5ae74ef52c3555a92f437b260aa041d70eaf3d75
[users/heiko/exim.git] / src / src / expand.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2018 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* Functions for handling string expansion. */
10
11
12 #include "exim.h"
13
14 /* Recursively called function */
15
16 static uschar *expand_string_internal(const uschar *, BOOL, const uschar **, BOOL, BOOL, BOOL *);
17 static int_eximarith_t expanded_string_integer(const uschar *, BOOL);
18
19 #ifdef STAND_ALONE
20 # ifndef SUPPORT_CRYPTEQ
21 #  define SUPPORT_CRYPTEQ
22 # endif
23 #endif
24
25 #ifdef LOOKUP_LDAP
26 # include "lookups/ldap.h"
27 #endif
28
29 #ifdef SUPPORT_CRYPTEQ
30 # ifdef CRYPT_H
31 #  include <crypt.h>
32 # endif
33 # ifndef HAVE_CRYPT16
34 extern char* crypt16(char*, char*);
35 # endif
36 #endif
37
38 /* The handling of crypt16() is a mess. I will record below the analysis of the
39 mess that was sent to me. We decided, however, to make changing this very low
40 priority, because in practice people are moving away from the crypt()
41 algorithms nowadays, so it doesn't seem worth it.
42
43 <quote>
44 There is an algorithm named "crypt16" in Ultrix and Tru64.  It crypts
45 the first 8 characters of the password using a 20-round version of crypt
46 (standard crypt does 25 rounds).  It then crypts the next 8 characters,
47 or an empty block if the password is less than 9 characters, using a
48 20-round version of crypt and the same salt as was used for the first
49 block.  Characters after the first 16 are ignored.  It always generates
50 a 16-byte hash, which is expressed together with the salt as a string
51 of 24 base 64 digits.  Here are some links to peruse:
52
53         http://cvs.pld.org.pl/pam/pamcrypt/crypt16.c?rev=1.2
54         http://seclists.org/bugtraq/1999/Mar/0076.html
55
56 There's a different algorithm named "bigcrypt" in HP-UX, Digital Unix,
57 and OSF/1.  This is the same as the standard crypt if given a password
58 of 8 characters or less.  If given more, it first does the same as crypt
59 using the first 8 characters, then crypts the next 8 (the 9th to 16th)
60 using as salt the first two base 64 digits from the first hash block.
61 If the password is more than 16 characters then it crypts the 17th to 24th
62 characters using as salt the first two base 64 digits from the second hash
63 block.  And so on: I've seen references to it cutting off the password at
64 40 characters (5 blocks), 80 (10 blocks), or 128 (16 blocks).  Some links:
65
66         http://cvs.pld.org.pl/pam/pamcrypt/bigcrypt.c?rev=1.2
67         http://seclists.org/bugtraq/1999/Mar/0109.html
68         http://h30097.www3.hp.com/docs/base_doc/DOCUMENTATION/HTML/AA-Q0R2D-
69              TET1_html/sec.c222.html#no_id_208
70
71 Exim has something it calls "crypt16".  It will either use a native
72 crypt16 or its own implementation.  A native crypt16 will presumably
73 be the one that I called "crypt16" above.  The internal "crypt16"
74 function, however, is a two-block-maximum implementation of what I called
75 "bigcrypt".  The documentation matches the internal code.
76
77 I suspect that whoever did the "crypt16" stuff for Exim didn't realise
78 that crypt16 and bigcrypt were different things.
79
80 Exim uses the LDAP-style scheme identifier "{crypt16}" to refer
81 to whatever it is using under that name.  This unfortunately sets a
82 precedent for using "{crypt16}" to identify two incompatible algorithms
83 whose output can't be distinguished.  With "{crypt16}" thus rendered
84 ambiguous, I suggest you deprecate it and invent two new identifiers
85 for the two algorithms.
86
87 Both crypt16 and bigcrypt are very poor algorithms, btw.  Hashing parts
88 of the password separately means they can be cracked separately, so
89 the double-length hash only doubles the cracking effort instead of
90 squaring it.  I recommend salted SHA-1 ({SSHA}), or the Blowfish-based
91 bcrypt ({CRYPT}$2a$).
92 </quote>
93 */
94
95
96
97 /*************************************************
98 *            Local statics and tables            *
99 *************************************************/
100
101 /* Table of item names, and corresponding switch numbers. The names must be in
102 alphabetical order. */
103
104 static uschar *item_table[] = {
105   US"acl",
106   US"authresults",
107   US"certextract",
108   US"dlfunc",
109   US"env",
110   US"extract",
111   US"filter",
112   US"hash",
113   US"hmac",
114   US"if",
115 #ifdef SUPPORT_I18N
116   US"imapfolder",
117 #endif
118   US"length",
119   US"listextract",
120   US"listquote",
121   US"lookup",
122   US"map",
123   US"nhash",
124   US"perl",
125   US"prvs",
126   US"prvscheck",
127   US"readfile",
128   US"readsocket",
129   US"reduce",
130   US"run",
131   US"sg",
132   US"sort",
133 #ifdef EXPERIMENTAL_SRS_NATIVE
134   US"srs_encode",
135 #endif
136   US"substr",
137   US"tr" };
138
139 enum {
140   EITEM_ACL,
141   EITEM_AUTHRESULTS,
142   EITEM_CERTEXTRACT,
143   EITEM_DLFUNC,
144   EITEM_ENV,
145   EITEM_EXTRACT,
146   EITEM_FILTER,
147   EITEM_HASH,
148   EITEM_HMAC,
149   EITEM_IF,
150 #ifdef SUPPORT_I18N
151   EITEM_IMAPFOLDER,
152 #endif
153   EITEM_LENGTH,
154   EITEM_LISTEXTRACT,
155   EITEM_LISTQUOTE,
156   EITEM_LOOKUP,
157   EITEM_MAP,
158   EITEM_NHASH,
159   EITEM_PERL,
160   EITEM_PRVS,
161   EITEM_PRVSCHECK,
162   EITEM_READFILE,
163   EITEM_READSOCK,
164   EITEM_REDUCE,
165   EITEM_RUN,
166   EITEM_SG,
167   EITEM_SORT,
168 #ifdef EXPERIMENTAL_SRS_NATIVE
169   EITEM_SRS_ENCODE,
170 #endif
171   EITEM_SUBSTR,
172   EITEM_TR };
173
174 /* Tables of operator names, and corresponding switch numbers. The names must be
175 in alphabetical order. There are two tables, because underscore is used in some
176 cases to introduce arguments, whereas for other it is part of the name. This is
177 an historical mis-design. */
178
179 static uschar *op_table_underscore[] = {
180   US"from_utf8",
181   US"local_part",
182   US"quote_local_part",
183   US"reverse_ip",
184   US"time_eval",
185   US"time_interval"
186 #ifdef SUPPORT_I18N
187  ,US"utf8_domain_from_alabel",
188   US"utf8_domain_to_alabel",
189   US"utf8_localpart_from_alabel",
190   US"utf8_localpart_to_alabel"
191 #endif
192   };
193
194 enum {
195   EOP_FROM_UTF8,
196   EOP_LOCAL_PART,
197   EOP_QUOTE_LOCAL_PART,
198   EOP_REVERSE_IP,
199   EOP_TIME_EVAL,
200   EOP_TIME_INTERVAL
201 #ifdef SUPPORT_I18N
202  ,EOP_UTF8_DOMAIN_FROM_ALABEL,
203   EOP_UTF8_DOMAIN_TO_ALABEL,
204   EOP_UTF8_LOCALPART_FROM_ALABEL,
205   EOP_UTF8_LOCALPART_TO_ALABEL
206 #endif
207   };
208
209 static uschar *op_table_main[] = {
210   US"address",
211   US"addresses",
212   US"base32",
213   US"base32d",
214   US"base62",
215   US"base62d",
216   US"base64",
217   US"base64d",
218   US"bless",
219   US"domain",
220   US"escape",
221   US"escape8bit",
222   US"eval",
223   US"eval10",
224   US"expand",
225   US"h",
226   US"hash",
227   US"hex2b64",
228   US"hexquote",
229   US"ipv6denorm",
230   US"ipv6norm",
231   US"l",
232   US"lc",
233   US"length",
234   US"listcount",
235   US"listnamed",
236   US"mask",
237   US"md5",
238   US"nh",
239   US"nhash",
240   US"quote",
241   US"randint",
242   US"rfc2047",
243   US"rfc2047d",
244   US"rxquote",
245   US"s",
246   US"sha1",
247   US"sha2",
248   US"sha256",
249   US"sha3",
250   US"stat",
251   US"str2b64",
252   US"strlen",
253   US"substr",
254   US"uc",
255   US"utf8clean" };
256
257 enum {
258   EOP_ADDRESS =  nelem(op_table_underscore),
259   EOP_ADDRESSES,
260   EOP_BASE32,
261   EOP_BASE32D,
262   EOP_BASE62,
263   EOP_BASE62D,
264   EOP_BASE64,
265   EOP_BASE64D,
266   EOP_BLESS,
267   EOP_DOMAIN,
268   EOP_ESCAPE,
269   EOP_ESCAPE8BIT,
270   EOP_EVAL,
271   EOP_EVAL10,
272   EOP_EXPAND,
273   EOP_H,
274   EOP_HASH,
275   EOP_HEX2B64,
276   EOP_HEXQUOTE,
277   EOP_IPV6DENORM,
278   EOP_IPV6NORM,
279   EOP_L,
280   EOP_LC,
281   EOP_LENGTH,
282   EOP_LISTCOUNT,
283   EOP_LISTNAMED,
284   EOP_MASK,
285   EOP_MD5,
286   EOP_NH,
287   EOP_NHASH,
288   EOP_QUOTE,
289   EOP_RANDINT,
290   EOP_RFC2047,
291   EOP_RFC2047D,
292   EOP_RXQUOTE,
293   EOP_S,
294   EOP_SHA1,
295   EOP_SHA2,
296   EOP_SHA256,
297   EOP_SHA3,
298   EOP_STAT,
299   EOP_STR2B64,
300   EOP_STRLEN,
301   EOP_SUBSTR,
302   EOP_UC,
303   EOP_UTF8CLEAN };
304
305
306 /* Table of condition names, and corresponding switch numbers. The names must
307 be in alphabetical order. */
308
309 static uschar *cond_table[] = {
310   US"<",
311   US"<=",
312   US"=",
313   US"==",     /* Backward compatibility */
314   US">",
315   US">=",
316   US"acl",
317   US"and",
318   US"bool",
319   US"bool_lax",
320   US"crypteq",
321   US"def",
322   US"eq",
323   US"eqi",
324   US"exists",
325   US"first_delivery",
326   US"forall",
327   US"forall_json",
328   US"forall_jsons",
329   US"forany",
330   US"forany_json",
331   US"forany_jsons",
332   US"ge",
333   US"gei",
334   US"gt",
335   US"gti",
336 #ifdef EXPERIMENTAL_SRS_NATIVE
337   US"inbound_srs",
338 #endif
339   US"inlist",
340   US"inlisti",
341   US"isip",
342   US"isip4",
343   US"isip6",
344   US"ldapauth",
345   US"le",
346   US"lei",
347   US"lt",
348   US"lti",
349   US"match",
350   US"match_address",
351   US"match_domain",
352   US"match_ip",
353   US"match_local_part",
354   US"or",
355   US"pam",
356   US"pwcheck",
357   US"queue_running",
358   US"radius",
359   US"saslauthd"
360 };
361
362 enum {
363   ECOND_NUM_L,
364   ECOND_NUM_LE,
365   ECOND_NUM_E,
366   ECOND_NUM_EE,
367   ECOND_NUM_G,
368   ECOND_NUM_GE,
369   ECOND_ACL,
370   ECOND_AND,
371   ECOND_BOOL,
372   ECOND_BOOL_LAX,
373   ECOND_CRYPTEQ,
374   ECOND_DEF,
375   ECOND_STR_EQ,
376   ECOND_STR_EQI,
377   ECOND_EXISTS,
378   ECOND_FIRST_DELIVERY,
379   ECOND_FORALL,
380   ECOND_FORALL_JSON,
381   ECOND_FORALL_JSONS,
382   ECOND_FORANY,
383   ECOND_FORANY_JSON,
384   ECOND_FORANY_JSONS,
385   ECOND_STR_GE,
386   ECOND_STR_GEI,
387   ECOND_STR_GT,
388   ECOND_STR_GTI,
389 #ifdef EXPERIMENTAL_SRS_NATIVE
390   ECOND_INBOUND_SRS,
391 #endif
392   ECOND_INLIST,
393   ECOND_INLISTI,
394   ECOND_ISIP,
395   ECOND_ISIP4,
396   ECOND_ISIP6,
397   ECOND_LDAPAUTH,
398   ECOND_STR_LE,
399   ECOND_STR_LEI,
400   ECOND_STR_LT,
401   ECOND_STR_LTI,
402   ECOND_MATCH,
403   ECOND_MATCH_ADDRESS,
404   ECOND_MATCH_DOMAIN,
405   ECOND_MATCH_IP,
406   ECOND_MATCH_LOCAL_PART,
407   ECOND_OR,
408   ECOND_PAM,
409   ECOND_PWCHECK,
410   ECOND_QUEUE_RUNNING,
411   ECOND_RADIUS,
412   ECOND_SASLAUTHD
413 };
414
415
416 /* Types of table entry */
417
418 enum vtypes {
419   vtype_int,            /* value is address of int */
420   vtype_filter_int,     /* ditto, but recognized only when filtering */
421   vtype_ino,            /* value is address of ino_t (not always an int) */
422   vtype_uid,            /* value is address of uid_t (not always an int) */
423   vtype_gid,            /* value is address of gid_t (not always an int) */
424   vtype_bool,           /* value is address of bool */
425   vtype_stringptr,      /* value is address of pointer to string */
426   vtype_msgbody,        /* as stringptr, but read when first required */
427   vtype_msgbody_end,    /* ditto, the end of the message */
428   vtype_msgheaders,     /* the message's headers, processed */
429   vtype_msgheaders_raw, /* the message's headers, unprocessed */
430   vtype_localpart,      /* extract local part from string */
431   vtype_domain,         /* extract domain from string */
432   vtype_string_func,    /* value is string returned by given function */
433   vtype_todbsdin,       /* value not used; generate BSD inbox tod */
434   vtype_tode,           /* value not used; generate tod in epoch format */
435   vtype_todel,          /* value not used; generate tod in epoch/usec format */
436   vtype_todf,           /* value not used; generate full tod */
437   vtype_todl,           /* value not used; generate log tod */
438   vtype_todlf,          /* value not used; generate log file datestamp tod */
439   vtype_todzone,        /* value not used; generate time zone only */
440   vtype_todzulu,        /* value not used; generate zulu tod */
441   vtype_reply,          /* value not used; get reply from headers */
442   vtype_pid,            /* value not used; result is pid */
443   vtype_host_lookup,    /* value not used; get host name */
444   vtype_load_avg,       /* value not used; result is int from os_getloadavg */
445   vtype_pspace,         /* partition space; value is T/F for spool/log */
446   vtype_pinodes,        /* partition inodes; value is T/F for spool/log */
447   vtype_cert            /* SSL certificate */
448   #ifndef DISABLE_DKIM
449   ,vtype_dkim           /* Lookup of value in DKIM signature */
450   #endif
451 };
452
453 /* Type for main variable table */
454
455 typedef struct {
456   const char *name;
457   enum vtypes type;
458   void       *value;
459 } var_entry;
460
461 /* Type for entries pointing to address/length pairs. Not currently
462 in use. */
463
464 typedef struct {
465   uschar **address;
466   int  *length;
467 } alblock;
468
469 static uschar * fn_recipients(void);
470 typedef uschar * stringptr_fn_t(void);
471 static uschar * fn_queue_size(void);
472
473 /* This table must be kept in alphabetical order. */
474
475 static var_entry var_table[] = {
476   /* WARNING: Do not invent variables whose names start acl_c or acl_m because
477      they will be confused with user-creatable ACL variables. */
478   { "acl_arg1",            vtype_stringptr,   &acl_arg[0] },
479   { "acl_arg2",            vtype_stringptr,   &acl_arg[1] },
480   { "acl_arg3",            vtype_stringptr,   &acl_arg[2] },
481   { "acl_arg4",            vtype_stringptr,   &acl_arg[3] },
482   { "acl_arg5",            vtype_stringptr,   &acl_arg[4] },
483   { "acl_arg6",            vtype_stringptr,   &acl_arg[5] },
484   { "acl_arg7",            vtype_stringptr,   &acl_arg[6] },
485   { "acl_arg8",            vtype_stringptr,   &acl_arg[7] },
486   { "acl_arg9",            vtype_stringptr,   &acl_arg[8] },
487   { "acl_narg",            vtype_int,         &acl_narg },
488   { "acl_verify_message",  vtype_stringptr,   &acl_verify_message },
489   { "address_data",        vtype_stringptr,   &deliver_address_data },
490   { "address_file",        vtype_stringptr,   &address_file },
491   { "address_pipe",        vtype_stringptr,   &address_pipe },
492 #ifdef EXPERIMENTAL_ARC
493   { "arc_domains",         vtype_string_func, (void *) &fn_arc_domains },
494   { "arc_oldest_pass",     vtype_int,         &arc_oldest_pass },
495   { "arc_state",           vtype_stringptr,   &arc_state },
496   { "arc_state_reason",    vtype_stringptr,   &arc_state_reason },
497 #endif
498   { "authenticated_fail_id",vtype_stringptr,  &authenticated_fail_id },
499   { "authenticated_id",    vtype_stringptr,   &authenticated_id },
500   { "authenticated_sender",vtype_stringptr,   &authenticated_sender },
501   { "authentication_failed",vtype_int,        &authentication_failed },
502 #ifdef WITH_CONTENT_SCAN
503   { "av_failed",           vtype_int,         &av_failed },
504 #endif
505 #ifdef EXPERIMENTAL_BRIGHTMAIL
506   { "bmi_alt_location",    vtype_stringptr,   &bmi_alt_location },
507   { "bmi_base64_tracker_verdict", vtype_stringptr, &bmi_base64_tracker_verdict },
508   { "bmi_base64_verdict",  vtype_stringptr,   &bmi_base64_verdict },
509   { "bmi_deliver",         vtype_int,         &bmi_deliver },
510 #endif
511   { "body_linecount",      vtype_int,         &body_linecount },
512   { "body_zerocount",      vtype_int,         &body_zerocount },
513   { "bounce_recipient",    vtype_stringptr,   &bounce_recipient },
514   { "bounce_return_size_limit", vtype_int,    &bounce_return_size_limit },
515   { "caller_gid",          vtype_gid,         &real_gid },
516   { "caller_uid",          vtype_uid,         &real_uid },
517   { "callout_address",     vtype_stringptr,   &callout_address },
518   { "compile_date",        vtype_stringptr,   &version_date },
519   { "compile_number",      vtype_stringptr,   &version_cnumber },
520   { "config_dir",          vtype_stringptr,   &config_main_directory },
521   { "config_file",         vtype_stringptr,   &config_main_filename },
522   { "csa_status",          vtype_stringptr,   &csa_status },
523 #ifdef EXPERIMENTAL_DCC
524   { "dcc_header",          vtype_stringptr,   &dcc_header },
525   { "dcc_result",          vtype_stringptr,   &dcc_result },
526 #endif
527 #ifndef DISABLE_DKIM
528   { "dkim_algo",           vtype_dkim,        (void *)DKIM_ALGO },
529   { "dkim_bodylength",     vtype_dkim,        (void *)DKIM_BODYLENGTH },
530   { "dkim_canon_body",     vtype_dkim,        (void *)DKIM_CANON_BODY },
531   { "dkim_canon_headers",  vtype_dkim,        (void *)DKIM_CANON_HEADERS },
532   { "dkim_copiedheaders",  vtype_dkim,        (void *)DKIM_COPIEDHEADERS },
533   { "dkim_created",        vtype_dkim,        (void *)DKIM_CREATED },
534   { "dkim_cur_signer",     vtype_stringptr,   &dkim_cur_signer },
535   { "dkim_domain",         vtype_stringptr,   &dkim_signing_domain },
536   { "dkim_expires",        vtype_dkim,        (void *)DKIM_EXPIRES },
537   { "dkim_headernames",    vtype_dkim,        (void *)DKIM_HEADERNAMES },
538   { "dkim_identity",       vtype_dkim,        (void *)DKIM_IDENTITY },
539   { "dkim_key_granularity",vtype_dkim,        (void *)DKIM_KEY_GRANULARITY },
540   { "dkim_key_length",     vtype_int,         &dkim_key_length },
541   { "dkim_key_nosubdomains",vtype_dkim,       (void *)DKIM_NOSUBDOMAINS },
542   { "dkim_key_notes",      vtype_dkim,        (void *)DKIM_KEY_NOTES },
543   { "dkim_key_srvtype",    vtype_dkim,        (void *)DKIM_KEY_SRVTYPE },
544   { "dkim_key_testing",    vtype_dkim,        (void *)DKIM_KEY_TESTING },
545   { "dkim_selector",       vtype_stringptr,   &dkim_signing_selector },
546   { "dkim_signers",        vtype_stringptr,   &dkim_signers },
547   { "dkim_verify_reason",  vtype_stringptr,   &dkim_verify_reason },
548   { "dkim_verify_status",  vtype_stringptr,   &dkim_verify_status },
549 #endif
550 #ifdef SUPPORT_DMARC
551   { "dmarc_domain_policy", vtype_stringptr,   &dmarc_domain_policy },
552   { "dmarc_status",        vtype_stringptr,   &dmarc_status },
553   { "dmarc_status_text",   vtype_stringptr,   &dmarc_status_text },
554   { "dmarc_used_domain",   vtype_stringptr,   &dmarc_used_domain },
555 #endif
556   { "dnslist_domain",      vtype_stringptr,   &dnslist_domain },
557   { "dnslist_matched",     vtype_stringptr,   &dnslist_matched },
558   { "dnslist_text",        vtype_stringptr,   &dnslist_text },
559   { "dnslist_value",       vtype_stringptr,   &dnslist_value },
560   { "domain",              vtype_stringptr,   &deliver_domain },
561   { "domain_data",         vtype_stringptr,   &deliver_domain_data },
562 #ifndef DISABLE_EVENT
563   { "event_data",          vtype_stringptr,   &event_data },
564
565   /*XXX want to use generic vars for as many of these as possible*/
566   { "event_defer_errno",   vtype_int,         &event_defer_errno },
567
568   { "event_name",          vtype_stringptr,   &event_name },
569 #endif
570   { "exim_gid",            vtype_gid,         &exim_gid },
571   { "exim_path",           vtype_stringptr,   &exim_path },
572   { "exim_uid",            vtype_uid,         &exim_uid },
573   { "exim_version",        vtype_stringptr,   &version_string },
574   { "headers_added",       vtype_string_func, (void *) &fn_hdrs_added },
575   { "home",                vtype_stringptr,   &deliver_home },
576   { "host",                vtype_stringptr,   &deliver_host },
577   { "host_address",        vtype_stringptr,   &deliver_host_address },
578   { "host_data",           vtype_stringptr,   &host_data },
579   { "host_lookup_deferred",vtype_int,         &host_lookup_deferred },
580   { "host_lookup_failed",  vtype_int,         &host_lookup_failed },
581   { "host_port",           vtype_int,         &deliver_host_port },
582   { "initial_cwd",         vtype_stringptr,   &initial_cwd },
583   { "inode",               vtype_ino,         &deliver_inode },
584   { "interface_address",   vtype_stringptr,   &interface_address },
585   { "interface_port",      vtype_int,         &interface_port },
586   { "item",                vtype_stringptr,   &iterate_item },
587   #ifdef LOOKUP_LDAP
588   { "ldap_dn",             vtype_stringptr,   &eldap_dn },
589   #endif
590   { "load_average",        vtype_load_avg,    NULL },
591   { "local_part",          vtype_stringptr,   &deliver_localpart },
592   { "local_part_data",     vtype_stringptr,   &deliver_localpart_data },
593   { "local_part_prefix",   vtype_stringptr,   &deliver_localpart_prefix },
594   { "local_part_prefix_v", vtype_stringptr,   &deliver_localpart_prefix_v },
595   { "local_part_suffix",   vtype_stringptr,   &deliver_localpart_suffix },
596   { "local_part_suffix_v", vtype_stringptr,   &deliver_localpart_suffix_v },
597   { "local_part_verified", vtype_stringptr,   &deliver_localpart_verified },
598 #ifdef HAVE_LOCAL_SCAN
599   { "local_scan_data",     vtype_stringptr,   &local_scan_data },
600 #endif
601   { "local_user_gid",      vtype_gid,         &local_user_gid },
602   { "local_user_uid",      vtype_uid,         &local_user_uid },
603   { "localhost_number",    vtype_int,         &host_number },
604   { "log_inodes",          vtype_pinodes,     (void *)FALSE },
605   { "log_space",           vtype_pspace,      (void *)FALSE },
606   { "lookup_dnssec_authenticated",vtype_stringptr,&lookup_dnssec_authenticated},
607   { "mailstore_basename",  vtype_stringptr,   &mailstore_basename },
608 #ifdef WITH_CONTENT_SCAN
609   { "malware_name",        vtype_stringptr,   &malware_name },
610 #endif
611   { "max_received_linelength", vtype_int,     &max_received_linelength },
612   { "message_age",         vtype_int,         &message_age },
613   { "message_body",        vtype_msgbody,     &message_body },
614   { "message_body_end",    vtype_msgbody_end, &message_body_end },
615   { "message_body_size",   vtype_int,         &message_body_size },
616   { "message_exim_id",     vtype_stringptr,   &message_id },
617   { "message_headers",     vtype_msgheaders,  NULL },
618   { "message_headers_raw", vtype_msgheaders_raw, NULL },
619   { "message_id",          vtype_stringptr,   &message_id },
620   { "message_linecount",   vtype_int,         &message_linecount },
621   { "message_size",        vtype_int,         &message_size },
622 #ifdef SUPPORT_I18N
623   { "message_smtputf8",    vtype_bool,        &message_smtputf8 },
624 #endif
625 #ifdef WITH_CONTENT_SCAN
626   { "mime_anomaly_level",  vtype_int,         &mime_anomaly_level },
627   { "mime_anomaly_text",   vtype_stringptr,   &mime_anomaly_text },
628   { "mime_boundary",       vtype_stringptr,   &mime_boundary },
629   { "mime_charset",        vtype_stringptr,   &mime_charset },
630   { "mime_content_description", vtype_stringptr, &mime_content_description },
631   { "mime_content_disposition", vtype_stringptr, &mime_content_disposition },
632   { "mime_content_id",     vtype_stringptr,   &mime_content_id },
633   { "mime_content_size",   vtype_int,         &mime_content_size },
634   { "mime_content_transfer_encoding",vtype_stringptr, &mime_content_transfer_encoding },
635   { "mime_content_type",   vtype_stringptr,   &mime_content_type },
636   { "mime_decoded_filename", vtype_stringptr, &mime_decoded_filename },
637   { "mime_filename",       vtype_stringptr,   &mime_filename },
638   { "mime_is_coverletter", vtype_int,         &mime_is_coverletter },
639   { "mime_is_multipart",   vtype_int,         &mime_is_multipart },
640   { "mime_is_rfc822",      vtype_int,         &mime_is_rfc822 },
641   { "mime_part_count",     vtype_int,         &mime_part_count },
642 #endif
643   { "n0",                  vtype_filter_int,  &filter_n[0] },
644   { "n1",                  vtype_filter_int,  &filter_n[1] },
645   { "n2",                  vtype_filter_int,  &filter_n[2] },
646   { "n3",                  vtype_filter_int,  &filter_n[3] },
647   { "n4",                  vtype_filter_int,  &filter_n[4] },
648   { "n5",                  vtype_filter_int,  &filter_n[5] },
649   { "n6",                  vtype_filter_int,  &filter_n[6] },
650   { "n7",                  vtype_filter_int,  &filter_n[7] },
651   { "n8",                  vtype_filter_int,  &filter_n[8] },
652   { "n9",                  vtype_filter_int,  &filter_n[9] },
653   { "original_domain",     vtype_stringptr,   &deliver_domain_orig },
654   { "original_local_part", vtype_stringptr,   &deliver_localpart_orig },
655   { "originator_gid",      vtype_gid,         &originator_gid },
656   { "originator_uid",      vtype_uid,         &originator_uid },
657   { "parent_domain",       vtype_stringptr,   &deliver_domain_parent },
658   { "parent_local_part",   vtype_stringptr,   &deliver_localpart_parent },
659   { "pid",                 vtype_pid,         NULL },
660 #ifndef DISABLE_PRDR
661   { "prdr_requested",      vtype_bool,        &prdr_requested },
662 #endif
663   { "primary_hostname",    vtype_stringptr,   &primary_hostname },
664 #if defined(SUPPORT_PROXY) || defined(SUPPORT_SOCKS)
665   { "proxy_external_address",vtype_stringptr, &proxy_external_address },
666   { "proxy_external_port", vtype_int,         &proxy_external_port },
667   { "proxy_local_address", vtype_stringptr,   &proxy_local_address },
668   { "proxy_local_port",    vtype_int,         &proxy_local_port },
669   { "proxy_session",       vtype_bool,        &proxy_session },
670 #endif
671   { "prvscheck_address",   vtype_stringptr,   &prvscheck_address },
672   { "prvscheck_keynum",    vtype_stringptr,   &prvscheck_keynum },
673   { "prvscheck_result",    vtype_stringptr,   &prvscheck_result },
674   { "qualify_domain",      vtype_stringptr,   &qualify_domain_sender },
675   { "qualify_recipient",   vtype_stringptr,   &qualify_domain_recipient },
676   { "queue_name",          vtype_stringptr,   &queue_name },
677   { "queue_size",          vtype_string_func, &fn_queue_size },
678   { "rcpt_count",          vtype_int,         &rcpt_count },
679   { "rcpt_defer_count",    vtype_int,         &rcpt_defer_count },
680   { "rcpt_fail_count",     vtype_int,         &rcpt_fail_count },
681   { "received_count",      vtype_int,         &received_count },
682   { "received_for",        vtype_stringptr,   &received_for },
683   { "received_ip_address", vtype_stringptr,   &interface_address },
684   { "received_port",       vtype_int,         &interface_port },
685   { "received_protocol",   vtype_stringptr,   &received_protocol },
686   { "received_time",       vtype_int,         &received_time.tv_sec },
687   { "recipient_data",      vtype_stringptr,   &recipient_data },
688   { "recipient_verify_failure",vtype_stringptr,&recipient_verify_failure },
689   { "recipients",          vtype_string_func, (void *) &fn_recipients },
690   { "recipients_count",    vtype_int,         &recipients_count },
691 #ifdef WITH_CONTENT_SCAN
692   { "regex_match_string",  vtype_stringptr,   &regex_match_string },
693 #endif
694   { "reply_address",       vtype_reply,       NULL },
695   { "return_path",         vtype_stringptr,   &return_path },
696   { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
697   { "router_name",         vtype_stringptr,   &router_name },
698   { "runrc",               vtype_int,         &runrc },
699   { "self_hostname",       vtype_stringptr,   &self_hostname },
700   { "sender_address",      vtype_stringptr,   &sender_address },
701   { "sender_address_data", vtype_stringptr,   &sender_address_data },
702   { "sender_address_domain", vtype_domain,    &sender_address },
703   { "sender_address_local_part", vtype_localpart, &sender_address },
704   { "sender_data",         vtype_stringptr,   &sender_data },
705   { "sender_fullhost",     vtype_stringptr,   &sender_fullhost },
706   { "sender_helo_dnssec",  vtype_bool,        &sender_helo_dnssec },
707   { "sender_helo_name",    vtype_stringptr,   &sender_helo_name },
708   { "sender_host_address", vtype_stringptr,   &sender_host_address },
709   { "sender_host_authenticated",vtype_stringptr, &sender_host_authenticated },
710   { "sender_host_dnssec",  vtype_bool,        &sender_host_dnssec },
711   { "sender_host_name",    vtype_host_lookup, NULL },
712   { "sender_host_port",    vtype_int,         &sender_host_port },
713   { "sender_ident",        vtype_stringptr,   &sender_ident },
714   { "sender_rate",         vtype_stringptr,   &sender_rate },
715   { "sender_rate_limit",   vtype_stringptr,   &sender_rate_limit },
716   { "sender_rate_period",  vtype_stringptr,   &sender_rate_period },
717   { "sender_rcvhost",      vtype_stringptr,   &sender_rcvhost },
718   { "sender_verify_failure",vtype_stringptr,  &sender_verify_failure },
719   { "sending_ip_address",  vtype_stringptr,   &sending_ip_address },
720   { "sending_port",        vtype_int,         &sending_port },
721   { "smtp_active_hostname", vtype_stringptr,  &smtp_active_hostname },
722   { "smtp_command",        vtype_stringptr,   &smtp_cmd_buffer },
723   { "smtp_command_argument", vtype_stringptr, &smtp_cmd_argument },
724   { "smtp_command_history", vtype_string_func, (void *) &smtp_cmd_hist },
725   { "smtp_count_at_connection_start", vtype_int, &smtp_accept_count },
726   { "smtp_notquit_reason", vtype_stringptr,   &smtp_notquit_reason },
727   { "sn0",                 vtype_filter_int,  &filter_sn[0] },
728   { "sn1",                 vtype_filter_int,  &filter_sn[1] },
729   { "sn2",                 vtype_filter_int,  &filter_sn[2] },
730   { "sn3",                 vtype_filter_int,  &filter_sn[3] },
731   { "sn4",                 vtype_filter_int,  &filter_sn[4] },
732   { "sn5",                 vtype_filter_int,  &filter_sn[5] },
733   { "sn6",                 vtype_filter_int,  &filter_sn[6] },
734   { "sn7",                 vtype_filter_int,  &filter_sn[7] },
735   { "sn8",                 vtype_filter_int,  &filter_sn[8] },
736   { "sn9",                 vtype_filter_int,  &filter_sn[9] },
737 #ifdef WITH_CONTENT_SCAN
738   { "spam_action",         vtype_stringptr,   &spam_action },
739   { "spam_bar",            vtype_stringptr,   &spam_bar },
740   { "spam_report",         vtype_stringptr,   &spam_report },
741   { "spam_score",          vtype_stringptr,   &spam_score },
742   { "spam_score_int",      vtype_stringptr,   &spam_score_int },
743 #endif
744 #ifdef SUPPORT_SPF
745   { "spf_guess",           vtype_stringptr,   &spf_guess },
746   { "spf_header_comment",  vtype_stringptr,   &spf_header_comment },
747   { "spf_received",        vtype_stringptr,   &spf_received },
748   { "spf_result",          vtype_stringptr,   &spf_result },
749   { "spf_result_guessed",  vtype_bool,        &spf_result_guessed },
750   { "spf_smtp_comment",    vtype_stringptr,   &spf_smtp_comment },
751 #endif
752   { "spool_directory",     vtype_stringptr,   &spool_directory },
753   { "spool_inodes",        vtype_pinodes,     (void *)TRUE },
754   { "spool_space",         vtype_pspace,      (void *)TRUE },
755 #ifdef EXPERIMENTAL_SRS
756   { "srs_db_address",      vtype_stringptr,   &srs_db_address },
757   { "srs_db_key",          vtype_stringptr,   &srs_db_key },
758   { "srs_orig_recipient",  vtype_stringptr,   &srs_orig_recipient },
759   { "srs_orig_sender",     vtype_stringptr,   &srs_orig_sender },
760 #endif
761 #if defined(EXPERIMENTAL_SRS) || defined(EXPERIMENTAL_SRS_NATIVE)
762   { "srs_recipient",       vtype_stringptr,   &srs_recipient },
763 #endif
764 #ifdef EXPERIMENTAL_SRS
765   { "srs_status",          vtype_stringptr,   &srs_status },
766 #endif
767   { "thisaddress",         vtype_stringptr,   &filter_thisaddress },
768
769   /* The non-(in,out) variables are now deprecated */
770   { "tls_bits",            vtype_int,         &tls_in.bits },
771   { "tls_certificate_verified", vtype_int,    &tls_in.certificate_verified },
772   { "tls_cipher",          vtype_stringptr,   &tls_in.cipher },
773
774   { "tls_in_bits",         vtype_int,         &tls_in.bits },
775   { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
776   { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
777   { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
778   { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
779   { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
780   { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
781   { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
782 #ifdef EXPERIMENTAL_TLS_RESUME
783   { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
784 #endif
785 #ifndef DISABLE_TLS
786   { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
787 #endif
788   { "tls_in_ver",          vtype_stringptr,   &tls_in.ver },
789   { "tls_out_bits",        vtype_int,         &tls_out.bits },
790   { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
791   { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
792   { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
793 #ifdef SUPPORT_DANE
794   { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
795 #endif
796   { "tls_out_ocsp",        vtype_int,         &tls_out.ocsp },
797   { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
798   { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
799   { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
800 #ifdef EXPERIMENTAL_TLS_RESUME
801   { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
802 #endif
803 #ifndef DISABLE_TLS
804   { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
805 #endif
806 #ifdef SUPPORT_DANE
807   { "tls_out_tlsa_usage",  vtype_int,         &tls_out.tlsa_usage },
808 #endif
809   { "tls_out_ver",         vtype_stringptr,   &tls_out.ver },
810
811   { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn }, /* mind the alphabetical order! */
812 #ifndef DISABLE_TLS
813   { "tls_sni",             vtype_stringptr,   &tls_in.sni },    /* mind the alphabetical order! */
814 #endif
815
816   { "tod_bsdinbox",        vtype_todbsdin,    NULL },
817   { "tod_epoch",           vtype_tode,        NULL },
818   { "tod_epoch_l",         vtype_todel,       NULL },
819   { "tod_full",            vtype_todf,        NULL },
820   { "tod_log",             vtype_todl,        NULL },
821   { "tod_logfile",         vtype_todlf,       NULL },
822   { "tod_zone",            vtype_todzone,     NULL },
823   { "tod_zulu",            vtype_todzulu,     NULL },
824   { "transport_name",      vtype_stringptr,   &transport_name },
825   { "value",               vtype_stringptr,   &lookup_value },
826   { "verify_mode",         vtype_stringptr,   &verify_mode },
827   { "version_number",      vtype_stringptr,   &version_string },
828   { "warn_message_delay",  vtype_stringptr,   &warnmsg_delay },
829   { "warn_message_recipient",vtype_stringptr, &warnmsg_recipients },
830   { "warn_message_recipients",vtype_stringptr,&warnmsg_recipients },
831   { "warnmsg_delay",       vtype_stringptr,   &warnmsg_delay },
832   { "warnmsg_recipient",   vtype_stringptr,   &warnmsg_recipients },
833   { "warnmsg_recipients",  vtype_stringptr,   &warnmsg_recipients }
834 };
835
836 static int var_table_size = nelem(var_table);
837 static uschar var_buffer[256];
838 static BOOL malformed_header;
839
840 /* For textual hashes */
841
842 static const char *hashcodes = "abcdefghijklmnopqrtsuvwxyz"
843                                "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
844                                "0123456789";
845
846 enum { HMAC_MD5, HMAC_SHA1 };
847
848 /* For numeric hashes */
849
850 static unsigned int prime[] = {
851   2,   3,   5,   7,  11,  13,  17,  19,  23,  29,
852  31,  37,  41,  43,  47,  53,  59,  61,  67,  71,
853  73,  79,  83,  89,  97, 101, 103, 107, 109, 113};
854
855 /* For printing modes in symbolic form */
856
857 static uschar *mtable_normal[] =
858   { US"---", US"--x", US"-w-", US"-wx", US"r--", US"r-x", US"rw-", US"rwx" };
859
860 static uschar *mtable_setid[] =
861   { US"--S", US"--s", US"-wS", US"-ws", US"r-S", US"r-s", US"rwS", US"rws" };
862
863 static uschar *mtable_sticky[] =
864   { US"--T", US"--t", US"-wT", US"-wt", US"r-T", US"r-t", US"rwT", US"rwt" };
865
866 /* flags for find_header() */
867 #define FH_EXISTS_ONLY  BIT(0)
868 #define FH_WANT_RAW     BIT(1)
869 #define FH_WANT_LIST    BIT(2)
870
871
872 /*************************************************
873 *           Tables for UTF-8 support             *
874 *************************************************/
875
876 /* Table of the number of extra characters, indexed by the first character
877 masked with 0x3f. The highest number for a valid UTF-8 character is in fact
878 0x3d. */
879
880 static uschar utf8_table1[] = {
881   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
882   1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,
883   2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,2,
884   3,3,3,3,3,3,3,3,4,4,4,4,5,5,5,5 };
885
886 /* These are the masks for the data bits in the first byte of a character,
887 indexed by the number of additional bytes. */
888
889 static int utf8_table2[] = { 0xff, 0x1f, 0x0f, 0x07, 0x03, 0x01};
890
891 /* Get the next UTF-8 character, advancing the pointer. */
892
893 #define GETUTF8INC(c, ptr) \
894   c = *ptr++; \
895   if ((c & 0xc0) == 0xc0) \
896     { \
897     int a = utf8_table1[c & 0x3f];  /* Number of additional bytes */ \
898     int s = 6*a; \
899     c = (c & utf8_table2[a]) << s; \
900     while (a-- > 0) \
901       { \
902       s -= 6; \
903       c |= (*ptr++ & 0x3f) << s; \
904       } \
905     }
906
907
908
909 static uschar * base32_chars = US"abcdefghijklmnopqrstuvwxyz234567";
910
911 /*************************************************
912 *           Binary chop search on a table        *
913 *************************************************/
914
915 /* This is used for matching expansion items and operators.
916
917 Arguments:
918   name        the name that is being sought
919   table       the table to search
920   table_size  the number of items in the table
921
922 Returns:      the offset in the table, or -1
923 */
924
925 static int
926 chop_match(uschar *name, uschar **table, int table_size)
927 {
928 uschar **bot = table;
929 uschar **top = table + table_size;
930
931 while (top > bot)
932   {
933   uschar **mid = bot + (top - bot)/2;
934   int c = Ustrcmp(name, *mid);
935   if (c == 0) return mid - table;
936   if (c > 0) bot = mid + 1; else top = mid;
937   }
938
939 return -1;
940 }
941
942
943
944 /*************************************************
945 *          Check a condition string              *
946 *************************************************/
947
948 /* This function is called to expand a string, and test the result for a "true"
949 or "false" value. Failure of the expansion yields FALSE; logged unless it was a
950 forced fail or lookup defer.
951
952 We used to release all store used, but this is not not safe due
953 to ${dlfunc } and ${acl }.  In any case expand_string_internal()
954 is reasonably careful to release what it can.
955
956 The actual false-value tests should be replicated for ECOND_BOOL_LAX.
957
958 Arguments:
959   condition     the condition string
960   m1            text to be incorporated in panic error
961   m2            ditto
962
963 Returns:        TRUE if condition is met, FALSE if not
964 */
965
966 BOOL
967 expand_check_condition(uschar *condition, uschar *m1, uschar *m2)
968 {
969 uschar * ss = expand_string(condition);
970 if (!ss)
971   {
972   if (!f.expand_string_forcedfail && !f.search_find_defer)
973     log_write(0, LOG_MAIN|LOG_PANIC, "failed to expand condition \"%s\" "
974       "for %s %s: %s", condition, m1, m2, expand_string_message);
975   return FALSE;
976   }
977 return *ss && Ustrcmp(ss, "0") != 0 && strcmpic(ss, US"no") != 0 &&
978   strcmpic(ss, US"false") != 0;
979 }
980
981
982
983
984 /*************************************************
985 *        Pseudo-random number generation         *
986 *************************************************/
987
988 /* Pseudo-random number generation.  The result is not "expected" to be
989 cryptographically strong but not so weak that someone will shoot themselves
990 in the foot using it as a nonce in some email header scheme or whatever
991 weirdness they'll twist this into.  The result should ideally handle fork().
992
993 However, if we're stuck unable to provide this, then we'll fall back to
994 appallingly bad randomness.
995
996 If DISABLE_TLS is not defined then this will not be used except as an emergency
997 fallback.
998
999 Arguments:
1000   max       range maximum
1001 Returns     a random number in range [0, max-1]
1002 */
1003
1004 #ifndef DISABLE_TLS
1005 # define vaguely_random_number vaguely_random_number_fallback
1006 #endif
1007 int
1008 vaguely_random_number(int max)
1009 {
1010 #ifndef DISABLE_TLS
1011 # undef vaguely_random_number
1012 #endif
1013 static pid_t pid = 0;
1014 pid_t p2;
1015
1016 if ((p2 = getpid()) != pid)
1017   {
1018   if (pid != 0)
1019     {
1020
1021 #ifdef HAVE_ARC4RANDOM
1022     /* cryptographically strong randomness, common on *BSD platforms, not
1023     so much elsewhere.  Alas. */
1024 # ifndef NOT_HAVE_ARC4RANDOM_STIR
1025     arc4random_stir();
1026 # endif
1027 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1028 # ifdef HAVE_SRANDOMDEV
1029     /* uses random(4) for seeding */
1030     srandomdev();
1031 # else
1032     {
1033     struct timeval tv;
1034     gettimeofday(&tv, NULL);
1035     srandom(tv.tv_sec | tv.tv_usec | getpid());
1036     }
1037 # endif
1038 #else
1039     /* Poor randomness and no seeding here */
1040 #endif
1041
1042     }
1043   pid = p2;
1044   }
1045
1046 #ifdef HAVE_ARC4RANDOM
1047 return arc4random() % max;
1048 #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
1049 return random() % max;
1050 #else
1051 /* This one returns a 16-bit number, definitely not crypto-strong */
1052 return random_number(max);
1053 #endif
1054 }
1055
1056
1057
1058
1059 /*************************************************
1060 *             Pick out a name from a string      *
1061 *************************************************/
1062
1063 /* If the name is too long, it is silently truncated.
1064
1065 Arguments:
1066   name      points to a buffer into which to put the name
1067   max       is the length of the buffer
1068   s         points to the first alphabetic character of the name
1069   extras    chars other than alphanumerics to permit
1070
1071 Returns:    pointer to the first character after the name
1072
1073 Note: The test for *s != 0 in the while loop is necessary because
1074 Ustrchr() yields non-NULL if the character is zero (which is not something
1075 I expected). */
1076
1077 static const uschar *
1078 read_name(uschar *name, int max, const uschar *s, uschar *extras)
1079 {
1080 int ptr = 0;
1081 while (*s && (isalnum(*s) || Ustrchr(extras, *s) != NULL))
1082   {
1083   if (ptr < max-1) name[ptr++] = *s;
1084   s++;
1085   }
1086 name[ptr] = 0;
1087 return s;
1088 }
1089
1090
1091
1092 /*************************************************
1093 *     Pick out the rest of a header name         *
1094 *************************************************/
1095
1096 /* A variable name starting $header_ (or just $h_ for those who like
1097 abbreviations) might not be the complete header name because headers can
1098 contain any printing characters in their names, except ':'. This function is
1099 called to read the rest of the name, chop h[eader]_ off the front, and put ':'
1100 on the end, if the name was terminated by white space.
1101
1102 Arguments:
1103   name      points to a buffer in which the name read so far exists
1104   max       is the length of the buffer
1105   s         points to the first character after the name so far, i.e. the
1106             first non-alphameric character after $header_xxxxx
1107
1108 Returns:    a pointer to the first character after the header name
1109 */
1110
1111 static const uschar *
1112 read_header_name(uschar *name, int max, const uschar *s)
1113 {
1114 int prelen = Ustrchr(name, '_') - name + 1;
1115 int ptr = Ustrlen(name) - prelen;
1116 if (ptr > 0) memmove(name, name+prelen, ptr);
1117 while (mac_isgraph(*s) && *s != ':')
1118   {
1119   if (ptr < max-1) name[ptr++] = *s;
1120   s++;
1121   }
1122 if (*s == ':') s++;
1123 name[ptr++] = ':';
1124 name[ptr] = 0;
1125 return s;
1126 }
1127
1128
1129
1130 /*************************************************
1131 *           Pick out a number from a string      *
1132 *************************************************/
1133
1134 /* Arguments:
1135   n     points to an integer into which to put the number
1136   s     points to the first digit of the number
1137
1138 Returns:  a pointer to the character after the last digit
1139 */
1140 /*XXX consider expanding to int_eximarith_t.  But the test for
1141 "overbig numbers" in 0002 still needs to overflow it. */
1142
1143 static uschar *
1144 read_number(int *n, uschar *s)
1145 {
1146 *n = 0;
1147 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1148 return s;
1149 }
1150
1151 static const uschar *
1152 read_cnumber(int *n, const uschar *s)
1153 {
1154 *n = 0;
1155 while (isdigit(*s)) *n = *n * 10 + (*s++ - '0');
1156 return s;
1157 }
1158
1159
1160
1161 /*************************************************
1162 *        Extract keyed subfield from a string    *
1163 *************************************************/
1164
1165 /* The yield is in dynamic store; NULL means that the key was not found.
1166
1167 Arguments:
1168   key       points to the name of the key
1169   s         points to the string from which to extract the subfield
1170
1171 Returns:    NULL if the subfield was not found, or
1172             a pointer to the subfield's data
1173 */
1174
1175 static uschar *
1176 expand_getkeyed(uschar * key, const uschar * s)
1177 {
1178 int length = Ustrlen(key);
1179 Uskip_whitespace(&s);
1180
1181 /* Loop to search for the key */
1182
1183 while (*s)
1184   {
1185   int dkeylength;
1186   uschar * data;
1187   const uschar * dkey = s;
1188
1189   while (*s && *s != '=' && !isspace(*s)) s++;
1190   dkeylength = s - dkey;
1191   if (Uskip_whitespace(&s) == '=') while (isspace(*++s));
1192
1193   data = string_dequote(&s);
1194   if (length == dkeylength && strncmpic(key, dkey, length) == 0)
1195     return data;
1196
1197   Uskip_whitespace(&s);
1198   }
1199
1200 return NULL;
1201 }
1202
1203
1204
1205 static var_entry *
1206 find_var_ent(uschar * name)
1207 {
1208 int first = 0;
1209 int last = var_table_size;
1210
1211 while (last > first)
1212   {
1213   int middle = (first + last)/2;
1214   int c = Ustrcmp(name, var_table[middle].name);
1215
1216   if (c > 0) { first = middle + 1; continue; }
1217   if (c < 0) { last = middle; continue; }
1218   return &var_table[middle];
1219   }
1220 return NULL;
1221 }
1222
1223 /*************************************************
1224 *   Extract numbered subfield from string        *
1225 *************************************************/
1226
1227 /* Extracts a numbered field from a string that is divided by tokens - for
1228 example a line from /etc/passwd is divided by colon characters.  First field is
1229 numbered one.  Negative arguments count from the right. Zero returns the whole
1230 string. Returns NULL if there are insufficient tokens in the string
1231
1232 ***WARNING***
1233 Modifies final argument - this is a dynamically generated string, so that's OK.
1234
1235 Arguments:
1236   field       number of field to be extracted,
1237                 first field = 1, whole string = 0, last field = -1
1238   separators  characters that are used to break string into tokens
1239   s           points to the string from which to extract the subfield
1240
1241 Returns:      NULL if the field was not found,
1242               a pointer to the field's data inside s (modified to add 0)
1243 */
1244
1245 static uschar *
1246 expand_gettokened (int field, uschar *separators, uschar *s)
1247 {
1248 int sep = 1;
1249 int count;
1250 uschar *ss = s;
1251 uschar *fieldtext = NULL;
1252
1253 if (field == 0) return s;
1254
1255 /* Break the line up into fields in place; for field > 0 we stop when we have
1256 done the number of fields we want. For field < 0 we continue till the end of
1257 the string, counting the number of fields. */
1258
1259 count = (field > 0)? field : INT_MAX;
1260
1261 while (count-- > 0)
1262   {
1263   size_t len;
1264
1265   /* Previous field was the last one in the string. For a positive field
1266   number, this means there are not enough fields. For a negative field number,
1267   check that there are enough, and scan back to find the one that is wanted. */
1268
1269   if (sep == 0)
1270     {
1271     if (field > 0 || (-field) > (INT_MAX - count - 1)) return NULL;
1272     if ((-field) == (INT_MAX - count - 1)) return s;
1273     while (field++ < 0)
1274       {
1275       ss--;
1276       while (ss[-1] != 0) ss--;
1277       }
1278     fieldtext = ss;
1279     break;
1280     }
1281
1282   /* Previous field was not last in the string; save its start and put a
1283   zero at its end. */
1284
1285   fieldtext = ss;
1286   len = Ustrcspn(ss, separators);
1287   sep = ss[len];
1288   ss[len] = 0;
1289   ss += len + 1;
1290   }
1291
1292 return fieldtext;
1293 }
1294
1295
1296 static uschar *
1297 expand_getlistele(int field, const uschar * list)
1298 {
1299 const uschar * tlist = list;
1300 int sep = 0;
1301 uschar dummy;
1302
1303 if (field < 0)
1304   {
1305   for (field++; string_nextinlist(&tlist, &sep, &dummy, 1); ) field++;
1306   sep = 0;
1307   }
1308 if (field == 0) return NULL;
1309 while (--field > 0 && (string_nextinlist(&list, &sep, &dummy, 1))) ;
1310 return string_nextinlist(&list, &sep, NULL, 0);
1311 }
1312
1313
1314 /* Certificate fields, by name.  Worry about by-OID later */
1315 /* Names are chosen to not have common prefixes */
1316
1317 #ifndef DISABLE_TLS
1318 typedef struct
1319 {
1320 uschar * name;
1321 int      namelen;
1322 uschar * (*getfn)(void * cert, uschar * mod);
1323 } certfield;
1324 static certfield certfields[] =
1325 {                       /* linear search; no special order */
1326   { US"version",         7,  &tls_cert_version },
1327   { US"serial_number",   13, &tls_cert_serial_number },
1328   { US"subject",         7,  &tls_cert_subject },
1329   { US"notbefore",       9,  &tls_cert_not_before },
1330   { US"notafter",        8,  &tls_cert_not_after },
1331   { US"issuer",          6,  &tls_cert_issuer },
1332   { US"signature",       9,  &tls_cert_signature },
1333   { US"sig_algorithm",   13, &tls_cert_signature_algorithm },
1334   { US"subj_altname",    12, &tls_cert_subject_altname },
1335   { US"ocsp_uri",        8,  &tls_cert_ocsp_uri },
1336   { US"crl_uri",         7,  &tls_cert_crl_uri },
1337 };
1338
1339 static uschar *
1340 expand_getcertele(uschar * field, uschar * certvar)
1341 {
1342 var_entry * vp;
1343
1344 if (!(vp = find_var_ent(certvar)))
1345   {
1346   expand_string_message =
1347     string_sprintf("no variable named \"%s\"", certvar);
1348   return NULL;          /* Unknown variable name */
1349   }
1350 /* NB this stops us passing certs around in variable.  Might
1351 want to do that in future */
1352 if (vp->type != vtype_cert)
1353   {
1354   expand_string_message =
1355     string_sprintf("\"%s\" is not a certificate", certvar);
1356   return NULL;          /* Unknown variable name */
1357   }
1358 if (!*(void **)vp->value)
1359   return NULL;
1360
1361 if (*field >= '0' && *field <= '9')
1362   return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
1363
1364 for (certfield * cp = certfields;
1365      cp < certfields + nelem(certfields);
1366      cp++)
1367   if (Ustrncmp(cp->name, field, cp->namelen) == 0)
1368     {
1369     uschar * modifier = *(field += cp->namelen) == ','
1370       ? ++field : NULL;
1371     return (*cp->getfn)( *(void **)vp->value, modifier );
1372     }
1373
1374 expand_string_message =
1375   string_sprintf("bad field selector \"%s\" for certextract", field);
1376 return NULL;
1377 }
1378 #endif  /*DISABLE_TLS*/
1379
1380 /*************************************************
1381 *        Extract a substring from a string       *
1382 *************************************************/
1383
1384 /* Perform the ${substr or ${length expansion operations.
1385
1386 Arguments:
1387   subject     the input string
1388   value1      the offset from the start of the input string to the start of
1389                 the output string; if negative, count from the right.
1390   value2      the length of the output string, or negative (-1) for unset
1391                 if value1 is positive, unset means "all after"
1392                 if value1 is negative, unset means "all before"
1393   len         set to the length of the returned string
1394
1395 Returns:      pointer to the output string, or NULL if there is an error
1396 */
1397
1398 static uschar *
1399 extract_substr(uschar *subject, int value1, int value2, int *len)
1400 {
1401 int sublen = Ustrlen(subject);
1402
1403 if (value1 < 0)    /* count from right */
1404   {
1405   value1 += sublen;
1406
1407   /* If the position is before the start, skip to the start, and adjust the
1408   length. If the length ends up negative, the substring is null because nothing
1409   can precede. This falls out naturally when the length is unset, meaning "all
1410   to the left". */
1411
1412   if (value1 < 0)
1413     {
1414     value2 += value1;
1415     if (value2 < 0) value2 = 0;
1416     value1 = 0;
1417     }
1418
1419   /* Otherwise an unset length => characters before value1 */
1420
1421   else if (value2 < 0)
1422     {
1423     value2 = value1;
1424     value1 = 0;
1425     }
1426   }
1427
1428 /* For a non-negative offset, if the starting position is past the end of the
1429 string, the result will be the null string. Otherwise, an unset length means
1430 "rest"; just set it to the maximum - it will be cut down below if necessary. */
1431
1432 else
1433   {
1434   if (value1 > sublen)
1435     {
1436     value1 = sublen;
1437     value2 = 0;
1438     }
1439   else if (value2 < 0) value2 = sublen;
1440   }
1441
1442 /* Cut the length down to the maximum possible for the offset value, and get
1443 the required characters. */
1444
1445 if (value1 + value2 > sublen) value2 = sublen - value1;
1446 *len = value2;
1447 return subject + value1;
1448 }
1449
1450
1451
1452
1453 /*************************************************
1454 *            Old-style hash of a string          *
1455 *************************************************/
1456
1457 /* Perform the ${hash expansion operation.
1458
1459 Arguments:
1460   subject     the input string (an expanded substring)
1461   value1      the length of the output string; if greater or equal to the
1462                 length of the input string, the input string is returned
1463   value2      the number of hash characters to use, or 26 if negative
1464   len         set to the length of the returned string
1465
1466 Returns:      pointer to the output string, or NULL if there is an error
1467 */
1468
1469 static uschar *
1470 compute_hash(uschar *subject, int value1, int value2, int *len)
1471 {
1472 int sublen = Ustrlen(subject);
1473
1474 if (value2 < 0) value2 = 26;
1475 else if (value2 > Ustrlen(hashcodes))
1476   {
1477   expand_string_message =
1478     string_sprintf("hash count \"%d\" too big", value2);
1479   return NULL;
1480   }
1481
1482 /* Calculate the hash text. We know it is shorter than the original string, so
1483 can safely place it in subject[] (we know that subject is always itself an
1484 expanded substring). */
1485
1486 if (value1 < sublen)
1487   {
1488   int c;
1489   int i = 0;
1490   int j = value1;
1491   while ((c = (subject[j])) != 0)
1492     {
1493     int shift = (c + j++) & 7;
1494     subject[i] ^= (c << shift) | (c >> (8-shift));
1495     if (++i >= value1) i = 0;
1496     }
1497   for (i = 0; i < value1; i++)
1498     subject[i] = hashcodes[(subject[i]) % value2];
1499   }
1500 else value1 = sublen;
1501
1502 *len = value1;
1503 return subject;
1504 }
1505
1506
1507
1508
1509 /*************************************************
1510 *             Numeric hash of a string           *
1511 *************************************************/
1512
1513 /* Perform the ${nhash expansion operation. The first characters of the
1514 string are treated as most important, and get the highest prime numbers.
1515
1516 Arguments:
1517   subject     the input string
1518   value1      the maximum value of the first part of the result
1519   value2      the maximum value of the second part of the result,
1520                 or negative to produce only a one-part result
1521   len         set to the length of the returned string
1522
1523 Returns:  pointer to the output string, or NULL if there is an error.
1524 */
1525
1526 static uschar *
1527 compute_nhash (uschar *subject, int value1, int value2, int *len)
1528 {
1529 uschar *s = subject;
1530 int i = 0;
1531 unsigned long int total = 0; /* no overflow */
1532
1533 while (*s != 0)
1534   {
1535   if (i == 0) i = nelem(prime) - 1;
1536   total += prime[i--] * (unsigned int)(*s++);
1537   }
1538
1539 /* If value2 is unset, just compute one number */
1540
1541 if (value2 < 0)
1542   s = string_sprintf("%lu", total % value1);
1543
1544 /* Otherwise do a div/mod hash */
1545
1546 else
1547   {
1548   total = total % (value1 * value2);
1549   s = string_sprintf("%lu/%lu", total/value2, total % value2);
1550   }
1551
1552 *len = Ustrlen(s);
1553 return s;
1554 }
1555
1556
1557
1558
1559
1560 /*************************************************
1561 *     Find the value of a header or headers      *
1562 *************************************************/
1563
1564 /* Multiple instances of the same header get concatenated, and this function
1565 can also return a concatenation of all the header lines. When concatenating
1566 specific headers that contain lists of addresses, a comma is inserted between
1567 them. Otherwise we use a straight concatenation. Because some messages can have
1568 pathologically large number of lines, there is a limit on the length that is
1569 returned.
1570
1571 Arguments:
1572   name          the name of the header, without the leading $header_ or $h_,
1573                 or NULL if a concatenation of all headers is required
1574   newsize       return the size of memory block that was obtained; may be NULL
1575                 if exists_only is TRUE
1576   flags         FH_EXISTS_ONLY
1577                   set if called from a def: test; don't need to build a string;
1578                   just return a string that is not "" and not "0" if the header
1579                   exists
1580                 FH_WANT_RAW
1581                   set if called for $rh_ or $rheader_ items; no processing,
1582                   other than concatenating, will be done on the header. Also used
1583                   for $message_headers_raw.
1584                 FH_WANT_LIST
1585                   Double colon chars in the content, and replace newline with
1586                   colon between each element when concatenating; returning a
1587                   colon-sep list (elements might contain newlines)
1588   charset       name of charset to translate MIME words to; used only if
1589                 want_raw is false; if NULL, no translation is done (this is
1590                 used for $bh_ and $bheader_)
1591
1592 Returns:        NULL if the header does not exist, else a pointer to a new
1593                 store block
1594 */
1595
1596 static uschar *
1597 find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
1598 {
1599 BOOL found = !name;
1600 int len = name ? Ustrlen(name) : 0;
1601 BOOL comma = FALSE;
1602 gstring * g = NULL;
1603
1604 for (header_line * h = header_list; h; h = h->next)
1605   if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
1606     if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
1607       {
1608       uschar * s, * t;
1609       size_t inc;
1610
1611       if (flags & FH_EXISTS_ONLY)
1612         return US"1";  /* don't need actual string */
1613
1614       found = TRUE;
1615       s = h->text + len;                /* text to insert */
1616       if (!(flags & FH_WANT_RAW))       /* unless wanted raw, */
1617         Uskip_whitespace(&s);           /* remove leading white space */
1618       t = h->text + h->slen;            /* end-point */
1619
1620       /* Unless wanted raw, remove trailing whitespace, including the
1621       newline. */
1622
1623       if (flags & FH_WANT_LIST)
1624         while (t > s && t[-1] == '\n') t--;
1625       else if (!(flags & FH_WANT_RAW))
1626         {
1627         while (t > s && isspace(t[-1])) t--;
1628
1629         /* Set comma if handling a single header and it's one of those
1630         that contains an address list, except when asked for raw headers. Only
1631         need to do this once. */
1632
1633         if (name && !comma && Ustrchr("BCFRST", h->type)) comma = TRUE;
1634         }
1635
1636       /* Trim the header roughly if we're approaching limits */
1637       inc = t - s;
1638       if (gstring_length(g) + inc > header_insert_maxlen)
1639         inc = header_insert_maxlen - gstring_length(g);
1640
1641       /* For raw just copy the data; for a list, add the data as a colon-sep
1642       list-element; for comma-list add as an unchecked comma,newline sep
1643       list-elemment; for other nonraw add as an unchecked newline-sep list (we
1644       stripped trailing WS above including the newline). We ignore the potential
1645       expansion due to colon-doubling, just leaving the loop if the limit is met
1646       or exceeded. */
1647
1648       if (flags & FH_WANT_LIST)
1649         g = string_append_listele_n(g, ':', s, (unsigned)inc);
1650       else if (flags & FH_WANT_RAW)
1651         g = string_catn(g, s, (unsigned)inc);
1652       else if (inc > 0)
1653         g = string_append2_listele_n(g, comma ? US",\n" : US"\n",
1654           s, (unsigned)inc);
1655
1656       if (gstring_length(g) >= header_insert_maxlen) break;
1657       }
1658
1659 if (!found) return NULL;        /* No header found */
1660 if (!g) return US"";
1661
1662 /* That's all we do for raw header expansion. */
1663
1664 *newsize = g->size;
1665 if (flags & FH_WANT_RAW)
1666   return string_from_gstring(g);
1667
1668 /* Otherwise do RFC 2047 decoding, translating the charset if requested.
1669 The rfc2047_decode2() function can return an error with decoded data if the
1670 charset translation fails. If decoding fails, it returns NULL. */
1671
1672 else
1673   {
1674   uschar * error, * decoded = rfc2047_decode2(string_from_gstring(g),
1675     check_rfc2047_length, charset, '?', NULL, newsize, &error);
1676   if (error)
1677     DEBUG(D_any) debug_printf("*** error in RFC 2047 decoding: %s\n"
1678       "    input was: %s\n", error, g->s);
1679   return decoded ? decoded : string_from_gstring(g);
1680   }
1681 }
1682
1683
1684
1685
1686 /* Append a "local" element to an Authentication-Results: header
1687 if this was a non-smtp message.
1688 */
1689
1690 static gstring *
1691 authres_local(gstring * g, const uschar * sysname)
1692 {
1693 if (!f.authentication_local)
1694   return g;
1695 g = string_append(g, 3, US";\n\tlocal=pass (non-smtp, ", sysname, US")");
1696 if (authenticated_id) g = string_append(g, 2, " u=", authenticated_id);
1697 return g;
1698 }
1699
1700
1701 /* Append an "iprev" element to an Authentication-Results: header
1702 if we have attempted to get the calling host's name.
1703 */
1704
1705 static gstring *
1706 authres_iprev(gstring * g)
1707 {
1708 if (sender_host_name)
1709   g = string_append(g, 3, US";\n\tiprev=pass (", sender_host_name, US")");
1710 else if (host_lookup_deferred)
1711   g = string_catn(g, US";\n\tiprev=temperror", 19);
1712 else if (host_lookup_failed)
1713   g = string_catn(g, US";\n\tiprev=fail", 13);
1714 else
1715   return g;
1716
1717 if (sender_host_address)
1718   g = string_append(g, 2, US" smtp.remote-ip=", sender_host_address);
1719 return g;
1720 }
1721
1722
1723
1724 /*************************************************
1725 *               Return list of recipients        *
1726 *************************************************/
1727 /* A recipients list is available only during system message filtering,
1728 during ACL processing after DATA, and while expanding pipe commands
1729 generated from a system filter, but not elsewhere. */
1730
1731 static uschar *
1732 fn_recipients(void)
1733 {
1734 uschar * s;
1735 gstring * g = NULL;
1736
1737 if (!f.enable_dollar_recipients) return NULL;
1738
1739 for (int i = 0; i < recipients_count; i++)
1740   {
1741   s = recipients_list[i].address;
1742   g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
1743   }
1744 return g ? g->s : NULL;
1745 }
1746
1747
1748 /*************************************************
1749 *               Return size of queue             *
1750 *************************************************/
1751 /* Ask the daemon for the queue size */
1752
1753 static uschar *
1754 fn_queue_size(void)
1755 {
1756 struct sockaddr_un sa_un = {.sun_family = AF_UNIX};
1757 uschar buf[16];
1758 int fd;
1759 ssize_t len;
1760 const uschar * where;
1761 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1762 uschar * sname;
1763 #endif
1764 fd_set fds;
1765 struct timeval tv;
1766
1767 if ((fd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
1768   {
1769   DEBUG(D_expand) debug_printf(" socket: %s\n", strerror(errno));
1770   return NULL;
1771   }
1772
1773 #ifdef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1774 sa_un.sun_path[0] = 0;  /* Abstract local socket addr - Linux-specific? */
1775 len = offsetof(struct sockaddr_un, sun_path) + 1
1776   + snprintf(sa_un.sun_path+1, sizeof(sa_un.sun_path)-1, "exim_%d", getpid());
1777 #else
1778 sname = string_sprintf("%s/p_%d", spool_directory, getpid());
1779 len = offsetof(struct sockaddr_un, sun_path)
1780   + snprintf(sa_un.sun_path, sizeof(sa_un.sun_path), "%s", sname);
1781 #endif
1782
1783 if (bind(fd, (const struct sockaddr *)&sa_un, len) < 0)
1784   { where = US"bind"; goto bad; }
1785
1786 #ifdef notdef
1787 debug_printf("local addr '%s%s'\n",
1788   *sa_un.sun_path ? "" : "@",
1789   sa_un.sun_path + (*sa_un.sun_path ? 0 : 1));
1790 #endif
1791
1792 #ifdef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1793 sa_un.sun_path[0] = 0;  /* Abstract local socket addr - Linux-specific? */
1794 len = offsetof(struct sockaddr_un, sun_path) + 1
1795   + snprintf(sa_un.sun_path+1, sizeof(sa_un.sun_path)-1, "%s",
1796               expand_string(notifier_socket));
1797 #else
1798 len = offsetof(struct sockaddr_un, sun_path)
1799   + snprintf(sa_un.sun_path, sizeof(sa_un.sun_path), "%s",
1800               expand_string(notifier_socket));
1801 #endif
1802
1803 if (connect(fd, (const struct sockaddr *)&sa_un, len) < 0)
1804   { where = US"connect"; goto bad2; }
1805
1806 buf[0] = NOTIFY_QUEUE_SIZE_REQ;
1807 if (send(fd, buf, 1, 0) < 0) { where = US"send"; goto bad; }
1808
1809 FD_ZERO(&fds); FD_SET(fd, &fds);
1810 tv.tv_sec = 2; tv.tv_usec = 0;
1811 if (select(fd + 1, (SELECT_ARG2_TYPE *)&fds, NULL, NULL, &tv) != 1)
1812   {
1813   DEBUG(D_expand) debug_printf("no daemon response; using local evaluation\n");
1814   len = snprintf(CS buf, sizeof(buf), "%u", queue_count_cached());
1815   }
1816 else if ((len = recv(fd, buf, sizeof(buf), 0)) < 0)
1817   { where = US"recv"; goto bad2; }
1818
1819 close(fd);
1820 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1821 Uunlink(sname);
1822 #endif
1823 return string_copyn(buf, len);
1824
1825 bad2:
1826 #ifndef EXIM_HAVE_ABSTRACT_UNIX_SOCKETS
1827   Uunlink(sname);
1828 #endif
1829 bad:
1830   close(fd);
1831   DEBUG(D_expand) debug_printf(" %s: %s\n", where, strerror(errno));
1832   return NULL;
1833 }
1834
1835
1836 /*************************************************
1837 *               Find value of a variable         *
1838 *************************************************/
1839
1840 /* The table of variables is kept in alphabetic order, so we can search it
1841 using a binary chop. The "choplen" variable is nothing to do with the binary
1842 chop.
1843
1844 Arguments:
1845   name          the name of the variable being sought
1846   exists_only   TRUE if this is a def: test; passed on to find_header()
1847   skipping      TRUE => skip any processing evaluation; this is not the same as
1848                   exists_only because def: may test for values that are first
1849                   evaluated here
1850   newsize       pointer to an int which is initially zero; if the answer is in
1851                 a new memory buffer, *newsize is set to its size
1852
1853 Returns:        NULL if the variable does not exist, or
1854                 a pointer to the variable's contents, or
1855                 something non-NULL if exists_only is TRUE
1856 */
1857
1858 static uschar *
1859 find_variable(uschar *name, BOOL exists_only, BOOL skipping, int *newsize)
1860 {
1861 var_entry * vp;
1862 uschar *s, *domain;
1863 uschar **ss;
1864 void * val;
1865
1866 /* Handle ACL variables, whose names are of the form acl_cxxx or acl_mxxx.
1867 Originally, xxx had to be a number in the range 0-9 (later 0-19), but from
1868 release 4.64 onwards arbitrary names are permitted, as long as the first 5
1869 characters are acl_c or acl_m and the sixth is either a digit or an underscore
1870 (this gave backwards compatibility at the changeover). There may be built-in
1871 variables whose names start acl_ but they should never start in this way. This
1872 slightly messy specification is a consequence of the history, needless to say.
1873
1874 If an ACL variable does not exist, treat it as empty, unless strict_acl_vars is
1875 set, in which case give an error. */
1876
1877 if ((Ustrncmp(name, "acl_c", 5) == 0 || Ustrncmp(name, "acl_m", 5) == 0) &&
1878      !isalpha(name[5]))
1879   {
1880   tree_node * node =
1881     tree_search(name[4] == 'c' ? acl_var_c : acl_var_m, name + 4);
1882   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1883   }
1884 else if (Ustrncmp(name, "r_", 2) == 0)
1885   {
1886   tree_node * node = tree_search(router_var, name + 2);
1887   return node ? node->data.ptr : strict_acl_vars ? NULL : US"";
1888   }
1889
1890 /* Handle $auth<n> variables. */
1891
1892 if (Ustrncmp(name, "auth", 4) == 0)
1893   {
1894   uschar *endptr;
1895   int n = Ustrtoul(name + 4, &endptr, 10);
1896   if (*endptr == 0 && n != 0 && n <= AUTH_VARS)
1897     return !auth_vars[n-1] ? US"" : auth_vars[n-1];
1898   }
1899 else if (Ustrncmp(name, "regex", 5) == 0)
1900   {
1901   uschar *endptr;
1902   int n = Ustrtoul(name + 5, &endptr, 10);
1903   if (*endptr == 0 && n != 0 && n <= REGEX_VARS)
1904     return !regex_vars[n-1] ? US"" : regex_vars[n-1];
1905   }
1906
1907 /* For all other variables, search the table */
1908
1909 if (!(vp = find_var_ent(name)))
1910   return NULL;          /* Unknown variable name */
1911
1912 /* Found an existing variable. If in skipping state, the value isn't needed,
1913 and we want to avoid processing (such as looking up the host name). */
1914
1915 if (skipping)
1916   return US"";
1917
1918 val = vp->value;
1919 switch (vp->type)
1920   {
1921   case vtype_filter_int:
1922     if (!f.filter_running) return NULL;
1923     /* Fall through */
1924     /* VVVVVVVVVVVV */
1925   case vtype_int:
1926     sprintf(CS var_buffer, "%d", *(int *)(val)); /* Integer */
1927     return var_buffer;
1928
1929   case vtype_ino:
1930     sprintf(CS var_buffer, "%ld", (long int)(*(ino_t *)(val))); /* Inode */
1931     return var_buffer;
1932
1933   case vtype_gid:
1934     sprintf(CS var_buffer, "%ld", (long int)(*(gid_t *)(val))); /* gid */
1935     return var_buffer;
1936
1937   case vtype_uid:
1938     sprintf(CS var_buffer, "%ld", (long int)(*(uid_t *)(val))); /* uid */
1939     return var_buffer;
1940
1941   case vtype_bool:
1942     sprintf(CS var_buffer, "%s", *(BOOL *)(val) ? "yes" : "no"); /* bool */
1943     return var_buffer;
1944
1945   case vtype_stringptr:                      /* Pointer to string */
1946     return (s = *((uschar **)(val))) ? s : US"";
1947
1948   case vtype_pid:
1949     sprintf(CS var_buffer, "%d", (int)getpid()); /* pid */
1950     return var_buffer;
1951
1952   case vtype_load_avg:
1953     sprintf(CS var_buffer, "%d", OS_GETLOADAVG()); /* load_average */
1954     return var_buffer;
1955
1956   case vtype_host_lookup:                    /* Lookup if not done so */
1957     if (  !sender_host_name && sender_host_address
1958        && !host_lookup_failed && host_name_lookup() == OK)
1959       host_build_sender_fullhost();
1960     return sender_host_name ? sender_host_name : US"";
1961
1962   case vtype_localpart:                      /* Get local part from address */
1963     if (!(s = *((uschar **)(val)))) return US"";
1964     if (!(domain = Ustrrchr(s, '@'))) return s;
1965     if (domain - s > sizeof(var_buffer) - 1)
1966       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "local part longer than " SIZE_T_FMT
1967           " in string expansion", sizeof(var_buffer));
1968     return string_copyn(s, domain - s);
1969
1970   case vtype_domain:                         /* Get domain from address */
1971     if (!(s = *((uschar **)(val)))) return US"";
1972     domain = Ustrrchr(s, '@');
1973     return domain ? domain + 1 : US"";
1974
1975   case vtype_msgheaders:
1976     return find_header(NULL, newsize, exists_only ? FH_EXISTS_ONLY : 0, NULL);
1977
1978   case vtype_msgheaders_raw:
1979     return find_header(NULL, newsize,
1980                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW, NULL);
1981
1982   case vtype_msgbody:                        /* Pointer to msgbody string */
1983   case vtype_msgbody_end:                    /* Ditto, the end of the msg */
1984     ss = (uschar **)(val);
1985     if (!*ss && deliver_datafile >= 0)  /* Read body when needed */
1986       {
1987       uschar *body;
1988       off_t start_offset = SPOOL_DATA_START_OFFSET;
1989       int len = message_body_visible;
1990       if (len > message_size) len = message_size;
1991       *ss = body = store_malloc(len+1);
1992       body[0] = 0;
1993       if (vp->type == vtype_msgbody_end)
1994         {
1995         struct stat statbuf;
1996         if (fstat(deliver_datafile, &statbuf) == 0)
1997           {
1998           start_offset = statbuf.st_size - len;
1999           if (start_offset < SPOOL_DATA_START_OFFSET)
2000             start_offset = SPOOL_DATA_START_OFFSET;
2001           }
2002         }
2003       if (lseek(deliver_datafile, start_offset, SEEK_SET) < 0)
2004         log_write(0, LOG_MAIN|LOG_PANIC_DIE, "deliver_datafile lseek: %s",
2005           strerror(errno));
2006       len = read(deliver_datafile, body, len);
2007       if (len > 0)
2008         {
2009         body[len] = 0;
2010         if (message_body_newlines)   /* Separate loops for efficiency */
2011           while (len > 0)
2012             { if (body[--len] == 0) body[len] = ' '; }
2013         else
2014           while (len > 0)
2015             { if (body[--len] == '\n' || body[len] == 0) body[len] = ' '; }
2016         }
2017       }
2018     return *ss ? *ss : US"";
2019
2020   case vtype_todbsdin:                       /* BSD inbox time of day */
2021     return tod_stamp(tod_bsdin);
2022
2023   case vtype_tode:                           /* Unix epoch time of day */
2024     return tod_stamp(tod_epoch);
2025
2026   case vtype_todel:                          /* Unix epoch/usec time of day */
2027     return tod_stamp(tod_epoch_l);
2028
2029   case vtype_todf:                           /* Full time of day */
2030     return tod_stamp(tod_full);
2031
2032   case vtype_todl:                           /* Log format time of day */
2033     return tod_stamp(tod_log_bare);            /* (without timezone) */
2034
2035   case vtype_todzone:                        /* Time zone offset only */
2036     return tod_stamp(tod_zone);
2037
2038   case vtype_todzulu:                        /* Zulu time */
2039     return tod_stamp(tod_zulu);
2040
2041   case vtype_todlf:                          /* Log file datestamp tod */
2042     return tod_stamp(tod_log_datestamp_daily);
2043
2044   case vtype_reply:                          /* Get reply address */
2045     s = find_header(US"reply-to:", newsize,
2046                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2047                 headers_charset);
2048     if (s) Uskip_whitespace(&s);
2049     if (!s || !*s)
2050       {
2051       *newsize = 0;                            /* For the *s==0 case */
2052       s = find_header(US"from:", newsize,
2053                 exists_only ? FH_EXISTS_ONLY|FH_WANT_RAW : FH_WANT_RAW,
2054                 headers_charset);
2055       }
2056     if (s)
2057       {
2058       uschar *t;
2059       Uskip_whitespace(&s);
2060       for (t = s; *t; t++) if (*t == '\n') *t = ' ';
2061       while (t > s && isspace(t[-1])) t--;
2062       *t = 0;
2063       }
2064     return s ? s : US"";
2065
2066   case vtype_string_func:
2067     {
2068     stringptr_fn_t * fn = (stringptr_fn_t *) val;
2069     return fn();
2070     }
2071
2072   case vtype_pspace:
2073     {
2074     int inodes;
2075     sprintf(CS var_buffer, PR_EXIM_ARITH,
2076       receive_statvfs(val == (void *)TRUE, &inodes));
2077     }
2078   return var_buffer;
2079
2080   case vtype_pinodes:
2081     {
2082     int inodes;
2083     (void) receive_statvfs(val == (void *)TRUE, &inodes);
2084     sprintf(CS var_buffer, "%d", inodes);
2085     }
2086   return var_buffer;
2087
2088   case vtype_cert:
2089     return *(void **)val ? US"<cert>" : US"";
2090
2091 #ifndef DISABLE_DKIM
2092   case vtype_dkim:
2093     return dkim_exim_expand_query((int)(long)val);
2094 #endif
2095
2096   }
2097
2098 return NULL;  /* Unknown variable. Silences static checkers. */
2099 }
2100
2101
2102
2103
2104 void
2105 modify_variable(uschar *name, void * value)
2106 {
2107 var_entry * vp;
2108 if ((vp = find_var_ent(name))) vp->value = value;
2109 return;          /* Unknown variable name, fail silently */
2110 }
2111
2112
2113
2114
2115
2116
2117 /*************************************************
2118 *           Read and expand substrings           *
2119 *************************************************/
2120
2121 /* This function is called to read and expand argument substrings for various
2122 expansion items. Some have a minimum requirement that is less than the maximum;
2123 in these cases, the first non-present one is set to NULL.
2124
2125 Arguments:
2126   sub        points to vector of pointers to set
2127   n          maximum number of substrings
2128   m          minimum required
2129   sptr       points to current string pointer
2130   skipping   the skipping flag
2131   check_end  if TRUE, check for final '}'
2132   name       name of item, for error message
2133   resetok    if not NULL, pointer to flag - write FALSE if unsafe to reset
2134              the store.
2135
2136 Returns:     0 OK; string pointer updated
2137              1 curly bracketing error (too few arguments)
2138              2 too many arguments (only if check_end is set); message set
2139              3 other error (expansion failure)
2140 */
2141
2142 static int
2143 read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
2144   BOOL check_end, uschar *name, BOOL *resetok)
2145 {
2146 const uschar *s = *sptr;
2147
2148 Uskip_whitespace(&s);
2149 for (int i = 0; i < n; i++)
2150   {
2151   if (*s != '{')
2152     {
2153     if (i < m)
2154       {
2155       expand_string_message = string_sprintf("Not enough arguments for '%s' "
2156         "(min is %d)", name, m);
2157       return 1;
2158       }
2159     sub[i] = NULL;
2160     break;
2161     }
2162   if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, resetok)))
2163     return 3;
2164   if (*s++ != '}') return 1;
2165   Uskip_whitespace(&s);
2166   }
2167 if (check_end && *s++ != '}')
2168   {
2169   if (s[-1] == '{')
2170     {
2171     expand_string_message = string_sprintf("Too many arguments for '%s' "
2172       "(max is %d)", name, n);
2173     return 2;
2174     }
2175   expand_string_message = string_sprintf("missing '}' after '%s'", name);
2176   return 1;
2177   }
2178
2179 *sptr = s;
2180 return 0;
2181 }
2182
2183
2184
2185
2186 /*************************************************
2187 *     Elaborate message for bad variable         *
2188 *************************************************/
2189
2190 /* For the "unknown variable" message, take a look at the variable's name, and
2191 give additional information about possible ACL variables. The extra information
2192 is added on to expand_string_message.
2193
2194 Argument:   the name of the variable
2195 Returns:    nothing
2196 */
2197
2198 static void
2199 check_variable_error_message(uschar *name)
2200 {
2201 if (Ustrncmp(name, "acl_", 4) == 0)
2202   expand_string_message = string_sprintf("%s (%s)", expand_string_message,
2203     (name[4] == 'c' || name[4] == 'm')?
2204       (isalpha(name[5])?
2205         US"6th character of a user-defined ACL variable must be a digit or underscore" :
2206         US"strict_acl_vars is set"    /* Syntax is OK, it has to be this */
2207       ) :
2208       US"user-defined ACL variables must start acl_c or acl_m");
2209 }
2210
2211
2212
2213 /*
2214 Load args from sub array to globals, and call acl_check().
2215 Sub array will be corrupted on return.
2216
2217 Returns:       OK         access is granted by an ACCEPT verb
2218                DISCARD    access is (apparently) granted by a DISCARD verb
2219                FAIL       access is denied
2220                FAIL_DROP  access is denied; drop the connection
2221                DEFER      can't tell at the moment
2222                ERROR      disaster
2223 */
2224 static int
2225 eval_acl(uschar ** sub, int nsub, uschar ** user_msgp)
2226 {
2227 int i;
2228 int sav_narg = acl_narg;
2229 int ret;
2230 uschar * dummy_logmsg;
2231 extern int acl_where;
2232
2233 if(--nsub > nelem(acl_arg)) nsub = nelem(acl_arg);
2234 for (i = 0; i < nsub && sub[i+1]; i++)
2235   {
2236   uschar * tmp = acl_arg[i];
2237   acl_arg[i] = sub[i+1];        /* place callers args in the globals */
2238   sub[i+1] = tmp;               /* stash the old args using our caller's storage */
2239   }
2240 acl_narg = i;
2241 while (i < nsub)
2242   {
2243   sub[i+1] = acl_arg[i];
2244   acl_arg[i++] = NULL;
2245   }
2246
2247 DEBUG(D_expand)
2248   debug_printf_indent("expanding: acl: %s  arg: %s%s\n",
2249     sub[0],
2250     acl_narg>0 ? acl_arg[0] : US"<none>",
2251     acl_narg>1 ? " +more"   : "");
2252
2253 ret = acl_eval(acl_where, sub[0], user_msgp, &dummy_logmsg);
2254
2255 for (i = 0; i < nsub; i++)
2256   acl_arg[i] = sub[i+1];        /* restore old args */
2257 acl_narg = sav_narg;
2258
2259 return ret;
2260 }
2261
2262
2263
2264
2265 /* Return pointer to dewrapped string, with enclosing specified chars removed.
2266 The given string is modified on return.  Leading whitespace is skipped while
2267 looking for the opening wrap character, then the rest is scanned for the trailing
2268 (non-escaped) wrap character.  A backslash in the string will act as an escape.
2269
2270 A nul is written over the trailing wrap, and a pointer to the char after the
2271 leading wrap is returned.
2272
2273 Arguments:
2274   s     String for de-wrapping
2275   wrap  Two-char string, the first being the opener, second the closer wrapping
2276         character
2277 Return:
2278   Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
2279 */
2280
2281 static uschar *
2282 dewrap(uschar * s, const uschar * wrap)
2283 {
2284 uschar * p = s;
2285 unsigned depth = 0;
2286 BOOL quotesmode = wrap[0] == wrap[1];
2287
2288 if (Uskip_whitespace(&p) == *wrap)
2289   {
2290   s = ++p;
2291   wrap++;
2292   while (*p)
2293     {
2294     if (*p == '\\') p++;
2295     else if (!quotesmode && *p == wrap[-1]) depth++;
2296     else if (*p == *wrap)
2297       if (depth == 0)
2298         {
2299         *p = '\0';
2300         return s;
2301         }
2302       else
2303         depth--;
2304     p++;
2305     }
2306   }
2307 expand_string_message = string_sprintf("missing '%c'", *wrap);
2308 return NULL;
2309 }
2310
2311
2312 /* Pull off the leading array or object element, returning
2313 a copy in an allocated string.  Update the list pointer.
2314
2315 The element may itself be an abject or array.
2316 Return NULL when the list is empty.
2317 */
2318
2319 static uschar *
2320 json_nextinlist(const uschar ** list)
2321 {
2322 unsigned array_depth = 0, object_depth = 0;
2323 const uschar * s = *list, * item;
2324
2325 skip_whitespace(&s);
2326
2327 for (item = s;
2328      *s && (*s != ',' || array_depth != 0 || object_depth != 0);
2329      s++)
2330   switch (*s)
2331     {
2332     case '[': array_depth++; break;
2333     case ']': array_depth--; break;
2334     case '{': object_depth++; break;
2335     case '}': object_depth--; break;
2336     }
2337 *list = *s ? s+1 : s;
2338 if (item == s) return NULL;
2339 item = string_copyn(item, s - item);
2340 DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
2341 return US item;
2342 }
2343
2344
2345
2346 /************************************************/
2347 /*  Return offset in ops table, or -1 if not found.
2348 Repoint to just after the operator in the string.
2349
2350 Argument:
2351  ss     string representation of operator
2352  opname split-out operator name
2353 */
2354
2355 static int
2356 identify_operator(const uschar ** ss, uschar ** opname)
2357 {
2358 const uschar * s = *ss;
2359 uschar name[256];
2360
2361 /* Numeric comparisons are symbolic */
2362
2363 if (*s == '=' || *s == '>' || *s == '<')
2364   {
2365   int p = 0;
2366   name[p++] = *s++;
2367   if (*s == '=')
2368     {
2369     name[p++] = '=';
2370     s++;
2371     }
2372   name[p] = 0;
2373   }
2374
2375 /* All other conditions are named */
2376
2377 else
2378   s = read_name(name, sizeof(name), s, US"_");
2379 *ss = s;
2380
2381 /* If we haven't read a name, it means some non-alpha character is first. */
2382
2383 if (!name[0])
2384   {
2385   expand_string_message = string_sprintf("condition name expected, "
2386     "but found \"%.16s\"", s);
2387   return -1;
2388   }
2389 if (opname)
2390   *opname = string_copy(name);
2391
2392 return chop_match(name, cond_table, nelem(cond_table));
2393 }
2394
2395
2396 /*************************************************
2397 *    Handle MD5 or SHA-1 computation for HMAC    *
2398 *************************************************/
2399
2400 /* These are some wrapping functions that enable the HMAC code to be a bit
2401 cleaner. A good compiler will spot the tail recursion.
2402
2403 Arguments:
2404   type         HMAC_MD5 or HMAC_SHA1
2405   remaining    are as for the cryptographic hash functions
2406
2407 Returns:       nothing
2408 */
2409
2410 static void
2411 chash_start(int type, void * base)
2412 {
2413 if (type == HMAC_MD5)
2414   md5_start((md5 *)base);
2415 else
2416   sha1_start((hctx *)base);
2417 }
2418
2419 static void
2420 chash_mid(int type, void * base, const uschar * string)
2421 {
2422 if (type == HMAC_MD5)
2423   md5_mid((md5 *)base, string);
2424 else
2425   sha1_mid((hctx *)base, string);
2426 }
2427
2428 static void
2429 chash_end(int type, void * base, const uschar * string, int length,
2430   uschar * digest)
2431 {
2432 if (type == HMAC_MD5)
2433   md5_end((md5 *)base, string, length, digest);
2434 else
2435   sha1_end((hctx *)base, string, length, digest);
2436 }
2437
2438
2439
2440
2441 /* Do an hmac_md5.  The result is _not_ nul-terminated, and is sized as
2442 the smaller of a full hmac_md5 result (16 bytes) or the supplied output buffer.
2443
2444 Arguments:
2445         key     encoding key, nul-terminated
2446         src     data to be hashed, nul-terminated
2447         buf     output buffer
2448         len     size of output buffer
2449 */
2450
2451 static void
2452 hmac_md5(const uschar * key, const uschar * src, uschar * buf, unsigned len)
2453 {
2454 md5 md5_base;
2455 const uschar * keyptr;
2456 uschar * p;
2457 unsigned int keylen;
2458
2459 #define MD5_HASHLEN      16
2460 #define MD5_HASHBLOCKLEN 64
2461
2462 uschar keyhash[MD5_HASHLEN];
2463 uschar innerhash[MD5_HASHLEN];
2464 uschar finalhash[MD5_HASHLEN];
2465 uschar innerkey[MD5_HASHBLOCKLEN];
2466 uschar outerkey[MD5_HASHBLOCKLEN];
2467
2468 keyptr = key;
2469 keylen = Ustrlen(keyptr);
2470
2471 /* If the key is longer than the hash block length, then hash the key
2472 first */
2473
2474 if (keylen > MD5_HASHBLOCKLEN)
2475   {
2476   chash_start(HMAC_MD5, &md5_base);
2477   chash_end(HMAC_MD5, &md5_base, keyptr, keylen, keyhash);
2478   keyptr = keyhash;
2479   keylen = MD5_HASHLEN;
2480   }
2481
2482 /* Now make the inner and outer key values */
2483
2484 memset(innerkey, 0x36, MD5_HASHBLOCKLEN);
2485 memset(outerkey, 0x5c, MD5_HASHBLOCKLEN);
2486
2487 for (int i = 0; i < keylen; i++)
2488   {
2489   innerkey[i] ^= keyptr[i];
2490   outerkey[i] ^= keyptr[i];
2491   }
2492
2493 /* Now do the hashes */
2494
2495 chash_start(HMAC_MD5, &md5_base);
2496 chash_mid(HMAC_MD5, &md5_base, innerkey);
2497 chash_end(HMAC_MD5, &md5_base, src, Ustrlen(src), innerhash);
2498
2499 chash_start(HMAC_MD5, &md5_base);
2500 chash_mid(HMAC_MD5, &md5_base, outerkey);
2501 chash_end(HMAC_MD5, &md5_base, innerhash, MD5_HASHLEN, finalhash);
2502
2503 /* Encode the final hash as a hex string, limited by output buffer size */
2504
2505 p = buf;
2506 for (int i = 0, j = len; i < MD5_HASHLEN; i++)
2507   {
2508   if (j-- <= 0) break;
2509   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
2510   if (j-- <= 0) break;
2511   *p++ = hex_digits[finalhash[i] & 0x0f];
2512   }
2513 return;
2514 }
2515
2516
2517 /*************************************************
2518 *        Read and evaluate a condition           *
2519 *************************************************/
2520
2521 /*
2522 Arguments:
2523   s        points to the start of the condition text
2524   resetok  points to a BOOL which is written false if it is unsafe to
2525            free memory. Certain condition types (acl) may have side-effect
2526            allocation which must be preserved.
2527   yield    points to a BOOL to hold the result of the condition test;
2528            if NULL, we are just reading through a condition that is
2529            part of an "or" combination to check syntax, or in a state
2530            where the answer isn't required
2531
2532 Returns:   a pointer to the first character after the condition, or
2533            NULL after an error
2534 */
2535
2536 static const uschar *
2537 eval_condition(const uschar *s, BOOL *resetok, BOOL *yield)
2538 {
2539 BOOL testfor = TRUE;
2540 BOOL tempcond, combined_cond;
2541 BOOL *subcondptr;
2542 BOOL sub2_honour_dollar = TRUE;
2543 BOOL is_forany, is_json, is_jsons;
2544 int rc, cond_type, roffset;
2545 int_eximarith_t num[2];
2546 struct stat statbuf;
2547 uschar * opname;
2548 uschar name[256];
2549 const uschar *sub[10];
2550
2551 const pcre *re;
2552 const uschar *rerror;
2553
2554 for (;;)
2555   if (Uskip_whitespace(&s) == '!') { testfor = !testfor; s++; } else break;
2556
2557 switch(cond_type = identify_operator(&s, &opname))
2558   {
2559   /* def: tests for a non-empty variable, or for the existence of a header. If
2560   yield == NULL we are in a skipping state, and don't care about the answer. */
2561
2562   case ECOND_DEF:
2563     {
2564     uschar * t;
2565
2566     if (*s != ':')
2567       {
2568       expand_string_message = US"\":\" expected after \"def\"";
2569       return NULL;
2570       }
2571
2572     s = read_name(name, sizeof(name), s+1, US"_");
2573
2574     /* Test for a header's existence. If the name contains a closing brace
2575     character, this may be a user error where the terminating colon has been
2576     omitted. Set a flag to adjust a subsequent error message in this case. */
2577
2578     if (  ( *(t = name) == 'h'
2579           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
2580           )
2581        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
2582        )
2583       {
2584       s = read_header_name(name, sizeof(name), s);
2585       /* {-for-text-editors */
2586       if (Ustrchr(name, '}') != NULL) malformed_header = TRUE;
2587       if (yield) *yield =
2588         (find_header(name, NULL, FH_EXISTS_ONLY, NULL) != NULL) == testfor;
2589       }
2590
2591     /* Test for a variable's having a non-empty value. A non-existent variable
2592     causes an expansion failure. */
2593
2594     else
2595       {
2596       if (!(t = find_variable(name, TRUE, yield == NULL, NULL)))
2597         {
2598         expand_string_message = name[0]
2599           ? string_sprintf("unknown variable \"%s\" after \"def:\"", name)
2600           : US"variable name omitted after \"def:\"";
2601         check_variable_error_message(name);
2602         return NULL;
2603         }
2604       if (yield) *yield = (t[0] != 0) == testfor;
2605       }
2606
2607     return s;
2608     }
2609
2610
2611   /* first_delivery tests for first delivery attempt */
2612
2613   case ECOND_FIRST_DELIVERY:
2614   if (yield) *yield = f.deliver_firsttime == testfor;
2615   return s;
2616
2617
2618   /* queue_running tests for any process started by a queue runner */
2619
2620   case ECOND_QUEUE_RUNNING:
2621   if (yield) *yield = (queue_run_pid != (pid_t)0) == testfor;
2622   return s;
2623
2624
2625   /* exists:  tests for file existence
2626        isip:  tests for any IP address
2627       isip4:  tests for an IPv4 address
2628       isip6:  tests for an IPv6 address
2629         pam:  does PAM authentication
2630      radius:  does RADIUS authentication
2631    ldapauth:  does LDAP authentication
2632     pwcheck:  does Cyrus SASL pwcheck authentication
2633   */
2634
2635   case ECOND_EXISTS:
2636   case ECOND_ISIP:
2637   case ECOND_ISIP4:
2638   case ECOND_ISIP6:
2639   case ECOND_PAM:
2640   case ECOND_RADIUS:
2641   case ECOND_LDAPAUTH:
2642   case ECOND_PWCHECK:
2643
2644   if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START; /* }-for-text-editors */
2645
2646   sub[0] = expand_string_internal(s+1, TRUE, &s, yield == NULL, TRUE, resetok);
2647   if (!sub[0]) return NULL;
2648   /* {-for-text-editors */
2649   if (*s++ != '}') goto COND_FAILED_CURLY_END;
2650
2651   if (!yield) return s;   /* No need to run the test if skipping */
2652
2653   switch(cond_type)
2654     {
2655     case ECOND_EXISTS:
2656     if ((expand_forbid & RDO_EXISTS) != 0)
2657       {
2658       expand_string_message = US"File existence tests are not permitted";
2659       return NULL;
2660       }
2661     *yield = (Ustat(sub[0], &statbuf) == 0) == testfor;
2662     break;
2663
2664     case ECOND_ISIP:
2665     case ECOND_ISIP4:
2666     case ECOND_ISIP6:
2667     rc = string_is_ip_address(sub[0], NULL);
2668     *yield = ((cond_type == ECOND_ISIP)? (rc != 0) :
2669              (cond_type == ECOND_ISIP4)? (rc == 4) : (rc == 6)) == testfor;
2670     break;
2671
2672     /* Various authentication tests - all optionally compiled */
2673
2674     case ECOND_PAM:
2675     #ifdef SUPPORT_PAM
2676     rc = auth_call_pam(sub[0], &expand_string_message);
2677     goto END_AUTH;
2678     #else
2679     goto COND_FAILED_NOT_COMPILED;
2680     #endif  /* SUPPORT_PAM */
2681
2682     case ECOND_RADIUS:
2683     #ifdef RADIUS_CONFIG_FILE
2684     rc = auth_call_radius(sub[0], &expand_string_message);
2685     goto END_AUTH;
2686     #else
2687     goto COND_FAILED_NOT_COMPILED;
2688     #endif  /* RADIUS_CONFIG_FILE */
2689
2690     case ECOND_LDAPAUTH:
2691     #ifdef LOOKUP_LDAP
2692       {
2693       /* Just to keep the interface the same */
2694       BOOL do_cache;
2695       int old_pool = store_pool;
2696       store_pool = POOL_SEARCH;
2697       rc = eldapauth_find((void *)(-1), NULL, sub[0], Ustrlen(sub[0]), NULL,
2698         &expand_string_message, &do_cache);
2699       store_pool = old_pool;
2700       }
2701     goto END_AUTH;
2702     #else
2703     goto COND_FAILED_NOT_COMPILED;
2704     #endif  /* LOOKUP_LDAP */
2705
2706     case ECOND_PWCHECK:
2707     #ifdef CYRUS_PWCHECK_SOCKET
2708     rc = auth_call_pwcheck(sub[0], &expand_string_message);
2709     goto END_AUTH;
2710     #else
2711     goto COND_FAILED_NOT_COMPILED;
2712     #endif  /* CYRUS_PWCHECK_SOCKET */
2713
2714     #if defined(SUPPORT_PAM) || defined(RADIUS_CONFIG_FILE) || \
2715         defined(LOOKUP_LDAP) || defined(CYRUS_PWCHECK_SOCKET)
2716     END_AUTH:
2717     if (rc == ERROR || rc == DEFER) return NULL;
2718     *yield = (rc == OK) == testfor;
2719     #endif
2720     }
2721   return s;
2722
2723
2724   /* call ACL (in a conditional context).  Accept true, deny false.
2725   Defer is a forced-fail.  Anything set by message= goes to $value.
2726   Up to ten parameters are used; we use the braces round the name+args
2727   like the saslauthd condition does, to permit a variable number of args.
2728   See also the expansion-item version EITEM_ACL and the traditional
2729   acl modifier ACLC_ACL.
2730   Since the ACL may allocate new global variables, tell our caller to not
2731   reclaim memory.
2732   */
2733
2734   case ECOND_ACL:
2735     /* ${if acl {{name}{arg1}{arg2}...}  {yes}{no}} */
2736     {
2737     uschar *sub[10];
2738     uschar *user_msg;
2739     BOOL cond = FALSE;
2740
2741     Uskip_whitespace(&s);
2742     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /*}*/
2743
2744     switch(read_subs(sub, nelem(sub), 1,
2745       &s, yield == NULL, TRUE, name, resetok))
2746       {
2747       case 1: expand_string_message = US"too few arguments or bracketing "
2748         "error for acl";
2749       case 2:
2750       case 3: return NULL;
2751       }
2752
2753     if (yield)
2754       {
2755       int rc;
2756       *resetok = FALSE; /* eval_acl() might allocate; do not reclaim */
2757       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
2758         {
2759         case OK:
2760           cond = TRUE;
2761         case FAIL:
2762           lookup_value = NULL;
2763           if (user_msg)
2764             lookup_value = string_copy(user_msg);
2765           *yield = cond == testfor;
2766           break;
2767
2768         case DEFER:
2769           f.expand_string_forcedfail = TRUE;
2770           /*FALLTHROUGH*/
2771         default:
2772           expand_string_message = string_sprintf("%s from acl \"%s\"",
2773             rc_names[rc], sub[0]);
2774           return NULL;
2775         }
2776       }
2777     return s;
2778     }
2779
2780
2781   /* saslauthd: does Cyrus saslauthd authentication. Four parameters are used:
2782
2783      ${if saslauthd {{username}{password}{service}{realm}}  {yes}{no}}
2784
2785   However, the last two are optional. That is why the whole set is enclosed
2786   in their own set of braces. */
2787
2788   case ECOND_SASLAUTHD:
2789 #ifndef CYRUS_SASLAUTHD_SOCKET
2790     goto COND_FAILED_NOT_COMPILED;
2791 #else
2792     {
2793     uschar *sub[4];
2794     Uskip_whitespace(&s);
2795     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
2796     switch(read_subs(sub, nelem(sub), 2, &s, yield == NULL, TRUE, name,
2797                     resetok))
2798       {
2799       case 1: expand_string_message = US"too few arguments or bracketing "
2800         "error for saslauthd";
2801       case 2:
2802       case 3: return NULL;
2803       }
2804     if (!sub[2]) sub[3] = NULL;  /* realm if no service */
2805     if (yield)
2806       {
2807       int rc = auth_call_saslauthd(sub[0], sub[1], sub[2], sub[3],
2808         &expand_string_message);
2809       if (rc == ERROR || rc == DEFER) return NULL;
2810       *yield = (rc == OK) == testfor;
2811       }
2812     return s;
2813     }
2814 #endif /* CYRUS_SASLAUTHD_SOCKET */
2815
2816
2817   /* symbolic operators for numeric and string comparison, and a number of
2818   other operators, all requiring two arguments.
2819
2820   crypteq:           encrypts plaintext and compares against an encrypted text,
2821                        using crypt(), crypt16(), MD5 or SHA-1
2822   inlist/inlisti:    checks if first argument is in the list of the second
2823   match:             does a regular expression match and sets up the numerical
2824                        variables if it succeeds
2825   match_address:     matches in an address list
2826   match_domain:      matches in a domain list
2827   match_ip:          matches a host list that is restricted to IP addresses
2828   match_local_part:  matches in a local part list
2829   */
2830
2831   case ECOND_MATCH_ADDRESS:
2832   case ECOND_MATCH_DOMAIN:
2833   case ECOND_MATCH_IP:
2834   case ECOND_MATCH_LOCAL_PART:
2835 #ifndef EXPAND_LISTMATCH_RHS
2836     sub2_honour_dollar = FALSE;
2837 #endif
2838     /* FALLTHROUGH */
2839
2840   case ECOND_CRYPTEQ:
2841   case ECOND_INLIST:
2842   case ECOND_INLISTI:
2843   case ECOND_MATCH:
2844
2845   case ECOND_NUM_L:     /* Numerical comparisons */
2846   case ECOND_NUM_LE:
2847   case ECOND_NUM_E:
2848   case ECOND_NUM_EE:
2849   case ECOND_NUM_G:
2850   case ECOND_NUM_GE:
2851
2852   case ECOND_STR_LT:    /* String comparisons */
2853   case ECOND_STR_LTI:
2854   case ECOND_STR_LE:
2855   case ECOND_STR_LEI:
2856   case ECOND_STR_EQ:
2857   case ECOND_STR_EQI:
2858   case ECOND_STR_GT:
2859   case ECOND_STR_GTI:
2860   case ECOND_STR_GE:
2861   case ECOND_STR_GEI:
2862
2863   for (int i = 0; i < 2; i++)
2864     {
2865     /* Sometimes, we don't expand substrings; too many insecure configurations
2866     created using match_address{}{} and friends, where the second param
2867     includes information from untrustworthy sources. */
2868     BOOL honour_dollar = TRUE;
2869     if ((i > 0) && !sub2_honour_dollar)
2870       honour_dollar = FALSE;
2871
2872     if (Uskip_whitespace(&s) != '{')
2873       {
2874       if (i == 0) goto COND_FAILED_CURLY_START;
2875       expand_string_message = string_sprintf("missing 2nd string in {} "
2876         "after \"%s\"", opname);
2877       return NULL;
2878       }
2879     if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, yield == NULL,
2880         honour_dollar, resetok)))
2881       return NULL;
2882     DEBUG(D_expand) if (i == 1 && !sub2_honour_dollar && Ustrchr(sub[1], '$'))
2883       debug_printf_indent("WARNING: the second arg is NOT expanded,"
2884                         " for security reasons\n");
2885     if (*s++ != '}') goto COND_FAILED_CURLY_END;
2886
2887     /* Convert to numerical if required; we know that the names of all the
2888     conditions that compare numbers do not start with a letter. This just saves
2889     checking for them individually. */
2890
2891     if (!isalpha(opname[0]) && yield)
2892       if (sub[i][0] == 0)
2893         {
2894         num[i] = 0;
2895         DEBUG(D_expand)
2896           debug_printf_indent("empty string cast to zero for numerical comparison\n");
2897         }
2898       else
2899         {
2900         num[i] = expanded_string_integer(sub[i], FALSE);
2901         if (expand_string_message) return NULL;
2902         }
2903     }
2904
2905   /* Result not required */
2906
2907   if (!yield) return s;
2908
2909   /* Do an appropriate comparison */
2910
2911   switch(cond_type)
2912     {
2913     case ECOND_NUM_E:
2914     case ECOND_NUM_EE:
2915     tempcond = (num[0] == num[1]);
2916     break;
2917
2918     case ECOND_NUM_G:
2919     tempcond = (num[0] > num[1]);
2920     break;
2921
2922     case ECOND_NUM_GE:
2923     tempcond = (num[0] >= num[1]);
2924     break;
2925
2926     case ECOND_NUM_L:
2927     tempcond = (num[0] < num[1]);
2928     break;
2929
2930     case ECOND_NUM_LE:
2931     tempcond = (num[0] <= num[1]);
2932     break;
2933
2934     case ECOND_STR_LT:
2935     tempcond = (Ustrcmp(sub[0], sub[1]) < 0);
2936     break;
2937
2938     case ECOND_STR_LTI:
2939     tempcond = (strcmpic(sub[0], sub[1]) < 0);
2940     break;
2941
2942     case ECOND_STR_LE:
2943     tempcond = (Ustrcmp(sub[0], sub[1]) <= 0);
2944     break;
2945
2946     case ECOND_STR_LEI:
2947     tempcond = (strcmpic(sub[0], sub[1]) <= 0);
2948     break;
2949
2950     case ECOND_STR_EQ:
2951     tempcond = (Ustrcmp(sub[0], sub[1]) == 0);
2952     break;
2953
2954     case ECOND_STR_EQI:
2955     tempcond = (strcmpic(sub[0], sub[1]) == 0);
2956     break;
2957
2958     case ECOND_STR_GT:
2959     tempcond = (Ustrcmp(sub[0], sub[1]) > 0);
2960     break;
2961
2962     case ECOND_STR_GTI:
2963     tempcond = (strcmpic(sub[0], sub[1]) > 0);
2964     break;
2965
2966     case ECOND_STR_GE:
2967     tempcond = (Ustrcmp(sub[0], sub[1]) >= 0);
2968     break;
2969
2970     case ECOND_STR_GEI:
2971     tempcond = (strcmpic(sub[0], sub[1]) >= 0);
2972     break;
2973
2974     case ECOND_MATCH:   /* Regular expression match */
2975     if (!(re = pcre_compile(CS sub[1], PCRE_COPT, CCSS &rerror,
2976                             &roffset, NULL)))
2977       {
2978       expand_string_message = string_sprintf("regular expression error in "
2979         "\"%s\": %s at offset %d", sub[1], rerror, roffset);
2980       return NULL;
2981       }
2982     tempcond = regex_match_and_setup(re, sub[0], 0, -1);
2983     break;
2984
2985     case ECOND_MATCH_ADDRESS:  /* Match in an address list */
2986     rc = match_address_list(sub[0], TRUE, FALSE, &(sub[1]), NULL, -1, 0, NULL);
2987     goto MATCHED_SOMETHING;
2988
2989     case ECOND_MATCH_DOMAIN:   /* Match in a domain list */
2990     rc = match_isinlist(sub[0], &(sub[1]), 0, &domainlist_anchor, NULL,
2991       MCL_DOMAIN + MCL_NOEXPAND, TRUE, NULL);
2992     goto MATCHED_SOMETHING;
2993
2994     case ECOND_MATCH_IP:       /* Match IP address in a host list */
2995     if (sub[0][0] != 0 && string_is_ip_address(sub[0], NULL) == 0)
2996       {
2997       expand_string_message = string_sprintf("\"%s\" is not an IP address",
2998         sub[0]);
2999       return NULL;
3000       }
3001     else
3002       {
3003       unsigned int *nullcache = NULL;
3004       check_host_block cb;
3005
3006       cb.host_name = US"";
3007       cb.host_address = sub[0];
3008
3009       /* If the host address starts off ::ffff: it is an IPv6 address in
3010       IPv4-compatible mode. Find the IPv4 part for checking against IPv4
3011       addresses. */
3012
3013       cb.host_ipv4 = (Ustrncmp(cb.host_address, "::ffff:", 7) == 0)?
3014         cb.host_address + 7 : cb.host_address;
3015
3016       rc = match_check_list(
3017              &sub[1],                   /* the list */
3018              0,                         /* separator character */
3019              &hostlist_anchor,          /* anchor pointer */
3020              &nullcache,                /* cache pointer */
3021              check_host,                /* function for testing */
3022              &cb,                       /* argument for function */
3023              MCL_HOST,                  /* type of check */
3024              sub[0],                    /* text for debugging */
3025              NULL);                     /* where to pass back data */
3026       }
3027     goto MATCHED_SOMETHING;
3028
3029     case ECOND_MATCH_LOCAL_PART:
3030     rc = match_isinlist(sub[0], &(sub[1]), 0, &localpartlist_anchor, NULL,
3031       MCL_LOCALPART + MCL_NOEXPAND, TRUE, NULL);
3032     /* Fall through */
3033     /* VVVVVVVVVVVV */
3034     MATCHED_SOMETHING:
3035     switch(rc)
3036       {
3037       case OK:
3038       tempcond = TRUE;
3039       break;
3040
3041       case FAIL:
3042       tempcond = FALSE;
3043       break;
3044
3045       case DEFER:
3046       expand_string_message = string_sprintf("unable to complete match "
3047         "against \"%s\": %s", sub[1], search_error_message);
3048       return NULL;
3049       }
3050
3051     break;
3052
3053     /* Various "encrypted" comparisons. If the second string starts with
3054     "{" then an encryption type is given. Default to crypt() or crypt16()
3055     (build-time choice). */
3056     /* }-for-text-editors */
3057
3058     case ECOND_CRYPTEQ:
3059     #ifndef SUPPORT_CRYPTEQ
3060     goto COND_FAILED_NOT_COMPILED;
3061     #else
3062     if (strncmpic(sub[1], US"{md5}", 5) == 0)
3063       {
3064       int sublen = Ustrlen(sub[1]+5);
3065       md5 base;
3066       uschar digest[16];
3067
3068       md5_start(&base);
3069       md5_end(&base, sub[0], Ustrlen(sub[0]), digest);
3070
3071       /* If the length that we are comparing against is 24, the MD5 digest
3072       is expressed as a base64 string. This is the way LDAP does it. However,
3073       some other software uses a straightforward hex representation. We assume
3074       this if the length is 32. Other lengths fail. */
3075
3076       if (sublen == 24)
3077         {
3078         uschar *coded = b64encode(CUS digest, 16);
3079         DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
3080           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3081         tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
3082         }
3083       else if (sublen == 32)
3084         {
3085         uschar coded[36];
3086         for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3087         coded[32] = 0;
3088         DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
3089           "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
3090         tempcond = (strcmpic(coded, sub[1]+5) == 0);
3091         }
3092       else
3093         {
3094         DEBUG(D_auth) debug_printf("crypteq: length for MD5 not 24 or 32: "
3095           "fail\n  crypted=%s\n", sub[1]+5);
3096         tempcond = FALSE;
3097         }
3098       }
3099
3100     else if (strncmpic(sub[1], US"{sha1}", 6) == 0)
3101       {
3102       int sublen = Ustrlen(sub[1]+6);
3103       hctx h;
3104       uschar digest[20];
3105
3106       sha1_start(&h);
3107       sha1_end(&h, sub[0], Ustrlen(sub[0]), digest);
3108
3109       /* If the length that we are comparing against is 28, assume the SHA1
3110       digest is expressed as a base64 string. If the length is 40, assume a
3111       straightforward hex representation. Other lengths fail. */
3112
3113       if (sublen == 28)
3114         {
3115         uschar *coded = b64encode(CUS digest, 20);
3116         DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
3117           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3118         tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
3119         }
3120       else if (sublen == 40)
3121         {
3122         uschar coded[44];
3123         for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
3124         coded[40] = 0;
3125         DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
3126           "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
3127         tempcond = (strcmpic(coded, sub[1]+6) == 0);
3128         }
3129       else
3130         {
3131         DEBUG(D_auth) debug_printf("crypteq: length for SHA-1 not 28 or 40: "
3132           "fail\n  crypted=%s\n", sub[1]+6);
3133         tempcond = FALSE;
3134         }
3135       }
3136
3137     else   /* {crypt} or {crypt16} and non-{ at start */
3138            /* }-for-text-editors */
3139       {
3140       int which = 0;
3141       uschar *coded;
3142
3143       if (strncmpic(sub[1], US"{crypt}", 7) == 0)
3144         {
3145         sub[1] += 7;
3146         which = 1;
3147         }
3148       else if (strncmpic(sub[1], US"{crypt16}", 9) == 0)
3149         {
3150         sub[1] += 9;
3151         which = 2;
3152         }
3153       else if (sub[1][0] == '{')                /* }-for-text-editors */
3154         {
3155         expand_string_message = string_sprintf("unknown encryption mechanism "
3156           "in \"%s\"", sub[1]);
3157         return NULL;
3158         }
3159
3160       switch(which)
3161         {
3162         case 0:  coded = US DEFAULT_CRYPT(CS sub[0], CS sub[1]); break;
3163         case 1:  coded = US crypt(CS sub[0], CS sub[1]); break;
3164         default: coded = US crypt16(CS sub[0], CS sub[1]); break;
3165         }
3166
3167       #define STR(s) # s
3168       #define XSTR(s) STR(s)
3169       DEBUG(D_auth) debug_printf("crypteq: using %s()\n"
3170         "  subject=%s\n  crypted=%s\n",
3171         which == 0 ? XSTR(DEFAULT_CRYPT) : which == 1 ? "crypt" : "crypt16",
3172         coded, sub[1]);
3173       #undef STR
3174       #undef XSTR
3175
3176       /* If the encrypted string contains fewer than two characters (for the
3177       salt), force failure. Otherwise we get false positives: with an empty
3178       string the yield of crypt() is an empty string! */
3179
3180       if (coded)
3181         tempcond = Ustrlen(sub[1]) < 2 ? FALSE : Ustrcmp(coded, sub[1]) == 0;
3182       else if (errno == EINVAL)
3183         tempcond = FALSE;
3184       else
3185         {
3186         expand_string_message = string_sprintf("crypt error: %s\n",
3187           US strerror(errno));
3188         return NULL;
3189         }
3190       }
3191     break;
3192     #endif  /* SUPPORT_CRYPTEQ */
3193
3194     case ECOND_INLIST:
3195     case ECOND_INLISTI:
3196       {
3197       const uschar * list = sub[1];
3198       int sep = 0;
3199       uschar *save_iterate_item = iterate_item;
3200       int (*compare)(const uschar *, const uschar *);
3201
3202       DEBUG(D_expand) debug_printf_indent("condition: %s  item: %s\n", opname, sub[0]);
3203
3204       tempcond = FALSE;
3205       compare = cond_type == ECOND_INLISTI
3206         ? strcmpic : (int (*)(const uschar *, const uschar *)) strcmp;
3207
3208       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
3209         {
3210         DEBUG(D_expand) debug_printf_indent(" compare %s\n", iterate_item);
3211         if (compare(sub[0], iterate_item) == 0)
3212           {
3213           tempcond = TRUE;
3214           break;
3215           }
3216         }
3217       iterate_item = save_iterate_item;
3218       }
3219
3220     }   /* Switch for comparison conditions */
3221
3222   *yield = tempcond == testfor;
3223   return s;    /* End of comparison conditions */
3224
3225
3226   /* and/or: computes logical and/or of several conditions */
3227
3228   case ECOND_AND:
3229   case ECOND_OR:
3230   subcondptr = (yield == NULL) ? NULL : &tempcond;
3231   combined_cond = (cond_type == ECOND_AND);
3232
3233   Uskip_whitespace(&s);
3234   if (*s++ != '{') goto COND_FAILED_CURLY_START;        /* }-for-text-editors */
3235
3236   for (;;)
3237     {
3238     /* {-for-text-editors */
3239     if (Uskip_whitespace(&s) == '}') break;
3240     if (*s != '{')                                      /* }-for-text-editors */
3241       {
3242       expand_string_message = string_sprintf("each subcondition "
3243         "inside an \"%s{...}\" condition must be in its own {}", opname);
3244       return NULL;
3245       }
3246
3247     if (!(s = eval_condition(s+1, resetok, subcondptr)))
3248       {
3249       expand_string_message = string_sprintf("%s inside \"%s{...}\" condition",
3250         expand_string_message, opname);
3251       return NULL;
3252       }
3253     Uskip_whitespace(&s);
3254
3255     /* {-for-text-editors */
3256     if (*s++ != '}')
3257       {
3258       /* {-for-text-editors */
3259       expand_string_message = string_sprintf("missing } at end of condition "
3260         "inside \"%s\" group", opname);
3261       return NULL;
3262       }
3263
3264     if (yield)
3265       if (cond_type == ECOND_AND)
3266         {
3267         combined_cond &= tempcond;
3268         if (!combined_cond) subcondptr = NULL;  /* once false, don't */
3269         }                                       /* evaluate any more */
3270       else
3271         {
3272         combined_cond |= tempcond;
3273         if (combined_cond) subcondptr = NULL;   /* once true, don't */
3274         }                                       /* evaluate any more */
3275     }
3276
3277   if (yield) *yield = (combined_cond == testfor);
3278   return ++s;
3279
3280
3281   /* forall/forany: iterates a condition with different values */
3282
3283   case ECOND_FORALL:      is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3284   case ECOND_FORANY:      is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
3285   case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3286   case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
3287   case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3288   case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
3289
3290   FORMANY:
3291     {
3292     const uschar * list;
3293     int sep = 0;
3294     uschar *save_iterate_item = iterate_item;
3295
3296     DEBUG(D_expand) debug_printf_indent("condition: %s\n", opname);
3297
3298     Uskip_whitespace(&s);
3299     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3300     if (!(sub[0] = expand_string_internal(s, TRUE, &s, yield == NULL, TRUE, resetok)))
3301       return NULL;
3302     /* {-for-text-editors */
3303     if (*s++ != '}') goto COND_FAILED_CURLY_END;
3304
3305     Uskip_whitespace(&s);
3306     if (*s++ != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3307
3308     sub[1] = s;
3309
3310     /* Call eval_condition once, with result discarded (as if scanning a
3311     "false" part). This allows us to find the end of the condition, because if
3312     the list it empty, we won't actually evaluate the condition for real. */
3313
3314     if (!(s = eval_condition(sub[1], resetok, NULL)))
3315       {
3316       expand_string_message = string_sprintf("%s inside \"%s\" condition",
3317         expand_string_message, opname);
3318       return NULL;
3319       }
3320     Uskip_whitespace(&s);
3321
3322     /* {-for-text-editors */
3323     if (*s++ != '}')
3324       {
3325       /* {-for-text-editors */
3326       expand_string_message = string_sprintf("missing } at end of condition "
3327         "inside \"%s\"", opname);
3328       return NULL;
3329       }
3330
3331     if (yield) *yield = !testfor;
3332     list = sub[0];
3333     if (is_json) list = dewrap(string_copy(list), US"[]");
3334     while ((iterate_item = is_json
3335       ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
3336       {
3337       if (is_jsons)
3338         if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
3339           {
3340           expand_string_message =
3341             string_sprintf("%s wrapping string result for extract jsons",
3342               expand_string_message);
3343           iterate_item = save_iterate_item;
3344           return NULL;
3345           }
3346
3347       DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", opname, iterate_item);
3348       if (!eval_condition(sub[1], resetok, &tempcond))
3349         {
3350         expand_string_message = string_sprintf("%s inside \"%s\" condition",
3351           expand_string_message, opname);
3352         iterate_item = save_iterate_item;
3353         return NULL;
3354         }
3355       DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", opname,
3356         tempcond? "true":"false");
3357
3358       if (yield) *yield = (tempcond == testfor);
3359       if (tempcond == is_forany) break;
3360       }
3361
3362     iterate_item = save_iterate_item;
3363     return s;
3364     }
3365
3366
3367   /* The bool{} expansion condition maps a string to boolean.
3368   The values supported should match those supported by the ACL condition
3369   (acl.c, ACLC_CONDITION) so that we keep to a minimum the different ideas
3370   of true/false.  Note that Router "condition" rules have a different
3371   interpretation, where general data can be used and only a few values
3372   map to FALSE.
3373   Note that readconf.c boolean matching, for boolean configuration options,
3374   only matches true/yes/false/no.
3375   The bool_lax{} condition matches the Router logic, which is much more
3376   liberal. */
3377   case ECOND_BOOL:
3378   case ECOND_BOOL_LAX:
3379     {
3380     uschar *sub_arg[1];
3381     uschar *t, *t2;
3382     uschar *ourname;
3383     size_t len;
3384     BOOL boolvalue = FALSE;
3385
3386     if (Uskip_whitespace(&s) != '{') goto COND_FAILED_CURLY_START;      /* }-for-text-editors */
3387     ourname = cond_type == ECOND_BOOL_LAX ? US"bool_lax" : US"bool";
3388     switch(read_subs(sub_arg, 1, 1, &s, yield == NULL, FALSE, ourname, resetok))
3389       {
3390       case 1: expand_string_message = string_sprintf(
3391                   "too few arguments or bracketing error for %s",
3392                   ourname);
3393       /*FALLTHROUGH*/
3394       case 2:
3395       case 3: return NULL;
3396       }
3397     t = sub_arg[0];
3398     Uskip_whitespace(&t);
3399     if ((len = Ustrlen(t)))
3400       {
3401       /* trailing whitespace: seems like a good idea to ignore it too */
3402       t2 = t + len - 1;
3403       while (isspace(*t2)) t2--;
3404       if (t2 != (t + len))
3405         {
3406         *++t2 = '\0';
3407         len = t2 - t;
3408         }
3409       }
3410     DEBUG(D_expand)
3411       debug_printf_indent("considering %s: %s\n", ourname, len ? t : US"<empty>");
3412     /* logic for the lax case from expand_check_condition(), which also does
3413     expands, and the logic is both short and stable enough that there should
3414     be no maintenance burden from replicating it. */
3415     if (len == 0)
3416       boolvalue = FALSE;
3417     else if (*t == '-'
3418              ? Ustrspn(t+1, "0123456789") == len-1
3419              : Ustrspn(t,   "0123456789") == len)
3420       {
3421       boolvalue = (Uatoi(t) == 0) ? FALSE : TRUE;
3422       /* expand_check_condition only does a literal string "0" check */
3423       if ((cond_type == ECOND_BOOL_LAX) && (len > 1))
3424         boolvalue = TRUE;
3425       }
3426     else if (strcmpic(t, US"true") == 0 || strcmpic(t, US"yes") == 0)
3427       boolvalue = TRUE;
3428     else if (strcmpic(t, US"false") == 0 || strcmpic(t, US"no") == 0)
3429       boolvalue = FALSE;
3430     else if (cond_type == ECOND_BOOL_LAX)
3431       boolvalue = TRUE;
3432     else
3433       {
3434       expand_string_message = string_sprintf("unrecognised boolean "
3435        "value \"%s\"", t);
3436       return NULL;
3437       }
3438     DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", ourname,
3439         boolvalue? "true":"false");
3440     if (yield) *yield = (boolvalue == testfor);
3441     return s;
3442     }
3443
3444 #ifdef EXPERIMENTAL_SRS_NATIVE
3445   case ECOND_INBOUND_SRS:
3446     /* ${if inbound_srs {local_part}{secret}  {yes}{no}} */
3447     {
3448     uschar * sub[2];
3449     const pcre * re;
3450     int ovec[3*(4+1)];
3451     int n;
3452     uschar cksum[4];
3453     BOOL boolvalue = FALSE;
3454
3455     switch(read_subs(sub, 2, 2, CUSS &s, yield == NULL, FALSE, name, resetok))
3456       {
3457       case 1: expand_string_message = US"too few arguments or bracketing "
3458         "error for inbound_srs";
3459       case 2:
3460       case 3: return NULL;
3461       }
3462
3463     /* Match the given local_part against the SRS-encoded pattern */
3464
3465     re = regex_must_compile(US"^(?i)SRS0=([^=]+)=([A-Z2-7]+)=([^=]*)=(.*)$",
3466                             TRUE, FALSE);
3467     if (pcre_exec(re, NULL, CS sub[0], Ustrlen(sub[0]), 0, PCRE_EOPT,
3468                   ovec, nelem(ovec)) < 0)
3469       {
3470       DEBUG(D_expand) debug_printf("no match for SRS'd local-part pattern\n");
3471       goto srs_result;
3472       }
3473
3474     /* Side-effect: record the decoded recipient */
3475
3476     srs_recipient = string_sprintf("%.*S@%.*S",                 /* lowercased */
3477                       ovec[9]-ovec[8], sub[0] + ovec[8],        /* substring 4 */
3478                       ovec[7]-ovec[6], sub[0] + ovec[6]);       /* substring 3 */
3479
3480     /* If a zero-length secret was given, we're done.  Otherwise carry on
3481     and validate the given SRS local_part againt our secret. */
3482
3483     if (!*sub[1])
3484       {
3485       boolvalue = TRUE;
3486       goto srs_result;
3487       }
3488
3489     /* check the timestamp */
3490       {
3491       struct timeval now;
3492       uschar * ss = sub[0] + ovec[4];   /* substring 2, the timestamp */
3493       long d;
3494
3495       gettimeofday(&now, NULL);
3496       now.tv_sec /= 86400;              /* days since epoch */
3497
3498       /* Decode substring 2 from base32 to a number */
3499
3500       for (d = 0, n = ovec[5]-ovec[4]; n; n--)
3501         {
3502         uschar * t = Ustrchr(base32_chars, *ss++);
3503         d = d * 32 + (t - base32_chars);
3504         }
3505
3506       if (((now.tv_sec - d) & 0x3ff) > 10)      /* days since SRS generated */
3507         {
3508         DEBUG(D_expand) debug_printf("SRS too old\n");
3509         goto srs_result;
3510         }
3511       }
3512
3513     /* check length of substring 1, the offered checksum */
3514
3515     if (ovec[3]-ovec[2] != 4)
3516       {
3517       DEBUG(D_expand) debug_printf("SRS checksum wrong size\n");
3518       goto srs_result;
3519       }
3520
3521     /* Hash the address with our secret, and compare that computed checksum
3522     with the one extracted from the arg */
3523
3524     hmac_md5(sub[1], srs_recipient, cksum, sizeof(cksum));
3525     if (Ustrncmp(cksum, sub[0] + ovec[2], 4) != 0)
3526       {
3527       DEBUG(D_expand) debug_printf("SRS checksum mismatch\n");
3528       goto srs_result;
3529       }
3530     boolvalue = TRUE;
3531
3532 srs_result:
3533     if (yield) *yield = (boolvalue == testfor);
3534     return s;
3535     }
3536 #endif /*EXPERIMENTAL_SRS_NATIVE*/
3537
3538   /* Unknown condition */
3539
3540   default:
3541     if (!expand_string_message || !*expand_string_message)
3542       expand_string_message = string_sprintf("unknown condition \"%s\"", opname);
3543     return NULL;
3544   }   /* End switch on condition type */
3545
3546 /* Missing braces at start and end of data */
3547
3548 COND_FAILED_CURLY_START:
3549 expand_string_message = string_sprintf("missing { after \"%s\"", opname);
3550 return NULL;
3551
3552 COND_FAILED_CURLY_END:
3553 expand_string_message = string_sprintf("missing } at end of \"%s\" condition",
3554   opname);
3555 return NULL;
3556
3557 /* A condition requires code that is not compiled */
3558
3559 #if !defined(SUPPORT_PAM) || !defined(RADIUS_CONFIG_FILE) || \
3560     !defined(LOOKUP_LDAP) || !defined(CYRUS_PWCHECK_SOCKET) || \
3561     !defined(SUPPORT_CRYPTEQ) || !defined(CYRUS_SASLAUTHD_SOCKET)
3562 COND_FAILED_NOT_COMPILED:
3563 expand_string_message = string_sprintf("support for \"%s\" not compiled",
3564   opname);
3565 return NULL;
3566 #endif
3567 }
3568
3569
3570
3571
3572 /*************************************************
3573 *          Save numerical variables              *
3574 *************************************************/
3575
3576 /* This function is called from items such as "if" that want to preserve and
3577 restore the numbered variables.
3578
3579 Arguments:
3580   save_expand_string    points to an array of pointers to set
3581   save_expand_nlength   points to an array of ints for the lengths
3582
3583 Returns:                the value of expand max to save
3584 */
3585
3586 static int
3587 save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
3588 {
3589 for (int i = 0; i <= expand_nmax; i++)
3590   {
3591   save_expand_nstring[i] = expand_nstring[i];
3592   save_expand_nlength[i] = expand_nlength[i];
3593   }
3594 return expand_nmax;
3595 }
3596
3597
3598
3599 /*************************************************
3600 *           Restore numerical variables          *
3601 *************************************************/
3602
3603 /* This function restored saved values of numerical strings.
3604
3605 Arguments:
3606   save_expand_nmax      the number of strings to restore
3607   save_expand_string    points to an array of pointers
3608   save_expand_nlength   points to an array of ints
3609
3610 Returns:                nothing
3611 */
3612
3613 static void
3614 restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
3615   int *save_expand_nlength)
3616 {
3617 expand_nmax = save_expand_nmax;
3618 for (int i = 0; i <= expand_nmax; i++)
3619   {
3620   expand_nstring[i] = save_expand_nstring[i];
3621   expand_nlength[i] = save_expand_nlength[i];
3622   }
3623 }
3624
3625
3626
3627
3628
3629 /*************************************************
3630 *            Handle yes/no substrings            *
3631 *************************************************/
3632
3633 /* This function is used by ${if}, ${lookup} and ${extract} to handle the
3634 alternative substrings that depend on whether or not the condition was true,
3635 or the lookup or extraction succeeded. The substrings always have to be
3636 expanded, to check their syntax, but "skipping" is set when the result is not
3637 needed - this avoids unnecessary nested lookups.
3638
3639 Arguments:
3640   skipping       TRUE if we were skipping when this item was reached
3641   yes            TRUE if the first string is to be used, else use the second
3642   save_lookup    a value to put back into lookup_value before the 2nd expansion
3643   sptr           points to the input string pointer
3644   yieldptr       points to the output growable-string pointer
3645   type           "lookup", "if", "extract", "run", "env", "listextract" or
3646                  "certextract" for error message
3647   resetok        if not NULL, pointer to flag - write FALSE if unsafe to reset
3648                 the store.
3649
3650 Returns:         0 OK; lookup_value has been reset to save_lookup
3651                  1 expansion failed
3652                  2 expansion failed because of bracketing error
3653 */
3654
3655 static int
3656 process_yesno(BOOL skipping, BOOL yes, uschar *save_lookup, const uschar **sptr,
3657   gstring ** yieldptr, uschar *type, BOOL *resetok)
3658 {
3659 int rc = 0;
3660 const uschar *s = *sptr;    /* Local value */
3661 uschar *sub1, *sub2;
3662 const uschar * errwhere;
3663
3664 /* If there are no following strings, we substitute the contents of $value for
3665 lookups and for extractions in the success case. For the ${if item, the string
3666 "true" is substituted. In the fail case, nothing is substituted for all three
3667 items. */
3668
3669 if (skip_whitespace(&s) == '}')
3670   {
3671   if (type[0] == 'i')
3672     {
3673     if (yes && !skipping)
3674       *yieldptr = string_catn(*yieldptr, US"true", 4);
3675     }
3676   else
3677     {
3678     if (yes && lookup_value && !skipping)
3679       *yieldptr = string_cat(*yieldptr, lookup_value);
3680     lookup_value = save_lookup;
3681     }
3682   s++;
3683   goto RETURN;
3684   }
3685
3686 /* The first following string must be braced. */
3687
3688 if (*s++ != '{')
3689   {
3690   errwhere = US"'yes' part did not start with '{'";
3691   goto FAILED_CURLY;
3692   }
3693
3694 /* Expand the first substring. Forced failures are noticed only if we actually
3695 want this string. Set skipping in the call in the fail case (this will always
3696 be the case if we were already skipping). */
3697
3698 sub1 = expand_string_internal(s, TRUE, &s, !yes, TRUE, resetok);
3699 if (sub1 == NULL && (yes || !f.expand_string_forcedfail)) goto FAILED;
3700 f.expand_string_forcedfail = FALSE;
3701 if (*s++ != '}')
3702   {
3703   errwhere = US"'yes' part did not end with '}'";
3704   goto FAILED_CURLY;
3705   }
3706
3707 /* If we want the first string, add it to the output */
3708
3709 if (yes)
3710   *yieldptr = string_cat(*yieldptr, sub1);
3711
3712 /* If this is called from a lookup/env or a (cert)extract, we want to restore
3713 $value to what it was at the start of the item, so that it has this value
3714 during the second string expansion. For the call from "if" or "run" to this
3715 function, save_lookup is set to lookup_value, so that this statement does
3716 nothing. */
3717
3718 lookup_value = save_lookup;
3719
3720 /* There now follows either another substring, or "fail", or nothing. This
3721 time, forced failures are noticed only if we want the second string. We must
3722 set skipping in the nested call if we don't want this string, or if we were
3723 already skipping. */
3724
3725 if (skip_whitespace(&s) == '{')
3726   {
3727   sub2 = expand_string_internal(s+1, TRUE, &s, yes || skipping, TRUE, resetok);
3728   if (sub2 == NULL && (!yes || !f.expand_string_forcedfail)) goto FAILED;
3729   f.expand_string_forcedfail = FALSE;
3730   if (*s++ != '}')
3731     {
3732     errwhere = US"'no' part did not start with '{'";
3733     goto FAILED_CURLY;
3734     }
3735
3736   /* If we want the second string, add it to the output */
3737
3738   if (!yes)
3739     *yieldptr = string_cat(*yieldptr, sub2);
3740   }
3741
3742 /* If there is no second string, but the word "fail" is present when the use of
3743 the second string is wanted, set a flag indicating it was a forced failure
3744 rather than a syntactic error. Swallow the terminating } in case this is nested
3745 inside another lookup or if or extract. */
3746
3747 else if (*s != '}')
3748   {
3749   uschar name[256];
3750   /* deconst cast ok here as source is s anyway */
3751   s = US read_name(name, sizeof(name), s, US"_");
3752   if (Ustrcmp(name, "fail") == 0)
3753     {
3754     if (!yes && !skipping)
3755       {
3756       Uskip_whitespace(&s);
3757       if (*s++ != '}')
3758         {
3759         errwhere = US"did not close with '}' after forcedfail";
3760         goto FAILED_CURLY;
3761         }
3762       expand_string_message =
3763         string_sprintf("\"%s\" failed and \"fail\" requested", type);
3764       f.expand_string_forcedfail = TRUE;
3765       goto FAILED;
3766       }
3767     }
3768   else
3769     {
3770     expand_string_message =
3771       string_sprintf("syntax error in \"%s\" item - \"fail\" expected", type);
3772     goto FAILED;
3773     }
3774   }
3775
3776 /* All we have to do now is to check on the final closing brace. */
3777
3778 skip_whitespace(&s);
3779 if (*s++ != '}')
3780   {
3781   errwhere = US"did not close with '}'";
3782   goto FAILED_CURLY;
3783   }
3784
3785
3786 RETURN:
3787 /* Update the input pointer value before returning */
3788 *sptr = s;
3789 return rc;
3790
3791 FAILED_CURLY:
3792   /* Get here if there is a bracketing failure */
3793   expand_string_message = string_sprintf(
3794     "curly-bracket problem in conditional yes/no parsing: %s\n"
3795     " remaining string is '%s'", errwhere, --s);
3796   rc = 2;
3797   goto RETURN;
3798
3799 FAILED:
3800   /* Get here for other failures */
3801   rc = 1;
3802   goto RETURN;
3803 }
3804
3805
3806
3807
3808 /********************************************************
3809 * prvs: Get last three digits of days since Jan 1, 1970 *
3810 ********************************************************/
3811
3812 /* This is needed to implement the "prvs" BATV reverse
3813    path signing scheme
3814
3815 Argument: integer "days" offset to add or substract to
3816           or from the current number of days.
3817
3818 Returns:  pointer to string containing the last three
3819           digits of the number of days since Jan 1, 1970,
3820           modified by the offset argument, NULL if there
3821           was an error in the conversion.
3822
3823 */
3824
3825 static uschar *
3826 prvs_daystamp(int day_offset)
3827 {
3828 uschar *days = store_get(32, FALSE);         /* Need at least 24 for cases */
3829 (void)string_format(days, 32, TIME_T_FMT,    /* where TIME_T_FMT is %lld */
3830   (time(NULL) + day_offset*86400)/86400);
3831 return (Ustrlen(days) >= 3) ? &days[Ustrlen(days)-3] : US"100";
3832 }
3833
3834
3835
3836 /********************************************************
3837 *   prvs: perform HMAC-SHA1 computation of prvs bits    *
3838 ********************************************************/
3839
3840 /* This is needed to implement the "prvs" BATV reverse
3841    path signing scheme
3842
3843 Arguments:
3844   address RFC2821 Address to use
3845       key The key to use (must be less than 64 characters
3846           in size)
3847   key_num Single-digit key number to use. Defaults to
3848           '0' when NULL.
3849
3850 Returns:  pointer to string containing the first three
3851           bytes of the final hash in hex format, NULL if
3852           there was an error in the process.
3853 */
3854
3855 static uschar *
3856 prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
3857 {
3858 gstring * hash_source;
3859 uschar * p;
3860 hctx h;
3861 uschar innerhash[20];
3862 uschar finalhash[20];
3863 uschar innerkey[64];
3864 uschar outerkey[64];
3865 uschar *finalhash_hex;
3866
3867 if (!key_num)
3868   key_num = US"0";
3869
3870 if (Ustrlen(key) > 64)
3871   return NULL;
3872
3873 hash_source = string_catn(NULL, key_num, 1);
3874 hash_source = string_catn(hash_source, daystamp, 3);
3875 hash_source = string_cat(hash_source, address);
3876 (void) string_from_gstring(hash_source);
3877
3878 DEBUG(D_expand)
3879   debug_printf_indent("prvs: hash source is '%s'\n", hash_source->s);
3880
3881 memset(innerkey, 0x36, 64);
3882 memset(outerkey, 0x5c, 64);
3883
3884 for (int i = 0; i < Ustrlen(key); i++)
3885   {
3886   innerkey[i] ^= key[i];
3887   outerkey[i] ^= key[i];
3888   }
3889
3890 chash_start(HMAC_SHA1, &h);
3891 chash_mid(HMAC_SHA1, &h, innerkey);
3892 chash_end(HMAC_SHA1, &h, hash_source->s, hash_source->ptr, innerhash);
3893
3894 chash_start(HMAC_SHA1, &h);
3895 chash_mid(HMAC_SHA1, &h, outerkey);
3896 chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
3897
3898 /* Hashing is deemed sufficient to de-taint any input data */
3899
3900 p = finalhash_hex = store_get(40, FALSE);
3901 for (int i = 0; i < 3; i++)
3902   {
3903   *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
3904   *p++ = hex_digits[finalhash[i] & 0x0f];
3905   }
3906 *p = '\0';
3907
3908 return finalhash_hex;
3909 }
3910
3911
3912
3913
3914 /*************************************************
3915 *        Join a file onto the output string      *
3916 *************************************************/
3917
3918 /* This is used for readfile/readsock and after a run expansion.
3919 It joins the contents of a file onto the output string, globally replacing
3920 newlines with a given string (optionally).
3921
3922 Arguments:
3923   f            the FILE
3924   yield        pointer to the expandable string struct
3925   eol          newline replacement string, or NULL
3926
3927 Returns:       new pointer for expandable string, terminated if non-null
3928 */
3929
3930 gstring *
3931 cat_file(FILE *f, gstring *yield, uschar *eol)
3932 {
3933 uschar buffer[1024];
3934
3935 while (Ufgets(buffer, sizeof(buffer), f))
3936   {
3937   int len = Ustrlen(buffer);
3938   if (eol && buffer[len-1] == '\n') len--;
3939   yield = string_catn(yield, buffer, len);
3940   if (eol && buffer[len])
3941     yield = string_cat(yield, eol);
3942   }
3943
3944 (void) string_from_gstring(yield);
3945 return yield;
3946 }
3947
3948
3949 #ifndef DISABLE_TLS
3950 gstring *
3951 cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
3952 {
3953 int rc;
3954 uschar buffer[1024];
3955
3956 /*XXX could we read direct into a pre-grown string? */
3957
3958 while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
3959   for (uschar * s = buffer; rc--; s++)
3960     yield = eol && *s == '\n'
3961       ? string_cat(yield, eol) : string_catn(yield, s, 1);
3962
3963 /* We assume that all errors, and any returns of zero bytes,
3964 are actually EOF. */
3965
3966 (void) string_from_gstring(yield);
3967 return yield;
3968 }
3969 #endif
3970
3971
3972 /*************************************************
3973 *          Evaluate numeric expression           *
3974 *************************************************/
3975
3976 /* This is a set of mutually recursive functions that evaluate an arithmetic
3977 expression involving + - * / % & | ^ ~ << >> and parentheses. The only one of
3978 these functions that is called from elsewhere is eval_expr, whose interface is:
3979
3980 Arguments:
3981   sptr        pointer to the pointer to the string - gets updated
3982   decimal     TRUE if numbers are to be assumed decimal
3983   error       pointer to where to put an error message - must be NULL on input
3984   endket      TRUE if ')' must terminate - FALSE for external call
3985
3986 Returns:      on success: the value of the expression, with *error still NULL
3987               on failure: an undefined value, with *error = a message
3988 */
3989
3990 static int_eximarith_t eval_op_or(uschar **, BOOL, uschar **);
3991
3992
3993 static int_eximarith_t
3994 eval_expr(uschar **sptr, BOOL decimal, uschar **error, BOOL endket)
3995 {
3996 uschar *s = *sptr;
3997 int_eximarith_t x = eval_op_or(&s, decimal, error);
3998
3999 if (!*error)
4000   if (endket)
4001     if (*s != ')')
4002       *error = US"expecting closing parenthesis";
4003     else
4004       while (isspace(*++s));
4005   else if (*s)
4006     *error = US"expecting operator";
4007 *sptr = s;
4008 return x;
4009 }
4010
4011
4012 static int_eximarith_t
4013 eval_number(uschar **sptr, BOOL decimal, uschar **error)
4014 {
4015 int c;
4016 int_eximarith_t n;
4017 uschar *s = *sptr;
4018
4019 if (isdigit((c = Uskip_whitespace(&s))))
4020   {
4021   int count;
4022   (void)sscanf(CS s, (decimal? SC_EXIM_DEC "%n" : SC_EXIM_ARITH "%n"), &n, &count);
4023   s += count;
4024   switch (tolower(*s))
4025     {
4026     default: break;
4027     case 'k': n *= 1024; s++; break;
4028     case 'm': n *= 1024*1024; s++; break;
4029     case 'g': n *= 1024*1024*1024; s++; break;
4030     }
4031   Uskip_whitespace(&s);
4032   }
4033 else if (c == '(')
4034   {
4035   s++;
4036   n = eval_expr(&s, decimal, error, 1);
4037   }
4038 else
4039   {
4040   *error = US"expecting number or opening parenthesis";
4041   n = 0;
4042   }
4043 *sptr = s;
4044 return n;
4045 }
4046
4047
4048 static int_eximarith_t
4049 eval_op_unary(uschar **sptr, BOOL decimal, uschar **error)
4050 {
4051 uschar *s = *sptr;
4052 int_eximarith_t x;
4053 Uskip_whitespace(&s);
4054 if (*s == '+' || *s == '-' || *s == '~')
4055   {
4056   int op = *s++;
4057   x = eval_op_unary(&s, decimal, error);
4058   if (op == '-') x = -x;
4059     else if (op == '~') x = ~x;
4060   }
4061 else
4062   x = eval_number(&s, decimal, error);
4063
4064 *sptr = s;
4065 return x;
4066 }
4067
4068
4069 static int_eximarith_t
4070 eval_op_mult(uschar **sptr, BOOL decimal, uschar **error)
4071 {
4072 uschar *s = *sptr;
4073 int_eximarith_t x = eval_op_unary(&s, decimal, error);
4074 if (!*error)
4075   {
4076   while (*s == '*' || *s == '/' || *s == '%')
4077     {
4078     int op = *s++;
4079     int_eximarith_t y = eval_op_unary(&s, decimal, error);
4080     if (*error) break;
4081     /* SIGFPE both on div/mod by zero and on INT_MIN / -1, which would give
4082      * a value of INT_MAX+1. Note that INT_MIN * -1 gives INT_MIN for me, which
4083      * is a bug somewhere in [gcc 4.2.1, FreeBSD, amd64].  In fact, -N*-M where
4084      * -N*M is INT_MIN will yield INT_MIN.
4085      * Since we don't support floating point, this is somewhat simpler.
4086      * Ideally, we'd return an error, but since we overflow for all other
4087      * arithmetic, consistency suggests otherwise, but what's the correct value
4088      * to use?  There is none.
4089      * The C standard guarantees overflow for unsigned arithmetic but signed
4090      * overflow invokes undefined behaviour; in practice, this is overflow
4091      * except for converting INT_MIN to INT_MAX+1.  We also can't guarantee
4092      * that long/longlong larger than int are available, or we could just work
4093      * with larger types.  We should consider whether to guarantee 32bit eval
4094      * and 64-bit working variables, with errors returned.  For now ...
4095      * So, the only SIGFPEs occur with a non-shrinking div/mod, thus -1; we
4096      * can just let the other invalid results occur otherwise, as they have
4097      * until now.  For this one case, we can coerce.
4098      */
4099     if (y == -1 && x == EXIM_ARITH_MIN && op != '*')
4100       {
4101       DEBUG(D_expand)
4102         debug_printf("Integer exception dodging: " PR_EXIM_ARITH "%c-1 coerced to " PR_EXIM_ARITH "\n",
4103             EXIM_ARITH_MIN, op, EXIM_ARITH_MAX);
4104       x = EXIM_ARITH_MAX;
4105       continue;
4106       }
4107     if (op == '*')
4108       x *= y;
4109     else
4110       {
4111       if (y == 0)
4112         {
4113         *error = (op == '/') ? US"divide by zero" : US"modulo by zero";
4114         x = 0;
4115         break;
4116         }
4117       if (op == '/')
4118         x /= y;
4119       else
4120         x %= y;
4121       }
4122     }
4123   }
4124 *sptr = s;
4125 return x;
4126 }
4127
4128
4129 static int_eximarith_t
4130 eval_op_sum(uschar **sptr, BOOL decimal, uschar **error)
4131 {
4132 uschar *s = *sptr;
4133 int_eximarith_t x = eval_op_mult(&s, decimal, error);
4134 if (!*error)
4135   {
4136   while (*s == '+' || *s == '-')
4137     {
4138     int op = *s++;
4139     int_eximarith_t y = eval_op_mult(&s, decimal, error);
4140     if (*error) break;
4141     if (  (x >=   EXIM_ARITH_MAX/2  && x >=   EXIM_ARITH_MAX/2)
4142        || (x <= -(EXIM_ARITH_MAX/2) && y <= -(EXIM_ARITH_MAX/2)))
4143       {                 /* over-conservative check */
4144       *error = op == '+'
4145         ? US"overflow in sum" : US"overflow in difference";
4146       break;
4147       }
4148     if (op == '+') x += y; else x -= y;
4149     }
4150   }
4151 *sptr = s;
4152 return x;
4153 }
4154
4155
4156 static int_eximarith_t
4157 eval_op_shift(uschar **sptr, BOOL decimal, uschar **error)
4158 {
4159 uschar *s = *sptr;
4160 int_eximarith_t x = eval_op_sum(&s, decimal, error);
4161 if (!*error)
4162   {
4163   while ((*s == '<' || *s == '>') && s[1] == s[0])
4164     {
4165     int_eximarith_t y;
4166     int op = *s++;
4167     s++;
4168     y = eval_op_sum(&s, decimal, error);
4169     if (*error) break;
4170     if (op == '<') x <<= y; else x >>= y;
4171     }
4172   }
4173 *sptr = s;
4174 return x;
4175 }
4176
4177
4178 static int_eximarith_t
4179 eval_op_and(uschar **sptr, BOOL decimal, uschar **error)
4180 {
4181 uschar *s = *sptr;
4182 int_eximarith_t x = eval_op_shift(&s, decimal, error);
4183 if (!*error)
4184   {
4185   while (*s == '&')
4186     {
4187     int_eximarith_t y;
4188     s++;
4189     y = eval_op_shift(&s, decimal, error);
4190     if (*error) break;
4191     x &= y;
4192     }
4193   }
4194 *sptr = s;
4195 return x;
4196 }
4197
4198
4199 static int_eximarith_t
4200 eval_op_xor(uschar **sptr, BOOL decimal, uschar **error)
4201 {
4202 uschar *s = *sptr;
4203 int_eximarith_t x = eval_op_and(&s, decimal, error);
4204 if (!*error)
4205   {
4206   while (*s == '^')
4207     {
4208     int_eximarith_t y;
4209     s++;
4210     y = eval_op_and(&s, decimal, error);
4211     if (*error) break;
4212     x ^= y;
4213     }
4214   }
4215 *sptr = s;
4216 return x;
4217 }
4218
4219
4220 static int_eximarith_t
4221 eval_op_or(uschar **sptr, BOOL decimal, uschar **error)
4222 {
4223 uschar *s = *sptr;
4224 int_eximarith_t x = eval_op_xor(&s, decimal, error);
4225 if (!*error)
4226   {
4227   while (*s == '|')
4228     {
4229     int_eximarith_t y;
4230     s++;
4231     y = eval_op_xor(&s, decimal, error);
4232     if (*error) break;
4233     x |= y;
4234     }
4235   }
4236 *sptr = s;
4237 return x;
4238 }
4239
4240
4241
4242 /************************************************/
4243 /* Comparison operation for sort expansion.  We need to avoid
4244 re-expanding the fields being compared, so need a custom routine.
4245
4246 Arguments:
4247  cond_type              Comparison operator code
4248  leftarg, rightarg      Arguments for comparison
4249
4250 Return true iff (leftarg compare rightarg)
4251 */
4252
4253 static BOOL
4254 sortsbefore(int cond_type, BOOL alpha_cond,
4255   const uschar * leftarg, const uschar * rightarg)
4256 {
4257 int_eximarith_t l_num, r_num;
4258
4259 if (!alpha_cond)
4260   {
4261   l_num = expanded_string_integer(leftarg, FALSE);
4262   if (expand_string_message) return FALSE;
4263   r_num = expanded_string_integer(rightarg, FALSE);
4264   if (expand_string_message) return FALSE;
4265
4266   switch (cond_type)
4267     {
4268     case ECOND_NUM_G:   return l_num >  r_num;
4269     case ECOND_NUM_GE:  return l_num >= r_num;
4270     case ECOND_NUM_L:   return l_num <  r_num;
4271     case ECOND_NUM_LE:  return l_num <= r_num;
4272     default: break;
4273     }
4274   }
4275 else
4276   switch (cond_type)
4277     {
4278     case ECOND_STR_LT:  return Ustrcmp (leftarg, rightarg) <  0;
4279     case ECOND_STR_LTI: return strcmpic(leftarg, rightarg) <  0;
4280     case ECOND_STR_LE:  return Ustrcmp (leftarg, rightarg) <= 0;
4281     case ECOND_STR_LEI: return strcmpic(leftarg, rightarg) <= 0;
4282     case ECOND_STR_GT:  return Ustrcmp (leftarg, rightarg) >  0;
4283     case ECOND_STR_GTI: return strcmpic(leftarg, rightarg) >  0;
4284     case ECOND_STR_GE:  return Ustrcmp (leftarg, rightarg) >= 0;
4285     case ECOND_STR_GEI: return strcmpic(leftarg, rightarg) >= 0;
4286     default: break;
4287     }
4288 return FALSE;   /* should not happen */
4289 }
4290
4291
4292 /*************************************************
4293 *                 Expand string                  *
4294 *************************************************/
4295
4296 /* Returns either an unchanged string, or the expanded string in stacking pool
4297 store. Interpreted sequences are:
4298
4299    \...                    normal escaping rules
4300    $name                   substitutes the variable
4301    ${name}                 ditto
4302    ${op:string}            operates on the expanded string value
4303    ${item{arg1}{arg2}...}  expands the args and then does the business
4304                              some literal args are not enclosed in {}
4305
4306 There are now far too many operators and item types to make it worth listing
4307 them here in detail any more.
4308
4309 We use an internal routine recursively to handle embedded substrings. The
4310 external function follows. The yield is NULL if the expansion failed, and there
4311 are two cases: if something collapsed syntactically, or if "fail" was given
4312 as the action on a lookup failure. These can be distinguished by looking at the
4313 variable expand_string_forcedfail, which is TRUE in the latter case.
4314
4315 The skipping flag is set true when expanding a substring that isn't actually
4316 going to be used (after "if" or "lookup") and it prevents lookups from
4317 happening lower down.
4318
4319 Store usage: At start, a store block of the length of the input plus 64
4320 is obtained. This is expanded as necessary by string_cat(), which might have to
4321 get a new block, or might be able to expand the original. At the end of the
4322 function we can release any store above that portion of the yield block that
4323 was actually used. In many cases this will be optimal.
4324
4325 However: if the first item in the expansion is a variable name or header name,
4326 we reset the store before processing it; if the result is in fresh store, we
4327 use that without copying. This is helpful for expanding strings like
4328 $message_headers which can get very long.
4329
4330 There's a problem if a ${dlfunc item has side-effects that cause allocation,
4331 since resetting the store at the end of the expansion will free store that was
4332 allocated by the plugin code as well as the slop after the expanded string. So
4333 we skip any resets if ${dlfunc } has been used. The same applies for ${acl }
4334 and, given the acl condition, ${if }. This is an unfortunate consequence of
4335 string expansion becoming too powerful.
4336
4337 Arguments:
4338   string         the string to be expanded
4339   ket_ends       true if expansion is to stop at }
4340   left           if not NULL, a pointer to the first character after the
4341                  expansion is placed here (typically used with ket_ends)
4342   skipping       TRUE for recursive calls when the value isn't actually going
4343                  to be used (to allow for optimisation)
4344   honour_dollar  TRUE if $ is to be expanded,
4345                  FALSE if it's just another character
4346   resetok_p      if not NULL, pointer to flag - write FALSE if unsafe to reset
4347                  the store.
4348
4349 Returns:         NULL if expansion fails:
4350                    expand_string_forcedfail is set TRUE if failure was forced
4351                    expand_string_message contains a textual error message
4352                  a pointer to the expanded string on success
4353 */
4354
4355 static uschar *
4356 expand_string_internal(const uschar *string, BOOL ket_ends, const uschar **left,
4357   BOOL skipping, BOOL honour_dollar, BOOL *resetok_p)
4358 {
4359 rmark reset_point = store_mark();
4360 gstring * yield = string_get(Ustrlen(string) + 64);
4361 int item_type;
4362 const uschar *s = string;
4363 uschar *save_expand_nstring[EXPAND_MAXN+1];
4364 int save_expand_nlength[EXPAND_MAXN+1];
4365 BOOL resetok = TRUE;
4366
4367 expand_level++;
4368 DEBUG(D_expand)
4369   DEBUG(D_noutf8)
4370     debug_printf_indent("/%s: %s\n",
4371       skipping ? "---scanning" : "considering", string);
4372   else
4373     debug_printf_indent(UTF8_DOWN_RIGHT "%s: %s\n",
4374       skipping
4375       ? UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ "scanning"
4376       : "considering",
4377       string);
4378
4379 f.expand_string_forcedfail = FALSE;
4380 expand_string_message = US"";
4381
4382 if (is_tainted(string))
4383   {
4384   expand_string_message =
4385     string_sprintf("attempt to expand tainted string '%s'", s);
4386   log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
4387   goto EXPAND_FAILED;
4388   }
4389
4390 while (*s != 0)
4391   {
4392   uschar *value;
4393   uschar name[256];
4394
4395   /* \ escapes the next character, which must exist, or else
4396   the expansion fails. There's a special escape, \N, which causes
4397   copying of the subject verbatim up to the next \N. Otherwise,
4398   the escapes are the standard set. */
4399
4400   if (*s == '\\')
4401     {
4402     if (s[1] == 0)
4403       {
4404       expand_string_message = US"\\ at end of string";
4405       goto EXPAND_FAILED;
4406       }
4407
4408     if (s[1] == 'N')
4409       {
4410       const uschar * t = s + 2;
4411       for (s = t; *s != 0; s++) if (*s == '\\' && s[1] == 'N') break;
4412       yield = string_catn(yield, t, s - t);
4413       if (*s != 0) s += 2;
4414       }
4415
4416     else
4417       {
4418       uschar ch[1];
4419       ch[0] = string_interpret_escape(&s);
4420       s++;
4421       yield = string_catn(yield, ch, 1);
4422       }
4423
4424     continue;
4425     }
4426
4427   /*{*/
4428   /* Anything other than $ is just copied verbatim, unless we are
4429   looking for a terminating } character. */
4430
4431   /*{*/
4432   if (ket_ends && *s == '}') break;
4433
4434   if (*s != '$' || !honour_dollar)
4435     {
4436     yield = string_catn(yield, s++, 1);
4437     continue;
4438     }
4439
4440   /* No { after the $ - must be a plain name or a number for string
4441   match variable. There has to be a fudge for variables that are the
4442   names of header fields preceded by "$header_" because header field
4443   names can contain any printing characters except space and colon.
4444   For those that don't like typing this much, "$h_" is a synonym for
4445   "$header_". A non-existent header yields a NULL value; nothing is
4446   inserted. */  /*}*/
4447
4448   if (isalpha((*(++s))))
4449     {
4450     int len;
4451     int newsize = 0;
4452     gstring * g = NULL;
4453     uschar * t;
4454
4455     s = read_name(name, sizeof(name), s, US"_");
4456
4457     /* If this is the first thing to be expanded, release the pre-allocated
4458     buffer. */
4459
4460     if (!yield)
4461       g = store_get(sizeof(gstring), FALSE);
4462     else if (yield->ptr == 0)
4463       {
4464       if (resetok) reset_point = store_reset(reset_point);
4465       yield = NULL;
4466       reset_point = store_mark();
4467       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
4468       }
4469
4470     /* Header */
4471
4472     if (  ( *(t = name) == 'h'
4473           || (*t == 'r' || *t == 'l' || *t == 'b') && *++t == 'h'
4474           )
4475        && (*++t == '_' || Ustrncmp(t, "eader_", 6) == 0)
4476        )
4477       {
4478       unsigned flags = *name == 'r' ? FH_WANT_RAW
4479                       : *name == 'l' ? FH_WANT_RAW|FH_WANT_LIST
4480                       : 0;
4481       uschar * charset = *name == 'b' ? NULL : headers_charset;
4482
4483       s = read_header_name(name, sizeof(name), s);
4484       value = find_header(name, &newsize, flags, charset);
4485
4486       /* If we didn't find the header, and the header contains a closing brace
4487       character, this may be a user error where the terminating colon
4488       has been omitted. Set a flag to adjust the error message in this case.
4489       But there is no error here - nothing gets inserted. */
4490
4491       if (!value)
4492         {
4493         if (Ustrchr(name, '}')) malformed_header = TRUE;
4494         continue;
4495         }
4496       }
4497
4498     /* Variable */
4499
4500     else if (!(value = find_variable(name, FALSE, skipping, &newsize)))
4501       {
4502       expand_string_message =
4503         string_sprintf("unknown variable name \"%s\"", name);
4504         check_variable_error_message(name);
4505       goto EXPAND_FAILED;
4506       }
4507
4508     /* If the data is known to be in a new buffer, newsize will be set to the
4509     size of that buffer. If this is the first thing in an expansion string,
4510     yield will be NULL; just point it at the new store instead of copying. Many
4511     expansion strings contain just one reference, so this is a useful
4512     optimization, especially for humungous headers.  We need to use a gstring
4513     structure that is not allocated after that new-buffer, else a later store
4514     reset in the middle of the buffer will make it inaccessible. */
4515
4516     len = Ustrlen(value);
4517     if (!yield && newsize != 0)
4518       {
4519       yield = g;
4520       yield->size = newsize;
4521       yield->ptr = len;
4522       yield->s = value;
4523       }
4524     else
4525       yield = string_catn(yield, value, len);
4526
4527     continue;
4528     }
4529
4530   if (isdigit(*s))
4531     {
4532     int n;
4533     s = read_cnumber(&n, s);
4534     if (n >= 0 && n <= expand_nmax)
4535       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4536     continue;
4537     }
4538
4539   /* Otherwise, if there's no '{' after $ it's an error. */             /*}*/
4540
4541   if (*s != '{')                                                        /*}*/
4542     {
4543     expand_string_message = US"$ not followed by letter, digit, or {";  /*}*/
4544     goto EXPAND_FAILED;
4545     }
4546
4547   /* After { there can be various things, but they all start with
4548   an initial word, except for a number for a string match variable. */
4549
4550   if (isdigit((*(++s))))
4551     {
4552     int n;
4553     s = read_cnumber(&n, s);            /*{*/
4554     if (*s++ != '}')
4555       {                                 /*{*/
4556       expand_string_message = US"} expected after number";
4557       goto EXPAND_FAILED;
4558       }
4559     if (n >= 0 && n <= expand_nmax)
4560       yield = string_catn(yield, expand_nstring[n], expand_nlength[n]);
4561     continue;
4562     }
4563
4564   if (!isalpha(*s))
4565     {
4566     expand_string_message = US"letter or digit expected after ${";      /*}*/
4567     goto EXPAND_FAILED;
4568     }
4569
4570   /* Allow "-" in names to cater for substrings with negative
4571   arguments. Since we are checking for known names after { this is
4572   OK. */
4573
4574   s = read_name(name, sizeof(name), s, US"_-");
4575   item_type = chop_match(name, item_table, nelem(item_table));
4576
4577   switch(item_type)
4578     {
4579     /* Call an ACL from an expansion.  We feed data in via $acl_arg1 - $acl_arg9.
4580     If the ACL returns accept or reject we return content set by "message ="
4581     There is currently no limit on recursion; this would have us call
4582     acl_check_internal() directly and get a current level from somewhere.
4583     See also the acl expansion condition ECOND_ACL and the traditional
4584     acl modifier ACLC_ACL.
4585     Assume that the function has side-effects on the store that must be preserved.
4586     */
4587
4588     case EITEM_ACL:
4589       /* ${acl {name} {arg1}{arg2}...} */
4590       {
4591       uschar *sub[10];  /* name + arg1-arg9 (which must match number of acl_arg[]) */
4592       uschar *user_msg;
4593       int rc;
4594
4595       switch(read_subs(sub, nelem(sub), 1, &s, skipping, TRUE, name,
4596                       &resetok))
4597         {
4598         case 1: goto EXPAND_FAILED_CURLY;
4599         case 2:
4600         case 3: goto EXPAND_FAILED;
4601         }
4602       if (skipping) continue;
4603
4604       resetok = FALSE;
4605       switch(rc = eval_acl(sub, nelem(sub), &user_msg))
4606         {
4607         case OK:
4608         case FAIL:
4609           DEBUG(D_expand)
4610             debug_printf_indent("acl expansion yield: %s\n", user_msg);
4611           if (user_msg)
4612             yield = string_cat(yield, user_msg);
4613           continue;
4614
4615         case DEFER:
4616           f.expand_string_forcedfail = TRUE;
4617           /*FALLTHROUGH*/
4618         default:
4619           expand_string_message = string_sprintf("%s from acl \"%s\"",
4620             rc_names[rc], sub[0]);
4621           goto EXPAND_FAILED;
4622         }
4623       }
4624
4625     case EITEM_AUTHRESULTS:
4626       /* ${authresults {mysystemname}} */
4627       {
4628       uschar *sub_arg[1];
4629
4630       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4631                       &resetok))
4632         {
4633         case 1: goto EXPAND_FAILED_CURLY;
4634         case 2:
4635         case 3: goto EXPAND_FAILED;
4636         }
4637
4638       yield = string_append(yield, 3,
4639                         US"Authentication-Results: ", sub_arg[0], US"; none");
4640       yield->ptr -= 6;
4641
4642       yield = authres_local(yield, sub_arg[0]);
4643       yield = authres_iprev(yield);
4644       yield = authres_smtpauth(yield);
4645 #ifdef SUPPORT_SPF
4646       yield = authres_spf(yield);
4647 #endif
4648 #ifndef DISABLE_DKIM
4649       yield = authres_dkim(yield);
4650 #endif
4651 #ifdef SUPPORT_DMARC
4652       yield = authres_dmarc(yield);
4653 #endif
4654 #ifdef EXPERIMENTAL_ARC
4655       yield = authres_arc(yield);
4656 #endif
4657       continue;
4658       }
4659
4660     /* Handle conditionals - preserve the values of the numerical expansion
4661     variables in case they get changed by a regular expression match in the
4662     condition. If not, they retain their external settings. At the end
4663     of this "if" section, they get restored to their previous values. */
4664
4665     case EITEM_IF:
4666       {
4667       BOOL cond = FALSE;
4668       const uschar *next_s;
4669       int save_expand_nmax =
4670         save_expand_strings(save_expand_nstring, save_expand_nlength);
4671
4672       Uskip_whitespace(&s);
4673       if (!(next_s = eval_condition(s, &resetok, skipping ? NULL : &cond)))
4674         goto EXPAND_FAILED;  /* message already set */
4675
4676       DEBUG(D_expand)
4677         DEBUG(D_noutf8)
4678           {
4679           debug_printf_indent("|--condition: %.*s\n", (int)(next_s - s), s);
4680           debug_printf_indent("|-----result: %s\n", cond ? "true" : "false");
4681           }
4682         else
4683           {
4684           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4685             "condition: %.*s\n",
4686             (int)(next_s - s), s);
4687           debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
4688             UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
4689             "result: %s\n",
4690             cond ? "true" : "false");
4691           }
4692
4693       s = next_s;
4694
4695       /* The handling of "yes" and "no" result strings is now in a separate
4696       function that is also used by ${lookup} and ${extract} and ${run}. */
4697
4698       switch(process_yesno(
4699                skipping,                     /* were previously skipping */
4700                cond,                         /* success/failure indicator */
4701                lookup_value,                 /* value to reset for string2 */
4702                &s,                           /* input pointer */
4703                &yield,                       /* output pointer */
4704                US"if",                       /* condition type */
4705                &resetok))
4706         {
4707         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4708         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4709         }
4710
4711       /* Restore external setting of expansion variables for continuation
4712       at this level. */
4713
4714       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4715         save_expand_nlength);
4716       continue;
4717       }
4718
4719 #ifdef SUPPORT_I18N
4720     case EITEM_IMAPFOLDER:
4721       {                         /* ${imapfolder {name}{sep]{specials}} */
4722       uschar *sub_arg[3];
4723       uschar *encoded;
4724
4725       switch(read_subs(sub_arg, nelem(sub_arg), 1, &s, skipping, TRUE, name,
4726                       &resetok))
4727         {
4728         case 1: goto EXPAND_FAILED_CURLY;
4729         case 2:
4730         case 3: goto EXPAND_FAILED;
4731         }
4732
4733       if (!sub_arg[1])                  /* One argument */
4734         {
4735         sub_arg[1] = US"/";             /* default separator */
4736         sub_arg[2] = NULL;
4737         }
4738       else if (Ustrlen(sub_arg[1]) != 1)
4739         {
4740         expand_string_message =
4741           string_sprintf(
4742                 "IMAP folder separator must be one character, found \"%s\"",
4743                 sub_arg[1]);
4744         goto EXPAND_FAILED;
4745         }
4746
4747       if (!skipping)
4748         {
4749         if (!(encoded = imap_utf7_encode(sub_arg[0], headers_charset,
4750                             sub_arg[1][0], sub_arg[2], &expand_string_message)))
4751           goto EXPAND_FAILED;
4752         yield = string_cat(yield, encoded);
4753         }
4754       continue;
4755       }
4756 #endif
4757
4758     /* Handle database lookups unless locked out. If "skipping" is TRUE, we are
4759     expanding an internal string that isn't actually going to be used. All we
4760     need to do is check the syntax, so don't do a lookup at all. Preserve the
4761     values of the numerical expansion variables in case they get changed by a
4762     partial lookup. If not, they retain their external settings. At the end
4763     of this "lookup" section, they get restored to their previous values. */
4764
4765     case EITEM_LOOKUP:
4766       {
4767       int stype, partial, affixlen, starflags;
4768       int expand_setup = 0;
4769       int nameptr = 0;
4770       uschar *key, *filename;
4771       const uschar * affix, * opts;
4772       uschar *save_lookup_value = lookup_value;
4773       int save_expand_nmax =
4774         save_expand_strings(save_expand_nstring, save_expand_nlength);
4775
4776       if ((expand_forbid & RDO_LOOKUP) != 0)
4777         {
4778         expand_string_message = US"lookup expansions are not permitted";
4779         goto EXPAND_FAILED;
4780         }
4781
4782       /* Get the key we are to look up for single-key+file style lookups.
4783       Otherwise set the key NULL pro-tem. */
4784
4785       if (Uskip_whitespace(&s) == '{')                                  /*}*/
4786         {
4787         key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
4788         if (!key) goto EXPAND_FAILED;                   /*{{*/
4789         if (*s++ != '}')
4790           {
4791           expand_string_message = US"missing '}' after lookup key";
4792           goto EXPAND_FAILED_CURLY;
4793           }
4794         Uskip_whitespace(&s);
4795         }
4796       else key = NULL;
4797
4798       /* Find out the type of database */
4799
4800       if (!isalpha(*s))
4801         {
4802         expand_string_message = US"missing lookup type";
4803         goto EXPAND_FAILED;
4804         }
4805
4806       /* The type is a string that may contain special characters of various
4807       kinds. Allow everything except space or { to appear; the actual content
4808       is checked by search_findtype_partial. */         /*}*/
4809
4810       while (*s && *s != '{' && !isspace(*s))           /*}*/
4811         {
4812         if (nameptr < sizeof(name) - 1) name[nameptr++] = *s;
4813         s++;
4814         }
4815       name[nameptr] = '\0';
4816       Uskip_whitespace(&s);
4817
4818       /* Now check for the individual search type and any partial or default
4819       options. Only those types that are actually in the binary are valid. */
4820
4821       if ((stype = search_findtype_partial(name, &partial, &affix, &affixlen,
4822           &starflags, &opts)) < 0)
4823         {
4824         expand_string_message = search_error_message;
4825         goto EXPAND_FAILED;
4826         }
4827
4828       /* Check that a key was provided for those lookup types that need it,
4829       and was not supplied for those that use the query style. */
4830
4831       if (!mac_islookup(stype, lookup_querystyle|lookup_absfilequery))
4832         {
4833         if (!key)
4834           {
4835           expand_string_message = string_sprintf("missing {key} for single-"
4836             "key \"%s\" lookup", name);
4837           goto EXPAND_FAILED;
4838           }
4839         }
4840       else
4841         {
4842         if (key)
4843           {
4844           expand_string_message = string_sprintf("a single key was given for "
4845             "lookup type \"%s\", which is not a single-key lookup type", name);
4846           goto EXPAND_FAILED;
4847           }
4848         }
4849
4850       /* Get the next string in brackets and expand it. It is the file name for
4851       single-key+file lookups, and the whole query otherwise. In the case of
4852       queries that also require a file name (e.g. sqlite), the file name comes
4853       first. */
4854
4855       if (*s != '{')
4856         {
4857         expand_string_message = US"missing '{' for lookup file-or-query arg";
4858         goto EXPAND_FAILED_CURLY;
4859         }
4860       if (!(filename = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
4861         goto EXPAND_FAILED;
4862       if (*s++ != '}')
4863         {
4864         expand_string_message = US"missing '}' closing lookup file-or-query arg";
4865         goto EXPAND_FAILED_CURLY;
4866         }
4867       Uskip_whitespace(&s);
4868
4869       /* If this isn't a single-key+file lookup, re-arrange the variables
4870       to be appropriate for the search_ functions. For query-style lookups,
4871       there is just a "key", and no file name. For the special query-style +
4872       file types, the query (i.e. "key") starts with a file name. */
4873
4874       if (!key)
4875         {
4876         Uskip_whitespace(&filename);
4877         key = filename;
4878
4879         if (mac_islookup(stype, lookup_querystyle))
4880           filename = NULL;
4881         else
4882           if (*filename == '/')
4883             {
4884             while (*key && !isspace(*key)) key++;
4885             if (*key) *key++ = '\0';
4886             }
4887           else
4888             filename = NULL;
4889         }
4890
4891       /* If skipping, don't do the next bit - just lookup_value == NULL, as if
4892       the entry was not found. Note that there is no search_close() function.
4893       Files are left open in case of re-use. At suitable places in higher logic,
4894       search_tidyup() is called to tidy all open files. This can save opening
4895       the same file several times. However, files may also get closed when
4896       others are opened, if too many are open at once. The rule is that a
4897       handle should not be used after a second search_open().
4898
4899       Request that a partial search sets up $1 and maybe $2 by passing
4900       expand_setup containing zero. If its value changes, reset expand_nmax,
4901       since new variables will have been set. Note that at the end of this
4902       "lookup" section, the old numeric variables are restored. */
4903
4904       if (skipping)
4905         lookup_value = NULL;
4906       else
4907         {
4908         void *handle = search_open(filename, stype, 0, NULL, NULL);
4909         if (!handle)
4910           {
4911           expand_string_message = search_error_message;
4912           goto EXPAND_FAILED;
4913           }
4914         lookup_value = search_find(handle, filename, key, partial, affix,
4915           affixlen, starflags, &expand_setup, opts);
4916         if (f.search_find_defer)
4917           {
4918           expand_string_message =
4919             string_sprintf("lookup of \"%s\" gave DEFER: %s",
4920               string_printing2(key, FALSE), search_error_message);
4921           goto EXPAND_FAILED;
4922           }
4923         if (expand_setup > 0) expand_nmax = expand_setup;
4924         }
4925
4926       /* The handling of "yes" and "no" result strings is now in a separate
4927       function that is also used by ${if} and ${extract}. */
4928
4929       switch(process_yesno(
4930                skipping,                     /* were previously skipping */
4931                lookup_value != NULL,         /* success/failure indicator */
4932                save_lookup_value,            /* value to reset for string2 */
4933                &s,                           /* input pointer */
4934                &yield,                       /* output pointer */
4935                US"lookup",                   /* condition type */
4936                &resetok))
4937         {
4938         case 1: goto EXPAND_FAILED;          /* when all is well, the */
4939         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
4940         }
4941
4942       /* Restore external setting of expansion variables for carrying on
4943       at this level, and continue. */
4944
4945       restore_expand_strings(save_expand_nmax, save_expand_nstring,
4946         save_expand_nlength);
4947       continue;
4948       }
4949
4950     /* If Perl support is configured, handle calling embedded perl subroutines,
4951     unless locked out at this time. Syntax is ${perl{sub}} or ${perl{sub}{arg}}
4952     or ${perl{sub}{arg1}{arg2}} or up to a maximum of EXIM_PERL_MAX_ARGS
4953     arguments (defined below). */
4954
4955     #define EXIM_PERL_MAX_ARGS 8
4956
4957     case EITEM_PERL:
4958     #ifndef EXIM_PERL
4959     expand_string_message = US"\"${perl\" encountered, but this facility "      /*}*/
4960       "is not included in this binary";
4961     goto EXPAND_FAILED;
4962
4963     #else   /* EXIM_PERL */
4964       {
4965       uschar *sub_arg[EXIM_PERL_MAX_ARGS + 2];
4966       gstring *new_yield;
4967
4968       if ((expand_forbid & RDO_PERL) != 0)
4969         {
4970         expand_string_message = US"Perl calls are not permitted";
4971         goto EXPAND_FAILED;
4972         }
4973
4974       switch(read_subs(sub_arg, EXIM_PERL_MAX_ARGS + 1, 1, &s, skipping, TRUE,
4975            name, &resetok))
4976         {
4977         case 1: goto EXPAND_FAILED_CURLY;
4978         case 2:
4979         case 3: goto EXPAND_FAILED;
4980         }
4981
4982       /* If skipping, we don't actually do anything */
4983
4984       if (skipping) continue;
4985
4986       /* Start the interpreter if necessary */
4987
4988       if (!opt_perl_started)
4989         {
4990         uschar *initerror;
4991         if (!opt_perl_startup)
4992           {
4993           expand_string_message = US"A setting of perl_startup is needed when "
4994             "using the Perl interpreter";
4995           goto EXPAND_FAILED;
4996           }
4997         DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4998         if ((initerror = init_perl(opt_perl_startup)))
4999           {
5000           expand_string_message =
5001             string_sprintf("error in perl_startup code: %s\n", initerror);
5002           goto EXPAND_FAILED;
5003           }
5004         opt_perl_started = TRUE;
5005         }
5006
5007       /* Call the function */
5008
5009       sub_arg[EXIM_PERL_MAX_ARGS + 1] = NULL;
5010       new_yield = call_perl_cat(yield, &expand_string_message,
5011         sub_arg[0], sub_arg + 1);
5012
5013       /* NULL yield indicates failure; if the message pointer has been set to
5014       NULL, the yield was undef, indicating a forced failure. Otherwise the
5015       message will indicate some kind of Perl error. */
5016
5017       if (!new_yield)
5018         {
5019         if (!expand_string_message)
5020           {
5021           expand_string_message =
5022             string_sprintf("Perl subroutine \"%s\" returned undef to force "
5023               "failure", sub_arg[0]);
5024           f.expand_string_forcedfail = TRUE;
5025           }
5026         goto EXPAND_FAILED;
5027         }
5028
5029       /* Yield succeeded. Ensure forcedfail is unset, just in case it got
5030       set during a callback from Perl. */
5031
5032       f.expand_string_forcedfail = FALSE;
5033       yield = new_yield;
5034       continue;
5035       }
5036     #endif /* EXIM_PERL */
5037
5038     /* Transform email address to "prvs" scheme to use
5039        as BATV-signed return path */
5040
5041     case EITEM_PRVS:
5042       {
5043       uschar *sub_arg[3];
5044       uschar *p,*domain;
5045
5046       switch(read_subs(sub_arg, 3, 2, &s, skipping, TRUE, name, &resetok))
5047         {
5048         case 1: goto EXPAND_FAILED_CURLY;
5049         case 2:
5050         case 3: goto EXPAND_FAILED;
5051         }
5052
5053       /* If skipping, we don't actually do anything */
5054       if (skipping) continue;
5055
5056       /* sub_arg[0] is the address */
5057       if (  !(domain = Ustrrchr(sub_arg[0],'@'))
5058          || domain == sub_arg[0] || Ustrlen(domain) == 1)
5059         {
5060         expand_string_message = US"prvs first argument must be a qualified email address";
5061         goto EXPAND_FAILED;
5062         }
5063
5064       /* Calculate the hash. The third argument must be a single-digit
5065       key number, or unset. */
5066
5067       if (  sub_arg[2]
5068          && (!isdigit(sub_arg[2][0]) || sub_arg[2][1] != 0))
5069         {
5070         expand_string_message = US"prvs third argument must be a single digit";
5071         goto EXPAND_FAILED;
5072         }
5073
5074       p = prvs_hmac_sha1(sub_arg[0], sub_arg[1], sub_arg[2], prvs_daystamp(7));
5075       if (!p)
5076         {
5077         expand_string_message = US"prvs hmac-sha1 conversion failed";
5078         goto EXPAND_FAILED;
5079         }
5080
5081       /* Now separate the domain from the local part */
5082       *domain++ = '\0';
5083
5084       yield = string_catn(yield, US"prvs=", 5);
5085       yield = string_catn(yield, sub_arg[2] ? sub_arg[2] : US"0", 1);
5086       yield = string_catn(yield, prvs_daystamp(7), 3);
5087       yield = string_catn(yield, p, 6);
5088       yield = string_catn(yield, US"=", 1);
5089       yield = string_cat (yield, sub_arg[0]);
5090       yield = string_catn(yield, US"@", 1);
5091       yield = string_cat (yield, domain);
5092
5093       continue;
5094       }
5095
5096     /* Check a prvs-encoded address for validity */
5097
5098     case EITEM_PRVSCHECK:
5099       {
5100       uschar *sub_arg[3];
5101       gstring * g;
5102       const pcre *re;
5103       uschar *p;
5104
5105       /* TF: Ugliness: We want to expand parameter 1 first, then set
5106          up expansion variables that are used in the expansion of
5107          parameter 2. So we clone the string for the first
5108          expansion, where we only expand parameter 1.
5109
5110          PH: Actually, that isn't necessary. The read_subs() function is
5111          designed to work this way for the ${if and ${lookup expansions. I've
5112          tidied the code.
5113       */
5114
5115       /* Reset expansion variables */
5116       prvscheck_result = NULL;
5117       prvscheck_address = NULL;
5118       prvscheck_keynum = NULL;
5119
5120       switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, name, &resetok))
5121         {
5122         case 1: goto EXPAND_FAILED_CURLY;
5123         case 2:
5124         case 3: goto EXPAND_FAILED;
5125         }
5126
5127       re = regex_must_compile(US"^prvs\\=([0-9])([0-9]{3})([A-F0-9]{6})\\=(.+)\\@(.+)$",
5128                               TRUE,FALSE);
5129
5130       if (regex_match_and_setup(re,sub_arg[0],0,-1))
5131         {
5132         uschar *local_part = string_copyn(expand_nstring[4],expand_nlength[4]);
5133         uschar *key_num = string_copyn(expand_nstring[1],expand_nlength[1]);
5134         uschar *daystamp = string_copyn(expand_nstring[2],expand_nlength[2]);
5135         uschar *hash = string_copyn(expand_nstring[3],expand_nlength[3]);
5136         uschar *domain = string_copyn(expand_nstring[5],expand_nlength[5]);
5137
5138         DEBUG(D_expand) debug_printf_indent("prvscheck localpart: %s\n", local_part);
5139         DEBUG(D_expand) debug_printf_indent("prvscheck key number: %s\n", key_num);
5140         DEBUG(D_expand) debug_printf_indent("prvscheck daystamp: %s\n", daystamp);
5141         DEBUG(D_expand) debug_printf_indent("prvscheck hash: %s\n", hash);
5142         DEBUG(D_expand) debug_printf_indent("prvscheck domain: %s\n", domain);
5143
5144         /* Set up expansion variables */
5145         g = string_cat (NULL, local_part);
5146         g = string_catn(g, US"@", 1);
5147         g = string_cat (g, domain);
5148         prvscheck_address = string_from_gstring(g);
5149         prvscheck_keynum = string_copy(key_num);
5150
5151         /* Now expand the second argument */
5152         switch(read_subs(sub_arg, 1, 1, &s, skipping, FALSE, name, &resetok))
5153           {
5154           case 1: goto EXPAND_FAILED_CURLY;
5155           case 2:
5156           case 3: goto EXPAND_FAILED;
5157           }
5158
5159         /* Now we have the key and can check the address. */
5160
5161         p = prvs_hmac_sha1(prvscheck_address, sub_arg[0], prvscheck_keynum,
5162           daystamp);
5163
5164         if (!p)
5165           {
5166           expand_string_message = US"hmac-sha1 conversion failed";
5167           goto EXPAND_FAILED;
5168           }
5169
5170         DEBUG(D_expand) debug_printf_indent("prvscheck: received hash is %s\n", hash);
5171         DEBUG(D_expand) debug_printf_indent("prvscheck:      own hash is %s\n", p);
5172
5173         if (Ustrcmp(p,hash) == 0)
5174           {
5175           /* Success, valid BATV address. Now check the expiry date. */
5176           uschar *now = prvs_daystamp(0);
5177           unsigned int inow = 0,iexpire = 1;
5178
5179           (void)sscanf(CS now,"%u",&inow);
5180           (void)sscanf(CS daystamp,"%u",&iexpire);
5181
5182           /* When "iexpire" is < 7, a "flip" has occurred.
5183              Adjust "inow" accordingly. */
5184           if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
5185
5186           if (iexpire >= inow)
5187             {
5188             prvscheck_result = US"1";
5189             DEBUG(D_expand) debug_printf_indent("prvscheck: success, $pvrs_result set to 1\n");
5190             }
5191           else
5192             {
5193             prvscheck_result = NULL;
5194             DEBUG(D_expand) debug_printf_indent("prvscheck: signature expired, $pvrs_result unset\n");
5195             }
5196           }
5197         else
5198           {
5199           prvscheck_result = NULL;
5200           DEBUG(D_expand) debug_printf_indent("prvscheck: hash failure, $pvrs_result unset\n");
5201           }
5202
5203         /* Now expand the final argument. We leave this till now so that
5204         it can include $prvscheck_result. */
5205
5206         switch(read_subs(sub_arg, 1, 0, &s, skipping, TRUE, name, &resetok))
5207           {
5208           case 1: goto EXPAND_FAILED_CURLY;
5209           case 2:
5210           case 3: goto EXPAND_FAILED;
5211           }
5212
5213         yield = string_cat(yield,
5214           !sub_arg[0] || !*sub_arg[0] ? prvscheck_address : sub_arg[0]);
5215
5216         /* Reset the "internal" variables afterwards, because they are in
5217         dynamic store that will be reclaimed if the expansion succeeded. */
5218
5219         prvscheck_address = NULL;
5220         prvscheck_keynum = NULL;
5221         }
5222       else
5223         /* Does not look like a prvs encoded address, return the empty string.
5224            We need to make sure all subs are expanded first, so as to skip over
5225            the entire item. */
5226
5227         switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, name, &resetok))
5228           {
5229           case 1: goto EXPAND_FAILED_CURLY;
5230           case 2:
5231           case 3: goto EXPAND_FAILED;
5232           }
5233
5234       continue;
5235       }
5236
5237     /* Handle "readfile" to insert an entire file */
5238
5239     case EITEM_READFILE:
5240       {
5241       FILE *f;
5242       uschar *sub_arg[2];
5243
5244       if ((expand_forbid & RDO_READFILE) != 0)
5245         {
5246         expand_string_message = US"file insertions are not permitted";
5247         goto EXPAND_FAILED;
5248         }
5249
5250       switch(read_subs(sub_arg, 2, 1, &s, skipping, TRUE, name, &resetok))
5251         {
5252         case 1: goto EXPAND_FAILED_CURLY;
5253         case 2:
5254         case 3: goto EXPAND_FAILED;
5255         }
5256
5257       /* If skipping, we don't actually do anything */
5258
5259       if (skipping) continue;
5260
5261       /* Open the file and read it */
5262
5263       if (!(f = Ufopen(sub_arg[0], "rb")))
5264         {
5265         expand_string_message = string_open_failed(errno, "%s", sub_arg[0]);
5266         goto EXPAND_FAILED;
5267         }
5268
5269       yield = cat_file(f, yield, sub_arg[1]);
5270       (void)fclose(f);
5271       continue;
5272       }
5273
5274     /* Handle "readsocket" to insert data from a socket, either
5275     Inet or Unix domain */
5276
5277     case EITEM_READSOCK:
5278       {
5279       client_conn_ctx cctx;
5280       int timeout = 5;
5281       int save_ptr = gstring_length(yield);
5282       FILE * fp = NULL;
5283       uschar * arg;
5284       uschar * sub_arg[4];
5285       uschar * server_name = NULL;
5286       host_item host;
5287       BOOL do_shutdown = TRUE;
5288       BOOL do_tls = FALSE;      /* Only set under ! DISABLE_TLS */
5289
5290       if (expand_forbid & RDO_READSOCK)
5291         {
5292         expand_string_message = US"socket insertions are not permitted";
5293         goto EXPAND_FAILED;
5294         }
5295
5296       /* Read up to 4 arguments, but don't do the end of item check afterwards,
5297       because there may be a string for expansion on failure. */
5298
5299       switch(read_subs(sub_arg, 4, 2, &s, skipping, FALSE, name, &resetok))
5300         {
5301         case 1: goto EXPAND_FAILED_CURLY;
5302         case 2:                             /* Won't occur: no end check */
5303         case 3: goto EXPAND_FAILED;
5304         }
5305
5306       /* If skipping, we don't actually do anything. Otherwise, arrange to
5307       connect to either an IP or a Unix socket. */
5308
5309       if (!skipping)
5310         {
5311         int stype = search_findtype(US"readsock", 8);
5312         gstring * g = NULL;
5313         void * handle;
5314         int expand_setup = -1;
5315         uschar * s;
5316
5317         /* If the reqstr is empty, flag that and set a dummy */
5318
5319         if (!sub_arg[1][0])
5320           {
5321           g = string_append_listele(g, ',', US"send=no");
5322           sub_arg[1] = US"DUMMY";
5323           }
5324
5325         /* Re-marshall the options */
5326
5327         if (sub_arg[2])
5328           {
5329           const uschar * list = sub_arg[2];
5330           uschar * item;
5331           int sep = 0;
5332
5333           /* First option has no tag and is timeout */
5334           if ((item = string_nextinlist(&list, &sep, NULL, 0)))
5335             g = string_append_listele(g, ',',
5336                   string_sprintf("timeout=%s", item));
5337
5338           /* The rest of the options from the expansion */
5339           while ((item = string_nextinlist(&list, &sep, NULL, 0)))
5340             g = string_append_listele(g, ',', item);
5341
5342           /* possibly plus an EOL string */
5343           if (sub_arg[3] && *sub_arg[3])
5344             g = string_append_listele(g, ',',
5345                   string_sprintf("eol=%s", sub_arg[3]));
5346
5347           }
5348
5349         /* Gat a (possibly cached) handle for the connection */
5350
5351         if (!(handle = search_open(sub_arg[0], stype, 0, NULL, NULL)))
5352           {
5353           if (*expand_string_message) goto EXPAND_FAILED;
5354           expand_string_message = search_error_message;
5355           search_error_message = NULL;
5356           goto SOCK_FAIL;
5357           }
5358
5359         /* Get (possibly cached) results for the lookup */
5360         /* sspec: sub_arg[0]  req: sub_arg[1]  opts: g */
5361
5362         if ((s = search_find(handle, sub_arg[0], sub_arg[1], -1, NULL, 0, 0,
5363                                     &expand_setup, string_from_gstring(g))))
5364           yield = string_cat(yield, s);
5365         else if (f.search_find_defer)
5366           {
5367           expand_string_message = search_error_message;
5368           search_error_message = NULL;
5369           goto SOCK_FAIL;
5370           }
5371         else
5372           {     /* should not happen, at present */
5373           expand_string_message = search_error_message;
5374           search_error_message = NULL;
5375           goto SOCK_FAIL;
5376           }
5377         }
5378
5379       /* The whole thing has worked (or we were skipping). If there is a
5380       failure string following, we need to skip it. */
5381
5382       if (*s == '{')
5383         {
5384         if (!expand_string_internal(s+1, TRUE, &s, TRUE, TRUE, &resetok))
5385           goto EXPAND_FAILED;
5386         if (*s++ != '}')
5387           {
5388           expand_string_message = US"missing '}' closing failstring for readsocket";
5389           goto EXPAND_FAILED_CURLY;
5390           }
5391         Uskip_whitespace(&s);
5392         }
5393
5394     READSOCK_DONE:
5395       if (*s++ != '}')
5396         {
5397         expand_string_message = US"missing '}' closing readsocket";
5398         goto EXPAND_FAILED_CURLY;
5399         }
5400       continue;
5401
5402       /* Come here on failure to create socket, connect socket, write to the
5403       socket, or timeout on reading. If another substring follows, expand and
5404       use it. Otherwise, those conditions give expand errors. */
5405
5406     SOCK_FAIL:
5407       if (*s != '{') goto EXPAND_FAILED;
5408       DEBUG(D_any) debug_printf("%s\n", expand_string_message);
5409       if (!(arg = expand_string_internal(s+1, TRUE, &s, FALSE, TRUE, &resetok)))
5410         goto EXPAND_FAILED;
5411       yield = string_cat(yield, arg);
5412       if (*s++ != '}')
5413         {
5414         expand_string_message = US"missing '}' closing failstring for readsocket";
5415         goto EXPAND_FAILED_CURLY;
5416         }
5417       Uskip_whitespace(&s);
5418       goto READSOCK_DONE;
5419       }
5420
5421     /* Handle "run" to execute a program. */
5422
5423     case EITEM_RUN:
5424       {
5425       FILE *f;
5426       uschar *arg;
5427       const uschar **argv;
5428       pid_t pid;
5429       int fd_in, fd_out;
5430
5431       if ((expand_forbid & RDO_RUN) != 0)
5432         {
5433         expand_string_message = US"running a command is not permitted";
5434         goto EXPAND_FAILED;
5435         }
5436
5437       Uskip_whitespace(&s);
5438       if (*s != '{')
5439         {
5440         expand_string_message = US"missing '{' for command arg of run";
5441         goto EXPAND_FAILED_CURLY;
5442         }
5443       if (!(arg = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
5444         goto EXPAND_FAILED;
5445       Uskip_whitespace(&s);
5446       if (*s++ != '}')
5447         {
5448         expand_string_message = US"missing '}' closing command arg of run";
5449         goto EXPAND_FAILED_CURLY;
5450         }
5451
5452       if (skipping)   /* Just pretend it worked when we're skipping */
5453         {
5454         runrc = 0;
5455         lookup_value = NULL;
5456         }
5457       else
5458         {
5459         if (!transport_set_up_command(&argv,    /* anchor for arg list */
5460             arg,                                /* raw command */
5461             FALSE,                              /* don't expand the arguments */
5462             0,                                  /* not relevant when... */
5463             NULL,                               /* no transporting address */
5464             US"${run} expansion",               /* for error messages */
5465             &expand_string_message))            /* where to put error message */
5466           goto EXPAND_FAILED;
5467
5468         /* Create the child process, making it a group leader. */
5469
5470         if ((pid = child_open(USS argv, NULL, 0077, &fd_in, &fd_out, TRUE,
5471                               US"expand-run")) < 0)
5472           {
5473           expand_string_message =
5474             string_sprintf("couldn't create child process: %s", strerror(errno));
5475           goto EXPAND_FAILED;
5476           }
5477
5478         /* Nothing is written to the standard input. */
5479
5480         (void)close(fd_in);
5481
5482         /* Read the pipe to get the command's output into $value (which is kept
5483         in lookup_value). Read during execution, so that if the output exceeds
5484         the OS pipe buffer limit, we don't block forever. Remember to not release
5485         memory just allocated for $value. */
5486
5487         resetok = FALSE;
5488         f = fdopen(fd_out, "rb");
5489         sigalrm_seen = FALSE;
5490         ALARM(60);
5491         lookup_value = string_from_gstring(cat_file(f, NULL, NULL));
5492         ALARM_CLR(0);
5493         (void)fclose(f);
5494
5495         /* Wait for the process to finish, applying the timeout, and inspect its
5496         return code for serious disasters. Simple non-zero returns are passed on.
5497         */
5498
5499         if (sigalrm_seen || (runrc = child_close(pid, 30)) < 0)
5500           {
5501           if (sigalrm_seen || runrc == -256)
5502             {
5503             expand_string_message = US"command timed out";
5504             killpg(pid, SIGKILL);       /* Kill the whole process group */
5505             }
5506
5507           else if (runrc == -257)
5508             expand_string_message = string_sprintf("wait() failed: %s",
5509               strerror(errno));
5510
5511           else
5512             expand_string_message = string_sprintf("command killed by signal %d",
5513               -runrc);
5514
5515           goto EXPAND_FAILED;
5516           }
5517         }
5518
5519       /* Process the yes/no strings; $value may be useful in both cases */
5520
5521       switch(process_yesno(
5522                skipping,                     /* were previously skipping */
5523                runrc == 0,                   /* success/failure indicator */
5524                lookup_value,                 /* value to reset for string2 */
5525                &s,                           /* input pointer */
5526                &yield,                       /* output pointer */
5527                US"run",                      /* condition type */
5528                &resetok))
5529         {
5530         case 1: goto EXPAND_FAILED;          /* when all is well, the */
5531         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
5532         }
5533
5534       continue;
5535       }
5536
5537     /* Handle character translation for "tr" */
5538
5539     case EITEM_TR:
5540       {
5541       int oldptr = gstring_length(yield);
5542       int o2m;
5543       uschar *sub[3];
5544
5545       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5546         {
5547         case 1: goto EXPAND_FAILED_CURLY;
5548         case 2:
5549         case 3: goto EXPAND_FAILED;
5550         }
5551
5552       yield = string_cat(yield, sub[0]);
5553       o2m = Ustrlen(sub[2]) - 1;
5554
5555       if (o2m >= 0) for (; oldptr < yield->ptr; oldptr++)
5556         {
5557         uschar *m = Ustrrchr(sub[1], yield->s[oldptr]);
5558         if (m)
5559           {
5560           int o = m - sub[1];
5561           yield->s[oldptr] = sub[2][(o < o2m)? o : o2m];
5562           }
5563         }
5564
5565       continue;
5566       }
5567
5568     /* Handle "hash", "length", "nhash", and "substr" when they are given with
5569     expanded arguments. */
5570
5571     case EITEM_HASH:
5572     case EITEM_LENGTH:
5573     case EITEM_NHASH:
5574     case EITEM_SUBSTR:
5575       {
5576       int len;
5577       uschar *ret;
5578       int val[2] = { 0, -1 };
5579       uschar *sub[3];
5580
5581       /* "length" takes only 2 arguments whereas the others take 2 or 3.
5582       Ensure that sub[2] is set in the ${length } case. */
5583
5584       sub[2] = NULL;
5585       switch(read_subs(sub, (item_type == EITEM_LENGTH)? 2:3, 2, &s, skipping,
5586              TRUE, name, &resetok))
5587         {
5588         case 1: goto EXPAND_FAILED_CURLY;
5589         case 2:
5590         case 3: goto EXPAND_FAILED;
5591         }
5592
5593       /* Juggle the arguments if there are only two of them: always move the
5594       string to the last position and make ${length{n}{str}} equivalent to
5595       ${substr{0}{n}{str}}. See the defaults for val[] above. */
5596
5597       if (!sub[2])
5598         {
5599         sub[2] = sub[1];
5600         sub[1] = NULL;
5601         if (item_type == EITEM_LENGTH)
5602           {
5603           sub[1] = sub[0];
5604           sub[0] = NULL;
5605           }
5606         }
5607
5608       for (int i = 0; i < 2; i++) if (sub[i])
5609         {
5610         val[i] = (int)Ustrtol(sub[i], &ret, 10);
5611         if (*ret != 0 || (i != 0 && val[i] < 0))
5612           {
5613           expand_string_message = string_sprintf("\"%s\" is not a%s number "
5614             "(in \"%s\" expansion)", sub[i], (i != 0)? " positive" : "", name);
5615           goto EXPAND_FAILED;
5616           }
5617         }
5618
5619       ret =
5620         item_type == EITEM_HASH
5621         ?  compute_hash(sub[2], val[0], val[1], &len)
5622         : item_type == EITEM_NHASH
5623         ? compute_nhash(sub[2], val[0], val[1], &len)
5624         : extract_substr(sub[2], val[0], val[1], &len);
5625       if (!ret)
5626         goto EXPAND_FAILED;
5627       yield = string_catn(yield, ret, len);
5628       continue;
5629       }
5630
5631     /* Handle HMAC computation: ${hmac{<algorithm>}{<secret>}{<text>}}
5632     This code originally contributed by Steve Haslam. It currently supports
5633     the use of MD5 and SHA-1 hashes.
5634
5635     We need some workspace that is large enough to handle all the supported
5636     hash types. Use macros to set the sizes rather than be too elaborate. */
5637
5638     #define MAX_HASHLEN      20
5639     #define MAX_HASHBLOCKLEN 64
5640
5641     case EITEM_HMAC:
5642       {
5643       uschar *sub[3];
5644       md5 md5_base;
5645       hctx sha1_ctx;
5646       void *use_base;
5647       int type;
5648       int hashlen;      /* Number of octets for the hash algorithm's output */
5649       int hashblocklen; /* Number of octets the hash algorithm processes */
5650       uschar *keyptr, *p;
5651       unsigned int keylen;
5652
5653       uschar keyhash[MAX_HASHLEN];
5654       uschar innerhash[MAX_HASHLEN];
5655       uschar finalhash[MAX_HASHLEN];
5656       uschar finalhash_hex[2*MAX_HASHLEN];
5657       uschar innerkey[MAX_HASHBLOCKLEN];
5658       uschar outerkey[MAX_HASHBLOCKLEN];
5659
5660       switch (read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5661         {
5662         case 1: goto EXPAND_FAILED_CURLY;
5663         case 2:
5664         case 3: goto EXPAND_FAILED;
5665         }
5666
5667       if (!skipping)
5668         {
5669         if (Ustrcmp(sub[0], "md5") == 0)
5670           {
5671           type = HMAC_MD5;
5672           use_base = &md5_base;
5673           hashlen = 16;
5674           hashblocklen = 64;
5675           }
5676         else if (Ustrcmp(sub[0], "sha1") == 0)
5677           {
5678           type = HMAC_SHA1;
5679           use_base = &sha1_ctx;
5680           hashlen = 20;
5681           hashblocklen = 64;
5682           }
5683         else
5684           {
5685           expand_string_message =
5686             string_sprintf("hmac algorithm \"%s\" is not recognised", sub[0]);
5687           goto EXPAND_FAILED;
5688           }
5689
5690         keyptr = sub[1];
5691         keylen = Ustrlen(keyptr);
5692
5693         /* If the key is longer than the hash block length, then hash the key
5694         first */
5695
5696         if (keylen > hashblocklen)
5697           {
5698           chash_start(type, use_base);
5699           chash_end(type, use_base, keyptr, keylen, keyhash);
5700           keyptr = keyhash;
5701           keylen = hashlen;
5702           }
5703
5704         /* Now make the inner and outer key values */
5705
5706         memset(innerkey, 0x36, hashblocklen);
5707         memset(outerkey, 0x5c, hashblocklen);
5708
5709         for (int i = 0; i < keylen; i++)
5710           {
5711           innerkey[i] ^= keyptr[i];
5712           outerkey[i] ^= keyptr[i];
5713           }
5714
5715         /* Now do the hashes */
5716
5717         chash_start(type, use_base);
5718         chash_mid(type, use_base, innerkey);
5719         chash_end(type, use_base, sub[2], Ustrlen(sub[2]), innerhash);
5720
5721         chash_start(type, use_base);
5722         chash_mid(type, use_base, outerkey);
5723         chash_end(type, use_base, innerhash, hashlen, finalhash);
5724
5725         /* Encode the final hash as a hex string */
5726
5727         p = finalhash_hex;
5728         for (int i = 0; i < hashlen; i++)
5729           {
5730           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
5731           *p++ = hex_digits[finalhash[i] & 0x0f];
5732           }
5733
5734         DEBUG(D_any) debug_printf("HMAC[%s](%.*s,%s)=%.*s\n",
5735           sub[0], (int)keylen, keyptr, sub[2], hashlen*2, finalhash_hex);
5736
5737         yield = string_catn(yield, finalhash_hex, hashlen*2);
5738         }
5739       continue;
5740       }
5741
5742     /* Handle global substitution for "sg" - like Perl's s/xxx/yyy/g operator.
5743     We have to save the numerical variables and restore them afterwards. */
5744
5745     case EITEM_SG:
5746       {
5747       const pcre *re;
5748       int moffset, moffsetextra, slen;
5749       int roffset;
5750       int emptyopt;
5751       const uschar *rerror;
5752       uschar *subject;
5753       uschar *sub[3];
5754       int save_expand_nmax =
5755         save_expand_strings(save_expand_nstring, save_expand_nlength);
5756
5757       switch(read_subs(sub, 3, 3, &s, skipping, TRUE, name, &resetok))
5758         {
5759         case 1: goto EXPAND_FAILED_CURLY;
5760         case 2:
5761         case 3: goto EXPAND_FAILED;
5762         }
5763
5764       /* Compile the regular expression */
5765
5766       if (!(re = pcre_compile(CS sub[1], PCRE_COPT, CCSS &rerror,
5767                               &roffset, NULL)))
5768         {
5769         expand_string_message = string_sprintf("regular expression error in "
5770           "\"%s\": %s at offset %d", sub[1], rerror, roffset);
5771         goto EXPAND_FAILED;
5772         }
5773
5774       /* Now run a loop to do the substitutions as often as necessary. It ends
5775       when there are no more matches. Take care over matches of the null string;
5776       do the same thing as Perl does. */
5777
5778       subject = sub[0];
5779       slen = Ustrlen(sub[0]);
5780       moffset = moffsetextra = 0;
5781       emptyopt = 0;
5782
5783       for (;;)
5784         {
5785         int ovector[3*(EXPAND_MAXN+1)];
5786         int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
5787           PCRE_EOPT | emptyopt, ovector, nelem(ovector));
5788         uschar *insert;
5789
5790         /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
5791         is not necessarily the end. We want to repeat the match from one
5792         character further along, but leaving the basic offset the same (for
5793         copying below). We can't be at the end of the string - that was checked
5794         before setting PCRE_NOTEMPTY. If PCRE_NOTEMPTY is not set, we are
5795         finished; copy the remaining string and end the loop. */
5796
5797         if (n < 0)
5798           {
5799           if (emptyopt != 0)
5800             {
5801             moffsetextra = 1;
5802             emptyopt = 0;
5803             continue;
5804             }
5805           yield = string_catn(yield, subject+moffset, slen-moffset);
5806           break;
5807           }
5808
5809         /* Match - set up for expanding the replacement. */
5810
5811         if (n == 0) n = EXPAND_MAXN + 1;
5812         expand_nmax = 0;
5813         for (int nn = 0; nn < n*2; nn += 2)
5814           {
5815           expand_nstring[expand_nmax] = subject + ovector[nn];
5816           expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
5817           }
5818         expand_nmax--;
5819
5820         /* Copy the characters before the match, plus the expanded insertion. */
5821
5822         yield = string_catn(yield, subject + moffset, ovector[0] - moffset);
5823         if (!(insert = expand_string(sub[2])))
5824           goto EXPAND_FAILED;
5825         yield = string_cat(yield, insert);
5826
5827         moffset = ovector[1];
5828         moffsetextra = 0;
5829         emptyopt = 0;
5830
5831         /* If we have matched an empty string, first check to see if we are at
5832         the end of the subject. If so, the loop is over. Otherwise, mimic
5833         what Perl's /g options does. This turns out to be rather cunning. First
5834         we set PCRE_NOTEMPTY and PCRE_ANCHORED and try the match a non-empty
5835         string at the same point. If this fails (picked up above) we advance to
5836         the next character. */
5837
5838         if (ovector[0] == ovector[1])
5839           {
5840           if (ovector[0] == slen) break;
5841           emptyopt = PCRE_NOTEMPTY | PCRE_ANCHORED;
5842           }
5843         }
5844
5845       /* All done - restore numerical variables. */
5846
5847       restore_expand_strings(save_expand_nmax, save_expand_nstring,
5848         save_expand_nlength);
5849       continue;
5850       }
5851
5852     /* Handle keyed and numbered substring extraction. If the first argument
5853     consists entirely of digits, then a numerical extraction is assumed. */
5854
5855     case EITEM_EXTRACT:
5856       {
5857       int field_number = 1;
5858       BOOL field_number_set = FALSE;
5859       uschar *save_lookup_value = lookup_value;
5860       uschar *sub[3];
5861       int save_expand_nmax =
5862         save_expand_strings(save_expand_nstring, save_expand_nlength);
5863
5864       /* On reflection the original behaviour of extract-json for a string
5865       result, leaving it quoted, was a mistake.  But it was already published,
5866       hence the addition of jsons.  In a future major version, make json
5867       work like josons, and withdraw jsons. */
5868
5869       enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
5870
5871       /* Check for a format-variant specifier */
5872
5873       if (Uskip_whitespace(&s) != '{')                                  /*}*/
5874         if (Ustrncmp(s, "json", 4) == 0)
5875           if (*(s += 4) == 's')
5876             {fmt = extract_jsons; s++;}
5877           else
5878             fmt = extract_json;
5879
5880       /* While skipping we cannot rely on the data for expansions being
5881       available (eg. $item) hence cannot decide on numeric vs. keyed.
5882       Read a maximum of 5 arguments (including the yes/no) */
5883
5884       if (skipping)
5885         {
5886         for (int j = 5; j > 0 && *s == '{'; j--)                /*'}'*/
5887           {
5888           if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
5889             goto EXPAND_FAILED;                                 /*'{'*/
5890           if (*s++ != '}')
5891             {
5892             expand_string_message = US"missing '{' for arg of extract";
5893             goto EXPAND_FAILED_CURLY;
5894             }
5895           Uskip_whitespace(&s);
5896           }
5897         if (  Ustrncmp(s, "fail", 4) == 0                       /*'{'*/
5898            && (s[4] == '}' || s[4] == ' ' || s[4] == '\t' || !s[4])
5899            )
5900           {
5901           s += 4;
5902           Uskip_whitespace(&s);
5903           }                                                     /*'{'*/
5904         if (*s != '}')
5905           {
5906           expand_string_message = US"missing '}' closing extract";
5907           goto EXPAND_FAILED_CURLY;
5908           }
5909         }
5910
5911       else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
5912         {
5913         if (Uskip_whitespace(&s) == '{')                                                /*'}'*/
5914           {
5915           if (!(sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok)))
5916             goto EXPAND_FAILED;                                 /*'{'*/
5917           if (*s++ != '}')
5918             {
5919             expand_string_message = string_sprintf(
5920               "missing '}' closing arg %d of extract", i+1);
5921             goto EXPAND_FAILED_CURLY;
5922             }
5923
5924           /* After removal of leading and trailing white space, the first
5925           argument must not be empty; if it consists entirely of digits
5926           (optionally preceded by a minus sign), this is a numerical
5927           extraction, and we expect 3 arguments (normal) or 2 (json). */
5928
5929           if (i == 0)
5930             {
5931             int len;
5932             int x = 0;
5933             uschar *p = sub[0];
5934
5935             Uskip_whitespace(&p);
5936             sub[0] = p;
5937
5938             len = Ustrlen(p);
5939             while (len > 0 && isspace(p[len-1])) len--;
5940             p[len] = 0;
5941
5942             if (*p == 0)
5943               {
5944               expand_string_message = US"first argument of \"extract\" must "
5945                 "not be empty";
5946               goto EXPAND_FAILED;
5947               }
5948
5949             if (*p == '-')
5950               {
5951               field_number = -1;
5952               p++;
5953               }
5954             while (*p != 0 && isdigit(*p)) x = x * 10 + *p++ - '0';
5955             if (*p == 0)
5956               {
5957               field_number *= x;
5958               if (fmt == extract_basic) j = 3;               /* Need 3 args */
5959               field_number_set = TRUE;
5960               }
5961             }
5962           }
5963         else
5964           {
5965           expand_string_message = string_sprintf(
5966             "missing '{' for arg %d of extract", i+1);
5967           goto EXPAND_FAILED_CURLY;
5968           }
5969         }
5970
5971       /* Extract either the numbered or the keyed substring into $value. If
5972       skipping, just pretend the extraction failed. */
5973
5974       if (skipping)
5975         lookup_value = NULL;
5976       else switch (fmt)
5977         {
5978         case extract_basic:
5979           lookup_value = field_number_set
5980             ? expand_gettokened(field_number, sub[1], sub[2])
5981             : expand_getkeyed(sub[0], sub[1]);
5982           break;
5983
5984         case extract_json:
5985         case extract_jsons:
5986           {
5987           uschar * s, * item;
5988           const uschar * list;
5989
5990           /* Array: Bracket-enclosed and comma-separated.
5991           Object: Brace-enclosed, comma-sep list of name:value pairs */
5992
5993           if (!(s = dewrap(sub[1], field_number_set ? US"[]" : US"{}")))
5994             {
5995             expand_string_message =
5996               string_sprintf("%s wrapping %s for extract json",
5997                 expand_string_message,
5998                 field_number_set ? "array" : "object");
5999             goto EXPAND_FAILED_CURLY;
6000             }
6001
6002           list = s;
6003           if (field_number_set)
6004             {
6005             if (field_number <= 0)
6006               {
6007               expand_string_message = US"first argument of \"extract\" must "
6008                 "be greater than zero";
6009               goto EXPAND_FAILED;
6010               }
6011             while (field_number > 0 && (item = json_nextinlist(&list)))
6012               field_number--;
6013             if ((lookup_value = s = item))
6014               {
6015               while (*s) s++;
6016               while (--s >= lookup_value && isspace(*s)) *s = '\0';
6017               }
6018             }
6019           else
6020             {
6021             lookup_value = NULL;
6022             while ((item = json_nextinlist(&list)))
6023               {
6024               /* Item is:  string name-sep value.  string is quoted.
6025               Dequote the string and compare with the search key. */
6026
6027               if (!(item = dewrap(item, US"\"\"")))
6028                 {
6029                 expand_string_message =
6030                   string_sprintf("%s wrapping string key for extract json",
6031                     expand_string_message);
6032                 goto EXPAND_FAILED_CURLY;
6033                 }
6034               if (Ustrcmp(item, sub[0]) == 0)   /*XXX should be a UTF8-compare */
6035                 {
6036                 s = item + Ustrlen(item) + 1;
6037                 if (Uskip_whitespace(&s) != ':')
6038                   {
6039                   expand_string_message =
6040                     US"missing object value-separator for extract json";
6041                   goto EXPAND_FAILED_CURLY;
6042                   }
6043                 s++;
6044                 Uskip_whitespace(&s);
6045                 lookup_value = s;
6046                 break;
6047                 }
6048               }
6049             }
6050           }
6051
6052           if (  fmt == extract_jsons
6053              && lookup_value
6054              && !(lookup_value = dewrap(lookup_value, US"\"\"")))
6055             {
6056             expand_string_message =
6057               string_sprintf("%s wrapping string result for extract jsons",
6058                 expand_string_message);
6059             goto EXPAND_FAILED_CURLY;
6060             }
6061           break;        /* json/s */
6062         }
6063
6064       /* If no string follows, $value gets substituted; otherwise there can
6065       be yes/no strings, as for lookup or if. */
6066
6067       switch(process_yesno(
6068                skipping,                     /* were previously skipping */
6069                lookup_value != NULL,         /* success/failure indicator */
6070                save_lookup_value,            /* value to reset for string2 */
6071                &s,                           /* input pointer */
6072                &yield,                       /* output pointer */
6073                US"extract",                  /* condition type */
6074                &resetok))
6075         {
6076         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6077         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6078         }
6079
6080       /* All done - restore numerical variables. */
6081
6082       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6083         save_expand_nlength);
6084
6085       continue;
6086       }
6087
6088     /* return the Nth item from a list */
6089
6090     case EITEM_LISTEXTRACT:
6091       {
6092       int field_number = 1;
6093       uschar *save_lookup_value = lookup_value;
6094       uschar *sub[2];
6095       int save_expand_nmax =
6096         save_expand_strings(save_expand_nstring, save_expand_nlength);
6097
6098       /* Read the field & list arguments */
6099
6100       for (int i = 0; i < 2; i++)
6101         {
6102         if (Uskip_whitespace(&s) != '{')                                        /*'}'*/
6103           {
6104           expand_string_message = string_sprintf(
6105             "missing '{' for arg %d of listextract", i+1);
6106           goto EXPAND_FAILED_CURLY;
6107           }
6108
6109         sub[i] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6110         if (!sub[i])     goto EXPAND_FAILED;            /*{*/
6111         if (*s++ != '}')
6112           {
6113           expand_string_message = string_sprintf(
6114             "missing '}' closing arg %d of listextract", i+1);
6115           goto EXPAND_FAILED_CURLY;
6116           }
6117
6118         /* After removal of leading and trailing white space, the first
6119         argument must be numeric and nonempty. */
6120
6121         if (i == 0)
6122           {
6123           int len;
6124           int x = 0;
6125           uschar *p = sub[0];
6126
6127           Uskip_whitespace(&p);
6128           sub[0] = p;
6129
6130           len = Ustrlen(p);
6131           while (len > 0 && isspace(p[len-1])) len--;
6132           p[len] = 0;
6133
6134           if (!*p && !skipping)
6135             {
6136             expand_string_message = US"first argument of \"listextract\" must "
6137               "not be empty";
6138             goto EXPAND_FAILED;
6139             }
6140
6141           if (*p == '-')
6142             {
6143             field_number = -1;
6144             p++;
6145             }
6146           while (*p && isdigit(*p)) x = x * 10 + *p++ - '0';
6147           if (*p)
6148             {
6149             expand_string_message = US"first argument of \"listextract\" must "
6150               "be numeric";
6151             goto EXPAND_FAILED;
6152             }
6153           field_number *= x;
6154           }
6155         }
6156
6157       /* Extract the numbered element into $value. If
6158       skipping, just pretend the extraction failed. */
6159
6160       lookup_value = skipping ? NULL : expand_getlistele(field_number, sub[1]);
6161
6162       /* If no string follows, $value gets substituted; otherwise there can
6163       be yes/no strings, as for lookup or if. */
6164
6165       switch(process_yesno(
6166                skipping,                     /* were previously skipping */
6167                lookup_value != NULL,         /* success/failure indicator */
6168                save_lookup_value,            /* value to reset for string2 */
6169                &s,                           /* input pointer */
6170                &yield,                       /* output pointer */
6171                US"listextract",              /* condition type */
6172                &resetok))
6173         {
6174         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6175         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6176         }
6177
6178       /* All done - restore numerical variables. */
6179
6180       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6181         save_expand_nlength);
6182
6183       continue;
6184       }
6185
6186     case EITEM_LISTQUOTE:
6187       {
6188       uschar * sub[2];
6189       switch(read_subs(sub, 2, 2, &s, skipping, TRUE, name, &resetok))
6190         {
6191         case 1: goto EXPAND_FAILED_CURLY;
6192         case 2:
6193         case 3: goto EXPAND_FAILED;
6194         }
6195       for (uschar sep = *sub[0], c; c = *sub[1]; sub[1]++)
6196         {
6197         if (c == sep) yield = string_catn(yield, sub[1], 1);
6198         yield = string_catn(yield, sub[1], 1);
6199         }
6200       continue;
6201       }
6202
6203 #ifndef DISABLE_TLS
6204     case EITEM_CERTEXTRACT:
6205       {
6206       uschar *save_lookup_value = lookup_value;
6207       uschar *sub[2];
6208       int save_expand_nmax =
6209         save_expand_strings(save_expand_nstring, save_expand_nlength);
6210
6211       /* Read the field argument */
6212       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6213         {
6214         expand_string_message = US"missing '{' for field arg of certextract";
6215         goto EXPAND_FAILED_CURLY;
6216         }
6217       sub[0] = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6218       if (!sub[0])     goto EXPAND_FAILED;              /*{*/
6219       if (*s++ != '}')
6220         {
6221         expand_string_message = US"missing '}' closing field arg of certextract";
6222         goto EXPAND_FAILED_CURLY;
6223         }
6224       /* strip spaces fore & aft */
6225       {
6226       int len;
6227       uschar *p = sub[0];
6228
6229       Uskip_whitespace(&p);
6230       sub[0] = p;
6231
6232       len = Ustrlen(p);
6233       while (len > 0 && isspace(p[len-1])) len--;
6234       p[len] = 0;
6235       }
6236
6237       /* inspect the cert argument */
6238       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6239         {
6240         expand_string_message = US"missing '{' for cert variable arg of certextract";
6241         goto EXPAND_FAILED_CURLY;
6242         }
6243       if (*++s != '$')
6244         {
6245         expand_string_message = US"second argument of \"certextract\" must "
6246           "be a certificate variable";
6247         goto EXPAND_FAILED;
6248         }
6249       sub[1] = expand_string_internal(s+1, TRUE, &s, skipping, FALSE, &resetok);
6250       if (!sub[1])     goto EXPAND_FAILED;              /*{*/
6251       if (*s++ != '}')
6252         {
6253         expand_string_message = US"missing '}' closing cert variable arg of certextract";
6254         goto EXPAND_FAILED_CURLY;
6255         }
6256
6257       if (skipping)
6258         lookup_value = NULL;
6259       else
6260         {
6261         lookup_value = expand_getcertele(sub[0], sub[1]);
6262         if (*expand_string_message) goto EXPAND_FAILED;
6263         }
6264       switch(process_yesno(
6265                skipping,                     /* were previously skipping */
6266                lookup_value != NULL,         /* success/failure indicator */
6267                save_lookup_value,            /* value to reset for string2 */
6268                &s,                           /* input pointer */
6269                &yield,                       /* output pointer */
6270                US"certextract",              /* condition type */
6271                &resetok))
6272         {
6273         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6274         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6275         }
6276
6277       restore_expand_strings(save_expand_nmax, save_expand_nstring,
6278         save_expand_nlength);
6279       continue;
6280       }
6281 #endif  /*DISABLE_TLS*/
6282
6283     /* Handle list operations */
6284
6285     case EITEM_FILTER:
6286     case EITEM_MAP:
6287     case EITEM_REDUCE:
6288       {
6289       int sep = 0;
6290       int save_ptr = gstring_length(yield);
6291       uschar outsep[2] = { '\0', '\0' };
6292       const uschar *list, *expr, *temp;
6293       uschar *save_iterate_item = iterate_item;
6294       uschar *save_lookup_value = lookup_value;
6295
6296       Uskip_whitespace(&s);
6297       if (*s++ != '{')
6298         {
6299         expand_string_message =
6300           string_sprintf("missing '{' for first arg of %s", name);
6301         goto EXPAND_FAILED_CURLY;
6302         }
6303
6304       if (!(list = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok)))
6305         goto EXPAND_FAILED;
6306       if (*s++ != '}')
6307         {
6308         expand_string_message =
6309           string_sprintf("missing '}' closing first arg of %s", name);
6310         goto EXPAND_FAILED_CURLY;
6311         }
6312
6313       if (item_type == EITEM_REDUCE)
6314         {
6315         uschar * t;
6316         Uskip_whitespace(&s);
6317         if (*s++ != '{')
6318           {
6319           expand_string_message = US"missing '{' for second arg of reduce";
6320           goto EXPAND_FAILED_CURLY;
6321           }
6322         t = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6323         if (!t) goto EXPAND_FAILED;
6324         lookup_value = t;
6325         if (*s++ != '}')
6326           {
6327           expand_string_message = US"missing '}' closing second arg of reduce";
6328           goto EXPAND_FAILED_CURLY;
6329           }
6330         }
6331
6332       Uskip_whitespace(&s);
6333       if (*s++ != '{')
6334         {
6335         expand_string_message =
6336           string_sprintf("missing '{' for last arg of %s", name);
6337         goto EXPAND_FAILED_CURLY;
6338         }
6339
6340       expr = s;
6341
6342       /* For EITEM_FILTER, call eval_condition once, with result discarded (as
6343       if scanning a "false" part). This allows us to find the end of the
6344       condition, because if the list is empty, we won't actually evaluate the
6345       condition for real. For EITEM_MAP and EITEM_REDUCE, do the same, using
6346       the normal internal expansion function. */
6347
6348       if (item_type == EITEM_FILTER)
6349         {
6350         if ((temp = eval_condition(expr, &resetok, NULL)))
6351           s = temp;
6352         }
6353       else
6354         temp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok);
6355
6356       if (!temp)
6357         {
6358         expand_string_message = string_sprintf("%s inside \"%s\" item",
6359           expand_string_message, name);
6360         goto EXPAND_FAILED;
6361         }
6362
6363       Uskip_whitespace(&s);
6364       if (*s++ != '}')
6365         {                                               /*{*/
6366         expand_string_message = string_sprintf("missing } at end of condition "
6367           "or expression inside \"%s\"; could be an unquoted } in the content",
6368           name);
6369         goto EXPAND_FAILED;
6370         }
6371
6372       Uskip_whitespace(&s);                             /*{*/
6373       if (*s++ != '}')
6374         {                                               /*{*/
6375         expand_string_message = string_sprintf("missing } at end of \"%s\"",
6376           name);
6377         goto EXPAND_FAILED;
6378         }
6379
6380       /* If we are skipping, we can now just move on to the next item. When
6381       processing for real, we perform the iteration. */
6382
6383       if (skipping) continue;
6384       while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)))
6385         {
6386         *outsep = (uschar)sep;      /* Separator as a string */
6387
6388         DEBUG(D_expand) debug_printf_indent("%s: $item = '%s'  $value = '%s'\n",
6389                           name, iterate_item, lookup_value);
6390
6391         if (item_type == EITEM_FILTER)
6392           {
6393           BOOL condresult;
6394           if (!eval_condition(expr, &resetok, &condresult))
6395             {
6396             iterate_item = save_iterate_item;
6397             lookup_value = save_lookup_value;
6398             expand_string_message = string_sprintf("%s inside \"%s\" condition",
6399               expand_string_message, name);
6400             goto EXPAND_FAILED;
6401             }
6402           DEBUG(D_expand) debug_printf_indent("%s: condition is %s\n", name,
6403             condresult? "true":"false");
6404           if (condresult)
6405             temp = iterate_item;    /* TRUE => include this item */
6406           else
6407             continue;               /* FALSE => skip this item */
6408           }
6409
6410         /* EITEM_MAP and EITEM_REDUCE */
6411
6412         else
6413           {
6414           uschar * t = expand_string_internal(expr, TRUE, NULL, skipping, TRUE, &resetok);
6415           temp = t;
6416           if (!temp)
6417             {
6418             iterate_item = save_iterate_item;
6419             expand_string_message = string_sprintf("%s inside \"%s\" item",
6420               expand_string_message, name);
6421             goto EXPAND_FAILED;
6422             }
6423           if (item_type == EITEM_REDUCE)
6424             {
6425             lookup_value = t;         /* Update the value of $value */
6426             continue;                 /* and continue the iteration */
6427             }
6428           }
6429
6430         /* We reach here for FILTER if the condition is true, always for MAP,
6431         and never for REDUCE. The value in "temp" is to be added to the output
6432         list that is being created, ensuring that any occurrences of the
6433         separator character are doubled. Unless we are dealing with the first
6434         item of the output list, add in a space if the new item begins with the
6435         separator character, or is an empty string. */
6436
6437         if (  yield && yield->ptr != save_ptr
6438            && (temp[0] == *outsep || temp[0] == 0))
6439           yield = string_catn(yield, US" ", 1);
6440
6441         /* Add the string in "temp" to the output list that we are building,
6442         This is done in chunks by searching for the separator character. */
6443
6444         for (;;)
6445           {
6446           size_t seglen = Ustrcspn(temp, outsep);
6447
6448           yield = string_catn(yield, temp, seglen + 1);
6449
6450           /* If we got to the end of the string we output one character
6451           too many; backup and end the loop. Otherwise arrange to double the
6452           separator. */
6453
6454           if (temp[seglen] == '\0') { yield->ptr--; break; }
6455           yield = string_catn(yield, outsep, 1);
6456           temp += seglen + 1;
6457           }
6458
6459         /* Output a separator after the string: we will remove the redundant
6460         final one at the end. */
6461
6462         yield = string_catn(yield, outsep, 1);
6463         }   /* End of iteration over the list loop */
6464
6465       /* REDUCE has generated no output above: output the final value of
6466       $value. */
6467
6468       if (item_type == EITEM_REDUCE)
6469         {
6470         yield = string_cat(yield, lookup_value);
6471         lookup_value = save_lookup_value;  /* Restore $value */
6472         }
6473
6474       /* FILTER and MAP generate lists: if they have generated anything, remove
6475       the redundant final separator. Even though an empty item at the end of a
6476       list does not count, this is tidier. */
6477
6478       else if (yield && yield->ptr != save_ptr) yield->ptr--;
6479
6480       /* Restore preserved $item */
6481
6482       iterate_item = save_iterate_item;
6483       continue;
6484       }
6485
6486     case EITEM_SORT:
6487       {
6488       int cond_type;
6489       int sep = 0;
6490       const uschar *srclist, *cmp, *xtract;
6491       uschar * opname, * srcitem;
6492       const uschar *dstlist = NULL, *dstkeylist = NULL;
6493       uschar * tmp;
6494       uschar *save_iterate_item = iterate_item;
6495
6496       Uskip_whitespace(&s);
6497       if (*s++ != '{')
6498         {
6499         expand_string_message = US"missing '{' for list arg of sort";
6500         goto EXPAND_FAILED_CURLY;
6501         }
6502
6503       srclist = expand_string_internal(s, TRUE, &s, skipping, TRUE, &resetok);
6504       if (!srclist) goto EXPAND_FAILED;
6505       if (*s++ != '}')
6506         {
6507         expand_string_message = US"missing '}' closing list arg of sort";
6508         goto EXPAND_FAILED_CURLY;
6509         }
6510
6511       Uskip_whitespace(&s);
6512       if (*s++ != '{')
6513         {
6514         expand_string_message = US"missing '{' for comparator arg of sort";
6515         goto EXPAND_FAILED_CURLY;
6516         }
6517
6518       cmp = expand_string_internal(s, TRUE, &s, skipping, FALSE, &resetok);
6519       if (!cmp) goto EXPAND_FAILED;
6520       if (*s++ != '}')
6521         {
6522         expand_string_message = US"missing '}' closing comparator arg of sort";
6523         goto EXPAND_FAILED_CURLY;
6524         }
6525
6526       if ((cond_type = identify_operator(&cmp, &opname)) == -1)
6527         {
6528         if (!expand_string_message)
6529           expand_string_message = string_sprintf("unknown condition \"%s\"", s);
6530         goto EXPAND_FAILED;
6531         }
6532       switch(cond_type)
6533         {
6534         case ECOND_NUM_L: case ECOND_NUM_LE:
6535         case ECOND_NUM_G: case ECOND_NUM_GE:
6536         case ECOND_STR_GE: case ECOND_STR_GEI: case ECOND_STR_GT: case ECOND_STR_GTI:
6537         case ECOND_STR_LE: case ECOND_STR_LEI: case ECOND_STR_LT: case ECOND_STR_LTI:
6538           break;
6539
6540         default:
6541           expand_string_message = US"comparator not handled for sort";
6542           goto EXPAND_FAILED;
6543         }
6544
6545       Uskip_whitespace(&s);
6546       if (*s++ != '{')
6547         {
6548         expand_string_message = US"missing '{' for extractor arg of sort";
6549         goto EXPAND_FAILED_CURLY;
6550         }
6551
6552       xtract = s;
6553       if (!(tmp = expand_string_internal(s, TRUE, &s, TRUE, TRUE, &resetok)))
6554         goto EXPAND_FAILED;
6555       xtract = string_copyn(xtract, s - xtract);
6556
6557       if (*s++ != '}')
6558         {
6559         expand_string_message = US"missing '}' closing extractor arg of sort";
6560         goto EXPAND_FAILED_CURLY;
6561         }
6562                                                         /*{*/
6563       if (*s++ != '}')
6564         {                                               /*{*/
6565         expand_string_message = US"missing } at end of \"sort\"";
6566         goto EXPAND_FAILED;
6567         }
6568
6569       if (skipping) continue;
6570
6571       while ((srcitem = string_nextinlist(&srclist, &sep, NULL, 0)))
6572         {
6573         uschar * srcfield, * dstitem;
6574         gstring * newlist = NULL;
6575         gstring * newkeylist = NULL;
6576
6577         DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, srcitem);
6578
6579         /* extract field for comparisons */
6580         iterate_item = srcitem;
6581         if (  !(srcfield = expand_string_internal(xtract, FALSE, NULL, FALSE,
6582                                           TRUE, &resetok))
6583            || !*srcfield)
6584           {
6585           expand_string_message = string_sprintf(
6586               "field-extract in sort: \"%s\"", xtract);
6587           goto EXPAND_FAILED;
6588           }
6589
6590         /* Insertion sort */
6591
6592         /* copy output list until new-item < list-item */
6593         while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6594           {
6595           uschar * dstfield;
6596
6597           /* field for comparison */
6598           if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6599             goto sort_mismatch;
6600
6601           /* String-comparator names start with a letter; numeric names do not */
6602
6603           if (sortsbefore(cond_type, isalpha(opname[0]),
6604               srcfield, dstfield))
6605             {
6606             /* New-item sorts before this dst-item.  Append new-item,
6607             then dst-item, then remainder of dst list. */
6608
6609             newlist = string_append_listele(newlist, sep, srcitem);
6610             newkeylist = string_append_listele(newkeylist, sep, srcfield);
6611             srcitem = NULL;
6612
6613             newlist = string_append_listele(newlist, sep, dstitem);
6614             newkeylist = string_append_listele(newkeylist, sep, dstfield);
6615
6616 /*XXX why field-at-a-time copy?  Why not just dup the rest of the list? */
6617             while ((dstitem = string_nextinlist(&dstlist, &sep, NULL, 0)))
6618               {
6619               if (!(dstfield = string_nextinlist(&dstkeylist, &sep, NULL, 0)))
6620                 goto sort_mismatch;
6621               newlist = string_append_listele(newlist, sep, dstitem);
6622               newkeylist = string_append_listele(newkeylist, sep, dstfield);
6623               }
6624
6625             break;
6626             }
6627
6628           newlist = string_append_listele(newlist, sep, dstitem);
6629           newkeylist = string_append_listele(newkeylist, sep, dstfield);
6630           }
6631
6632         /* If we ran out of dstlist without consuming srcitem, append it */
6633         if (srcitem)
6634           {
6635           newlist = string_append_listele(newlist, sep, srcitem);
6636           newkeylist = string_append_listele(newkeylist, sep, srcfield);
6637           }
6638
6639         dstlist = newlist->s;
6640         dstkeylist = newkeylist->s;
6641
6642         DEBUG(D_expand) debug_printf_indent("%s: dstlist = \"%s\"\n", name, dstlist);
6643         DEBUG(D_expand) debug_printf_indent("%s: dstkeylist = \"%s\"\n", name, dstkeylist);
6644         }
6645
6646       if (dstlist)
6647         yield = string_cat(yield, dstlist);
6648
6649       /* Restore preserved $item */
6650       iterate_item = save_iterate_item;
6651       continue;
6652
6653       sort_mismatch:
6654         expand_string_message = US"Internal error in sort (list mismatch)";
6655         goto EXPAND_FAILED;
6656       }
6657
6658
6659     /* If ${dlfunc } support is configured, handle calling dynamically-loaded
6660     functions, unless locked out at this time. Syntax is ${dlfunc{file}{func}}
6661     or ${dlfunc{file}{func}{arg}} or ${dlfunc{file}{func}{arg1}{arg2}} or up to
6662     a maximum of EXPAND_DLFUNC_MAX_ARGS arguments (defined below). */
6663
6664     #define EXPAND_DLFUNC_MAX_ARGS 8
6665
6666     case EITEM_DLFUNC:
6667 #ifndef EXPAND_DLFUNC
6668       expand_string_message = US"\"${dlfunc\" encountered, but this facility "  /*}*/
6669         "is not included in this binary";
6670       goto EXPAND_FAILED;
6671
6672 #else   /* EXPAND_DLFUNC */
6673       {
6674       tree_node *t;
6675       exim_dlfunc_t *func;
6676       uschar *result;
6677       int status, argc;
6678       uschar *argv[EXPAND_DLFUNC_MAX_ARGS + 3];
6679
6680       if ((expand_forbid & RDO_DLFUNC) != 0)
6681         {
6682         expand_string_message =
6683           US"dynamically-loaded functions are not permitted";
6684         goto EXPAND_FAILED;
6685         }
6686
6687       switch(read_subs(argv, EXPAND_DLFUNC_MAX_ARGS + 2, 2, &s, skipping,
6688            TRUE, name, &resetok))
6689         {
6690         case 1: goto EXPAND_FAILED_CURLY;
6691         case 2:
6692         case 3: goto EXPAND_FAILED;
6693         }
6694
6695       /* If skipping, we don't actually do anything */
6696
6697       if (skipping) continue;
6698
6699       /* Look up the dynamically loaded object handle in the tree. If it isn't
6700       found, dlopen() the file and put the handle in the tree for next time. */
6701
6702       if (!(t = tree_search(dlobj_anchor, argv[0])))
6703         {
6704         void *handle = dlopen(CS argv[0], RTLD_LAZY);
6705         if (!handle)
6706           {
6707           expand_string_message = string_sprintf("dlopen \"%s\" failed: %s",
6708             argv[0], dlerror());
6709           log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6710           goto EXPAND_FAILED;
6711           }
6712         t = store_get_perm(sizeof(tree_node) + Ustrlen(argv[0]), is_tainted(argv[0]));
6713         Ustrcpy(t->name, argv[0]);
6714         t->data.ptr = handle;
6715         (void)tree_insertnode(&dlobj_anchor, t);
6716         }
6717
6718       /* Having obtained the dynamically loaded object handle, look up the
6719       function pointer. */
6720
6721       if (!(func = (exim_dlfunc_t *)dlsym(t->data.ptr, CS argv[1])))
6722         {
6723         expand_string_message = string_sprintf("dlsym \"%s\" in \"%s\" failed: "
6724           "%s", argv[1], argv[0], dlerror());
6725         log_write(0, LOG_MAIN|LOG_PANIC, "%s", expand_string_message);
6726         goto EXPAND_FAILED;
6727         }
6728
6729       /* Call the function and work out what to do with the result. If it
6730       returns OK, we have a replacement string; if it returns DEFER then
6731       expansion has failed in a non-forced manner; if it returns FAIL then
6732       failure was forced; if it returns ERROR or any other value there's a
6733       problem, so panic slightly. In any case, assume that the function has
6734       side-effects on the store that must be preserved. */
6735
6736       resetok = FALSE;
6737       result = NULL;
6738       for (argc = 0; argv[argc]; argc++);
6739       status = func(&result, argc - 2, &argv[2]);
6740       if(status == OK)
6741         {
6742         if (!result) result = US"";
6743         yield = string_cat(yield, result);
6744         continue;
6745         }
6746       else
6747         {
6748         expand_string_message = result ? result : US"(no message)";
6749         if (status == FAIL_FORCED)
6750           f.expand_string_forcedfail = TRUE;
6751         else if (status != FAIL)
6752           log_write(0, LOG_MAIN|LOG_PANIC, "dlfunc{%s}{%s} failed (%d): %s",
6753               argv[0], argv[1], status, expand_string_message);
6754         goto EXPAND_FAILED;
6755         }
6756       }
6757 #endif /* EXPAND_DLFUNC */
6758
6759     case EITEM_ENV:     /* ${env {name} {val_if_found} {val_if_unfound}} */
6760       {
6761       uschar * key;
6762       uschar *save_lookup_value = lookup_value;
6763
6764       if (Uskip_whitespace(&s) != '{')                                  /*}*/
6765         goto EXPAND_FAILED;
6766
6767       key = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6768       if (!key) goto EXPAND_FAILED;                     /*{*/
6769       if (*s++ != '}')
6770         {
6771         expand_string_message = US"missing '{' for name arg of env";
6772         goto EXPAND_FAILED_CURLY;
6773         }
6774
6775       lookup_value = US getenv(CS key);
6776
6777       switch(process_yesno(
6778                skipping,                     /* were previously skipping */
6779                lookup_value != NULL,         /* success/failure indicator */
6780                save_lookup_value,            /* value to reset for string2 */
6781                &s,                           /* input pointer */
6782                &yield,                       /* output pointer */
6783                US"env",                      /* condition type */
6784                &resetok))
6785         {
6786         case 1: goto EXPAND_FAILED;          /* when all is well, the */
6787         case 2: goto EXPAND_FAILED_CURLY;    /* returned value is 0 */
6788         }
6789       continue;
6790       }
6791
6792 #ifdef EXPERIMENTAL_SRS_NATIVE
6793     case EITEM_SRS_ENCODE:
6794       /* ${srs_encode {secret} {return_path} {orig_domain}} */
6795       {
6796       uschar * sub[3];
6797       uschar cksum[4];
6798
6799       switch (read_subs(sub, 3, 3, CUSS &s, skipping, TRUE, name, &resetok))
6800         {
6801         case 1: goto EXPAND_FAILED_CURLY;
6802         case 2:
6803         case 3: goto EXPAND_FAILED;
6804         }
6805
6806       yield = string_catn(yield, US"SRS0=", 5);
6807
6808       /* ${l_4:${hmac{md5}{SRS_SECRET}{${lc:$return_path}}}}= */
6809       hmac_md5(sub[0], string_copylc(sub[1]), cksum, sizeof(cksum));
6810       yield = string_catn(yield, cksum, sizeof(cksum));
6811       yield = string_catn(yield, US"=", 1);
6812
6813       /* ${base32:${eval:$tod_epoch/86400&0x3ff}}= */
6814         {
6815         struct timeval now;
6816         unsigned long i;
6817         gstring * g = NULL;
6818
6819         gettimeofday(&now, NULL);
6820         for (unsigned long i = (now.tv_sec / 86400) & 0x3ff; i; i >>= 5)
6821           g = string_catn(g, &base32_chars[i & 0x1f], 1);
6822         if (g) while (g->ptr > 0)
6823           yield = string_catn(yield, &g->s[--g->ptr], 1);
6824         }
6825       yield = string_catn(yield, US"=", 1);
6826
6827       /* ${domain:$return_path}=${local_part:$return_path} */
6828         {
6829         int start, end, domain;
6830         uschar * t = parse_extract_address(sub[1], &expand_string_message,
6831                                           &start, &end, &domain, FALSE);
6832         if (!t)
6833           goto EXPAND_FAILED;
6834
6835         if (domain > 0) yield = string_cat(yield, t + domain);
6836         yield = string_catn(yield, US"=", 1);
6837         yield = domain > 0
6838           ? string_catn(yield, t, domain - 1) : string_cat(yield, t);
6839         }
6840
6841       /* @$original_domain */
6842       yield = string_catn(yield, US"@", 1);
6843       yield = string_cat(yield, sub[2]);
6844       continue;
6845       }
6846 #endif /*EXPERIMENTAL_SRS_NATIVE*/
6847     }   /* EITEM_* switch */
6848
6849   /* Control reaches here if the name is not recognized as one of the more
6850   complicated expansion items. Check for the "operator" syntax (name terminated
6851   by a colon). Some of the operators have arguments, separated by _ from the
6852   name. */
6853
6854   if (*s == ':')
6855     {
6856     int c;
6857     uschar *arg = NULL;
6858     uschar *sub;
6859 #ifndef DISABLE_TLS
6860     var_entry *vp = NULL;
6861 #endif
6862
6863     /* Owing to an historical mis-design, an underscore may be part of the
6864     operator name, or it may introduce arguments.  We therefore first scan the
6865     table of names that contain underscores. If there is no match, we cut off
6866     the arguments and then scan the main table. */
6867
6868     if ((c = chop_match(name, op_table_underscore,
6869                         nelem(op_table_underscore))) < 0)
6870       {
6871       if ((arg = Ustrchr(name, '_')))
6872         *arg = 0;
6873       if ((c = chop_match(name, op_table_main, nelem(op_table_main))) >= 0)
6874         c += nelem(op_table_underscore);
6875       if (arg) *arg++ = '_';            /* Put back for error messages */
6876       }
6877
6878     /* Deal specially with operators that might take a certificate variable
6879     as we do not want to do the usual expansion. For most, expand the string.*/
6880     switch(c)
6881       {
6882 #ifndef DISABLE_TLS
6883       case EOP_MD5:
6884       case EOP_SHA1:
6885       case EOP_SHA256:
6886       case EOP_BASE64:
6887         if (s[1] == '$')
6888           {
6889           const uschar * s1 = s;
6890           sub = expand_string_internal(s+2, TRUE, &s1, skipping,
6891                   FALSE, &resetok);
6892           if (!sub)       goto EXPAND_FAILED;           /*{*/
6893           if (*s1 != '}')
6894             {
6895             expand_string_message =
6896               string_sprintf("missing '}' closing cert arg of %s", name);
6897             goto EXPAND_FAILED_CURLY;
6898             }
6899           if ((vp = find_var_ent(sub)) && vp->type == vtype_cert)
6900             {
6901             s = s1+1;
6902             break;
6903             }
6904           vp = NULL;
6905           }
6906         /*FALLTHROUGH*/
6907 #endif
6908       default:
6909         sub = expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok);
6910         if (!sub) goto EXPAND_FAILED;
6911         s++;
6912         break;
6913       }
6914
6915     /* If we are skipping, we don't need to perform the operation at all.
6916     This matters for operations like "mask", because the data may not be
6917     in the correct format when skipping. For example, the expression may test
6918     for the existence of $sender_host_address before trying to mask it. For
6919     other operations, doing them may not fail, but it is a waste of time. */
6920
6921     if (skipping && c >= 0) continue;
6922
6923     /* Otherwise, switch on the operator type */
6924
6925     switch(c)
6926       {
6927       case EOP_BASE32:
6928         {
6929         uschar *t;
6930         unsigned long int n = Ustrtoul(sub, &t, 10);
6931         gstring * g = NULL;
6932
6933         if (*t != 0)
6934           {
6935           expand_string_message = string_sprintf("argument for base32 "
6936             "operator is \"%s\", which is not a decimal number", sub);
6937           goto EXPAND_FAILED;
6938           }
6939         for ( ; n; n >>= 5)
6940           g = string_catn(g, &base32_chars[n & 0x1f], 1);
6941
6942         if (g) while (g->ptr > 0) yield = string_catn(yield, &g->s[--g->ptr], 1);
6943         continue;
6944         }
6945
6946       case EOP_BASE32D:
6947         {
6948         uschar *tt = sub;
6949         unsigned long int n = 0;
6950         while (*tt)
6951           {
6952           uschar * t = Ustrchr(base32_chars, *tt++);
6953           if (!t)
6954             {
6955             expand_string_message = string_sprintf("argument for base32d "
6956               "operator is \"%s\", which is not a base 32 number", sub);
6957             goto EXPAND_FAILED;
6958             }
6959           n = n * 32 + (t - base32_chars);
6960           }
6961         yield = string_fmt_append(yield, "%ld", n);
6962         continue;
6963         }
6964
6965       case EOP_BASE62:
6966         {
6967         uschar *t;
6968         unsigned long int n = Ustrtoul(sub, &t, 10);
6969         if (*t != 0)
6970           {
6971           expand_string_message = string_sprintf("argument for base62 "
6972             "operator is \"%s\", which is not a decimal number", sub);
6973           goto EXPAND_FAILED;
6974           }
6975         yield = string_cat(yield, string_base62(n));
6976         continue;
6977         }
6978
6979       /* Note that for Darwin and Cygwin, BASE_62 actually has the value 36 */
6980
6981       case EOP_BASE62D:
6982         {
6983         uschar *tt = sub;
6984         unsigned long int n = 0;
6985         while (*tt != 0)
6986           {
6987           uschar *t = Ustrchr(base62_chars, *tt++);
6988           if (!t)
6989             {
6990             expand_string_message = string_sprintf("argument for base62d "
6991               "operator is \"%s\", which is not a base %d number", sub,
6992               BASE_62);
6993             goto EXPAND_FAILED;
6994             }
6995           n = n * BASE_62 + (t - base62_chars);
6996           }
6997         yield = string_fmt_append(yield, "%ld", n);
6998         continue;
6999         }
7000
7001       case EOP_BLESS:
7002         /* This is purely for the convenience of the test harness.  Do not enable
7003         it otherwise as it defeats the taint-checking security. */
7004
7005         if (f.running_in_test_harness)
7006           yield = string_cat(yield, is_tainted(sub)
7007                                     ? string_copy_taint(sub, FALSE) : sub);
7008         else
7009           {
7010           DEBUG(D_expand) debug_printf_indent("bless operator not supported\n");
7011           yield = string_cat(yield, sub);
7012           }
7013         continue;
7014
7015       case EOP_EXPAND:
7016         {
7017         uschar *expanded = expand_string_internal(sub, FALSE, NULL, skipping, TRUE, &resetok);
7018         if (!expanded)
7019           {
7020           expand_string_message =
7021             string_sprintf("internal expansion of \"%s\" failed: %s", sub,
7022               expand_string_message);
7023           goto EXPAND_FAILED;
7024           }
7025         yield = string_cat(yield, expanded);
7026         continue;
7027         }
7028
7029       case EOP_LC:
7030         {
7031         int count = 0;
7032         uschar *t = sub - 1;
7033         while (*(++t) != 0) { *t = tolower(*t); count++; }
7034         yield = string_catn(yield, sub, count);
7035         continue;
7036         }
7037
7038       case EOP_UC:
7039         {
7040         int count = 0;
7041         uschar *t = sub - 1;
7042         while (*(++t) != 0) { *t = toupper(*t); count++; }
7043         yield = string_catn(yield, sub, count);
7044         continue;
7045         }
7046
7047       case EOP_MD5:
7048 #ifndef DISABLE_TLS
7049         if (vp && *(void **)vp->value)
7050           {
7051           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
7052           yield = string_cat(yield, cp);
7053           }
7054         else
7055 #endif
7056           {
7057           md5 base;
7058           uschar digest[16];
7059           md5_start(&base);
7060           md5_end(&base, sub, Ustrlen(sub), digest);
7061           for (int j = 0; j < 16; j++)
7062             yield = string_fmt_append(yield, "%02x", digest[j]);
7063           }
7064         continue;
7065
7066       case EOP_SHA1:
7067 #ifndef DISABLE_TLS
7068         if (vp && *(void **)vp->value)
7069           {
7070           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
7071           yield = string_cat(yield, cp);
7072           }
7073         else
7074 #endif
7075           {
7076           hctx h;
7077           uschar digest[20];
7078           sha1_start(&h);
7079           sha1_end(&h, sub, Ustrlen(sub), digest);
7080           for (int j = 0; j < 20; j++)
7081             yield = string_fmt_append(yield, "%02X", digest[j]);
7082           }
7083         continue;
7084
7085       case EOP_SHA2:
7086       case EOP_SHA256:
7087 #ifdef EXIM_HAVE_SHA2
7088         if (vp && *(void **)vp->value)
7089           if (c == EOP_SHA256)
7090             yield = string_cat(yield, tls_cert_fprt_sha256(*(void **)vp->value));
7091           else
7092             expand_string_message = US"sha2_N not supported with certificates";
7093         else
7094           {
7095           hctx h;
7096           blob b;
7097           hashmethod m = !arg ? HASH_SHA2_256
7098             : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
7099             : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
7100             : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
7101             : HASH_BADTYPE;
7102
7103           if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7104             {
7105             expand_string_message = US"unrecognised sha2 variant";
7106             goto EXPAND_FAILED;
7107             }
7108
7109           exim_sha_update(&h, sub, Ustrlen(sub));
7110           exim_sha_finish(&h, &b);
7111           while (b.len-- > 0)
7112             yield = string_fmt_append(yield, "%02X", *b.data++);
7113           }
7114 #else
7115           expand_string_message = US"sha256 only supported with TLS";
7116 #endif
7117         continue;
7118
7119       case EOP_SHA3:
7120 #ifdef EXIM_HAVE_SHA3
7121         {
7122         hctx h;
7123         blob b;
7124         hashmethod m = !arg ? HASH_SHA3_256
7125           : Ustrcmp(arg, "224") == 0 ? HASH_SHA3_224
7126           : Ustrcmp(arg, "256") == 0 ? HASH_SHA3_256
7127           : Ustrcmp(arg, "384") == 0 ? HASH_SHA3_384
7128           : Ustrcmp(arg, "512") == 0 ? HASH_SHA3_512
7129           : HASH_BADTYPE;
7130
7131         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
7132           {
7133           expand_string_message = US"unrecognised sha3 variant";
7134           goto EXPAND_FAILED;
7135           }
7136
7137         exim_sha_update(&h, sub, Ustrlen(sub));
7138         exim_sha_finish(&h, &b);
7139         while (b.len-- > 0)
7140           yield = string_fmt_append(yield, "%02X", *b.data++);
7141         }
7142         continue;
7143 #else
7144         expand_string_message = US"sha3 only supported with GnuTLS 3.5.0 + or OpenSSL 1.1.1 +";
7145         goto EXPAND_FAILED;
7146 #endif
7147
7148       /* Convert hex encoding to base64 encoding */
7149
7150       case EOP_HEX2B64:
7151         {
7152         int c = 0;
7153         int b = -1;
7154         uschar *in = sub;
7155         uschar *out = sub;
7156         uschar *enc;
7157
7158         for (enc = sub; *enc; enc++)
7159           {
7160           if (!isxdigit(*enc))
7161             {
7162             expand_string_message = string_sprintf("\"%s\" is not a hex "
7163               "string", sub);
7164             goto EXPAND_FAILED;
7165             }
7166           c++;
7167           }
7168
7169         if ((c & 1) != 0)
7170           {
7171           expand_string_message = string_sprintf("\"%s\" contains an odd "
7172             "number of characters", sub);
7173           goto EXPAND_FAILED;
7174           }
7175
7176         while ((c = *in++) != 0)
7177           {
7178           if (isdigit(c)) c -= '0';
7179           else c = toupper(c) - 'A' + 10;
7180           if (b == -1)
7181             b = c << 4;
7182           else
7183             {
7184             *out++ = b | c;
7185             b = -1;
7186             }
7187           }
7188
7189         enc = b64encode(CUS sub, out - sub);
7190         yield = string_cat(yield, enc);
7191         continue;
7192         }
7193
7194       /* Convert octets outside 0x21..0x7E to \xXX form */
7195
7196       case EOP_HEXQUOTE:
7197         {
7198         uschar *t = sub - 1;
7199         while (*(++t) != 0)
7200           {
7201           if (*t < 0x21 || 0x7E < *t)
7202             yield = string_fmt_append(yield, "\\x%02x", *t);
7203           else
7204             yield = string_catn(yield, t, 1);
7205           }
7206         continue;
7207         }
7208
7209       /* count the number of list elements */
7210
7211       case EOP_LISTCOUNT:
7212         {
7213         int cnt = 0;
7214         int sep = 0;
7215         uschar buffer[256];
7216
7217         while (string_nextinlist(CUSS &sub, &sep, buffer, sizeof(buffer))) cnt++;
7218         yield = string_fmt_append(yield, "%d", cnt);
7219         continue;
7220         }
7221
7222       /* expand a named list given the name */
7223       /* handles nested named lists; requotes as colon-sep list */
7224
7225       case EOP_LISTNAMED:
7226         {
7227         tree_node *t = NULL;
7228         const uschar * list;
7229         int sep = 0;
7230         uschar * item;
7231         uschar * suffix = US"";
7232         BOOL needsep = FALSE;
7233         uschar buffer[256];
7234
7235         if (*sub == '+') sub++;
7236         if (!arg)               /* no-argument version */
7237           {
7238           if (!(t = tree_search(addresslist_anchor, sub)) &&
7239               !(t = tree_search(domainlist_anchor,  sub)) &&
7240               !(t = tree_search(hostlist_anchor,    sub)))
7241             t = tree_search(localpartlist_anchor, sub);
7242           }
7243         else switch(*arg)       /* specific list-type version */
7244           {
7245           case 'a': t = tree_search(addresslist_anchor,   sub); suffix = US"_a"; break;
7246           case 'd': t = tree_search(domainlist_anchor,    sub); suffix = US"_d"; break;
7247           case 'h': t = tree_search(hostlist_anchor,      sub); suffix = US"_h"; break;
7248           case 'l': t = tree_search(localpartlist_anchor, sub); suffix = US"_l"; break;
7249           default:
7250             expand_string_message = US"bad suffix on \"list\" operator";
7251             goto EXPAND_FAILED;
7252           }
7253
7254         if(!t)
7255           {
7256           expand_string_message = string_sprintf("\"%s\" is not a %snamed list",
7257             sub, !arg?""
7258               : *arg=='a'?"address "
7259               : *arg=='d'?"domain "
7260               : *arg=='h'?"host "
7261               : *arg=='l'?"localpart "
7262               : 0);
7263           goto EXPAND_FAILED;
7264           }
7265
7266         list = ((namedlist_block *)(t->data.ptr))->string;
7267
7268         while ((item = string_nextinlist(&list, &sep, buffer, sizeof(buffer))))
7269           {
7270           uschar * buf = US" : ";
7271           if (needsep)
7272             yield = string_catn(yield, buf, 3);
7273           else
7274             needsep = TRUE;
7275
7276           if (*item == '+')     /* list item is itself a named list */
7277             {
7278             uschar * sub = string_sprintf("${listnamed%s:%s}", suffix, item);
7279             item = expand_string_internal(sub, FALSE, NULL, FALSE, TRUE, &resetok);
7280             }
7281           else if (sep != ':')  /* item from non-colon-sep list, re-quote for colon list-separator */
7282             {
7283             char * cp;
7284             char tok[3];
7285             tok[0] = sep; tok[1] = ':'; tok[2] = 0;
7286             while ((cp= strpbrk(CCS item, tok)))
7287               {
7288               yield = string_catn(yield, item, cp - CS item);
7289               if (*cp++ == ':') /* colon in a non-colon-sep list item, needs doubling */
7290                 {
7291                 yield = string_catn(yield, US"::", 2);
7292                 item = US cp;
7293                 }
7294               else              /* sep in item; should already be doubled; emit once */
7295                 {
7296                 yield = string_catn(yield, US tok, 1);
7297                 if (*cp == sep) cp++;
7298                 item = US cp;
7299                 }
7300               }
7301             }
7302           yield = string_cat(yield, item);
7303           }
7304         continue;
7305         }
7306
7307       /* quote a list-item for the given list-separator */
7308
7309       /* mask applies a mask to an IP address; for example the result of
7310       ${mask:131.111.10.206/28} is 131.111.10.192/28. */
7311
7312       case EOP_MASK:
7313         {
7314         int count;
7315         uschar *endptr;
7316         int binary[4];
7317         int mask, maskoffset;
7318         int type = string_is_ip_address(sub, &maskoffset);
7319         uschar buffer[64];
7320
7321         if (type == 0)
7322           {
7323           expand_string_message = string_sprintf("\"%s\" is not an IP address",
7324            sub);
7325           goto EXPAND_FAILED;
7326           }
7327
7328         if (maskoffset == 0)
7329           {
7330           expand_string_message = string_sprintf("missing mask value in \"%s\"",
7331             sub);
7332           goto EXPAND_FAILED;
7333           }
7334
7335         mask = Ustrtol(sub + maskoffset + 1, &endptr, 10);
7336
7337         if (*endptr != 0 || mask < 0 || mask > ((type == 4)? 32 : 128))
7338           {
7339           expand_string_message = string_sprintf("mask value too big in \"%s\"",
7340             sub);
7341           goto EXPAND_FAILED;
7342           }
7343
7344         /* Convert the address to binary integer(s) and apply the mask */
7345
7346         sub[maskoffset] = 0;
7347         count = host_aton(sub, binary);
7348         host_mask(count, binary, mask);
7349
7350         /* Convert to masked textual format and add to output. */
7351
7352         yield = string_catn(yield, buffer,
7353           host_nmtoa(count, binary, mask, buffer, '.'));
7354         continue;
7355         }
7356
7357       case EOP_IPV6NORM:
7358       case EOP_IPV6DENORM:
7359         {
7360         int type = string_is_ip_address(sub, NULL);
7361         int binary[4];
7362         uschar buffer[44];
7363
7364         switch (type)
7365           {
7366           case 6:
7367             (void) host_aton(sub, binary);
7368             break;
7369
7370           case 4:       /* convert to IPv4-mapped IPv6 */
7371             binary[0] = binary[1] = 0;
7372             binary[2] = 0x0000ffff;
7373             (void) host_aton(sub, binary+3);
7374             break;
7375
7376           case 0:
7377             expand_string_message =
7378               string_sprintf("\"%s\" is not an IP address", sub);
7379             goto EXPAND_FAILED;
7380           }
7381
7382         yield = string_catn(yield, buffer, c == EOP_IPV6NORM
7383                     ? ipv6_nmtoa(binary, buffer)
7384                     : host_nmtoa(4, binary, -1, buffer, ':')
7385                   );
7386         continue;
7387         }
7388
7389       case EOP_ADDRESS:
7390       case EOP_LOCAL_PART:
7391       case EOP_DOMAIN:
7392         {
7393         uschar * error;
7394         int start, end, domain;
7395         uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
7396           FALSE);
7397         if (t)
7398           if (c != EOP_DOMAIN)
7399             yield = c == EOP_LOCAL_PART && domain > 0
7400               ? string_catn(yield, t, domain - 1)
7401               : string_cat(yield, t);
7402           else if (domain > 0)
7403             yield = string_cat(yield, t + domain);
7404         continue;
7405         }
7406
7407       case EOP_ADDRESSES:
7408         {
7409         uschar outsep[2] = { ':', '\0' };
7410         uschar *address, *error;
7411         int save_ptr = gstring_length(yield);
7412         int start, end, domain;  /* Not really used */
7413
7414         if (Uskip_whitespace(&sub) == '>')
7415           if (*outsep = *++sub) ++sub;
7416           else
7417             {
7418             expand_string_message = string_sprintf("output separator "
7419               "missing in expanding ${addresses:%s}", --sub);
7420             goto EXPAND_FAILED;
7421             }
7422         f.parse_allow_group = TRUE;
7423
7424         for (;;)
7425           {
7426           uschar * p = parse_find_address_end(sub, FALSE);
7427           uschar saveend = *p;
7428           *p = '\0';
7429           address = parse_extract_address(sub, &error, &start, &end, &domain,
7430             FALSE);
7431           *p = saveend;
7432
7433           /* Add the address to the output list that we are building. This is
7434           done in chunks by searching for the separator character. At the
7435           start, unless we are dealing with the first address of the output
7436           list, add in a space if the new address begins with the separator
7437           character, or is an empty string. */
7438
7439           if (address)
7440             {
7441             if (yield && yield->ptr != save_ptr && address[0] == *outsep)
7442               yield = string_catn(yield, US" ", 1);
7443
7444             for (;;)
7445               {
7446               size_t seglen = Ustrcspn(address, outsep);
7447               yield = string_catn(yield, address, seglen + 1);
7448
7449               /* If we got to the end of the string we output one character
7450               too many. */
7451
7452               if (address[seglen] == '\0') { yield->ptr--; break; }
7453               yield = string_catn(yield, outsep, 1);
7454               address += seglen + 1;
7455               }
7456
7457             /* Output a separator after the string: we will remove the
7458             redundant final one at the end. */
7459
7460             yield = string_catn(yield, outsep, 1);
7461             }
7462
7463           if (saveend == '\0') break;
7464           sub = p + 1;
7465           }
7466
7467         /* If we have generated anything, remove the redundant final
7468         separator. */
7469
7470         if (yield && yield->ptr != save_ptr) yield->ptr--;
7471         f.parse_allow_group = FALSE;
7472         continue;
7473         }
7474
7475
7476       /* quote puts a string in quotes if it is empty or contains anything
7477       other than alphamerics, underscore, dot, or hyphen.
7478
7479       quote_local_part puts a string in quotes if RFC 2821/2822 requires it to
7480       be quoted in order to be a valid local part.
7481
7482       In both cases, newlines and carriage returns are converted into \n and \r
7483       respectively */
7484
7485       case EOP_QUOTE:
7486       case EOP_QUOTE_LOCAL_PART:
7487       if (!arg)
7488         {
7489         BOOL needs_quote = (!*sub);      /* TRUE for empty string */
7490         uschar *t = sub - 1;
7491
7492         if (c == EOP_QUOTE)
7493           {
7494           while (!needs_quote && *(++t) != 0)
7495             needs_quote = !isalnum(*t) && !strchr("_-.", *t);
7496           }
7497         else  /* EOP_QUOTE_LOCAL_PART */
7498           {
7499           while (!needs_quote && *(++t) != 0)
7500             needs_quote = !isalnum(*t) &&
7501               strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
7502               (*t != '.' || t == sub || t[1] == 0);
7503           }
7504
7505         if (needs_quote)
7506           {
7507           yield = string_catn(yield, US"\"", 1);
7508           t = sub - 1;
7509           while (*(++t) != 0)
7510             {
7511             if (*t == '\n')
7512               yield = string_catn(yield, US"\\n", 2);
7513             else if (*t == '\r')
7514               yield = string_catn(yield, US"\\r", 2);
7515             else
7516               {
7517               if (*t == '\\' || *t == '"')
7518                 yield = string_catn(yield, US"\\", 1);
7519               yield = string_catn(yield, t, 1);
7520               }
7521             }
7522           yield = string_catn(yield, US"\"", 1);
7523           }
7524         else yield = string_cat(yield, sub);
7525         continue;
7526         }
7527
7528       /* quote_lookuptype does lookup-specific quoting */
7529
7530       else
7531         {
7532         int n;
7533         uschar *opt = Ustrchr(arg, '_');
7534
7535         if (opt) *opt++ = 0;
7536
7537         if ((n = search_findtype(arg, Ustrlen(arg))) < 0)
7538           {
7539           expand_string_message = search_error_message;
7540           goto EXPAND_FAILED;
7541           }
7542
7543         if (lookup_list[n]->quote)
7544           sub = (lookup_list[n]->quote)(sub, opt);
7545         else if (opt)
7546           sub = NULL;
7547
7548         if (!sub)
7549           {
7550           expand_string_message = string_sprintf(
7551             "\"%s\" unrecognized after \"${quote_%s\"",
7552             opt, arg);
7553           goto EXPAND_FAILED;
7554           }
7555
7556         yield = string_cat(yield, sub);
7557         continue;
7558         }
7559
7560       /* rx quote sticks in \ before any non-alphameric character so that
7561       the insertion works in a regular expression. */
7562
7563       case EOP_RXQUOTE:
7564         {
7565         uschar *t = sub - 1;
7566         while (*(++t) != 0)
7567           {
7568           if (!isalnum(*t))
7569             yield = string_catn(yield, US"\\", 1);
7570           yield = string_catn(yield, t, 1);
7571           }
7572         continue;
7573         }
7574
7575       /* RFC 2047 encodes, assuming headers_charset (default ISO 8859-1) as
7576       prescribed by the RFC, if there are characters that need to be encoded */
7577
7578       case EOP_RFC2047:
7579         {
7580         uschar buffer[2048];
7581         yield = string_cat(yield,
7582                             parse_quote_2047(sub, Ustrlen(sub), headers_charset,
7583                               buffer, sizeof(buffer), FALSE));
7584         continue;
7585         }
7586
7587       /* RFC 2047 decode */
7588
7589       case EOP_RFC2047D:
7590         {
7591         int len;
7592         uschar *error;
7593         uschar *decoded = rfc2047_decode(sub, check_rfc2047_length,
7594           headers_charset, '?', &len, &error);
7595         if (error)
7596           {
7597           expand_string_message = error;
7598           goto EXPAND_FAILED;
7599           }
7600         yield = string_catn(yield, decoded, len);
7601         continue;
7602         }
7603
7604       /* from_utf8 converts UTF-8 to 8859-1, turning non-existent chars into
7605       underscores */
7606
7607       case EOP_FROM_UTF8:
7608         {
7609         uschar * buff = store_get(4, is_tainted(sub));
7610         while (*sub)
7611           {
7612           int c;
7613           GETUTF8INC(c, sub);
7614           if (c > 255) c = '_';
7615           buff[0] = c;
7616           yield = string_catn(yield, buff, 1);
7617           }
7618         continue;
7619         }
7620
7621       /* replace illegal UTF-8 sequences by replacement character  */
7622
7623       #define UTF8_REPLACEMENT_CHAR US"?"
7624
7625       case EOP_UTF8CLEAN:
7626         {
7627         int seq_len = 0, index = 0;
7628         int bytes_left = 0;
7629         long codepoint = -1;
7630         int complete;
7631         uschar seq_buff[4];                     /* accumulate utf-8 here */
7632
7633         /* Manually track tainting, as we deal in individual chars below */
7634
7635         if (is_tainted(sub))
7636           if (yield->s && yield->ptr)
7637             gstring_rebuffer(yield);
7638           else
7639             yield->s = store_get(yield->size = Ustrlen(sub), TRUE);
7640
7641         /* Check the UTF-8, byte-by-byte */
7642
7643         while (*sub)
7644           {
7645           complete = 0;
7646           uschar c = *sub++;
7647
7648           if (bytes_left)
7649             {
7650             if ((c & 0xc0) != 0x80)
7651                     /* wrong continuation byte; invalidate all bytes */
7652               complete = 1; /* error */
7653             else
7654               {
7655               codepoint = (codepoint << 6) | (c & 0x3f);
7656               seq_buff[index++] = c;
7657               if (--bytes_left == 0)            /* codepoint complete */
7658                 if(codepoint > 0x10FFFF)        /* is it too large? */
7659                   complete = -1;        /* error (RFC3629 limit) */
7660                 else
7661                   {             /* finished; output utf-8 sequence */
7662                   yield = string_catn(yield, seq_buff, seq_len);
7663                   index = 0;
7664                   }
7665               }
7666             }
7667           else  /* no bytes left: new sequence */
7668             {
7669             if(!(c & 0x80))     /* 1-byte sequence, US-ASCII, keep it */
7670               {
7671               yield = string_catn(yield, &c, 1);
7672               continue;
7673               }
7674             if((c & 0xe0) == 0xc0)              /* 2-byte sequence */
7675               {
7676               if(c == 0xc0 || c == 0xc1)        /* 0xc0 and 0xc1 are illegal */
7677                 complete = -1;
7678               else
7679                 {
7680                   bytes_left = 1;
7681                   codepoint = c & 0x1f;
7682                 }
7683               }
7684             else if((c & 0xf0) == 0xe0)         /* 3-byte sequence */
7685               {
7686               bytes_left = 2;
7687               codepoint = c & 0x0f;
7688               }
7689             else if((c & 0xf8) == 0xf0)         /* 4-byte sequence */
7690               {
7691               bytes_left = 3;
7692               codepoint = c & 0x07;
7693               }
7694             else        /* invalid or too long (RFC3629 allows only 4 bytes) */
7695               complete = -1;
7696
7697             seq_buff[index++] = c;
7698             seq_len = bytes_left + 1;
7699             }           /* if(bytes_left) */
7700
7701           if (complete != 0)
7702             {
7703             bytes_left = index = 0;
7704             yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7705             }
7706           if ((complete == 1) && ((c & 0x80) == 0))
7707                         /* ASCII character follows incomplete sequence */
7708               yield = string_catn(yield, &c, 1);
7709           }
7710         /* If given a sequence truncated mid-character, we also want to report ?
7711         * Eg, ${length_1:フィル} is one byte, not one character, so we expect
7712         * ${utf8clean:${length_1:フィル}} to yield '?' */
7713         if (bytes_left != 0)
7714           yield = string_catn(yield, UTF8_REPLACEMENT_CHAR, 1);
7715
7716         continue;
7717         }
7718
7719 #ifdef SUPPORT_I18N
7720       case EOP_UTF8_DOMAIN_TO_ALABEL:
7721         {
7722         uschar * error = NULL;
7723         uschar * s = string_domain_utf8_to_alabel(sub, &error);
7724         if (error)
7725           {
7726           expand_string_message = string_sprintf(
7727             "error converting utf8 (%s) to alabel: %s",
7728             string_printing(sub), error);
7729           goto EXPAND_FAILED;
7730           }
7731         yield = string_cat(yield, s);
7732         continue;
7733         }
7734
7735       case EOP_UTF8_DOMAIN_FROM_ALABEL:
7736         {
7737         uschar * error = NULL;
7738         uschar * s = string_domain_alabel_to_utf8(sub, &error);
7739         if (error)
7740           {
7741           expand_string_message = string_sprintf(
7742             "error converting alabel (%s) to utf8: %s",
7743             string_printing(sub), error);
7744           goto EXPAND_FAILED;
7745           }
7746         yield = string_cat(yield, s);
7747         continue;
7748         }
7749
7750       case EOP_UTF8_LOCALPART_TO_ALABEL:
7751         {
7752         uschar * error = NULL;
7753         uschar * s = string_localpart_utf8_to_alabel(sub, &error);
7754         if (error)
7755           {
7756           expand_string_message = string_sprintf(
7757             "error converting utf8 (%s) to alabel: %s",
7758             string_printing(sub), error);
7759           goto EXPAND_FAILED;
7760           }
7761         yield = string_cat(yield, s);
7762         DEBUG(D_expand) debug_printf_indent("yield: '%s'\n", yield->s);
7763         continue;
7764         }
7765
7766       case EOP_UTF8_LOCALPART_FROM_ALABEL:
7767         {
7768         uschar * error = NULL;
7769         uschar * s = string_localpart_alabel_to_utf8(sub, &error);
7770         if (error)
7771           {
7772           expand_string_message = string_sprintf(
7773             "error converting alabel (%s) to utf8: %s",
7774             string_printing(sub), error);
7775           goto EXPAND_FAILED;
7776           }
7777         yield = string_cat(yield, s);
7778         continue;
7779         }
7780 #endif  /* EXPERIMENTAL_INTERNATIONAL */
7781
7782       /* escape turns all non-printing characters into escape sequences. */
7783
7784       case EOP_ESCAPE:
7785         {
7786         const uschar * t = string_printing(sub);
7787         yield = string_cat(yield, t);
7788         continue;
7789         }
7790
7791       case EOP_ESCAPE8BIT:
7792         {
7793         uschar c;
7794
7795         for (const uschar * s = sub; (c = *s); s++)
7796           yield = c < 127 && c != '\\'
7797             ? string_catn(yield, s, 1)
7798             : string_fmt_append(yield, "\\%03o", c);
7799         continue;
7800         }
7801
7802       /* Handle numeric expression evaluation */
7803
7804       case EOP_EVAL:
7805       case EOP_EVAL10:
7806         {
7807         uschar *save_sub = sub;
7808         uschar *error = NULL;
7809         int_eximarith_t n = eval_expr(&sub, (c == EOP_EVAL10), &error, FALSE);
7810         if (error)
7811           {
7812           expand_string_message = string_sprintf("error in expression "
7813             "evaluation: %s (after processing \"%.*s\")", error,
7814             (int)(sub-save_sub), save_sub);
7815           goto EXPAND_FAILED;
7816           }
7817         yield = string_fmt_append(yield, PR_EXIM_ARITH, n);
7818         continue;
7819         }
7820
7821       /* Handle time period formatting */
7822
7823       case EOP_TIME_EVAL:
7824         {
7825         int n = readconf_readtime(sub, 0, FALSE);
7826         if (n < 0)
7827           {
7828           expand_string_message = string_sprintf("string \"%s\" is not an "
7829             "Exim time interval in \"%s\" operator", sub, name);
7830           goto EXPAND_FAILED;
7831           }
7832         yield = string_fmt_append(yield, "%d", n);
7833         continue;
7834         }
7835
7836       case EOP_TIME_INTERVAL:
7837         {
7838         int n;
7839         uschar *t = read_number(&n, sub);
7840         if (*t != 0) /* Not A Number*/
7841           {
7842           expand_string_message = string_sprintf("string \"%s\" is not a "
7843             "positive number in \"%s\" operator", sub, name);
7844           goto EXPAND_FAILED;
7845           }
7846         t = readconf_printtime(n);
7847         yield = string_cat(yield, t);
7848         continue;
7849         }
7850
7851       /* Convert string to base64 encoding */
7852
7853       case EOP_STR2B64:
7854       case EOP_BASE64:
7855         {
7856 #ifndef DISABLE_TLS
7857         uschar * s = vp && *(void **)vp->value
7858           ? tls_cert_der_b64(*(void **)vp->value)
7859           : b64encode(CUS sub, Ustrlen(sub));
7860 #else
7861         uschar * s = b64encode(CUS sub, Ustrlen(sub));
7862 #endif
7863         yield = string_cat(yield, s);
7864         continue;
7865         }
7866
7867       case EOP_BASE64D:
7868         {
7869         uschar * s;
7870         int len = b64decode(sub, &s);
7871         if (len < 0)
7872           {
7873           expand_string_message = string_sprintf("string \"%s\" is not "
7874             "well-formed for \"%s\" operator", sub, name);
7875           goto EXPAND_FAILED;
7876           }
7877         yield = string_cat(yield, s);
7878         continue;
7879         }
7880
7881       /* strlen returns the length of the string */
7882
7883       case EOP_STRLEN:
7884         yield = string_fmt_append(yield, "%d", Ustrlen(sub));
7885         continue;
7886
7887       /* length_n or l_n takes just the first n characters or the whole string,
7888       whichever is the shorter;
7889
7890       substr_m_n, and s_m_n take n characters from offset m; negative m take
7891       from the end; l_n is synonymous with s_0_n. If n is omitted in substr it
7892       takes the rest, either to the right or to the left.
7893
7894       hash_n or h_n makes a hash of length n from the string, yielding n
7895       characters from the set a-z; hash_n_m makes a hash of length n, but
7896       uses m characters from the set a-zA-Z0-9.
7897
7898       nhash_n returns a single number between 0 and n-1 (in text form), while
7899       nhash_n_m returns a div/mod hash as two numbers "a/b". The first lies
7900       between 0 and n-1 and the second between 0 and m-1. */
7901
7902       case EOP_LENGTH:
7903       case EOP_L:
7904       case EOP_SUBSTR:
7905       case EOP_S:
7906       case EOP_HASH:
7907       case EOP_H:
7908       case EOP_NHASH:
7909       case EOP_NH:
7910         {
7911         int sign = 1;
7912         int value1 = 0;
7913         int value2 = -1;
7914         int *pn;
7915         int len;
7916         uschar *ret;
7917
7918         if (!arg)
7919           {
7920           expand_string_message = string_sprintf("missing values after %s",
7921             name);
7922           goto EXPAND_FAILED;
7923           }
7924
7925         /* "length" has only one argument, effectively being synonymous with
7926         substr_0_n. */
7927
7928         if (c == EOP_LENGTH || c == EOP_L)
7929           {
7930           pn = &value2;
7931           value2 = 0;
7932           }
7933
7934         /* The others have one or two arguments; for "substr" the first may be
7935         negative. The second being negative means "not supplied". */
7936
7937         else
7938           {
7939           pn = &value1;
7940           if (name[0] == 's' && *arg == '-') { sign = -1; arg++; }
7941           }
7942
7943         /* Read up to two numbers, separated by underscores */
7944
7945         ret = arg;
7946         while (*arg != 0)
7947           {
7948           if (arg != ret && *arg == '_' && pn == &value1)
7949             {
7950             pn = &value2;
7951             value2 = 0;
7952             if (arg[1] != 0) arg++;
7953             }
7954           else if (!isdigit(*arg))
7955             {
7956             expand_string_message =
7957               string_sprintf("non-digit after underscore in \"%s\"", name);
7958             goto EXPAND_FAILED;
7959             }
7960           else *pn = (*pn)*10 + *arg++ - '0';
7961           }
7962         value1 *= sign;
7963
7964         /* Perform the required operation */
7965
7966         ret = c == EOP_HASH || c == EOP_H
7967           ? compute_hash(sub, value1, value2, &len)
7968           : c == EOP_NHASH || c == EOP_NH
7969           ? compute_nhash(sub, value1, value2, &len)
7970           : extract_substr(sub, value1, value2, &len);
7971         if (!ret) goto EXPAND_FAILED;
7972
7973         yield = string_catn(yield, ret, len);
7974         continue;
7975         }
7976
7977       /* Stat a path */
7978
7979       case EOP_STAT:
7980         {
7981         uschar smode[12];
7982         uschar **modetable[3];
7983         mode_t mode;
7984         struct stat st;
7985
7986         if (expand_forbid & RDO_EXISTS)
7987           {
7988           expand_string_message = US"Use of the stat() expansion is not permitted";
7989           goto EXPAND_FAILED;
7990           }
7991
7992         if (stat(CS sub, &st) < 0)
7993           {
7994           expand_string_message = string_sprintf("stat(%s) failed: %s",
7995             sub, strerror(errno));
7996           goto EXPAND_FAILED;
7997           }
7998         mode = st.st_mode;
7999         switch (mode & S_IFMT)
8000           {
8001           case S_IFIFO: smode[0] = 'p'; break;
8002           case S_IFCHR: smode[0] = 'c'; break;
8003           case S_IFDIR: smode[0] = 'd'; break;
8004           case S_IFBLK: smode[0] = 'b'; break;
8005           case S_IFREG: smode[0] = '-'; break;
8006           default: smode[0] = '?'; break;
8007           }
8008
8009         modetable[0] = ((mode & 01000) == 0)? mtable_normal : mtable_sticky;
8010         modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
8011         modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
8012
8013         for (int i = 0; i < 3; i++)
8014           {
8015           memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
8016           mode >>= 3;
8017           }
8018
8019         smode[10] = 0;
8020         yield = string_fmt_append(yield,
8021           "mode=%04lo smode=%s inode=%ld device=%ld links=%ld "
8022           "uid=%ld gid=%ld size=" OFF_T_FMT " atime=%ld mtime=%ld ctime=%ld",
8023           (long)(st.st_mode & 077777), smode, (long)st.st_ino,
8024           (long)st.st_dev, (long)st.st_nlink, (long)st.st_uid,
8025           (long)st.st_gid, st.st_size, (long)st.st_atime,
8026           (long)st.st_mtime, (long)st.st_ctime);
8027         continue;
8028         }
8029
8030       /* vaguely random number less than N */
8031
8032       case EOP_RANDINT:
8033         {
8034         int_eximarith_t max = expanded_string_integer(sub, TRUE);
8035
8036         if (expand_string_message)
8037           goto EXPAND_FAILED;
8038         yield = string_fmt_append(yield, "%d", vaguely_random_number((int)max));
8039         continue;
8040         }
8041
8042       /* Reverse IP, including IPv6 to dotted-nibble */
8043
8044       case EOP_REVERSE_IP:
8045         {
8046         int family, maskptr;
8047         uschar reversed[128];
8048
8049         family = string_is_ip_address(sub, &maskptr);
8050         if (family == 0)
8051           {
8052           expand_string_message = string_sprintf(
8053               "reverse_ip() not given an IP address [%s]", sub);
8054           goto EXPAND_FAILED;
8055           }
8056         invert_address(reversed, sub);
8057         yield = string_cat(yield, reversed);
8058         continue;
8059         }
8060
8061       /* Unknown operator */
8062
8063       default:
8064         expand_string_message =
8065           string_sprintf("unknown expansion operator \"%s\"", name);
8066         goto EXPAND_FAILED;
8067       }
8068     }
8069
8070   /* Handle a plain name. If this is the first thing in the expansion, release
8071   the pre-allocated buffer. If the result data is known to be in a new buffer,
8072   newsize will be set to the size of that buffer, and we can just point at that
8073   store instead of copying. Many expansion strings contain just one reference,
8074   so this is a useful optimization, especially for humungous headers
8075   ($message_headers). */
8076                                                 /*{*/
8077   if (*s++ == '}')
8078     {
8079     int len;
8080     int newsize = 0;
8081     gstring * g = NULL;
8082
8083     if (!yield)
8084       g = store_get(sizeof(gstring), FALSE);
8085     else if (yield->ptr == 0)
8086       {
8087       if (resetok) reset_point = store_reset(reset_point);
8088       yield = NULL;
8089       reset_point = store_mark();
8090       g = store_get(sizeof(gstring), FALSE);    /* alloc _before_ calling find_variable() */
8091       }
8092     if (!(value = find_variable(name, FALSE, skipping, &newsize)))
8093       {
8094       expand_string_message =
8095         string_sprintf("unknown variable in \"${%s}\"", name);
8096       check_variable_error_message(name);
8097       goto EXPAND_FAILED;
8098       }
8099     len = Ustrlen(value);
8100     if (!yield && newsize)
8101       {
8102       yield = g;
8103       yield->size = newsize;
8104       yield->ptr = len;
8105       yield->s = value;
8106       }
8107     else
8108       yield = string_catn(yield, value, len);
8109     continue;
8110     }
8111
8112   /* Else there's something wrong */
8113
8114   expand_string_message =
8115     string_sprintf("\"${%s\" is not a known operator (or a } is missing "
8116     "in a variable reference)", name);
8117   goto EXPAND_FAILED;
8118   }
8119
8120 /* If we hit the end of the string when ket_ends is set, there is a missing
8121 terminating brace. */
8122
8123 if (ket_ends && *s == 0)
8124   {
8125   expand_string_message = malformed_header
8126     ? US"missing } at end of string - could be header name not terminated by colon"
8127     : US"missing } at end of string";
8128   goto EXPAND_FAILED;
8129   }
8130
8131 /* Expansion succeeded; yield may still be NULL here if nothing was actually
8132 added to the string. If so, set up an empty string. Add a terminating zero. If
8133 left != NULL, return a pointer to the terminator. */
8134
8135 if (!yield)
8136   yield = string_get(1);
8137 (void) string_from_gstring(yield);
8138 if (left) *left = s;
8139
8140 /* Any stacking store that was used above the final string is no longer needed.
8141 In many cases the final string will be the first one that was got and so there
8142 will be optimal store usage. */
8143
8144 if (resetok) gstring_release_unused(yield);
8145 else if (resetok_p) *resetok_p = FALSE;
8146
8147 DEBUG(D_expand)
8148   {
8149   BOOL tainted = is_tainted(yield->s);
8150   DEBUG(D_noutf8)
8151     {
8152     debug_printf_indent("|--expanding: %.*s\n", (int)(s - string), string);
8153     debug_printf_indent("%sresult: %s\n",
8154       skipping ? "|-----" : "\\_____", yield->s);
8155     if (tainted)
8156       debug_printf_indent("%s     \\__(tainted)\n",
8157         skipping ? "|     " : "      ");
8158     if (skipping)
8159       debug_printf_indent("\\___skipping: result is not used\n");
8160     }
8161   else
8162     {
8163     debug_printf_indent(UTF8_VERT_RIGHT UTF8_HORIZ UTF8_HORIZ
8164       "expanding: %.*s\n",
8165       (int)(s - string), string);
8166     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8167       "result: %s\n",
8168       skipping ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8169       yield->s);
8170     if (tainted)
8171       debug_printf_indent("%s(tainted)\n",
8172         skipping
8173         ? UTF8_VERT "             " : "           " UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ);
8174     if (skipping)
8175       debug_printf_indent(UTF8_UP_RIGHT UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8176         "skipping: result is not used\n");
8177     }
8178   }
8179 expand_level--;
8180 return yield->s;
8181
8182 /* This is the failure exit: easiest to program with a goto. We still need
8183 to update the pointer to the terminator, for cases of nested calls with "fail".
8184 */
8185
8186 EXPAND_FAILED_CURLY:
8187 if (malformed_header)
8188   expand_string_message =
8189     US"missing or misplaced { or } - could be header name not terminated by colon";
8190
8191 else if (!expand_string_message || !*expand_string_message)
8192   expand_string_message = US"missing or misplaced { or }";
8193
8194 /* At one point, Exim reset the store to yield (if yield was not NULL), but
8195 that is a bad idea, because expand_string_message is in dynamic store. */
8196
8197 EXPAND_FAILED:
8198 if (left) *left = s;
8199 DEBUG(D_expand)
8200   DEBUG(D_noutf8)
8201     {
8202     debug_printf_indent("|failed to expand: %s\n", string);
8203     debug_printf_indent("%serror message: %s\n",
8204       f.expand_string_forcedfail ? "|---" : "\\___", expand_string_message);
8205     if (f.expand_string_forcedfail)
8206       debug_printf_indent("\\failure was forced\n");
8207     }
8208   else
8209     {
8210     debug_printf_indent(UTF8_VERT_RIGHT "failed to expand: %s\n",
8211       string);
8212     debug_printf_indent("%s" UTF8_HORIZ UTF8_HORIZ UTF8_HORIZ
8213       "error message: %s\n",
8214       f.expand_string_forcedfail ? UTF8_VERT_RIGHT : UTF8_UP_RIGHT,
8215       expand_string_message);
8216     if (f.expand_string_forcedfail)
8217       debug_printf_indent(UTF8_UP_RIGHT "failure was forced\n");
8218     }
8219 if (resetok_p && !resetok) *resetok_p = FALSE;
8220 expand_level--;
8221 return NULL;
8222 }
8223
8224
8225 /* This is the external function call. Do a quick check for any expansion
8226 metacharacters, and if there are none, just return the input string.
8227
8228 Argument: the string to be expanded
8229 Returns:  the expanded string, or NULL if expansion failed; if failure was
8230           due to a lookup deferring, search_find_defer will be TRUE
8231 */
8232
8233 const uschar *
8234 expand_cstring(const uschar * string)
8235 {
8236 if (Ustrpbrk(string, "$\\") != NULL)
8237   {
8238   int old_pool = store_pool;
8239   uschar * s;
8240
8241   f.search_find_defer = FALSE;
8242   malformed_header = FALSE;
8243   store_pool = POOL_MAIN;
8244     s = expand_string_internal(string, FALSE, NULL, FALSE, TRUE, NULL);
8245   store_pool = old_pool;
8246   return s;
8247   }
8248 return string;
8249 }
8250
8251
8252 uschar *
8253 expand_string(uschar * string)
8254 {
8255 return US expand_cstring(CUS string);
8256 }
8257
8258
8259
8260
8261
8262 /*************************************************
8263 *              Expand and copy                   *
8264 *************************************************/
8265
8266 /* Now and again we want to expand a string and be sure that the result is in a
8267 new bit of store. This function does that.
8268 Since we know it has been copied, the de-const cast is safe.
8269
8270 Argument: the string to be expanded
8271 Returns:  the expanded string, always in a new bit of store, or NULL
8272 */
8273
8274 uschar *
8275 expand_string_copy(const uschar *string)
8276 {
8277 const uschar *yield = expand_cstring(string);
8278 if (yield == string) yield = string_copy(string);
8279 return US yield;
8280 }
8281
8282
8283
8284 /*************************************************
8285 *        Expand and interpret as an integer      *
8286 *************************************************/
8287
8288 /* Expand a string, and convert the result into an integer.
8289
8290 Arguments:
8291   string  the string to be expanded
8292   isplus  TRUE if a non-negative number is expected
8293
8294 Returns:  the integer value, or
8295           -1 for an expansion error               ) in both cases, message in
8296           -2 for an integer interpretation error  ) expand_string_message
8297           expand_string_message is set NULL for an OK integer
8298 */
8299
8300 int_eximarith_t
8301 expand_string_integer(uschar *string, BOOL isplus)
8302 {
8303 return expanded_string_integer(expand_string(string), isplus);
8304 }
8305
8306
8307 /*************************************************
8308  *         Interpret string as an integer        *
8309  *************************************************/
8310
8311 /* Convert a string (that has already been expanded) into an integer.
8312
8313 This function is used inside the expansion code.
8314
8315 Arguments:
8316   s       the string to be expanded
8317   isplus  TRUE if a non-negative number is expected
8318
8319 Returns:  the integer value, or
8320           -1 if string is NULL (which implies an expansion error)
8321           -2 for an integer interpretation error
8322           expand_string_message is set NULL for an OK integer
8323 */
8324
8325 static int_eximarith_t
8326 expanded_string_integer(const uschar *s, BOOL isplus)
8327 {
8328 int_eximarith_t value;
8329 uschar *msg = US"invalid integer \"%s\"";
8330 uschar *endptr;
8331
8332 /* If expansion failed, expand_string_message will be set. */
8333
8334 if (!s) return -1;
8335
8336 /* On an overflow, strtol() returns LONG_MAX or LONG_MIN, and sets errno
8337 to ERANGE. When there isn't an overflow, errno is not changed, at least on some
8338 systems, so we set it zero ourselves. */
8339
8340 errno = 0;
8341 expand_string_message = NULL;               /* Indicates no error */
8342
8343 /* Before Exim 4.64, strings consisting entirely of whitespace compared
8344 equal to 0.  Unfortunately, people actually relied upon that, so preserve
8345 the behaviour explicitly.  Stripping leading whitespace is a harmless
8346 noop change since strtol skips it anyway (provided that there is a number
8347 to find at all). */
8348 if (isspace(*s))
8349   if (Uskip_whitespace(&s) == '\0')
8350     {
8351       DEBUG(D_expand)
8352        debug_printf_indent("treating blank string as number 0\n");
8353       return 0;
8354     }
8355
8356 value = strtoll(CS s, CSS &endptr, 10);
8357
8358 if (endptr == s)
8359   msg = US"integer expected but \"%s\" found";
8360 else if (value < 0 && isplus)
8361   msg = US"non-negative integer expected but \"%s\" found";
8362 else
8363   {
8364   switch (tolower(*endptr))
8365     {
8366     default:
8367       break;
8368     case 'k':
8369       if (value > EXIM_ARITH_MAX/1024 || value < EXIM_ARITH_MIN/1024) errno = ERANGE;
8370       else value *= 1024;
8371       endptr++;
8372       break;
8373     case 'm':
8374       if (value > EXIM_ARITH_MAX/(1024*1024) || value < EXIM_ARITH_MIN/(1024*1024)) errno = ERANGE;
8375       else value *= 1024*1024;
8376       endptr++;
8377       break;
8378     case 'g':
8379       if (value > EXIM_ARITH_MAX/(1024*1024*1024) || value < EXIM_ARITH_MIN/(1024*1024*1024)) errno = ERANGE;
8380       else value *= 1024*1024*1024;
8381       endptr++;
8382       break;
8383     }
8384   if (errno == ERANGE)
8385     msg = US"absolute value of integer \"%s\" is too large (overflow)";
8386   else
8387     if (Uskip_whitespace(&endptr) == 0) return value;
8388   }
8389
8390 expand_string_message = string_sprintf(CS msg, s);
8391 return -2;
8392 }
8393
8394
8395 /* These values are usually fixed boolean values, but they are permitted to be
8396 expanded strings.
8397
8398 Arguments:
8399   addr       address being routed
8400   mtype      the module type
8401   mname      the module name
8402   dbg_opt    debug selectors
8403   oname      the option name
8404   bvalue     the router's boolean value
8405   svalue     the router's string value
8406   rvalue     where to put the returned value
8407
8408 Returns:     OK     value placed in rvalue
8409              DEFER  expansion failed
8410 */
8411
8412 int
8413 exp_bool(address_item *addr,
8414   uschar *mtype, uschar *mname, unsigned dbg_opt,
8415   uschar *oname, BOOL bvalue,
8416   uschar *svalue, BOOL *rvalue)
8417 {
8418 uschar *expanded;
8419 if (!svalue) { *rvalue = bvalue; return OK; }
8420
8421 if (!(expanded = expand_string(svalue)))
8422   {
8423   if (f.expand_string_forcedfail)
8424     {
8425     DEBUG(dbg_opt) debug_printf("expansion of \"%s\" forced failure\n", oname);
8426     *rvalue = bvalue;
8427     return OK;
8428     }
8429   addr->message = string_sprintf("failed to expand \"%s\" in %s %s: %s",
8430       oname, mname, mtype, expand_string_message);
8431   DEBUG(dbg_opt) debug_printf("%s\n", addr->message);
8432   return DEFER;
8433   }
8434
8435 DEBUG(dbg_opt) debug_printf("expansion of \"%s\" yields \"%s\"\n", oname,
8436   expanded);
8437
8438 if (strcmpic(expanded, US"true") == 0 || strcmpic(expanded, US"yes") == 0)
8439   *rvalue = TRUE;
8440 else if (strcmpic(expanded, US"false") == 0 || strcmpic(expanded, US"no") == 0)
8441   *rvalue = FALSE;
8442 else
8443   {
8444   addr->message = string_sprintf("\"%s\" is not a valid value for the "
8445     "\"%s\" option in the %s %s", expanded, oname, mname, mtype);
8446   return DEFER;
8447   }
8448
8449 return OK;
8450 }
8451
8452
8453
8454 /* Avoid potentially exposing a password in a string about to be logged */
8455
8456 uschar *
8457 expand_hide_passwords(uschar * s)
8458 {
8459 return (  (  Ustrstr(s, "failed to expand") != NULL
8460           || Ustrstr(s, "expansion of ")    != NULL
8461           )
8462        && (  Ustrstr(s, "mysql")   != NULL
8463           || Ustrstr(s, "pgsql")   != NULL
8464           || Ustrstr(s, "redis")   != NULL
8465           || Ustrstr(s, "sqlite")  != NULL
8466           || Ustrstr(s, "ldap:")   != NULL
8467           || Ustrstr(s, "ldaps:")  != NULL
8468           || Ustrstr(s, "ldapi:")  != NULL
8469           || Ustrstr(s, "ldapdn:") != NULL
8470           || Ustrstr(s, "ldapm:")  != NULL
8471        )  )
8472   ? US"Temporary internal error" : s;
8473 }
8474
8475
8476 /* Read given named file into big_buffer.  Use for keying material etc.
8477 The content will have an ascii NUL appended.
8478
8479 Arguments:
8480  filename       as it says
8481
8482 Return:  pointer to buffer, or NULL on error.
8483 */
8484
8485 uschar *
8486 expand_file_big_buffer(const uschar * filename)
8487 {
8488 int fd, off = 0, len;
8489
8490 if ((fd = exim_open2(CS filename, O_RDONLY)) < 0)
8491   {
8492   log_write(0, LOG_MAIN | LOG_PANIC, "unable to open file for reading: %s",
8493              filename);
8494   return NULL;
8495   }
8496
8497 do
8498   {
8499   if ((len = read(fd, big_buffer + off, big_buffer_size - 2 - off)) < 0)
8500     {
8501     (void) close(fd);
8502     log_write(0, LOG_MAIN|LOG_PANIC, "unable to read file: %s", filename);
8503     return NULL;
8504     }
8505   off += len;
8506   }
8507 while (len > 0);
8508
8509 (void) close(fd);
8510 big_buffer[off] = '\0';
8511 return big_buffer;
8512 }
8513
8514
8515
8516 /*************************************************
8517 * Error-checking for testsuite                   *
8518 *************************************************/
8519 typedef struct {
8520   uschar *      region_start;
8521   uschar *      region_end;
8522   const uschar *var_name;
8523   const uschar *var_data;
8524 } err_ctx;
8525
8526 static void
8527 assert_variable_notin(uschar * var_name, uschar * var_data, void * ctx)
8528 {
8529 err_ctx * e = ctx;
8530 if (var_data >= e->region_start  &&  var_data < e->region_end)
8531   {
8532   e->var_name = CUS var_name;
8533   e->var_data = CUS var_data;
8534   }
8535 }
8536
8537 void
8538 assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
8539 {
8540 err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
8541               .var_name = NULL, .var_data = NULL };
8542
8543 /* check acl_ variables */
8544 tree_walk(acl_var_c, assert_variable_notin, &e);
8545 tree_walk(acl_var_m, assert_variable_notin, &e);
8546
8547 /* check auth<n> variables */
8548 for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
8549   assert_variable_notin(US"auth<n>", auth_vars[i], &e);
8550
8551 /* check regex<n> variables */
8552 for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
8553   assert_variable_notin(US"regex<n>", regex_vars[i], &e);
8554
8555 /* check known-name variables */
8556 for (var_entry * v = var_table; v < var_table + var_table_size; v++)
8557   if (v->type == vtype_stringptr)
8558     assert_variable_notin(US v->name, *(USS v->value), &e);
8559
8560 /* check dns and address trees */
8561 tree_walk(tree_dns_fails,     assert_variable_notin, &e);
8562 tree_walk(tree_duplicates,    assert_variable_notin, &e);
8563 tree_walk(tree_nonrecipients, assert_variable_notin, &e);
8564 tree_walk(tree_unusable,      assert_variable_notin, &e);
8565
8566 if (e.var_name)
8567   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
8568     "live variable '%s' destroyed by reset_store at %s:%d\n- value '%.64s'",
8569     e.var_name, filename, linenumber, e.var_data);
8570 }
8571
8572
8573
8574 /*************************************************
8575 **************************************************
8576 *             Stand-alone test program           *
8577 **************************************************
8578 *************************************************/
8579
8580 #ifdef STAND_ALONE
8581
8582
8583 BOOL
8584 regex_match_and_setup(const pcre *re, uschar *subject, int options, int setup)
8585 {
8586 int ovector[3*(EXPAND_MAXN+1)];
8587 int n = pcre_exec(re, NULL, subject, Ustrlen(subject), 0, PCRE_EOPT|options,
8588   ovector, nelem(ovector));
8589 BOOL yield = n >= 0;
8590 if (n == 0) n = EXPAND_MAXN + 1;
8591 if (yield)
8592   {
8593   expand_nmax = setup < 0 ? 0 : setup + 1;
8594   for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
8595     {
8596     expand_nstring[expand_nmax] = subject + ovector[nn];
8597     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
8598     }
8599   expand_nmax--;
8600   }
8601 return yield;
8602 }
8603
8604
8605 int main(int argc, uschar **argv)
8606 {
8607 uschar buffer[1024];
8608
8609 debug_selector = D_v;
8610 debug_file = stderr;
8611 debug_fd = fileno(debug_file);
8612 big_buffer = malloc(big_buffer_size);
8613
8614 for (int i = 1; i < argc; i++)
8615   {
8616   if (argv[i][0] == '+')
8617     {
8618     debug_trace_memory = 2;
8619     argv[i]++;
8620     }
8621   if (isdigit(argv[i][0]))
8622     debug_selector = Ustrtol(argv[i], NULL, 0);
8623   else
8624     if (Ustrspn(argv[i], "abcdefghijklmnopqrtsuvwxyz0123456789-.:/") ==
8625         Ustrlen(argv[i]))
8626       {
8627 #ifdef LOOKUP_LDAP
8628       eldap_default_servers = argv[i];
8629 #endif
8630 #ifdef LOOKUP_MYSQL
8631       mysql_servers = argv[i];
8632 #endif
8633 #ifdef LOOKUP_PGSQL
8634       pgsql_servers = argv[i];
8635 #endif
8636 #ifdef LOOKUP_REDIS
8637       redis_servers = argv[i];
8638 #endif
8639       }
8640 #ifdef EXIM_PERL
8641   else opt_perl_startup = argv[i];
8642 #endif
8643   }
8644
8645 printf("Testing string expansion: debug_level = %d\n\n", debug_level);
8646
8647 expand_nstring[1] = US"string 1....";
8648 expand_nlength[1] = 8;
8649 expand_nmax = 1;
8650
8651 #ifdef EXIM_PERL
8652 if (opt_perl_startup != NULL)
8653   {
8654   uschar *errstr;
8655   printf("Starting Perl interpreter\n");
8656   errstr = init_perl(opt_perl_startup);
8657   if (errstr != NULL)
8658     {
8659     printf("** error in perl_startup code: %s\n", errstr);
8660     return EXIT_FAILURE;
8661     }
8662   }
8663 #endif /* EXIM_PERL */
8664
8665 /* Thie deliberately regards the input as untainted, so that it can be
8666 expanded; only reasonable since this is a test for string-expansions. */
8667
8668 while (fgets(buffer, sizeof(buffer), stdin) != NULL)
8669   {
8670   rmark reset_point = store_mark();
8671   uschar *yield = expand_string(buffer);
8672   if (yield)
8673     printf("%s\n", yield);
8674   else
8675     {
8676     if (f.search_find_defer) printf("search_find deferred\n");
8677     printf("Failed: %s\n", expand_string_message);
8678     if (f.expand_string_forcedfail) printf("Forced failure\n");
8679     printf("\n");
8680     }
8681   store_reset(reset_point);
8682   }
8683
8684 search_tidyup();
8685
8686 return 0;
8687 }
8688
8689 #endif
8690
8691 /* vi: aw ai sw=2
8692 */
8693 /* End of expand.c */