Мениджър за конфигурация на Exim в cPanel/WHM: Пълно техническо ръководство

Exim е агент за пренос на поща (Mail Transfer Agent, MTA), разработен в Университета на Кеймбридж, широко използван на Linux-базирани уеб хостинг сървъри като стандартна имейл основа за cPanel/WHM среди. Мениджърът за конфигурация на Exim в WHM е графичен интерфейс, който предоставя достъп до конфигурационните директиви на Exim — от основни превключватели за филтриране на спам до директно редактиране на ACL — без да е необходима директна манипулация на /etc/exim.conf.

За сървърните администратори този инструмент е най-важната контролна повърхност за доставяемост на имейли, сигурност и предотвратяване на злоупотреби. Неправилната му конфигурация може да доведе до излагане на открито реле, включване в черни списъци или пълен провал на доставката на поща. Правилната конфигурация означава защитен, високопроизводителен пощенски стек, който преминава SPF, DKIM и DMARC валидация при всяко изходящо съобщение.

Какво е Exim и защо е важен на cPanel сървъри

Exim обработва както входящия, така и изходящия SMTP трафик, прилагайки конвейер от списъци за контрол на достъпа (Access Control Lists, ACLs), правила за маршрутизиране, транспортни драйвери и филтриращи скриптове на всеки етап от обработката на съобщенията. На типичен cPanel сървър Exim работи заедно с Dovecot (IMAP/POP3) и SpamAssassin, образувайки трислоен пощенски стек, в който Exim е входната и изходната точка за всички SMTP сесии.

За разлика от Postfix или Sendmail, конфигурацията на Exim е единичен монолитен файл (/etc/exim.conf на cPanel системи, свързан чрез символна връзка от /etc/exim.conf.local за персонализирани замени), който дефинира рутери, транспорти, ACL и правила за пренаписване в специфичен последователен ред. WHM на cPanel генерира този файл динамично от система с шаблони — именно затова съществува Мениджърът за конфигурация на Exim: за да позволи на WHM да регенерира конфигурацията безопасно, без да презаписва вашите персонализации.

Ключови архитектурни роли, които Exim изпълнява на cPanel сървър:

• Приема входящи SMTP връзки на портове 25, 465 (SMTPS) и 587 (submission)
• Прилага pre-DATA и post-DATA ACL за спам, удостоверяване и прилагане на политики
• Маршрутизира поща към локална Maildir доставка чрез Dovecot LDA или препраща изходящата поща към отдалечени MTA
• Изпълнява SpamAssassin сканиране чрез демона spamd
• Подписва изходящите съобщения с DKIM, използвайки частни ключове за всеки домейн, съхранени в /etc/domainkeys/

Достъп до Мениджъра за конфигурация на Exim в WHM

Мениджърът за конфигурация на Exim е изключително инструмент на WHM (Web Host Manager) — той не е достъпен от индивидуални cPanel акаунти. Необходим ви е root или WHM достъп на ниво препродавач.

Път за навигация:

1. Влезте в WHM на https://your-server-ip:2087
2. В лявата лента за търсене въведете Exim
3. Изберете Exim Configuration Manager в раздел Service Configuration

Алтернативно, навигирайте директно до:

WHM > Home > Service Configuration > Exim Configuration Manager

След зареждане интерфейсът представя два раздела: Basic Editor и Advanced Editor. Те не са независими инструменти — промените в Basic Editor записват структурирани директиви в същия основен шаблон, който Advanced Editor излага в необработен вид.

Критична оперативна бележка: Всеки път, когато щракнете върху Save в който и да е редактор, WHM извиква exim_tidydb и рестартира услугата Exim. На натоварен сървър планирайте промените в конфигурацията по време на прозорци с нисък трафик, за да избегнете прекъсване на активни SMTP връзки.

Basic Editor: Подробен преглед на функциите

Basic Editor организира конфигурируемите опции на Exim в логически раздели. Всеки превключвател или поле за въвеждане съответства на конкретна директива или макрос в генерирания exim.conf. Разбирането на това, което всяка настройка реално прави на протоколно ниво — не само какво гласи етикетът — е от съществено значение за вземането на информирани решения.

Сигурност на пощенския сървър и функции срещу спам

Интеграция на SpamAssassin

Когато е активирана, Exim прекарва всяко входящо съобщение през spamd с помощта на клиента spamc. SpamAssassin присвоява числова оценка въз основа на анализ на заглавия, байесово филтриране и съпоставяне на правила. Съобщенията, надвишаващи конфигурирания праг (по подразбиране: 5.0), получават заглавие X-Spam-Status: Yes. Реализацията на WHM поддържа и автоматично изтриване на съобщения над по-висок праг (по подразбиране: 10.0).

Често пренебрегван детайл: SpamAssassin сканирането добавя латентност към всяка входяща SMTP транзакция. На сървъри, обработващи повече от 50 едновременни връзки, уверете се, че spamd работи с достатъчно дъщерни процеси (--max-children), за да предотвратите натрупване на опашка.

RBL (Real-time Blackhole Lists)

RBL извършват DNS справка срещу база данни с черни списъци за всеки свързващ се IP адрес. Ако IP адресът е в списъка, Exim отхвърля връзката на етапа RCPT TO на SMTP с грешка 550 — преди да бъдат предадени каквито и да е данни от съобщението, спестявайки честотна лента и разходи за обработка.

Стандартният списък с RBL на cPanel включва:

zen.spamhaus.org — съставен списък, обхващащ SBL, XBL и PBL
bl.spamcop.net — списък на SpamCop, базиран на доклади
b.barracudacentral.org — Barracuda Reputation Block List

Предупреждение: Агресивното използване на RBL може да доведе до фалшиви положителни резултати, особено за поща, произхождаща от голяма споделена инфраструктура (AWS SES, Google Workspace, Office 365 изходящи IP адреси). Винаги тествайте добавянията на RBL спрямо вашите легитимни пощенски източници, преди да ги активирате в производствена среда.
Верификация на подателя (Callout Verification)
Тази функция инструктира Exim да отвори временна SMTP връзка обратно към пощенския сървър на подателя и да издаде RCPT TO за заявения адрес на подателя. Ако отдалеченият сървър отхвърли адреса, Exim отхвърля входящото съобщение.
Известен граничен случай: Верификацията на подателя може да причини неуспехи при доставка, когато изпращащият домейн използва нулев подател (MAIL FROM:<>) за съобщения за върната поща, или когато отдалеченият MTA прилага мерки срещу callout (връщайки 250 на всички RCPT проби). Това е честа причина за фалшиви отхвърляния при автоматизирани системи за известяване и софтуер за пощенски списъци.
Greylisting
Greylisting временно отхвърля поща от непознати тройки подател/IP/получател с отговор 451 Try again later. Легитимните MTA правят повторен опит след конфигурираното забавяне (обикновено 5–10 минути), след което тройката се добавя в белия списък. Спам машините рядко правят повторни опити, така че отхвърлянето на практика е постоянно.
Детайл за реализацията: cPanel реализира greylisting чрез демона greylistd, който поддържа SQLite база данни с тройки в /var/cpanel/greylist/. Базата данни расте с времето и трябва да се наблюдава за размер на сървъри с голям обем трафик.
Производителност на пощенския сървър и ограничаване на скоростта
Максимален брой връзки
Това съответства на директивата smtp_accept_max на Exim. Задаването на твърде ниска стойност кара легитимните податели да получават грешки 421 Too many connections. Разумна отправна точка за споделен хостинг сървър е 200–500, в зависимост от наличната RAM (всеки процес на Exim консумира приблизително 8–15 MB).
Максимален брой имейли на час
Това се прилага за всеки cPanel акаунт чрез брояч, съхранен в /var/cpanel/ratelimit/. Когато акаунт надвиши лимита, последващите опити за изпращане получават отговор 550 Message rejected. Това е основната ви защита срещу компрометирани cPanel акаунти, използвани за спам кампании.
Препоръчителни базови лимити по тип сървър:



Тип сървър
Имейли/час на домейн
Макс. връзки
Интервал на опашката








—
—
—
—








Споделен хостинг
300–500
200
5 минути








VPS (МСП)
500–1000
300
3 минути








Dedicated пощенски сървър
Неограничен или 5000+
500–1000
1 минута








Транзакционен пощенски сървър
SLA на акаунт
1000+
30 секунди





Ако управлявате среда за VPS Хостинг с множество клиентски домейни, ограничаването на скоростта на ниво домейн е най-детайлният и ефективен подход за ограничаване на злоупотребите.
Удостоверяване на имейл: DKIM и SPF
DKIM (DomainKeys Identified Mail)
Когато е активиран в WHM, Exim подписва всяко изходящо съобщение с 2048-битов RSA частен ключ, съхранен в /etc/domainkeys/<domain>/. Съответният публичен ключ се публикува като DNS TXT запис в default._domainkey.<domain>. Получаващите MTA проверяват подписа спрямо публичния ключ, потвърждавайки, че съобщението не е променено при транзит и произхожда от оторизиран сървър.
Критична точка за конфигурация: cPanel генерира DKIM ключове за всеки домейн автоматично при добавяне на домейн. Въпреки това, ако мигрирате домейни от друг сървър, частните ключове не се прехвърлят — трябва да регенерирате ключовете в WHM под Email > DomainKeys и да актуализирате DNS записите съответно.
SPF (Sender Policy Framework)
SPF е DNS-базиран механизъм, който указва кои IP адреси са оторизирани да изпращат поща за даден домейн. Exim проверява SPF записа на домейна на подателя по време на фазата MAIL FROM на SMTP. Неуспешната SPF проверка не отхвърля автоматично поща в стандартната конфигурация на cPanel — тя добавя заглавие. Можете да ескалирате това до твърдо отхвърляне в Advanced Editor.
DMARC съответствието изисква SPF и DKIM да са конфигурирани правилно. SPF само по себе си е недостатъчен за DMARC съответствие, тъй като SPF валидира подателя на плика (MAIL FROM), а не заглавието From:, видимо за получателите.
Конфигурация на маршрутизирането на имейли
Резервен пощенски обменник (MX Backup)
Конфигурирането на сървър като резервен MX (вторичен MX с по-висок приоритетен номер, напр. MX 20) кара отдалечените податели да поставят поща на опашка към вашия сървър, когато основният MX е недостъпен. Вашият сървър задържа поща и я доставя, когато основният се възстанови.
Оперативен риск: Резервен MX, конфигуриран без подходящо филтриране на спам, се превръща в вектор за заобикаляне на спам реле. Спамърите умишлено се насочват към вторичните MX записи, тъй като те често са по-слабо защитени от основните сървъри. Винаги прилагайте идентични ACL и RBL правила към конфигурациите на резервния MX.
Обработка на отдалечена и локална поща
Тази настройка контролира поведението на рутера на Exim за всеки домейн. Опциите включват:

Local — Exim доставя поща директно до локалния Maildir
Remote — Exim препраща цялата поща за домейна към външен MX
Backup — Exim поставя поща на опашка за даден домейн, когато основният MX е недостъпен

За домейни, използващи външни пощенски доставчици (Google Workspace, Microsoft 365), задайте маршрутизирането на Remote и се уверете, че MX записите на домейна сочат към външния доставчик. Оставянето на маршрутизирането на Local за домейни с външен хостинг на поща кара Exim да генерира съобщения за върната поща за цялата входяща поща към тези домейни.
Конфигурация на регистрирането
Регистрирането на Exim се контролира от директивата log_selector. Basic Editor предоставя достъп до най-често необходимите опции:

Регистриране на SMTP транзакции — записва команди MAIL FROM, RCPT TO и DATA с времеви маркери и IP адреси
Регистриране на получена поща — записва запис в журнала за всяко прието съобщение, включително размера на съобщението и ID на опашката

Журналите на Exim се записват в /var/log/exim_mainlog (основен журнал на транзакциите) и /var/log/exim_rejectlog (журнал на отхвърлените съобщения). На сървъри с голям обем тези файлове се ротират ежедневно и могат да достигнат няколко гигабайта. Реализирайте ротация на журналите чрез logrotate с подходящи политики за съхранение.
Съвет за разследване: При разследване на оплакване за спам или неуспех при доставка, най-ефективният работен процес е:
grep "message-id@example.com" /var/log/exim_mainlog
Това извлича пълната верига на доставка за конкретен ID на съобщение, включително всички решения за маршрутизиране и отговори на отдалечения сървър.
Advanced Editor: Директен контрол на конфигурацията
Advanced Editor представя необработения шаблон за конфигурация на Exim, позволявайки на администраторите да вмъкват директиви, за които няма съответен превключвател в Basic Editor. Тук опитните системни администратори реализират конфигурации, надхвърлящи предварително зададените опции на cPanel.
Предупреждение: Промените, направени в Advanced Editor, се запазват при регенерирането на WHM шаблона само ако са поставени в правилните секции за замяна. Директивите, поставени извън определените персонализирани блокове, могат да бъдат презаписани, когато WHM актуализира конфигурацията на Exim (напр. при надграждания на версията на cPanel).
Реализация на персонализиран ACL (Access Control List)
ACL са най-мощният механизъм за филтриране на Exim. Те се изпълняват на конкретни точки в SMTP транзакцията и могат да приемат, отхвърлят, отлагат или изхвърлят съобщения въз основа на практически всеки атрибут на съобщението.
Точки на изпълнение на ACL в Exim:



ACL Hook
Точка на задействане
Чести случаи на употреба








—
—
—








`acl_smtp_connect`
Установена TCP връзка
Блокиране по репутация на IP, ограничаване на скоростта на връзките








`acl_smtp_helo`
Получена команда HELO/EHLO
Валидиране на HELO hostname, проверки на PTR записи








`acl_smtp_mail`
Команда MAIL FROM
Валидиране на домейна на подателя, прилагане на SPF








`acl_smtp_rcpt`
Команда RCPT TO
Валидиране на получателя, RBL проверки, greylisting








`acl_smtp_data`
След получаване на DATA
SpamAssassin сканиране, филтриране на съдържание, DKIM верификация








`acl_smtp_mime`
За всяка MIME част
Блокиране на типове прикачени файлове, сканиране за зловреден софтуер





Пример: Блокиране на конкретен изпращащ домейн в Advanced Editor
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Пример: Прилагане на DMARC-подобно отхвърляне при твърди неуспехи на SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Персонализирани правила за маршрутизиране на поща
Разширеното маршрутизиране в Exim използва рутери — наредени етапи на обработка, които определят как се обработва дадено съобщение. В Advanced Editor можете да добавяте персонализирани рутери за реализиране на:

Балансиране на натоварването между множество изходящи IP адреси — полезно за транзакционни пощенски сървъри, управляващи множество изпращащи домейни
Препращане на конкретен домейн към услуги за SMTP на трети страни — маршрутизиране на поща за @domain.com чрез SendGrid или Mailgun, докато всички останали домейни се обработват локално
Условно маршрутизиране въз основа на заглавия на съобщения — маршрутизиране на съобщения с конкретни заглавия X-Priority чрез специален транспорт с висок приоритет

Пример: Маршрутизиране на конкретен домейн чрез външно SMTP реле
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Настройка на SMTP параметри
Advanced Editor позволява модифициране на основните параметри за SMTP синхронизация и повторни опити, които значително влияят на доставяемостта и поведението на опашката:

smtp_connect_backoff — забавяне между опитите за повторно свързване при неуспешни изходящи връзки
retry_data_expire — колко дълго Exim съхранява записи за повторни опити (по подразбиране: 7 дни)
timeout_frozen_after — продължителност, след която замразено съобщение се изтрива автоматично
ignore_bounce_errors_after — времето, след което съобщенията за върната поща за недоставими съобщения се изхвърлят

Препоръка за настройка при сървъри с голям обем: Намалете retry_data_expire до 3 дни и timeout_frozen_after до 4 дни, за да предотвратите натрупването на голям брой недоставими съобщения в пощенската опашка, които консумират дисков I/O по време на преминаванията на опашката.
Задълбочена персонализация на SpamAssassin
Освен превключвателя вкл./изкл. в Basic Editor, Advanced Editor ви позволява да модифицирате параметрите за извикване на SpamAssassin в конфигурацията на Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Персонализираните правила на SpamAssassin се поставят в /etc/mail/spamassassin/local.cf. Например, за да добавите увеличение на оценката за съобщения, неуспешни едновременно при SPF и DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
След модифициране на правилата на SpamAssassin рестартирайте демона:
systemctl restart spamassassin
Exim срещу алтернативни MTA: Сравнение на архитектурата
Разбирането на позицията на Exim спрямо другите MTA помага да се обосноват решенията за конфигурация, особено при оценка дали да се мигрира или допълни пощенският стек.



Функция
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








По подразбиране на cPanel/WHM
Да
Не
Не
Не








Модел на конфигурация
Единичен монолитен файл
Модулен (main.cf + master.cf)
Базиран на M4 макроси
Прост, четим синтаксис








Гъвкавост на ACL
Изключително висока
Висока
Умерена
Умерена








Производителност (голям обем)
Добра
Отлична
Умерена
Добра








DKIM подписване (вградено)
Чрез интеграция с cPanel
Чрез `opendkim`
Чрез `opendkim`
Вградено








Крива на обучение
Стръмна
Умерена
Много стръмна
Ниска








Дълбочина на интеграция с cPanel
Вградена, пълна
Не се поддържа
Не се поддържа
Не се поддържа








Документация на общността
Обширна
Обширна
Намаляваща
Нарастваща





За среди, базирани на cPanel — независимо дали е Споделен уеб хостинг или dedicated инфраструктура — Exim е единственият напълно поддържан MTA. Замяната му с Postfix на cPanel сървър е технически възможна, но не се поддържа и лишава от помощта на cPanel при проблеми, свързани с поща.
Укрепване на сигурността: Отвъд стандартната конфигурация
Стандартната конфигурация на Exim за cPanel е функционална, но не е укрепена. Следните мерки надхвърлят това, което Basic Editor предоставя, и представляват практики за сигурност от производствен клас.
Деактивиране на верификацията на открито реле
Потвърдете, че вашият сървър не е открито реле незабавно след всяка промяна в конфигурацията:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Правилно конфигуриран сървър трябва да върне 550 на етапа RCPT TO за всеки домейн на получател, който не е хостван локално.
Прилагане на TLS за изходящи връзки
Добавете следното в Advanced Editor, за да изисквате TLS за изходящи връзки към домейни, рекламиращи STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Съчетаването на това с валиден SSL сертификат на вашия пощенски сървър гарантира, че входящите и изходящите връзки са криптирани и проверими.
Ограничаване на скоростта на ниво ACL
Ограничаването на скоростта на акаунт в WHM работи на приложния слой. За предотвратяване на обемни злоупотреби на SMTP слоя добавете ограничаване на скоростта директно към ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Това ограничава всеки единичен IP адрес до 100 нови връзки в минута — ефективно срещу спам изблици, задвижвани от ботнети, без да засяга легитимните изпращачи с голям обем, поддържащи постоянни връзки.
Реализиране на DMARC прилагане
DMARC не се прилага вградено от Exim в стандартната конфигурация на cPanel — той само генерира доклади. За прилагане на DMARC отхвърляне инсталирайте демона opendmarc и го интегрирайте с Exim чрез milter или локален сокет. Алтернативно, използвайте Perl модула Mail::DMARC чрез персонализиран Exim филтър.
За сървъри, при които доставяемостта на имейли е от бизнес критично значение — като тези, управляващи услуги за имейл хостинг — реализирането на пълно DMARC прилагане (p=reject) на вашите изпращащи домейни е единственото подобрение на доставяемостта с най-голямо въздействие.
Диагностициране на чести проблеми с Exim
Инспекция и управление на пощенската опашка
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Тестване на синтаксиса на конфигурацията на Exim
Преди рестартиране на Exim след ръчно редактиране на конфигурацията, винаги валидирайте синтаксиса:
exim -C /etc/exim.conf -bV
Чист изход потвърждава, че конфигурационният файл се анализира без грешки. Всяка синтактична грешка ще бъде докладвана с препратка към номер на ред.
Проследяване на конкретно съобщение
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Проверка на статуса на DKIM подписване
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Оперативни съображения за различни хостинг среди
Подходящата конфигурация на Exim варира значително в зависимост от ролята и мащаба на сървъра.
Сървърите за споделен хостинг, управляващи десетки до стотици cPanel акаунти, изискват агресивно ограничаване на скоростта, задължително SpamAssassin сканиране и RBL прилагане. Един компрометиран акаунт може да доведе до включване на IP адреса на сървъра в черни списъци в рамките на часове. Ако управлявате VPS с cPanel, реализирането на лимити на скоростта на акаунт и тригери за автоматично спиране на акаунти чрез функцията Notify on Spam на WHM е от съществено значение.
Dedicated пощенските сървъри, обработващи транзакционна поща за една организация, се възползват от по-свободни лимити на скоростта, персонализирано маршрутизиране към множество изходящи IP адреси (ротация на IP за доставяемост) и директно DMARC прилагане. Dedicated сървърът ви дава пълен контрол върху репутацията на IP и конфигурацията на PTR записа — и двата са критични фактори за процентите на попадане в пощенската кутия.
Среди с висока пропускателна способност за AI или конвейери за данни, генериращи автоматизирани имейл известия, могат да се възползват от разделянето на транзакционната поща от масовата поща на ниво MTA, използвайки отделни конфигурации за транспорт и изходящи IP адреси за всеки клас трафик.
Матрица за технически решения: Контролен списък за конфигурация
Използвайте този контролен списък, за да одитирате конфигурацията на Exim спрямо стандарти от производствен клас:
Удостоверяване и подписване

DKIM 2048-битови ключове генерирани и DNS TXT записи публикувани за всички изпращащи домейни
SPF записи публикувани с -all (твърд неуспех) за всички домейни
DMARC политика зададена на минимум p=quarantine с конфигуриран адрес за докладване
TLS сертификат валиден и покриващ основното hostname на сървъра (mail.yourdomain.com)

Контроли срещу злоупотреби

Активирани поне два RBL (препоръчва се zen.spamhaus.org + един вторичен)
SpamAssassin активиран с праг на оценката 5.0 и автоматично изтриване при 10.0
Конфигурирани лимити на скоростта на имейли на акаунт (300–500/час за споделен хостинг)
Ограничаване на скоростта на ниво връзка реализирано в acl_smtp_connect

• Greylisting активиран за непознати податели

Маршрутизиране и доставка

• Всички домейни верифицирани като Local, Remote или Backup — без домейни в неясно състояние
• Резервният MX (ако е конфигуриран) прилага идентични ACL правила като основния MX
• Тестът за открито реле преминат (не е възможно неоторизирано реле)

Мониторинг и регистриране

• Регистрирането на SMTP транзакции активирано
• Ротацията на журналите конфигурирана с минимум 30-дневно съхранение
• Конфигурирани известия при дълбочина на опашката, надвишаваща прага (напр. 500+ съобщения)
• Редовен преглед на /var/log/exim_rejectlog за модели на фалшиви положителни резултати

Поддръжка

• Автоматичните актуализации на cPanel/WHM активирани за версии за сигурност
• Версията на Exim проверявана спрямо бележките за версията на upstream тримесечно
• Актуализациите на правилата на SpamAssassin автоматизирани чрез cron задача sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

ЧЗВ

Каква е разликата между Basic Editor и Advanced Editor в Мениджъра за конфигурация на Exim?

Basic Editor предоставя достъп чрез превключватели до най-често необходимите настройки на Exim — спам филтри, лимити на скоростта, DKIM, SPF и маршрутизиране — без да излага необработен синтаксис на конфигурацията. Advanced Editor дава директен достъп до шаблона за конфигурация на Exim, позволявайки вмъкването на персонализирани ACL, рутери, транспорти и директиви, за които няма еквивалент в Basic Editor. И двата записват в един и същ основен конфигурационен файл.

Ще оцелеят ли промените в Мениджъра за конфигурация на Exim на WHM след актуализация на cPanel?

Промените, направени чрез Basic Editor, се съхраняват в базата данни за конфигурация на WHM и се прилагат повторно при регенерирането на шаблона на Exim по време на актуализации. Промените, направени в Advanced Editor, се запазват само ако са поставени в определените секции за персонализирана замяна на шаблона. Директивите, вмъкнати извън тези секции, могат да бъдат презаписани при надграждания на версията на cPanel.

Как да спра компрометиран cPanel акаунт да изпраща спам чрез Exim?

Незабавно спрете акаунта в WHM, след което изчистете поставените на опашка съобщения:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

След спирането одитирайте журнала за изпратена поща на акаунта, сменете всички идентификационни данни и сканирайте за уеб шелове или задни вратички. Реализирайте лимити на скоростта на акаунт и прага Notify on Spam на WHM, за да откривате бъдещи инциденти по-рано.

Защо легитимни имейли се отхвърлят от моя Exim сървър след активиране на RBL?

Фалшивите положителни резултати от RBL се срещат най-често при поща от доставчици на голяма споделена инфраструктура (AWS, Google, Microsoft), чиито IP диапазони могат да се появят в някои списъци поради злоупотреби от страна на други наематели. Проверете конкретния RBL, причинил отхвърлянето, с помощта на dig <reversed-ip>.zen.spamhaus.org и добавете IP адреса или CIDR диапазона в белия списък host_list на Exim, ако подателят е легитимен. Помислете за използване на warn вместо deny за вторични RBL, за да регистрирате попаденията без отхвърляне.

Поддържа ли Мениджърът за конфигурация на Exim вградено прилагане на DMARC?

Не. Мениджърът за конфигурация на Exim на cPanel обработва SPF проверката и DKIM подписването вградено, но прилагането на DMARC (действие при политики p=reject или p=quarantine, публикувани от изпращащи домейни) изисква допълнителен софтуер като opendmarc, интегриран като milter, или персонализиран Exim филтър, използващ Perl модула Mail::DMARC. DMARC докладването (получаване на обобщени доклади) е отделна функция, обработвана от специализиран процесор за DMARC доклади.