String handling: refactor the expanding-string routines and users to use a descriptor...
[users/heiko/exim.git] / src / src / exim.c
1 /*************************************************
2 *     Exim - an Internet mail transport agent    *
3 *************************************************/
4
5 /* Copyright (c) University of Cambridge 1995 - 2016 */
6 /* See the file NOTICE for conditions of use and distribution. */
7
8
9 /* The main function: entry point, initialization, and high-level control.
10 Also a few functions that don't naturally fit elsewhere. */
11
12
13 #include "exim.h"
14
15 #if defined(__GLIBC__) && !defined(__UCLIBC__)
16 # include <gnu/libc-version.h>
17 #endif
18
19 #ifdef USE_GNUTLS
20 # include <gnutls/gnutls.h>
21 # if GNUTLS_VERSION_NUMBER < 0x030103 && !defined(DISABLE_OCSP)
22 #  define DISABLE_OCSP
23 # endif
24 #endif
25
26 extern void init_lookup_list(void);
27
28
29
30 /*************************************************
31 *      Function interface to store functions     *
32 *************************************************/
33
34 /* We need some real functions to pass to the PCRE regular expression library
35 for store allocation via Exim's store manager. The normal calls are actually
36 macros that pass over location information to make tracing easier. These
37 functions just interface to the standard macro calls. A good compiler will
38 optimize out the tail recursion and so not make them too expensive. There
39 are two sets of functions; one for use when we want to retain the compiled
40 regular expression for a long time; the other for short-term use. */
41
42 static void *
43 function_store_get(size_t size)
44 {
45 return store_get((int)size);
46 }
47
48 static void
49 function_dummy_free(void *block) { block = block; }
50
51 static void *
52 function_store_malloc(size_t size)
53 {
54 return store_malloc((int)size);
55 }
56
57 static void
58 function_store_free(void *block)
59 {
60 store_free(block);
61 }
62
63
64
65
66 /*************************************************
67 *         Enums for cmdline interface            *
68 *************************************************/
69
70 enum commandline_info { CMDINFO_NONE=0,
71   CMDINFO_HELP, CMDINFO_SIEVE, CMDINFO_DSCP };
72
73
74
75
76 /*************************************************
77 *  Compile regular expression and panic on fail  *
78 *************************************************/
79
80 /* This function is called when failure to compile a regular expression leads
81 to a panic exit. In other cases, pcre_compile() is called directly. In many
82 cases where this function is used, the results of the compilation are to be
83 placed in long-lived store, so we temporarily reset the store management
84 functions that PCRE uses if the use_malloc flag is set.
85
86 Argument:
87   pattern     the pattern to compile
88   caseless    TRUE if caseless matching is required
89   use_malloc  TRUE if compile into malloc store
90
91 Returns:      pointer to the compiled pattern
92 */
93
94 const pcre *
95 regex_must_compile(const uschar *pattern, BOOL caseless, BOOL use_malloc)
96 {
97 int offset;
98 int options = PCRE_COPT;
99 const pcre *yield;
100 const uschar *error;
101 if (use_malloc)
102   {
103   pcre_malloc = function_store_malloc;
104   pcre_free = function_store_free;
105   }
106 if (caseless) options |= PCRE_CASELESS;
107 yield = pcre_compile(CCS pattern, options, (const char **)&error, &offset, NULL);
108 pcre_malloc = function_store_get;
109 pcre_free = function_dummy_free;
110 if (yield == NULL)
111   log_write(0, LOG_MAIN|LOG_PANIC_DIE, "regular expression error: "
112     "%s at offset %d while compiling %s", error, offset, pattern);
113 return yield;
114 }
115
116
117
118
119 /*************************************************
120 *   Execute regular expression and set strings   *
121 *************************************************/
122
123 /* This function runs a regular expression match, and sets up the pointers to
124 the matched substrings.
125
126 Arguments:
127   re          the compiled expression
128   subject     the subject string
129   options     additional PCRE options
130   setup       if < 0 do full setup
131               if >= 0 setup from setup+1 onwards,
132                 excluding the full matched string
133
134 Returns:      TRUE or FALSE
135 */
136
137 BOOL
138 regex_match_and_setup(const pcre *re, const uschar *subject, int options, int setup)
139 {
140 int ovector[3*(EXPAND_MAXN+1)];
141 uschar * s = string_copy(subject);      /* de-constifying */
142 int n = pcre_exec(re, NULL, CS s, Ustrlen(s), 0,
143   PCRE_EOPT | options, ovector, sizeof(ovector)/sizeof(int));
144 BOOL yield = n >= 0;
145 if (n == 0) n = EXPAND_MAXN + 1;
146 if (yield)
147   {
148   int nn;
149   expand_nmax = (setup < 0)? 0 : setup + 1;
150   for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
151     {
152     expand_nstring[expand_nmax] = s + ovector[nn];
153     expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
154     }
155   expand_nmax--;
156   }
157 return yield;
158 }
159
160
161
162
163 /*************************************************
164 *            Set up processing details           *
165 *************************************************/
166
167 /* Save a text string for dumping when SIGUSR1 is received.
168 Do checks for overruns.
169
170 Arguments: format and arguments, as for printf()
171 Returns:   nothing
172 */
173
174 void
175 set_process_info(const char *format, ...)
176 {
177 int len = sprintf(CS process_info, "%5d ", (int)getpid());
178 va_list ap;
179 va_start(ap, format);
180 if (!string_vformat(process_info + len, PROCESS_INFO_SIZE - len - 2, format, ap))
181   Ustrcpy(process_info + len, "**** string overflowed buffer ****");
182 len = Ustrlen(process_info);
183 process_info[len+0] = '\n';
184 process_info[len+1] = '\0';
185 process_info_len = len + 1;
186 DEBUG(D_process_info) debug_printf("set_process_info: %s", process_info);
187 va_end(ap);
188 }
189
190
191
192
193 /*************************************************
194 *             Handler for SIGUSR1                *
195 *************************************************/
196
197 /* SIGUSR1 causes any exim process to write to the process log details of
198 what it is currently doing. It will only be used if the OS is capable of
199 setting up a handler that causes automatic restarting of any system call
200 that is in progress at the time.
201
202 This function takes care to be signal-safe.
203
204 Argument: the signal number (SIGUSR1)
205 Returns:  nothing
206 */
207
208 static void
209 usr1_handler(int sig)
210 {
211 int fd;
212
213 os_restarting_signal(sig, usr1_handler);
214
215 if ((fd = Uopen(process_log_path, O_APPEND|O_WRONLY, LOG_MODE)) < 0)
216   {
217   /* If we are already running as the Exim user, try to create it in the
218   current process (assuming spool_directory exists). Otherwise, if we are
219   root, do the creation in an exim:exim subprocess. */
220
221   int euid = geteuid();
222   if (euid == exim_uid)
223     fd = Uopen(process_log_path, O_CREAT|O_APPEND|O_WRONLY, LOG_MODE);
224   else if (euid == root_uid)
225     fd = log_create_as_exim(process_log_path);
226   }
227
228 /* If we are neither exim nor root, or if we failed to create the log file,
229 give up. There is not much useful we can do with errors, since we don't want
230 to disrupt whatever is going on outside the signal handler. */
231
232 if (fd < 0) return;
233
234 (void)write(fd, process_info, process_info_len);
235 (void)close(fd);
236 }
237
238
239
240 /*************************************************
241 *             Timeout handler                    *
242 *************************************************/
243
244 /* This handler is enabled most of the time that Exim is running. The handler
245 doesn't actually get used unless alarm() has been called to set a timer, to
246 place a time limit on a system call of some kind. When the handler is run, it
247 re-enables itself.
248
249 There are some other SIGALRM handlers that are used in special cases when more
250 than just a flag setting is required; for example, when reading a message's
251 input. These are normally set up in the code module that uses them, and the
252 SIGALRM handler is reset to this one afterwards.
253
254 Argument: the signal value (SIGALRM)
255 Returns:  nothing
256 */
257
258 void
259 sigalrm_handler(int sig)
260 {
261 sig = sig;      /* Keep picky compilers happy */
262 sigalrm_seen = TRUE;
263 os_non_restarting_signal(SIGALRM, sigalrm_handler);
264 }
265
266
267
268 /*************************************************
269 *      Sleep for a fractional time interval      *
270 *************************************************/
271
272 /* This function is called by millisleep() and exim_wait_tick() to wait for a
273 period of time that may include a fraction of a second. The coding is somewhat
274 tedious. We do not expect setitimer() ever to fail, but if it does, the process
275 will wait for ever, so we panic in this instance. (There was a case of this
276 when a bug in a function that calls milliwait() caused it to pass invalid data.
277 That's when I added the check. :-)
278
279 We assume it to be not worth sleeping for under 100us; this value will
280 require revisiting as hardware advances.  This avoids the issue of
281 a zero-valued timer setting meaning "never fire".
282
283 Argument:  an itimerval structure containing the interval
284 Returns:   nothing
285 */
286
287 static void
288 milliwait(struct itimerval *itval)
289 {
290 sigset_t sigmask;
291 sigset_t old_sigmask;
292
293 if (itval->it_value.tv_usec < 100 && itval->it_value.tv_sec == 0)
294   return;
295 (void)sigemptyset(&sigmask);                           /* Empty mask */
296 (void)sigaddset(&sigmask, SIGALRM);                    /* Add SIGALRM */
297 (void)sigprocmask(SIG_BLOCK, &sigmask, &old_sigmask);  /* Block SIGALRM */
298 if (setitimer(ITIMER_REAL, itval, NULL) < 0)           /* Start timer */
299   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
300     "setitimer() failed: %s", strerror(errno));
301 (void)sigfillset(&sigmask);                            /* All signals */
302 (void)sigdelset(&sigmask, SIGALRM);                    /* Remove SIGALRM */
303 (void)sigsuspend(&sigmask);                            /* Until SIGALRM */
304 (void)sigprocmask(SIG_SETMASK, &old_sigmask, NULL);    /* Restore mask */
305 }
306
307
308
309
310 /*************************************************
311 *         Millisecond sleep function             *
312 *************************************************/
313
314 /* The basic sleep() function has a granularity of 1 second, which is too rough
315 in some cases - for example, when using an increasing delay to slow down
316 spammers.
317
318 Argument:    number of millseconds
319 Returns:     nothing
320 */
321
322 void
323 millisleep(int msec)
324 {
325 struct itimerval itval;
326 itval.it_interval.tv_sec = 0;
327 itval.it_interval.tv_usec = 0;
328 itval.it_value.tv_sec = msec/1000;
329 itval.it_value.tv_usec = (msec % 1000) * 1000;
330 milliwait(&itval);
331 }
332
333
334
335 /*************************************************
336 *         Compare microsecond times              *
337 *************************************************/
338
339 /*
340 Arguments:
341   tv1         the first time
342   tv2         the second time
343
344 Returns:      -1, 0, or +1
345 */
346
347 static int
348 exim_tvcmp(struct timeval *t1, struct timeval *t2)
349 {
350 if (t1->tv_sec > t2->tv_sec) return +1;
351 if (t1->tv_sec < t2->tv_sec) return -1;
352 if (t1->tv_usec > t2->tv_usec) return +1;
353 if (t1->tv_usec < t2->tv_usec) return -1;
354 return 0;
355 }
356
357
358
359
360 /*************************************************
361 *          Clock tick wait function              *
362 *************************************************/
363
364 /* Exim uses a time + a pid to generate a unique identifier in two places: its
365 message IDs, and in file names for maildir deliveries. Because some OS now
366 re-use pids within the same second, sub-second times are now being used.
367 However, for absolute certainty, we must ensure the clock has ticked before
368 allowing the relevant process to complete. At the time of implementation of
369 this code (February 2003), the speed of processors is such that the clock will
370 invariably have ticked already by the time a process has done its job. This
371 function prepares for the time when things are faster - and it also copes with
372 clocks that go backwards.
373
374 Arguments:
375   then_tv      A timeval which was used to create uniqueness; its usec field
376                  has been rounded down to the value of the resolution.
377                  We want to be sure the current time is greater than this.
378   resolution   The resolution that was used to divide the microseconds
379                  (1 for maildir, larger for message ids)
380
381 Returns:       nothing
382 */
383
384 void
385 exim_wait_tick(struct timeval *then_tv, int resolution)
386 {
387 struct timeval now_tv;
388 long int now_true_usec;
389
390 (void)gettimeofday(&now_tv, NULL);
391 now_true_usec = now_tv.tv_usec;
392 now_tv.tv_usec = (now_true_usec/resolution) * resolution;
393
394 if (exim_tvcmp(&now_tv, then_tv) <= 0)
395   {
396   struct itimerval itval;
397   itval.it_interval.tv_sec = 0;
398   itval.it_interval.tv_usec = 0;
399   itval.it_value.tv_sec = then_tv->tv_sec - now_tv.tv_sec;
400   itval.it_value.tv_usec = then_tv->tv_usec + resolution - now_true_usec;
401
402   /* We know that, overall, "now" is less than or equal to "then". Therefore, a
403   negative value for the microseconds is possible only in the case when "now"
404   is more than a second less than "then". That means that itval.it_value.tv_sec
405   is greater than zero. The following correction is therefore safe. */
406
407   if (itval.it_value.tv_usec < 0)
408     {
409     itval.it_value.tv_usec += 1000000;
410     itval.it_value.tv_sec -= 1;
411     }
412
413   DEBUG(D_transport|D_receive)
414     {
415     if (!running_in_test_harness)
416       {
417       debug_printf("tick check: " TIME_T_FMT ".%06lu " TIME_T_FMT ".%06lu\n",
418         then_tv->tv_sec, (long) then_tv->tv_usec,
419         now_tv.tv_sec, (long) now_tv.tv_usec);
420       debug_printf("waiting " TIME_T_FMT ".%06lu\n",
421         itval.it_value.tv_sec, (long) itval.it_value.tv_usec);
422       }
423     }
424
425   milliwait(&itval);
426   }
427 }
428
429
430
431
432 /*************************************************
433 *   Call fopen() with umask 777 and adjust mode  *
434 *************************************************/
435
436 /* Exim runs with umask(0) so that files created with open() have the mode that
437 is specified in the open() call. However, there are some files, typically in
438 the spool directory, that are created with fopen(). They end up world-writeable
439 if no precautions are taken. Although the spool directory is not accessible to
440 the world, this is an untidiness. So this is a wrapper function for fopen()
441 that sorts out the mode of the created file.
442
443 Arguments:
444    filename       the file name
445    options        the fopen() options
446    mode           the required mode
447
448 Returns:          the fopened FILE or NULL
449 */
450
451 FILE *
452 modefopen(const uschar *filename, const char *options, mode_t mode)
453 {
454 mode_t saved_umask = umask(0777);
455 FILE *f = Ufopen(filename, options);
456 (void)umask(saved_umask);
457 if (f != NULL) (void)fchmod(fileno(f), mode);
458 return f;
459 }
460
461
462
463
464 /*************************************************
465 *   Ensure stdin, stdout, and stderr exist       *
466 *************************************************/
467
468 /* Some operating systems grumble if an exec() happens without a standard
469 input, output, and error (fds 0, 1, 2) being defined. The worry is that some
470 file will be opened and will use these fd values, and then some other bit of
471 code will assume, for example, that it can write error messages to stderr.
472 This function ensures that fds 0, 1, and 2 are open if they do not already
473 exist, by connecting them to /dev/null.
474
475 This function is also used to ensure that std{in,out,err} exist at all times,
476 so that if any library that Exim calls tries to use them, it doesn't crash.
477
478 Arguments:  None
479 Returns:    Nothing
480 */
481
482 void
483 exim_nullstd(void)
484 {
485 int i;
486 int devnull = -1;
487 struct stat statbuf;
488 for (i = 0; i <= 2; i++)
489   {
490   if (fstat(i, &statbuf) < 0 && errno == EBADF)
491     {
492     if (devnull < 0) devnull = open("/dev/null", O_RDWR);
493     if (devnull < 0) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "%s",
494       string_open_failed(errno, "/dev/null"));
495     if (devnull != i) (void)dup2(devnull, i);
496     }
497   }
498 if (devnull > 2) (void)close(devnull);
499 }
500
501
502
503
504 /*************************************************
505 *   Close unwanted file descriptors for delivery *
506 *************************************************/
507
508 /* This function is called from a new process that has been forked to deliver
509 an incoming message, either directly, or using exec.
510
511 We want any smtp input streams to be closed in this new process. However, it
512 has been observed that using fclose() here causes trouble. When reading in -bS
513 input, duplicate copies of messages have been seen. The files will be sharing a
514 file pointer with the parent process, and it seems that fclose() (at least on
515 some systems - I saw this on Solaris 2.5.1) messes with that file pointer, at
516 least sometimes. Hence we go for closing the underlying file descriptors.
517
518 If TLS is active, we want to shut down the TLS library, but without molesting
519 the parent's SSL connection.
520
521 For delivery of a non-SMTP message, we want to close stdin and stdout (and
522 stderr unless debugging) because the calling process might have set them up as
523 pipes and be waiting for them to close before it waits for the submission
524 process to terminate. If they aren't closed, they hold up the calling process
525 until the initial delivery process finishes, which is not what we want.
526
527 Exception: We do want it for synchronous delivery!
528
529 And notwithstanding all the above, if D_resolver is set, implying resolver
530 debugging, leave stdout open, because that's where the resolver writes its
531 debugging output.
532
533 When we close stderr (which implies we've also closed stdout), we also get rid
534 of any controlling terminal.
535
536 Arguments:   None
537 Returns:     Nothing
538 */
539
540 static void
541 close_unwanted(void)
542 {
543 if (smtp_input)
544   {
545   #ifdef SUPPORT_TLS
546   tls_close(TRUE, FALSE);      /* Shut down the TLS library */
547   #endif
548   (void)close(fileno(smtp_in));
549   (void)close(fileno(smtp_out));
550   smtp_in = NULL;
551   }
552 else
553   {
554   (void)close(0);                                          /* stdin */
555   if ((debug_selector & D_resolver) == 0) (void)close(1);  /* stdout */
556   if (debug_selector == 0)                                 /* stderr */
557     {
558     if (!synchronous_delivery)
559       {
560       (void)close(2);
561       log_stderr = NULL;
562       }
563     (void)setsid();
564     }
565   }
566 }
567
568
569
570
571 /*************************************************
572 *          Set uid and gid                       *
573 *************************************************/
574
575 /* This function sets a new uid and gid permanently, optionally calling
576 initgroups() to set auxiliary groups. There are some special cases when running
577 Exim in unprivileged modes. In these situations the effective uid will not be
578 root; if we already have the right effective uid/gid, and don't need to
579 initialize any groups, leave things as they are.
580
581 Arguments:
582   uid        the uid
583   gid        the gid
584   igflag     TRUE if initgroups() wanted
585   msg        text to use in debugging output and failure log
586
587 Returns:     nothing; bombs out on failure
588 */
589
590 void
591 exim_setugid(uid_t uid, gid_t gid, BOOL igflag, uschar *msg)
592 {
593 uid_t euid = geteuid();
594 gid_t egid = getegid();
595
596 if (euid == root_uid || euid != uid || egid != gid || igflag)
597   {
598   /* At least one OS returns +1 for initgroups failure, so just check for
599   non-zero. */
600
601   if (igflag)
602     {
603     struct passwd *pw = getpwuid(uid);
604     if (pw != NULL)
605       {
606       if (initgroups(pw->pw_name, gid) != 0)
607         log_write(0,LOG_MAIN|LOG_PANIC_DIE,"initgroups failed for uid=%ld: %s",
608           (long int)uid, strerror(errno));
609       }
610     else log_write(0, LOG_MAIN|LOG_PANIC_DIE, "cannot run initgroups(): "
611       "no passwd entry for uid=%ld", (long int)uid);
612     }
613
614   if (setgid(gid) < 0 || setuid(uid) < 0)
615     {
616     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "unable to set gid=%ld or uid=%ld "
617       "(euid=%ld): %s", (long int)gid, (long int)uid, (long int)euid, msg);
618     }
619   }
620
621 /* Debugging output included uid/gid and all groups */
622
623 DEBUG(D_uid)
624   {
625   int group_count, save_errno;
626   gid_t group_list[NGROUPS_MAX];
627   debug_printf("changed uid/gid: %s\n  uid=%ld gid=%ld pid=%ld\n", msg,
628     (long int)geteuid(), (long int)getegid(), (long int)getpid());
629   group_count = getgroups(NGROUPS_MAX, group_list);
630   save_errno = errno;
631   debug_printf("  auxiliary group list:");
632   if (group_count > 0)
633     {
634     int i;
635     for (i = 0; i < group_count; i++) debug_printf(" %d", (int)group_list[i]);
636     }
637   else if (group_count < 0)
638     debug_printf(" <error: %s>", strerror(save_errno));
639   else debug_printf(" <none>");
640   debug_printf("\n");
641   }
642 }
643
644
645
646
647 /*************************************************
648 *               Exit point                       *
649 *************************************************/
650
651 /* Exim exits via this function so that it always clears up any open
652 databases.
653
654 Arguments:
655   rc         return code
656
657 Returns:     does not return
658 */
659
660 void
661 exim_exit(int rc)
662 {
663 search_tidyup();
664 DEBUG(D_any)
665   debug_printf(">>>>>>>>>>>>>>>> Exim pid=%d terminating with rc=%d "
666     ">>>>>>>>>>>>>>>>\n", (int)getpid(), rc);
667 exit(rc);
668 }
669
670
671
672
673 /*************************************************
674 *         Extract port from host address         *
675 *************************************************/
676
677 /* Called to extract the port from the values given to -oMa and -oMi.
678 It also checks the syntax of the address, and terminates it before the
679 port data when a port is extracted.
680
681 Argument:
682   address   the address, with possible port on the end
683
684 Returns:    the port, or zero if there isn't one
685             bombs out on a syntax error
686 */
687
688 static int
689 check_port(uschar *address)
690 {
691 int port = host_address_extract_port(address);
692 if (string_is_ip_address(address, NULL) == 0)
693   {
694   fprintf(stderr, "exim abandoned: \"%s\" is not an IP address\n", address);
695   exit(EXIT_FAILURE);
696   }
697 return port;
698 }
699
700
701
702 /*************************************************
703 *              Test/verify an address            *
704 *************************************************/
705
706 /* This function is called by the -bv and -bt code. It extracts a working
707 address from a full RFC 822 address. This isn't really necessary per se, but it
708 has the effect of collapsing source routes.
709
710 Arguments:
711   s            the address string
712   flags        flag bits for verify_address()
713   exit_value   to be set for failures
714
715 Returns:       nothing
716 */
717
718 static void
719 test_address(uschar *s, int flags, int *exit_value)
720 {
721 int start, end, domain;
722 uschar *parse_error = NULL;
723 uschar *address = parse_extract_address(s, &parse_error, &start, &end, &domain,
724   FALSE);
725 if (address == NULL)
726   {
727   fprintf(stdout, "syntax error: %s\n", parse_error);
728   *exit_value = 2;
729   }
730 else
731   {
732   int rc = verify_address(deliver_make_addr(address,TRUE), stdout, flags, -1,
733     -1, -1, NULL, NULL, NULL);
734   if (rc == FAIL) *exit_value = 2;
735     else if (rc == DEFER && *exit_value == 0) *exit_value = 1;
736   }
737 }
738
739
740
741 /*************************************************
742 *          Show supported features               *
743 *************************************************/
744
745 /* This function is called for -bV/--version and for -d to output the optional
746 features of the current Exim binary.
747
748 Arguments:  a FILE for printing
749 Returns:    nothing
750 */
751
752 static void
753 show_whats_supported(FILE *f)
754 {
755   auth_info *authi;
756
757 #ifdef DB_VERSION_STRING
758 fprintf(f, "Berkeley DB: %s\n", DB_VERSION_STRING);
759 #elif defined(BTREEVERSION) && defined(HASHVERSION)
760   #ifdef USE_DB
761   fprintf(f, "Probably Berkeley DB version 1.8x (native mode)\n");
762   #else
763   fprintf(f, "Probably Berkeley DB version 1.8x (compatibility mode)\n");
764   #endif
765 #elif defined(_DBM_RDONLY) || defined(dbm_dirfno)
766 fprintf(f, "Probably ndbm\n");
767 #elif defined(USE_TDB)
768 fprintf(f, "Using tdb\n");
769 #else
770   #ifdef USE_GDBM
771   fprintf(f, "Probably GDBM (native mode)\n");
772   #else
773   fprintf(f, "Probably GDBM (compatibility mode)\n");
774   #endif
775 #endif
776
777 fprintf(f, "Support for:");
778 #ifdef SUPPORT_CRYPTEQ
779   fprintf(f, " crypteq");
780 #endif
781 #if HAVE_ICONV
782   fprintf(f, " iconv()");
783 #endif
784 #if HAVE_IPV6
785   fprintf(f, " IPv6");
786 #endif
787 #ifdef HAVE_SETCLASSRESOURCES
788   fprintf(f, " use_setclassresources");
789 #endif
790 #ifdef SUPPORT_PAM
791   fprintf(f, " PAM");
792 #endif
793 #ifdef EXIM_PERL
794   fprintf(f, " Perl");
795 #endif
796 #ifdef EXPAND_DLFUNC
797   fprintf(f, " Expand_dlfunc");
798 #endif
799 #ifdef USE_TCP_WRAPPERS
800   fprintf(f, " TCPwrappers");
801 #endif
802 #ifdef SUPPORT_TLS
803   #ifdef USE_GNUTLS
804   fprintf(f, " GnuTLS");
805   #else
806   fprintf(f, " OpenSSL");
807   #endif
808 #endif
809 #ifdef SUPPORT_TRANSLATE_IP_ADDRESS
810   fprintf(f, " translate_ip_address");
811 #endif
812 #ifdef SUPPORT_MOVE_FROZEN_MESSAGES
813   fprintf(f, " move_frozen_messages");
814 #endif
815 #ifdef WITH_CONTENT_SCAN
816   fprintf(f, " Content_Scanning");
817 #endif
818 #ifndef DISABLE_DKIM
819   fprintf(f, " DKIM");
820 #endif
821 #ifndef DISABLE_DNSSEC
822   fprintf(f, " DNSSEC");
823 #endif
824 #ifndef DISABLE_EVENT
825   fprintf(f, " Event");
826 #endif
827 #ifdef SUPPORT_I18N
828   fprintf(f, " I18N");
829 #endif
830 #ifndef DISABLE_OCSP
831   fprintf(f, " OCSP");
832 #endif
833 #ifndef DISABLE_PRDR
834   fprintf(f, " PRDR");
835 #endif
836 #ifdef SUPPORT_PROXY
837   fprintf(f, " PROXY");
838 #endif
839 #ifdef SUPPORT_SOCKS
840   fprintf(f, " SOCKS");
841 #endif
842 #ifdef TCP_FASTOPEN
843   deliver_init();
844   if (tcp_fastopen_ok) fprintf(f, " TCP_Fast_Open");
845 #endif
846 #ifdef EXPERIMENTAL_LMDB
847   fprintf(f, " Experimental_LMDB");
848 #endif
849 #ifdef EXPERIMENTAL_QUEUEFILE
850   fprintf(f, " Experimental_QUEUEFILE");
851 #endif
852 #ifdef EXPERIMENTAL_SPF
853   fprintf(f, " Experimental_SPF");
854 #endif
855 #ifdef EXPERIMENTAL_SRS
856   fprintf(f, " Experimental_SRS");
857 #endif
858 #ifdef EXPERIMENTAL_BRIGHTMAIL
859   fprintf(f, " Experimental_Brightmail");
860 #endif
861 #ifdef EXPERIMENTAL_DANE
862   fprintf(f, " Experimental_DANE");
863 #endif
864 #ifdef EXPERIMENTAL_DCC
865   fprintf(f, " Experimental_DCC");
866 #endif
867 #ifdef EXPERIMENTAL_DMARC
868   fprintf(f, " Experimental_DMARC");
869 #endif
870 #ifdef EXPERIMENTAL_DSN_INFO
871   fprintf(f, " Experimental_DSN_info");
872 #endif
873 fprintf(f, "\n");
874
875 fprintf(f, "Lookups (built-in):");
876 #if defined(LOOKUP_LSEARCH) && LOOKUP_LSEARCH!=2
877   fprintf(f, " lsearch wildlsearch nwildlsearch iplsearch");
878 #endif
879 #if defined(LOOKUP_CDB) && LOOKUP_CDB!=2
880   fprintf(f, " cdb");
881 #endif
882 #if defined(LOOKUP_DBM) && LOOKUP_DBM!=2
883   fprintf(f, " dbm dbmjz dbmnz");
884 #endif
885 #if defined(LOOKUP_DNSDB) && LOOKUP_DNSDB!=2
886   fprintf(f, " dnsdb");
887 #endif
888 #if defined(LOOKUP_DSEARCH) && LOOKUP_DSEARCH!=2
889   fprintf(f, " dsearch");
890 #endif
891 #if defined(LOOKUP_IBASE) && LOOKUP_IBASE!=2
892   fprintf(f, " ibase");
893 #endif
894 #if defined(LOOKUP_LDAP) && LOOKUP_LDAP!=2
895   fprintf(f, " ldap ldapdn ldapm");
896 #endif
897 #ifdef EXPERIMENTAL_LMDB
898   fprintf(f, " lmdb");
899 #endif
900 #if defined(LOOKUP_MYSQL) && LOOKUP_MYSQL!=2
901   fprintf(f, " mysql");
902 #endif
903 #if defined(LOOKUP_NIS) && LOOKUP_NIS!=2
904   fprintf(f, " nis nis0");
905 #endif
906 #if defined(LOOKUP_NISPLUS) && LOOKUP_NISPLUS!=2
907   fprintf(f, " nisplus");
908 #endif
909 #if defined(LOOKUP_ORACLE) && LOOKUP_ORACLE!=2
910   fprintf(f, " oracle");
911 #endif
912 #if defined(LOOKUP_PASSWD) && LOOKUP_PASSWD!=2
913   fprintf(f, " passwd");
914 #endif
915 #if defined(LOOKUP_PGSQL) && LOOKUP_PGSQL!=2
916   fprintf(f, " pgsql");
917 #endif
918 #if defined(LOOKUP_REDIS) && LOOKUP_REDIS!=2
919   fprintf(f, " redis");
920 #endif
921 #if defined(LOOKUP_SQLITE) && LOOKUP_SQLITE!=2
922   fprintf(f, " sqlite");
923 #endif
924 #if defined(LOOKUP_TESTDB) && LOOKUP_TESTDB!=2
925   fprintf(f, " testdb");
926 #endif
927 #if defined(LOOKUP_WHOSON) && LOOKUP_WHOSON!=2
928   fprintf(f, " whoson");
929 #endif
930 fprintf(f, "\n");
931
932 fprintf(f, "Authenticators:");
933 #ifdef AUTH_CRAM_MD5
934   fprintf(f, " cram_md5");
935 #endif
936 #ifdef AUTH_CYRUS_SASL
937   fprintf(f, " cyrus_sasl");
938 #endif
939 #ifdef AUTH_DOVECOT
940   fprintf(f, " dovecot");
941 #endif
942 #ifdef AUTH_GSASL
943   fprintf(f, " gsasl");
944 #endif
945 #ifdef AUTH_HEIMDAL_GSSAPI
946   fprintf(f, " heimdal_gssapi");
947 #endif
948 #ifdef AUTH_PLAINTEXT
949   fprintf(f, " plaintext");
950 #endif
951 #ifdef AUTH_SPA
952   fprintf(f, " spa");
953 #endif
954 #ifdef AUTH_TLS
955   fprintf(f, " tls");
956 #endif
957 fprintf(f, "\n");
958
959 fprintf(f, "Routers:");
960 #ifdef ROUTER_ACCEPT
961   fprintf(f, " accept");
962 #endif
963 #ifdef ROUTER_DNSLOOKUP
964   fprintf(f, " dnslookup");
965 #endif
966 #ifdef ROUTER_IPLITERAL
967   fprintf(f, " ipliteral");
968 #endif
969 #ifdef ROUTER_IPLOOKUP
970   fprintf(f, " iplookup");
971 #endif
972 #ifdef ROUTER_MANUALROUTE
973   fprintf(f, " manualroute");
974 #endif
975 #ifdef ROUTER_QUERYPROGRAM
976   fprintf(f, " queryprogram");
977 #endif
978 #ifdef ROUTER_REDIRECT
979   fprintf(f, " redirect");
980 #endif
981 fprintf(f, "\n");
982
983 fprintf(f, "Transports:");
984 #ifdef TRANSPORT_APPENDFILE
985   fprintf(f, " appendfile");
986   #ifdef SUPPORT_MAILDIR
987     fprintf(f, "/maildir");
988   #endif
989   #ifdef SUPPORT_MAILSTORE
990     fprintf(f, "/mailstore");
991   #endif
992   #ifdef SUPPORT_MBX
993     fprintf(f, "/mbx");
994   #endif
995 #endif
996 #ifdef TRANSPORT_AUTOREPLY
997   fprintf(f, " autoreply");
998 #endif
999 #ifdef TRANSPORT_LMTP
1000   fprintf(f, " lmtp");
1001 #endif
1002 #ifdef TRANSPORT_PIPE
1003   fprintf(f, " pipe");
1004 #endif
1005 #ifdef EXPERIMENTAL_QUEUEFILE
1006   fprintf(f, " queuefile");
1007 #endif
1008 #ifdef TRANSPORT_SMTP
1009   fprintf(f, " smtp");
1010 #endif
1011 fprintf(f, "\n");
1012
1013 if (fixed_never_users[0] > 0)
1014   {
1015   int i;
1016   fprintf(f, "Fixed never_users: ");
1017   for (i = 1; i <= (int)fixed_never_users[0] - 1; i++)
1018     fprintf(f, "%d:", (unsigned int)fixed_never_users[i]);
1019   fprintf(f, "%d\n", (unsigned int)fixed_never_users[i]);
1020   }
1021
1022 fprintf(f, "Configure owner: %d:%d\n", config_uid, config_gid);
1023
1024 fprintf(f, "Size of off_t: " SIZE_T_FMT "\n", sizeof(off_t));
1025
1026 /* Everything else is details which are only worth reporting when debugging.
1027 Perhaps the tls_version_report should move into this too. */
1028 DEBUG(D_any) do {
1029
1030   int i;
1031
1032 /* clang defines __GNUC__ (at least, for me) so test for it first */
1033 #if defined(__clang__)
1034   fprintf(f, "Compiler: CLang [%s]\n", __clang_version__);
1035 #elif defined(__GNUC__)
1036   fprintf(f, "Compiler: GCC [%s]\n",
1037 # ifdef __VERSION__
1038       __VERSION__
1039 # else
1040       "? unknown version ?"
1041 # endif
1042       );
1043 #else
1044   fprintf(f, "Compiler: <unknown>\n");
1045 #endif
1046
1047 #if defined(__GLIBC__) && !defined(__UCLIBC__)
1048   fprintf(f, "Library version: Glibc: Compile: %d.%d\n",
1049                 __GLIBC__, __GLIBC_MINOR__);
1050   if (__GLIBC_PREREQ(2, 1))
1051     fprintf(f, "                        Runtime: %s\n",
1052                 gnu_get_libc_version());
1053 #endif
1054
1055 #ifdef SUPPORT_TLS
1056   tls_version_report(f);
1057 #endif
1058 #ifdef SUPPORT_I18N
1059   utf8_version_report(f);
1060 #endif
1061
1062   for (authi = auths_available; *authi->driver_name != '\0'; ++authi)
1063     if (authi->version_report)
1064       (*authi->version_report)(f);
1065
1066   /* PCRE_PRERELEASE is either defined and empty or a bare sequence of
1067   characters; unless it's an ancient version of PCRE in which case it
1068   is not defined. */
1069 #ifndef PCRE_PRERELEASE
1070 # define PCRE_PRERELEASE
1071 #endif
1072 #define QUOTE(X) #X
1073 #define EXPAND_AND_QUOTE(X) QUOTE(X)
1074   fprintf(f, "Library version: PCRE: Compile: %d.%d%s\n"
1075              "                       Runtime: %s\n",
1076           PCRE_MAJOR, PCRE_MINOR,
1077           EXPAND_AND_QUOTE(PCRE_PRERELEASE) "",
1078           pcre_version());
1079 #undef QUOTE
1080 #undef EXPAND_AND_QUOTE
1081
1082   init_lookup_list();
1083   for (i = 0; i < lookup_list_count; i++)
1084     if (lookup_list[i]->version_report)
1085       lookup_list[i]->version_report(f);
1086
1087 #ifdef WHITELIST_D_MACROS
1088   fprintf(f, "WHITELIST_D_MACROS: \"%s\"\n", WHITELIST_D_MACROS);
1089 #else
1090   fprintf(f, "WHITELIST_D_MACROS unset\n");
1091 #endif
1092 #ifdef TRUSTED_CONFIG_LIST
1093   fprintf(f, "TRUSTED_CONFIG_LIST: \"%s\"\n", TRUSTED_CONFIG_LIST);
1094 #else
1095   fprintf(f, "TRUSTED_CONFIG_LIST unset\n");
1096 #endif
1097
1098 } while (0);
1099 }
1100
1101
1102 /*************************************************
1103 *     Show auxiliary information about Exim      *
1104 *************************************************/
1105
1106 static void
1107 show_exim_information(enum commandline_info request, FILE *stream)
1108 {
1109 const uschar **pp;
1110
1111 switch(request)
1112   {
1113   case CMDINFO_NONE:
1114     fprintf(stream, "Oops, something went wrong.\n");
1115     return;
1116   case CMDINFO_HELP:
1117     fprintf(stream,
1118 "The -bI: flag takes a string indicating which information to provide.\n"
1119 "If the string is not recognised, you'll get this help (on stderr).\n"
1120 "\n"
1121 "  exim -bI:help    this information\n"
1122 "  exim -bI:dscp    dscp value keywords known\n"
1123 "  exim -bI:sieve   list of supported sieve extensions, one per line.\n"
1124 );
1125     return;
1126   case CMDINFO_SIEVE:
1127     for (pp = exim_sieve_extension_list; *pp; ++pp)
1128       fprintf(stream, "%s\n", *pp);
1129     return;
1130   case CMDINFO_DSCP:
1131     dscp_list_to_stream(stream);
1132     return;
1133   }
1134 }
1135
1136
1137 /*************************************************
1138 *               Quote a local part               *
1139 *************************************************/
1140
1141 /* This function is used when a sender address or a From: or Sender: header
1142 line is being created from the caller's login, or from an authenticated_id. It
1143 applies appropriate quoting rules for a local part.
1144
1145 Argument:    the local part
1146 Returns:     the local part, quoted if necessary
1147 */
1148
1149 uschar *
1150 local_part_quote(uschar *lpart)
1151 {
1152 BOOL needs_quote = FALSE;
1153 gstring * g;
1154 uschar *t;
1155
1156 for (t = lpart; !needs_quote && *t != 0; t++)
1157   {
1158   needs_quote = !isalnum(*t) && strchr("!#$%&'*+-/=?^_`{|}~", *t) == NULL &&
1159     (*t != '.' || t == lpart || t[1] == 0);
1160   }
1161
1162 if (!needs_quote) return lpart;
1163
1164 g = string_catn(NULL, US"\"", 1);
1165
1166 for (;;)
1167   {
1168   uschar *nq = US Ustrpbrk(lpart, "\\\"");
1169   if (nq == NULL)
1170     {
1171     g = string_cat(g, lpart);
1172     break;
1173     }
1174   g = string_catn(g, lpart, nq - lpart);
1175   g = string_catn(g, US"\\", 1);
1176   g = string_catn(g, nq, 1);
1177   lpart = nq + 1;
1178   }
1179
1180 g = string_catn(g, US"\"", 1);
1181 return string_from_gstring(g);
1182 }
1183
1184
1185
1186 #ifdef USE_READLINE
1187 /*************************************************
1188 *         Load readline() functions              *
1189 *************************************************/
1190
1191 /* This function is called from testing executions that read data from stdin,
1192 but only when running as the calling user. Currently, only -be does this. The
1193 function loads the readline() function library and passes back the functions.
1194 On some systems, it needs the curses library, so load that too, but try without
1195 it if loading fails. All this functionality has to be requested at build time.
1196
1197 Arguments:
1198   fn_readline_ptr   pointer to where to put the readline pointer
1199   fn_addhist_ptr    pointer to where to put the addhistory function
1200
1201 Returns:            the dlopen handle or NULL on failure
1202 */
1203
1204 static void *
1205 set_readline(char * (**fn_readline_ptr)(const char *),
1206              void   (**fn_addhist_ptr)(const char *))
1207 {
1208 void *dlhandle;
1209 void *dlhandle_curses = dlopen("libcurses." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_LAZY);
1210
1211 dlhandle = dlopen("libreadline." DYNLIB_FN_EXT, RTLD_GLOBAL|RTLD_NOW);
1212 if (dlhandle_curses != NULL) dlclose(dlhandle_curses);
1213
1214 if (dlhandle != NULL)
1215   {
1216   /* Checked manual pages; at least in GNU Readline 6.1, the prototypes are:
1217    *   char * readline (const char *prompt);
1218    *   void add_history (const char *string);
1219    */
1220   *fn_readline_ptr = (char *(*)(const char*))dlsym(dlhandle, "readline");
1221   *fn_addhist_ptr = (void(*)(const char*))dlsym(dlhandle, "add_history");
1222   }
1223 else
1224   {
1225   DEBUG(D_any) debug_printf("failed to load readline: %s\n", dlerror());
1226   }
1227
1228 return dlhandle;
1229 }
1230 #endif
1231
1232
1233
1234 /*************************************************
1235 *    Get a line from stdin for testing things    *
1236 *************************************************/
1237
1238 /* This function is called when running tests that can take a number of lines
1239 of input (for example, -be and -bt). It handles continuations and trailing
1240 spaces. And prompting and a blank line output on eof. If readline() is in use,
1241 the arguments are non-NULL and provide the relevant functions.
1242
1243 Arguments:
1244   fn_readline   readline function or NULL
1245   fn_addhist    addhist function or NULL
1246
1247 Returns:        pointer to dynamic memory, or NULL at end of file
1248 */
1249
1250 static uschar *
1251 get_stdinput(char *(*fn_readline)(const char *), void(*fn_addhist)(const char *))
1252 {
1253 int i;
1254 gstring * g = NULL;
1255
1256 if (!fn_readline) { printf("> "); fflush(stdout); }
1257
1258 for (i = 0;; i++)
1259   {
1260   uschar buffer[1024];
1261   uschar *p, *ss;
1262
1263   #ifdef USE_READLINE
1264   char *readline_line = NULL;
1265   if (fn_readline != NULL)
1266     {
1267     if ((readline_line = fn_readline((i > 0)? "":"> ")) == NULL) break;
1268     if (*readline_line != 0 && fn_addhist != NULL) fn_addhist(readline_line);
1269     p = US readline_line;
1270     }
1271   else
1272   #endif
1273
1274   /* readline() not in use */
1275
1276     {
1277     if (Ufgets(buffer, sizeof(buffer), stdin) == NULL) break;
1278     p = buffer;
1279     }
1280
1281   /* Handle the line */
1282
1283   ss = p + (int)Ustrlen(p);
1284   while (ss > p && isspace(ss[-1])) ss--;
1285
1286   if (i > 0)
1287     {
1288     while (p < ss && isspace(*p)) p++;   /* leading space after cont */
1289     }
1290
1291   g = string_catn(g, p, ss - p);
1292
1293   #ifdef USE_READLINE
1294   if (fn_readline) free(readline_line);
1295   #endif
1296
1297   /* g can only be NULL if ss==p */
1298   if (ss == p || g->s[g->ptr-1] != '\\')
1299     break;
1300
1301   --g->ptr;
1302   (void) string_from_gstring(g);
1303   }
1304
1305 if (!g) printf("\n");
1306 return string_from_gstring(g);
1307 }
1308
1309
1310
1311 /*************************************************
1312 *    Output usage information for the program    *
1313 *************************************************/
1314
1315 /* This function is called when there are no recipients
1316    or a specific --help argument was added.
1317
1318 Arguments:
1319   progname      information on what name we were called by
1320
1321 Returns:        DOES NOT RETURN
1322 */
1323
1324 static void
1325 exim_usage(uschar *progname)
1326 {
1327
1328 /* Handle specific program invocation variants */
1329 if (Ustrcmp(progname, US"-mailq") == 0)
1330   {
1331   fprintf(stderr,
1332     "mailq - list the contents of the mail queue\n\n"
1333     "For a list of options, see the Exim documentation.\n");
1334   exit(EXIT_FAILURE);
1335   }
1336
1337 /* Generic usage - we output this whatever happens */
1338 fprintf(stderr,
1339   "Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,\n"
1340   "not directly from a shell command line. Options and/or arguments control\n"
1341   "what it does when called. For a list of options, see the Exim documentation.\n");
1342
1343 exit(EXIT_FAILURE);
1344 }
1345
1346
1347
1348 /*************************************************
1349 *    Validate that the macros given are okay     *
1350 *************************************************/
1351
1352 /* Typically, Exim will drop privileges if macros are supplied.  In some
1353 cases, we want to not do so.
1354
1355 Arguments:    opt_D_used - true if the commandline had a "-D" option
1356 Returns:      true if trusted, false otherwise
1357 */
1358
1359 static BOOL
1360 macros_trusted(BOOL opt_D_used)
1361 {
1362 #ifdef WHITELIST_D_MACROS
1363 macro_item *m;
1364 uschar *whitelisted, *end, *p, **whites, **w;
1365 int white_count, i, n;
1366 size_t len;
1367 BOOL prev_char_item, found;
1368 #endif
1369
1370 if (!opt_D_used)
1371   return TRUE;
1372 #ifndef WHITELIST_D_MACROS
1373 return FALSE;
1374 #else
1375
1376 /* We only trust -D overrides for some invoking users:
1377 root, the exim run-time user, the optional config owner user.
1378 I don't know why config-owner would be needed, but since they can own the
1379 config files anyway, there's no security risk to letting them override -D. */
1380 if ( ! ((real_uid == root_uid)
1381      || (real_uid == exim_uid)
1382 #ifdef CONFIGURE_OWNER
1383      || (real_uid == config_uid)
1384 #endif
1385    ))
1386   {
1387   debug_printf("macros_trusted rejecting macros for uid %d\n", (int) real_uid);
1388   return FALSE;
1389   }
1390
1391 /* Get a list of macros which are whitelisted */
1392 whitelisted = string_copy_malloc(US WHITELIST_D_MACROS);
1393 prev_char_item = FALSE;
1394 white_count = 0;
1395 for (p = whitelisted; *p != '\0'; ++p)
1396   {
1397   if (*p == ':' || isspace(*p))
1398     {
1399     *p = '\0';
1400     if (prev_char_item)
1401       ++white_count;
1402     prev_char_item = FALSE;
1403     continue;
1404     }
1405   if (!prev_char_item)
1406     prev_char_item = TRUE;
1407   }
1408 end = p;
1409 if (prev_char_item)
1410   ++white_count;
1411 if (!white_count)
1412   return FALSE;
1413 whites = store_malloc(sizeof(uschar *) * (white_count+1));
1414 for (p = whitelisted, i = 0; (p != end) && (i < white_count); ++p)
1415   {
1416   if (*p != '\0')
1417     {
1418     whites[i++] = p;
1419     if (i == white_count)
1420       break;
1421     while (*p != '\0' && p < end)
1422       ++p;
1423     }
1424   }
1425 whites[i] = NULL;
1426
1427 /* The list of commandline macros should be very short.
1428 Accept the N*M complexity. */
1429 for (m = macros; m; m = m->next) if (m->command_line)
1430   {
1431   found = FALSE;
1432   for (w = whites; *w; ++w)
1433     if (Ustrcmp(*w, m->name) == 0)
1434       {
1435       found = TRUE;
1436       break;
1437       }
1438   if (!found)
1439     return FALSE;
1440   if (!m->replacement)
1441     continue;
1442   if ((len = m->replen) == 0)
1443     continue;
1444   n = pcre_exec(regex_whitelisted_macro, NULL, CS m->replacement, len,
1445    0, PCRE_EOPT, NULL, 0);
1446   if (n < 0)
1447     {
1448     if (n != PCRE_ERROR_NOMATCH)
1449       debug_printf("macros_trusted checking %s returned %d\n", m->name, n);
1450     return FALSE;
1451     }
1452   }
1453 DEBUG(D_any) debug_printf("macros_trusted overridden to true by whitelisting\n");
1454 return TRUE;
1455 #endif
1456 }
1457
1458
1459 /*************************************************
1460 *          Entry point and high-level code       *
1461 *************************************************/
1462
1463 /* Entry point for the Exim mailer. Analyse the arguments and arrange to take
1464 the appropriate action. All the necessary functions are present in the one
1465 binary. I originally thought one should split it up, but it turns out that so
1466 much of the apparatus is needed in each chunk that one might as well just have
1467 it all available all the time, which then makes the coding easier as well.
1468
1469 Arguments:
1470   argc      count of entries in argv
1471   argv      argument strings, with argv[0] being the program name
1472
1473 Returns:    EXIT_SUCCESS if terminated successfully
1474             EXIT_FAILURE otherwise, except when a message has been sent
1475               to the sender, and -oee was given
1476 */
1477
1478 int
1479 main(int argc, char **cargv)
1480 {
1481 uschar **argv = USS cargv;
1482 int  arg_receive_timeout = -1;
1483 int  arg_smtp_receive_timeout = -1;
1484 int  arg_error_handling = error_handling;
1485 int  filter_sfd = -1;
1486 int  filter_ufd = -1;
1487 int  group_count;
1488 int  i, rv;
1489 int  list_queue_option = 0;
1490 int  msg_action = 0;
1491 int  msg_action_arg = -1;
1492 int  namelen = (argv[0] == NULL)? 0 : Ustrlen(argv[0]);
1493 int  queue_only_reason = 0;
1494 #ifdef EXIM_PERL
1495 int  perl_start_option = 0;
1496 #endif
1497 int  recipients_arg = argc;
1498 int  sender_address_domain = 0;
1499 int  test_retry_arg = -1;
1500 int  test_rewrite_arg = -1;
1501 BOOL arg_queue_only = FALSE;
1502 BOOL bi_option = FALSE;
1503 BOOL checking = FALSE;
1504 BOOL count_queue = FALSE;
1505 BOOL expansion_test = FALSE;
1506 BOOL extract_recipients = FALSE;
1507 BOOL flag_G = FALSE;
1508 BOOL flag_n = FALSE;
1509 BOOL forced_delivery = FALSE;
1510 BOOL f_end_dot = FALSE;
1511 BOOL deliver_give_up = FALSE;
1512 BOOL list_queue = FALSE;
1513 BOOL list_options = FALSE;
1514 BOOL list_config = FALSE;
1515 BOOL local_queue_only;
1516 BOOL more = TRUE;
1517 BOOL one_msg_action = FALSE;
1518 BOOL opt_D_used = FALSE;
1519 BOOL queue_only_set = FALSE;
1520 BOOL receiving_message = TRUE;
1521 BOOL sender_ident_set = FALSE;
1522 BOOL session_local_queue_only;
1523 BOOL unprivileged;
1524 BOOL removed_privilege = FALSE;
1525 BOOL usage_wanted = FALSE;
1526 BOOL verify_address_mode = FALSE;
1527 BOOL verify_as_sender = FALSE;
1528 BOOL version_printed = FALSE;
1529 uschar *alias_arg = NULL;
1530 uschar *called_as = US"";
1531 uschar *cmdline_syslog_name = NULL;
1532 uschar *start_queue_run_id = NULL;
1533 uschar *stop_queue_run_id = NULL;
1534 uschar *expansion_test_message = NULL;
1535 uschar *ftest_domain = NULL;
1536 uschar *ftest_localpart = NULL;
1537 uschar *ftest_prefix = NULL;
1538 uschar *ftest_suffix = NULL;
1539 uschar *log_oneline = NULL;
1540 uschar *malware_test_file = NULL;
1541 uschar *real_sender_address;
1542 uschar *originator_home = US"/";
1543 size_t sz;
1544 void *reset_point;
1545
1546 struct passwd *pw;
1547 struct stat statbuf;
1548 pid_t passed_qr_pid = (pid_t)0;
1549 int passed_qr_pipe = -1;
1550 gid_t group_list[NGROUPS_MAX];
1551
1552 /* For the -bI: flag */
1553 enum commandline_info info_flag = CMDINFO_NONE;
1554 BOOL info_stdout = FALSE;
1555
1556 /* Possible options for -R and -S */
1557
1558 static uschar *rsopts[] = { US"f", US"ff", US"r", US"rf", US"rff" };
1559
1560 /* Need to define this in case we need to change the environment in order
1561 to get rid of a bogus time zone. We have to make it char rather than uschar
1562 because some OS define it in /usr/include/unistd.h. */
1563
1564 extern char **environ;
1565
1566 /* If the Exim user and/or group and/or the configuration file owner/group were
1567 defined by ref:name at build time, we must now find the actual uid/gid values.
1568 This is a feature to make the lives of binary distributors easier. */
1569
1570 #ifdef EXIM_USERNAME
1571 if (route_finduser(US EXIM_USERNAME, &pw, &exim_uid))
1572   {
1573   if (exim_uid == 0)
1574     {
1575     fprintf(stderr, "exim: refusing to run with uid 0 for \"%s\"\n",
1576       EXIM_USERNAME);
1577     exit(EXIT_FAILURE);
1578     }
1579   /* If ref:name uses a number as the name, route_finduser() returns
1580   TRUE with exim_uid set and pw coerced to NULL. */
1581   if (pw)
1582     exim_gid = pw->pw_gid;
1583 #ifndef EXIM_GROUPNAME
1584   else
1585     {
1586     fprintf(stderr,
1587         "exim: ref:name should specify a usercode, not a group.\n"
1588         "exim: can't let you get away with it unless you also specify a group.\n");
1589     exit(EXIT_FAILURE);
1590     }
1591 #endif
1592   }
1593 else
1594   {
1595   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1596     EXIM_USERNAME);
1597   exit(EXIT_FAILURE);
1598   }
1599 #endif
1600
1601 #ifdef EXIM_GROUPNAME
1602 if (!route_findgroup(US EXIM_GROUPNAME, &exim_gid))
1603   {
1604   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1605     EXIM_GROUPNAME);
1606   exit(EXIT_FAILURE);
1607   }
1608 #endif
1609
1610 #ifdef CONFIGURE_OWNERNAME
1611 if (!route_finduser(US CONFIGURE_OWNERNAME, NULL, &config_uid))
1612   {
1613   fprintf(stderr, "exim: failed to find uid for user name \"%s\"\n",
1614     CONFIGURE_OWNERNAME);
1615   exit(EXIT_FAILURE);
1616   }
1617 #endif
1618
1619 /* We default the system_filter_user to be the Exim run-time user, as a
1620 sane non-root value. */
1621 system_filter_uid = exim_uid;
1622
1623 #ifdef CONFIGURE_GROUPNAME
1624 if (!route_findgroup(US CONFIGURE_GROUPNAME, &config_gid))
1625   {
1626   fprintf(stderr, "exim: failed to find gid for group name \"%s\"\n",
1627     CONFIGURE_GROUPNAME);
1628   exit(EXIT_FAILURE);
1629   }
1630 #endif
1631
1632 /* In the Cygwin environment, some initialization used to need doing.
1633 It was fudged in by means of this macro; now no longer but we'll leave
1634 it in case of others. */
1635
1636 #ifdef OS_INIT
1637 OS_INIT
1638 #endif
1639
1640 /* Check a field which is patched when we are running Exim within its
1641 testing harness; do a fast initial check, and then the whole thing. */
1642
1643 running_in_test_harness =
1644   *running_status == '<' && Ustrcmp(running_status, "<<<testing>>>") == 0;
1645
1646 /* The C standard says that the equivalent of setlocale(LC_ALL, "C") is obeyed
1647 at the start of a program; however, it seems that some environments do not
1648 follow this. A "strange" locale can affect the formatting of timestamps, so we
1649 make quite sure. */
1650
1651 setlocale(LC_ALL, "C");
1652
1653 /* Set up the default handler for timing using alarm(). */
1654
1655 os_non_restarting_signal(SIGALRM, sigalrm_handler);
1656
1657 /* Ensure we have a buffer for constructing log entries. Use malloc directly,
1658 because store_malloc writes a log entry on failure. */
1659
1660 if (!(log_buffer = US malloc(LOG_BUFFER_SIZE)))
1661   {
1662   fprintf(stderr, "exim: failed to get store for log buffer\n");
1663   exit(EXIT_FAILURE);
1664   }
1665
1666 /* Initialize the default log options. */
1667
1668 bits_set(log_selector, log_selector_size, log_default);
1669
1670 /* Set log_stderr to stderr, provided that stderr exists. This gets reset to
1671 NULL when the daemon is run and the file is closed. We have to use this
1672 indirection, because some systems don't allow writing to the variable "stderr".
1673 */
1674
1675 if (fstat(fileno(stderr), &statbuf) >= 0) log_stderr = stderr;
1676
1677 /* Arrange for the PCRE regex library to use our store functions. Note that
1678 the normal calls are actually macros that add additional arguments for
1679 debugging purposes so we have to assign specially constructed functions here.
1680 The default is to use store in the stacking pool, but this is overridden in the
1681 regex_must_compile() function. */
1682
1683 pcre_malloc = function_store_get;
1684 pcre_free = function_dummy_free;
1685
1686 /* Ensure there is a big buffer for temporary use in several places. It is put
1687 in malloc store so that it can be freed for enlargement if necessary. */
1688
1689 big_buffer = store_malloc(big_buffer_size);
1690
1691 /* Set up the handler for the data request signal, and set the initial
1692 descriptive text. */
1693
1694 set_process_info("initializing");
1695 os_restarting_signal(SIGUSR1, usr1_handler);
1696
1697 /* SIGHUP is used to get the daemon to reconfigure. It gets set as appropriate
1698 in the daemon code. For the rest of Exim's uses, we ignore it. */
1699
1700 signal(SIGHUP, SIG_IGN);
1701
1702 /* We don't want to die on pipe errors as the code is written to handle
1703 the write error instead. */
1704
1705 signal(SIGPIPE, SIG_IGN);
1706
1707 /* Under some circumstance on some OS, Exim can get called with SIGCHLD
1708 set to SIG_IGN. This causes subprocesses that complete before the parent
1709 process waits for them not to hang around, so when Exim calls wait(), nothing
1710 is there. The wait() code has been made robust against this, but let's ensure
1711 that SIGCHLD is set to SIG_DFL, because it's tidier to wait and get a process
1712 ending status. We use sigaction rather than plain signal() on those OS where
1713 SA_NOCLDWAIT exists, because we want to be sure it is turned off. (There was a
1714 problem on AIX with this.) */
1715
1716 #ifdef SA_NOCLDWAIT
1717   {
1718   struct sigaction act;
1719   act.sa_handler = SIG_DFL;
1720   sigemptyset(&(act.sa_mask));
1721   act.sa_flags = 0;
1722   sigaction(SIGCHLD, &act, NULL);
1723   }
1724 #else
1725 signal(SIGCHLD, SIG_DFL);
1726 #endif
1727
1728 /* Save the arguments for use if we re-exec exim as a daemon after receiving
1729 SIGHUP. */
1730
1731 sighup_argv = argv;
1732
1733 /* Set up the version number. Set up the leading 'E' for the external form of
1734 message ids, set the pointer to the internal form, and initialize it to
1735 indicate no message being processed. */
1736
1737 version_init();
1738 message_id_option[0] = '-';
1739 message_id_external = message_id_option + 1;
1740 message_id_external[0] = 'E';
1741 message_id = message_id_external + 1;
1742 message_id[0] = 0;
1743
1744 /* Set the umask to zero so that any files Exim creates using open() are
1745 created with the modes that it specifies. NOTE: Files created with fopen() have
1746 a problem, which was not recognized till rather late (February 2006). With this
1747 umask, such files will be world writeable. (They are all content scanning files
1748 in the spool directory, which isn't world-accessible, so this is not a
1749 disaster, but it's untidy.) I don't want to change this overall setting,
1750 however, because it will interact badly with the open() calls. Instead, there's
1751 now a function called modefopen() that fiddles with the umask while calling
1752 fopen(). */
1753
1754 (void)umask(0);
1755
1756 /* Precompile the regular expression for matching a message id. Keep this in
1757 step with the code that generates ids in the accept.c module. We need to do
1758 this here, because the -M options check their arguments for syntactic validity
1759 using mac_ismsgid, which uses this. */
1760
1761 regex_ismsgid =
1762   regex_must_compile(US"^(?:[^\\W_]{6}-){2}[^\\W_]{2}$", FALSE, TRUE);
1763
1764 /* Precompile the regular expression that is used for matching an SMTP error
1765 code, possibly extended, at the start of an error message. Note that the
1766 terminating whitespace character is included. */
1767
1768 regex_smtp_code =
1769   regex_must_compile(US"^\\d\\d\\d\\s(?:\\d\\.\\d\\d?\\d?\\.\\d\\d?\\d?\\s)?",
1770     FALSE, TRUE);
1771
1772 #ifdef WHITELIST_D_MACROS
1773 /* Precompile the regular expression used to filter the content of macros
1774 given to -D for permissibility. */
1775
1776 regex_whitelisted_macro =
1777   regex_must_compile(US"^[A-Za-z0-9_/.-]*$", FALSE, TRUE);
1778 #endif
1779
1780 for (i = 0; i < REGEX_VARS; i++) regex_vars[i] = NULL;
1781
1782 /* If the program is called as "mailq" treat it as equivalent to "exim -bp";
1783 this seems to be a generally accepted convention, since one finds symbolic
1784 links called "mailq" in standard OS configurations. */
1785
1786 if ((namelen == 5 && Ustrcmp(argv[0], "mailq") == 0) ||
1787     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/mailq", 6) == 0))
1788   {
1789   list_queue = TRUE;
1790   receiving_message = FALSE;
1791   called_as = US"-mailq";
1792   }
1793
1794 /* If the program is called as "rmail" treat it as equivalent to
1795 "exim -i -oee", thus allowing UUCP messages to be input using non-SMTP mode,
1796 i.e. preventing a single dot on a line from terminating the message, and
1797 returning with zero return code, even in cases of error (provided an error
1798 message has been sent). */
1799
1800 if ((namelen == 5 && Ustrcmp(argv[0], "rmail") == 0) ||
1801     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rmail", 6) == 0))
1802   {
1803   dot_ends = FALSE;
1804   called_as = US"-rmail";
1805   errors_sender_rc = EXIT_SUCCESS;
1806   }
1807
1808 /* If the program is called as "rsmtp" treat it as equivalent to "exim -bS";
1809 this is a smail convention. */
1810
1811 if ((namelen == 5 && Ustrcmp(argv[0], "rsmtp") == 0) ||
1812     (namelen  > 5 && Ustrncmp(argv[0] + namelen - 6, "/rsmtp", 6) == 0))
1813   {
1814   smtp_input = smtp_batched_input = TRUE;
1815   called_as = US"-rsmtp";
1816   }
1817
1818 /* If the program is called as "runq" treat it as equivalent to "exim -q";
1819 this is a smail convention. */
1820
1821 if ((namelen == 4 && Ustrcmp(argv[0], "runq") == 0) ||
1822     (namelen  > 4 && Ustrncmp(argv[0] + namelen - 5, "/runq", 5) == 0))
1823   {
1824   queue_interval = 0;
1825   receiving_message = FALSE;
1826   called_as = US"-runq";
1827   }
1828
1829 /* If the program is called as "newaliases" treat it as equivalent to
1830 "exim -bi"; this is a sendmail convention. */
1831
1832 if ((namelen == 10 && Ustrcmp(argv[0], "newaliases") == 0) ||
1833     (namelen  > 10 && Ustrncmp(argv[0] + namelen - 11, "/newaliases", 11) == 0))
1834   {
1835   bi_option = TRUE;
1836   receiving_message = FALSE;
1837   called_as = US"-newaliases";
1838   }
1839
1840 /* Save the original effective uid for a couple of uses later. It should
1841 normally be root, but in some esoteric environments it may not be. */
1842
1843 original_euid = geteuid();
1844
1845 /* Get the real uid and gid. If the caller is root, force the effective uid/gid
1846 to be the same as the real ones. This makes a difference only if Exim is setuid
1847 (or setgid) to something other than root, which could be the case in some
1848 special configurations. */
1849
1850 real_uid = getuid();
1851 real_gid = getgid();
1852
1853 if (real_uid == root_uid)
1854   {
1855   rv = setgid(real_gid);
1856   if (rv)
1857     {
1858     fprintf(stderr, "exim: setgid(%ld) failed: %s\n",
1859         (long int)real_gid, strerror(errno));
1860     exit(EXIT_FAILURE);
1861     }
1862   rv = setuid(real_uid);
1863   if (rv)
1864     {
1865     fprintf(stderr, "exim: setuid(%ld) failed: %s\n",
1866         (long int)real_uid, strerror(errno));
1867     exit(EXIT_FAILURE);
1868     }
1869   }
1870
1871 /* If neither the original real uid nor the original euid was root, Exim is
1872 running in an unprivileged state. */
1873
1874 unprivileged = (real_uid != root_uid && original_euid != root_uid);
1875
1876 /* Scan the program's arguments. Some can be dealt with right away; others are
1877 simply recorded for checking and handling afterwards. Do a high-level switch
1878 on the second character (the one after '-'), to save some effort. */
1879
1880 for (i = 1; i < argc; i++)
1881   {
1882   BOOL badarg = FALSE;
1883   uschar *arg = argv[i];
1884   uschar *argrest;
1885   int switchchar;
1886
1887   /* An argument not starting with '-' is the start of a recipients list;
1888   break out of the options-scanning loop. */
1889
1890   if (arg[0] != '-')
1891     {
1892     recipients_arg = i;
1893     break;
1894     }
1895
1896   /* An option consisting of -- terminates the options */
1897
1898   if (Ustrcmp(arg, "--") == 0)
1899     {
1900     recipients_arg = i + 1;
1901     break;
1902     }
1903
1904   /* Handle flagged options */
1905
1906   switchchar = arg[1];
1907   argrest = arg+2;
1908
1909   /* Make all -ex options synonymous with -oex arguments, since that
1910   is assumed by various callers. Also make -qR options synonymous with -R
1911   options, as that seems to be required as well. Allow for -qqR too, and
1912   the same for -S options. */
1913
1914   if (Ustrncmp(arg+1, "oe", 2) == 0 ||
1915       Ustrncmp(arg+1, "qR", 2) == 0 ||
1916       Ustrncmp(arg+1, "qS", 2) == 0)
1917     {
1918     switchchar = arg[2];
1919     argrest++;
1920     }
1921   else if (Ustrncmp(arg+1, "qqR", 3) == 0 || Ustrncmp(arg+1, "qqS", 3) == 0)
1922     {
1923     switchchar = arg[3];
1924     argrest += 2;
1925     queue_2stage = TRUE;
1926     }
1927
1928   /* Make -r synonymous with -f, since it is a documented alias */
1929
1930   else if (arg[1] == 'r') switchchar = 'f';
1931
1932   /* Make -ov synonymous with -v */
1933
1934   else if (Ustrcmp(arg, "-ov") == 0)
1935     {
1936     switchchar = 'v';
1937     argrest++;
1938     }
1939
1940   /* deal with --option_aliases */
1941   else if (switchchar == '-')
1942     {
1943     if (Ustrcmp(argrest, "help") == 0)
1944       {
1945       usage_wanted = TRUE;
1946       break;
1947       }
1948     else if (Ustrcmp(argrest, "version") == 0)
1949       {
1950       switchchar = 'b';
1951       argrest = US"V";
1952       }
1953     }
1954
1955   /* High-level switch on active initial letter */
1956
1957   switch(switchchar)
1958     {
1959
1960     /* sendmail uses -Ac and -Am to control which .cf file is used;
1961     we ignore them. */
1962     case 'A':
1963     if (*argrest == '\0') { badarg = TRUE; break; }
1964     else
1965       {
1966       BOOL ignore = FALSE;
1967       switch (*argrest)
1968         {
1969         case 'c':
1970         case 'm':
1971           if (*(argrest + 1) == '\0')
1972             ignore = TRUE;
1973           break;
1974         }
1975       if (!ignore) { badarg = TRUE; break; }
1976       }
1977     break;
1978
1979     /* -Btype is a sendmail option for 7bit/8bit setting. Exim is 8-bit clean
1980     so has no need of it. */
1981
1982     case 'B':
1983     if (*argrest == 0) i++;       /* Skip over the type */
1984     break;
1985
1986
1987     case 'b':
1988     receiving_message = FALSE;    /* Reset TRUE for -bm, -bS, -bs below */
1989
1990     /* -bd:  Run in daemon mode, awaiting SMTP connections.
1991        -bdf: Ditto, but in the foreground.
1992     */
1993
1994     if (*argrest == 'd')
1995       {
1996       daemon_listen = TRUE;
1997       if (*(++argrest) == 'f') background_daemon = FALSE;
1998         else if (*argrest != 0) { badarg = TRUE; break; }
1999       }
2000
2001     /* -be:  Run in expansion test mode
2002        -bem: Ditto, but read a message from a file first
2003     */
2004
2005     else if (*argrest == 'e')
2006       {
2007       expansion_test = checking = TRUE;
2008       if (argrest[1] == 'm')
2009         {
2010         if (++i >= argc) { badarg = TRUE; break; }
2011         expansion_test_message = argv[i];
2012         argrest++;
2013         }
2014       if (argrest[1] != 0) { badarg = TRUE; break; }
2015       }
2016
2017     /* -bF:  Run system filter test */
2018
2019     else if (*argrest == 'F')
2020       {
2021       filter_test |= checking = FTEST_SYSTEM;
2022       if (*(++argrest) != 0) { badarg = TRUE; break; }
2023       if (++i < argc) filter_test_sfile = argv[i]; else
2024         {
2025         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2026         exit(EXIT_FAILURE);
2027         }
2028       }
2029
2030     /* -bf:  Run user filter test
2031        -bfd: Set domain for filter testing
2032        -bfl: Set local part for filter testing
2033        -bfp: Set prefix for filter testing
2034        -bfs: Set suffix for filter testing
2035     */
2036
2037     else if (*argrest == 'f')
2038       {
2039       if (*(++argrest) == 0)
2040         {
2041         filter_test |= checking = FTEST_USER;
2042         if (++i < argc) filter_test_ufile = argv[i]; else
2043           {
2044           fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
2045           exit(EXIT_FAILURE);
2046           }
2047         }
2048       else
2049         {
2050         if (++i >= argc)
2051           {
2052           fprintf(stderr, "exim: string expected after %s\n", arg);
2053           exit(EXIT_FAILURE);
2054           }
2055         if (Ustrcmp(argrest, "d") == 0) ftest_domain = argv[i];
2056         else if (Ustrcmp(argrest, "l") == 0) ftest_localpart = argv[i];
2057         else if (Ustrcmp(argrest, "p") == 0) ftest_prefix = argv[i];
2058         else if (Ustrcmp(argrest, "s") == 0) ftest_suffix = argv[i];
2059         else { badarg = TRUE; break; }
2060         }
2061       }
2062
2063     /* -bh: Host checking - an IP address must follow. */
2064
2065     else if (Ustrcmp(argrest, "h") == 0 || Ustrcmp(argrest, "hc") == 0)
2066       {
2067       if (++i >= argc) { badarg = TRUE; break; }
2068       sender_host_address = argv[i];
2069       host_checking = checking = log_testing_mode = TRUE;
2070       host_checking_callout = argrest[1] == 'c';
2071       message_logs = FALSE;
2072       }
2073
2074     /* -bi: This option is used by sendmail to initialize *the* alias file,
2075     though it has the -oA option to specify a different file. Exim has no
2076     concept of *the* alias file, but since Sun's YP make script calls
2077     sendmail this way, some support must be provided. */
2078
2079     else if (Ustrcmp(argrest, "i") == 0) bi_option = TRUE;
2080
2081     /* -bI: provide information, of the type to follow after a colon.
2082     This is an Exim flag. */
2083
2084     else if (argrest[0] == 'I' && Ustrlen(argrest) >= 2 && argrest[1] == ':')
2085       {
2086       uschar *p = &argrest[2];
2087       info_flag = CMDINFO_HELP;
2088       if (Ustrlen(p))
2089         {
2090         if (strcmpic(p, CUS"sieve") == 0)
2091           {
2092           info_flag = CMDINFO_SIEVE;
2093           info_stdout = TRUE;
2094           }
2095         else if (strcmpic(p, CUS"dscp") == 0)
2096           {
2097           info_flag = CMDINFO_DSCP;
2098           info_stdout = TRUE;
2099           }
2100         else if (strcmpic(p, CUS"help") == 0)
2101           {
2102           info_stdout = TRUE;
2103           }
2104         }
2105       }
2106
2107     /* -bm: Accept and deliver message - the default option. Reinstate
2108     receiving_message, which got turned off for all -b options. */
2109
2110     else if (Ustrcmp(argrest, "m") == 0) receiving_message = TRUE;
2111
2112     /* -bmalware: test the filename given for malware */
2113
2114     else if (Ustrcmp(argrest, "malware") == 0)
2115       {
2116       if (++i >= argc) { badarg = TRUE; break; }
2117       checking = TRUE;
2118       malware_test_file = argv[i];
2119       }
2120
2121     /* -bnq: For locally originating messages, do not qualify unqualified
2122     addresses. In the envelope, this causes errors; in header lines they
2123     just get left. */
2124
2125     else if (Ustrcmp(argrest, "nq") == 0)
2126       {
2127       allow_unqualified_sender = FALSE;
2128       allow_unqualified_recipient = FALSE;
2129       }
2130
2131     /* -bpxx: List the contents of the mail queue, in various forms. If
2132     the option is -bpc, just a queue count is needed. Otherwise, if the
2133     first letter after p is r, then order is random. */
2134
2135     else if (*argrest == 'p')
2136       {
2137       if (*(++argrest) == 'c')
2138         {
2139         count_queue = TRUE;
2140         if (*(++argrest) != 0) badarg = TRUE;
2141         break;
2142         }
2143
2144       if (*argrest == 'r')
2145         {
2146         list_queue_option = 8;
2147         argrest++;
2148         }
2149       else list_queue_option = 0;
2150
2151       list_queue = TRUE;
2152
2153       /* -bp: List the contents of the mail queue, top-level only */
2154
2155       if (*argrest == 0) {}
2156
2157       /* -bpu: List the contents of the mail queue, top-level undelivered */
2158
2159       else if (Ustrcmp(argrest, "u") == 0) list_queue_option += 1;
2160
2161       /* -bpa: List the contents of the mail queue, including all delivered */
2162
2163       else if (Ustrcmp(argrest, "a") == 0) list_queue_option += 2;
2164
2165       /* Unknown after -bp[r] */
2166
2167       else
2168         {
2169         badarg = TRUE;
2170         break;
2171         }
2172       }
2173
2174
2175     /* -bP: List the configuration variables given as the address list.
2176     Force -v, so configuration errors get displayed. */
2177
2178     else if (Ustrcmp(argrest, "P") == 0)
2179       {
2180       /* -bP config: we need to setup here, because later,
2181        * when list_options is checked, the config is read already */
2182       if (argv[i+1] && Ustrcmp(argv[i+1], "config") == 0)
2183         {
2184         list_config = TRUE;
2185         readconf_save_config(version_string);
2186         }
2187       else
2188         {
2189         list_options = TRUE;
2190         debug_selector |= D_v;
2191         debug_file = stderr;
2192         }
2193       }
2194
2195     /* -brt: Test retry configuration lookup */
2196
2197     else if (Ustrcmp(argrest, "rt") == 0)
2198       {
2199       checking = TRUE;
2200       test_retry_arg = i + 1;
2201       goto END_ARG;
2202       }
2203
2204     /* -brw: Test rewrite configuration */
2205
2206     else if (Ustrcmp(argrest, "rw") == 0)
2207       {
2208       checking = TRUE;
2209       test_rewrite_arg = i + 1;
2210       goto END_ARG;
2211       }
2212
2213     /* -bS: Read SMTP commands on standard input, but produce no replies -
2214     all errors are reported by sending messages. */
2215
2216     else if (Ustrcmp(argrest, "S") == 0)
2217       smtp_input = smtp_batched_input = receiving_message = TRUE;
2218
2219     /* -bs: Read SMTP commands on standard input and produce SMTP replies
2220     on standard output. */
2221
2222     else if (Ustrcmp(argrest, "s") == 0) smtp_input = receiving_message = TRUE;
2223
2224     /* -bt: address testing mode */
2225
2226     else if (Ustrcmp(argrest, "t") == 0)
2227       address_test_mode = checking = log_testing_mode = TRUE;
2228
2229     /* -bv: verify addresses */
2230
2231     else if (Ustrcmp(argrest, "v") == 0)
2232       verify_address_mode = checking = log_testing_mode = TRUE;
2233
2234     /* -bvs: verify sender addresses */
2235
2236     else if (Ustrcmp(argrest, "vs") == 0)
2237       {
2238       verify_address_mode = checking = log_testing_mode = TRUE;
2239       verify_as_sender = TRUE;
2240       }
2241
2242     /* -bV: Print version string and support details */
2243
2244     else if (Ustrcmp(argrest, "V") == 0)
2245       {
2246       printf("Exim version %s #%s built %s\n", version_string,
2247         version_cnumber, version_date);
2248       printf("%s\n", CS version_copyright);
2249       version_printed = TRUE;
2250       show_whats_supported(stdout);
2251       log_testing_mode = TRUE;
2252       }
2253
2254     /* -bw: inetd wait mode, accept a listening socket as stdin */
2255
2256     else if (*argrest == 'w')
2257       {
2258       inetd_wait_mode = TRUE;
2259       background_daemon = FALSE;
2260       daemon_listen = TRUE;
2261       if (*(++argrest) != '\0')
2262         {
2263         inetd_wait_timeout = readconf_readtime(argrest, 0, FALSE);
2264         if (inetd_wait_timeout <= 0)
2265           {
2266           fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
2267           exit(EXIT_FAILURE);
2268           }
2269         }
2270       }
2271
2272     else badarg = TRUE;
2273     break;
2274
2275
2276     /* -C: change configuration file list; ignore if it isn't really
2277     a change! Enforce a prefix check if required. */
2278
2279     case 'C':
2280     if (*argrest == 0)
2281       {
2282       if(++i < argc) argrest = argv[i]; else
2283         { badarg = TRUE; break; }
2284       }
2285     if (Ustrcmp(config_main_filelist, argrest) != 0)
2286       {
2287       #ifdef ALT_CONFIG_PREFIX
2288       int sep = 0;
2289       int len = Ustrlen(ALT_CONFIG_PREFIX);
2290       const uschar *list = argrest;
2291       uschar *filename;
2292       while((filename = string_nextinlist(&list, &sep, big_buffer,
2293              big_buffer_size)) != NULL)
2294         {
2295         if ((Ustrlen(filename) < len ||
2296              Ustrncmp(filename, ALT_CONFIG_PREFIX, len) != 0 ||
2297              Ustrstr(filename, "/../") != NULL) &&
2298              (Ustrcmp(filename, "/dev/null") != 0 || real_uid != root_uid))
2299           {
2300           fprintf(stderr, "-C Permission denied\n");
2301           exit(EXIT_FAILURE);
2302           }
2303         }
2304       #endif
2305       if (real_uid != root_uid)
2306         {
2307         #ifdef TRUSTED_CONFIG_LIST
2308
2309         if (real_uid != exim_uid
2310             #ifdef CONFIGURE_OWNER
2311             && real_uid != config_uid
2312             #endif
2313             )
2314           trusted_config = FALSE;
2315         else
2316           {
2317           FILE *trust_list = Ufopen(TRUSTED_CONFIG_LIST, "rb");
2318           if (trust_list)
2319             {
2320             struct stat statbuf;
2321
2322             if (fstat(fileno(trust_list), &statbuf) != 0 ||
2323                 (statbuf.st_uid != root_uid        /* owner not root */
2324                  #ifdef CONFIGURE_OWNER
2325                  && statbuf.st_uid != config_uid   /* owner not the special one */
2326                  #endif
2327                    ) ||                            /* or */
2328                 (statbuf.st_gid != root_gid        /* group not root */
2329                  #ifdef CONFIGURE_GROUP
2330                  && statbuf.st_gid != config_gid   /* group not the special one */
2331                  #endif
2332                  && (statbuf.st_mode & 020) != 0   /* group writeable */
2333                    ) ||                            /* or */
2334                 (statbuf.st_mode & 2) != 0)        /* world writeable */
2335               {
2336               trusted_config = FALSE;
2337               fclose(trust_list);
2338               }
2339             else
2340               {
2341               /* Well, the trust list at least is up to scratch... */
2342               void *reset_point = store_get(0);
2343               uschar *trusted_configs[32];
2344               int nr_configs = 0;
2345               int i = 0;
2346
2347               while (Ufgets(big_buffer, big_buffer_size, trust_list))
2348                 {
2349                 uschar *start = big_buffer, *nl;
2350                 while (*start && isspace(*start))
2351                 start++;
2352                 if (*start != '/')
2353                   continue;
2354                 nl = Ustrchr(start, '\n');
2355                 if (nl)
2356                   *nl = 0;
2357                 trusted_configs[nr_configs++] = string_copy(start);
2358                 if (nr_configs == 32)
2359                   break;
2360                 }
2361               fclose(trust_list);
2362
2363               if (nr_configs)
2364                 {
2365                 int sep = 0;
2366                 const uschar *list = argrest;
2367                 uschar *filename;
2368                 while (trusted_config && (filename = string_nextinlist(&list,
2369                         &sep, big_buffer, big_buffer_size)) != NULL)
2370                   {
2371                   for (i=0; i < nr_configs; i++)
2372                     {
2373                     if (Ustrcmp(filename, trusted_configs[i]) == 0)
2374                       break;
2375                     }
2376                   if (i == nr_configs)
2377                     {
2378                     trusted_config = FALSE;
2379                     break;
2380                     }
2381                   }
2382                 store_reset(reset_point);
2383                 }
2384               else
2385                 {
2386                 /* No valid prefixes found in trust_list file. */
2387                 trusted_config = FALSE;
2388                 }
2389               }
2390             }
2391           else
2392             {
2393             /* Could not open trust_list file. */
2394             trusted_config = FALSE;
2395             }
2396           }
2397       #else
2398         /* Not root; don't trust config */
2399         trusted_config = FALSE;
2400       #endif
2401         }
2402
2403       config_main_filelist = argrest;
2404       config_changed = TRUE;
2405       }
2406     break;
2407
2408
2409     /* -D: set up a macro definition */
2410
2411     case 'D':
2412     #ifdef DISABLE_D_OPTION
2413     fprintf(stderr, "exim: -D is not available in this Exim binary\n");
2414     exit(EXIT_FAILURE);
2415     #else
2416       {
2417       int ptr = 0;
2418       macro_item *m;
2419       uschar name[24];
2420       uschar *s = argrest;
2421
2422       opt_D_used = TRUE;
2423       while (isspace(*s)) s++;
2424
2425       if (*s < 'A' || *s > 'Z')
2426         {
2427         fprintf(stderr, "exim: macro name set by -D must start with "
2428           "an upper case letter\n");
2429         exit(EXIT_FAILURE);
2430         }
2431
2432       while (isalnum(*s) || *s == '_')
2433         {
2434         if (ptr < sizeof(name)-1) name[ptr++] = *s;
2435         s++;
2436         }
2437       name[ptr] = 0;
2438       if (ptr == 0) { badarg = TRUE; break; }
2439       while (isspace(*s)) s++;
2440       if (*s != 0)
2441         {
2442         if (*s++ != '=') { badarg = TRUE; break; }
2443         while (isspace(*s)) s++;
2444         }
2445
2446       for (m = macros; m; m = m->next)
2447         if (Ustrcmp(m->name, name) == 0)
2448           {
2449           fprintf(stderr, "exim: duplicated -D in command line\n");
2450           exit(EXIT_FAILURE);
2451           }
2452
2453       m = macro_create(string_copy(name), string_copy(s), TRUE);
2454
2455       if (clmacro_count >= MAX_CLMACROS)
2456         {
2457         fprintf(stderr, "exim: too many -D options on command line\n");
2458         exit(EXIT_FAILURE);
2459         }
2460       clmacros[clmacro_count++] = string_sprintf("-D%s=%s", m->name,
2461         m->replacement);
2462       }
2463     #endif
2464     break;
2465
2466     /* -d: Set debug level (see also -v below) or set the drop_cr option.
2467     The latter is now a no-op, retained for compatibility only. If -dd is used,
2468     debugging subprocesses of the daemon is disabled. */
2469
2470     case 'd':
2471     if (Ustrcmp(argrest, "ropcr") == 0)
2472       {
2473       /* drop_cr = TRUE; */
2474       }
2475
2476     /* Use an intermediate variable so that we don't set debugging while
2477     decoding the debugging bits. */
2478
2479     else
2480       {
2481       unsigned int selector = D_default;
2482       debug_selector = 0;
2483       debug_file = NULL;
2484       if (*argrest == 'd')
2485         {
2486         debug_daemon = TRUE;
2487         argrest++;
2488         }
2489       if (*argrest != 0)
2490         decode_bits(&selector, 1, debug_notall, argrest,
2491           debug_options, debug_options_count, US"debug", 0);
2492       debug_selector = selector;
2493       }
2494     break;
2495
2496
2497     /* -E: This is a local error message. This option is not intended for
2498     external use at all, but is not restricted to trusted callers because it
2499     does no harm (just suppresses certain error messages) and if Exim is run
2500     not setuid root it won't always be trusted when it generates error
2501     messages using this option. If there is a message id following -E, point
2502     message_reference at it, for logging. */
2503
2504     case 'E':
2505     local_error_message = TRUE;
2506     if (mac_ismsgid(argrest)) message_reference = argrest;
2507     break;
2508
2509
2510     /* -ex: The vacation program calls sendmail with the undocumented "-eq"
2511     option, so it looks as if historically the -oex options are also callable
2512     without the leading -o. So we have to accept them. Before the switch,
2513     anything starting -oe has been converted to -e. Exim does not support all
2514     of the sendmail error options. */
2515
2516     case 'e':
2517     if (Ustrcmp(argrest, "e") == 0)
2518       {
2519       arg_error_handling = ERRORS_SENDER;
2520       errors_sender_rc = EXIT_SUCCESS;
2521       }
2522     else if (Ustrcmp(argrest, "m") == 0) arg_error_handling = ERRORS_SENDER;
2523     else if (Ustrcmp(argrest, "p") == 0) arg_error_handling = ERRORS_STDERR;
2524     else if (Ustrcmp(argrest, "q") == 0) arg_error_handling = ERRORS_STDERR;
2525     else if (Ustrcmp(argrest, "w") == 0) arg_error_handling = ERRORS_SENDER;
2526     else badarg = TRUE;
2527     break;
2528
2529
2530     /* -F: Set sender's full name, used instead of the gecos entry from
2531     the password file. Since users can usually alter their gecos entries,
2532     there's no security involved in using this instead. The data can follow
2533     the -F or be in the next argument. */
2534
2535     case 'F':
2536     if (*argrest == 0)
2537       {
2538       if(++i < argc) argrest = argv[i]; else
2539         { badarg = TRUE; break; }
2540       }
2541     originator_name = argrest;
2542     sender_name_forced = TRUE;
2543     break;
2544
2545
2546     /* -f: Set sender's address - this value is only actually used if Exim is
2547     run by a trusted user, or if untrusted_set_sender is set and matches the
2548     address, except that the null address can always be set by any user. The
2549     test for this happens later, when the value given here is ignored when not
2550     permitted. For an untrusted user, the actual sender is still put in Sender:
2551     if it doesn't match the From: header (unless no_local_from_check is set).
2552     The data can follow the -f or be in the next argument. The -r switch is an
2553     obsolete form of -f but since there appear to be programs out there that
2554     use anything that sendmail has ever supported, better accept it - the
2555     synonymizing is done before the switch above.
2556
2557     At this stage, we must allow domain literal addresses, because we don't
2558     know what the setting of allow_domain_literals is yet. Ditto for trailing
2559     dots and strip_trailing_dot. */
2560
2561     case 'f':
2562       {
2563       int dummy_start, dummy_end;
2564       uschar *errmess;
2565       if (*argrest == 0)
2566         {
2567         if (i+1 < argc) argrest = argv[++i]; else
2568           { badarg = TRUE; break; }
2569         }
2570       if (*argrest == 0)
2571         sender_address = string_sprintf("");  /* Ensure writeable memory */
2572       else
2573         {
2574         uschar *temp = argrest + Ustrlen(argrest) - 1;
2575         while (temp >= argrest && isspace(*temp)) temp--;
2576         if (temp >= argrest && *temp == '.') f_end_dot = TRUE;
2577         allow_domain_literals = TRUE;
2578         strip_trailing_dot = TRUE;
2579 #ifdef SUPPORT_I18N
2580         allow_utf8_domains = TRUE;
2581 #endif
2582         sender_address = parse_extract_address(argrest, &errmess,
2583           &dummy_start, &dummy_end, &sender_address_domain, TRUE);
2584 #ifdef SUPPORT_I18N
2585         message_smtputf8 =  string_is_utf8(sender_address);
2586         allow_utf8_domains = FALSE;
2587 #endif
2588         allow_domain_literals = FALSE;
2589         strip_trailing_dot = FALSE;
2590         if (sender_address == NULL)
2591           {
2592           fprintf(stderr, "exim: bad -f address \"%s\": %s\n", argrest, errmess);
2593           return EXIT_FAILURE;
2594           }
2595         }
2596       sender_address_forced = TRUE;
2597       }
2598     break;
2599
2600     /* -G: sendmail invocation to specify that it's a gateway submission and
2601     sendmail may complain about problems instead of fixing them.
2602     We make it equivalent to an ACL "control = suppress_local_fixups" and do
2603     not at this time complain about problems. */
2604
2605     case 'G':
2606     flag_G = TRUE;
2607     break;
2608
2609     /* -h: Set the hop count for an incoming message. Exim does not currently
2610     support this; it always computes it by counting the Received: headers.
2611     To put it in will require a change to the spool header file format. */
2612
2613     case 'h':
2614     if (*argrest == 0)
2615       {
2616       if(++i < argc) argrest = argv[i]; else
2617         { badarg = TRUE; break; }
2618       }
2619     if (!isdigit(*argrest)) badarg = TRUE;
2620     break;
2621
2622
2623     /* -i: Set flag so dot doesn't end non-SMTP input (same as -oi, seems
2624     not to be documented for sendmail but mailx (at least) uses it) */
2625
2626     case 'i':
2627     if (*argrest == 0) dot_ends = FALSE; else badarg = TRUE;
2628     break;
2629
2630
2631     /* -L: set the identifier used for syslog; equivalent to setting
2632     syslog_processname in the config file, but needs to be an admin option. */
2633
2634     case 'L':
2635     if (*argrest == '\0')
2636       {
2637       if(++i < argc) argrest = argv[i]; else
2638         { badarg = TRUE; break; }
2639       }
2640     sz = Ustrlen(argrest);
2641     if (sz > 32)
2642       {
2643       fprintf(stderr, "exim: the -L syslog name is too long: \"%s\"\n", argrest);
2644       return EXIT_FAILURE;
2645       }
2646     if (sz < 1)
2647       {
2648       fprintf(stderr, "exim: the -L syslog name is too short\n");
2649       return EXIT_FAILURE;
2650       }
2651     cmdline_syslog_name = argrest;
2652     break;
2653
2654     case 'M':
2655     receiving_message = FALSE;
2656
2657     /* -MC:  continue delivery of another message via an existing open
2658     file descriptor. This option is used for an internal call by the
2659     smtp transport when there is a pending message waiting to go to an
2660     address to which it has got a connection. Five subsequent arguments are
2661     required: transport name, host name, IP address, sequence number, and
2662     message_id. Transports may decline to create new processes if the sequence
2663     number gets too big. The channel is stdin. This (-MC) must be the last
2664     argument. There's a subsequent check that the real-uid is privileged.
2665
2666     If we are running in the test harness. delay for a bit, to let the process
2667     that set this one up complete. This makes for repeatability of the logging,
2668     etc. output. */
2669
2670     if (Ustrcmp(argrest, "C") == 0)
2671       {
2672       union sockaddr_46 interface_sock;
2673       EXIM_SOCKLEN_T size = sizeof(interface_sock);
2674
2675       if (argc != i + 6)
2676         {
2677         fprintf(stderr, "exim: too many or too few arguments after -MC\n");
2678         return EXIT_FAILURE;
2679         }
2680
2681       if (msg_action_arg >= 0)
2682         {
2683         fprintf(stderr, "exim: incompatible arguments\n");
2684         return EXIT_FAILURE;
2685         }
2686
2687       continue_transport = argv[++i];
2688       continue_hostname = argv[++i];
2689       continue_host_address = argv[++i];
2690       continue_sequence = Uatoi(argv[++i]);
2691       msg_action = MSG_DELIVER;
2692       msg_action_arg = ++i;
2693       forced_delivery = TRUE;
2694       queue_run_pid = passed_qr_pid;
2695       queue_run_pipe = passed_qr_pipe;
2696
2697       if (!mac_ismsgid(argv[i]))
2698         {
2699         fprintf(stderr, "exim: malformed message id %s after -MC option\n",
2700           argv[i]);
2701         return EXIT_FAILURE;
2702         }
2703
2704       /* Set up $sending_ip_address and $sending_port, unless proxied */
2705
2706       if (!continue_proxy_cipher)
2707         if (getsockname(fileno(stdin), (struct sockaddr *)(&interface_sock),
2708             &size) == 0)
2709           sending_ip_address = host_ntoa(-1, &interface_sock, NULL,
2710             &sending_port);
2711         else
2712           {
2713           fprintf(stderr, "exim: getsockname() failed after -MC option: %s\n",
2714             strerror(errno));
2715           return EXIT_FAILURE;
2716           }
2717
2718       if (running_in_test_harness) millisleep(500);
2719       break;
2720       }
2721
2722     else if (*argrest == 'C' && argrest[1] && !argrest[2])
2723       {
2724       switch(argrest[1])
2725         {
2726     /* -MCA: set the smtp_authenticated flag; this is useful only when it
2727     precedes -MC (see above). The flag indicates that the host to which
2728     Exim is connected has accepted an AUTH sequence. */
2729
2730         case 'A': smtp_authenticated = TRUE; break;
2731
2732     /* -MCD: set the smtp_use_dsn flag; this indicates that the host
2733        that exim is connected to supports the esmtp extension DSN */
2734
2735         case 'D': smtp_peer_options |= OPTION_DSN; break;
2736
2737     /* -MCG: set the queue name, to a non-default value */
2738
2739         case 'G': if (++i < argc) queue_name = string_copy(argv[i]);
2740                   else badarg = TRUE;
2741                   break;
2742
2743     /* -MCK: the peer offered CHUNKING.  Must precede -MC */
2744
2745         case 'K': smtp_peer_options |= OPTION_CHUNKING; break;
2746
2747     /* -MCP: set the smtp_use_pipelining flag; this is useful only when
2748     it preceded -MC (see above) */
2749
2750         case 'P': smtp_peer_options |= OPTION_PIPE; break;
2751
2752     /* -MCQ: pass on the pid of the queue-running process that started
2753     this chain of deliveries and the fd of its synchronizing pipe; this
2754     is useful only when it precedes -MC (see above) */
2755
2756         case 'Q': if (++i < argc) passed_qr_pid = (pid_t)(Uatol(argv[i]));
2757                   else badarg = TRUE;
2758                   if (++i < argc) passed_qr_pipe = (int)(Uatol(argv[i]));
2759                   else badarg = TRUE;
2760                   break;
2761
2762     /* -MCS: set the smtp_use_size flag; this is useful only when it
2763     precedes -MC (see above) */
2764
2765         case 'S': smtp_peer_options |= OPTION_SIZE; break;
2766
2767 #ifdef SUPPORT_TLS
2768     /* -MCt: similar to -MCT below but the connection is still open
2769     via a proxy proces which handles the TLS context and coding.
2770     Require three arguments for the proxied local address and port,
2771     and the TLS cipher.  */
2772
2773         case 't': if (++i < argc) sending_ip_address = argv[i];
2774                   else badarg = TRUE;
2775                   if (++i < argc) sending_port = (int)(Uatol(argv[i]));
2776                   else badarg = TRUE;
2777                   if (++i < argc) continue_proxy_cipher = argv[i];
2778                   else badarg = TRUE;
2779                   /*FALLTHROUGH*/
2780
2781     /* -MCT: set the tls_offered flag; this is useful only when it
2782     precedes -MC (see above). The flag indicates that the host to which
2783     Exim is connected has offered TLS support. */
2784
2785         case 'T': smtp_peer_options |= OPTION_TLS; break;
2786 #endif
2787
2788         default:  badarg = TRUE; break;
2789         }
2790         break;
2791       }
2792
2793     /* -M[x]: various operations on the following list of message ids:
2794        -M    deliver the messages, ignoring next retry times and thawing
2795        -Mc   deliver the messages, checking next retry times, no thawing
2796        -Mf   freeze the messages
2797        -Mg   give up on the messages
2798        -Mt   thaw the messages
2799        -Mrm  remove the messages
2800     In the above cases, this must be the last option. There are also the
2801     following options which are followed by a single message id, and which
2802     act on that message. Some of them use the "recipient" addresses as well.
2803        -Mar  add recipient(s)
2804        -Mmad mark all recipients delivered
2805        -Mmd  mark recipients(s) delivered
2806        -Mes  edit sender
2807        -Mset load a message for use with -be
2808        -Mvb  show body
2809        -Mvc  show copy (of whole message, in RFC 2822 format)
2810        -Mvh  show header
2811        -Mvl  show log
2812     */
2813
2814     else if (*argrest == 0)
2815       {
2816       msg_action = MSG_DELIVER;
2817       forced_delivery = deliver_force_thaw = TRUE;
2818       }
2819     else if (Ustrcmp(argrest, "ar") == 0)
2820       {
2821       msg_action = MSG_ADD_RECIPIENT;
2822       one_msg_action = TRUE;
2823       }
2824     else if (Ustrcmp(argrest, "c") == 0)  msg_action = MSG_DELIVER;
2825     else if (Ustrcmp(argrest, "es") == 0)
2826       {
2827       msg_action = MSG_EDIT_SENDER;
2828       one_msg_action = TRUE;
2829       }
2830     else if (Ustrcmp(argrest, "f") == 0)  msg_action = MSG_FREEZE;
2831     else if (Ustrcmp(argrest, "g") == 0)
2832       {
2833       msg_action = MSG_DELIVER;
2834       deliver_give_up = TRUE;
2835       }
2836     else if (Ustrcmp(argrest, "mad") == 0)
2837       {
2838       msg_action = MSG_MARK_ALL_DELIVERED;
2839       }
2840     else if (Ustrcmp(argrest, "md") == 0)
2841       {
2842       msg_action = MSG_MARK_DELIVERED;
2843       one_msg_action = TRUE;
2844       }
2845     else if (Ustrcmp(argrest, "rm") == 0) msg_action = MSG_REMOVE;
2846     else if (Ustrcmp(argrest, "set") == 0)
2847       {
2848       msg_action = MSG_LOAD;
2849       one_msg_action = TRUE;
2850       }
2851     else if (Ustrcmp(argrest, "t") == 0)  msg_action = MSG_THAW;
2852     else if (Ustrcmp(argrest, "vb") == 0)
2853       {
2854       msg_action = MSG_SHOW_BODY;
2855       one_msg_action = TRUE;
2856       }
2857     else if (Ustrcmp(argrest, "vc") == 0)
2858       {
2859       msg_action = MSG_SHOW_COPY;
2860       one_msg_action = TRUE;
2861       }
2862     else if (Ustrcmp(argrest, "vh") == 0)
2863       {
2864       msg_action = MSG_SHOW_HEADER;
2865       one_msg_action = TRUE;
2866       }
2867     else if (Ustrcmp(argrest, "vl") == 0)
2868       {
2869       msg_action = MSG_SHOW_LOG;
2870       one_msg_action = TRUE;
2871       }
2872     else { badarg = TRUE; break; }
2873
2874     /* All the -Mxx options require at least one message id. */
2875
2876     msg_action_arg = i + 1;
2877     if (msg_action_arg >= argc)
2878       {
2879       fprintf(stderr, "exim: no message ids given after %s option\n", arg);
2880       return EXIT_FAILURE;
2881       }
2882
2883     /* Some require only message ids to follow */
2884
2885     if (!one_msg_action)
2886       {
2887       int j;
2888       for (j = msg_action_arg; j < argc; j++) if (!mac_ismsgid(argv[j]))
2889         {
2890         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2891           argv[j], arg);
2892         return EXIT_FAILURE;
2893         }
2894       goto END_ARG;   /* Remaining args are ids */
2895       }
2896
2897     /* Others require only one message id, possibly followed by addresses,
2898     which will be handled as normal arguments. */
2899
2900     else
2901       {
2902       if (!mac_ismsgid(argv[msg_action_arg]))
2903         {
2904         fprintf(stderr, "exim: malformed message id %s after %s option\n",
2905           argv[msg_action_arg], arg);
2906         return EXIT_FAILURE;
2907         }
2908       i++;
2909       }
2910     break;
2911
2912
2913     /* Some programs seem to call the -om option without the leading o;
2914     for sendmail it askes for "me too". Exim always does this. */
2915
2916     case 'm':
2917     if (*argrest != 0) badarg = TRUE;
2918     break;
2919
2920
2921     /* -N: don't do delivery - a debugging option that stops transports doing
2922     their thing. It implies debugging at the D_v level. */
2923
2924     case 'N':
2925     if (*argrest == 0)
2926       {
2927       dont_deliver = TRUE;
2928       debug_selector |= D_v;
2929       debug_file = stderr;
2930       }
2931     else badarg = TRUE;
2932     break;
2933
2934
2935     /* -n: This means "don't alias" in sendmail, apparently.
2936     For normal invocations, it has no effect.
2937     It may affect some other options. */
2938
2939     case 'n':
2940     flag_n = TRUE;
2941     break;
2942
2943     /* -O: Just ignore it. In sendmail, apparently -O option=value means set
2944     option to the specified value. This form uses long names. We need to handle
2945     -O option=value and -Ooption=value. */
2946
2947     case 'O':
2948     if (*argrest == 0)
2949       {
2950       if (++i >= argc)
2951         {
2952         fprintf(stderr, "exim: string expected after -O\n");
2953         exit(EXIT_FAILURE);
2954         }
2955       }
2956     break;
2957
2958     case 'o':
2959
2960     /* -oA: Set an argument for the bi command (sendmail's "alternate alias
2961     file" option). */
2962
2963     if (*argrest == 'A')
2964       {
2965       alias_arg = argrest + 1;
2966       if (alias_arg[0] == 0)
2967         {
2968         if (i+1 < argc) alias_arg = argv[++i]; else
2969           {
2970           fprintf(stderr, "exim: string expected after -oA\n");
2971           exit(EXIT_FAILURE);
2972           }
2973         }
2974       }
2975
2976     /* -oB: Set a connection message max value for remote deliveries */
2977
2978     else if (*argrest == 'B')
2979       {
2980       uschar *p = argrest + 1;
2981       if (p[0] == 0)
2982         {
2983         if (i+1 < argc && isdigit((argv[i+1][0]))) p = argv[++i]; else
2984           {
2985           connection_max_messages = 1;
2986           p = NULL;
2987           }
2988         }
2989
2990       if (p != NULL)
2991         {
2992         if (!isdigit(*p))
2993           {
2994           fprintf(stderr, "exim: number expected after -oB\n");
2995           exit(EXIT_FAILURE);
2996           }
2997         connection_max_messages = Uatoi(p);
2998         }
2999       }
3000
3001     /* -odb: background delivery */
3002
3003     else if (Ustrcmp(argrest, "db") == 0)
3004       {
3005       synchronous_delivery = FALSE;
3006       arg_queue_only = FALSE;
3007       queue_only_set = TRUE;
3008       }
3009
3010     /* -odf: foreground delivery (smail-compatible option); same effect as
3011        -odi: interactive (synchronous) delivery (sendmail-compatible option)
3012     */
3013
3014     else if (Ustrcmp(argrest, "df") == 0 || Ustrcmp(argrest, "di") == 0)
3015       {
3016       synchronous_delivery = TRUE;
3017       arg_queue_only = FALSE;
3018       queue_only_set = TRUE;
3019       }
3020
3021     /* -odq: queue only */
3022
3023     else if (Ustrcmp(argrest, "dq") == 0)
3024       {
3025       synchronous_delivery = FALSE;
3026       arg_queue_only = TRUE;
3027       queue_only_set = TRUE;
3028       }
3029
3030     /* -odqs: queue SMTP only - do local deliveries and remote routing,
3031     but no remote delivery */
3032
3033     else if (Ustrcmp(argrest, "dqs") == 0)
3034       {
3035       queue_smtp = TRUE;
3036       arg_queue_only = FALSE;
3037       queue_only_set = TRUE;
3038       }
3039
3040     /* -oex: Sendmail error flags. As these are also accepted without the
3041     leading -o prefix, for compatibility with vacation and other callers,
3042     they are handled with -e above. */
3043
3044     /* -oi:     Set flag so dot doesn't end non-SMTP input (same as -i)
3045        -oitrue: Another sendmail syntax for the same */
3046
3047     else if (Ustrcmp(argrest, "i") == 0 ||
3048              Ustrcmp(argrest, "itrue") == 0)
3049       dot_ends = FALSE;
3050
3051     /* -oM*: Set various characteristics for an incoming message; actually
3052     acted on for trusted callers only. */
3053
3054     else if (*argrest == 'M')
3055       {
3056       if (i+1 >= argc)
3057         {
3058         fprintf(stderr, "exim: data expected after -o%s\n", argrest);
3059         exit(EXIT_FAILURE);
3060         }
3061
3062       /* -oMa: Set sender host address */
3063
3064       if (Ustrcmp(argrest, "Ma") == 0) sender_host_address = argv[++i];
3065
3066       /* -oMaa: Set authenticator name */
3067
3068       else if (Ustrcmp(argrest, "Maa") == 0)
3069         sender_host_authenticated = argv[++i];
3070
3071       /* -oMas: setting authenticated sender */
3072
3073       else if (Ustrcmp(argrest, "Mas") == 0) authenticated_sender = argv[++i];
3074
3075       /* -oMai: setting authenticated id */
3076
3077       else if (Ustrcmp(argrest, "Mai") == 0) authenticated_id = argv[++i];
3078
3079       /* -oMi: Set incoming interface address */
3080
3081       else if (Ustrcmp(argrest, "Mi") == 0) interface_address = argv[++i];
3082
3083       /* -oMm: Message reference */
3084
3085       else if (Ustrcmp(argrest, "Mm") == 0)
3086         {
3087         if (!mac_ismsgid(argv[i+1]))
3088           {
3089             fprintf(stderr,"-oMm must be a valid message ID\n");
3090             exit(EXIT_FAILURE);
3091           }
3092         if (!trusted_config)
3093           {
3094             fprintf(stderr,"-oMm must be called by a trusted user/config\n");
3095             exit(EXIT_FAILURE);
3096           }
3097           message_reference = argv[++i];
3098         }
3099
3100       /* -oMr: Received protocol */
3101
3102       else if (Ustrcmp(argrest, "Mr") == 0)
3103
3104         if (received_protocol)
3105           {
3106           fprintf(stderr, "received_protocol is set already\n");
3107           exit(EXIT_FAILURE);
3108           }
3109         else received_protocol = argv[++i];
3110
3111       /* -oMs: Set sender host name */
3112
3113       else if (Ustrcmp(argrest, "Ms") == 0) sender_host_name = argv[++i];
3114
3115       /* -oMt: Set sender ident */
3116
3117       else if (Ustrcmp(argrest, "Mt") == 0)
3118         {
3119         sender_ident_set = TRUE;
3120         sender_ident = argv[++i];
3121         }
3122
3123       /* Else a bad argument */
3124
3125       else
3126         {
3127         badarg = TRUE;
3128         break;
3129         }
3130       }
3131
3132     /* -om: Me-too flag for aliases. Exim always does this. Some programs
3133     seem to call this as -m (undocumented), so that is also accepted (see
3134     above). */
3135
3136     else if (Ustrcmp(argrest, "m") == 0) {}
3137
3138     /* -oo: An ancient flag for old-style addresses which still seems to
3139     crop up in some calls (see in SCO). */
3140
3141     else if (Ustrcmp(argrest, "o") == 0) {}
3142
3143     /* -oP <name>: set pid file path for daemon */
3144
3145     else if (Ustrcmp(argrest, "P") == 0)
3146       override_pid_file_path = argv[++i];
3147
3148     /* -or <n>: set timeout for non-SMTP acceptance
3149        -os <n>: set timeout for SMTP acceptance */
3150
3151     else if (*argrest == 'r' || *argrest == 's')
3152       {
3153       int *tp = (*argrest == 'r')?
3154         &arg_receive_timeout : &arg_smtp_receive_timeout;
3155       if (argrest[1] == 0)
3156         {
3157         if (i+1 < argc) *tp= readconf_readtime(argv[++i], 0, FALSE);
3158         }
3159       else *tp = readconf_readtime(argrest + 1, 0, FALSE);
3160       if (*tp < 0)
3161         {
3162         fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3163         exit(EXIT_FAILURE);
3164         }
3165       }
3166
3167     /* -oX <list>: Override local_interfaces and/or default daemon ports */
3168
3169     else if (Ustrcmp(argrest, "X") == 0)
3170       override_local_interfaces = argv[++i];
3171
3172     /* Unknown -o argument */
3173
3174     else badarg = TRUE;
3175     break;
3176
3177
3178     /* -ps: force Perl startup; -pd force delayed Perl startup */
3179
3180     case 'p':
3181     #ifdef EXIM_PERL
3182     if (*argrest == 's' && argrest[1] == 0)
3183       {
3184       perl_start_option = 1;
3185       break;
3186       }
3187     if (*argrest == 'd' && argrest[1] == 0)
3188       {
3189       perl_start_option = -1;
3190       break;
3191       }
3192     #endif
3193
3194     /* -panythingelse is taken as the Sendmail-compatible argument -prval:sval,
3195     which sets the host protocol and host name */
3196
3197     if (*argrest == 0)
3198       {
3199       if (i+1 < argc) argrest = argv[++i]; else
3200         { badarg = TRUE; break; }
3201       }
3202
3203     if (*argrest != 0)
3204       {
3205       uschar *hn;
3206
3207       if (received_protocol)
3208         {
3209         fprintf(stderr, "received_protocol is set already\n");
3210         exit(EXIT_FAILURE);
3211         }
3212
3213       hn = Ustrchr(argrest, ':');
3214       if (hn == NULL)
3215         {
3216         received_protocol = argrest;
3217         }
3218       else
3219         {
3220         int old_pool = store_pool;
3221         store_pool = POOL_PERM;
3222         received_protocol = string_copyn(argrest, hn - argrest);
3223         store_pool = old_pool;
3224         sender_host_name = hn + 1;
3225         }
3226       }
3227     break;
3228
3229
3230     case 'q':
3231     receiving_message = FALSE;
3232     if (queue_interval >= 0)
3233       {
3234       fprintf(stderr, "exim: -q specified more than once\n");
3235       exit(EXIT_FAILURE);
3236       }
3237
3238     /* -qq...: Do queue runs in a 2-stage manner */
3239
3240     if (*argrest == 'q')
3241       {
3242       queue_2stage = TRUE;
3243       argrest++;
3244       }
3245
3246     /* -qi...: Do only first (initial) deliveries */
3247
3248     if (*argrest == 'i')
3249       {
3250       queue_run_first_delivery = TRUE;
3251       argrest++;
3252       }
3253
3254     /* -qf...: Run the queue, forcing deliveries
3255        -qff..: Ditto, forcing thawing as well */
3256
3257     if (*argrest == 'f')
3258       {
3259       queue_run_force = TRUE;
3260       if (*++argrest == 'f')
3261         {
3262         deliver_force_thaw = TRUE;
3263         argrest++;
3264         }
3265       }
3266
3267     /* -q[f][f]l...: Run the queue only on local deliveries */
3268
3269     if (*argrest == 'l')
3270       {
3271       queue_run_local = TRUE;
3272       argrest++;
3273       }
3274
3275     /* -q[f][f][l][G<name>]... Work on the named queue */
3276
3277     if (*argrest == 'G')
3278       {
3279       int i;
3280       for (argrest++, i = 0; argrest[i] && argrest[i] != '/'; ) i++;
3281       queue_name = string_copyn(argrest, i);
3282       argrest += i;
3283       if (*argrest == '/') argrest++;
3284       }
3285
3286     /* -q[f][f][l][G<name>]: Run the queue, optionally forced, optionally local
3287     only, optionally named, optionally starting from a given message id. */
3288
3289     if (*argrest == 0 &&
3290         (i + 1 >= argc || argv[i+1][0] == '-' || mac_ismsgid(argv[i+1])))
3291       {
3292       queue_interval = 0;
3293       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3294         start_queue_run_id = argv[++i];
3295       if (i+1 < argc && mac_ismsgid(argv[i+1]))
3296         stop_queue_run_id = argv[++i];
3297       }
3298
3299     /* -q[f][f][l][G<name>/]<n>: Run the queue at regular intervals, optionally
3300     forced, optionally local only, optionally named. */
3301
3302     else if ((queue_interval = readconf_readtime(*argrest ? argrest : argv[++i],
3303                                                 0, FALSE)) <= 0)
3304       {
3305       fprintf(stderr, "exim: bad time value %s: abandoned\n", argv[i]);
3306       exit(EXIT_FAILURE);
3307       }
3308     break;
3309
3310
3311     case 'R':   /* Synonymous with -qR... */
3312     receiving_message = FALSE;
3313
3314     /* -Rf:   As -R (below) but force all deliveries,
3315        -Rff:  Ditto, but also thaw all frozen messages,
3316        -Rr:   String is regex
3317        -Rrf:  Regex and force
3318        -Rrff: Regex and force and thaw
3319
3320     in all cases provided there are no further characters in this
3321     argument. */
3322
3323     if (*argrest != 0)
3324       {
3325       int i;
3326       for (i = 0; i < nelem(rsopts); i++)
3327         if (Ustrcmp(argrest, rsopts[i]) == 0)
3328           {
3329           if (i != 2) queue_run_force = TRUE;
3330           if (i >= 2) deliver_selectstring_regex = TRUE;
3331           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3332           argrest += Ustrlen(rsopts[i]);
3333           }
3334       }
3335
3336     /* -R: Set string to match in addresses for forced queue run to
3337     pick out particular messages. */
3338
3339     if (*argrest)
3340       deliver_selectstring = argrest;
3341     else if (i+1 < argc)
3342       deliver_selectstring = argv[++i];
3343     else
3344       {
3345       fprintf(stderr, "exim: string expected after -R\n");
3346       exit(EXIT_FAILURE);
3347       }
3348     break;
3349
3350
3351     /* -r: an obsolete synonym for -f (see above) */
3352
3353
3354     /* -S: Like -R but works on sender. */
3355
3356     case 'S':   /* Synonymous with -qS... */
3357     receiving_message = FALSE;
3358
3359     /* -Sf:   As -S (below) but force all deliveries,
3360        -Sff:  Ditto, but also thaw all frozen messages,
3361        -Sr:   String is regex
3362        -Srf:  Regex and force
3363        -Srff: Regex and force and thaw
3364
3365     in all cases provided there are no further characters in this
3366     argument. */
3367
3368     if (*argrest)
3369       {
3370       int i;
3371       for (i = 0; i < nelem(rsopts); i++)
3372         if (Ustrcmp(argrest, rsopts[i]) == 0)
3373           {
3374           if (i != 2) queue_run_force = TRUE;
3375           if (i >= 2) deliver_selectstring_sender_regex = TRUE;
3376           if (i == 1 || i == 4) deliver_force_thaw = TRUE;
3377           argrest += Ustrlen(rsopts[i]);
3378           }
3379       }
3380
3381     /* -S: Set string to match in addresses for forced queue run to
3382     pick out particular messages. */
3383
3384     if (*argrest)
3385       deliver_selectstring_sender = argrest;
3386     else if (i+1 < argc)
3387       deliver_selectstring_sender = argv[++i];
3388     else
3389       {
3390       fprintf(stderr, "exim: string expected after -S\n");
3391       exit(EXIT_FAILURE);
3392       }
3393     break;
3394
3395     /* -Tqt is an option that is exclusively for use by the testing suite.
3396     It is not recognized in other circumstances. It allows for the setting up
3397     of explicit "queue times" so that various warning/retry things can be
3398     tested. Otherwise variability of clock ticks etc. cause problems. */
3399
3400     case 'T':
3401     if (running_in_test_harness && Ustrcmp(argrest, "qt") == 0)
3402       fudged_queue_times = argv[++i];
3403     else badarg = TRUE;
3404     break;
3405
3406
3407     /* -t: Set flag to extract recipients from body of message. */
3408
3409     case 't':
3410     if (*argrest == 0) extract_recipients = TRUE;
3411
3412     /* -ti: Set flag to extract recipients from body of message, and also
3413     specify that dot does not end the message. */
3414
3415     else if (Ustrcmp(argrest, "i") == 0)
3416       {
3417       extract_recipients = TRUE;
3418       dot_ends = FALSE;
3419       }
3420
3421     /* -tls-on-connect: don't wait for STARTTLS (for old clients) */
3422
3423     #ifdef SUPPORT_TLS
3424     else if (Ustrcmp(argrest, "ls-on-connect") == 0) tls_in.on_connect = TRUE;
3425     #endif
3426
3427     else badarg = TRUE;
3428     break;
3429
3430
3431     /* -U: This means "initial user submission" in sendmail, apparently. The
3432     doc claims that in future sendmail may refuse syntactically invalid
3433     messages instead of fixing them. For the moment, we just ignore it. */
3434
3435     case 'U':
3436     break;
3437
3438
3439     /* -v: verify things - this is a very low-level debugging */
3440
3441     case 'v':
3442     if (*argrest == 0)
3443       {
3444       debug_selector |= D_v;
3445       debug_file = stderr;
3446       }
3447     else badarg = TRUE;
3448     break;
3449
3450
3451     /* -x: AIX uses this to indicate some fancy 8-bit character stuff:
3452
3453       The -x flag tells the sendmail command that mail from a local
3454       mail program has National Language Support (NLS) extended characters
3455       in the body of the mail item. The sendmail command can send mail with
3456       extended NLS characters across networks that normally corrupts these
3457       8-bit characters.
3458
3459     As Exim is 8-bit clean, it just ignores this flag. */
3460
3461     case 'x':
3462     if (*argrest != 0) badarg = TRUE;
3463     break;
3464
3465     /* -X: in sendmail: takes one parameter, logfile, and sends debugging
3466     logs to that file.  We swallow the parameter and otherwise ignore it. */
3467
3468     case 'X':
3469     if (*argrest == '\0')
3470       if (++i >= argc)
3471         {
3472         fprintf(stderr, "exim: string expected after -X\n");
3473         exit(EXIT_FAILURE);
3474         }
3475     break;
3476
3477     case 'z':
3478     if (*argrest == '\0')
3479       if (++i < argc) log_oneline = argv[i]; else
3480         {
3481         fprintf(stderr, "exim: file name expected after %s\n", argv[i-1]);
3482         exit(EXIT_FAILURE);
3483         }
3484     break;
3485
3486     /* All other initial characters are errors */
3487
3488     default:
3489     badarg = TRUE;
3490     break;
3491     }         /* End of high-level switch statement */
3492
3493   /* Failed to recognize the option, or syntax error */
3494
3495   if (badarg)
3496     {
3497     fprintf(stderr, "exim abandoned: unknown, malformed, or incomplete "
3498       "option %s\n", arg);
3499     exit(EXIT_FAILURE);
3500     }
3501   }
3502
3503
3504 /* If -R or -S have been specified without -q, assume a single queue run. */
3505
3506 if (  (deliver_selectstring || deliver_selectstring_sender)
3507    && queue_interval < 0)
3508     queue_interval = 0;
3509
3510
3511 END_ARG:
3512 /* If usage_wanted is set we call the usage function - which never returns */
3513 if (usage_wanted) exim_usage(called_as);
3514
3515 /* Arguments have been processed. Check for incompatibilities. */
3516 if ((
3517     (smtp_input || extract_recipients || recipients_arg < argc) &&
3518     (daemon_listen || queue_interval >= 0 || bi_option ||
3519       test_retry_arg >= 0 || test_rewrite_arg >= 0 ||
3520       filter_test != FTEST_NONE || (msg_action_arg > 0 && !one_msg_action))
3521     ) ||
3522     (
3523     msg_action_arg > 0 &&
3524     (daemon_listen || queue_interval > 0 || list_options ||
3525       (checking && msg_action != MSG_LOAD) ||
3526       bi_option || test_retry_arg >= 0 || test_rewrite_arg >= 0)
3527     ) ||
3528     (
3529     (daemon_listen || queue_interval > 0) &&
3530     (sender_address != NULL || list_options || list_queue || checking ||
3531       bi_option)
3532     ) ||
3533     (
3534     daemon_listen && queue_interval == 0
3535     ) ||
3536     (
3537     inetd_wait_mode && queue_interval >= 0
3538     ) ||
3539     (
3540     list_options &&
3541     (checking || smtp_input || extract_recipients ||
3542       filter_test != FTEST_NONE || bi_option)
3543     ) ||
3544     (
3545     verify_address_mode &&
3546     (address_test_mode || smtp_input || extract_recipients ||
3547       filter_test != FTEST_NONE || bi_option)
3548     ) ||
3549     (
3550     address_test_mode && (smtp_input || extract_recipients ||
3551       filter_test != FTEST_NONE || bi_option)
3552     ) ||
3553     (
3554     smtp_input && (sender_address != NULL || filter_test != FTEST_NONE ||
3555       extract_recipients)
3556     ) ||
3557     (
3558     deliver_selectstring != NULL && queue_interval < 0
3559     ) ||
3560     (
3561     msg_action == MSG_LOAD &&
3562       (!expansion_test || expansion_test_message != NULL)
3563     )
3564    )
3565   {
3566   fprintf(stderr, "exim: incompatible command-line options or arguments\n");
3567   exit(EXIT_FAILURE);
3568   }
3569
3570 /* If debugging is set up, set the file and the file descriptor to pass on to
3571 child processes. It should, of course, be 2 for stderr. Also, force the daemon
3572 to run in the foreground. */
3573
3574 if (debug_selector != 0)
3575   {
3576   debug_file = stderr;
3577   debug_fd = fileno(debug_file);
3578   background_daemon = FALSE;
3579   if (running_in_test_harness) millisleep(100);   /* lets caller finish */
3580   if (debug_selector != D_v)    /* -v only doesn't show this */
3581     {
3582     debug_printf("Exim version %s uid=%ld gid=%ld pid=%d D=%x\n",
3583       version_string, (long int)real_uid, (long int)real_gid, (int)getpid(),
3584       debug_selector);
3585     if (!version_printed)
3586       show_whats_supported(stderr);
3587     }
3588   }
3589
3590 /* When started with root privilege, ensure that the limits on the number of
3591 open files and the number of processes (where that is accessible) are
3592 sufficiently large, or are unset, in case Exim has been called from an
3593 environment where the limits are screwed down. Not all OS have the ability to
3594 change some of these limits. */
3595
3596 if (unprivileged)
3597   {
3598   DEBUG(D_any) debug_print_ids(US"Exim has no root privilege:");
3599   }
3600 else
3601   {
3602   struct rlimit rlp;
3603
3604   #ifdef RLIMIT_NOFILE
3605   if (getrlimit(RLIMIT_NOFILE, &rlp) < 0)
3606     {
3607     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NOFILE) failed: %s",
3608       strerror(errno));
3609     rlp.rlim_cur = rlp.rlim_max = 0;
3610     }
3611
3612   /* I originally chose 1000 as a nice big number that was unlikely to
3613   be exceeded. It turns out that some older OS have a fixed upper limit of
3614   256. */
3615
3616   if (rlp.rlim_cur < 1000)
3617     {
3618     rlp.rlim_cur = rlp.rlim_max = 1000;
3619     if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3620       {
3621       rlp.rlim_cur = rlp.rlim_max = 256;
3622       if (setrlimit(RLIMIT_NOFILE, &rlp) < 0)
3623         log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NOFILE) failed: %s",
3624           strerror(errno));
3625       }
3626     }
3627   #endif
3628
3629   #ifdef RLIMIT_NPROC
3630   if (getrlimit(RLIMIT_NPROC, &rlp) < 0)
3631     {
3632     log_write(0, LOG_MAIN|LOG_PANIC, "getrlimit(RLIMIT_NPROC) failed: %s",
3633       strerror(errno));
3634     rlp.rlim_cur = rlp.rlim_max = 0;
3635     }
3636
3637   #ifdef RLIM_INFINITY
3638   if (rlp.rlim_cur != RLIM_INFINITY && rlp.rlim_cur < 1000)
3639     {
3640     rlp.rlim_cur = rlp.rlim_max = RLIM_INFINITY;
3641   #else
3642   if (rlp.rlim_cur < 1000)
3643     {
3644     rlp.rlim_cur = rlp.rlim_max = 1000;
3645   #endif
3646     if (setrlimit(RLIMIT_NPROC, &rlp) < 0)
3647       log_write(0, LOG_MAIN|LOG_PANIC, "setrlimit(RLIMIT_NPROC) failed: %s",
3648         strerror(errno));
3649     }
3650   #endif
3651   }
3652
3653 /* Exim is normally entered as root (but some special configurations are
3654 possible that don't do this). However, it always spins off sub-processes that
3655 set their uid and gid as required for local delivery. We don't want to pass on
3656 any extra groups that root may belong to, so we want to get rid of them all at
3657 this point.
3658
3659 We need to obey setgroups() at this stage, before possibly giving up root
3660 privilege for a changed configuration file, but later on we might need to
3661 check on the additional groups for the admin user privilege - can't do that
3662 till after reading the config, which might specify the exim gid. Therefore,
3663 save the group list here first. */
3664
3665 group_count = getgroups(NGROUPS_MAX, group_list);
3666 if (group_count < 0)
3667   {
3668   fprintf(stderr, "exim: getgroups() failed: %s\n", strerror(errno));
3669   exit(EXIT_FAILURE);
3670   }
3671
3672 /* There is a fundamental difference in some BSD systems in the matter of
3673 groups. FreeBSD and BSDI are known to be different; NetBSD and OpenBSD are
3674 known not to be different. On the "different" systems there is a single group
3675 list, and the first entry in it is the current group. On all other versions of
3676 Unix there is a supplementary group list, which is in *addition* to the current
3677 group. Consequently, to get rid of all extraneous groups on a "standard" system
3678 you pass over 0 groups to setgroups(), while on a "different" system you pass
3679 over a single group - the current group, which is always the first group in the
3680 list. Calling setgroups() with zero groups on a "different" system results in
3681 an error return. The following code should cope with both types of system.
3682
3683 However, if this process isn't running as root, setgroups() can't be used
3684 since you have to be root to run it, even if throwing away groups. Not being
3685 root here happens only in some unusual configurations. We just ignore the
3686 error. */
3687
3688 if (setgroups(0, NULL) != 0)
3689   {
3690   if (setgroups(1, group_list) != 0 && !unprivileged)
3691     {
3692     fprintf(stderr, "exim: setgroups() failed: %s\n", strerror(errno));
3693     exit(EXIT_FAILURE);
3694     }
3695   }
3696
3697 /* If the configuration file name has been altered by an argument on the
3698 command line (either a new file name or a macro definition) and the caller is
3699 not root, or if this is a filter testing run, remove any setuid privilege the
3700 program has and run as the underlying user.
3701
3702 The exim user is locked out of this, which severely restricts the use of -C
3703 for some purposes.
3704
3705 Otherwise, set the real ids to the effective values (should be root unless run
3706 from inetd, which it can either be root or the exim uid, if one is configured).
3707
3708 There is a private mechanism for bypassing some of this, in order to make it
3709 possible to test lots of configurations automatically, without having either to
3710 recompile each time, or to patch in an actual configuration file name and other
3711 values (such as the path name). If running in the test harness, pretend that
3712 configuration file changes and macro definitions haven't happened. */
3713
3714 if ((                                            /* EITHER */
3715     (!trusted_config ||                          /* Config changed, or */
3716      !macros_trusted(opt_D_used)) &&             /*  impermissible macros and */
3717     real_uid != root_uid &&                      /* Not root, and */
3718     !running_in_test_harness                     /* Not fudged */
3719     ) ||                                         /*   OR   */
3720     expansion_test                               /* expansion testing */
3721     ||                                           /*   OR   */
3722     filter_test != FTEST_NONE)                   /* Filter testing */
3723   {
3724   setgroups(group_count, group_list);
3725   exim_setugid(real_uid, real_gid, FALSE,
3726     US"-C, -D, -be or -bf forces real uid");
3727   removed_privilege = TRUE;
3728
3729   /* In the normal case when Exim is called like this, stderr is available
3730   and should be used for any logging information because attempts to write
3731   to the log will usually fail. To arrange this, we unset really_exim. However,
3732   if no stderr is available there is no point - we might as well have a go
3733   at the log (if it fails, syslog will be written).
3734
3735   Note that if the invoker is Exim, the logs remain available. Messing with
3736   this causes unlogged successful deliveries.  */
3737
3738   if ((log_stderr != NULL) && (real_uid != exim_uid))
3739     really_exim = FALSE;
3740   }
3741
3742 /* Privilege is to be retained for the moment. It may be dropped later,
3743 depending on the job that this Exim process has been asked to do. For now, set
3744 the real uid to the effective so that subsequent re-execs of Exim are done by a
3745 privileged user. */
3746
3747 else exim_setugid(geteuid(), getegid(), FALSE, US"forcing real = effective");
3748
3749 /* If testing a filter, open the file(s) now, before wasting time doing other
3750 setups and reading the message. */
3751
3752 if ((filter_test & FTEST_SYSTEM) != 0)
3753   {
3754   filter_sfd = Uopen(filter_test_sfile, O_RDONLY, 0);
3755   if (filter_sfd < 0)
3756     {
3757     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_sfile,
3758       strerror(errno));
3759     return EXIT_FAILURE;
3760     }
3761   }
3762
3763 if ((filter_test & FTEST_USER) != 0)
3764   {
3765   filter_ufd = Uopen(filter_test_ufile, O_RDONLY, 0);
3766   if (filter_ufd < 0)
3767     {
3768     fprintf(stderr, "exim: failed to open %s: %s\n", filter_test_ufile,
3769       strerror(errno));
3770     return EXIT_FAILURE;
3771     }
3772   }
3773
3774 /* Initialise lookup_list
3775 If debugging, already called above via version reporting.
3776 In either case, we initialise the list of available lookups while running
3777 as root.  All dynamically modules are loaded from a directory which is
3778 hard-coded into the binary and is code which, if not a module, would be
3779 part of Exim already.  Ability to modify the content of the directory
3780 is equivalent to the ability to modify a setuid binary!
3781
3782 This needs to happen before we read the main configuration. */
3783 init_lookup_list();
3784
3785 #ifdef SUPPORT_I18N
3786 if (running_in_test_harness) smtputf8_advertise_hosts = NULL;
3787 #endif
3788
3789 /* Read the main runtime configuration data; this gives up if there
3790 is a failure. It leaves the configuration file open so that the subsequent
3791 configuration data for delivery can be read if needed.
3792
3793 NOTE: immediatly after opening the configuration file we change the working
3794 directory to "/"! Later we change to $spool_directory. We do it there, because
3795 during readconf_main() some expansion takes place already. */
3796
3797 /* Store the initial cwd before we change directories */
3798 if ((initial_cwd = os_getcwd(NULL, 0)) == NULL)
3799   {
3800   perror("exim: can't get the current working directory");
3801   exit(EXIT_FAILURE);
3802   }
3803
3804 /* checking:
3805     -be[m] expansion test        -
3806     -b[fF] filter test           new
3807     -bh[c] host test             -
3808     -bmalware malware_test_file  new
3809     -brt   retry test            new
3810     -brw   rewrite test          new
3811     -bt    address test          -
3812     -bv[s] address verify        -
3813    list_options:
3814     -bP <option> (except -bP config, which sets list_config)
3815
3816 If any of these options is set, we suppress warnings about configuration
3817 issues (currently about tls_advertise_hosts and keep_environment not being
3818 defined) */
3819
3820 readconf_main(checking || list_options);
3821
3822 if (builtin_macros_create_trigger) DEBUG(D_any)
3823   debug_printf("Builtin macros created (expensive) due to config line '%.*s'\n",
3824     Ustrlen(builtin_macros_create_trigger)-1, builtin_macros_create_trigger);
3825
3826 /* Now in directory "/" */
3827
3828 if (cleanup_environment() == FALSE)
3829   log_write(0, LOG_PANIC_DIE, "Can't cleanup environment");
3830
3831
3832 /* If an action on specific messages is requested, or if a daemon or queue
3833 runner is being started, we need to know if Exim was called by an admin user.
3834 This is the case if the real user is root or exim, or if the real group is
3835 exim, or if one of the supplementary groups is exim or a group listed in
3836 admin_groups. We don't fail all message actions immediately if not admin_user,
3837 since some actions can be performed by non-admin users. Instead, set admin_user
3838 for later interrogation. */
3839
3840 if (real_uid == root_uid || real_uid == exim_uid || real_gid == exim_gid)
3841   admin_user = TRUE;
3842 else
3843   {
3844   int i, j;
3845   for (i = 0; i < group_count && !admin_user; i++)
3846     if (group_list[i] == exim_gid)
3847       admin_user = TRUE;
3848     else if (admin_groups)
3849       for (j = 1; j <= (int)admin_groups[0] && !admin_user; j++)
3850         if (admin_groups[j] == group_list[i])
3851           admin_user = TRUE;
3852   }
3853
3854 /* Another group of privileged users are the trusted users. These are root,
3855 exim, and any caller matching trusted_users or trusted_groups. Trusted callers
3856 are permitted to specify sender_addresses with -f on the command line, and
3857 other message parameters as well. */
3858
3859 if (real_uid == root_uid || real_uid == exim_uid)
3860   trusted_caller = TRUE;
3861 else
3862   {
3863   int i, j;
3864
3865   if (trusted_users)
3866     for (i = 1; i <= (int)trusted_users[0] && !trusted_caller; i++)
3867       if (trusted_users[i] == real_uid)
3868         trusted_caller = TRUE;
3869
3870   if (trusted_groups)
3871     for (i = 1; i <= (int)trusted_groups[0] && !trusted_caller; i++)
3872       if (trusted_groups[i] == real_gid)
3873         trusted_caller = TRUE;
3874       else for (j = 0; j < group_count && !trusted_caller; j++)
3875         if (trusted_groups[i] == group_list[j])
3876           trusted_caller = TRUE;
3877   }
3878
3879 /* At this point, we know if the user is privileged and some command-line
3880 options become possibly imperssible, depending upon the configuration file. */
3881
3882 if (checking && commandline_checks_require_admin && !admin_user) {
3883   fprintf(stderr, "exim: those command-line flags are set to require admin\n");
3884   exit(EXIT_FAILURE);
3885 }
3886
3887 /* Handle the decoding of logging options. */
3888
3889 decode_bits(log_selector, log_selector_size, log_notall,
3890   log_selector_string, log_options, log_options_count, US"log", 0);
3891
3892 DEBUG(D_any)
3893   {
3894   int i;
3895   debug_printf("configuration file is %s\n", config_main_filename);
3896   debug_printf("log selectors =");
3897   for (i = 0; i < log_selector_size; i++)
3898     debug_printf(" %08x", log_selector[i]);
3899   debug_printf("\n");
3900   }
3901
3902 /* If domain literals are not allowed, check the sender address that was
3903 supplied with -f. Ditto for a stripped trailing dot. */
3904
3905 if (sender_address != NULL)
3906   {
3907   if (sender_address[sender_address_domain] == '[' && !allow_domain_literals)
3908     {
3909     fprintf(stderr, "exim: bad -f address \"%s\": domain literals not "
3910       "allowed\n", sender_address);
3911     return EXIT_FAILURE;
3912     }
3913   if (f_end_dot && !strip_trailing_dot)
3914     {
3915     fprintf(stderr, "exim: bad -f address \"%s.\": domain is malformed "
3916       "(trailing dot not allowed)\n", sender_address);
3917     return EXIT_FAILURE;
3918     }
3919   }
3920
3921 /* See if an admin user overrode our logging. */
3922
3923 if (cmdline_syslog_name != NULL)
3924   {
3925   if (admin_user)
3926     {
3927     syslog_processname = cmdline_syslog_name;
3928     log_file_path = string_copy(CUS"syslog");
3929     }
3930   else
3931     {
3932     /* not a panic, non-privileged users should not be able to spam paniclog */
3933     fprintf(stderr,
3934         "exim: you lack sufficient privilege to specify syslog process name\n");
3935     return EXIT_FAILURE;
3936     }
3937   }
3938
3939 /* Paranoia check of maximum lengths of certain strings. There is a check
3940 on the length of the log file path in log.c, which will come into effect
3941 if there are any calls to write the log earlier than this. However, if we
3942 get this far but the string is very long, it is better to stop now than to
3943 carry on and (e.g.) receive a message and then have to collapse. The call to
3944 log_write() from here will cause the ultimate panic collapse if the complete
3945 file name exceeds the buffer length. */
3946
3947 if (Ustrlen(log_file_path) > 200)
3948   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3949     "log_file_path is longer than 200 chars: aborting");
3950
3951 if (Ustrlen(pid_file_path) > 200)
3952   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3953     "pid_file_path is longer than 200 chars: aborting");
3954
3955 if (Ustrlen(spool_directory) > 200)
3956   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3957     "spool_directory is longer than 200 chars: aborting");
3958
3959 /* Length check on the process name given to syslog for its TAG field,
3960 which is only permitted to be 32 characters or less. See RFC 3164. */
3961
3962 if (Ustrlen(syslog_processname) > 32)
3963   log_write(0, LOG_MAIN|LOG_PANIC_DIE,
3964     "syslog_processname is longer than 32 chars: aborting");
3965
3966 if (log_oneline)
3967   if (admin_user)
3968     {
3969     log_write(0, LOG_MAIN, "%s", log_oneline);
3970     return EXIT_SUCCESS;
3971     }
3972   else
3973     return EXIT_FAILURE;
3974
3975 /* In some operating systems, the environment variable TMPDIR controls where
3976 temporary files are created; Exim doesn't use these (apart from when delivering
3977 to MBX mailboxes), but called libraries such as DBM libraries may require them.
3978 If TMPDIR is found in the environment, reset it to the value defined in the
3979 EXIM_TMPDIR macro, if this macro is defined.  For backward compatibility this
3980 macro may be called TMPDIR in old "Local/Makefile"s. It's converted to
3981 EXIM_TMPDIR by the build scripts.
3982 */
3983
3984 #ifdef EXIM_TMPDIR
3985   {
3986   uschar **p;
3987   if (environ) for (p = USS environ; *p; p++)
3988     if (Ustrncmp(*p, "TMPDIR=", 7) == 0 && Ustrcmp(*p+7, EXIM_TMPDIR) != 0)
3989       {
3990       uschar * newp = store_malloc(Ustrlen(EXIM_TMPDIR) + 8);
3991       sprintf(CS newp, "TMPDIR=%s", EXIM_TMPDIR);
3992       *p = newp;
3993       DEBUG(D_any) debug_printf("reset TMPDIR=%s in environment\n", EXIM_TMPDIR);
3994       }
3995   }
3996 #endif
3997
3998 /* Timezone handling. If timezone_string is "utc", set a flag to cause all
3999 timestamps to be in UTC (gmtime() is used instead of localtime()). Otherwise,
4000 we may need to get rid of a bogus timezone setting. This can arise when Exim is
4001 called by a user who has set the TZ variable. This then affects the timestamps
4002 in log files and in Received: headers, and any created Date: header lines. The
4003 required timezone is settable in the configuration file, so nothing can be done
4004 about this earlier - but hopefully nothing will normally be logged earlier than
4005 this. We have to make a new environment if TZ is wrong, but don't bother if
4006 timestamps_utc is set, because then all times are in UTC anyway. */
4007
4008 if (timezone_string && strcmpic(timezone_string, US"UTC") == 0)
4009   timestamps_utc = TRUE;
4010 else
4011   {
4012   uschar *envtz = US getenv("TZ");
4013   if (envtz
4014       ? !timezone_string || Ustrcmp(timezone_string, envtz) != 0
4015       : timezone_string != NULL
4016      )
4017     {
4018     uschar **p = USS environ;
4019     uschar **new;
4020     uschar **newp;
4021     int count = 0;
4022     if (environ) while (*p++) count++;
4023     if (!envtz) count++;
4024     newp = new = store_malloc(sizeof(uschar *) * (count + 1));
4025     if (environ) for (p = USS environ; *p; p++)
4026       if (Ustrncmp(*p, "TZ=", 3) != 0) *newp++ = *p;
4027     if (timezone_string)
4028       {
4029       *newp = store_malloc(Ustrlen(timezone_string) + 4);
4030       sprintf(CS *newp++, "TZ=%s", timezone_string);
4031       }
4032     *newp = NULL;
4033     environ = CSS new;
4034     tzset();
4035     DEBUG(D_any) debug_printf("Reset TZ to %s: time is %s\n", timezone_string,
4036       tod_stamp(tod_log));
4037     }
4038   }
4039
4040 /* Handle the case when we have removed the setuid privilege because of -C or
4041 -D. This means that the caller of Exim was not root.
4042
4043 There is a problem if we were running as the Exim user. The sysadmin may
4044 expect this case to retain privilege because "the binary was called by the
4045 Exim user", but it hasn't, because either the -D option set macros, or the
4046 -C option set a non-trusted configuration file. There are two possibilities:
4047
4048   (1) If deliver_drop_privilege is set, Exim is not going to re-exec in order
4049       to do message deliveries. Thus, the fact that it is running as a
4050       non-privileged user is plausible, and might be wanted in some special
4051       configurations. However, really_exim will have been set false when
4052       privilege was dropped, to stop Exim trying to write to its normal log
4053       files. Therefore, re-enable normal log processing, assuming the sysadmin
4054       has set up the log directory correctly.
4055
4056   (2) If deliver_drop_privilege is not set, the configuration won't work as
4057       apparently intended, and so we log a panic message. In order to retain
4058       root for -C or -D, the caller must either be root or be invoking a
4059       trusted configuration file (when deliver_drop_privilege is false). */
4060
4061 if (  removed_privilege
4062    && (!trusted_config || opt_D_used)
4063    && real_uid == exim_uid)
4064   if (deliver_drop_privilege)
4065     really_exim = TRUE; /* let logging work normally */
4066   else
4067     log_write(0, LOG_MAIN|LOG_PANIC,
4068       "exim user lost privilege for using %s option",
4069       trusted_config? "-D" : "-C");
4070
4071 /* Start up Perl interpreter if Perl support is configured and there is a
4072 perl_startup option, and the configuration or the command line specifies
4073 initializing starting. Note that the global variables are actually called
4074 opt_perl_xxx to avoid clashing with perl's namespace (perl_*). */
4075
4076 #ifdef EXIM_PERL
4077 if (perl_start_option != 0)
4078   opt_perl_at_start = (perl_start_option > 0);
4079 if (opt_perl_at_start && opt_perl_startup != NULL)
4080   {
4081   uschar *errstr;
4082   DEBUG(D_any) debug_printf("Starting Perl interpreter\n");
4083   errstr = init_perl(opt_perl_startup);
4084   if (errstr != NULL)
4085     {
4086     fprintf(stderr, "exim: error in perl_startup code: %s\n", errstr);
4087     return EXIT_FAILURE;
4088     }
4089   opt_perl_started = TRUE;
4090   }
4091 #endif /* EXIM_PERL */
4092
4093 /* Log the arguments of the call if the configuration file said so. This is
4094 a debugging feature for finding out what arguments certain MUAs actually use.
4095 Don't attempt it if logging is disabled, or if listing variables or if
4096 verifying/testing addresses or expansions. */
4097
4098 if (((debug_selector & D_any) != 0 || LOGGING(arguments))
4099       && really_exim && !list_options && !checking)
4100   {
4101   int i;
4102   uschar *p = big_buffer;
4103   Ustrcpy(p, "cwd= (failed)");
4104
4105   Ustrncpy(p + 4, initial_cwd, big_buffer_size-5);
4106
4107   while (*p) p++;
4108   (void)string_format(p, big_buffer_size - (p - big_buffer), " %d args:", argc);
4109   while (*p) p++;
4110   for (i = 0; i < argc; i++)
4111     {
4112     int len = Ustrlen(argv[i]);
4113     const uschar *printing;
4114     uschar *quote;
4115     if (p + len + 8 >= big_buffer + big_buffer_size)
4116       {
4117       Ustrcpy(p, " ...");
4118       log_write(0, LOG_MAIN, "%s", big_buffer);
4119       Ustrcpy(big_buffer, "...");
4120       p = big_buffer + 3;
4121       }
4122     printing = string_printing(argv[i]);
4123     if (printing[0] == 0) quote = US"\""; else
4124       {
4125       const uschar *pp = printing;
4126       quote = US"";
4127       while (*pp != 0) if (isspace(*pp++)) { quote = US"\""; break; }
4128       }
4129     p += sprintf(CS p, " %s%.*s%s", quote, (int)(big_buffer_size -
4130       (p - big_buffer) - 4), printing, quote);
4131     }
4132
4133   if (LOGGING(arguments))
4134     log_write(0, LOG_MAIN, "%s", big_buffer);
4135   else
4136     debug_printf("%s\n", big_buffer);
4137   }
4138
4139 /* Set the working directory to be the top-level spool directory. We don't rely
4140 on this in the code, which always uses fully qualified names, but it's useful
4141 for core dumps etc. Don't complain if it fails - the spool directory might not
4142 be generally accessible and calls with the -C option (and others) have lost
4143 privilege by now. Before the chdir, we try to ensure that the directory exists.
4144 */
4145
4146 if (Uchdir(spool_directory) != 0)
4147   {
4148   int dummy;
4149   (void)directory_make(spool_directory, US"", SPOOL_DIRECTORY_MODE, FALSE);
4150   dummy = /* quieten compiler */ Uchdir(spool_directory);
4151   dummy = dummy;        /* yet more compiler quietening, sigh */
4152   }
4153
4154 /* Handle calls with the -bi option. This is a sendmail option to rebuild *the*
4155 alias file. Exim doesn't have such a concept, but this call is screwed into
4156 Sun's YP makefiles. Handle this by calling a configured script, as the real
4157 user who called Exim. The -oA option can be used to pass an argument to the
4158 script. */
4159
4160 if (bi_option)
4161   {
4162   (void)fclose(config_file);
4163   if (bi_command != NULL)
4164     {
4165     int i = 0;
4166     uschar *argv[3];
4167     argv[i++] = bi_command;
4168     if (alias_arg != NULL) argv[i++] = alias_arg;
4169     argv[i++] = NULL;
4170
4171     setgroups(group_count, group_list);
4172     exim_setugid(real_uid, real_gid, FALSE, US"running bi_command");
4173
4174     DEBUG(D_exec) debug_printf("exec %.256s %.256s\n", argv[0],
4175       (argv[1] == NULL)? US"" : argv[1]);
4176
4177     execv(CS argv[0], (char *const *)argv);
4178     fprintf(stderr, "exim: exec failed: %s\n", strerror(errno));
4179     exit(EXIT_FAILURE);
4180     }
4181   else
4182     {
4183     DEBUG(D_any) debug_printf("-bi used but bi_command not set; exiting\n");
4184     exit(EXIT_SUCCESS);
4185     }
4186   }
4187
4188 /* We moved the admin/trusted check to be immediately after reading the
4189 configuration file.  We leave these prints here to ensure that syslog setup,
4190 logfile setup, and so on has already happened. */
4191
4192 if (trusted_caller) DEBUG(D_any) debug_printf("trusted user\n");
4193 if (admin_user) DEBUG(D_any) debug_printf("admin user\n");
4194
4195 /* Only an admin user may start the daemon or force a queue run in the default
4196 configuration, but the queue run restriction can be relaxed. Only an admin
4197 user may request that a message be returned to its sender forthwith. Only an
4198 admin user may specify a debug level greater than D_v (because it might show
4199 passwords, etc. in lookup queries). Only an admin user may request a queue
4200 count. Only an admin user can use the test interface to scan for email
4201 (because Exim will be in the spool dir and able to look at mails). */
4202
4203 if (!admin_user)
4204   {
4205   BOOL debugset = (debug_selector & ~D_v) != 0;
4206   if (deliver_give_up || daemon_listen || malware_test_file ||
4207      (count_queue && queue_list_requires_admin) ||
4208      (list_queue && queue_list_requires_admin) ||
4209      (queue_interval >= 0 && prod_requires_admin) ||
4210      (debugset && !running_in_test_harness))
4211     {
4212     fprintf(stderr, "exim:%s permission denied\n", debugset? " debugging" : "");
4213     exit(EXIT_FAILURE);
4214     }
4215   }
4216
4217 /* If the real user is not root or the exim uid, the argument for passing
4218 in an open TCP/IP connection for another message is not permitted, nor is
4219 running with the -N option for any delivery action, unless this call to exim is
4220 one that supplied an input message, or we are using a patched exim for
4221 regression testing. */
4222
4223 if (real_uid != root_uid && real_uid != exim_uid &&
4224      (continue_hostname != NULL ||
4225        (dont_deliver &&
4226          (queue_interval >= 0 || daemon_listen || msg_action_arg > 0)
4227        )) && !running_in_test_harness)
4228   {
4229   fprintf(stderr, "exim: Permission denied\n");
4230   return EXIT_FAILURE;
4231   }
4232
4233 /* If the caller is not trusted, certain arguments are ignored when running for
4234 real, but are permitted when checking things (-be, -bv, -bt, -bh, -bf, -bF).
4235 Note that authority for performing certain actions on messages is tested in the
4236 queue_action() function. */
4237
4238 if (!trusted_caller && !checking)
4239   {
4240   sender_host_name = sender_host_address = interface_address =
4241     sender_ident = received_protocol = NULL;
4242   sender_host_port = interface_port = 0;
4243   sender_host_authenticated = authenticated_sender = authenticated_id = NULL;
4244   }
4245
4246 /* If a sender host address is set, extract the optional port number off the
4247 end of it and check its syntax. Do the same thing for the interface address.
4248 Exim exits if the syntax is bad. */
4249
4250 else
4251   {
4252   if (sender_host_address != NULL)
4253     sender_host_port = check_port(sender_host_address);
4254   if (interface_address != NULL)
4255     interface_port = check_port(interface_address);
4256   }
4257
4258 /* If the caller is trusted, then they can use -G to suppress_local_fixups. */
4259 if (flag_G)
4260   {
4261   if (trusted_caller)
4262     {
4263     suppress_local_fixups = suppress_local_fixups_default = TRUE;
4264     DEBUG(D_acl) debug_printf("suppress_local_fixups forced on by -G\n");
4265     }
4266   else
4267     {
4268     fprintf(stderr, "exim: permission denied (-G requires a trusted user)\n");
4269     return EXIT_FAILURE;
4270     }
4271   }
4272
4273 /* If an SMTP message is being received check to see if the standard input is a
4274 TCP/IP socket. If it is, we assume that Exim was called from inetd if the
4275 caller is root or the Exim user, or if the port is a privileged one. Otherwise,
4276 barf. */
4277
4278 if (smtp_input)
4279   {
4280   union sockaddr_46 inetd_sock;
4281   EXIM_SOCKLEN_T size = sizeof(inetd_sock);
4282   if (getpeername(0, (struct sockaddr *)(&inetd_sock), &size) == 0)
4283     {
4284     int family = ((struct sockaddr *)(&inetd_sock))->sa_family;
4285     if (family == AF_INET || family == AF_INET6)
4286       {
4287       union sockaddr_46 interface_sock;
4288       size = sizeof(interface_sock);
4289
4290       if (getsockname(0, (struct sockaddr *)(&interface_sock), &size) == 0)
4291         interface_address = host_ntoa(-1, &interface_sock, NULL,
4292           &interface_port);
4293
4294       if (host_is_tls_on_connect_port(interface_port)) tls_in.on_connect = TRUE;
4295
4296       if (real_uid == root_uid || real_uid == exim_uid || interface_port < 1024)
4297         {
4298         is_inetd = TRUE;
4299         sender_host_address = host_ntoa(-1, (struct sockaddr *)(&inetd_sock),
4300           NULL, &sender_host_port);
4301         if (mua_wrapper) log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Input from "
4302           "inetd is not supported when mua_wrapper is set");
4303         }
4304       else
4305         {
4306         fprintf(stderr,
4307           "exim: Permission denied (unprivileged user, unprivileged port)\n");
4308         return EXIT_FAILURE;
4309         }
4310       }
4311     }
4312   }
4313
4314 /* If the load average is going to be needed while receiving a message, get it
4315 now for those OS that require the first call to os_getloadavg() to be done as
4316 root. There will be further calls later for each message received. */
4317
4318 #ifdef LOAD_AVG_NEEDS_ROOT
4319 if (receiving_message &&
4320       (queue_only_load >= 0 ||
4321         (is_inetd && smtp_load_reserve >= 0)
4322       ))
4323   {
4324   load_average = OS_GETLOADAVG();
4325   }
4326 #endif
4327
4328 /* The queue_only configuration option can be overridden by -odx on the command
4329 line, except that if queue_only_override is false, queue_only cannot be unset
4330 from the command line. */
4331
4332 if (queue_only_set && (queue_only_override || arg_queue_only))
4333   queue_only = arg_queue_only;
4334
4335 /* The receive_timeout and smtp_receive_timeout options can be overridden by
4336 -or and -os. */
4337
4338 if (arg_receive_timeout >= 0) receive_timeout = arg_receive_timeout;
4339 if (arg_smtp_receive_timeout >= 0)
4340   smtp_receive_timeout = arg_smtp_receive_timeout;
4341
4342 /* If Exim was started with root privilege, unless we have already removed the
4343 root privilege above as a result of -C, -D, -be, -bf or -bF, remove it now
4344 except when starting the daemon or doing some kind of delivery or address
4345 testing (-bt). These are the only cases when root need to be retained. We run
4346 as exim for -bv and -bh. However, if deliver_drop_privilege is set, root is
4347 retained only for starting the daemon. We always do the initgroups() in this
4348 situation (controlled by the TRUE below), in order to be as close as possible
4349 to the state Exim usually runs in. */
4350
4351 if (!unprivileged &&                      /* originally had root AND */
4352     !removed_privilege &&                 /* still got root AND      */
4353     !daemon_listen &&                     /* not starting the daemon */
4354     queue_interval <= 0 &&                /* (either kind of daemon) */
4355       (                                   /*    AND EITHER           */
4356       deliver_drop_privilege ||           /* requested unprivileged  */
4357         (                                 /*       OR                */
4358         queue_interval < 0 &&             /* not running the queue   */
4359         (msg_action_arg < 0 ||            /*       and               */
4360           msg_action != MSG_DELIVER) &&   /* not delivering and      */
4361         (!checking || !address_test_mode) /* not address checking    */
4362    )  ) )
4363   exim_setugid(exim_uid, exim_gid, TRUE, US"privilege not needed");
4364
4365 /* When we are retaining a privileged uid, we still change to the exim gid. */
4366
4367 else
4368   {
4369   int rv;
4370   rv = setgid(exim_gid);
4371   /* Impact of failure is that some stuff might end up with an incorrect group.
4372   We track this for failures from root, since any attempt to change privilege
4373   by root should succeed and failures should be examined.  For non-root,
4374   there's no security risk.  For me, it's { exim -bV } on a just-built binary,
4375   no need to complain then. */
4376   if (rv == -1)
4377     if (!(unprivileged || removed_privilege))
4378       {
4379       fprintf(stderr,
4380           "exim: changing group failed: %s\n", strerror(errno));
4381       exit(EXIT_FAILURE);
4382       }
4383     else
4384       DEBUG(D_any) debug_printf("changing group to %ld failed: %s\n",
4385           (long int)exim_gid, strerror(errno));
4386   }
4387
4388 /* Handle a request to scan a file for malware */
4389 if (malware_test_file)
4390   {
4391 #ifdef WITH_CONTENT_SCAN
4392   int result;
4393   set_process_info("scanning file for malware");
4394   result = malware_in_file(malware_test_file);
4395   if (result == FAIL)
4396     {
4397     printf("No malware found.\n");
4398     exit(EXIT_SUCCESS);
4399     }
4400   if (result != OK)
4401     {
4402     printf("Malware lookup returned non-okay/fail: %d\n", result);
4403     exit(EXIT_FAILURE);
4404     }
4405   if (malware_name)
4406     printf("Malware found: %s\n", malware_name);
4407   else
4408     printf("Malware scan detected malware of unknown name.\n");
4409 #else
4410   printf("Malware scanning not enabled at compile time.\n");
4411 #endif
4412   exit(EXIT_FAILURE);
4413   }
4414
4415 /* Handle a request to list the delivery queue */
4416
4417 if (list_queue)
4418   {
4419   set_process_info("listing the queue");
4420   queue_list(list_queue_option, argv + recipients_arg, argc - recipients_arg);
4421   exit(EXIT_SUCCESS);
4422   }
4423
4424 /* Handle a request to count the delivery queue */
4425
4426 if (count_queue)
4427   {
4428   set_process_info("counting the queue");
4429   queue_count();
4430   exit(EXIT_SUCCESS);
4431   }
4432
4433 /* Handle actions on specific messages, except for the force delivery and
4434 message load actions, which are done below. Some actions take a whole list of
4435 message ids, which are known to continue up to the end of the arguments. Others
4436 take a single message id and then operate on the recipients list. */
4437
4438 if (msg_action_arg > 0 && msg_action != MSG_DELIVER && msg_action != MSG_LOAD)
4439   {
4440   int yield = EXIT_SUCCESS;
4441   set_process_info("acting on specified messages");
4442
4443   if (!one_msg_action)
4444     {
4445     for (i = msg_action_arg; i < argc; i++)
4446       if (!queue_action(argv[i], msg_action, NULL, 0, 0))
4447         yield = EXIT_FAILURE;
4448     }
4449
4450   else if (!queue_action(argv[msg_action_arg], msg_action, argv, argc,
4451     recipients_arg)) yield = EXIT_FAILURE;
4452   exit(yield);
4453   }
4454
4455 /* We used to set up here to skip reading the ACL section, on
4456  (msg_action_arg > 0 || (queue_interval == 0 && !daemon_listen)
4457 Now, since the intro of the ${acl } expansion, ACL definitions may be
4458 needed in transports so we lost the optimisation. */
4459
4460 readconf_rest();
4461
4462 /* The configuration data will have been read into POOL_PERM because we won't
4463 ever want to reset back past it. Change the current pool to POOL_MAIN. In fact,
4464 this is just a bit of pedantic tidiness. It wouldn't really matter if the
4465 configuration were read into POOL_MAIN, because we don't do any resets till
4466 later on. However, it seems right, and it does ensure that both pools get used.
4467 */
4468
4469 store_pool = POOL_MAIN;
4470
4471 /* Handle the -brt option. This is for checking out retry configurations.
4472 The next three arguments are a domain name or a complete address, and
4473 optionally two error numbers. All it does is to call the function that
4474 scans the retry configuration data. */
4475
4476 if (test_retry_arg >= 0)
4477   {
4478   retry_config *yield;
4479   int basic_errno = 0;
4480   int more_errno = 0;
4481   uschar *s1, *s2;
4482
4483   if (test_retry_arg >= argc)
4484     {
4485     printf("-brt needs a domain or address argument\n");
4486     exim_exit(EXIT_FAILURE);
4487     }
4488   s1 = argv[test_retry_arg++];
4489   s2 = NULL;
4490
4491   /* If the first argument contains no @ and no . it might be a local user
4492   or it might be a single-component name. Treat as a domain. */
4493
4494   if (Ustrchr(s1, '@') == NULL && Ustrchr(s1, '.') == NULL)
4495     {
4496     printf("Warning: \"%s\" contains no '@' and no '.' characters. It is "
4497       "being \ntreated as a one-component domain, not as a local part.\n\n",
4498       s1);
4499     }
4500
4501   /* There may be an optional second domain arg. */
4502
4503   if (test_retry_arg < argc && Ustrchr(argv[test_retry_arg], '.') != NULL)
4504     s2 = argv[test_retry_arg++];
4505
4506   /* The final arg is an error name */
4507
4508   if (test_retry_arg < argc)
4509     {
4510     uschar *ss = argv[test_retry_arg];
4511     uschar *error =
4512       readconf_retry_error(ss, ss + Ustrlen(ss), &basic_errno, &more_errno);
4513     if (error != NULL)
4514       {
4515       printf("%s\n", CS error);
4516       return EXIT_FAILURE;
4517       }
4518
4519     /* For the {MAIL,RCPT,DATA}_4xx errors, a value of 255 means "any", and a
4520     code > 100 as an error is for matching codes to the decade. Turn them into
4521     a real error code, off the decade. */
4522
4523     if (basic_errno == ERRNO_MAIL4XX ||
4524         basic_errno == ERRNO_RCPT4XX ||
4525         basic_errno == ERRNO_DATA4XX)
4526       {
4527       int code = (more_errno >> 8) & 255;
4528       if (code == 255)
4529         more_errno = (more_errno & 0xffff00ff) | (21 << 8);
4530       else if (code > 100)
4531         more_errno = (more_errno & 0xffff00ff) | ((code - 96) << 8);
4532       }
4533     }
4534
4535   if (!(yield = retry_find_config(s1, s2, basic_errno, more_errno)))
4536     printf("No retry information found\n");
4537   else
4538     {
4539     retry_rule *r;
4540     more_errno = yield->more_errno;
4541     printf("Retry rule: %s  ", yield->pattern);
4542
4543     if (yield->basic_errno == ERRNO_EXIMQUOTA)
4544       {
4545       printf("quota%s%s  ",
4546         (more_errno > 0)? "_" : "",
4547         (more_errno > 0)? readconf_printtime(more_errno) : US"");
4548       }
4549     else if (yield->basic_errno == ECONNREFUSED)
4550       {
4551       printf("refused%s%s  ",
4552         (more_errno > 0)? "_" : "",
4553         (more_errno == 'M')? "MX" :
4554         (more_errno == 'A')? "A" : "");
4555       }
4556     else if (yield->basic_errno == ETIMEDOUT)
4557       {
4558       printf("timeout");
4559       if ((more_errno & RTEF_CTOUT) != 0) printf("_connect");
4560       more_errno &= 255;
4561       if (more_errno != 0) printf("_%s",
4562         (more_errno == 'M')? "MX" : "A");
4563       printf("  ");
4564       }
4565     else if (yield->basic_errno == ERRNO_AUTHFAIL)
4566       printf("auth_failed  ");
4567     else printf("*  ");
4568
4569     for (r = yield->rules; r; r = r->next)
4570       {
4571       printf("%c,%s", r->rule, readconf_printtime(r->timeout)); /* Do not */
4572       printf(",%s", readconf_printtime(r->p1));                 /* amalgamate */
4573       if (r->rule == 'G')
4574         {
4575         int x = r->p2;
4576         int f = x % 1000;
4577         int d = 100;
4578         printf(",%d.", x/1000);
4579         do
4580           {
4581           printf("%d", f/d);
4582           f %= d;
4583           d /= 10;
4584           }
4585         while (f != 0);
4586         }
4587       printf("; ");
4588       }
4589
4590     printf("\n");
4591     }
4592   exim_exit(EXIT_SUCCESS);
4593   }
4594
4595 /* Handle a request to list one or more configuration options */
4596 /* If -n was set, we suppress some information */
4597
4598 if (list_options)
4599   {
4600   set_process_info("listing variables");
4601   if (recipients_arg >= argc) readconf_print(US"all", NULL, flag_n);
4602     else for (i = recipients_arg; i < argc; i++)
4603       {
4604       if (i < argc - 1 &&
4605           (Ustrcmp(argv[i], "router") == 0 ||
4606            Ustrcmp(argv[i], "transport") == 0 ||
4607            Ustrcmp(argv[i], "authenticator") == 0 ||
4608            Ustrcmp(argv[i], "macro") == 0 ||
4609            Ustrcmp(argv[i], "environment") == 0))
4610         {
4611         readconf_print(argv[i+1], argv[i], flag_n);
4612         i++;
4613         }
4614       else readconf_print(argv[i], NULL, flag_n);
4615       }
4616   exim_exit(EXIT_SUCCESS);
4617   }
4618
4619 if (list_config)
4620   {
4621   set_process_info("listing config");
4622   readconf_print(US"config", NULL, flag_n);
4623   exim_exit(EXIT_SUCCESS);
4624   }
4625
4626
4627 /* Initialise subsystems as required */
4628 #ifndef DISABLE_DKIM
4629 dkim_exim_init();
4630 #endif
4631 deliver_init();
4632
4633
4634 /* Handle a request to deliver one or more messages that are already on the
4635 queue. Values of msg_action other than MSG_DELIVER and MSG_LOAD are dealt with
4636 above. MSG_LOAD is handled with -be (which is the only time it applies) below.
4637
4638 Delivery of specific messages is typically used for a small number when
4639 prodding by hand (when the option forced_delivery will be set) or when
4640 re-execing to regain root privilege. Each message delivery must happen in a
4641 separate process, so we fork a process for each one, and run them sequentially
4642 so that debugging output doesn't get intertwined, and to avoid spawning too
4643 many processes if a long list is given. However, don't fork for the last one;
4644 this saves a process in the common case when Exim is called to deliver just one
4645 message. */
4646
4647 if (msg_action_arg > 0 && msg_action != MSG_LOAD)
4648   {
4649   if (prod_requires_admin && !admin_user)
4650     {
4651     fprintf(stderr, "exim: Permission denied\n");
4652     exim_exit(EXIT_FAILURE);
4653     }
4654   set_process_info("delivering specified messages");
4655   if (deliver_give_up) forced_delivery = deliver_force_thaw = TRUE;
4656   for (i = msg_action_arg; i < argc; i++)
4657     {
4658     int status;
4659     pid_t pid;
4660     if (i == argc - 1)
4661       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4662     else if ((pid = fork()) == 0)
4663       {
4664       (void)deliver_message(argv[i], forced_delivery, deliver_give_up);
4665       _exit(EXIT_SUCCESS);
4666       }
4667     else if (pid < 0)
4668       {
4669       fprintf(stderr, "failed to fork delivery process for %s: %s\n", argv[i],
4670         strerror(errno));
4671       exim_exit(EXIT_FAILURE);
4672       }
4673     else wait(&status);
4674     }
4675   exim_exit(EXIT_SUCCESS);
4676   }
4677
4678
4679 /* If only a single queue run is requested, without SMTP listening, we can just
4680 turn into a queue runner, with an optional starting message id. */
4681
4682 if (queue_interval == 0 && !daemon_listen)
4683   {
4684   DEBUG(D_queue_run) debug_printf("Single queue run%s%s%s%s\n",
4685     (start_queue_run_id == NULL)? US"" : US" starting at ",
4686     (start_queue_run_id == NULL)? US"" : start_queue_run_id,
4687     (stop_queue_run_id == NULL)?  US"" : US" stopping at ",
4688     (stop_queue_run_id == NULL)?  US"" : stop_queue_run_id);
4689   if (*queue_name)
4690     set_process_info("running the '%s' queue (single queue run)", queue_name);
4691   else
4692     set_process_info("running the queue (single queue run)");
4693   queue_run(start_queue_run_id, stop_queue_run_id, FALSE);
4694   exim_exit(EXIT_SUCCESS);
4695   }
4696
4697
4698 /* Find the login name of the real user running this process. This is always
4699 needed when receiving a message, because it is written into the spool file. It
4700 may also be used to construct a from: or a sender: header, and in this case we
4701 need the user's full name as well, so save a copy of it, checked for RFC822
4702 syntax and munged if necessary, if it hasn't previously been set by the -F
4703 argument. We may try to get the passwd entry more than once, in case NIS or
4704 other delays are in evidence. Save the home directory for use in filter testing
4705 (only). */
4706
4707 for (i = 0;;)
4708   {
4709   if ((pw = getpwuid(real_uid)) != NULL)
4710     {
4711     originator_login = string_copy(US pw->pw_name);
4712     originator_home = string_copy(US pw->pw_dir);
4713
4714     /* If user name has not been set by -F, set it from the passwd entry
4715     unless -f has been used to set the sender address by a trusted user. */
4716
4717     if (originator_name == NULL)
4718       {
4719       if (sender_address == NULL ||
4720            (!trusted_caller && filter_test == FTEST_NONE))
4721         {
4722         uschar *name = US pw->pw_gecos;
4723         uschar *amp = Ustrchr(name, '&');
4724         uschar buffer[256];
4725
4726         /* Most Unix specify that a '&' character in the gecos field is
4727         replaced by a copy of the login name, and some even specify that
4728         the first character should be upper cased, so that's what we do. */
4729
4730         if (amp != NULL)
4731           {
4732           int loffset;
4733           string_format(buffer, sizeof(buffer), "%.*s%n%s%s",
4734             amp - name, name, &loffset, originator_login, amp + 1);
4735           buffer[loffset] = toupper(buffer[loffset]);
4736           name = buffer;
4737           }
4738
4739         /* If a pattern for matching the gecos field was supplied, apply
4740         it and then expand the name string. */
4741
4742         if (gecos_pattern != NULL && gecos_name != NULL)
4743           {
4744           const pcre *re;
4745           re = regex_must_compile(gecos_pattern, FALSE, TRUE); /* Use malloc */
4746
4747           if (regex_match_and_setup(re, name, 0, -1))
4748             {
4749             uschar *new_name = expand_string(gecos_name);
4750             expand_nmax = -1;
4751             if (new_name != NULL)
4752               {
4753               DEBUG(D_receive) debug_printf("user name \"%s\" extracted from "
4754                 "gecos field \"%s\"\n", new_name, name);
4755               name = new_name;
4756               }
4757             else DEBUG(D_receive) debug_printf("failed to expand gecos_name string "
4758               "\"%s\": %s\n", gecos_name, expand_string_message);
4759             }
4760           else DEBUG(D_receive) debug_printf("gecos_pattern \"%s\" did not match "
4761             "gecos field \"%s\"\n", gecos_pattern, name);
4762           store_free((void *)re);
4763           }
4764         originator_name = string_copy(name);
4765         }
4766
4767       /* A trusted caller has used -f but not -F */
4768
4769       else originator_name = US"";
4770       }
4771
4772     /* Break the retry loop */
4773
4774     break;
4775     }
4776
4777   if (++i > finduser_retries) break;
4778   sleep(1);
4779   }
4780
4781 /* If we cannot get a user login, log the incident and give up, unless the
4782 configuration specifies something to use. When running in the test harness,
4783 any setting of unknown_login overrides the actual name. */
4784
4785 if (originator_login == NULL || running_in_test_harness)
4786   {
4787   if (unknown_login != NULL)
4788     {
4789     originator_login = expand_string(unknown_login);
4790     if (originator_name == NULL && unknown_username != NULL)
4791       originator_name = expand_string(unknown_username);
4792     if (originator_name == NULL) originator_name = US"";
4793     }
4794   if (originator_login == NULL)
4795     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Failed to get user name for uid %d",
4796       (int)real_uid);
4797   }
4798
4799 /* Ensure that the user name is in a suitable form for use as a "phrase" in an
4800 RFC822 address.*/
4801
4802 originator_name = string_copy(parse_fix_phrase(originator_name,
4803   Ustrlen(originator_name), big_buffer, big_buffer_size));
4804
4805 /* If a message is created by this call of Exim, the uid/gid of its originator
4806 are those of the caller. These values are overridden if an existing message is
4807 read in from the spool. */
4808
4809 originator_uid = real_uid;
4810 originator_gid = real_gid;
4811
4812 DEBUG(D_receive) debug_printf("originator: uid=%d gid=%d login=%s name=%s\n",
4813   (int)originator_uid, (int)originator_gid, originator_login, originator_name);
4814
4815 /* Run in daemon and/or queue-running mode. The function daemon_go() never
4816 returns. We leave this till here so that the originator_ fields are available
4817 for incoming messages via the daemon. The daemon cannot be run in mua_wrapper
4818 mode. */
4819
4820 if (daemon_listen || inetd_wait_mode || queue_interval > 0)
4821   {
4822   if (mua_wrapper)
4823     {
4824     fprintf(stderr, "Daemon cannot be run when mua_wrapper is set\n");
4825     log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Daemon cannot be run when "
4826       "mua_wrapper is set");
4827     }
4828   daemon_go();
4829   }
4830
4831 /* If the sender ident has not been set (by a trusted caller) set it to
4832 the caller. This will get overwritten below for an inetd call. If a trusted
4833 caller has set it empty, unset it. */
4834
4835 if (sender_ident == NULL) sender_ident = originator_login;
4836   else if (sender_ident[0] == 0) sender_ident = NULL;
4837
4838 /* Handle the -brw option, which is for checking out rewriting rules. Cause log
4839 writes (on errors) to go to stderr instead. Can't do this earlier, as want the
4840 originator_* variables set. */
4841
4842 if (test_rewrite_arg >= 0)
4843   {
4844   really_exim = FALSE;
4845   if (test_rewrite_arg >= argc)
4846     {
4847     printf("-brw needs an address argument\n");
4848     exim_exit(EXIT_FAILURE);
4849     }
4850   rewrite_test(argv[test_rewrite_arg]);
4851   exim_exit(EXIT_SUCCESS);
4852   }
4853
4854 /* A locally-supplied message is considered to be coming from a local user
4855 unless a trusted caller supplies a sender address with -f, or is passing in the
4856 message via SMTP (inetd invocation or otherwise). */
4857
4858 if ((sender_address == NULL && !smtp_input) ||
4859     (!trusted_caller && filter_test == FTEST_NONE))
4860   {
4861   sender_local = TRUE;
4862
4863   /* A trusted caller can supply authenticated_sender and authenticated_id
4864   via -oMas and -oMai and if so, they will already be set. Otherwise, force
4865   defaults except when host checking. */
4866
4867   if (authenticated_sender == NULL && !host_checking)
4868     authenticated_sender = string_sprintf("%s@%s", originator_login,
4869       qualify_domain_sender);
4870   if (authenticated_id == NULL && !host_checking)
4871     authenticated_id = originator_login;
4872   }
4873
4874 /* Trusted callers are always permitted to specify the sender address.
4875 Untrusted callers may specify it if it matches untrusted_set_sender, or if what
4876 is specified is the empty address. However, if a trusted caller does not
4877 specify a sender address for SMTP input, we leave sender_address unset. This
4878 causes the MAIL commands to be honoured. */
4879
4880 if ((!smtp_input && sender_address == NULL) ||
4881     !receive_check_set_sender(sender_address))
4882   {
4883   /* Either the caller is not permitted to set a general sender, or this is
4884   non-SMTP input and the trusted caller has not set a sender. If there is no
4885   sender, or if a sender other than <> is set, override with the originator's
4886   login (which will get qualified below), except when checking things. */
4887
4888   if (sender_address == NULL             /* No sender_address set */
4889        ||                                /*         OR            */
4890        (sender_address[0] != 0 &&        /* Non-empty sender address, AND */
4891        !checking))                       /* Not running tests, including filter tests */
4892     {
4893     sender_address = originator_login;
4894     sender_address_forced = FALSE;
4895     sender_address_domain = 0;
4896     }
4897   }
4898
4899 /* Remember whether an untrusted caller set the sender address */
4900
4901 sender_set_untrusted = sender_address != originator_login && !trusted_caller;
4902
4903 /* Ensure that the sender address is fully qualified unless it is the empty
4904 address, which indicates an error message, or doesn't exist (root caller, smtp
4905 interface, no -f argument). */
4906
4907 if (sender_address != NULL && sender_address[0] != 0 &&
4908     sender_address_domain == 0)
4909   sender_address = string_sprintf("%s@%s", local_part_quote(sender_address),
4910     qualify_domain_sender);
4911
4912 DEBUG(D_receive) debug_printf("sender address = %s\n", sender_address);
4913
4914 /* Handle a request to verify a list of addresses, or test them for delivery.
4915 This must follow the setting of the sender address, since routers can be
4916 predicated upon the sender. If no arguments are given, read addresses from
4917 stdin. Set debug_level to at least D_v to get full output for address testing.
4918 */
4919
4920 if (verify_address_mode || address_test_mode)
4921   {
4922   int exit_value = 0;
4923   int flags = vopt_qualify;
4924
4925   if (verify_address_mode)
4926     {
4927     if (!verify_as_sender) flags |= vopt_is_recipient;
4928     DEBUG(D_verify) debug_print_ids(US"Verifying:");
4929     }
4930
4931   else
4932     {
4933     flags |= vopt_is_recipient;
4934     debug_selector |= D_v;
4935     debug_file = stderr;
4936     debug_fd = fileno(debug_file);
4937     DEBUG(D_verify) debug_print_ids(US"Address testing:");
4938     }
4939
4940   if (recipients_arg < argc)
4941     {
4942     while (recipients_arg < argc)
4943       {
4944       uschar *s = argv[recipients_arg++];
4945       while (*s != 0)
4946         {
4947         BOOL finished = FALSE;
4948         uschar *ss = parse_find_address_end(s, FALSE);
4949         if (*ss == ',') *ss = 0; else finished = TRUE;
4950         test_address(s, flags, &exit_value);
4951         s = ss;
4952         if (!finished)
4953           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
4954         }
4955       }
4956     }
4957
4958   else for (;;)
4959     {
4960     uschar *s = get_stdinput(NULL, NULL);
4961     if (s == NULL) break;
4962     test_address(s, flags, &exit_value);
4963     }
4964
4965   route_tidyup();
4966   exim_exit(exit_value);
4967   }
4968
4969 /* Handle expansion checking. Either expand items on the command line, or read
4970 from stdin if there aren't any. If -Mset was specified, load the message so
4971 that its variables can be used, but restrict this facility to admin users.
4972 Otherwise, if -bem was used, read a message from stdin. */
4973
4974 if (expansion_test)
4975   {
4976   dns_init(FALSE, FALSE, FALSE);
4977   if (msg_action_arg > 0 && msg_action == MSG_LOAD)
4978     {
4979     uschar spoolname[256];  /* Not big_buffer; used in spool_read_header() */
4980     if (!admin_user)
4981       {
4982       fprintf(stderr, "exim: permission denied\n");
4983       exit(EXIT_FAILURE);
4984       }
4985     message_id = argv[msg_action_arg];
4986     (void)string_format(spoolname, sizeof(spoolname), "%s-H", message_id);
4987     if ((deliver_datafile = spool_open_datafile(message_id)) < 0)
4988       printf ("Failed to load message datafile %s\n", message_id);
4989     if (spool_read_header(spoolname, TRUE, FALSE) != spool_read_OK)
4990       printf ("Failed to load message %s\n", message_id);
4991     }
4992
4993   /* Read a test message from a file. We fudge it up to be on stdin, saving
4994   stdin itself for later reading of expansion strings. */
4995
4996   else if (expansion_test_message != NULL)
4997     {
4998     int save_stdin = dup(0);
4999     int fd = Uopen(expansion_test_message, O_RDONLY, 0);
5000     if (fd < 0)
5001       {
5002       fprintf(stderr, "exim: failed to open %s: %s\n", expansion_test_message,
5003         strerror(errno));
5004       return EXIT_FAILURE;
5005       }
5006     (void) dup2(fd, 0);
5007     filter_test = FTEST_USER;      /* Fudge to make it look like filter test */
5008     message_ended = END_NOTENDED;
5009     read_message_body(receive_msg(extract_recipients));
5010     message_linecount += body_linecount;
5011     (void)dup2(save_stdin, 0);
5012     (void)close(save_stdin);
5013     clearerr(stdin);               /* Required by Darwin */
5014     }
5015
5016   /* Allow $recipients for this testing */
5017
5018   enable_dollar_recipients = TRUE;
5019
5020   /* Expand command line items */
5021
5022   if (recipients_arg < argc)
5023     {
5024     while (recipients_arg < argc)
5025       {
5026       uschar *s = argv[recipients_arg++];
5027       uschar *ss = expand_string(s);
5028       if (ss == NULL) printf ("Failed: %s\n", expand_string_message);
5029       else printf("%s\n", CS ss);
5030       }
5031     }
5032
5033   /* Read stdin */
5034
5035   else
5036     {
5037     char *(*fn_readline)(const char *) = NULL;
5038     void (*fn_addhist)(const char *) = NULL;
5039
5040     #ifdef USE_READLINE
5041     void *dlhandle = set_readline(&fn_readline, &fn_addhist);
5042     #endif
5043
5044     for (;;)
5045       {
5046       uschar *ss;
5047       uschar *source = get_stdinput(fn_readline, fn_addhist);
5048       if (source == NULL) break;
5049       ss = expand_string(source);
5050       if (ss == NULL)
5051         printf ("Failed: %s\n", expand_string_message);
5052       else printf("%s\n", CS ss);
5053       }
5054
5055     #ifdef USE_READLINE
5056     if (dlhandle != NULL) dlclose(dlhandle);
5057     #endif
5058     }
5059
5060   /* The data file will be open after -Mset */
5061
5062   if (deliver_datafile >= 0)
5063     {
5064     (void)close(deliver_datafile);
5065     deliver_datafile = -1;
5066     }
5067
5068   exim_exit(EXIT_SUCCESS);
5069   }
5070
5071
5072 /* The active host name is normally the primary host name, but it can be varied
5073 for hosts that want to play several parts at once. We need to ensure that it is
5074 set for host checking, and for receiving messages. */
5075
5076 smtp_active_hostname = primary_hostname;
5077 if (raw_active_hostname != NULL)
5078   {
5079   uschar *nah = expand_string(raw_active_hostname);
5080   if (nah == NULL)
5081     {
5082     if (!expand_string_forcedfail)
5083       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand \"%s\" "
5084         "(smtp_active_hostname): %s", raw_active_hostname,
5085         expand_string_message);
5086     }
5087   else if (nah[0] != 0) smtp_active_hostname = nah;
5088   }
5089
5090 /* Handle host checking: this facility mocks up an incoming SMTP call from a
5091 given IP address so that the blocking and relay configuration can be tested.
5092 Unless a sender_ident was set by -oMt, we discard it (the default is the
5093 caller's login name). An RFC 1413 call is made only if we are running in the
5094 test harness and an incoming interface and both ports are specified, because
5095 there is no TCP/IP call to find the ident for. */
5096
5097 if (host_checking)
5098   {
5099   int x[4];
5100   int size;
5101
5102   if (!sender_ident_set)
5103     {
5104     sender_ident = NULL;
5105     if (running_in_test_harness && sender_host_port != 0 &&
5106         interface_address != NULL && interface_port != 0)
5107       verify_get_ident(1413);
5108     }
5109
5110   /* In case the given address is a non-canonical IPv6 address, canonicalize
5111   it. The code works for both IPv4 and IPv6, as it happens. */
5112
5113   size = host_aton(sender_host_address, x);
5114   sender_host_address = store_get(48);  /* large enough for full IPv6 */
5115   (void)host_nmtoa(size, x, -1, sender_host_address, ':');
5116
5117   /* Now set up for testing */
5118
5119   host_build_sender_fullhost();
5120   smtp_input = TRUE;
5121   smtp_in = stdin;
5122   smtp_out = stdout;
5123   sender_local = FALSE;
5124   sender_host_notsocket = TRUE;
5125   debug_file = stderr;
5126   debug_fd = fileno(debug_file);
5127   fprintf(stdout, "\n**** SMTP testing session as if from host %s\n"
5128     "**** but without any ident (RFC 1413) callback.\n"
5129     "**** This is not for real!\n\n",
5130       sender_host_address);
5131
5132   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5133   if (verify_check_host(&hosts_connection_nolog) == OK)
5134     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5135   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5136
5137   /* NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5138   because a log line has already been written for all its failure exists
5139   (usually "connection refused: <reason>") and writing another one is
5140   unnecessary clutter. */
5141
5142   if (smtp_start_session())
5143     {
5144     for (reset_point = store_get(0); ; store_reset(reset_point))
5145       {
5146       if (smtp_setup_msg() <= 0) break;
5147       if (!receive_msg(FALSE)) break;
5148
5149       return_path = sender_address = NULL;
5150       dnslist_domain = dnslist_matched = NULL;
5151 #ifndef DISABLE_DKIM
5152       dkim_cur_signer = NULL;
5153 #endif
5154       acl_var_m = NULL;
5155       deliver_localpart_orig = NULL;
5156       deliver_domain_orig = NULL;
5157       callout_address = sending_ip_address = NULL;
5158       sender_rate = sender_rate_limit = sender_rate_period = NULL;
5159       }
5160     smtp_log_no_mail();
5161     }
5162   exim_exit(EXIT_SUCCESS);
5163   }
5164
5165
5166 /* Arrange for message reception if recipients or SMTP were specified;
5167 otherwise complain unless a version print (-bV) happened or this is a filter
5168 verification test or info dump.
5169 In the former case, show the configuration file name. */
5170
5171 if (recipients_arg >= argc && !extract_recipients && !smtp_input)
5172   {
5173   if (version_printed)
5174     {
5175     printf("Configuration file is %s\n", config_main_filename);
5176     return EXIT_SUCCESS;
5177     }
5178
5179   if (info_flag != CMDINFO_NONE)
5180     {
5181     show_exim_information(info_flag, info_stdout ? stdout : stderr);
5182     return info_stdout ? EXIT_SUCCESS : EXIT_FAILURE;
5183     }
5184
5185   if (filter_test == FTEST_NONE)
5186     exim_usage(called_as);
5187   }
5188
5189
5190 /* If mua_wrapper is set, Exim is being used to turn an MUA that submits on the
5191 standard input into an MUA that submits to a smarthost over TCP/IP. We know
5192 that we are not called from inetd, because that is rejected above. The
5193 following configuration settings are forced here:
5194
5195   (1) Synchronous delivery (-odi)
5196   (2) Errors to stderr (-oep == -oeq)
5197   (3) No parallel remote delivery
5198   (4) Unprivileged delivery
5199
5200 We don't force overall queueing options because there are several of them;
5201 instead, queueing is avoided below when mua_wrapper is set. However, we do need
5202 to override any SMTP queueing. */
5203
5204 if (mua_wrapper)
5205   {
5206   synchronous_delivery = TRUE;
5207   arg_error_handling = ERRORS_STDERR;
5208   remote_max_parallel = 1;
5209   deliver_drop_privilege = TRUE;
5210   queue_smtp = FALSE;
5211   queue_smtp_domains = NULL;
5212 #ifdef SUPPORT_I18N
5213   message_utf8_downconvert = -1;        /* convert-if-needed */
5214 #endif
5215   }
5216
5217
5218 /* Prepare to accept one or more new messages on the standard input. When a
5219 message has been read, its id is returned in message_id[]. If doing immediate
5220 delivery, we fork a delivery process for each received message, except for the
5221 last one, where we can save a process switch.
5222
5223 It is only in non-smtp mode that error_handling is allowed to be changed from
5224 its default of ERRORS_SENDER by argument. (Idle thought: are any of the
5225 sendmail error modes other than -oem ever actually used? Later: yes.) */
5226
5227 if (!smtp_input) error_handling = arg_error_handling;
5228
5229 /* If this is an inetd call, ensure that stderr is closed to prevent panic
5230 logging being sent down the socket and make an identd call to get the
5231 sender_ident. */
5232
5233 else if (is_inetd)
5234   {
5235   (void)fclose(stderr);
5236   exim_nullstd();                       /* Re-open to /dev/null */
5237   verify_get_ident(IDENT_PORT);
5238   host_build_sender_fullhost();
5239   set_process_info("handling incoming connection from %s via inetd",
5240     sender_fullhost);
5241   }
5242
5243 /* If the sender host address has been set, build sender_fullhost if it hasn't
5244 already been done (which it will have been for inetd). This caters for the
5245 case when it is forced by -oMa. However, we must flag that it isn't a socket,
5246 so that the test for IP options is skipped for -bs input. */
5247
5248 if (sender_host_address != NULL && sender_fullhost == NULL)
5249   {
5250   host_build_sender_fullhost();
5251   set_process_info("handling incoming connection from %s via -oMa",
5252     sender_fullhost);
5253   sender_host_notsocket = TRUE;
5254   }
5255
5256 /* Otherwise, set the sender host as unknown except for inetd calls. This
5257 prevents host checking in the case of -bs not from inetd and also for -bS. */
5258
5259 else if (!is_inetd) sender_host_unknown = TRUE;
5260
5261 /* If stdout does not exist, then dup stdin to stdout. This can happen
5262 if exim is started from inetd. In this case fd 0 will be set to the socket,
5263 but fd 1 will not be set. This also happens for passed SMTP channels. */
5264
5265 if (fstat(1, &statbuf) < 0) (void)dup2(0, 1);
5266
5267 /* Set up the incoming protocol name and the state of the program. Root is
5268 allowed to force received protocol via the -oMr option above. If we have come
5269 via inetd, the process info has already been set up. We don't set
5270 received_protocol here for smtp input, as it varies according to
5271 batch/HELO/EHLO/AUTH/TLS. */
5272
5273 if (smtp_input)
5274   {
5275   if (!is_inetd) set_process_info("accepting a local %sSMTP message from <%s>",
5276     smtp_batched_input? "batched " : "",
5277     (sender_address!= NULL)? sender_address : originator_login);
5278   }
5279 else
5280   {
5281   int old_pool = store_pool;
5282   store_pool = POOL_PERM;
5283   if (!received_protocol)
5284     received_protocol = string_sprintf("local%s", called_as);
5285   store_pool = old_pool;
5286   set_process_info("accepting a local non-SMTP message from <%s>",
5287     sender_address);
5288   }
5289
5290 /* Initialize the session_local_queue-only flag (this will be ignored if
5291 mua_wrapper is set) */
5292
5293 queue_check_only();
5294 session_local_queue_only = queue_only;
5295
5296 /* For non-SMTP and for batched SMTP input, check that there is enough space on
5297 the spool if so configured. On failure, we must not attempt to send an error
5298 message! (For interactive SMTP, the check happens at MAIL FROM and an SMTP
5299 error code is given.) */
5300
5301 if ((!smtp_input || smtp_batched_input) && !receive_check_fs(0))
5302   {
5303   fprintf(stderr, "exim: insufficient disk space\n");
5304   return EXIT_FAILURE;
5305   }
5306
5307 /* If this is smtp input of any kind, real or batched, handle the start of the
5308 SMTP session.
5309
5310 NOTE: We do *not* call smtp_log_no_mail() if smtp_start_session() fails,
5311 because a log line has already been written for all its failure exists
5312 (usually "connection refused: <reason>") and writing another one is
5313 unnecessary clutter. */
5314
5315 if (smtp_input)
5316   {
5317   smtp_in = stdin;
5318   smtp_out = stdout;
5319   memset(sender_host_cache, 0, sizeof(sender_host_cache));
5320   if (verify_check_host(&hosts_connection_nolog) == OK)
5321     BIT_CLEAR(log_selector, log_selector_size, Li_smtp_connection);
5322   log_write(L_smtp_connection, LOG_MAIN, "%s", smtp_get_connection_info());
5323   if (!smtp_start_session())
5324     {
5325     mac_smtp_fflush();
5326     exim_exit(EXIT_SUCCESS);
5327     }
5328   }
5329
5330 /* Otherwise, set up the input size limit here. */
5331
5332 else
5333   {
5334   thismessage_size_limit = expand_string_integer(message_size_limit, TRUE);
5335   if (expand_string_message)
5336     if (thismessage_size_limit == -1)
5337       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "failed to expand "
5338         "message_size_limit: %s", expand_string_message);
5339     else
5340       log_write(0, LOG_MAIN|LOG_PANIC_DIE, "invalid value for "
5341         "message_size_limit: %s", expand_string_message);
5342   }
5343
5344 /* Loop for several messages when reading SMTP input. If we fork any child
5345 processes, we don't want to wait for them unless synchronous delivery is
5346 requested, so set SIGCHLD to SIG_IGN in that case. This is not necessarily the
5347 same as SIG_DFL, despite the fact that documentation often lists the default as
5348 "ignore". This is a confusing area. This is what I know:
5349
5350 At least on some systems (e.g. Solaris), just setting SIG_IGN causes child
5351 processes that complete simply to go away without ever becoming defunct. You
5352 can't then wait for them - but we don't want to wait for them in the
5353 non-synchronous delivery case. However, this behaviour of SIG_IGN doesn't
5354 happen for all OS (e.g. *BSD is different).
5355
5356 But that's not the end of the story. Some (many? all?) systems have the
5357 SA_NOCLDWAIT option for sigaction(). This requests the behaviour that Solaris
5358 has by default, so it seems that the difference is merely one of default
5359 (compare restarting vs non-restarting signals).
5360
5361 To cover all cases, Exim sets SIG_IGN with SA_NOCLDWAIT here if it can. If not,
5362 it just sets SIG_IGN. To be on the safe side it also calls waitpid() at the end
5363 of the loop below. Paranoia rules.
5364
5365 February 2003: That's *still* not the end of the story. There are now versions
5366 of Linux (where SIG_IGN does work) that are picky. If, having set SIG_IGN, a
5367 process then calls waitpid(), a grumble is written to the system log, because
5368 this is logically inconsistent. In other words, it doesn't like the paranoia.
5369 As a consequence of this, the waitpid() below is now excluded if we are sure
5370 that SIG_IGN works. */
5371
5372 if (!synchronous_delivery)
5373   {
5374   #ifdef SA_NOCLDWAIT
5375   struct sigaction act;
5376   act.sa_handler = SIG_IGN;
5377   sigemptyset(&(act.sa_mask));
5378   act.sa_flags = SA_NOCLDWAIT;
5379   sigaction(SIGCHLD, &act, NULL);
5380   #else
5381   signal(SIGCHLD, SIG_IGN);
5382   #endif
5383   }
5384
5385 /* Save the current store pool point, for resetting at the start of
5386 each message, and save the real sender address, if any. */
5387
5388 reset_point = store_get(0);
5389 real_sender_address = sender_address;
5390
5391 /* Loop to receive messages; receive_msg() returns TRUE if there are more
5392 messages to be read (SMTP input), or FALSE otherwise (not SMTP, or SMTP channel
5393 collapsed). */
5394
5395 while (more)
5396   {
5397   message_id[0] = 0;
5398
5399   /* Handle the SMTP case; call smtp_setup_mst() to deal with the initial SMTP
5400   input and build the recipients list, before calling receive_msg() to read the
5401   message proper. Whatever sender address is given in the SMTP transaction is
5402   often ignored for local senders - we use the actual sender, which is normally
5403   either the underlying user running this process or a -f argument provided by
5404   a trusted caller. It is saved in real_sender_address. The test for whether to
5405   accept the SMTP sender is encapsulated in receive_check_set_sender(). */
5406
5407   if (smtp_input)
5408     {
5409     int rc;
5410     if ((rc = smtp_setup_msg()) > 0)
5411       {
5412       if (real_sender_address != NULL &&
5413           !receive_check_set_sender(sender_address))
5414         {
5415         sender_address = raw_sender = real_sender_address;
5416         sender_address_unrewritten = NULL;
5417         }
5418
5419       /* For batched SMTP, we have to run the acl_not_smtp_start ACL, since it
5420       isn't really SMTP, so no other ACL will run until the acl_not_smtp one at
5421       the very end. The result of the ACL is ignored (as for other non-SMTP
5422       messages). It is run for its potential side effects. */
5423
5424       if (smtp_batched_input && acl_not_smtp_start != NULL)
5425         {
5426         uschar *user_msg, *log_msg;
5427         enable_dollar_recipients = TRUE;
5428         (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5429           &user_msg, &log_msg);
5430         enable_dollar_recipients = FALSE;
5431         }
5432
5433       /* Now get the data for the message */
5434
5435       more = receive_msg(extract_recipients);
5436       if (message_id[0] == 0)
5437         {
5438         cancel_cutthrough_connection(TRUE, US"receive dropped");
5439         if (more) goto moreloop;
5440         smtp_log_no_mail();               /* Log no mail if configured */
5441         exim_exit(EXIT_FAILURE);
5442         }
5443       }
5444     else
5445       {
5446       cancel_cutthrough_connection(TRUE, US"message setup dropped");
5447       smtp_log_no_mail();               /* Log no mail if configured */
5448       exim_exit((rc == 0)? EXIT_SUCCESS : EXIT_FAILURE);
5449       }
5450     }
5451
5452   /* In the non-SMTP case, we have all the information from the command
5453   line, but must process it in case it is in the more general RFC822
5454   format, and in any case, to detect syntax errors. Also, it appears that
5455   the use of comma-separated lists as single arguments is common, so we
5456   had better support them. */
5457
5458   else
5459     {
5460     int i;
5461     int rcount = 0;
5462     int count = argc - recipients_arg;
5463     uschar **list = argv + recipients_arg;
5464
5465     /* These options cannot be changed dynamically for non-SMTP messages */
5466
5467     active_local_sender_retain = local_sender_retain;
5468     active_local_from_check = local_from_check;
5469
5470     /* Save before any rewriting */
5471
5472     raw_sender = string_copy(sender_address);
5473
5474     /* Loop for each argument */
5475
5476     for (i = 0; i < count; i++)
5477       {
5478       int start, end, domain;
5479       uschar *errmess;
5480       uschar *s = list[i];
5481
5482       /* Loop for each comma-separated address */
5483
5484       while (*s != 0)
5485         {
5486         BOOL finished = FALSE;
5487         uschar *recipient;
5488         uschar *ss = parse_find_address_end(s, FALSE);
5489
5490         if (*ss == ',') *ss = 0; else finished = TRUE;
5491
5492         /* Check max recipients - if -t was used, these aren't recipients */
5493
5494         if (recipients_max > 0 && ++rcount > recipients_max &&
5495             !extract_recipients)
5496           if (error_handling == ERRORS_STDERR)
5497             {
5498             fprintf(stderr, "exim: too many recipients\n");
5499             exim_exit(EXIT_FAILURE);
5500             }
5501           else
5502             {
5503             return
5504               moan_to_sender(ERRMESS_TOOMANYRECIP, NULL, NULL, stdin, TRUE)?
5505                 errors_sender_rc : EXIT_FAILURE;
5506             }
5507
5508 #ifdef SUPPORT_I18N
5509         {
5510         BOOL b = allow_utf8_domains;
5511         allow_utf8_domains = TRUE;
5512 #endif
5513         recipient =
5514           parse_extract_address(s, &errmess, &start, &end, &domain, FALSE);
5515
5516 #ifdef SUPPORT_I18N
5517         if (string_is_utf8(recipient))
5518           message_smtputf8 = TRUE;
5519         else
5520           allow_utf8_domains = b;
5521         }
5522 #endif
5523         if (domain == 0 && !allow_unqualified_recipient)
5524           {
5525           recipient = NULL;
5526           errmess = US"unqualified recipient address not allowed";
5527           }
5528
5529         if (recipient == NULL)
5530           {
5531           if (error_handling == ERRORS_STDERR)
5532             {
5533             fprintf(stderr, "exim: bad recipient address \"%s\": %s\n",
5534               string_printing(list[i]), errmess);
5535             exim_exit(EXIT_FAILURE);
5536             }
5537           else
5538             {
5539             error_block eblock;
5540             eblock.next = NULL;
5541             eblock.text1 = string_printing(list[i]);
5542             eblock.text2 = errmess;
5543             return
5544               moan_to_sender(ERRMESS_BADARGADDRESS, &eblock, NULL, stdin, TRUE)?
5545                 errors_sender_rc : EXIT_FAILURE;
5546             }
5547           }
5548
5549         receive_add_recipient(recipient, -1);
5550         s = ss;
5551         if (!finished)
5552           while (*(++s) != 0 && (*s == ',' || isspace(*s)));
5553         }
5554       }
5555
5556     /* Show the recipients when debugging */
5557
5558     DEBUG(D_receive)
5559       {
5560       int i;
5561       if (sender_address != NULL) debug_printf("Sender: %s\n", sender_address);
5562       if (recipients_list != NULL)
5563         {
5564         debug_printf("Recipients:\n");
5565         for (i = 0; i < recipients_count; i++)
5566           debug_printf("  %s\n", recipients_list[i].address);
5567         }
5568       }
5569
5570     /* Run the acl_not_smtp_start ACL if required. The result of the ACL is
5571     ignored; rejecting here would just add complication, and it can just as
5572     well be done later. Allow $recipients to be visible in the ACL. */
5573
5574     if (acl_not_smtp_start)
5575       {
5576       uschar *user_msg, *log_msg;
5577       enable_dollar_recipients = TRUE;
5578       (void)acl_check(ACL_WHERE_NOTSMTP_START, NULL, acl_not_smtp_start,
5579         &user_msg, &log_msg);
5580       enable_dollar_recipients = FALSE;
5581       }
5582
5583     /* Pause for a while waiting for input.  If none received in that time,
5584     close the logfile, if we had one open; then if we wait for a long-running
5585     datasource (months, in one use-case) log rotation will not leave us holding
5586     the file copy. */
5587
5588     if (!receive_timeout)
5589       {
5590       struct timeval t = { .tv_sec = 30*60, .tv_usec = 0 };     /* 30 minutes */
5591       fd_set r;
5592
5593       FD_ZERO(&r); FD_SET(0, &r);
5594       if (select(1, &r, NULL, NULL, &t) == 0) mainlog_close();
5595       }
5596
5597     /* Read the data for the message. If filter_test is not FTEST_NONE, this
5598     will just read the headers for the message, and not write anything onto the
5599     spool. */
5600
5601     message_ended = END_NOTENDED;
5602     more = receive_msg(extract_recipients);
5603
5604     /* more is always FALSE here (not SMTP message) when reading a message
5605     for real; when reading the headers of a message for filter testing,
5606     it is TRUE if the headers were terminated by '.' and FALSE otherwise. */
5607
5608     if (message_id[0] == 0) exim_exit(EXIT_FAILURE);
5609     }  /* Non-SMTP message reception */
5610
5611   /* If this is a filter testing run, there are headers in store, but
5612   no message on the spool. Run the filtering code in testing mode, setting
5613   the domain to the qualify domain and the local part to the current user,
5614   unless they have been set by options. The prefix and suffix are left unset
5615   unless specified. The the return path is set to to the sender unless it has
5616   already been set from a return-path header in the message. */
5617
5618   if (filter_test != FTEST_NONE)
5619     {
5620     deliver_domain = (ftest_domain != NULL)?
5621       ftest_domain : qualify_domain_recipient;
5622     deliver_domain_orig = deliver_domain;
5623     deliver_localpart = (ftest_localpart != NULL)?
5624       ftest_localpart : originator_login;
5625     deliver_localpart_orig = deliver_localpart;
5626     deliver_localpart_prefix = ftest_prefix;
5627     deliver_localpart_suffix = ftest_suffix;
5628     deliver_home = originator_home;
5629
5630     if (return_path == NULL)
5631       {
5632       printf("Return-path copied from sender\n");
5633       return_path = string_copy(sender_address);
5634       }
5635     else
5636       printf("Return-path = %s\n", (return_path[0] == 0)? US"<>" : return_path);
5637     printf("Sender      = %s\n", (sender_address[0] == 0)? US"<>" : sender_address);
5638
5639     receive_add_recipient(
5640       string_sprintf("%s%s%s@%s",
5641         (ftest_prefix == NULL)? US"" : ftest_prefix,
5642         deliver_localpart,
5643         (ftest_suffix == NULL)? US"" : ftest_suffix,
5644         deliver_domain), -1);
5645
5646     printf("Recipient   = %s\n", recipients_list[0].address);
5647     if (ftest_prefix != NULL) printf("Prefix    = %s\n", ftest_prefix);
5648     if (ftest_suffix != NULL) printf("Suffix    = %s\n", ftest_suffix);
5649
5650     if (chdir("/"))   /* Get away from wherever the user is running this from */
5651       {
5652       DEBUG(D_receive) debug_printf("chdir(\"/\") failed\n");
5653       exim_exit(EXIT_FAILURE);
5654       }
5655
5656     /* Now we run either a system filter test, or a user filter test, or both.
5657     In the latter case, headers added by the system filter will persist and be
5658     available to the user filter. We need to copy the filter variables
5659     explicitly. */
5660
5661     if ((filter_test & FTEST_SYSTEM) != 0)
5662       {
5663       if (!filter_runtest(filter_sfd, filter_test_sfile, TRUE, more))
5664         exim_exit(EXIT_FAILURE);
5665       }
5666
5667     memcpy(filter_sn, filter_n, sizeof(filter_sn));
5668
5669     if ((filter_test & FTEST_USER) != 0)
5670       {
5671       if (!filter_runtest(filter_ufd, filter_test_ufile, FALSE, more))
5672         exim_exit(EXIT_FAILURE);
5673       }
5674
5675     exim_exit(EXIT_SUCCESS);
5676     }
5677
5678   /* Else act on the result of message reception. We should not get here unless
5679   message_id[0] is non-zero. If queue_only is set, session_local_queue_only
5680   will be TRUE. If it is not, check on the number of messages received in this
5681   connection. */
5682
5683   if (!session_local_queue_only &&
5684       smtp_accept_queue_per_connection > 0 &&
5685       receive_messagecount > smtp_accept_queue_per_connection)
5686     {
5687     session_local_queue_only = TRUE;
5688     queue_only_reason = 2;
5689     }
5690
5691   /* Initialize local_queue_only from session_local_queue_only. If it is false,
5692   and queue_only_load is set, check that the load average is below it. If it is
5693   not, set local_queue_only TRUE. If queue_only_load_latch is true (the
5694   default), we put the whole session into queue_only mode. It then remains this
5695   way for any subsequent messages on the same SMTP connection. This is a
5696   deliberate choice; even though the load average may fall, it doesn't seem
5697   right to deliver later messages on the same call when not delivering earlier
5698   ones. However, there are odd cases where this is not wanted, so this can be
5699   changed by setting queue_only_load_latch false. */
5700
5701   local_queue_only = session_local_queue_only;
5702   if (!local_queue_only && queue_only_load >= 0)
5703     {
5704     local_queue_only = (load_average = OS_GETLOADAVG()) > queue_only_load;
5705     if (local_queue_only)
5706       {
5707       queue_only_reason = 3;
5708       if (queue_only_load_latch) session_local_queue_only = TRUE;
5709       }
5710     }
5711
5712   /* If running as an MUA wrapper, all queueing options and freezing options
5713   are ignored. */
5714
5715   if (mua_wrapper)
5716     local_queue_only = queue_only_policy = deliver_freeze = FALSE;
5717
5718   /* Log the queueing here, when it will get a message id attached, but
5719   not if queue_only is set (case 0). Case 1 doesn't happen here (too many
5720   connections). */
5721
5722   if (local_queue_only)
5723     {
5724     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5725     switch(queue_only_reason)
5726       {
5727       case 2:
5728         log_write(L_delay_delivery,
5729                 LOG_MAIN, "no immediate delivery: more than %d messages "
5730           "received in one connection", smtp_accept_queue_per_connection);
5731         break;
5732
5733       case 3:
5734         log_write(L_delay_delivery,
5735                 LOG_MAIN, "no immediate delivery: load average %.2f",
5736                 (double)load_average/1000.0);
5737       break;
5738       }
5739     }
5740
5741   else if (queue_only_policy || deliver_freeze)
5742     cancel_cutthrough_connection(TRUE, US"no delivery; queueing");
5743
5744   /* Else do the delivery unless the ACL or local_scan() called for queue only
5745   or froze the message. Always deliver in a separate process. A fork failure is
5746   not a disaster, as the delivery will eventually happen on a subsequent queue
5747   run. The search cache must be tidied before the fork, as the parent will
5748   do it before exiting. The child will trigger a lookup failure and
5749   thereby defer the delivery if it tries to use (for example) a cached ldap
5750   connection that the parent has called unbind on. */
5751
5752   else
5753     {
5754     pid_t pid;
5755     search_tidyup();
5756
5757     if ((pid = fork()) == 0)
5758       {
5759       int rc;
5760       close_unwanted();      /* Close unwanted file descriptors and TLS */
5761       exim_nullstd();        /* Ensure std{in,out,err} exist */
5762
5763       /* Re-exec Exim if we need to regain privilege (note: in mua_wrapper
5764       mode, deliver_drop_privilege is forced TRUE). */
5765
5766       if (geteuid() != root_uid && !deliver_drop_privilege && !unprivileged)
5767         {
5768         delivery_re_exec(CEE_EXEC_EXIT);
5769         /* Control does not return here. */
5770         }
5771
5772       /* No need to re-exec */
5773
5774       rc = deliver_message(message_id, FALSE, FALSE);
5775       search_tidyup();
5776       _exit((!mua_wrapper || rc == DELIVER_MUA_SUCCEEDED)?
5777         EXIT_SUCCESS : EXIT_FAILURE);
5778       }
5779
5780     if (pid < 0)
5781       {
5782       cancel_cutthrough_connection(TRUE, US"delivery fork failed");
5783       log_write(0, LOG_MAIN|LOG_PANIC, "failed to fork automatic delivery "
5784         "process: %s", strerror(errno));
5785       }
5786     else
5787       {
5788       release_cutthrough_connection(US"msg passed for delivery");
5789
5790       /* In the parent, wait if synchronous delivery is required. This will
5791       always be the case in MUA wrapper mode. */
5792
5793       if (synchronous_delivery)
5794         {
5795         int status;
5796         while (wait(&status) != pid);
5797         if ((status & 0x00ff) != 0)
5798           log_write(0, LOG_MAIN|LOG_PANIC,
5799             "process %d crashed with signal %d while delivering %s",
5800             (int)pid, status & 0x00ff, message_id);
5801         if (mua_wrapper && (status & 0xffff) != 0) exim_exit(EXIT_FAILURE);
5802         }
5803       }
5804     }
5805
5806   /* The loop will repeat if more is TRUE. If we do not know know that the OS
5807   automatically reaps children (see comments above the loop), clear away any
5808   finished subprocesses here, in case there are lots of messages coming in
5809   from the same source. */
5810
5811   #ifndef SIG_IGN_WORKS
5812   while (waitpid(-1, NULL, WNOHANG) > 0);
5813   #endif
5814
5815 moreloop:
5816   return_path = sender_address = NULL;
5817   authenticated_sender = NULL;
5818   deliver_localpart_orig = NULL;
5819   deliver_domain_orig = NULL;
5820   deliver_host = deliver_host_address = NULL;
5821   dnslist_domain = dnslist_matched = NULL;
5822 #ifdef WITH_CONTENT_SCAN
5823   malware_name = NULL;
5824 #endif
5825   callout_address = NULL;
5826   sending_ip_address = NULL;
5827   acl_var_m = NULL;
5828   { int i; for(i=0; i<REGEX_VARS; i++) regex_vars[i] = NULL; }
5829
5830   store_reset(reset_point);
5831   }
5832
5833 exim_exit(EXIT_SUCCESS);   /* Never returns */
5834 return 0;                  /* To stop compiler warning */
5835 }
5836
5837 /*************************************************
5838 *          read as much as requested             *
5839 *************************************************/
5840
5841 /* The syscall read(2) doesn't always returns as much as we want. For
5842 several reasons it might get less. (Not talking about signals, as syscalls
5843 are restartable). When reading from a network or pipe connection the sender
5844 might send in smaller chunks, with delays between these chunks. The read(2)
5845 may return such a chunk.
5846
5847 The more the writer writes and the smaller the pipe between write and read is,
5848 the more we get the chance of reading leass than requested. (See bug 2130)
5849
5850 This function read(2)s until we got all the data we *requested*.
5851
5852 Note: This function may block. Use it only if you're sure about the
5853 amount of data you will get.
5854
5855 Argument:
5856   fd          the file descriptor to read from
5857   buffer      pointer to a buffer of size len
5858   len         the requested(!) amount of bytes
5859
5860 Returns:      the amount of bytes read
5861 */
5862 ssize_t
5863 readn(int fd, void *buffer, size_t len)
5864 {
5865   void *next = buffer;
5866   void *end = buffer + len;
5867
5868   while (next < end)
5869     {
5870     ssize_t got = read(fd, next, end - next);
5871
5872     /* I'm not sure if there are signals that can interrupt us,
5873     for now I assume the worst */
5874     if (got == -1 && errno == EINTR) continue;
5875     if (got <= 0) return next - buffer;
5876     next += got;
5877     }
5878
5879   return len;
5880 }
5881
5882
5883 /* End of exim.c */