x;
3801     else if (op == '~') x = ~x;
3802   }
3803 else
3804   x = eval_number(&s, decimal, error);
3805
3806 *sptr = s;
3807 return x;
3808 }
3809
3810
3811 static int_eximarith_t
3812 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
3813 {
3814 uschar *s = *sptr;
3815 int_eximarith_t x = eval_op_unary(&s, decimal, error);
3816 if (*error == NULL)
3817   {
3818   while (*s == '*' || *s == '/' || *s == '%')
3819     {
3820     int op = *s++;
3821     int_eximarith_t y = eval_op_unary(&s, decimal, error);
3822     if (*error != NULL) break;
3823     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
3824      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
3825      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
3826      * -N*M is INT_MIN will yield INT_MIN.
3827      * Since we don't support floating point, this is somewhat simpler.
3828      * Ideally, we'd return an error, but since we overflow for all other
3829      * arithmetic, consistency suggests otherwise, but what's the correct value
3830      * to use?  There is none.
3831      * The C standard guarantees overflow for unsigned arithmetic but signed
3832      * overflow invokes undefined behaviour; in practice, this is overflow
3833      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
3834      * that long/longlong larger than int are available, or we could just work
3835      * with larger types.  We should consider whether to guarantee 32bit eval
3836      * and 64-bit working variables, with errors returned.  For now ...
3837      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
3838      * can just let the other invalid results occur otherwise, as they have
3839      * until now.  For this one case, we can coerce.
3840      */
3841     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
3842       {
3843       DEBUG(D_expand)
3844         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
3845             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
3846       x = EXIM_ARITH_MAX;
3847       continue;
3848       }
3849     if (op == '*')
3850       x *= y;
3851     else
3852       {
3853       if (y == 0)
3854         {
3855         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
3856         x = 0;
3857         break;
3858         }
3859       if (op == '/')
3860         x /= y;
3861       else
3862         x %= y;
3863       }
3864     }
3865   }
3866 *sptr = s;
3867 return x;
3868 }
3869
3870
3871 static int_eximarith_t
3872 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
3873 {
3874 uschar *s = *sptr;
3875 int_eximarith_t x = eval_op_mult(&s, decimal, error);
3876 if (!*error)
3877   {
3878   while (*s == '+' || *s == '-')
3879     {
3880     int op = *s++;
3881     int_eximarith_t y = eval_op_mult(&s, decimal, error);
3882     if (*error) break;
3883     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
3884        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
3885       {                 /* over-conservative check */
3886       *error = op == '+'
3887         ? US"overflow in sum" : US"overflow in difference";
3888       break;
3889       }
3890     if (op == '+') x += y; else x -= y;
3891     }
3892   }
3893 *sptr = s;
3894 return x;
3895 }
3896
3897
3898 static int_eximarith_t
3899 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
3900 {
3901 uschar *s = *sptr;
3902 int_eximarith_t x = eval_op_sum(&s, decimal, error);
3903 if (*error == NULL)
3904   {
3905   while ((*s == '<' || *s == '>') && s[1] == s[0])
3906     {
3907     int_eximarith_t y;
3908     int op = *s++;
3909     s++;
3910     y = eval_op_sum(&s, decimal, error);
3911     if (*error != NULL) break;
3912     if (op == '<') x <<= y; else x >>= y;
3913     }
3914   }
3915 *sptr = s;
3916 return x;
3917 }
3918
3919
3920 static int_eximarith_t
3921 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
3922 {
3923 uschar *s = *sptr;
3924 int_eximarith_t x = eval_op_shift(&s, decimal, error);
3925 if (*error == NULL)
3926   {
3927   while (*s == '&')
3928     {
3929     int_eximarith_t y;
3930     s++;
3931     y = eval_op_shift(&s, decimal, error);
3932     if (*error != NULL) break;
3933     x &= y;
3934     }
3935   }
3936 *sptr = s;
3937 return x;
3938 }
3939
3940
3941 static int_eximarith_t
3942 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
3943 {
3944 uschar *s = *sptr;
3945 int_eximarith_t x = eval_op_and(&s, decimal, error);
3946 if (*error == NULL)
3947   {
3948   while (*s == '^')
3949     {
3950     int_eximarith_t y;
3951     s++;
3952     y = eval_op_and(&s, decimal, error);
3953     if (*error != NULL) break;
3954     x ^= y;
3955     }
3956   }
3957 *sptr = s;
3958 return x;
3959 }
3960
3961
3962 static int_eximarith_t
3963 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
3964 {
3965 uschar *s = *sptr;
3966 int_eximarith_t x = eval_op_xor(&s, decimal, error);
3967 if (*error == NULL)
3968   {
3969   while (*s == '|')
3970     {
3971     int_eximarith_t y;
3972     s++;
3973     y = eval_op_xor(&s, decimal, error);
3974     if (*error != NULL) break;
3975     x |= y;
3976     }
3977   }
3978 *sptr = s;
3979 return x;
3980 }
3981
3982
3983
3984 /************************************************/
3985 /* Comparison operation for sort expansion.  We need to avoid
3986 re-expanding the fields being compared, so need a custom routine.
3987
3988 Arguments:
3989  cond_type              Comparison operator code
3990  leftarg, rightarg      Arguments for comparison
3991
3992 Return true iff (leftarg compare rightarg)
3993 */
3994
3995 static BOOL
3996 sortsbefore(int cond_type, BOOL alpha_cond,
3997   const uschar * leftarg, const uschar * rightarg)
3998 {
3999 int_eximarith_t l_num, r_num;
4000
4001 if (!alpha_cond)
4002   {
4003   l_num = expanded_string_integer(leftarg, FALSE);
4004   if (expand_string_message) return FALSE;
4005   r_num = expanded_string_integer(rightarg, FALSE);
4006   if (expand_string_message) return FALSE;
4007
4008   switch (cond_type)
4009     {
4010     case ECOND_NUM_G:   return l_num >  r_num;
4011     case ECOND_NUM_GE:  return l_num >= r_num;
4012     case ECOND_NUM_L:   return l_num <  r_num;
4013     case ECOND_NUM_LE:  return l_num <= r_num;
4014     default: break;
4015     }
4016   }
4017 else
4018   switch (cond_type)
4019     {
4020     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4021     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4022     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4023     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4024     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4025     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4026     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4027     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4028     default: break;
4029     }
4030 return FALSE;   /* should not happen */
4031 }
4032
4033
4034 /*************************************************
4035 *                 Expand string                  *
4036 *************************************************/
4037
4038 /* Returns either an unchanged string, or the expanded string in stacking pool
4039 store. Interpreted sequences are:
4040
4041    \...                    normal escaping rules
4042    $name                   substitutes the variable
4043    ${name}                 ditto
4044    ${op:string}            operates on the expanded string value
4045    ${item{arg1}{arg2}...}  expands the args and then does the business
4046                              some literal args are not enclosed in {}
4047
4048 There are now far too many operators and item types to make it worth listing
4049 them here in detail any more.
4050
4051 We use an internal routine recursively to handle embedded substrings. The
4052 external function follows. The yield is NULL if the expansion failed, and there
4053 are two cases: if something collapsed syntactically, or if "fail" was given
4054 as the action on a lookup failure. These can be distinguished by looking at the
4055 variable expand_string_forcedfail, which is TRUE in the latter case.
4056
4057 The skipping flag is set true when expanding a substring that isn't actually
4058 going to be used (after "if" or "lookup") and it prevents lookups from
4059 happening lower down.
4060
4061 Store usage: At start, a store block of the length of the input plus 64
4062 is obtained. This is expanded as necessary by string_cat(), which might have to
4063 get a new block, or might be able to expand the original. At the end of the
4064 function we can release any store above that portion of the yield block that
4065 was actually used. In many cases this will be optimal.
4066
4067 However: if the first item in the expansion is a variable name or header name,
4068 we reset the store before processing it; if the result is in fresh store, we
4069 use that without copying. This is helpful for expanding strings like
4070 $message_headers which can get very long.
4071
4072 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4073 since resetting the store at the end of the expansion will free store that was
4074 allocated by the plugin code as well as the slop after the expanded string. So
4075 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4076 and, given the acl condition, ${if }. This is an unfortunate consequence of
4077 string expansion becoming too powerful.
4078
4079 Arguments:
4080   string         the string to be expanded
4081   ket_ends       true if expansion is to stop at }
4082   left           if not NULL, a pointer to the first character after the
4083                  expansion is placed here (typically used with ket_ends)
4084   skipping       TRUE for recursive calls when the value isn't actually going
4085                  to be used (to allow for optimisation)
4086   honour_dollar  TRUE if $ is to be expanded,
4087                  FALSE if it's just another character
4088   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4089                  the store.
4090
4091 Returns:         NULL if expansion fails:
4092                    expand_string_forcedfail is set TRUE if failure was forced
4093                    expand_string_message contains a textual error message
4094                  a pointer to the expanded string on success
4095 */
4096
4097 static uschar *
4098 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
4099   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
4100 {
4101 rmark reset_point = store_mark();
4102 gstring * yield = string_get(Ustrlen(string) + 64);
4103 int item_type;
4104 const uschar *s = string;
4105 uschar *save_expand_nstring[EXPAND_MAXN+1];
4106 int save_expand_nlength[EXPAND_MAXN+1];
4107 BOOL resetok = TRUE;
4108
4109 expand_level++;
4110 DEBUG(D_expand)
4111   DEBUG(D_noutf8)
4112     debug_printf_indent("/%s: %s\n",
4113       skipping ? "---scanning" : "considering", string);
4114   else
4115     debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
4116       skipping
4117       ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
4118       : "considering",
4119       string);
4120
4121 f.expand_string_forcedfail = FALSE;
4122 expand_string_message = US"";
4123
4124 if (is_tainted(string))
4125   {
4126   expand_string_message =
4127     string_sprintf("attempt to expand tainted string '%s'", s);
4128   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4129   goto EXPAND_FAILED;
4130   }
4131
4132 while (*s != 0)
4133   {
4134   uschar *value;
4135   uschar name[256];
4136
4137   /* \ escapes the next character, which must exist, or else
4138   the expansion fails. There's a special escape, \N, which causes
4139   copying of the subject verbatim up to the next \N. Otherwise,
4140   the escapes are the standard set. */
4141
4142   if (*s == '\\')
4143     {
4144     if (s[1] == 0)
4145       {
4146       expand_string_message = US"\\ at end of string";
4147       goto EXPAND_FAILED;
4148       }
4149
4150     if (s[1] == 'N')
4151       {
4152       const uschar * t = s + 2;
4153       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
4154       yield = string_catn(yield, t, s - t);
4155       if (*s != 0) s += 2;
4156       }
4157
4158     else
4159       {
4160       uschar ch[1];
4161       ch[0] = string_interpret_escape(&s);
4162       s++;
4163       yield = string_catn(yield, ch, 1);
4164       }
4165
4166     continue;
4167     }
4168
4169   /*{*/
4170   /* Anything other than $ is just copied verbatim, unless we are
4171   looking for a terminating } character. */
4172
4173   /*{*/
4174   if (ket_ends && *s == '}') break;
4175
4176   if (*s != '$' || !honour_dollar)
4177     {
4178     yield = string_catn(yield, s++, 1);
4179     continue;
4180     }
4181
4182   /* No { after the $ - must be a plain name or a number for string
4183   match variable. There has to be a fudge for variables that are the
4184   names of header fields preceded by "$header_" because header field
4185   names can contain any printing characters except space and colon.
4186   For those that don't like typing this much, "$h_" is a synonym for
4187   "$header_". A non-existent header yields a NULL value; nothing is
4188   inserted. */  /*}*/
4189
4190   if (isalpha((*(++s))))
4191     {
4192     int len;
4193     int newsize = 0;
4194     gstring * g = NULL;
4195     uschar * t;
4196
4197     s = read_name(name, sizeof(name), s, US"_");
4198
4199     /* If this is the first thing to be expanded, release the pre-allocated
4200     buffer. */
4201
4202     if (!yield)
4203       g = store_get(sizeof(gstring), FALSE);
4204     else if (yield->ptr == 0)
4205       {
4206       if (resetok) reset_point = store_reset(reset_point);
4207       yield = NULL;
4208       reset_point = store_mark();
4209       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
4210       }
4211
4212     /* Header */
4213
4214     if (  ( *(t = name) == 'h'
4215           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4216           )
4217        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4218        )
4219       {
4220       unsigned flags = *name == 'r' ? FH_WANT_RAW
4221                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4222                       : 0;
4223       uschar * charset = *name == 'b' ? NULL : headers_charset;
4224
4225       s = read_header_name(name, sizeof(name), s);
4226       value = find_header(name, &newsize, flags, charset);
4227
4228       /* If we didn't find the header, and the header contains a closing brace
4229       character, this may be a user error where the terminating colon
4230       has been omitted. Set a flag to adjust the error message in this case.
4231       But there is no error here - nothing gets inserted. */
4232
4233       if (!value)
4234         {
4235         if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
4236         continue;
4237         }
4238       }
4239
4240     /* Variable */
4241
4242     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
4243       {
4244       expand_string_message =
4245         string_sprintf("unknown variable name \"%s\"", name);
4246         check_variable_error_message(name);
4247       goto EXPAND_FAILED;
4248       }
4249
4250     /* If the data is known to be in a new buffer, newsize will be set to the
4251     size of that buffer. If this is the first thing in an expansion string,
4252     yield will be NULL; just point it at the new store instead of copying. Many
4253     expansion strings contain just one reference, so this is a useful
4254     optimization, especially for humungous headers.  We need to use a gstring
4255     structure that is not allocated after that new-buffer, else a later store
4256     reset in the middle of the buffer will make it inaccessible. */
4257
4258     len = Ustrlen(value);
4259     if (!yield && newsize != 0)
4260       {
4261       yield = g;
4262       yield->size = newsize;
4263       yield->ptr = len;
4264       yield->s = value;
4265       }
4266     else
4267       yield = string_catn(yield, value, len);
4268
4269     continue;
4270     }
4271
4272   if (isdigit(*s))
4273     {
4274     int n;
4275     s = read_cnumber(&n, s);
4276     if (n >= 0 && n <= expand_nmax)
4277       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4278     continue;
4279     }
4280
4281   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4282
4283   if (*s != '{')                                                        /*}*/
4284     {
4285     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4286     goto EXPAND_FAILED;
4287     }
4288
4289   /* After { there can be various things, but they all start with
4290   an initial word, except for a number for a string match variable. */
4291
4292   if (isdigit((*(++s))))
4293     {
4294     int n;
4295     s = read_cnumber(&n, s);            /*{*/
4296     if (*s++ != '}')
4297       {                                 /*{*/
4298       expand_string_message = US"} expected after number";
4299       goto EXPAND_FAILED;
4300       }
4301     if (n >= 0 && n <= expand_nmax)
4302       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4303     continue;
4304     }
4305
4306   if (!isalpha(*s))
4307     {
4308     expand_string_message = US"letter or digit expected after ${";      /*}*/
4309     goto EXPAND_FAILED;
4310     }
4311
4312   /* Allow "-" in names to cater for substrings with negative
4313   arguments. Since we are checking for known names after { this is
4314   OK. */
4315
4316   s = read_name(name, sizeof(name), s, US"_-");
4317   item_type = chop_match(name, item_table, nelem(item_table));
4318
4319   switch(item_type)
4320     {
4321     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4322     If the ACL returns accept or reject we return content set by "message ="
4323     There is currently no limit on recursion; this would have us call
4324     acl_check_internal() directly and get a current level from somewhere.
4325     See also the acl expansion condition ECOND_ACL and the traditional
4326     acl modifier ACLC_ACL.
4327     Assume that the function has side-effects on the store that must be preserved.
4328     */
4329
4330     case EITEM_ACL:
4331       /* ${acl {name} {arg1}{arg2}...} */
4332       {
4333       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4334       uschar *user_msg;
4335       int rc;
4336
4337       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, US"acl",
4338                       &resetok))
4339         {
4340         case 1: goto EXPAND_FAILED_CURLY;
4341         case 2:
4342         case 3: goto EXPAND_FAILED;
4343         }
4344       if (skipping) continue;
4345
4346       resetok = FALSE;
4347       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4348         {
4349         case OK:
4350         case FAIL:
4351           DEBUG(D_expand)
4352             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4353           if (user_msg)
4354             yield = string_cat(yield, user_msg);
4355           continue;
4356
4357         case DEFER:
4358           f.expand_string_forcedfail = TRUE;
4359           /*FALLTHROUGH*/
4360         default:
4361           expand_string_message = string_sprintf("%s from acl \"%s\"",
4362             rc_names[rc], sub[0]);
4363           goto EXPAND_FAILED;
4364         }
4365       }
4366
4367     case EITEM_AUTHRESULTS:
4368       /* ${authresults {mysystemname}} */
4369       {
4370       uschar *sub_arg[1];
4371
4372       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4373                       &resetok))
4374         {
4375         case 1: goto EXPAND_FAILED_CURLY;
4376         case 2:
4377         case 3: goto EXPAND_FAILED;
4378         }
4379
4380       yield = string_append(yield, 3,
4381                         US"Authentication-Results: ", sub_arg[0], US"; none");
4382       yield->ptr -= 6;
4383
4384       yield = authres_local(yield, sub_arg[0]);
4385       yield = authres_iprev(yield);
4386       yield = authres_smtpauth(yield);
4387 #ifdef SUPPORT_SPF
4388       yield = authres_spf(yield);
4389 #endif
4390 #ifndef DISABLE_DKIM
4391       yield = authres_dkim(yield);
4392 #endif
4393 #ifdef EXPERIMENTAL_DMARC
4394       yield = authres_dmarc(yield);
4395 #endif
4396 #ifdef EXPERIMENTAL_ARC
4397       yield = authres_arc(yield);
4398 #endif
4399       continue;
4400       }
4401
4402     /* Handle conditionals - preserve the values of the numerical expansion
4403     variables in case they get changed by a regular expression match in the
4404     condition. If not, they retain their external settings. At the end
4405     of this "if" section, they get restored to their previous values. */
4406
4407     case EITEM_IF:
4408       {
4409       BOOL cond = FALSE;
4410       const uschar *next_s;
4411       int save_expand_nmax =
4412         save_expand_strings(save_expand_nstring, save_expand_nlength);
4413
4414       while (isspace(*s)) s++;
4415       next_s = eval_condition(s, &resetok, skipping ? NULL : &cond);
4416       if (next_s == NULL) goto EXPAND_FAILED;  /* message already set */
4417
4418       DEBUG(D_expand)
4419         DEBUG(D_noutf8)
4420           {
4421           debug_printf_indent("|--condition: %.*s\n", (int)(next_s - s), s);
4422           debug_printf_indent("|-----result: %s\n", cond ? "true" : "false");
4423           }
4424         else
4425           {
4426           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4427             "condition: %.*s\n",
4428             (int)(next_s - s), s);
4429           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4430             UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4431             "result: %s\n",
4432             cond ? "true" : "false");
4433           }
4434
4435       s = next_s;
4436
4437       /* The handling of "yes" and "no" result strings is now in a separate
4438       function that is also used by ${lookup} and ${extract} and ${run}. */
4439
4440       switch(process_yesno(
4441                skipping,                     /* were previously skipping */
4442                cond,                         /* success/failure indicator */
4443                lookup_value,                 /* value to reset for string2 */
4444                &s,                           /* input pointer */
4445                &yield,                       /* output pointer */
4446                US"if",                       /* condition type */
4447                &resetok))
4448         {
4449         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4450         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4451         }
4452
4453       /* Restore external setting of expansion variables for continuation
4454       at this level. */
4455
4456       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4457         save_expand_nlength);
4458       continue;
4459       }
4460
4461 #ifdef SUPPORT_I18N
4462     case EITEM_IMAPFOLDER:
4463       {                         /* ${imapfolder {name}{sep]{specials}} */
4464       uschar *sub_arg[3];
4465       uschar *encoded;
4466
4467       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4468                       &resetok))
4469         {
4470         case 1: goto EXPAND_FAILED_CURLY;
4471         case 2:
4472         case 3: goto EXPAND_FAILED;
4473         }
4474
4475       if (sub_arg[1] == NULL)           /* One argument */
4476         {
4477         sub_arg[1] = US"/";             /* default separator */
4478         sub_arg[2] = NULL;
4479         }
4480       else if (Ustrlen(sub_arg[1]) != 1)
4481         {
4482         expand_string_message =
4483           string_sprintf(
4484                 "IMAP folder separator must be one character, found \"%s\"",
4485                 sub_arg[1]);
4486         goto EXPAND_FAILED;
4487         }
4488
4489       if (!skipping)
4490         {
4491         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4492                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4493           goto EXPAND_FAILED;
4494         yield = string_cat(yield, encoded);
4495         }
4496       continue;
4497       }
4498 #endif
4499
4500     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4501     expanding an internal string that isn't actually going to be used. All we
4502     need to do is check the syntax, so don't do a lookup at all. Preserve the
4503     values of the numerical expansion variables in case they get changed by a
4504     partial lookup. If not, they retain their external settings. At the end
4505     of this "lookup" section, they get restored to their previous values. */
4506
4507     case EITEM_LOOKUP:
4508       {
4509       int stype, partial, affixlen, starflags;
4510       int expand_setup = 0;
4511       int nameptr = 0;
4512       uschar *key, *filename;
4513       const uschar *affix;
4514       uschar *save_lookup_value = lookup_value;
4515       int save_expand_nmax =
4516         save_expand_strings(save_expand_nstring, save_expand_nlength);
4517
4518       if ((expand_forbid & RDO_LOOKUP) != 0)
4519         {
4520         expand_string_message = US"lookup expansions are not permitted";
4521         goto EXPAND_FAILED;
4522         }
4523
4524       /* Get the key we are to look up for single-key+file style lookups.
4525       Otherwise set the key NULL pro-tem. */
4526
4527       while (isspace(*s)) s++;
4528       if (*s == '{')                                    /*}*/
4529         {
4530         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4531         if (!key) goto EXPAND_FAILED;                   /*{{*/
4532         if (*s++ != '}')
4533           {
4534           expand_string_message = US"missing '}' after lookup key";
4535           goto EXPAND_FAILED_CURLY;
4536           }
4537         while (isspace(*s)) s++;
4538         }
4539       else key = NULL;
4540
4541       /* Find out the type of database */
4542
4543       if (!isalpha(*s))
4544         {
4545         expand_string_message = US"missing lookup type";
4546         goto EXPAND_FAILED;
4547         }
4548
4549       /* The type is a string that may contain special characters of various
4550       kinds. Allow everything except space or { to appear; the actual content
4551       is checked by search_findtype_partial. */         /*}*/
4552
4553       while (*s != 0 && *s != '{' && !isspace(*s))      /*}*/
4554         {
4555         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4556         s++;
4557         }
4558       name[nameptr] = 0;
4559       while (isspace(*s)) s++;
4560
4561       /* Now check for the individual search type and any partial or default
4562       options. Only those types that are actually in the binary are valid. */
4563
4564       stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4565         &starflags);
4566       if (stype < 0)
4567         {
4568         expand_string_message = search_error_message;
4569         goto EXPAND_FAILED;
4570         }
4571
4572       /* Check that a key was provided for those lookup types that need it,
4573       and was not supplied for those that use the query style. */
4574
4575       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4576         {
4577         if (key == NULL)
4578           {
4579           expand_string_message = string_sprintf("missing {key} for single-"
4580             "key \"%s\" lookup", name);
4581           goto EXPAND_FAILED;
4582           }
4583         }
4584       else
4585         {
4586         if (key != NULL)
4587           {
4588           expand_string_message = string_sprintf("a single key was given for "
4589             "lookup type \"%s\", which is not a single-key lookup type", name);
4590           goto EXPAND_FAILED;
4591           }
4592         }
4593
4594       /* Get the next string in brackets and expand it. It is the file name for
4595       single-key+file lookups, and the whole query otherwise. In the case of
4596       queries that also require a file name (e.g. sqlite), the file name comes
4597       first. */
4598
4599       if (*s != '{')
4600         {
4601         expand_string_message = US"missing '{' for lookup file-or-query arg";
4602         goto EXPAND_FAILED_CURLY;
4603         }
4604       filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4605       if (filename == NULL) goto EXPAND_FAILED;
4606       if (*s++ != '}')
4607         {
4608         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4609         goto EXPAND_FAILED_CURLY;
4610         }
4611       while (isspace(*s)) s++;
4612
4613       /* If this isn't a single-key+file lookup, re-arrange the variables
4614       to be appropriate for the search_ functions. For query-style lookups,
4615       there is just a "key", and no file name. For the special query-style +
4616       file types, the query (i.e. "key") starts with a file name. */
4617
4618       if (!key)
4619         {
4620         while (isspace(*filename)) filename++;
4621         key = filename;
4622
4623         if (mac_islookup(stype, lookup_querystyle))
4624           filename = NULL;
4625         else
4626           {
4627           if (*filename != '/')
4628             {
4629             expand_string_message = string_sprintf(
4630               "absolute file name expected for \"%s\" lookup", name);
4631             goto EXPAND_FAILED;
4632             }
4633           while (*key != 0 && !isspace(*key)) key++;
4634           if (*key != 0) *key++ = 0;
4635           }
4636         }
4637
4638       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4639       the entry was not found. Note that there is no search_close() function.
4640       Files are left open in case of re-use. At suitable places in higher logic,
4641       search_tidyup() is called to tidy all open files. This can save opening
4642       the same file several times. However, files may also get closed when
4643       others are opened, if too many are open at once. The rule is that a
4644       handle should not be used after a second search_open().
4645
4646       Request that a partial search sets up $1 and maybe $2 by passing
4647       expand_setup containing zero. If its value changes, reset expand_nmax,
4648       since new variables will have been set. Note that at the end of this
4649       "lookup" section, the old numeric variables are restored. */
4650
4651       if (skipping)
4652         lookup_value = NULL;
4653       else
4654         {
4655         void *handle = search_open(filename, stype, 0, NULL, NULL);
4656         if (handle == NULL)
4657           {
4658           expand_string_message = search_error_message;
4659           goto EXPAND_FAILED;
4660           }
4661         lookup_value = search_find(handle, filename, key, partial, affix,
4662           affixlen, starflags, &expand_setup);
4663         if (f.search_find_defer)
4664           {
4665           expand_string_message =
4666             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4667               string_printing2(key, FALSE), search_error_message);
4668           goto EXPAND_FAILED;
4669           }
4670         if (expand_setup > 0) expand_nmax = expand_setup;
4671         }
4672
4673       /* The handling of "yes" and "no" result strings is now in a separate
4674       function that is also used by ${if} and ${extract}. */
4675
4676       switch(process_yesno(
4677                skipping,                     /* were previously skipping */
4678                lookup_value != NULL,         /* success/failure indicator */
4679                save_lookup_value,            /* value to reset for string2 */
4680                &s,                           /* input pointer */
4681                &yield,                       /* output pointer */
4682                US"lookup",                   /* condition type */
4683                &resetok))
4684         {
4685         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4686         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4687         }
4688
4689       /* Restore external setting of expansion variables for carrying on
4690       at this level, and continue. */
4691
4692       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4693         save_expand_nlength);
4694       continue;
4695       }
4696
4697     /* If Perl support is configured, handle calling embedded perl subroutines,
4698     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4699     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4700     arguments (defined below). */
4701
4702     #define EXIM_PERL_MAX_ARGS 8
4703
4704     case EITEM_PERL:
4705     #ifndef EXIM_PERL
4706     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4707       "is not included in this binary";
4708     goto EXPAND_FAILED;
4709
4710     #else   /* EXIM_PERL */
4711       {
4712       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4713       gstring *new_yield;
4714
4715       if ((expand_forbid & RDO_PERL) != 0)
4716         {
4717         expand_string_message = US"Perl calls are not permitted";
4718         goto EXPAND_FAILED;
4719         }
4720
4721       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4722            US"perl", &resetok))
4723         {
4724         case 1: goto EXPAND_FAILED_CURLY;
4725         case 2:
4726         case 3: goto EXPAND_FAILED;
4727         }
4728
4729       /* If skipping, we don't actually do anything */
4730
4731       if (skipping) continue;
4732
4733       /* Start the interpreter if necessary */
4734
4735       if (!opt_perl_started)
4736         {
4737         uschar *initerror;
4738         if (opt_perl_startup == NULL)
4739           {
4740           expand_string_message = US"A setting of perl_startup is needed when "
4741             "using the Perl interpreter";
4742           goto EXPAND_FAILED;
4743           }
4744         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4745         initerror = init_perl(opt_perl_startup);
4746         if (initerror != NULL)
4747           {
4748           expand_string_message =
4749             string_sprintf("error in perl_startup code: %s\n", initerror);
4750           goto EXPAND_FAILED;
4751           }
4752         opt_perl_started = TRUE;
4753         }
4754
4755       /* Call the function */
4756
4757       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
4758       new_yield = call_perl_cat(yield, &expand_string_message,
4759         sub_arg[0], sub_arg + 1);
4760
4761       /* NULL yield indicates failure; if the message pointer has been set to
4762       NULL, the yield was undef, indicating a forced failure. Otherwise the
4763       message will indicate some kind of Perl error. */
4764
4765       if (new_yield == NULL)
4766         {
4767         if (expand_string_message == NULL)
4768           {
4769           expand_string_message =
4770             string_sprintf("Perl subroutine \"%s\" returned undef to force "
4771               "failure", sub_arg[0]);
4772           f.expand_string_forcedfail = TRUE;
4773           }
4774         goto EXPAND_FAILED;
4775         }
4776
4777       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
4778       set during a callback from Perl. */
4779
4780       f.expand_string_forcedfail = FALSE;
4781       yield = new_yield;
4782       continue;
4783       }
4784     #endif /* EXIM_PERL */
4785
4786     /* Transform email address to "prvs" scheme to use
4787        as BATV-signed return path */
4788
4789     case EITEM_PRVS:
4790       {
4791       uschar *sub_arg[3];
4792       uschar *p,*domain;
4793
4794       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, US"prvs", &resetok))
4795         {
4796         case 1: goto EXPAND_FAILED_CURLY;
4797         case 2:
4798         case 3: goto EXPAND_FAILED;
4799         }
4800
4801       /* If skipping, we don't actually do anything */
4802       if (skipping) continue;
4803
4804       /* sub_arg[0] is the address */
4805       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
4806          || domain == sub_arg[0] || Ustrlen(domain) == 1)
4807         {
4808         expand_string_message = US"prvs first argument must be a qualified email address";
4809         goto EXPAND_FAILED;
4810         }
4811
4812       /* Calculate the hash. The third argument must be a single-digit
4813       key number, or unset. */
4814
4815       if (  sub_arg[2]
4816          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
4817         {
4818         expand_string_message = US"prvs third argument must be a single digit";
4819         goto EXPAND_FAILED;
4820         }
4821
4822       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
4823       if (!p)
4824         {
4825         expand_string_message = US"prvs hmac-sha1 conversion failed";
4826         goto EXPAND_FAILED;
4827         }
4828
4829       /* Now separate the domain from the local part */
4830       *domain++ = '\0';
4831
4832       yield = string_catn(yield, US"prvs=", 5);
4833       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
4834       yield = string_catn(yield, prvs_daystamp(7), 3);
4835       yield = string_catn(yield, p, 6);
4836       yield = string_catn(yield, US"=", 1);
4837       yield = string_cat (yield, sub_arg[0]);
4838       yield = string_catn(yield, US"@", 1);
4839       yield = string_cat (yield, domain);
4840
4841       continue;
4842       }
4843
4844     /* Check a prvs-encoded address for validity */
4845
4846     case EITEM_PRVSCHECK:
4847       {
4848       uschar *sub_arg[3];
4849       gstring * g;
4850       const pcre *re;
4851       uschar *p;
4852
4853       /* TF: Ugliness: We want to expand parameter 1 first, then set
4854          up expansion variables that are used in the expansion of
4855          parameter 2. So we clone the string for the first
4856          expansion, where we only expand parameter 1.
4857
4858          PH: Actually, that isn't necessary. The read_subs() function is
4859          designed to work this way for the ${if and ${lookup expansions. I've
4860          tidied the code.
4861       */
4862
4863       /* Reset expansion variables */
4864       prvscheck_result = NULL;
4865       prvscheck_address = NULL;
4866       prvscheck_keynum = NULL;
4867
4868       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4869         {
4870         case 1: goto EXPAND_FAILED_CURLY;
4871         case 2:
4872         case 3: goto EXPAND_FAILED;
4873         }
4874
4875       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
4876                               TRUE,FALSE);
4877
4878       if (regex_match_and_setup(re,sub_arg[0],0,-1))
4879         {
4880         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
4881         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
4882         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
4883         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
4884         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
4885
4886         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
4887         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
4888         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
4889         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
4890         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
4891
4892         /* Set up expansion variables */
4893         g = string_cat (NULL, local_part);
4894         g = string_catn(g, US"@", 1);
4895         g = string_cat (g, domain);
4896         prvscheck_address = string_from_gstring(g);
4897         prvscheck_keynum = string_copy(key_num);
4898
4899         /* Now expand the second argument */
4900         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, US"prvs", &resetok))
4901           {
4902           case 1: goto EXPAND_FAILED_CURLY;
4903           case 2:
4904           case 3: goto EXPAND_FAILED;
4905           }
4906
4907         /* Now we have the key and can check the address. */
4908
4909         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
4910           daystamp);
4911
4912         if (!p)
4913           {
4914           expand_string_message = US"hmac-sha1 conversion failed";
4915           goto EXPAND_FAILED;
4916           }
4917
4918         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
4919         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
4920
4921         if (Ustrcmp(p,hash) == 0)
4922           {
4923           /* Success, valid BATV address. Now check the expiry date. */
4924           uschar *now = prvs_daystamp(0);
4925           unsigned int inow = 0,iexpire = 1;
4926
4927           (void)sscanf(CS now,"%u",&inow);
4928           (void)sscanf(CS daystamp,"%u",&iexpire);
4929
4930           /* When "iexpire" is < 7, a "flip" has occurred.
4931              Adjust "inow" accordingly. */
4932           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
4933
4934           if (iexpire >= inow)
4935             {
4936             prvscheck_result = US"1";
4937             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
4938             }
4939           else
4940             {
4941             prvscheck_result = NULL;
4942             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
4943             }
4944           }
4945         else
4946           {
4947           prvscheck_result = NULL;
4948           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
4949           }
4950
4951         /* Now expand the final argument. We leave this till now so that
4952         it can include $prvscheck_result. */
4953
4954         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, US"prvs", &resetok))
4955           {
4956           case 1: goto EXPAND_FAILED_CURLY;
4957           case 2:
4958           case 3: goto EXPAND_FAILED;
4959           }
4960
4961         yield = string_cat(yield,
4962           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
4963
4964         /* Reset the "internal" variables afterwards, because they are in
4965         dynamic store that will be reclaimed if the expansion succeeded. */
4966
4967         prvscheck_address = NULL;
4968         prvscheck_keynum = NULL;
4969         }
4970       else
4971         /* Does not look like a prvs encoded address, return the empty string.
4972            We need to make sure all subs are expanded first, so as to skip over
4973            the entire item. */
4974
4975         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"prvs", &resetok))
4976           {
4977           case 1: goto EXPAND_FAILED_CURLY;
4978           case 2:
4979           case 3: goto EXPAND_FAILED;
4980           }
4981
4982       continue;
4983       }
4984
4985     /* Handle "readfile" to insert an entire file */
4986
4987     case EITEM_READFILE:
4988       {
4989       FILE *f;
4990       uschar *sub_arg[2];
4991
4992       if ((expand_forbid & RDO_READFILE) != 0)
4993         {
4994         expand_string_message = US"file insertions are not permitted";
4995         goto EXPAND_FAILED;
4996         }
4997
4998       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, US"readfile", &resetok))
4999         {
5000         case 1: goto EXPAND_FAILED_CURLY;
5001         case 2:
5002         case 3: goto EXPAND_FAILED;
5003         }
5004
5005       /* If skipping, we don't actually do anything */
5006
5007       if (skipping) continue;
5008
5009       /* Open the file and read it */
5010
5011       if (!(f = Ufopen(sub_arg[0], "rb")))
5012         {
5013         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
5014         goto EXPAND_FAILED;
5015         }
5016
5017       yield = cat_file(f, yield, sub_arg[1]);
5018       (void)fclose(f);
5019       continue;
5020       }
5021
5022     /* Handle "readsocket" to insert data from a socket, either
5023     Inet or Unix domain */
5024
5025     case EITEM_READSOCK:
5026       {
5027       client_conn_ctx cctx;
5028       int timeout = 5;
5029       int save_ptr = yield->ptr;
5030       FILE * fp = NULL;
5031       uschar * arg;
5032       uschar * sub_arg[4];
5033       uschar * server_name = NULL;
5034       host_item host;
5035       BOOL do_shutdown = TRUE;
5036       BOOL do_tls = FALSE;      /* Only set under ! DISABLE_TLS */
5037       blob reqstr;
5038
5039       if (expand_forbid & RDO_READSOCK)
5040         {
5041         expand_string_message = US"socket insertions are not permitted";
5042         goto EXPAND_FAILED;
5043         }
5044
5045       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5046       because there may be a string for expansion on failure. */
5047
5048       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, US"readsocket", &resetok))
5049         {
5050         case 1: goto EXPAND_FAILED_CURLY;
5051         case 2:                             /* Won't occur: no end check */
5052         case 3: goto EXPAND_FAILED;
5053         }
5054
5055       /* Grab the request string, if any */
5056
5057       reqstr.data = sub_arg[1];
5058       reqstr.len = Ustrlen(sub_arg[1]);
5059
5060       /* Sort out timeout, if given.  The second arg is a list with the first element
5061       being a time value.  Any more are options of form "name=value".  Currently the
5062       only option recognised is "shutdown". */
5063
5064       if (sub_arg[2])
5065         {
5066         const uschar * list = sub_arg[2];
5067         uschar * item;
5068         int sep = 0;
5069
5070         item = string_nextinlist(&list, &sep, NULL, 0);
5071         if ((timeout = readconf_readtime(item, 0, FALSE)) < 0)
5072           {
5073           expand_string_message = string_sprintf("bad time value %s", item);
5074           goto EXPAND_FAILED;
5075           }
5076
5077         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5078           if (Ustrncmp(item, US"shutdown=", 9) == 0)
5079             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
5080 #ifndef DISABLE_TLS
5081           else if (Ustrncmp(item, US"tls=", 4) == 0)
5082             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
5083 #endif
5084         }
5085       else
5086         sub_arg[3] = NULL;                     /* No eol if no timeout */
5087
5088       /* If skipping, we don't actually do anything. Otherwise, arrange to
5089       connect to either an IP or a Unix socket. */
5090
5091       if (!skipping)
5092         {
5093         /* Handle an IP (internet) domain */
5094
5095         if (Ustrncmp(sub_arg[0], "inet:", 5) == 0)
5096           {
5097           int port;
5098           uschar * port_name;
5099
5100           server_name = sub_arg[0] + 5;
5101           port_name = Ustrrchr(server_name, ':');
5102
5103           /* Sort out the port */
5104
5105           if (!port_name)
5106             {
5107             expand_string_message =
5108               string_sprintf("missing port for readsocket %s", sub_arg[0]);
5109             goto EXPAND_FAILED;
5110             }
5111           *port_name++ = 0;           /* Terminate server name */
5112
5113           if (isdigit(*port_name))
5114             {
5115             uschar *end;
5116             port = Ustrtol(port_name, &end, 0);
5117             if (end != port_name + Ustrlen(port_name))
5118               {
5119               expand_string_message =
5120                 string_sprintf("invalid port number %s", port_name);
5121               goto EXPAND_FAILED;
5122               }
5123             }
5124           else
5125             {
5126             struct servent *service_info = getservbyname(CS port_name, "tcp");
5127             if (!service_info)
5128               {
5129               expand_string_message = string_sprintf("unknown port \"%s\"",
5130                 port_name);
5131               goto EXPAND_FAILED;
5132               }
5133             port = ntohs(service_info->s_port);
5134             }
5135
5136           /*XXX we trust that the request is idempotent for TFO.  Hmm. */
5137           cctx.sock = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
5138                   timeout, &host, &expand_string_message,
5139                   do_tls ? NULL : &reqstr);
5140           callout_address = NULL;
5141           if (cctx.sock < 0)
5142             goto SOCK_FAIL;
5143           if (!do_tls)
5144             reqstr.len = 0;
5145           }
5146
5147         /* Handle a Unix domain socket */
5148
5149         else
5150           {
5151           struct sockaddr_un sockun;         /* don't call this "sun" ! */
5152           int rc;
5153
5154           if ((cctx.sock = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
5155             {
5156             expand_string_message = string_sprintf("failed to create socket: %s",
5157               strerror(errno));
5158             goto SOCK_FAIL;
5159             }
5160
5161           sockun.sun_family = AF_UNIX;
5162           sprintf(sockun.sun_path, "%.*s", (int)(sizeof(sockun.sun_path)-1),
5163             sub_arg[0]);
5164           server_name = US sockun.sun_path;
5165
5166           sigalrm_seen = FALSE;
5167           ALARM(timeout);
5168           rc = connect(cctx.sock, (struct sockaddr *)(&sockun), sizeof(sockun));
5169           ALARM_CLR(0);
5170           if (sigalrm_seen)
5171             {
5172             expand_string_message = US "socket connect timed out";
5173             goto SOCK_FAIL;
5174             }
5175           if (rc < 0)
5176             {
5177             expand_string_message = string_sprintf("failed to connect to socket "
5178               "%s: %s", sub_arg[0], strerror(errno));
5179             goto SOCK_FAIL;
5180             }
5181           host.name = server_name;
5182           host.address = US"";
5183           }
5184
5185         DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
5186
5187 #ifndef DISABLE_TLS
5188         if (do_tls)
5189           {
5190           smtp_connect_args conn_args = {.host = &host };
5191           tls_support tls_dummy = {.sni=NULL};
5192           uschar * errstr;
5193
5194           if (!tls_client_start(&cctx, &conn_args, NULL, &tls_dummy, &errstr))
5195             {
5196             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
5197             goto SOCK_FAIL;
5198             }
5199           }
5200 #endif
5201
5202         /* Allow sequencing of test actions */
5203         if (f.running_in_test_harness) millisleep(100);
5204
5205         /* Write the request string, if not empty or already done */
5206
5207         if (reqstr.len)
5208           {
5209           DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
5210             reqstr.data);
5211           if ( (
5212 #ifndef DISABLE_TLS
5213               do_tls ? tls_write(cctx.tls_ctx, reqstr.data, reqstr.len, FALSE) :
5214 #endif
5215                         write(cctx.sock, reqstr.data, reqstr.len)) != reqstr.len)
5216             {
5217             expand_string_message = string_sprintf("request write to socket "
5218               "failed: %s", strerror(errno));
5219             goto SOCK_FAIL;
5220             }
5221           }
5222
5223         /* Shut down the sending side of the socket. This helps some servers to
5224         recognise that it is their turn to do some work. Just in case some
5225         system doesn't have this function, make it conditional. */
5226
5227 #ifdef SHUT_WR
5228         if (!do_tls && do_shutdown) shutdown(cctx.sock, SHUT_WR);
5229 #endif
5230
5231         if (f.running_in_test_harness) millisleep(100);
5232
5233         /* Now we need to read from the socket, under a timeout. The function
5234         that reads a file can be used. */
5235
5236         if (!do_tls)
5237           fp = fdopen(cctx.sock, "rb");
5238         sigalrm_seen = FALSE;
5239         ALARM(timeout);
5240         yield =
5241 #ifndef DISABLE_TLS
5242           do_tls ? cat_file_tls(cctx.tls_ctx, yield, sub_arg[3]) :
5243 #endif
5244                     cat_file(fp, yield, sub_arg[3]);
5245         ALARM_CLR(0);
5246
5247 #ifndef DISABLE_TLS
5248         if (do_tls)
5249           {
5250           tls_close(cctx.tls_ctx, TRUE);
5251           close(cctx.sock);
5252           }
5253         else
5254 #endif
5255           (void)fclose(fp);
5256
5257         /* After a timeout, we restore the pointer in the result, that is,
5258         make sure we add nothing from the socket. */
5259
5260         if (sigalrm_seen)
5261           {
5262           yield->ptr = save_ptr;
5263           expand_string_message = US "socket read timed out";
5264           goto SOCK_FAIL;
5265           }
5266         }
5267
5268       /* The whole thing has worked (or we were skipping). If there is a
5269       failure string following, we need to skip it. */
5270
5271       if (*s == '{')
5272         {
5273         if (expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok) == NULL)
5274           goto EXPAND_FAILED;
5275         if (*s++ != '}')
5276           {
5277           expand_string_message = US"missing '}' closing failstring for readsocket";
5278           goto EXPAND_FAILED_CURLY;
5279           }
5280         while (isspace(*s)) s++;
5281         }
5282
5283     READSOCK_DONE:
5284       if (*s++ != '}')
5285         {
5286         expand_string_message = US"missing '}' closing readsocket";
5287         goto EXPAND_FAILED_CURLY;
5288         }
5289       continue;
5290
5291       /* Come here on failure to create socket, connect socket, write to the
5292       socket, or timeout on reading. If another substring follows, expand and
5293       use it. Otherwise, those conditions give expand errors. */
5294
5295     SOCK_FAIL:
5296       if (*s != '{') goto EXPAND_FAILED;
5297       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5298       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
5299         goto EXPAND_FAILED;
5300       yield = string_cat(yield, arg);
5301       if (*s++ != '}')
5302         {
5303         expand_string_message = US"missing '}' closing failstring for readsocket";
5304         goto EXPAND_FAILED_CURLY;
5305         }
5306       while (isspace(*s)) s++;
5307       goto READSOCK_DONE;
5308       }
5309
5310     /* Handle "run" to execute a program. */
5311
5312     case EITEM_RUN:
5313       {
5314       FILE *f;
5315       uschar *arg;
5316       const uschar **argv;
5317       pid_t pid;
5318       int fd_in, fd_out;
5319
5320       if ((expand_forbid & RDO_RUN) != 0)
5321         {
5322         expand_string_message = US"running a command is not permitted";
5323         goto EXPAND_FAILED;
5324         }
5325
5326       while (isspace(*s)) s++;
5327       if (*s != '{')
5328         {
5329         expand_string_message = US"missing '{' for command arg of run";
5330         goto EXPAND_FAILED_CURLY;
5331         }
5332       arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5333       if (arg == NULL) goto EXPAND_FAILED;
5334       while (isspace(*s)) s++;
5335       if (*s++ != '}')
5336         {
5337         expand_string_message = US"missing '}' closing command arg of run";
5338         goto EXPAND_FAILED_CURLY;
5339         }
5340
5341       if (skipping)   /* Just pretend it worked when we're skipping */
5342         {
5343         runrc = 0;
5344         lookup_value = NULL;
5345         }
5346       else
5347         {
5348         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5349             arg,                                /* raw command */
5350             FALSE,                              /* don't expand the arguments */
5351             0,                                  /* not relevant when... */
5352             NULL,                               /* no transporting address */
5353             US"${run} expansion",               /* for error messages */
5354             &expand_string_message))            /* where to put error message */
5355           goto EXPAND_FAILED;
5356
5357         /* Create the child process, making it a group leader. */
5358
5359         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE)) < 0)
5360           {
5361           expand_string_message =
5362             string_sprintf("couldn't create child process: %s", strerror(errno));
5363           goto EXPAND_FAILED;
5364           }
5365
5366         /* Nothing is written to the standard input. */
5367
5368         (void)close(fd_in);
5369
5370         /* Read the pipe to get the command's output into $value (which is kept
5371         in lookup_value). Read during execution, so that if the output exceeds
5372         the OS pipe buffer limit, we don't block forever. Remember to not release
5373         memory just allocated for $value. */
5374
5375         resetok = FALSE;
5376         f = fdopen(fd_out, "rb");
5377         sigalrm_seen = FALSE;
5378         ALARM(60);
5379         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5380         ALARM_CLR(0);
5381         (void)fclose(f);
5382
5383         /* Wait for the process to finish, applying the timeout, and inspect its
5384         return code for serious disasters. Simple non-zero returns are passed on.
5385         */
5386
5387         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5388           {
5389           if (sigalrm_seen || runrc == -256)
5390             {
5391             expand_string_message = US"command timed out";
5392             killpg(pid, SIGKILL);       /* Kill the whole process group */
5393             }
5394
5395           else if (runrc == -257)
5396             expand_string_message = string_sprintf("wait() failed: %s",
5397               strerror(errno));
5398
5399           else
5400             expand_string_message = string_sprintf("command killed by signal %d",
5401               -runrc);
5402
5403           goto EXPAND_FAILED;
5404           }
5405         }
5406
5407       /* Process the yes/no strings; $value may be useful in both cases */
5408
5409       switch(process_yesno(
5410                skipping,                     /* were previously skipping */
5411                runrc == 0,                   /* success/failure indicator */
5412                lookup_value,                 /* value to reset for string2 */
5413                &s,                           /* input pointer */
5414                &yield,                       /* output pointer */
5415                US"run",                      /* condition type */
5416                &resetok))
5417         {
5418         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5419         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5420         }
5421
5422       continue;
5423       }
5424
5425     /* Handle character translation for "tr" */
5426
5427     case EITEM_TR:
5428       {
5429       int oldptr = yield->ptr;
5430       int o2m;
5431       uschar *sub[3];
5432
5433       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"tr", &resetok))
5434         {
5435         case 1: goto EXPAND_FAILED_CURLY;
5436         case 2:
5437         case 3: goto EXPAND_FAILED;
5438         }
5439
5440       yield = string_cat(yield, sub[0]);
5441       o2m = Ustrlen(sub[2]) - 1;
5442
5443       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5444         {
5445         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5446         if (m != NULL)
5447           {
5448           int o = m - sub[1];
5449           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5450           }
5451         }
5452
5453       continue;
5454       }
5455
5456     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5457     expanded arguments. */
5458
5459     case EITEM_HASH:
5460     case EITEM_LENGTH:
5461     case EITEM_NHASH:
5462     case EITEM_SUBSTR:
5463       {
5464       int len;
5465       uschar *ret;
5466       int val[2] = { 0, -1 };
5467       uschar *sub[3];
5468
5469       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5470       Ensure that sub[2] is set in the ${length } case. */
5471
5472       sub[2] = NULL;
5473       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5474              TRUE, name, &resetok))
5475         {
5476         case 1: goto EXPAND_FAILED_CURLY;
5477         case 2:
5478         case 3: goto EXPAND_FAILED;
5479         }
5480
5481       /* Juggle the arguments if there are only two of them: always move the
5482       string to the last position and make ${length{n}{str}} equivalent to
5483       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5484
5485       if (sub[2] == NULL)
5486         {
5487         sub[2] = sub[1];
5488         sub[1] = NULL;
5489         if (item_type == EITEM_LENGTH)
5490           {
5491           sub[1] = sub[0];
5492           sub[0] = NULL;
5493           }
5494         }
5495
5496       for (int i = 0; i < 2; i++) if (sub[i])
5497         {
5498         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5499         if (*ret != 0 || (i != 0 && val[i] < 0))
5500           {
5501           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5502             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5503           goto EXPAND_FAILED;
5504           }
5505         }
5506
5507       ret =
5508         (item_type == EITEM_HASH)?
5509           compute_hash(sub[2], val[0], val[1], &len) :
5510         (item_type == EITEM_NHASH)?
5511           compute_nhash(sub[2], val[0], val[1], &len) :
5512           extract_substr(sub[2], val[0], val[1], &len);
5513
5514       if (ret == NULL) goto EXPAND_FAILED;
5515       yield = string_catn(yield, ret, len);
5516       continue;
5517       }
5518
5519     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5520     This code originally contributed by Steve Haslam. It currently supports
5521     the use of MD5 and SHA-1 hashes.
5522
5523     We need some workspace that is large enough to handle all the supported
5524     hash types. Use macros to set the sizes rather than be too elaborate. */
5525
5526     #define MAX_HASHLEN      20
5527     #define MAX_HASHBLOCKLEN 64
5528
5529     case EITEM_HMAC:
5530       {
5531       uschar *sub[3];
5532       md5 md5_base;
5533       hctx sha1_ctx;
5534       void *use_base;
5535       int type;
5536       int hashlen;      /* Number of octets for the hash algorithm's output */
5537       int hashblocklen; /* Number of octets the hash algorithm processes */
5538       uschar *keyptr, *p;
5539       unsigned int keylen;
5540
5541       uschar keyhash[MAX_HASHLEN];
5542       uschar innerhash[MAX_HASHLEN];
5543       uschar finalhash[MAX_HASHLEN];
5544       uschar finalhash_hex[2*MAX_HASHLEN];
5545       uschar innerkey[MAX_HASHBLOCKLEN];
5546       uschar outerkey[MAX_HASHBLOCKLEN];
5547
5548       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5549         {
5550         case 1: goto EXPAND_FAILED_CURLY;
5551         case 2:
5552         case 3: goto EXPAND_FAILED;
5553         }
5554
5555       if (!skipping)
5556         {
5557         if (Ustrcmp(sub[0], "md5") == 0)
5558           {
5559           type = HMAC_MD5;
5560           use_base = &md5_base;
5561           hashlen = 16;
5562           hashblocklen = 64;
5563           }
5564         else if (Ustrcmp(sub[0], "sha1") == 0)
5565           {
5566           type = HMAC_SHA1;
5567           use_base = &sha1_ctx;
5568           hashlen = 20;
5569           hashblocklen = 64;
5570           }
5571         else
5572           {
5573           expand_string_message =
5574             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5575           goto EXPAND_FAILED;
5576           }
5577
5578         keyptr = sub[1];
5579         keylen = Ustrlen(keyptr);
5580
5581         /* If the key is longer than the hash block length, then hash the key
5582         first */
5583
5584         if (keylen > hashblocklen)
5585           {
5586           chash_start(type, use_base);
5587           chash_end(type, use_base, keyptr, keylen, keyhash);
5588           keyptr = keyhash;
5589           keylen = hashlen;
5590           }
5591
5592         /* Now make the inner and outer key values */
5593
5594         memset(innerkey, 0x36, hashblocklen);
5595         memset(outerkey, 0x5c, hashblocklen);
5596
5597         for (int i = 0; i < keylen; i++)
5598           {
5599           innerkey[i] ^= keyptr[i];
5600           outerkey[i] ^= keyptr[i];
5601           }
5602
5603         /* Now do the hashes */
5604
5605         chash_start(type, use_base);
5606         chash_mid(type, use_base, innerkey);
5607         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5608
5609         chash_start(type, use_base);
5610         chash_mid(type, use_base, outerkey);
5611         chash_end(type, use_base, innerhash, hashlen, finalhash);
5612
5613         /* Encode the final hash as a hex string */
5614
5615         p = finalhash_hex;
5616         for (int i = 0; i < hashlen; i++)
5617           {
5618           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5619           *p++ = hex_digits[finalhash[i] & 0x0f];
5620           }
5621
5622         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5623           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5624
5625         yield = string_catn(yield, finalhash_hex, hashlen*2);
5626         }
5627       continue;
5628       }
5629
5630     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5631     We have to save the numerical variables and restore them afterwards. */
5632
5633     case EITEM_SG:
5634       {
5635       const pcre *re;
5636       int moffset, moffsetextra, slen;
5637       int roffset;
5638       int emptyopt;
5639       const uschar *rerror;
5640       uschar *subject;
5641       uschar *sub[3];
5642       int save_expand_nmax =
5643         save_expand_strings(save_expand_nstring, save_expand_nlength);
5644
5645       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, US"sg", &resetok))
5646         {
5647         case 1: goto EXPAND_FAILED_CURLY;
5648         case 2:
5649         case 3: goto EXPAND_FAILED;
5650         }
5651
5652       /* Compile the regular expression */
5653
5654       re = pcre_compile(CS sub[1], PCRE_COPT, (const char **)&rerror, &roffset,
5655         NULL);
5656
5657       if (re == NULL)
5658         {
5659         expand_string_message = string_sprintf("regular expression error in "
5660           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5661         goto EXPAND_FAILED;
5662         }
5663
5664       /* Now run a loop to do the substitutions as often as necessary. It ends
5665       when there are no more matches. Take care over matches of the null string;
5666       do the same thing as Perl does. */
5667
5668       subject = sub[0];
5669       slen = Ustrlen(sub[0]);
5670       moffset = moffsetextra = 0;
5671       emptyopt = 0;
5672
5673       for (;;)
5674         {
5675         int ovector[3*(EXPAND_MAXN+1)];
5676         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5677           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5678         uschar *insert;
5679
5680         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5681         is not necessarily the end. We want to repeat the match from one
5682         character further along, but leaving the basic offset the same (for
5683         copying below). We can't be at the end of the string - that was checked
5684         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5685         finished; copy the remaining string and end the loop. */
5686
5687         if (n < 0)
5688           {
5689           if (emptyopt != 0)
5690             {
5691             moffsetextra = 1;
5692             emptyopt = 0;
5693             continue;
5694             }
5695           yield = string_catn(yield, subject+moffset, slen-moffset);
5696           break;
5697           }
5698
5699         /* Match - set up for expanding the replacement. */
5700
5701         if (n == 0) n = EXPAND_MAXN + 1;
5702         expand_nmax = 0;
5703         for (int nn = 0; nn < n*2; nn += 2)
5704           {
5705           expand_nstring[expand_nmax] = subject + ovector[nn];
5706           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5707           }
5708         expand_nmax--;
5709
5710         /* Copy the characters before the match, plus the expanded insertion. */
5711
5712         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5713         insert = expand_string(sub[2]);
5714         if (insert == NULL) goto EXPAND_FAILED;
5715         yield = string_cat(yield, insert);
5716
5717         moffset = ovector[1];
5718         moffsetextra = 0;
5719         emptyopt = 0;
5720
5721         /* If we have matched an empty string, first check to see if we are at
5722         the end of the subject. If so, the loop is over. Otherwise, mimic
5723         what Perl's /g options does. This turns out to be rather cunning. First
5724         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5725         string at the same point. If this fails (picked up above) we advance to
5726         the next character. */
5727
5728         if (ovector[0] == ovector[1])
5729           {
5730           if (ovector[0] == slen) break;
5731           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5732           }
5733         }
5734
5735       /* All done - restore numerical variables. */
5736
5737       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5738         save_expand_nlength);
5739       continue;
5740       }
5741
5742     /* Handle keyed and numbered substring extraction. If the first argument
5743     consists entirely of digits, then a numerical extraction is assumed. */
5744
5745     case EITEM_EXTRACT:
5746       {
5747       int field_number = 1;
5748       BOOL field_number_set = FALSE;
5749       uschar *save_lookup_value = lookup_value;
5750       uschar *sub[3];
5751       int save_expand_nmax =
5752         save_expand_strings(save_expand_nstring, save_expand_nlength);
5753
5754       /* On reflection the original behaviour of extract-json for a string
5755       result, leaving it quoted, was a mistake.  But it was already published,
5756       hence the addition of jsons.  In a future major version, make json
5757       work like josons, and withdraw jsons. */
5758
5759       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
5760
5761       while (isspace(*s)) s++;
5762
5763       /* Check for a format-variant specifier */
5764
5765       if (*s != '{')                                    /*}*/
5766         if (Ustrncmp(s, "json", 4) == 0)
5767           if (*(s += 4) == 's')
5768             {fmt = extract_jsons; s++;}
5769           else
5770             fmt = extract_json;
5771
5772       /* While skipping we cannot rely on the data for expansions being
5773       available (eg. $item) hence cannot decide on numeric vs. keyed.
5774       Read a maximum of 5 arguments (including the yes/no) */
5775
5776       if (skipping)
5777         {
5778         for (int j = 5; j > 0 && *s == '{'; j--)                /*'}'*/
5779           {
5780           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5781             goto EXPAND_FAILED;                                 /*'{'*/
5782           if (*s++ != '}')
5783             {
5784             expand_string_message = US"missing '{' for arg of extract";
5785             goto EXPAND_FAILED_CURLY;
5786             }
5787           while (isspace(*s)) s++;
5788           }
5789         if (  Ustrncmp(s, "fail", 4) == 0                       /*'{'*/
5790            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5791            )
5792           {
5793           s += 4;
5794           while (isspace(*s)) s++;
5795           }                                                     /*'{'*/
5796         if (*s != '}')
5797           {
5798           expand_string_message = US"missing '}' closing extract";
5799           goto EXPAND_FAILED_CURLY;
5800           }
5801         }
5802
5803       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5804         {
5805         while (isspace(*s)) s++;
5806         if (*s == '{')                                          /*'}'*/
5807           {
5808           sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
5809           if (sub[i] == NULL) goto EXPAND_FAILED;               /*'{'*/
5810           if (*s++ != '}')
5811             {
5812             expand_string_message = string_sprintf(
5813               "missing '}' closing arg %d of extract", i+1);
5814             goto EXPAND_FAILED_CURLY;
5815             }
5816
5817           /* After removal of leading and trailing white space, the first
5818           argument must not be empty; if it consists entirely of digits
5819           (optionally preceded by a minus sign), this is a numerical
5820           extraction, and we expect 3 arguments (normal) or 2 (json). */
5821
5822           if (i == 0)
5823             {
5824             int len;
5825             int x = 0;
5826             uschar *p = sub[0];
5827
5828             while (isspace(*p)) p++;
5829             sub[0] = p;
5830
5831             len = Ustrlen(p);
5832             while (len > 0 && isspace(p[len-1])) len--;
5833             p[len] = 0;
5834
5835             if (*p == 0)
5836               {
5837               expand_string_message = US"first argument of \"extract\" must "
5838                 "not be empty";
5839               goto EXPAND_FAILED;
5840               }
5841
5842             if (*p == '-')
5843               {
5844               field_number = -1;
5845               p++;
5846               }
5847             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5848             if (*p == 0)
5849               {
5850               field_number *= x;
5851               if (fmt == extract_basic) j = 3;               /* Need 3 args */
5852               field_number_set = TRUE;
5853               }
5854             }
5855           }
5856         else
5857           {
5858           expand_string_message = string_sprintf(
5859             "missing '{' for arg %d of extract", i+1);
5860           goto EXPAND_FAILED_CURLY;
5861           }
5862         }
5863
5864       /* Extract either the numbered or the keyed substring into $value. If
5865       skipping, just pretend the extraction failed. */
5866
5867       if (skipping)
5868         lookup_value = NULL;
5869       else switch (fmt)
5870         {
5871         case extract_basic:
5872           lookup_value = field_number_set
5873             ? expand_gettokened(field_number, sub[1], sub[2])
5874             : expand_getkeyed(sub[0], sub[1]);
5875           break;
5876
5877         case extract_json:
5878         case extract_jsons:
5879           {
5880           uschar * s, * item;
5881           const uschar * list;
5882
5883           /* Array: Bracket-enclosed and comma-separated.
5884           Object: Brace-enclosed, comma-sep list of name:value pairs */
5885
5886           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
5887             {
5888             expand_string_message =
5889               string_sprintf("%s wrapping %s for extract json",
5890                 expand_string_message,
5891                 field_number_set ? "array" : "object");
5892             goto EXPAND_FAILED_CURLY;
5893             }
5894
5895           list = s;
5896           if (field_number_set)
5897             {
5898             if (field_number <= 0)
5899               {
5900               expand_string_message = US"first argument of \"extract\" must "
5901                 "be greater than zero";
5902               goto EXPAND_FAILED;
5903               }
5904             while (field_number > 0 && (item = json_nextinlist(&list)))
5905               field_number--;
5906             if ((lookup_value = s = item))
5907               {
5908               while (*s) s++;
5909               while (--s >= lookup_value && isspace(*s)) *s = '\0';
5910               }
5911             }
5912           else
5913             {
5914             lookup_value = NULL;
5915             while ((item = json_nextinlist(&list)))
5916               {
5917               /* Item is:  string name-sep value.  string is quoted.
5918               Dequote the string and compare with the search key. */
5919
5920               if (!(item = dewrap(item, US"\"\"")))
5921                 {
5922                 expand_string_message =
5923                   string_sprintf("%s wrapping string key for extract json",
5924                     expand_string_message);
5925                 goto EXPAND_FAILED_CURLY;
5926                 }
5927               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
5928                 {
5929                 s = item + Ustrlen(item) + 1;
5930                 while (isspace(*s)) s++;
5931                 if (*s != ':')
5932                   {
5933                   expand_string_message =
5934                     US"missing object value-separator for extract json";
5935                   goto EXPAND_FAILED_CURLY;
5936                   }
5937                 s++;
5938                 while (isspace(*s)) s++;
5939                 lookup_value = s;
5940                 break;
5941                 }
5942               }
5943             }
5944           }
5945
5946           if (  fmt == extract_jsons
5947              && lookup_value
5948              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
5949             {
5950             expand_string_message =
5951               string_sprintf("%s wrapping string result for extract jsons",
5952                 expand_string_message);
5953             goto EXPAND_FAILED_CURLY;
5954             }
5955           break;        /* json/s */
5956         }
5957
5958       /* If no string follows, $value gets substituted; otherwise there can
5959       be yes/no strings, as for lookup or if. */
5960
5961       switch(process_yesno(
5962                skipping,                     /* were previously skipping */
5963                lookup_value != NULL,         /* success/failure indicator */
5964                save_lookup_value,            /* value to reset for string2 */
5965                &s,                           /* input pointer */
5966                &yield,                       /* output pointer */
5967                US"extract",                  /* condition type */
5968                &resetok))
5969         {
5970         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5971         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5972         }
5973
5974       /* All done - restore numerical variables. */
5975
5976       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5977         save_expand_nlength);
5978
5979       continue;
5980       }
5981
5982     /* return the Nth item from a list */
5983
5984     case EITEM_LISTEXTRACT:
5985       {
5986       int field_number = 1;
5987       uschar *save_lookup_value = lookup_value;
5988       uschar *sub[2];
5989       int save_expand_nmax =
5990         save_expand_strings(save_expand_nstring, save_expand_nlength);
5991
5992       /* Read the field & list arguments */
5993
5994       for (int i = 0; i < 2; i++)
5995         {
5996         while (isspace(*s)) s++;
5997         if (*s != '{')                                  /*'}'*/
5998           {
5999           expand_string_message = string_sprintf(
6000             "missing '{' for arg %d of listextract", i+1);
6001           goto EXPAND_FAILED_CURLY;
6002           }
6003
6004         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6005         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
6006         if (*s++ != '}')
6007           {
6008           expand_string_message = string_sprintf(
6009             "missing '}' closing arg %d of listextract", i+1);
6010           goto EXPAND_FAILED_CURLY;
6011           }
6012
6013         /* After removal of leading and trailing white space, the first
6014         argument must be numeric and nonempty. */
6015
6016         if (i == 0)
6017           {
6018           int len;
6019           int x = 0;
6020           uschar *p = sub[0];
6021
6022           while (isspace(*p)) p++;
6023           sub[0] = p;
6024
6025           len = Ustrlen(p);
6026           while (len > 0 && isspace(p[len-1])) len--;
6027           p[len] = 0;
6028
6029           if (!*p && !skipping)
6030             {
6031             expand_string_message = US"first argument of \"listextract\" must "
6032               "not be empty";
6033             goto EXPAND_FAILED;
6034             }
6035
6036           if (*p == '-')
6037             {
6038             field_number = -1;
6039             p++;
6040             }
6041           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6042           if (*p)
6043             {
6044             expand_string_message = US"first argument of \"listextract\" must "
6045               "be numeric";
6046             goto EXPAND_FAILED;
6047             }
6048           field_number *= x;
6049           }
6050         }
6051
6052       /* Extract the numbered element into $value. If
6053       skipping, just pretend the extraction failed. */
6054
6055       lookup_value = skipping ? NULL : expand_getlistele(field_number, sub[1]);
6056
6057       /* If no string follows, $value gets substituted; otherwise there can
6058       be yes/no strings, as for lookup or if. */
6059
6060       switch(process_yesno(
6061                skipping,                     /* were previously skipping */
6062                lookup_value != NULL,         /* success/failure indicator */
6063                save_lookup_value,            /* value to reset for string2 */
6064                &s,                           /* input pointer */
6065                &yield,                       /* output pointer */
6066                US"listextract",              /* condition type */
6067                &resetok))
6068         {
6069         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6070         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6071         }
6072
6073       /* All done - restore numerical variables. */
6074
6075       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6076         save_expand_nlength);
6077
6078       continue;
6079       }
6080
6081 #ifndef DISABLE_TLS
6082     case EITEM_CERTEXTRACT:
6083       {
6084       uschar *save_lookup_value = lookup_value;
6085       uschar *sub[2];
6086       int save_expand_nmax =
6087         save_expand_strings(save_expand_nstring, save_expand_nlength);
6088
6089       /* Read the field argument */
6090       while (isspace(*s)) s++;
6091       if (*s != '{')                                    /*}*/
6092         {
6093         expand_string_message = US"missing '{' for field arg of certextract";
6094         goto EXPAND_FAILED_CURLY;
6095         }
6096       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6097       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
6098       if (*s++ != '}')
6099         {
6100         expand_string_message = US"missing '}' closing field arg of certextract";
6101         goto EXPAND_FAILED_CURLY;
6102         }
6103       /* strip spaces fore & aft */
6104       {
6105       int len;
6106       uschar *p = sub[0];
6107
6108       while (isspace(*p)) p++;
6109       sub[0] = p;
6110
6111       len = Ustrlen(p);
6112       while (len > 0 && isspace(p[len-1])) len--;
6113       p[len] = 0;
6114       }
6115
6116       /* inspect the cert argument */
6117       while (isspace(*s)) s++;
6118       if (*s != '{')                                    /*}*/
6119         {
6120         expand_string_message = US"missing '{' for cert variable arg of certextract";
6121         goto EXPAND_FAILED_CURLY;
6122         }
6123       if (*++s != '$')
6124         {
6125         expand_string_message = US"second argument of \"certextract\" must "
6126           "be a certificate variable";
6127         goto EXPAND_FAILED;
6128         }
6129       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
6130       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
6131       if (*s++ != '}')
6132         {
6133         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6134         goto EXPAND_FAILED_CURLY;
6135         }
6136
6137       if (skipping)
6138         lookup_value = NULL;
6139       else
6140         {
6141         lookup_value = expand_getcertele(sub[0], sub[1]);
6142         if (*expand_string_message) goto EXPAND_FAILED;
6143         }
6144       switch(process_yesno(
6145                skipping,                     /* were previously skipping */
6146                lookup_value != NULL,         /* success/failure indicator */
6147                save_lookup_value,            /* value to reset for string2 */
6148                &s,                           /* input pointer */
6149                &yield,                       /* output pointer */
6150                US"certextract",              /* condition type */
6151                &resetok))
6152         {
6153         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6154         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6155         }
6156
6157       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6158         save_expand_nlength);
6159       continue;
6160       }
6161 #endif  /*DISABLE_TLS*/
6162
6163     /* Handle list operations */
6164
6165     case EITEM_FILTER:
6166     case EITEM_MAP:
6167     case EITEM_REDUCE:
6168       {
6169       int sep = 0;
6170       int save_ptr = yield->ptr;
6171       uschar outsep[2] = { '\0', '\0' };
6172       const uschar *list, *expr, *temp;
6173       uschar *save_iterate_item = iterate_item;
6174       uschar *save_lookup_value = lookup_value;
6175
6176       while (isspace(*s)) s++;
6177       if (*s++ != '{')
6178         {
6179         expand_string_message =
6180           string_sprintf("missing '{' for first arg of %s", name);
6181         goto EXPAND_FAILED_CURLY;
6182         }
6183
6184       list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6185       if (list == NULL) goto EXPAND_FAILED;
6186       if (*s++ != '}')
6187         {
6188         expand_string_message =
6189           string_sprintf("missing '}' closing first arg of %s", name);
6190         goto EXPAND_FAILED_CURLY;
6191         }
6192
6193       if (item_type == EITEM_REDUCE)
6194         {
6195         uschar * t;
6196         while (isspace(*s)) s++;
6197         if (*s++ != '{')
6198           {
6199           expand_string_message = US"missing '{' for second arg of reduce";
6200           goto EXPAND_FAILED_CURLY;
6201           }
6202         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6203         if (!t) goto EXPAND_FAILED;
6204         lookup_value = t;
6205         if (*s++ != '}')
6206           {
6207           expand_string_message = US"missing '}' closing second arg of reduce";
6208           goto EXPAND_FAILED_CURLY;
6209           }
6210         }
6211
6212       while (isspace(*s)) s++;
6213       if (*s++ != '{')
6214         {
6215         expand_string_message =
6216           string_sprintf("missing '{' for last arg of %s", name);
6217         goto EXPAND_FAILED_CURLY;
6218         }
6219
6220       expr = s;
6221
6222       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6223       if scanning a "false" part). This allows us to find the end of the
6224       condition, because if the list is empty, we won't actually evaluate the
6225       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6226       the normal internal expansion function. */
6227
6228       if (item_type == EITEM_FILTER)
6229         {
6230         temp = eval_condition(expr, &resetok, NULL);
6231         if (temp != NULL) s = temp;
6232         }
6233       else
6234         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6235
6236       if (temp == NULL)
6237         {
6238         expand_string_message = string_sprintf("%s inside \"%s\" item",
6239           expand_string_message, name);
6240         goto EXPAND_FAILED;
6241         }
6242
6243       while (isspace(*s)) s++;
6244       if (*s++ != '}')
6245         {                                               /*{*/
6246         expand_string_message = string_sprintf("missing } at end of condition "
6247           "or expression inside \"%s\"; could be an unquoted } in the content",
6248           name);
6249         goto EXPAND_FAILED;
6250         }
6251
6252       while (isspace(*s)) s++;                          /*{*/
6253       if (*s++ != '}')
6254         {                                               /*{*/
6255         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6256           name);
6257         goto EXPAND_FAILED;
6258         }
6259
6260       /* If we are skipping, we can now just move on to the next item. When
6261       processing for real, we perform the iteration. */
6262
6263       if (skipping) continue;
6264       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6265         {
6266         *outsep = (uschar)sep;      /* Separator as a string */
6267
6268         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6269                           name, iterate_item, lookup_value);
6270
6271         if (item_type == EITEM_FILTER)
6272           {
6273           BOOL condresult;
6274           if (eval_condition(expr, &resetok, &condresult) == NULL)
6275             {
6276             iterate_item = save_iterate_item;
6277             lookup_value = save_lookup_value;
6278             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6279               expand_string_message, name);
6280             goto EXPAND_FAILED;
6281             }
6282           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6283             condresult? "true":"false");
6284           if (condresult)
6285             temp = iterate_item;    /* TRUE => include this item */
6286           else
6287             continue;               /* FALSE => skip this item */
6288           }
6289
6290         /* EITEM_MAP and EITEM_REDUCE */
6291
6292         else
6293           {
6294           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
6295           temp = t;
6296           if (temp == NULL)
6297             {
6298             iterate_item = save_iterate_item;
6299             expand_string_message = string_sprintf("%s inside \"%s\" item",
6300               expand_string_message, name);
6301             goto EXPAND_FAILED;
6302             }
6303           if (item_type == EITEM_REDUCE)
6304             {
6305             lookup_value = t;         /* Update the value of $value */
6306             continue;                 /* and continue the iteration */
6307             }
6308           }
6309
6310         /* We reach here for FILTER if the condition is true, always for MAP,
6311         and never for REDUCE. The value in "temp" is to be added to the output
6312         list that is being created, ensuring that any occurrences of the
6313         separator character are doubled. Unless we are dealing with the first
6314         item of the output list, add in a space if the new item begins with the
6315         separator character, or is an empty string. */
6316
6317         if (yield->ptr != save_ptr && (temp[0] == *outsep || temp[0] == 0))
6318           yield = string_catn(yield, US" ", 1);
6319
6320         /* Add the string in "temp" to the output list that we are building,
6321         This is done in chunks by searching for the separator character. */
6322
6323         for (;;)
6324           {
6325           size_t seglen = Ustrcspn(temp, outsep);
6326
6327           yield = string_catn(yield, temp, seglen + 1);
6328
6329           /* If we got to the end of the string we output one character
6330           too many; backup and end the loop. Otherwise arrange to double the
6331           separator. */
6332
6333           if (temp[seglen] == '\0') { yield->ptr--; break; }
6334           yield = string_catn(yield, outsep, 1);
6335           temp += seglen + 1;
6336           }
6337
6338         /* Output a separator after the string: we will remove the redundant
6339         final one at the end. */
6340
6341         yield = string_catn(yield, outsep, 1);
6342         }   /* End of iteration over the list loop */
6343
6344       /* REDUCE has generated no output above: output the final value of
6345       $value. */
6346
6347       if (item_type == EITEM_REDUCE)
6348         {
6349         yield = string_cat(yield, lookup_value);
6350         lookup_value = save_lookup_value;  /* Restore $value */
6351         }
6352
6353       /* FILTER and MAP generate lists: if they have generated anything, remove
6354       the redundant final separator. Even though an empty item at the end of a
6355       list does not count, this is tidier. */
6356
6357       else if (yield->ptr != save_ptr) yield->ptr--;
6358
6359       /* Restore preserved $item */
6360
6361       iterate_item = save_iterate_item;
6362       continue;
6363       }
6364
6365     case EITEM_SORT:
6366       {
6367       int cond_type;
6368       int sep = 0;
6369       const uschar *srclist, *cmp, *xtract;
6370       uschar * opname, * srcitem;
6371       const uschar *dstlist = NULL, *dstkeylist = NULL;
6372       uschar * tmp;
6373       uschar *save_iterate_item = iterate_item;
6374
6375       while (isspace(*s)) s++;
6376       if (*s++ != '{')
6377         {
6378         expand_string_message = US"missing '{' for list arg of sort";
6379         goto EXPAND_FAILED_CURLY;
6380         }
6381
6382       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6383       if (!srclist) goto EXPAND_FAILED;
6384       if (*s++ != '}')
6385         {
6386         expand_string_message = US"missing '}' closing list arg of sort";
6387         goto EXPAND_FAILED_CURLY;
6388         }
6389
6390       while (isspace(*s)) s++;
6391       if (*s++ != '{')
6392         {
6393         expand_string_message = US"missing '{' for comparator arg of sort";
6394         goto EXPAND_FAILED_CURLY;
6395         }
6396
6397       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
6398       if (!cmp) goto EXPAND_FAILED;
6399       if (*s++ != '}')
6400         {
6401         expand_string_message = US"missing '}' closing comparator arg of sort";
6402         goto EXPAND_FAILED_CURLY;
6403         }
6404
6405       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6406         {
6407         if (!expand_string_message)
6408           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6409         goto EXPAND_FAILED;
6410         }
6411       switch(cond_type)
6412         {
6413         case ECOND_NUM_L: case ECOND_NUM_LE:
6414         case ECOND_NUM_G: case ECOND_NUM_GE:
6415         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6416         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6417           break;
6418
6419         default:
6420           expand_string_message = US"comparator not handled for sort";
6421           goto EXPAND_FAILED;
6422         }
6423
6424       while (isspace(*s)) s++;
6425       if (*s++ != '{')
6426         {
6427         expand_string_message = US"missing '{' for extractor arg of sort";
6428         goto EXPAND_FAILED_CURLY;
6429         }
6430
6431       xtract = s;
6432       if (!(tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok)))
6433         goto EXPAND_FAILED;
6434       xtract = string_copyn(xtract, s - xtract);
6435
6436       if (*s++ != '}')
6437         {
6438         expand_string_message = US"missing '}' closing extractor arg of sort";
6439         goto EXPAND_FAILED_CURLY;
6440         }
6441                                                         /*{*/
6442       if (*s++ != '}')
6443         {                                               /*{*/
6444         expand_string_message = US"missing } at end of \"sort\"";
6445         goto EXPAND_FAILED;
6446         }
6447
6448       if (skipping) continue;
6449
6450       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6451         {
6452         uschar * srcfield, * dstitem;
6453         gstring * newlist = NULL;
6454         gstring * newkeylist = NULL;
6455
6456         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6457
6458         /* extract field for comparisons */
6459         iterate_item = srcitem;
6460         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
6461                                           TRUE, &resetok))
6462            || !*srcfield)
6463           {
6464           expand_string_message = string_sprintf(
6465               "field-extract in sort: \"%s\"", xtract);
6466           goto EXPAND_FAILED;
6467           }
6468
6469         /* Insertion sort */
6470
6471         /* copy output list until new-item < list-item */
6472         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6473           {
6474           uschar * dstfield;
6475
6476           /* field for comparison */
6477           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6478             goto sort_mismatch;
6479
6480           /* String-comparator names start with a letter; numeric names do not */
6481
6482           if (sortsbefore(cond_type, isalpha(opname[0]),
6483               srcfield, dstfield))
6484             {
6485             /* New-item sorts before this dst-item.  Append new-item,
6486             then dst-item, then remainder of dst list. */
6487
6488             newlist = string_append_listele(newlist, sep, srcitem);
6489             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6490             srcitem = NULL;
6491
6492             newlist = string_append_listele(newlist, sep, dstitem);
6493             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6494
6495 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6496             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6497               {
6498               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6499                 goto sort_mismatch;
6500               newlist = string_append_listele(newlist, sep, dstitem);
6501               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6502               }
6503
6504             break;
6505             }
6506
6507           newlist = string_append_listele(newlist, sep, dstitem);
6508           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6509           }
6510
6511         /* If we ran out of dstlist without consuming srcitem, append it */
6512         if (srcitem)
6513           {
6514           newlist = string_append_listele(newlist, sep, srcitem);
6515           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6516           }
6517
6518         dstlist = newlist->s;
6519         dstkeylist = newkeylist->s;
6520
6521         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6522         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6523         }
6524
6525       if (dstlist)
6526         yield = string_cat(yield, dstlist);
6527
6528       /* Restore preserved $item */
6529       iterate_item = save_iterate_item;
6530       continue;
6531
6532       sort_mismatch:
6533         expand_string_message = US"Internal error in sort (list mismatch)";
6534         goto EXPAND_FAILED;
6535       }
6536
6537
6538     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6539     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6540     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6541     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6542
6543     #define EXPAND_DLFUNC_MAX_ARGS 8
6544
6545     case EITEM_DLFUNC:
6546 #ifndef EXPAND_DLFUNC
6547       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6548         "is not included in this binary";
6549       goto EXPAND_FAILED;
6550
6551 #else   /* EXPAND_DLFUNC */
6552       {
6553       tree_node *t;
6554       exim_dlfunc_t *func;
6555       uschar *result;
6556       int status, argc;
6557       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6558
6559       if ((expand_forbid & RDO_DLFUNC) != 0)
6560         {
6561         expand_string_message =
6562           US"dynamically-loaded functions are not permitted";
6563         goto EXPAND_FAILED;
6564         }
6565
6566       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6567            TRUE, US"dlfunc", &resetok))
6568         {
6569         case 1: goto EXPAND_FAILED_CURLY;
6570         case 2:
6571         case 3: goto EXPAND_FAILED;
6572         }
6573
6574       /* If skipping, we don't actually do anything */
6575
6576       if (skipping) continue;
6577
6578       /* Look up the dynamically loaded object handle in the tree. If it isn't
6579       found, dlopen() the file and put the handle in the tree for next time. */
6580
6581       if (!(t = tree_search(dlobj_anchor, argv[0])))
6582         {
6583         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6584         if (handle == NULL)
6585           {
6586           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6587             argv[0], dlerror());
6588           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6589           goto EXPAND_FAILED;
6590           }
6591         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), is_tainted(argv[0]));
6592         Ustrcpy(t->name, argv[0]);
6593         t->data.ptr = handle;
6594         (void)tree_insertnode(&dlobj_anchor, t);
6595         }
6596
6597       /* Having obtained the dynamically loaded object handle, look up the
6598       function pointer. */
6599
6600       func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1]);
6601       if (func == NULL)
6602         {
6603         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6604           "%s", argv[1], argv[0], dlerror());
6605         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6606         goto EXPAND_FAILED;
6607         }
6608
6609       /* Call the function and work out what to do with the result. If it
6610       returns OK, we have a replacement string; if it returns DEFER then
6611       expansion has failed in a non-forced manner; if it returns FAIL then
6612       failure was forced; if it returns ERROR or any other value there's a
6613       problem, so panic slightly. In any case, assume that the function has
6614       side-effects on the store that must be preserved. */
6615
6616       resetok = FALSE;
6617       result = NULL;
6618       for (argc = 0; argv[argc] != NULL; argc++);
6619       status = func(&result, argc - 2, &argv[2]);
6620       if(status == OK)
6621         {
6622         if (result == NULL) result = US"";
6623         yield = string_cat(yield, result);
6624         continue;
6625         }
6626       else
6627         {
6628         expand_string_message = result == NULL ? US"(no message)" : result;
6629         if(status == FAIL_FORCED) f.expand_string_forcedfail = TRUE;
6630           else if(status != FAIL)
6631             log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6632               argv[0], argv[1], status, expand_string_message);
6633         goto EXPAND_FAILED;
6634         }
6635       }
6636 #endif /* EXPAND_DLFUNC */
6637
6638     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6639       {
6640       uschar * key;
6641       uschar *save_lookup_value = lookup_value;
6642
6643       while (isspace(*s)) s++;
6644       if (*s != '{')                                    /*}*/
6645         goto EXPAND_FAILED;
6646
6647       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6648       if (!key) goto EXPAND_FAILED;                     /*{*/
6649       if (*s++ != '}')
6650         {
6651         expand_string_message = US"missing '{' for name arg of env";
6652         goto EXPAND_FAILED_CURLY;
6653         }
6654
6655       lookup_value = US getenv(CS key);
6656
6657       switch(process_yesno(
6658                skipping,                     /* were previously skipping */
6659                lookup_value != NULL,         /* success/failure indicator */
6660                save_lookup_value,            /* value to reset for string2 */
6661                &s,                           /* input pointer */
6662                &yield,                       /* output pointer */
6663                US"env",                      /* condition type */
6664                &resetok))
6665         {
6666         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6667         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6668         }
6669       continue;
6670       }
6671     }   /* EITEM_* switch */
6672
6673   /* Control reaches here if the name is not recognized as one of the more
6674   complicated expansion items. Check for the "operator" syntax (name terminated
6675   by a colon). Some of the operators have arguments, separated by _ from the
6676   name. */
6677
6678   if (*s == ':')
6679     {
6680     int c;
6681     uschar *arg = NULL;
6682     uschar *sub;
6683 #ifndef DISABLE_TLS
6684     var_entry *vp = NULL;
6685 #endif
6686
6687     /* Owing to an historical mis-design, an underscore may be part of the
6688     operator name, or it may introduce arguments.  We therefore first scan the
6689     table of names that contain underscores. If there is no match, we cut off
6690     the arguments and then scan the main table. */
6691
6692     if ((c = chop_match(name, op_table_underscore,
6693                         nelem(op_table_underscore))) < 0)
6694       {
6695       arg = Ustrchr(name, '_');
6696       if (arg != NULL) *arg = 0;
6697       c = chop_match(name, op_table_main, nelem(op_table_main));
6698       if (c >= 0) c += nelem(op_table_underscore);
6699       if (arg != NULL) *arg++ = '_';   /* Put back for error messages */
6700       }
6701
6702     /* Deal specially with operators that might take a certificate variable
6703     as we do not want to do the usual expansion. For most, expand the string.*/
6704     switch(c)
6705       {
6706 #ifndef DISABLE_TLS
6707       case EOP_MD5:
6708       case EOP_SHA1:
6709       case EOP_SHA256:
6710       case EOP_BASE64:
6711         if (s[1] == '$')
6712           {
6713           const uschar * s1 = s;
6714           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6715                   FALSE, &resetok);
6716           if (!sub)       goto EXPAND_FAILED;           /*{*/
6717           if (*s1 != '}')
6718             {
6719             expand_string_message =
6720               string_sprintf("missing '}' closing cert arg of %s", name);
6721             goto EXPAND_FAILED_CURLY;
6722             }
6723           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6724             {
6725             s = s1+1;
6726             break;
6727             }
6728           vp = NULL;
6729           }
6730         /*FALLTHROUGH*/
6731 #endif
6732       default:
6733         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6734         if (!sub) goto EXPAND_FAILED;
6735         s++;
6736         break;
6737       }
6738
6739     /* If we are skipping, we don't need to perform the operation at all.
6740     This matters for operations like "mask", because the data may not be
6741     in the correct format when skipping. For example, the expression may test
6742     for the existence of $sender_host_address before trying to mask it. For
6743     other operations, doing them may not fail, but it is a waste of time. */
6744
6745     if (skipping && c >= 0) continue;
6746
6747     /* Otherwise, switch on the operator type */
6748
6749     switch(c)
6750       {
6751       case EOP_BASE32:
6752         {
6753         uschar *t;
6754         unsigned long int n = Ustrtoul(sub, &t, 10);
6755         gstring * g = NULL;
6756
6757         if (*t != 0)
6758           {
6759           expand_string_message = string_sprintf("argument for base32 "
6760             "operator is \"%s\", which is not a decimal number", sub);
6761           goto EXPAND_FAILED;
6762           }
6763         for ( ; n; n >>= 5)
6764           g = string_catn(g, &base32_chars[n & 0x1f], 1);
6765
6766         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
6767         continue;
6768         }
6769
6770       case EOP_BASE32D:
6771         {
6772         uschar *tt = sub;
6773         unsigned long int n = 0;
6774         uschar * s;
6775         while (*tt)
6776           {
6777           uschar * t = Ustrchr(base32_chars, *tt++);
6778           if (t == NULL)
6779             {
6780             expand_string_message = string_sprintf("argument for base32d "
6781               "operator is \"%s\", which is not a base 32 number", sub);
6782             goto EXPAND_FAILED;
6783             }
6784           n = n * 32 + (t - base32_chars);
6785           }
6786         s = string_sprintf("%ld", n);
6787         yield = string_cat(yield, s);
6788         continue;
6789         }
6790
6791       case EOP_BASE62:
6792         {
6793         uschar *t;
6794         unsigned long int n = Ustrtoul(sub, &t, 10);
6795         if (*t != 0)
6796           {
6797           expand_string_message = string_sprintf("argument for base62 "
6798             "operator is \"%s\", which is not a decimal number", sub);
6799           goto EXPAND_FAILED;
6800           }
6801         t = string_base62(n);
6802         yield = string_cat(yield, t);
6803         continue;
6804         }
6805
6806       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6807
6808       case EOP_BASE62D:
6809         {
6810         uschar *tt = sub;
6811         unsigned long int n = 0;
6812         while (*tt != 0)
6813           {
6814           uschar *t = Ustrchr(base62_chars, *tt++);
6815           if (t == NULL)
6816             {
6817             expand_string_message = string_sprintf("argument for base62d "
6818               "operator is \"%s\", which is not a base %d number", sub,
6819               BASE_62);
6820             goto EXPAND_FAILED;
6821             }
6822           n = n * BASE_62 + (t - base62_chars);
6823           }
6824         yield = string_fmt_append(yield, "%ld", n);
6825         continue;
6826         }
6827
6828       case EOP_EXPAND:
6829         {
6830         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
6831         if (expanded == NULL)
6832           {
6833           expand_string_message =
6834             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
6835               expand_string_message);
6836           goto EXPAND_FAILED;
6837           }
6838         yield = string_cat(yield, expanded);
6839         continue;
6840         }
6841
6842       case EOP_LC:
6843         {
6844         int count = 0;
6845         uschar *t = sub - 1;
6846         while (*(++t) != 0) { *t = tolower(*t); count++; }
6847         yield = string_catn(yield, sub, count);
6848         continue;
6849         }
6850
6851       case EOP_UC:
6852         {
6853         int count = 0;
6854         uschar *t = sub - 1;
6855         while (*(++t) != 0) { *t = toupper(*t); count++; }
6856         yield = string_catn(yield, sub, count);
6857         continue;
6858         }
6859
6860       case EOP_MD5:
6861 #ifndef DISABLE_TLS
6862         if (vp && *(void **)vp->value)
6863           {
6864           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
6865           yield = string_cat(yield, cp);
6866           }
6867         else
6868 #endif
6869           {
6870           md5 base;
6871           uschar digest[16];
6872           md5_start(&base);
6873           md5_end(&base, sub, Ustrlen(sub), digest);
6874           for (int j = 0; j < 16; j++)
6875             yield = string_fmt_append(yield, "%02x", digest[j]);
6876           }
6877         continue;
6878
6879       case EOP_SHA1:
6880 #ifndef DISABLE_TLS
6881         if (vp && *(void **)vp->value)
6882           {
6883           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
6884           yield = string_cat(yield, cp);
6885           }
6886         else
6887 #endif
6888           {
6889           hctx h;
6890           uschar digest[20];
6891           sha1_start(&h);
6892           sha1_end(&h, sub, Ustrlen(sub), digest);
6893           for (int j = 0; j < 20; j++)
6894             yield = string_fmt_append(yield, "%02X", digest[j]);
6895           }
6896         continue;
6897
6898       case EOP_SHA2:
6899       case EOP_SHA256:
6900 #ifdef EXIM_HAVE_SHA2
6901         if (vp && *(void **)vp->value)
6902           if (c == EOP_SHA256)
6903             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
6904           else
6905             expand_string_message = US"sha2_N not supported with certificates";
6906         else
6907           {
6908           hctx h;
6909           blob b;
6910           hashmethod m = !arg ? HASH_SHA2_256
6911             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
6912             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
6913             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
6914             : HASH_BADTYPE;
6915
6916           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
6917             {
6918             expand_string_message = US"unrecognised sha2 variant";
6919             goto EXPAND_FAILED;
6920             }
6921
6922           exim_sha_update(&h, sub, Ustrlen(sub));
6923           exim_sha_finish(&h, &b);
6924           while (b.len-- > 0)
6925             yield = string_fmt_append(yield, "%02X", *b.data++);
6926           }
6927 #else
6928           expand_string_message = US"sha256 only supported with TLS";
6929 #endif
6930         continue;
6931
6932       case EOP_SHA3:
6933 #ifdef EXIM_HAVE_SHA3
6934         {
6935         hctx h;
6936         blob b;
6937         hashmethod m = !arg ? HASH_SHA3_256
6938           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
6939           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
6940           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
6941           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
6942           : HASH_BADTYPE;
6943
6944         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
6945           {
6946           expand_string_message = US"unrecognised sha3 variant";
6947           goto EXPAND_FAILED;
6948           }
6949
6950         exim_sha_update(&h, sub, Ustrlen(sub));
6951         exim_sha_finish(&h, &b);
6952         while (b.len-- > 0)
6953           yield = string_fmt_append(yield, "%02X", *b.data++);
6954         }
6955         continue;
6956 #else
6957         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
6958         goto EXPAND_FAILED;
6959 #endif
6960
6961       /* Convert hex encoding to base64 encoding */
6962
6963       case EOP_HEX2B64:
6964         {
6965         int c = 0;
6966         int b = -1;
6967         uschar *in = sub;
6968         uschar *out = sub;
6969         uschar *enc;
6970
6971         for (enc = sub; *enc; enc++)
6972           {
6973           if (!isxdigit(*enc))
6974             {
6975             expand_string_message = string_sprintf("\"%s\" is not a hex "
6976               "string", sub);
6977             goto EXPAND_FAILED;
6978             }
6979           c++;
6980           }
6981
6982         if ((c & 1) != 0)
6983           {
6984           expand_string_message = string_sprintf("\"%s\" contains an odd "
6985             "number of characters", sub);
6986           goto EXPAND_FAILED;
6987           }
6988
6989         while ((c = *in++) != 0)
6990           {
6991           if (isdigit(c)) c -= '0';
6992           else c = toupper(c) - 'A' + 10;
6993           if (b == -1)
6994             b = c << 4;
6995           else
6996             {
6997             *out++ = b | c;
6998             b = -1;
6999             }
7000           }
7001
7002         enc = b64encode(CUS sub, out - sub);
7003         yield = string_cat(yield, enc);
7004         continue;
7005         }
7006
7007       /* Convert octets outside 0x21..0x7E to \xXX form */
7008
7009       case EOP_HEXQUOTE:
7010         {
7011         uschar *t = sub - 1;
7012         while (*(++t) != 0)
7013           {
7014           if (*t < 0x21 || 0x7E < *t)
7015             yield = string_fmt_append(yield, "\\x%02x", *t);
7016           else
7017             yield = string_catn(yield, t, 1);
7018           }
7019         continue;
7020         }
7021
7022       /* count the number of list elements */
7023
7024       case EOP_LISTCOUNT:
7025         {
7026         int cnt = 0;
7027         int sep = 0;
7028         uschar buffer[256];
7029
7030         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer)) != NULL) cnt++;
7031         yield = string_fmt_append(yield, "%d", cnt);
7032         continue;
7033         }
7034
7035       /* expand a named list given the name */
7036       /* handles nested named lists; requotes as colon-sep list */
7037
7038       case EOP_LISTNAMED:
7039         {
7040         tree_node *t = NULL;
7041         const uschar * list;
7042         int sep = 0;
7043         uschar * item;
7044         uschar * suffix = US"";
7045         BOOL needsep = FALSE;
7046         uschar buffer[256];
7047
7048         if (*sub == '+') sub++;
7049         if (arg == NULL)        /* no-argument version */
7050           {
7051           if (!(t = tree_search(addresslist_anchor, sub)) &&
7052               !(t = tree_search(domainlist_anchor,  sub)) &&
7053               !(t = tree_search(hostlist_anchor,    sub)))
7054             t = tree_search(localpartlist_anchor, sub);
7055           }
7056         else switch(*arg)       /* specific list-type version */
7057           {
7058           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
7059           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
7060           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
7061           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
7062           default:
7063             expand_string_message = US"bad suffix on \"list\" operator";
7064             goto EXPAND_FAILED;
7065           }
7066
7067         if(!t)
7068           {
7069           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
7070             sub, !arg?""
7071               : *arg=='a'?"address "
7072               : *arg=='d'?"domain "
7073               : *arg=='h'?"host "
7074               : *arg=='l'?"localpart "
7075               : 0);
7076           goto EXPAND_FAILED;
7077           }
7078
7079         list = ((namedlist_block *)(t->data.ptr))->string;
7080
7081         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
7082           {
7083           uschar * buf = US" : ";
7084           if (needsep)
7085             yield = string_catn(yield, buf, 3);
7086           else
7087             needsep = TRUE;
7088
7089           if (*item == '+')     /* list item is itself a named list */
7090             {
7091             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
7092             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
7093             }
7094           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
7095             {
7096             char * cp;
7097             char tok[3];
7098             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
7099             while ((cp= strpbrk(CCS item, tok)))
7100               {
7101               yield = string_catn(yield, item, cp - CS item);
7102               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
7103                 {
7104                 yield = string_catn(yield, US"::", 2);
7105                 item = US cp;
7106                 }
7107               else              /* sep in item; should already be doubled; emit once */
7108                 {
7109                 yield = string_catn(yield, US tok, 1);
7110                 if (*cp == sep) cp++;
7111                 item = US cp;
7112                 }
7113               }
7114             }
7115           yield = string_cat(yield, item);
7116           }
7117         continue;
7118         }
7119
7120       /* mask applies a mask to an IP address; for example the result of
7121       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7122
7123       case EOP_MASK:
7124         {
7125         int count;
7126         uschar *endptr;
7127         int binary[4];
7128         int mask, maskoffset;
7129         int type = string_is_ip_address(sub, &maskoffset);
7130         uschar buffer[64];
7131
7132         if (type == 0)
7133           {
7134           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7135            sub);
7136           goto EXPAND_FAILED;
7137           }
7138
7139         if (maskoffset == 0)
7140           {
7141           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7142             sub);
7143           goto EXPAND_FAILED;
7144           }
7145
7146         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7147
7148         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
7149           {
7150           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7151             sub);
7152           goto EXPAND_FAILED;
7153           }
7154
7155         /* Convert the address to binary integer(s) and apply the mask */
7156
7157         sub[maskoffset] = 0;
7158         count = host_aton(sub, binary);
7159         host_mask(count, binary, mask);
7160
7161         /* Convert to masked textual format and add to output. */
7162
7163         yield = string_catn(yield, buffer,
7164           host_nmtoa(count, binary, mask, buffer, '.'));
7165         continue;
7166         }
7167
7168       case EOP_IPV6NORM:
7169       case EOP_IPV6DENORM:
7170         {
7171         int type = string_is_ip_address(sub, NULL);
7172         int binary[4];
7173         uschar buffer[44];
7174
7175         switch (type)
7176           {
7177           case 6:
7178             (void) host_aton(sub, binary);
7179             break;
7180
7181           case 4:       /* convert to IPv4-mapped IPv6 */
7182             binary[0] = binary[1] = 0;
7183             binary[2] = 0x0000ffff;
7184             (void) host_aton(sub, binary+3);
7185             break;
7186
7187           case 0:
7188             expand_string_message =
7189               string_sprintf("\"%s\" is not an IP address", sub);
7190             goto EXPAND_FAILED;
7191           }
7192
7193         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7194                     ? ipv6_nmtoa(binary, buffer)
7195                     : host_nmtoa(4, binary, -1, buffer, ':')
7196                   );
7197         continue;
7198         }
7199
7200       case EOP_ADDRESS:
7201       case EOP_LOCAL_PART:
7202       case EOP_DOMAIN:
7203         {
7204         uschar * error;
7205         int start, end, domain;
7206         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7207           FALSE);
7208         if (t)
7209           if (c != EOP_DOMAIN)
7210             yield = c == EOP_LOCAL_PART && domain > 0
7211               ? string_catn(yield, t, domain - 1)
7212               : string_cat(yield, t);
7213           else if (domain > 0)
7214             yield = string_cat(yield, t + domain);
7215         continue;
7216         }
7217
7218       case EOP_ADDRESSES:
7219         {
7220         uschar outsep[2] = { ':', '\0' };
7221         uschar *address, *error;
7222         int save_ptr = yield->ptr;
7223         int start, end, domain;  /* Not really used */
7224
7225         while (isspace(*sub)) sub++;
7226         if (*sub == '>')
7227           if (*outsep = *++sub) ++sub;
7228           else
7229             {
7230             expand_string_message = string_sprintf("output separator "
7231               "missing in expanding ${addresses:%s}", --sub);
7232             goto EXPAND_FAILED;
7233             }
7234         f.parse_allow_group = TRUE;
7235
7236         for (;;)
7237           {
7238           uschar * p = parse_find_address_end(sub, FALSE);
7239           uschar saveend = *p;
7240           *p = '\0';
7241           address = parse_extract_address(sub, &error, &start, &end, &domain,
7242             FALSE);
7243           *p = saveend;
7244
7245           /* Add the address to the output list that we are building. This is
7246           done in chunks by searching for the separator character. At the
7247           start, unless we are dealing with the first address of the output
7248           list, add in a space if the new address begins with the separator
7249           character, or is an empty string. */
7250
7251           if (address)
7252             {
7253             if (yield->ptr != save_ptr && address[0] == *outsep)
7254               yield = string_catn(yield, US" ", 1);
7255
7256             for (;;)
7257               {
7258               size_t seglen = Ustrcspn(address, outsep);
7259               yield = string_catn(yield, address, seglen + 1);
7260
7261               /* If we got to the end of the string we output one character
7262               too many. */
7263
7264               if (address[seglen] == '\0') { yield->ptr--; break; }
7265               yield = string_catn(yield, outsep, 1);
7266               address += seglen + 1;
7267               }
7268
7269             /* Output a separator after the string: we will remove the
7270             redundant final one at the end. */
7271
7272             yield = string_catn(yield, outsep, 1);
7273             }
7274
7275           if (saveend == '\0') break;
7276           sub = p + 1;
7277           }
7278
7279         /* If we have generated anything, remove the redundant final
7280         separator. */
7281
7282         if (yield->ptr != save_ptr) yield->ptr--;
7283         f.parse_allow_group = FALSE;
7284         continue;
7285         }
7286
7287
7288       /* quote puts a string in quotes if it is empty or contains anything
7289       other than alphamerics, underscore, dot, or hyphen.
7290
7291       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7292       be quoted in order to be a valid local part.
7293
7294       In both cases, newlines and carriage returns are converted into \n and \r
7295       respectively */
7296
7297       case EOP_QUOTE:
7298       case EOP_QUOTE_LOCAL_PART:
7299       if (arg == NULL)
7300         {
7301         BOOL needs_quote = (*sub == 0);      /* TRUE for empty string */
7302         uschar *t = sub - 1;
7303
7304         if (c == EOP_QUOTE)
7305           {
7306           while (!needs_quote && *(++t) != 0)
7307             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7308           }
7309         else  /* EOP_QUOTE_LOCAL_PART */
7310           {
7311           while (!needs_quote && *(++t) != 0)
7312             needs_quote = !isalnum(*t) &&
7313               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
7314               (*t != '.' || t == sub || t[1] == 0);
7315           }
7316
7317         if (needs_quote)
7318           {
7319           yield = string_catn(yield, US"\"", 1);
7320           t = sub - 1;
7321           while (*(++t) != 0)
7322             {
7323             if (*t == '\n')
7324               yield = string_catn(yield, US"\\n", 2);
7325             else if (*t == '\r')
7326               yield = string_catn(yield, US"\\r", 2);
7327             else
7328               {
7329               if (*t == '\\' || *t == '"')
7330                 yield = string_catn(yield, US"\\", 1);
7331               yield = string_catn(yield, t, 1);
7332               }
7333             }
7334           yield = string_catn(yield, US"\"", 1);
7335           }
7336         else yield = string_cat(yield, sub);
7337         continue;
7338         }
7339
7340       /* quote_lookuptype does lookup-specific quoting */
7341
7342       else
7343         {
7344         int n;
7345         uschar *opt = Ustrchr(arg, '_');
7346
7347         if (opt != NULL) *opt++ = 0;
7348
7349         n = search_findtype(arg, Ustrlen(arg));
7350         if (n < 0)
7351           {
7352           expand_string_message = search_error_message;
7353           goto EXPAND_FAILED;
7354           }
7355
7356         if (lookup_list[n]->quote != NULL)
7357           sub = (lookup_list[n]->quote)(sub, opt);
7358         else if (opt != NULL) sub = NULL;
7359
7360         if (sub == NULL)
7361           {
7362           expand_string_message = string_sprintf(
7363             "\"%s\" unrecognized after \"${quote_%s\"",
7364             opt, arg);
7365           goto EXPAND_FAILED;
7366           }
7367
7368         yield = string_cat(yield, sub);
7369         continue;
7370         }
7371
7372       /* rx quote sticks in \ before any non-alphameric character so that
7373       the insertion works in a regular expression. */
7374
7375       case EOP_RXQUOTE:
7376         {
7377         uschar *t = sub - 1;
7378         while (*(++t) != 0)
7379           {
7380           if (!isalnum(*t))
7381             yield = string_catn(yield, US"\\", 1);
7382           yield = string_catn(yield, t, 1);
7383           }
7384         continue;
7385         }
7386
7387       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7388       prescribed by the RFC, if there are characters that need to be encoded */
7389
7390       case EOP_RFC2047:
7391         {
7392         uschar buffer[2048];
7393         yield = string_cat(yield,
7394                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7395                               buffer, sizeof(buffer), FALSE));
7396         continue;
7397         }
7398
7399       /* RFC 2047 decode */
7400
7401       case EOP_RFC2047D:
7402         {
7403         int len;
7404         uschar *error;
7405         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7406           headers_charset, '?', &len, &error);
7407         if (error != NULL)
7408           {
7409           expand_string_message = error;
7410           goto EXPAND_FAILED;
7411           }
7412         yield = string_catn(yield, decoded, len);
7413         continue;
7414         }
7415
7416       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7417       underscores */
7418
7419       case EOP_FROM_UTF8:
7420         {
7421         while (*sub != 0)
7422           {
7423           int c;
7424           uschar buff[4];
7425           GETUTF8INC(c, sub);
7426           if (c > 255) c = '_';
7427           buff[0] = c;
7428           yield = string_catn(yield, buff, 1);
7429           }
7430         continue;
7431         }
7432
7433           /* replace illegal UTF-8 sequences by replacement character  */
7434
7435       #define UTF8_REPLACEMENT_CHAR US"?"
7436
7437       case EOP_UTF8CLEAN:
7438         {
7439         int seq_len = 0, index = 0;
7440         int bytes_left = 0;
7441         long codepoint = -1;
7442         int complete;
7443         uschar seq_buff[4];                     /* accumulate utf-8 here */
7444
7445         while (*sub != 0)
7446           {
7447           complete = 0;
7448           uschar c = *sub++;
7449
7450           if (bytes_left)
7451             {
7452             if ((c & 0xc0) != 0x80)
7453                     /* wrong continuation byte; invalidate all bytes */
7454               complete = 1; /* error */
7455             else
7456               {
7457               codepoint = (codepoint << 6) | (c & 0x3f);
7458               seq_buff[index++] = c;
7459               if (--bytes_left == 0)            /* codepoint complete */
7460                 if(codepoint > 0x10FFFF)        /* is it too large? */
7461                   complete = -1;        /* error (RFC3629 limit) */
7462                 else
7463                   {             /* finished; output utf-8 sequence */
7464                   yield = string_catn(yield, seq_buff, seq_len);
7465                   index = 0;
7466                   }
7467               }
7468             }
7469           else  /* no bytes left: new sequence */
7470             {
7471             if((c & 0x80) == 0) /* 1-byte sequence, US-ASCII, keep it */
7472               {
7473               yield = string_catn(yield, &c, 1);
7474               continue;
7475               }
7476             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7477               {
7478               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7479                 complete = -1;
7480               else
7481                 {
7482                   bytes_left = 1;
7483                   codepoint = c & 0x1f;
7484                 }
7485               }
7486             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7487               {
7488               bytes_left = 2;
7489               codepoint = c & 0x0f;
7490               }
7491             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7492               {
7493               bytes_left = 3;
7494               codepoint = c & 0x07;
7495               }
7496             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7497               complete = -1;
7498
7499             seq_buff[index++] = c;
7500             seq_len = bytes_left + 1;
7501             }           /* if(bytes_left) */
7502
7503           if (complete != 0)
7504             {
7505             bytes_left = index = 0;
7506             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7507             }
7508           if ((complete == 1) && ((c & 0x80) == 0))
7509                         /* ASCII character follows incomplete sequence */
7510               yield = string_catn(yield, &c, 1);
7511           }
7512         /* If given a sequence truncated mid-character, we also want to report ?
7513         * Eg, ${length_1:フィル} is one byte, not one character, so we expect
7514         * ${utf8clean:${length_1:フィル}} to yield '?' */
7515         if (bytes_left != 0)
7516           {
7517           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7518           }
7519         continue;
7520         }
7521
7522 #ifdef SUPPORT_I18N
7523       case EOP_UTF8_DOMAIN_TO_ALABEL:
7524         {
7525         uschar * error = NULL;
7526         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7527         if (error)
7528           {
7529           expand_string_message = string_sprintf(
7530             "error converting utf8 (%s) to alabel: %s",
7531             string_printing(sub), error);
7532           goto EXPAND_FAILED;
7533           }
7534         yield = string_cat(yield, s);
7535         continue;
7536         }
7537
7538       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7539         {
7540         uschar * error = NULL;
7541         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7542         if (error)
7543           {
7544           expand_string_message = string_sprintf(
7545             "error converting alabel (%s) to utf8: %s",
7546             string_printing(sub), error);
7547           goto EXPAND_FAILED;
7548           }
7549         yield = string_cat(yield, s);
7550         continue;
7551         }
7552
7553       case EOP_UTF8_LOCALPART_TO_ALABEL:
7554         {
7555         uschar * error = NULL;
7556         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7557         if (error)
7558           {
7559           expand_string_message = string_sprintf(
7560             "error converting utf8 (%s) to alabel: %s",
7561             string_printing(sub), error);
7562           goto EXPAND_FAILED;
7563           }
7564         yield = string_cat(yield, s);
7565         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7566         continue;
7567         }
7568
7569       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7570         {
7571         uschar * error = NULL;
7572         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7573         if (error)
7574           {
7575           expand_string_message = string_sprintf(
7576             "error converting alabel (%s) to utf8: %s",
7577             string_printing(sub), error);
7578           goto EXPAND_FAILED;
7579           }
7580         yield = string_cat(yield, s);
7581         continue;
7582         }
7583 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7584
7585       /* escape turns all non-printing characters into escape sequences. */
7586
7587       case EOP_ESCAPE:
7588         {
7589         const uschar * t = string_printing(sub);
7590         yield = string_cat(yield, t);
7591         continue;
7592         }
7593
7594       case EOP_ESCAPE8BIT:
7595         {
7596         uschar c;
7597
7598         for (const uschar * s = sub; (c = *s); s++)
7599           yield = c < 127 && c != '\\'
7600             ? string_catn(yield, s, 1)
7601             : string_fmt_append(yield, "\\%03o", c);
7602         continue;
7603         }
7604
7605       /* Handle numeric expression evaluation */
7606
7607       case EOP_EVAL:
7608       case EOP_EVAL10:
7609         {
7610         uschar *save_sub = sub;
7611         uschar *error = NULL;
7612         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7613         if (error)
7614           {
7615           expand_string_message = string_sprintf("error in expression "
7616             "evaluation: %s (after processing \"%.*s\")", error,
7617             (int)(sub-save_sub), save_sub);
7618           goto EXPAND_FAILED;
7619           }
7620         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
7621         continue;
7622         }
7623
7624       /* Handle time period formatting */
7625
7626       case EOP_TIME_EVAL:
7627         {
7628         int n = readconf_readtime(sub, 0, FALSE);
7629         if (n < 0)
7630           {
7631           expand_string_message = string_sprintf("string \"%s\" is not an "
7632             "Exim time interval in \"%s\" operator", sub, name);
7633           goto EXPAND_FAILED;
7634           }
7635         yield = string_fmt_append(yield, "%d", n);
7636         continue;
7637         }
7638
7639       case EOP_TIME_INTERVAL:
7640         {
7641         int n;
7642         uschar *t = read_number(&n, sub);
7643         if (*t != 0) /* Not A Number*/
7644           {
7645           expand_string_message = string_sprintf("string \"%s\" is not a "
7646             "positive number in \"%s\" operator", sub, name);
7647           goto EXPAND_FAILED;
7648           }
7649         t = readconf_printtime(n);
7650         yield = string_cat(yield, t);
7651         continue;
7652         }
7653
7654       /* Convert string to base64 encoding */
7655
7656       case EOP_STR2B64:
7657       case EOP_BASE64:
7658         {
7659 #ifndef DISABLE_TLS
7660         uschar * s = vp && *(void **)vp->value
7661           ? tls_cert_der_b64(*(void **)vp->value)
7662           : b64encode(CUS sub, Ustrlen(sub));
7663 #else
7664         uschar * s = b64encode(CUS sub, Ustrlen(sub));
7665 #endif
7666         yield = string_cat(yield, s);
7667         continue;
7668         }
7669
7670       case EOP_BASE64D:
7671         {
7672         uschar * s;
7673         int len = b64decode(sub, &s);
7674         if (len < 0)
7675           {
7676           expand_string_message = string_sprintf("string \"%s\" is not "
7677             "well-formed for \"%s\" operator", sub, name);
7678           goto EXPAND_FAILED;
7679           }
7680         yield = string_cat(yield, s);
7681         continue;
7682         }
7683
7684       /* strlen returns the length of the string */
7685
7686       case EOP_STRLEN:
7687         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
7688         continue;
7689
7690       /* length_n or l_n takes just the first n characters or the whole string,
7691       whichever is the shorter;
7692
7693       substr_m_n, and s_m_n take n characters from offset m; negative m take
7694       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7695       takes the rest, either to the right or to the left.
7696
7697       hash_n or h_n makes a hash of length n from the string, yielding n
7698       characters from the set a-z; hash_n_m makes a hash of length n, but
7699       uses m characters from the set a-zA-Z0-9.
7700
7701       nhash_n returns a single number between 0 and n-1 (in text form), while
7702       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7703       between 0 and n-1 and the second between 0 and m-1. */
7704
7705       case EOP_LENGTH:
7706       case EOP_L:
7707       case EOP_SUBSTR:
7708       case EOP_S:
7709       case EOP_HASH:
7710       case EOP_H:
7711       case EOP_NHASH:
7712       case EOP_NH:
7713         {
7714         int sign = 1;
7715         int value1 = 0;
7716         int value2 = -1;
7717         int *pn;
7718         int len;
7719         uschar *ret;
7720
7721         if (!arg)
7722           {
7723           expand_string_message = string_sprintf("missing values after %s",
7724             name);
7725           goto EXPAND_FAILED;
7726           }
7727
7728         /* "length" has only one argument, effectively being synonymous with
7729         substr_0_n. */
7730
7731         if (c == EOP_LENGTH || c == EOP_L)
7732           {
7733           pn = &value2;
7734           value2 = 0;
7735           }
7736
7737         /* The others have one or two arguments; for "substr" the first may be
7738         negative. The second being negative means "not supplied". */
7739
7740         else
7741           {
7742           pn = &value1;
7743           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7744           }
7745
7746         /* Read up to two numbers, separated by underscores */
7747
7748         ret = arg;
7749         while (*arg != 0)
7750           {
7751           if (arg != ret && *arg == '_' && pn == &value1)
7752             {
7753             pn = &value2;
7754             value2 = 0;
7755             if (arg[1] != 0) arg++;
7756             }
7757           else if (!isdigit(*arg))
7758             {
7759             expand_string_message =
7760               string_sprintf("non-digit after underscore in \"%s\"", name);
7761             goto EXPAND_FAILED;
7762             }
7763           else *pn = (*pn)*10 + *arg++ - '0';
7764           }
7765         value1 *= sign;
7766
7767         /* Perform the required operation */
7768
7769         ret =
7770           (c == EOP_HASH || c == EOP_H)?
7771              compute_hash(sub, value1, value2, &len) :
7772           (c == EOP_NHASH || c == EOP_NH)?
7773              compute_nhash(sub, value1, value2, &len) :
7774              extract_substr(sub, value1, value2, &len);
7775
7776         if (ret == NULL) goto EXPAND_FAILED;
7777         yield = string_catn(yield, ret, len);
7778         continue;
7779         }
7780
7781       /* Stat a path */
7782
7783       case EOP_STAT:
7784         {
7785         uschar smode[12];
7786         uschar **modetable[3];
7787         mode_t mode;
7788         struct stat st;
7789
7790         if (expand_forbid & RDO_EXISTS)
7791           {
7792           expand_string_message = US"Use of the stat() expansion is not permitted";
7793           goto EXPAND_FAILED;
7794           }
7795
7796         if (stat(CS sub, &st) < 0)
7797           {
7798           expand_string_message = string_sprintf("stat(%s) failed: %s",
7799             sub, strerror(errno));
7800           goto EXPAND_FAILED;
7801           }
7802         mode = st.st_mode;
7803         switch (mode & S_IFMT)
7804           {
7805           case S_IFIFO: smode[0] = 'p'; break;
7806           case S_IFCHR: smode[0] = 'c'; break;
7807           case S_IFDIR: smode[0] = 'd'; break;
7808           case S_IFBLK: smode[0] = 'b'; break;
7809           case S_IFREG: smode[0] = '-'; break;
7810           default: smode[0] = '?'; break;
7811           }
7812
7813         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
7814         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
7815         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
7816
7817         for (int i = 0; i < 3; i++)
7818           {
7819           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
7820           mode >>= 3;
7821           }
7822
7823         smode[10] = 0;
7824         yield = string_fmt_append(yield,
7825           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
7826           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
7827           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
7828           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
7829           (long)st.st_gid, st.st_size, (long)st.st_atime,
7830           (long)st.st_mtime, (long)st.st_ctime);
7831         continue;
7832         }
7833
7834       /* vaguely random number less than N */
7835
7836       case EOP_RANDINT:
7837         {
7838         int_eximarith_t max = expanded_string_integer(sub, TRUE);
7839
7840         if (expand_string_message)
7841           goto EXPAND_FAILED;
7842         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
7843         continue;
7844         }
7845
7846       /* Reverse IP, including IPv6 to dotted-nibble */
7847
7848       case EOP_REVERSE_IP:
7849         {
7850         int family, maskptr;
7851         uschar reversed[128];
7852
7853         family = string_is_ip_address(sub, &maskptr);
7854         if (family == 0)
7855           {
7856           expand_string_message = string_sprintf(
7857               "reverse_ip() not given an IP address [%s]", sub);
7858           goto EXPAND_FAILED;
7859           }
7860         invert_address(reversed, sub);
7861         yield = string_cat(yield, reversed);
7862         continue;
7863         }
7864
7865       /* Unknown operator */
7866
7867       default:
7868         expand_string_message =
7869           string_sprintf("unknown expansion operator \"%s\"", name);
7870         goto EXPAND_FAILED;
7871       }
7872     }
7873
7874   /* Handle a plain name. If this is the first thing in the expansion, release
7875   the pre-allocated buffer. If the result data is known to be in a new buffer,
7876   newsize will be set to the size of that buffer, and we can just point at that
7877   store instead of copying. Many expansion strings contain just one reference,
7878   so this is a useful optimization, especially for humungous headers
7879   ($message_headers). */
7880                                                 /*{*/
7881   if (*s++ == '}')
7882     {
7883     int len;
7884     int newsize = 0;
7885     gstring * g = NULL;
7886
7887     if (!yield)
7888       g = store_get(sizeof(gstring), FALSE);
7889     else if (yield->ptr == 0)
7890       {
7891       if (resetok) reset_point = store_reset(reset_point);
7892       yield = NULL;
7893       reset_point = store_mark();
7894       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
7895       }
7896     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
7897       {
7898       expand_string_message =
7899         string_sprintf("unknown variable in \"${%s}\"", name);
7900       check_variable_error_message(name);
7901       goto EXPAND_FAILED;
7902       }
7903     len = Ustrlen(value);
7904     if (!yield && newsize)
7905       {
7906       yield = g;
7907       yield->size = newsize;
7908       yield->ptr = len;
7909       yield->s = value;
7910       }
7911     else
7912       yield = string_catn(yield, value, len);
7913     continue;
7914     }
7915
7916   /* Else there's something wrong */
7917
7918   expand_string_message =
7919     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
7920     "in a variable reference)", name);
7921   goto EXPAND_FAILED;
7922   }
7923
7924 /* If we hit the end of the string when ket_ends is set, there is a missing
7925 terminating brace. */
7926
7927 if (ket_ends && *s == 0)
7928   {
7929   expand_string_message = malformed_header
7930     ? US"missing } at end of string - could be header name not terminated by colon"
7931     : US"missing } at end of string";
7932   goto EXPAND_FAILED;
7933   }
7934
7935 /* Expansion succeeded; yield may still be NULL here if nothing was actually
7936 added to the string. If so, set up an empty string. Add a terminating zero. If
7937 left != NULL, return a pointer to the terminator. */
7938
7939 if (!yield)
7940   yield = string_get(1);
7941 (void) string_from_gstring(yield);
7942 if (left) *left = s;
7943
7944 /* Any stacking store that was used above the final string is no longer needed.
7945 In many cases the final string will be the first one that was got and so there
7946 will be optimal store usage. */
7947
7948 if (resetok) gstring_release_unused(yield);
7949 else if (resetok_p) *resetok_p = FALSE;
7950
7951 DEBUG(D_expand)
7952   {
7953   BOOL tainted = is_tainted(yield->s);
7954   DEBUG(D_noutf8)
7955     {
7956     debug_printf_indent("|--expanding: %.*s\n", (int)(s - string), string);
7957     debug_printf_indent("%sresult: %s\n",
7958       skipping ? "|-----" : "\\_____", yield->s);
7959     if (tainted)
7960       debug_printf_indent("%s     \\__(tainted)\n",
7961         skipping ? "|     " : "      ");
7962     if (skipping)
7963       debug_printf_indent("\\___skipping: result is not used\n");
7964     }
7965   else
7966     {
7967     debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
7968       "expanding: %.*s\n",
7969       (int)(s - string), string);
7970     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7971       "result: %s\n",
7972       skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
7973       yield->s);
7974     if (tainted)
7975       debug_printf_indent("%s(tainted)\n",
7976         skipping
7977         ? UTF8_VERT "             " : "           " UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ);
7978     if (skipping)
7979       debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
7980         "skipping: result is not used\n");
7981     }
7982   }
7983 expand_level--;
7984 return yield->s;
7985
7986 /* This is the failure exit: easiest to program with a goto. We still need
7987 to update the pointer to the terminator, for cases of nested calls with "fail".
7988 */
7989
7990 EXPAND_FAILED_CURLY:
7991 if (malformed_header)
7992   expand_string_message =
7993     US"missing or misplaced { or } - could be header name not terminated by colon";
7994
7995 else if (!expand_string_message || !*expand_string_message)
7996   expand_string_message = US"missing or misplaced { or }";
7997
7998 /* At one point, Exim reset the store to yield (if yield was not NULL), but
7999 that is a bad idea, because expand_string_message is in dynamic store. */
8000
8001 EXPAND_FAILED:
8002 if (left) *left = s;
8003 DEBUG(D_expand)
8004   DEBUG(D_noutf8)
8005     {
8006     debug_printf_indent("|failed to expand: %s\n", string);
8007     debug_printf_indent("%serror message: %s\n",
8008       f.expand_string_forcedfail ? "|---" : "\\___", expand_string_message);
8009     if (f.expand_string_forcedfail)
8010       debug_printf_indent("\\failure was forced\n");
8011     }
8012   else
8013     {
8014     debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
8015       string);
8016     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8017       "error message: %s\n",
8018       f.expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8019       expand_string_message);
8020     if (f.expand_string_forcedfail)
8021       debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
8022     }
8023 if (resetok_p && !resetok) *resetok_p = FALSE;
8024 expand_level--;
8025 return NULL;
8026 }
8027
8028
8029 /* This is the external function call. Do a quick check for any expansion
8030 metacharacters, and if there are none, just return the input string.
8031
8032 Argument: the string to be expanded
8033 Returns:  the expanded string, or NULL if expansion failed; if failure was
8034           due to a lookup deferring, search_find_defer will be TRUE
8035 */
8036
8037 const uschar *
8038 expand_cstring(const uschar * string)
8039 {
8040 if (Ustrpbrk(string, "$\\") != NULL)
8041   {
8042   int old_pool = store_pool;
8043   uschar * s;
8044
8045   f.search_find_defer = FALSE;
8046   malformed_header = FALSE;
8047   store_pool = POOL_MAIN;
8048     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
8049   store_pool = old_pool;
8050   return s;
8051   }
8052 return string;
8053 }
8054
8055
8056 uschar *
8057 expand_string(uschar * string)
8058 {
8059 return US expand_cstring(CUS string);
8060 }
8061
8062
8063
8064
8065
8066 /*************************************************
8067 *              Expand and copy                   *
8068 *************************************************/
8069
8070 /* Now and again we want to expand a string and be sure that the result is in a
8071 new bit of store. This function does that.
8072 Since we know it has been copied, the de-const cast is safe.
8073
8074 Argument: the string to be expanded
8075 Returns:  the expanded string, always in a new bit of store, or NULL
8076 */
8077
8078 uschar *
8079 expand_string_copy(const uschar *string)
8080 {
8081 const uschar *yield = expand_cstring(string);
8082 if (yield == string) yield = string_copy(string);
8083 return US yield;
8084 }
8085
8086
8087
8088 /*************************************************
8089 *        Expand and interpret as an integer      *
8090 *************************************************/
8091
8092 /* Expand a string, and convert the result into an integer.
8093
8094 Arguments:
8095   string  the string to be expanded
8096   isplus  TRUE if a non-negative number is expected
8097
8098 Returns:  the integer value, or
8099           -1 for an expansion error               ) in both cases, message in
8100           -2 for an integer interpretation error  ) expand_string_message
8101           expand_string_message is set NULL for an OK integer
8102 */
8103
8104 int_eximarith_t
8105 expand_string_integer(uschar *string, BOOL isplus)
8106 {
8107 return expanded_string_integer(expand_string(string), isplus);
8108 }
8109
8110
8111 /*************************************************
8112  *         Interpret string as an integer        *
8113  *************************************************/
8114
8115 /* Convert a string (that has already been expanded) into an integer.
8116
8117 This function is used inside the expansion code.
8118
8119 Arguments:
8120   s       the string to be expanded
8121   isplus  TRUE if a non-negative number is expected
8122
8123 Returns:  the integer value, or
8124           -1 if string is NULL (which implies an expansion error)
8125           -2 for an integer interpretation error
8126           expand_string_message is set NULL for an OK integer
8127 */
8128
8129 static int_eximarith_t
8130 expanded_string_integer(const uschar *s, BOOL isplus)
8131 {
8132 int_eximarith_t value;
8133 uschar *msg = US"invalid integer \"%s\"";
8134 uschar *endptr;
8135
8136 /* If expansion failed, expand_string_message will be set. */
8137
8138 if (s == NULL) return -1;
8139
8140 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8141 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8142 systems, so we set it zero ourselves. */
8143
8144 errno = 0;
8145 expand_string_message = NULL;               /* Indicates no error */
8146
8147 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8148 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8149 the behaviour explicitly.  Stripping leading whitespace is a harmless
8150 noop change since strtol skips it anyway (provided that there is a number
8151 to find at all). */
8152 if (isspace(*s))
8153   {
8154   while (isspace(*s)) ++s;
8155   if (*s == '\0')
8156     {
8157       DEBUG(D_expand)
8158        debug_printf_indent("treating blank string as number 0\n");
8159       return 0;
8160     }
8161   }
8162
8163 value = strtoll(CS s, CSS &endptr, 10);
8164
8165 if (endptr == s)
8166   {
8167   msg = US"integer expected but \"%s\" found";
8168   }
8169 else if (value < 0 && isplus)
8170   {
8171   msg = US"non-negative integer expected but \"%s\" found";
8172   }
8173 else
8174   {
8175   switch (tolower(*endptr))
8176     {
8177     default:
8178       break;
8179     case 'k':
8180       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8181       else value *= 1024;
8182       endptr++;
8183       break;
8184     case 'm':
8185       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8186       else value *= 1024*1024;
8187       endptr++;
8188       break;
8189     case 'g':
8190       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8191       else value *= 1024*1024*1024;
8192       endptr++;
8193       break;
8194     }
8195   if (errno == ERANGE)
8196     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8197   else
8198     {
8199     while (isspace(*endptr)) endptr++;
8200     if (*endptr == 0) return value;
8201     }
8202   }
8203
8204 expand_string_message = string_sprintf(CS msg, s);
8205 return -2;
8206 }
8207
8208
8209 /* These values are usually fixed boolean values, but they are permitted to be
8210 expanded strings.
8211
8212 Arguments:
8213   addr       address being routed
8214   mtype      the module type
8215   mname      the module name
8216   dbg_opt    debug selectors
8217   oname      the option name
8218   bvalue     the router's boolean value
8219   svalue     the router's string value
8220   rvalue     where to put the returned value
8221
8222 Returns:     OK     value placed in rvalue
8223              DEFER  expansion failed
8224 */
8225
8226 int
8227 exp_bool(address_item *addr,
8228   uschar *mtype, uschar *mname, unsigned dbg_opt,
8229   uschar *oname, BOOL bvalue,
8230   uschar *svalue, BOOL *rvalue)
8231 {
8232 uschar *expanded;
8233 if (svalue == NULL) { *rvalue = bvalue; return OK; }
8234
8235 expanded = expand_string(svalue);
8236 if (expanded == NULL)
8237   {
8238   if (f.expand_string_forcedfail)
8239     {
8240     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8241     *rvalue = bvalue;
8242     return OK;
8243     }
8244   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8245       oname, mname, mtype, expand_string_message);
8246   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8247   return DEFER;
8248   }
8249
8250 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8251   expanded);
8252
8253 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8254   *rvalue = TRUE;
8255 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8256   *rvalue = FALSE;
8257 else
8258   {
8259   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8260     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8261   return DEFER;
8262   }
8263
8264 return OK;
8265 }
8266
8267
8268
8269 /* Avoid potentially exposing a password in a string about to be logged */
8270
8271 uschar *
8272 expand_hide_passwords(uschar * s)
8273 {
8274 return (  (  Ustrstr(s, "failed to expand") != NULL
8275           || Ustrstr(s, "expansion of ")    != NULL
8276           )
8277        && (  Ustrstr(s, "mysql")   != NULL
8278           || Ustrstr(s, "pgsql")   != NULL
8279           || Ustrstr(s, "redis")   != NULL
8280           || Ustrstr(s, "sqlite")  != NULL
8281           || Ustrstr(s, "ldap:")   != NULL
8282           || Ustrstr(s, "ldaps:")  != NULL
8283           || Ustrstr(s, "ldapi:")  != NULL
8284           || Ustrstr(s, "ldapdn:") != NULL
8285           || Ustrstr(s, "ldapm:")  != NULL
8286        )  )
8287   ? US"Temporary internal error" : s;
8288 }
8289
8290
8291 /* Read given named file into big_buffer.  Use for keying material etc.
8292 The content will have an ascii NUL appended.
8293
8294 Arguments:
8295  filename       as it says
8296
8297 Return:  pointer to buffer, or NULL on error.
8298 */
8299
8300 uschar *
8301 expand_file_big_buffer(const uschar * filename)
8302 {
8303 int fd, off = 0, len;
8304
8305 if ((fd = open(CS filename, O_RDONLY)) < 0)
8306   {
8307   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8308              filename);
8309   return NULL;
8310   }
8311
8312 do
8313   {
8314   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8315     {
8316     (void) close(fd);
8317     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8318     return NULL;
8319     }
8320   off += len;
8321   }
8322 while (len > 0);
8323
8324 (void) close(fd);
8325 big_buffer[off] = '\0';
8326 return big_buffer;
8327 }
8328
8329
8330
8331 /*************************************************
8332 * Error-checking for testsuite                   *
8333 *************************************************/
8334 typedef struct {
8335   uschar *      region_start;
8336   uschar *      region_end;
8337   const uschar *var_name;
8338   const uschar *var_data;
8339 } err_ctx;
8340
8341 static void
8342 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8343 {
8344 err_ctx * e = ctx;
8345 if (var_data >= e->region_start  &&  var_data < e->region_end)
8346   {
8347   e->var_name = CUS var_name;
8348   e->var_data = CUS var_data;
8349   }
8350 }
8351
8352 void
8353 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8354 {
8355 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8356               .var_name = NULL, .var_data = NULL };
8357
8358 /* check acl_ variables */
8359 tree_walk(acl_var_c, assert_variable_notin, &e);
8360 tree_walk(acl_var_m, assert_variable_notin, &e);
8361
8362 /* check auth<n> variables */
8363 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8364   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
8365
8366 /* check regex<n> variables */
8367 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8368   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
8369
8370 /* check known-name variables */
8371 for (var_entry * v = var_table; v < var_table + var_table_size; v++)
8372   if (v->type == vtype_stringptr)
8373     assert_variable_notin(US v->name, *(USS v->value), &e);
8374
8375 /* check dns and address trees */
8376 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8377 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8378 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8379 tree_walk(tree_unusable,      assert_variable_notin, &e);
8380
8381 if (e.var_name)
8382   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8383     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8384     e.var_name, filename, linenumber, e.var_data);
8385 }
8386
8387
8388
8389 /*************************************************
8390 **************************************************
8391 *             Stand-alone test program           *
8392 **************************************************
8393 *************************************************/
8394
8395 #ifdef STAND_ALONE
8396
8397
8398 BOOL
8399 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
8400 {
8401 int ovector[3*(EXPAND_MAXN+1)];
8402 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8403   ovector, nelem(ovector));
8404 BOOL yield = n >= 0;
8405 if (n == 0) n = EXPAND_MAXN + 1;
8406 if (yield)
8407   {
8408   expand_nmax = setup < 0 ? 0 : setup + 1;
8409   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8410     {
8411     expand_nstring[expand_nmax] = subject + ovector[nn];
8412     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
8413     }
8414   expand_nmax--;
8415   }
8416 return yield;
8417 }
8418
8419
8420 int main(int argc, uschar **argv)
8421 {
8422 uschar buffer[1024];
8423
8424 debug_selector = D_v;
8425 debug_file = stderr;
8426 debug_fd = fileno(debug_file);
8427 big_buffer = malloc(big_buffer_size);
8428
8429 for (int i = 1; i < argc; i++)
8430   {
8431   if (argv[i][0] == '+')
8432     {
8433     debug_trace_memory = 2;
8434     argv[i]++;
8435     }
8436   if (isdigit(argv[i][0]))
8437     debug_selector = Ustrtol(argv[i], NULL, 0);
8438   else
8439     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8440         Ustrlen(argv[i]))
8441       {
8442 #ifdef LOOKUP_LDAP
8443       eldap_default_servers = argv[i];
8444 #endif
8445 #ifdef LOOKUP_MYSQL
8446       mysql_servers = argv[i];
8447 #endif
8448 #ifdef LOOKUP_PGSQL
8449       pgsql_servers = argv[i];
8450 #endif
8451 #ifdef LOOKUP_REDIS
8452       redis_servers = argv[i];
8453 #endif
8454       }
8455 #ifdef EXIM_PERL
8456   else opt_perl_startup = argv[i];
8457 #endif
8458   }
8459
8460 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8461
8462 expand_nstring[1] = US"string 1....";
8463 expand_nlength[1] = 8;
8464 expand_nmax = 1;
8465
8466 #ifdef EXIM_PERL
8467 if (opt_perl_startup != NULL)
8468   {
8469   uschar *errstr;
8470   printf("Starting Perl interpreter\n");
8471   errstr = init_perl(opt_perl_startup);
8472   if (errstr != NULL)
8473     {
8474     printf("** error in perl_startup code: %s\n", errstr);
8475     return EXIT_FAILURE;
8476     }
8477   }
8478 #endif /* EXIM_PERL */
8479
8480 /* Thie deliberately regards the input as untainted, so that it can be
8481 expanded; only reasonable since this is a test for string-expansions. */
8482
8483 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8484   {
8485   rmark reset_point = store_mark();
8486   uschar *yield = expand_string(buffer);
8487   if (yield)
8488     printf("%s\n", yield);
8489   else
8490     {
8491     if (f.search_find_defer) printf("search_find deferred\n");
8492     printf("Failed: %s\n", expand_string_message);
8493     if (f.expand_string_forcedfail) printf("Forced failure\n");
8494     printf("\n");
8495     }
8496   store_reset(reset_point);
8497   }
8498
8499 search_tidyup();
8500
8501 return 0;
8502 }
8503
8504 #endif
8505
8506 /* vi: aw ai sw=2
8507 */
8508 /* End of expand.c */