Events: avoid evaluating intermediates for unneeded events

[user/henk/code/exim.git] / src / src / expand.c
diff --git a/src/src/expand.c b/src/src/expand.c

index 2be7f90941767d2ec88b304e688e8177480922ca..31059c432af1176fd0da00119c548230bfba0e12 100644 (file)
--- a/src/src/expand.c
+++ b/src/src/expand.c
@@ -235,6 +235,7 @@ static uschar *op_table_main[] = {
    US"rxquote",
    US"s",
    US"sha1",
    US"rxquote",
    US"s",
    US"sha1",
+  US"sha2",
    US"sha256",
    US"sha3",
    US"stat",
    US"sha256",
    US"sha3",
    US"stat",
@@ -281,6 +282,7 @@ enum {
    EOP_RXQUOTE,
    EOP_S,
    EOP_SHA1,
    EOP_RXQUOTE,
    EOP_S,
    EOP_SHA1,
+  EOP_SHA2,
    EOP_SHA256,
    EOP_SHA3,
    EOP_STAT,
    EOP_SHA256,
    EOP_SHA3,
    EOP_STAT,
@@ -312,7 +314,11 @@ static uschar *cond_table[] = {
    US"exists",
    US"first_delivery",
    US"forall",
    US"exists",
    US"first_delivery",
    US"forall",
+  US"forall_json",
+  US"forall_jsons",
    US"forany",
    US"forany",
+  US"forany_json",
+  US"forany_jsons",
    US"ge",
    US"gei",
    US"gt",
    US"ge",
    US"gei",
    US"gt",
@@ -358,7 +364,11 @@ enum {
    ECOND_EXISTS,
    ECOND_FIRST_DELIVERY,
    ECOND_FORALL,
    ECOND_EXISTS,
    ECOND_FIRST_DELIVERY,
    ECOND_FORALL,
+  ECOND_FORALL_JSON,
+  ECOND_FORALL_JSONS,
    ECOND_FORANY,
    ECOND_FORANY,
+  ECOND_FORANY_JSON,
+  ECOND_FORANY_JSONS,
    ECOND_STR_GE,
    ECOND_STR_GEI,
    ECOND_STR_GT,
    ECOND_STR_GE,
    ECOND_STR_GEI,
    ECOND_STR_GT,
@@ -660,9 +670,6 @@ static var_entry var_table[] = {
    { "regex_match_string",  vtype_stringptr,   &regex_match_string },
  #endif
    { "reply_address",       vtype_reply,       NULL },
    { "regex_match_string",  vtype_stringptr,   &regex_match_string },
  #endif
    { "reply_address",       vtype_reply,       NULL },
-#if defined(SUPPORT_TLS) && defined(EXPERIMENTAL_REQUIRETLS)
-  { "requiretls",          vtype_bool,        &tls_requiretls },
-#endif
    { "return_path",         vtype_stringptr,   &return_path },
    { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
    { "router_name",         vtype_stringptr,   &router_name },
    { "return_path",         vtype_stringptr,   &return_path },
    { "return_size_limit",   vtype_int,         &bounce_return_size_limit },
    { "router_name",         vtype_stringptr,   &router_name },
@@ -741,16 +748,21 @@ static var_entry var_table[] = {
    { "tls_in_bits",         vtype_int,         &tls_in.bits },
    { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
    { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
    { "tls_in_bits",         vtype_int,         &tls_in.bits },
    { "tls_in_certificate_verified", vtype_int, &tls_in.certificate_verified },
    { "tls_in_cipher",       vtype_stringptr,   &tls_in.cipher },
+  { "tls_in_cipher_std",   vtype_stringptr,   &tls_in.cipher_stdname },
    { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
    { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
    { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
    { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
    { "tls_in_ocsp",         vtype_int,         &tls_in.ocsp },
    { "tls_in_ourcert",      vtype_cert,        &tls_in.ourcert },
    { "tls_in_peercert",     vtype_cert,        &tls_in.peercert },
    { "tls_in_peerdn",       vtype_stringptr,   &tls_in.peerdn },
-#if defined(SUPPORT_TLS)
+#ifdef EXPERIMENTAL_TLS_RESUME
+  { "tls_in_resumption",   vtype_int,         &tls_in.resumption },
+#endif
+#ifndef DISABLE_TLS
    { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
  #endif
    { "tls_out_bits",        vtype_int,         &tls_out.bits },
    { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
    { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
    { "tls_in_sni",          vtype_stringptr,   &tls_in.sni },
  #endif
    { "tls_out_bits",        vtype_int,         &tls_out.bits },
    { "tls_out_certificate_verified", vtype_int,&tls_out.certificate_verified },
    { "tls_out_cipher",      vtype_stringptr,   &tls_out.cipher },
+  { "tls_out_cipher_std",  vtype_stringptr,   &tls_out.cipher_stdname },
  #ifdef SUPPORT_DANE
    { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
  #endif
  #ifdef SUPPORT_DANE
    { "tls_out_dane",        vtype_bool,        &tls_out.dane_verified },
  #endif
@@ -758,7 +770,10 @@ static var_entry var_table[] = {
    { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
    { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
    { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
    { "tls_out_ourcert",     vtype_cert,        &tls_out.ourcert },
    { "tls_out_peercert",    vtype_cert,        &tls_out.peercert },
    { "tls_out_peerdn",      vtype_stringptr,   &tls_out.peerdn },
-#if defined(SUPPORT_TLS)
+#ifdef EXPERIMENTAL_TLS_RESUME
+  { "tls_out_resumption",  vtype_int,         &tls_out.resumption },
+#endif
+#ifndef DISABLE_TLS
    { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
  #endif
  #ifdef SUPPORT_DANE
    { "tls_out_sni",         vtype_stringptr,   &tls_out.sni },
  #endif
  #ifdef SUPPORT_DANE
@@ -766,7 +781,7 @@ static var_entry var_table[] = {
  #endif
  
    { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn },        /* mind the alphabetical order! */
  #endif
  
    { "tls_peerdn",          vtype_stringptr,   &tls_in.peerdn },        /* mind the alphabetical order! */
-#if defined(SUPPORT_TLS)
+#ifndef DISABLE_TLS
    { "tls_sni",             vtype_stringptr,   &tls_in.sni },   /* mind the alphabetical order! */
  #endif
  
    { "tls_sni",             vtype_stringptr,   &tls_in.sni },   /* mind the alphabetical order! */
  #endif
  
@@ -952,7 +967,7 @@ weirdness they'll twist this into.  The result should ideally handle fork().
  However, if we're stuck unable to provide this, then we'll fall back to
  appallingly bad randomness.
  
  However, if we're stuck unable to provide this, then we'll fall back to
  appallingly bad randomness.
  
-If SUPPORT_TLS is defined then this will not be used except as an emergency
+If DISABLE_TLS is not defined then this will not be used except as an emergency
  fallback.
  
  Arguments:
  fallback.
  
  Arguments:
@@ -960,56 +975,55 @@ Arguments:
  Returns     a random number in range [0, max-1]
  */
  
  Returns     a random number in range [0, max-1]
  */
  
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
  # define vaguely_random_number vaguely_random_number_fallback
  #endif
  int
  vaguely_random_number(int max)
  {
  # define vaguely_random_number vaguely_random_number_fallback
  #endif
  int
  vaguely_random_number(int max)
  {
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
  # undef vaguely_random_number
  #endif
  # undef vaguely_random_number
  #endif
-  static pid_t pid = 0;
-  pid_t p2;
-#if defined(HAVE_SRANDOM) && !defined(HAVE_SRANDOMDEV)
-  struct timeval tv;
-#endif
+static pid_t pid = 0;
+pid_t p2;
  
  
-  p2 = getpid();
-  if (p2 != pid)
+if ((p2 = getpid()) != pid)
+  {
+  if (pid != 0)
      {
      {
-    if (pid != 0)
-      {
  
  #ifdef HAVE_ARC4RANDOM
  
  #ifdef HAVE_ARC4RANDOM
-      /* cryptographically strong randomness, common on *BSD platforms, not
-      so much elsewhere.  Alas. */
-#ifndef NOT_HAVE_ARC4RANDOM_STIR
-      arc4random_stir();
-#endif
+    /* cryptographically strong randomness, common on *BSD platforms, not
+    so much elsewhere.  Alas. */
+# ifndef NOT_HAVE_ARC4RANDOM_STIR
+    arc4random_stir();
+# endif
  #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
  #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
-#ifdef HAVE_SRANDOMDEV
-      /* uses random(4) for seeding */
-      srandomdev();
-#else
-      gettimeofday(&tv, NULL);
-      srandom(tv.tv_sec | tv.tv_usec | getpid());
-#endif
+# ifdef HAVE_SRANDOMDEV
+    /* uses random(4) for seeding */
+    srandomdev();
+# else
+    {
+    struct timeval tv;
+    gettimeofday(&tv, NULL);
+    srandom(tv.tv_sec | tv.tv_usec | getpid());
+    }
+# endif
  #else
  #else
-      /* Poor randomness and no seeding here */
+    /* Poor randomness and no seeding here */
  #endif
  
  #endif
  
-      }
-    pid = p2;
      }
      }
+  pid = p2;
+  }
  
  #ifdef HAVE_ARC4RANDOM
  
  #ifdef HAVE_ARC4RANDOM
-  return arc4random() % max;
+return arc4random() % max;
  #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
  #elif defined(HAVE_SRANDOM) || defined(HAVE_SRANDOMDEV)
-  return random() % max;
+return random() % max;
  #else
  #else
-  /* This one returns a 16-bit number, definitely not crypto-strong */
-  return random_number(max);
+/* This one returns a 16-bit number, definitely not crypto-strong */
+return random_number(max);
  #endif
  }
  
  #endif
  }
  
@@ -1275,7 +1289,7 @@ return string_nextinlist(&list, &sep, NULL, 0);
  /* Certificate fields, by name.  Worry about by-OID later */
  /* Names are chosen to not have common prefixes */
  
  /* Certificate fields, by name.  Worry about by-OID later */
  /* Names are chosen to not have common prefixes */
  
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
  typedef struct
  {
  uschar * name;
  typedef struct
  {
  uschar * name;
@@ -1301,7 +1315,6 @@ static uschar *
  expand_getcertele(uschar * field, uschar * certvar)
  {
  var_entry * vp;
  expand_getcertele(uschar * field, uschar * certvar)
  {
  var_entry * vp;
-certfield * cp;
  
  if (!(vp = find_var_ent(certvar)))
    {
  
  if (!(vp = find_var_ent(certvar)))
    {
@@ -1323,9 +1336,9 @@ if (!*(void **)vp->value)
  if (*field >= '0' && *field <= '9')
    return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
  
  if (*field >= '0' && *field <= '9')
    return tls_cert_ext_by_oid(*(void **)vp->value, field, 0);
  
-for(cp = certfields;
-    cp < certfields + nelem(certfields);
-    cp++)
+for (certfield * cp = certfields;
+     cp < certfields + nelem(certfields);
+     cp++)
    if (Ustrncmp(cp->name, field, cp->namelen) == 0)
      {
      uschar * modifier = *(field += cp->namelen) == ','
    if (Ustrncmp(cp->name, field, cp->namelen) == 0)
      {
      uschar * modifier = *(field += cp->namelen) == ','
@@ -1337,7 +1350,7 @@ expand_string_message =
    string_sprintf("bad field selector \"%s\" for certextract", field);
  return NULL;
  }
    string_sprintf("bad field selector \"%s\" for certextract", field);
  return NULL;
  }
-#endif /*SUPPORT_TLS*/
+#endif /*DISABLE_TLS*/
  
  /*************************************************
  *        Extract a substring from a string       *
  
  /*************************************************
  *        Extract a substring from a string       *
@@ -1561,10 +1574,9 @@ find_header(uschar *name, int *newsize, unsigned flags, uschar *charset)
  BOOL found = !name;
  int len = name ? Ustrlen(name) : 0;
  BOOL comma = FALSE;
  BOOL found = !name;
  int len = name ? Ustrlen(name) : 0;
  BOOL comma = FALSE;
-header_line * h;
  gstring * g = NULL;
  
  gstring * g = NULL;
  
-for (h = header_list; h; h = h->next)
+for (header_line * h = header_list; h; h = h->next)
    if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
      if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
        {
    if (h->type != htype_old && h->text)  /* NULL => Received: placeholder */
      if (!name || (len <= h->slen && strncmpic(name, h->text, len) == 0))
        {
@@ -1705,11 +1717,10 @@ fn_recipients(void)
  {
  uschar * s;
  gstring * g = NULL;
  {
  uschar * s;
  gstring * g = NULL;
-int i;
  
  if (!f.enable_dollar_recipients) return NULL;
  
  
  if (!f.enable_dollar_recipients) return NULL;
  
-for (i = 0; i < recipients_count; i++)
+for (int i = 0; i < recipients_count; i++)
    {
    s = recipients_list[i].address;
    g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
    {
    s = recipients_list[i].address;
    g = string_append2_listele_n(g, US", ", s, Ustrlen(s));
@@ -2028,11 +2039,10 @@ static int
  read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
    BOOL check_end, uschar *name, BOOL *resetok)
  {
  read_subs(uschar **sub, int n, int m, const uschar **sptr, BOOL skipping,
    BOOL check_end, uschar *name, BOOL *resetok)
  {
-int i;
  const uschar *s = *sptr;
  
  while (isspace(*s)) s++;
  const uschar *s = *sptr;
  
  while (isspace(*s)) s++;
-for (i = 0; i < n; i++)
+for (int i = 0; i < n; i++)
    {
    if (*s != '{')
      {
    {
    if (*s != '{')
      {
@@ -2148,6 +2158,89 @@ return ret;
  
  
  
  
  
  
+/* Return pointer to dewrapped string, with enclosing specified chars removed.
+The given string is modified on return.  Leading whitespace is skipped while
+looking for the opening wrap character, then the rest is scanned for the trailing
+(non-escaped) wrap character.  A backslash in the string will act as an escape.
+
+A nul is written over the trailing wrap, and a pointer to the char after the
+leading wrap is returned.
+
+Arguments:
+  s    String for de-wrapping
+  wrap  Two-char string, the first being the opener, second the closer wrapping
+        character
+Return:
+  Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
+*/
+
+static uschar *
+dewrap(uschar * s, const uschar * wrap)
+{
+uschar * p = s;
+unsigned depth = 0;
+BOOL quotesmode = wrap[0] == wrap[1];
+
+while (isspace(*p)) p++;
+
+if (*p == *wrap)
+  {
+  s = ++p;
+  wrap++;
+  while (*p)
+    {
+    if (*p == '\\') p++;
+    else if (!quotesmode && *p == wrap[-1]) depth++;
+    else if (*p == *wrap)
+      if (depth == 0)
+       {
+       *p = '\0';
+       return s;
+       }
+      else
+       depth--;
+    p++;
+    }
+  }
+expand_string_message = string_sprintf("missing '%c'", *wrap);
+return NULL;
+}
+
+
+/* Pull off the leading array or object element, returning
+a copy in an allocated string.  Update the list pointer.
+
+The element may itself be an abject or array.
+Return NULL when the list is empty.
+*/
+
+static uschar *
+json_nextinlist(const uschar ** list)
+{
+unsigned array_depth = 0, object_depth = 0;
+const uschar * s = *list, * item;
+
+while (isspace(*s)) s++;
+
+for (item = s;
+     *s && (*s != ',' || array_depth != 0 || object_depth != 0);
+     s++)
+  switch (*s)
+    {
+    case '[': array_depth++; break;
+    case ']': array_depth--; break;
+    case '{': object_depth++; break;
+    case '}': object_depth--; break;
+    }
+*list = *s ? s+1 : s;
+if (item == s) return NULL;
+item = string_copyn(item, s - item);
+DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
+return US item;
+}
+
+
+
  /*************************************************
  *        Read and evaluate a condition           *
  *************************************************/
  /*************************************************
  *        Read and evaluate a condition           *
  *************************************************/
@@ -2174,7 +2267,8 @@ BOOL testfor = TRUE;
  BOOL tempcond, combined_cond;
  BOOL *subcondptr;
  BOOL sub2_honour_dollar = TRUE;
  BOOL tempcond, combined_cond;
  BOOL *subcondptr;
  BOOL sub2_honour_dollar = TRUE;
-int i, rc, cond_type, roffset;
+BOOL is_forany, is_json, is_jsons;
+int rc, cond_type, roffset;
  int_eximarith_t num[2];
  struct stat statbuf;
  uschar name[256];
  int_eximarith_t num[2];
  struct stat statbuf;
  uschar name[256];
@@ -2524,7 +2618,7 @@ switch(cond_type)
    case ECOND_STR_GE:
    case ECOND_STR_GEI:
  
    case ECOND_STR_GE:
    case ECOND_STR_GEI:
  
-  for (i = 0; i < 2; i++)
+  for (int i = 0; i < 2; i++)
      {
      /* Sometimes, we don't expand substrings; too many insecure configurations
      created using match_address{}{} and friends, where the second param
      {
      /* Sometimes, we don't expand substrings; too many insecure configurations
      created using match_address{}{} and friends, where the second param
@@ -2741,16 +2835,15 @@ switch(cond_type)
  
        if (sublen == 24)
          {
  
        if (sublen == 24)
          {
-        uschar *coded = b64encode(digest, 16);
+        uschar *coded = b64encode(CUS digest, 16);
          DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
          tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
          }
        else if (sublen == 32)
          {
          DEBUG(D_auth) debug_printf("crypteq: using MD5+B64 hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
          tempcond = (Ustrcmp(coded, sub[1]+5) == 0);
          }
        else if (sublen == 32)
          {
-        int i;
          uschar coded[36];
          uschar coded[36];
-        for (i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
+        for (int i = 0; i < 16; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
          coded[32] = 0;
          DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
          coded[32] = 0;
          DEBUG(D_auth) debug_printf("crypteq: using MD5+hex hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+5);
@@ -2779,16 +2872,15 @@ switch(cond_type)
  
        if (sublen == 28)
          {
  
        if (sublen == 28)
          {
-        uschar *coded = b64encode(digest, 20);
+        uschar *coded = b64encode(CUS digest, 20);
          DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
          tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
          }
        else if (sublen == 40)
          {
          DEBUG(D_auth) debug_printf("crypteq: using SHA1+B64 hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
          tempcond = (Ustrcmp(coded, sub[1]+6) == 0);
          }
        else if (sublen == 40)
          {
-        int i;
          uschar coded[44];
          uschar coded[44];
-        for (i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
+        for (int i = 0; i < 20; i++) sprintf(CS (coded+2*i), "%02X", digest[i]);
          coded[40] = 0;
          DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
          coded[40] = 0;
          DEBUG(D_auth) debug_printf("crypteq: using SHA1+hex hashing\n"
            "  subject=%s\n  crypted=%s\n", coded, sub[1]+6);
@@ -2951,8 +3043,14 @@ switch(cond_type)
  
    /* forall/forany: iterates a condition with different values */
  
  
    /* forall/forany: iterates a condition with different values */
  
-  case ECOND_FORALL:
-  case ECOND_FORANY:
+  case ECOND_FORALL:     is_forany = FALSE;  is_json = FALSE; is_jsons = FALSE; goto FORMANY;
+  case ECOND_FORANY:     is_forany = TRUE;   is_json = FALSE; is_jsons = FALSE; goto FORMANY;
+  case ECOND_FORALL_JSON: is_forany = FALSE;  is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
+  case ECOND_FORANY_JSON: is_forany = TRUE;   is_json = TRUE;  is_jsons = FALSE; goto FORMANY;
+  case ECOND_FORALL_JSONS: is_forany = FALSE; is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
+  case ECOND_FORANY_JSONS: is_forany = TRUE;  is_json = TRUE;  is_jsons = TRUE;  goto FORMANY;
+
+  FORMANY:
      {
      const uschar * list;
      int sep = 0;
      {
      const uschar * list;
      int sep = 0;
@@ -2993,10 +3091,22 @@ switch(cond_type)
        return NULL;
        }
  
        return NULL;
        }
  
-    if (yield != NULL) *yield = !testfor;
+    if (yield) *yield = !testfor;
      list = sub[0];
      list = sub[0];
-    while ((iterate_item = string_nextinlist(&list, &sep, NULL, 0)) != NULL)
+    if (is_json) list = dewrap(string_copy(list), US"[]");
+    while ((iterate_item = is_json
+      ? json_nextinlist(&list) : string_nextinlist(&list, &sep, NULL, 0)))
        {
        {
+      if (is_jsons)
+       if (!(iterate_item = dewrap(iterate_item, US"\"\"")))
+         {
+         expand_string_message =
+           string_sprintf("%s wrapping string result for extract jsons",
+             expand_string_message);
+         iterate_item = save_iterate_item;
+         return NULL;
+         }
+
        DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, iterate_item);
        if (!eval_condition(sub[1], resetok, &tempcond))
          {
        DEBUG(D_expand) debug_printf_indent("%s: $item = \"%s\"\n", name, iterate_item);
        if (!eval_condition(sub[1], resetok, &tempcond))
          {
@@ -3008,8 +3118,8 @@ switch(cond_type)
        DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", name,
          tempcond? "true":"false");
  
        DEBUG(D_expand) debug_printf_indent("%s: condition evaluated to %s\n", name,
          tempcond? "true":"false");
  
-      if (yield != NULL) *yield = (tempcond == testfor);
-      if (tempcond == (cond_type == ECOND_FORANY)) break;
+      if (yield) *yield = (tempcond == testfor);
+      if (tempcond == is_forany) break;
        }
  
      iterate_item = save_iterate_item;
        }
  
      iterate_item = save_iterate_item;
@@ -3145,8 +3255,7 @@ Returns:                the value of expand max to save
  static int
  save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
  {
  static int
  save_expand_strings(uschar **save_expand_nstring, int *save_expand_nlength)
  {
-int i;
-for (i = 0; i <= expand_nmax; i++)
+for (int i = 0; i <= expand_nmax; i++)
    {
    save_expand_nstring[i] = expand_nstring[i];
    save_expand_nlength[i] = expand_nlength[i];
    {
    save_expand_nstring[i] = expand_nstring[i];
    save_expand_nlength[i] = expand_nlength[i];
@@ -3174,9 +3283,8 @@ static void
  restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
    int *save_expand_nlength)
  {
  restore_expand_strings(int save_expand_nmax, uschar **save_expand_nstring,
    int *save_expand_nlength)
  {
-int i;
  expand_nmax = save_expand_nmax;
  expand_nmax = save_expand_nmax;
-for (i = 0; i <= expand_nmax; i++)
+for (int i = 0; i <= expand_nmax; i++)
    {
    expand_nstring[i] = save_expand_nstring[i];
    expand_nlength[i] = save_expand_nlength[i];
    {
    expand_nstring[i] = save_expand_nstring[i];
    expand_nlength[i] = save_expand_nlength[i];
@@ -3465,7 +3573,6 @@ prvs_hmac_sha1(uschar *address, uschar *key, uschar *key_num, uschar *daystamp)
  {
  gstring * hash_source;
  uschar * p;
  {
  gstring * hash_source;
  uschar * p;
-int i;
  hctx h;
  uschar innerhash[20];
  uschar finalhash[20];
  hctx h;
  uschar innerhash[20];
  uschar finalhash[20];
@@ -3490,7 +3597,7 @@ DEBUG(D_expand)
  memset(innerkey, 0x36, 64);
  memset(outerkey, 0x5c, 64);
  
  memset(innerkey, 0x36, 64);
  memset(outerkey, 0x5c, 64);
  
-for (i = 0; i < Ustrlen(key); i++)
+for (int i = 0; i < Ustrlen(key); i++)
    {
    innerkey[i] ^= key[i];
    outerkey[i] ^= key[i];
    {
    innerkey[i] ^= key[i];
    outerkey[i] ^= key[i];
@@ -3505,7 +3612,7 @@ chash_mid(HMAC_SHA1, &h, outerkey);
  chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
  
  p = finalhash_hex;
  chash_end(HMAC_SHA1, &h, innerhash, 20, finalhash);
  
  p = finalhash_hex;
-for (i = 0; i < 3; i++)
+for (int i = 0; i < 3; i++)
    {
    *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
    *p++ = hex_digits[finalhash[i] & 0x0f];
    {
    *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
    *p++ = hex_digits[finalhash[i] & 0x0f];
@@ -3553,16 +3660,17 @@ return yield;
  }
  
  
  }
  
  
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
  static gstring *
  cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
  {
  int rc;
  static gstring *
  cat_file_tls(void * tls_ctx, gstring * yield, uschar * eol)
  {
  int rc;
-uschar * s;
  uschar buffer[1024];
  
  uschar buffer[1024];
  
+/*XXX could we read direct into a pre-grown string? */
+
  while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
  while ((rc = tls_read(tls_ctx, buffer, sizeof(buffer))) > 0)
-  for (s = buffer; rc--; s++)
+  for (uschar * s = buffer; rc--; s++)
      yield = eol && *s == '\n'
        ? string_cat(yield, eol) : string_catn(yield, s, 1);
  
      yield = eol && *s == '\n'
        ? string_cat(yield, eol) : string_catn(yield, s, 1);
  
@@ -3849,87 +3957,6 @@ return x;
  
  
  
  
  
  
-/* Return pointer to dewrapped string, with enclosing specified chars removed.
-The given string is modified on return.  Leading whitespace is skipped while
-looking for the opening wrap character, then the rest is scanned for the trailing
-(non-escaped) wrap character.  A backslash in the string will act as an escape.
-
-A nul is written over the trailing wrap, and a pointer to the char after the
-leading wrap is returned.
-
-Arguments:
-  s    String for de-wrapping
-  wrap  Two-char string, the first being the opener, second the closer wrapping
-        character
-Return:
-  Pointer to de-wrapped string, or NULL on error (with expand_string_message set).
-*/
-
-static uschar *
-dewrap(uschar * s, const uschar * wrap)
-{
-uschar * p = s;
-unsigned depth = 0;
-BOOL quotesmode = wrap[0] == wrap[1];
-
-while (isspace(*p)) p++;
-
-if (*p == *wrap)
-  {
-  s = ++p;
-  wrap++;
-  while (*p)
-    {
-    if (*p == '\\') p++;
-    else if (!quotesmode && *p == wrap[-1]) depth++;
-    else if (*p == *wrap)
-      if (depth == 0)
-       {
-       *p = '\0';
-       return s;
-       }
-      else
-       depth--;
-    p++;
-    }
-  }
-expand_string_message = string_sprintf("missing '%c'", *wrap);
-return NULL;
-}
-
-
-/* Pull off the leading array or object element, returning
-a copy in an allocated string.  Update the list pointer.
-
-The element may itself be an abject or array.
-*/
-
-uschar *
-json_nextinlist(const uschar ** list)
-{
-unsigned array_depth = 0, object_depth = 0;
-const uschar * s = *list, * item;
-
-while (isspace(*s)) s++;
-
-for (item = s;
-     *s && (*s != ',' || array_depth != 0 || object_depth != 0);
-     s++)
-  switch (*s)
-    {
-    case '[': array_depth++; break;
-    case ']': array_depth--; break;
-    case '{': object_depth++; break;
-    case '}': object_depth--; break;
-    }
-*list = *s ? s+1 : s;
-item = string_copyn(item, s - item);
-DEBUG(D_expand) debug_printf_indent("  json ele: '%s'\n", item);
-return US item;
-}
-
-
-
  /*************************************************
  *                 Expand string                  *
  *************************************************/
  /*************************************************
  *                 Expand string                  *
  *************************************************/
@@ -4814,7 +4841,7 @@ while (*s != 0)
            (void)sscanf(CS now,"%u",&inow);
            (void)sscanf(CS daystamp,"%u",&iexpire);
  
            (void)sscanf(CS now,"%u",&inow);
            (void)sscanf(CS daystamp,"%u",&iexpire);
  
-          /* When "iexpire" is < 7, a "flip" has occured.
+          /* When "iexpire" is < 7, a "flip" has occurred.
               Adjust "inow" accordingly. */
            if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
  
               Adjust "inow" accordingly. */
            if ( (iexpire < 7) && (inow >= 993) ) inow = 0;
  
@@ -4911,17 +4938,16 @@ while (*s != 0)
  
      case EITEM_READSOCK:
        {
  
      case EITEM_READSOCK:
        {
-      int fd;
+      client_conn_ctx cctx;
        int timeout = 5;
        int save_ptr = yield->ptr;
        int timeout = 5;
        int save_ptr = yield->ptr;
-      FILE * fp;
+      FILE * fp = NULL;
        uschar * arg;
        uschar * sub_arg[4];
        uschar * server_name = NULL;
        host_item host;
        BOOL do_shutdown = TRUE;
        uschar * arg;
        uschar * sub_arg[4];
        uschar * server_name = NULL;
        host_item host;
        BOOL do_shutdown = TRUE;
-      BOOL do_tls = FALSE;     /* Only set under SUPPORT_TLS */
-      void * tls_ctx = NULL;   /* ditto                      */
+      BOOL do_tls = FALSE;     /* Only set under ! DISABLE_TLS */
        blob reqstr;
  
        if (expand_forbid & RDO_READSOCK)
        blob reqstr;
  
        if (expand_forbid & RDO_READSOCK)
@@ -4965,7 +4991,7 @@ while (*s != 0)
         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
           if (Ustrncmp(item, US"shutdown=", 9) == 0)
             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
         while ((item = string_nextinlist(&list, &sep, NULL, 0)))
           if (Ustrncmp(item, US"shutdown=", 9) == 0)
             { if (Ustrcmp(item + 9, US"no") == 0) do_shutdown = FALSE; }
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
           else if (Ustrncmp(item, US"tls=", 4) == 0)
             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
  #endif
           else if (Ustrncmp(item, US"tls=", 4) == 0)
             { if (Ustrcmp(item + 9, US"no") != 0) do_tls = TRUE; }
  #endif
@@ -5021,12 +5047,12 @@ while (*s != 0)
              port = ntohs(service_info->s_port);
              }
  
              port = ntohs(service_info->s_port);
              }
  
-         /*XXX we trust that the request is idempotent.  Hmm. */
-         fd = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
+         /*XXX we trust that the request is idempotent for TFO.  Hmm. */
+         cctx.sock = ip_connectedsocket(SOCK_STREAM, server_name, port, port,
                   timeout, &host, &expand_string_message,
                   do_tls ? NULL : &reqstr);
           callout_address = NULL;
                   timeout, &host, &expand_string_message,
                   do_tls ? NULL : &reqstr);
           callout_address = NULL;
-         if (fd < 0)
+         if (cctx.sock < 0)
             goto SOCK_FAIL;
           if (!do_tls)
             reqstr.len = 0;
             goto SOCK_FAIL;
           if (!do_tls)
             reqstr.len = 0;
@@ -5039,7 +5065,7 @@ while (*s != 0)
           struct sockaddr_un sockun;         /* don't call this "sun" ! */
            int rc;
  
           struct sockaddr_un sockun;         /* don't call this "sun" ! */
            int rc;
  
-          if ((fd = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
+          if ((cctx.sock = socket(PF_UNIX, SOCK_STREAM, 0)) == -1)
              {
              expand_string_message = string_sprintf("failed to create socket: %s",
                strerror(errno));
              {
              expand_string_message = string_sprintf("failed to create socket: %s",
                strerror(errno));
@@ -5053,7 +5079,7 @@ while (*s != 0)
  
            sigalrm_seen = FALSE;
            ALARM(timeout);
  
            sigalrm_seen = FALSE;
            ALARM(timeout);
-          rc = connect(fd, (struct sockaddr *)(&sockun), sizeof(sockun));
+          rc = connect(cctx.sock, (struct sockaddr *)(&sockun), sizeof(sockun));
            ALARM_CLR(0);
            if (sigalrm_seen)
              {
            ALARM_CLR(0);
            if (sigalrm_seen)
              {
@@ -5072,17 +5098,14 @@ while (*s != 0)
  
          DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
  
  
          DEBUG(D_expand) debug_printf_indent("connected to socket %s\n", sub_arg[0]);
  
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
         if (do_tls)
           {
         if (do_tls)
           {
+         smtp_connect_args conn_args = {.host = &host };
           tls_support tls_dummy = {.sni=NULL};
           uschar * errstr;
  
           tls_support tls_dummy = {.sni=NULL};
           uschar * errstr;
  
-         if (!(tls_ctx = tls_client_start(fd, &host, NULL, NULL,
-# ifdef SUPPORT_DANE
-                               NULL,
-# endif
-                               &tls_dummy, &errstr)))
+         if (!tls_client_start(&cctx, &conn_args, NULL, &tls_dummy, &errstr))
             {
             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
             goto SOCK_FAIL;
             {
             expand_string_message = string_sprintf("TLS connect failed: %s", errstr);
             goto SOCK_FAIL;
@@ -5100,10 +5123,10 @@ while (*s != 0)
            DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
              reqstr.data);
            if ( (
            DEBUG(D_expand) debug_printf_indent("writing \"%s\" to socket\n",
              reqstr.data);
            if ( (
-#ifdef SUPPORT_TLS
-             tls_ctx ? tls_write(tls_ctx, reqstr.data, reqstr.len, FALSE) :
+#ifndef DISABLE_TLS
+             do_tls ? tls_write(cctx.tls_ctx, reqstr.data, reqstr.len, FALSE) :
  #endif
  #endif
-                       write(fd, reqstr.data, reqstr.len)) != reqstr.len)
+                       write(cctx.sock, reqstr.data, reqstr.len)) != reqstr.len)
              {
              expand_string_message = string_sprintf("request write to socket "
                "failed: %s", strerror(errno));
              {
              expand_string_message = string_sprintf("request write to socket "
                "failed: %s", strerror(errno));
@@ -5116,7 +5139,7 @@ while (*s != 0)
          system doesn't have this function, make it conditional. */
  
  #ifdef SHUT_WR
          system doesn't have this function, make it conditional. */
  
  #ifdef SHUT_WR
-       if (!tls_ctx && do_shutdown) shutdown(fd, SHUT_WR);
+       if (!do_tls && do_shutdown) shutdown(cctx.sock, SHUT_WR);
  #endif
  
         if (f.running_in_test_harness) millisleep(100);
  #endif
  
         if (f.running_in_test_harness) millisleep(100);
@@ -5124,22 +5147,22 @@ while (*s != 0)
          /* Now we need to read from the socket, under a timeout. The function
          that reads a file can be used. */
  
          /* Now we need to read from the socket, under a timeout. The function
          that reads a file can be used. */
  
-       if (!tls_ctx)
-         fp = fdopen(fd, "rb");
+       if (!do_tls)
+         fp = fdopen(cctx.sock, "rb");
          sigalrm_seen = FALSE;
          ALARM(timeout);
          yield =
          sigalrm_seen = FALSE;
          ALARM(timeout);
          yield =
-#ifdef SUPPORT_TLS
-         tls_ctx ? cat_file_tls(tls_ctx, yield, sub_arg[3]) :
+#ifndef DISABLE_TLS
+         do_tls ? cat_file_tls(cctx.tls_ctx, yield, sub_arg[3]) :
  #endif
                     cat_file(fp, yield, sub_arg[3]);
          ALARM_CLR(0);
  
  #endif
                     cat_file(fp, yield, sub_arg[3]);
          ALARM_CLR(0);
  
-#ifdef SUPPORT_TLS
-       if (tls_ctx)
+#ifndef DISABLE_TLS
+       if (do_tls)
           {
           {
-         tls_close(tls_ctx, TRUE);
-         close(fd);
+         tls_close(cctx.tls_ctx, TRUE);
+         close(cctx.sock);
           }
         else
  #endif
           }
         else
  #endif
@@ -5352,7 +5375,6 @@ while (*s != 0)
      case EITEM_NHASH:
      case EITEM_SUBSTR:
        {
      case EITEM_NHASH:
      case EITEM_SUBSTR:
        {
-      int i;
        int len;
        uschar *ret;
        int val[2] = { 0, -1 };
        int len;
        uschar *ret;
        int val[2] = { 0, -1 };
@@ -5385,9 +5407,8 @@ while (*s != 0)
            }
          }
  
            }
          }
  
-      for (i = 0; i < 2; i++)
+      for (int i = 0; i < 2; i++) if (sub[i])
          {
          {
-        if (sub[i] == NULL) continue;
          val[i] = (int)Ustrtol(sub[i], &ret, 10);
          if (*ret != 0 || (i != 0 && val[i] < 0))
            {
          val[i] = (int)Ustrtol(sub[i], &ret, 10);
          if (*ret != 0 || (i != 0 && val[i] < 0))
            {
@@ -5425,7 +5446,7 @@ while (*s != 0)
        md5 md5_base;
        hctx sha1_ctx;
        void *use_base;
        md5 md5_base;
        hctx sha1_ctx;
        void *use_base;
-      int type, i;
+      int type;
        int hashlen;      /* Number of octets for the hash algorithm's output */
        int hashblocklen; /* Number of octets the hash algorithm processes */
        uschar *keyptr, *p;
        int hashlen;      /* Number of octets for the hash algorithm's output */
        int hashblocklen; /* Number of octets the hash algorithm processes */
        uschar *keyptr, *p;
@@ -5487,7 +5508,7 @@ while (*s != 0)
         memset(innerkey, 0x36, hashblocklen);
         memset(outerkey, 0x5c, hashblocklen);
  
         memset(innerkey, 0x36, hashblocklen);
         memset(outerkey, 0x5c, hashblocklen);
  
-       for (i = 0; i < keylen; i++)
+       for (int i = 0; i < keylen; i++)
           {
           innerkey[i] ^= keyptr[i];
           outerkey[i] ^= keyptr[i];
           {
           innerkey[i] ^= keyptr[i];
           outerkey[i] ^= keyptr[i];
@@ -5506,7 +5527,7 @@ while (*s != 0)
         /* Encode the final hash as a hex string */
  
         p = finalhash_hex;
         /* Encode the final hash as a hex string */
  
         p = finalhash_hex;
-       for (i = 0; i < hashlen; i++)
+       for (int i = 0; i < hashlen; i++)
           {
           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
           *p++ = hex_digits[finalhash[i] & 0x0f];
           {
           *p++ = hex_digits[(finalhash[i] & 0xf0) >> 4];
           *p++ = hex_digits[finalhash[i] & 0x0f];
@@ -5568,7 +5589,6 @@ while (*s != 0)
          int ovector[3*(EXPAND_MAXN+1)];
          int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
            PCRE_EOPT | emptyopt, ovector, nelem(ovector));
          int ovector[3*(EXPAND_MAXN+1)];
          int n = pcre_exec(re, NULL, CS subject, slen, moffset + moffsetextra,
            PCRE_EOPT | emptyopt, ovector, nelem(ovector));
-        int nn;
          uschar *insert;
  
          /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
          uschar *insert;
  
          /* No match - if we previously set PCRE_NOTEMPTY after a null match, this
@@ -5594,7 +5614,7 @@ while (*s != 0)
  
          if (n == 0) n = EXPAND_MAXN + 1;
          expand_nmax = 0;
  
          if (n == 0) n = EXPAND_MAXN + 1;
          expand_nmax = 0;
-        for (nn = 0; nn < n*2; nn += 2)
+        for (int nn = 0; nn < n*2; nn += 2)
            {
            expand_nstring[expand_nmax] = subject + ovector[nn];
            expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
            {
            expand_nstring[expand_nmax] = subject + ovector[nn];
            expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
@@ -5638,24 +5658,30 @@ while (*s != 0)
  
      case EITEM_EXTRACT:
        {
  
      case EITEM_EXTRACT:
        {
-      int i;
-      int j;
        int field_number = 1;
        BOOL field_number_set = FALSE;
        uschar *save_lookup_value = lookup_value;
        uschar *sub[3];
        int save_expand_nmax =
          save_expand_strings(save_expand_nstring, save_expand_nlength);
        int field_number = 1;
        BOOL field_number_set = FALSE;
        uschar *save_lookup_value = lookup_value;
        uschar *sub[3];
        int save_expand_nmax =
          save_expand_strings(save_expand_nstring, save_expand_nlength);
-      enum {extract_basic, extract_json} fmt = extract_basic;
+
+      /* On reflection the original behaviour of extract-json for a string
+      result, leaving it quoted, was a mistake.  But it was already published,
+      hence the addition of jsons.  In a future major version, make json
+      work like josons, and withdraw jsons. */
+
+      enum {extract_basic, extract_json, extract_jsons} fmt = extract_basic;
  
        while (isspace(*s)) s++;
  
        /* Check for a format-variant specifier */
  
        if (*s != '{')                                   /*}*/
  
        while (isspace(*s)) s++;
  
        /* Check for a format-variant specifier */
  
        if (*s != '{')                                   /*}*/
-       {
-       if (Ustrncmp(s, "json", 4) == 0) {fmt = extract_json; s += 4;}
-       }
+       if (Ustrncmp(s, "json", 4) == 0)
+         if (*(s += 4) == 's')
+           {fmt = extract_jsons; s++;}
+         else
+           fmt = extract_json;
  
        /* While skipping we cannot rely on the data for expansions being
        available (eg. $item) hence cannot decide on numeric vs. keyed.
  
        /* While skipping we cannot rely on the data for expansions being
        available (eg. $item) hence cannot decide on numeric vs. keyed.
@@ -5663,7 +5689,7 @@ while (*s != 0)
  
        if (skipping)
         {
  
        if (skipping)
         {
-        for (j = 5; j > 0 && *s == '{'; j--)                   /*'}'*/
+        for (int j = 5; j > 0 && *s == '{'; j--)               /*'}'*/
           {
            if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
             goto EXPAND_FAILED;                                 /*'{'*/
           {
            if (!expand_string_internal(s+1, TRUE, &s, skipping, TRUE, &resetok))
             goto EXPAND_FAILED;                                 /*'{'*/
@@ -5688,7 +5714,7 @@ while (*s != 0)
           }
         }
  
           }
         }
  
-      else for (i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
+      else for (int i = 0, j = 2; i < j; i++) /* Read the proper number of arguments */
          {
         while (isspace(*s)) s++;
          if (*s == '{')                                                 /*'}'*/
          {
         while (isspace(*s)) s++;
          if (*s == '{')                                                 /*'}'*/
@@ -5736,7 +5762,7 @@ while (*s != 0)
             if (*p == 0)
               {
               field_number *= x;
             if (*p == 0)
               {
               field_number *= x;
-             if (fmt != extract_json) j = 3;               /* Need 3 args */
+             if (fmt == extract_basic) j = 3;               /* Need 3 args */
               field_number_set = TRUE;
               }
              }
               field_number_set = TRUE;
               }
              }
@@ -5763,6 +5789,7 @@ while (*s != 0)
           break;
  
         case extract_json:
           break;
  
         case extract_json:
+       case extract_jsons:
           {
           uschar * s, * item;
           const uschar * list;
           {
           uschar * s, * item;
           const uschar * list;
@@ -5790,10 +5817,11 @@ while (*s != 0)
               }
             while (field_number > 0 && (item = json_nextinlist(&list)))
               field_number--;
               }
             while (field_number > 0 && (item = json_nextinlist(&list)))
               field_number--;
-           s = item;
-           lookup_value = s;
-           while (*s) s++;
-           while (--s >= lookup_value && isspace(*s)) *s = '\0';
+           if ((lookup_value = s = item))
+             {
+             while (*s) s++;
+             while (--s >= lookup_value && isspace(*s)) *s = '\0';
+             }
             }
           else
             {
             }
           else
             {
@@ -5828,6 +5856,17 @@ while (*s != 0)
               }
             }
           }
               }
             }
           }
+
+         if (  fmt == extract_jsons
+            && lookup_value
+            && !(lookup_value = dewrap(lookup_value, US"\"\"")))
+           {
+           expand_string_message =
+             string_sprintf("%s wrapping string result for extract jsons",
+               expand_string_message);
+           goto EXPAND_FAILED_CURLY;
+           }
+         break;        /* json/s */
         }
  
        /* If no string follows, $value gets substituted; otherwise there can
         }
  
        /* If no string follows, $value gets substituted; otherwise there can
@@ -5858,7 +5897,6 @@ while (*s != 0)
  
      case EITEM_LISTEXTRACT:
        {
  
      case EITEM_LISTEXTRACT:
        {
-      int i;
        int field_number = 1;
        uschar *save_lookup_value = lookup_value;
        uschar *sub[2];
        int field_number = 1;
        uschar *save_lookup_value = lookup_value;
        uschar *sub[2];
@@ -5867,10 +5905,10 @@ while (*s != 0)
  
        /* Read the field & list arguments */
  
  
        /* Read the field & list arguments */
  
-      for (i = 0; i < 2; i++)
+      for (int i = 0; i < 2; i++)
          {
          while (isspace(*s)) s++;
          {
          while (isspace(*s)) s++;
-        if (*s != '{')                                 /*}*/
+        if (*s != '{')                                 /*'}'*/
           {
           expand_string_message = string_sprintf(
             "missing '{' for arg %d of listextract", i+1);
           {
           expand_string_message = string_sprintf(
             "missing '{' for arg %d of listextract", i+1);
@@ -5954,7 +5992,7 @@ while (*s != 0)
        continue;
        }
  
        continue;
        }
  
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
      case EITEM_CERTEXTRACT:
        {
        uschar *save_lookup_value = lookup_value;
      case EITEM_CERTEXTRACT:
        {
        uschar *save_lookup_value = lookup_value;
@@ -6034,7 +6072,7 @@ while (*s != 0)
          save_expand_nlength);
        continue;
        }
          save_expand_nlength);
        continue;
        }
-#endif /*SUPPORT_TLS*/
+#endif /*DISABLE_TLS*/
  
      /* Handle list operations */
  
  
      /* Handle list operations */
  
@@ -6444,8 +6482,7 @@ while (*s != 0)
        /* Look up the dynamically loaded object handle in the tree. If it isn't
        found, dlopen() the file and put the handle in the tree for next time. */
  
        /* Look up the dynamically loaded object handle in the tree. If it isn't
        found, dlopen() the file and put the handle in the tree for next time. */
  
-      t = tree_search(dlobj_anchor, argv[0]);
-      if (t == NULL)
+      if (!(t = tree_search(dlobj_anchor, argv[0])))
          {
          void *handle = dlopen(CS argv[0], RTLD_LAZY);
          if (handle == NULL)
          {
          void *handle = dlopen(CS argv[0], RTLD_LAZY);
          if (handle == NULL)
@@ -6547,7 +6584,7 @@ while (*s != 0)
      int c;
      uschar *arg = NULL;
      uschar *sub;
      int c;
      uschar *arg = NULL;
      uschar *sub;
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
      var_entry *vp = NULL;
  #endif
  
      var_entry *vp = NULL;
  #endif
  
@@ -6570,7 +6607,7 @@ while (*s != 0)
      as we do not want to do the usual expansion. For most, expand the string.*/
      switch(c)
        {
      as we do not want to do the usual expansion. For most, expand the string.*/
      switch(c)
        {
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
        case EOP_MD5:
        case EOP_SHA1:
        case EOP_SHA256:
        case EOP_MD5:
        case EOP_SHA1:
        case EOP_SHA256:
@@ -6725,7 +6762,7 @@ while (*s != 0)
          }
  
        case EOP_MD5:
          }
  
        case EOP_MD5:
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
         if (vp && *(void **)vp->value)
           {
           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
         if (vp && *(void **)vp->value)
           {
           uschar * cp = tls_cert_fprt_md5(*(void **)vp->value);
@@ -6736,16 +6773,15 @@ while (*s != 0)
           {
           md5 base;
           uschar digest[16];
           {
           md5 base;
           uschar digest[16];
-         int j;
           md5_start(&base);
           md5_end(&base, sub, Ustrlen(sub), digest);
           md5_start(&base);
           md5_end(&base, sub, Ustrlen(sub), digest);
-         for (j = 0; j < 16; j++)
+         for (int j = 0; j < 16; j++)
             yield = string_fmt_append(yield, "%02x", digest[j]);
           }
          continue;
  
        case EOP_SHA1:
             yield = string_fmt_append(yield, "%02x", digest[j]);
           }
          continue;
  
        case EOP_SHA1:
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
         if (vp && *(void **)vp->value)
           {
           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
         if (vp && *(void **)vp->value)
           {
           uschar * cp = tls_cert_fprt_sha1(*(void **)vp->value);
@@ -6756,31 +6792,42 @@ while (*s != 0)
           {
           hctx h;
           uschar digest[20];
           {
           hctx h;
           uschar digest[20];
-         int j;
           sha1_start(&h);
           sha1_end(&h, sub, Ustrlen(sub), digest);
           sha1_start(&h);
           sha1_end(&h, sub, Ustrlen(sub), digest);
-         for (j = 0; j < 20; j++)
+         for (int j = 0; j < 20; j++)
             yield = string_fmt_append(yield, "%02X", digest[j]);
           }
          continue;
  
             yield = string_fmt_append(yield, "%02X", digest[j]);
           }
          continue;
  
+      case EOP_SHA2:
        case EOP_SHA256:
  #ifdef EXIM_HAVE_SHA2
         if (vp && *(void **)vp->value)
           {
        case EOP_SHA256:
  #ifdef EXIM_HAVE_SHA2
         if (vp && *(void **)vp->value)
           {
-         uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
-         yield = string_cat(yield, cp);
+         if (c == EOP_SHA256)
+           {
+           uschar * cp = tls_cert_fprt_sha256(*(void **)vp->value);
+           yield = string_cat(yield, cp);
+           }
+         else
+           expand_string_message = US"sha2_N not supported with certificates";
           }
         else
           {
           hctx h;
           blob b;
           }
         else
           {
           hctx h;
           blob b;
+         hashmethod m = !arg ? HASH_SHA2_256
+           : Ustrcmp(arg, "256") == 0 ? HASH_SHA2_256
+           : Ustrcmp(arg, "384") == 0 ? HASH_SHA2_384
+           : Ustrcmp(arg, "512") == 0 ? HASH_SHA2_512
+           : HASH_BADTYPE;
  
  
-         if (!exim_sha_init(&h, HASH_SHA2_256))
+         if (m == HASH_BADTYPE || !exim_sha_init(&h, m))
             {
             {
-           expand_string_message = US"unrecognised sha256 variant";
+           expand_string_message = US"unrecognised sha2 variant";
             goto EXPAND_FAILED;
             }
             goto EXPAND_FAILED;
             }
+
           exim_sha_update(&h, sub, Ustrlen(sub));
           exim_sha_finish(&h, &b);
           while (b.len-- > 0)
           exim_sha_update(&h, sub, Ustrlen(sub));
           exim_sha_finish(&h, &b);
           while (b.len-- > 0)
@@ -6830,7 +6877,7 @@ while (*s != 0)
          uschar *out = sub;
          uschar *enc;
  
          uschar *out = sub;
          uschar *enc;
  
-        for (enc = sub; *enc != 0; enc++)
+        for (enc = sub; *enc; enc++)
            {
            if (!isxdigit(*enc))
              {
            {
            if (!isxdigit(*enc))
              {
@@ -6853,9 +6900,7 @@ while (*s != 0)
            if (isdigit(c)) c -= '0';
            else c = toupper(c) - 'A' + 10;
            if (b == -1)
            if (isdigit(c)) c -= '0';
            else c = toupper(c) - 'A' + 10;
            if (b == -1)
-            {
              b = c << 4;
              b = c << 4;
-            }
            else
              {
              *out++ = b | c;
            else
              {
              *out++ = b | c;
@@ -6863,7 +6908,7 @@ while (*s != 0)
              }
            }
  
              }
            }
  
-        enc = b64encode(sub, out - sub);
+        enc = b64encode(CUS sub, out - sub);
          yield = string_cat(yield, enc);
          continue;
          }
          yield = string_cat(yield, enc);
          continue;
          }
@@ -7070,16 +7115,11 @@ while (*s != 0)
          uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
            FALSE);
          if (t)
          uschar * t = parse_extract_address(sub, &error, &start, &end, &domain,
            FALSE);
          if (t)
-          if (c != EOP_DOMAIN)
-            {
-            if (c == EOP_LOCAL_PART && domain != 0) end = start + domain - 1;
-            yield = string_catn(yield, sub+start, end-start);
-            }
-          else if (domain != 0)
-            {
-            domain += start;
-            yield = string_catn(yield, sub+domain, end-domain);
-            }
+         yield = c == EOP_DOMAIN
+           ? string_cat(yield, t + domain)
+           : c == EOP_LOCAL_PART && domain > 0
+           ? string_catn(yield, t, domain - 1 )
+           : string_cat(yield, t);
          continue;
          }
  
          continue;
          }
  
@@ -7103,7 +7143,7 @@ while (*s != 0)
  
          for (;;)
            {
  
          for (;;)
            {
-          uschar *p = parse_find_address_end(sub, FALSE);
+          uschar * p = parse_find_address_end(sub, FALSE);
            uschar saveend = *p;
            *p = '\0';
            address = parse_extract_address(sub, &error, &start, &end, &domain,
            uschar saveend = *p;
            *p = '\0';
            address = parse_extract_address(sub, &error, &start, &end, &domain,
@@ -7116,7 +7156,7 @@ while (*s != 0)
            list, add in a space if the new address begins with the separator
            character, or is an empty string. */
  
            list, add in a space if the new address begins with the separator
            character, or is an empty string. */
  
-          if (address != NULL)
+          if (address)
              {
              if (yield->ptr != save_ptr && address[0] == *outsep)
                yield = string_catn(yield, US" ", 1);
              {
              if (yield->ptr != save_ptr && address[0] == *outsep)
                yield = string_catn(yield, US" ", 1);
@@ -7461,10 +7501,9 @@ while (*s != 0)
  
        case EOP_ESCAPE8BIT:
         {
  
        case EOP_ESCAPE8BIT:
         {
-       const uschar * s = sub;
         uschar c;
  
         uschar c;
  
-       for (s = sub; (c = *s); s++)
+       for (const uschar * s = sub; (c = *s); s++)
           yield = c < 127 && c != '\\'
             ? string_catn(yield, s, 1)
             : string_fmt_append(yield, "\\%03o", c);
           yield = c < 127 && c != '\\'
             ? string_catn(yield, s, 1)
             : string_fmt_append(yield, "\\%03o", c);
@@ -7490,7 +7529,7 @@ while (*s != 0)
          continue;
          }
  
          continue;
          }
  
-      /* Handle time period formating */
+      /* Handle time period formatting */
  
        case EOP_TIME_EVAL:
          {
  
        case EOP_TIME_EVAL:
          {
@@ -7525,12 +7564,12 @@ while (*s != 0)
        case EOP_STR2B64:
        case EOP_BASE64:
         {
        case EOP_STR2B64:
        case EOP_BASE64:
         {
-#ifdef SUPPORT_TLS
+#ifndef DISABLE_TLS
         uschar * s = vp && *(void **)vp->value
           ? tls_cert_der_b64(*(void **)vp->value)
         uschar * s = vp && *(void **)vp->value
           ? tls_cert_der_b64(*(void **)vp->value)
-         : b64encode(sub, Ustrlen(sub));
+         : b64encode(CUS sub, Ustrlen(sub));
  #else
  #else
-       uschar * s = b64encode(sub, Ustrlen(sub));
+       uschar * s = b64encode(CUS sub, Ustrlen(sub));
  #endif
         yield = string_cat(yield, s);
         continue;
  #endif
         yield = string_cat(yield, s);
         continue;
@@ -7653,7 +7692,6 @@ while (*s != 0)
          {
          uschar smode[12];
          uschar **modetable[3];
          {
          uschar smode[12];
          uschar **modetable[3];
-        int i;
          mode_t mode;
          struct stat st;
  
          mode_t mode;
          struct stat st;
  
@@ -7684,7 +7722,7 @@ while (*s != 0)
          modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
          modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
  
          modetable[1] = ((mode & 02000) == 0)? mtable_normal : mtable_setid;
          modetable[2] = ((mode & 04000) == 0)? mtable_normal : mtable_setid;
  
-        for (i = 0; i < 3; i++)
+        for (int i = 0; i < 3; i++)
            {
            memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
            mode >>= 3;
            {
            memcpy(CS(smode + 7 - i*3), CS(modetable[i][mode & 7]), 3);
            mode >>= 3;
@@ -8214,23 +8252,21 @@ assert_no_variables(void * ptr, int len, const char * filename, int linenumber)
  {
  err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
               .var_name = NULL, .var_data = NULL };
  {
  err_ctx e = { .region_start = ptr, .region_end = US ptr + len,
               .var_name = NULL, .var_data = NULL };
-int i;
-var_entry * v;
  
  /* check acl_ variables */
  tree_walk(acl_var_c, assert_variable_notin, &e);
  tree_walk(acl_var_m, assert_variable_notin, &e);
  
  /* check auth<n> variables */
  
  /* check acl_ variables */
  tree_walk(acl_var_c, assert_variable_notin, &e);
  tree_walk(acl_var_m, assert_variable_notin, &e);
  
  /* check auth<n> variables */
-for (i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
+for (int i = 0; i < AUTH_VARS; i++) if (auth_vars[i])
    assert_variable_notin(US"auth<n>", auth_vars[i], &e);
  
  /* check regex<n> variables */
    assert_variable_notin(US"auth<n>", auth_vars[i], &e);
  
  /* check regex<n> variables */
-for (i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
+for (int i = 0; i < REGEX_VARS; i++) if (regex_vars[i])
    assert_variable_notin(US"regex<n>", regex_vars[i], &e);
  
  /* check known-name variables */
    assert_variable_notin(US"regex<n>", regex_vars[i], &e);
  
  /* check known-name variables */
-for (v = var_table; v < var_table + var_table_size; v++)
+for (var_entry * v = var_table; v < var_table + var_table_size; v++)
    if (v->type == vtype_stringptr)
      assert_variable_notin(US v->name, *(USS v->value), &e);
  
    if (v->type == vtype_stringptr)
      assert_variable_notin(US v->name, *(USS v->value), &e);
  
@@ -8267,9 +8303,8 @@ BOOL yield = n >= 0;
  if (n == 0) n = EXPAND_MAXN + 1;
  if (yield)
    {
  if (n == 0) n = EXPAND_MAXN + 1;
  if (yield)
    {
-  int nn;
-  expand_nmax = (setup < 0)? 0 : setup + 1;
-  for (nn = (setup < 0)? 0 : 2; nn < n*2; nn += 2)
+  expand_nmax = setup < 0 ? 0 : setup + 1;
+  for (int nn = setup < 0 ? 0 : 2; nn < n*2; nn += 2)
      {
      expand_nstring[expand_nmax] = subject + ovector[nn];
      expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
      {
      expand_nstring[expand_nmax] = subject + ovector[nn];
      expand_nlength[expand_nmax++] = ovector[nn+1] - ovector[nn];
@@ -8282,7 +8317,6 @@ return yield;
  
  int main(int argc, uschar **argv)
  {
  
  int main(int argc, uschar **argv)
  {
-int i;
  uschar buffer[1024];
  
  debug_selector = D_v;
  uschar buffer[1024];
  
  debug_selector = D_v;
@@ -8290,7 +8324,7 @@ debug_file = stderr;
  debug_fd = fileno(debug_file);
  big_buffer = malloc(big_buffer_size);
  
  debug_fd = fileno(debug_file);
  big_buffer = malloc(big_buffer_size);
  
-for (i = 1; i < argc; i++)
+for (int i = 1; i < argc; i++)
    {
    if (argv[i][0] == '+')
      {
    {
    if (argv[i][0] == '+')
      {