Exim Configuration Manager in cPanel/WHM: Ein vollständiger technischer Leitfaden

Exim ist ein Mail Transfer Agent (MTA), der an der University of Cambridge entwickelt wurde und auf Linux-basierten Webhosting-Servern als Standard-E-Mail-Backbone für cPanel/WHM-Umgebungen weit verbreitet ist. Der Exim Configuration Manager in WHM ist eine grafische Oberfläche, die Exims Konfigurationsdirektiven zugänglich macht — von einfachen Spam-Filter-Schaltern bis hin zur direkten ACL-Bearbeitung — ohne dass eine direkte Manipulation von /etc/exim.conf erforderlich ist.

Für Server-Administratoren ist dieses Tool die wichtigste Steuerungsoberfläche für E-Mail-Zustellbarkeit, Sicherheitslage und Missbrauchsprävention. Eine Fehlkonfiguration kann zu Open-Relay-Exposition, Blacklisting oder vollständigem E-Mail-Zustellungsausfall führen. Eine korrekte Konfiguration bedeutet einen gehärteten, hochdurchsatzfähigen Mail-Stack, der SPF-, DKIM- und DMARC-Validierung bei jeder ausgehenden Nachricht besteht.

Was ist Exim und warum ist es auf cPanel-Servern wichtig

Exim verarbeitet sowohl eingehenden als auch ausgehenden SMTP-Verkehr und wendet dabei eine Pipeline aus Access Control Lists (ACLs), Routing-Regeln, Transport-Treibern und Filter-Skripten in jeder Phase der Nachrichtenverarbeitung an. Auf einem typischen cPanel-Server arbeitet Exim zusammen mit Dovecot (IMAP/POP3) und SpamAssassin und bildet einen dreischichtigen Mail-Stack, bei dem Exim der Ein- und Ausgangspunkt für alle SMTP-Sitzungen ist.

Im Gegensatz zu Postfix oder Sendmail ist Exims Konfiguration eine einzige monolithische Datei (/etc/exim.conf auf cPanel-Systemen, verlinkt von /etc/exim.conf.local für benutzerdefinierte Überschreibungen), die Router, Transporte, ACLs und Umschreibungsregeln in einer bestimmten sequenziellen Reihenfolge definiert. cPanels WHM generiert diese Datei dynamisch aus einem Template-System — weshalb der Exim Configuration Manager existiert: damit WHM die Konfiguration sicher neu generieren kann, ohne Ihre Anpassungen zu überschreiben.

Wichtige architektonische Rollen, die Exim auf einem cPanel-Server übernimmt:

• Akzeptiert eingehende SMTP-Verbindungen auf den Ports 25, 465 (SMTPS) und 587 (Submission)
• Wendet Pre-DATA- und Post-DATA-ACLs für Spam, Authentifizierung und Richtliniendurchsetzung an
• Leitet E-Mails zur lokalen Maildir-Zustellung über Dovecot LDA weiter oder leitet ausgehende E-Mails an externe MTAs
• Führt SpamAssassin-Scans über den spamd-Daemon aus
• Signiert ausgehende Nachrichten mit DKIM unter Verwendung domänenspezifischer privater Schlüssel, die in /etc/domainkeys/ gespeichert sind

Zugriff auf den Exim Configuration Manager in WHM

Der Exim Configuration Manager ist ausschließlich ein WHM (Web Host Manager)-Tool — er ist nicht über einzelne cPanel-Konten zugänglich. Sie benötigen Root- oder Reseller-Zugang zu WHM.

Navigationspfad:

1. Melden Sie sich bei WHM unter https://your-server-ip:2087 an
2. Geben Sie in der linken Suchleiste Exim ein
3. Wählen Sie Exim Configuration Manager unter dem Abschnitt Service Configuration

Alternativ navigieren Sie direkt zu:

WHM > Home > Service Configuration > Exim Configuration Manager

Nach dem Laden präsentiert die Oberfläche zwei Tabs: Basic Editor und Advanced Editor. Diese sind keine unabhängigen Tools — Änderungen im Basic Editor schreiben strukturierte Direktiven in dasselbe zugrunde liegende Template, das der Advanced Editor in Rohform zugänglich macht.

Wichtiger Betriebshinweis: Jedes Mal, wenn Sie in einem der Editoren auf Save klicken, ruft WHM exim_tidydb auf und startet den Exim-Dienst neu. Planen Sie auf einem stark ausgelasteten Server Konfigurationsänderungen in Zeitfenstern mit geringem Datenverkehr, um das Unterbrechen laufender SMTP-Verbindungen zu vermeiden.

Basic Editor: Funktionsweise im Detail

Der Basic Editor organisiert Exims konfigurierbare Optionen in logische Abschnitte. Jeder Schalter oder jedes Eingabefeld entspricht einer bestimmten Direktive oder einem Makro in der generierten exim.conf. Es ist wichtig zu verstehen, was jede Einstellung tatsächlich auf Protokollebene bewirkt — nicht nur, was die Bezeichnung aussagt — um fundierte Entscheidungen treffen zu können.

Mail-Server-Sicherheit und Anti-Spam-Funktionen

SpamAssassin-Integration

Wenn aktiviert, leitet Exim jede eingehende Nachricht über spamd mithilfe des spamc-Clients weiter. SpamAssassin vergibt einen numerischen Score basierend auf Header-Analyse, Bayesianischer Filterung und Regelabgleich. Nachrichten, die den konfigurierten Schwellenwert überschreiten (Standard: 5.0), erhalten einen X-Spam-Status: Yes-Header. WHMs Implementierung unterstützt auch das automatische Löschen von Nachrichten, die einen höheren Schwellenwert überschreiten (Standard: 10.0).

Ein häufig übersehenes Detail: SpamAssassin-Scans erhöhen die Latenz bei jeder eingehenden SMTP-Transaktion. Auf Servern mit mehr als 50 gleichzeitigen Verbindungen stellen Sie sicher, dass spamd mit ausreichend Child-Prozessen (--max-children) läuft, um einen Warteschlangenstau zu verhindern.

RBLs (Real-time Blackhole Lists)

RBLs führen für jede verbindende IP-Adresse eine DNS-Abfrage gegen eine Blacklist-Datenbank durch. Wenn die IP gelistet ist, lehnt Exim die Verbindung in der SMTP-RCPT TO-Phase mit einem 550-Fehler ab — bevor Nachrichtendaten übertragen werden, was Bandbreite und Verarbeitungsaufwand spart.

cPanels Standard-RBL-Liste umfasst:

• zen.spamhaus.org — kombinierte Liste mit SBL, XBL und PBL
• bl.spamcop.net — SpamCops meldungsbasierte Liste
• b.barracudacentral.org — Barracuda Reputation Block List

Fallstrick: Aggressiver RBL-Einsatz kann zu falsch-positiven Ergebnissen führen, insbesondere bei E-Mails, die von großer gemeinsam genutzter Infrastruktur stammen (AWS SES, Google Workspace, Office 365 Ausgangs-IPs). Testen Sie RBL-Ergänzungen immer gegen Ihre legitimen E-Mail-Quellen, bevor Sie sie in der Produktion aktivieren.

Absenderverifizierung (Callout-Verifizierung)

Diese Funktion weist Exim an, eine temporäre SMTP-Verbindung zum Mail-Server des Absenders herzustellen und ein RCPT TO für die angegebene Absenderadresse auszugeben. Wenn der Remote-Server die Adresse ablehnt, lehnt Exim die eingehende Nachricht ab.

Bekannter Sonderfall: Die Absenderverifizierung kann zu Zustellungsfehlern führen, wenn die sendende Domain einen Null-Absender (MAIL FROM:<>) für Bounce-Nachrichten verwendet oder wenn der Remote-MTA Anti-Callout-Maßnahmen implementiert (gibt 250 auf alle RCPT-Anfragen zurück). Dies ist eine häufige Quelle für falsche Ablehnungen bei automatisierten Benachrichtigungssystemen und Mailinglisten-Software.

Greylisting

Greylisting lehnt E-Mails von unbekannten Absender/IP/Empfänger-Triplets vorübergehend mit einer 451 Try again later-Antwort ab. Legitime MTAs versuchen es nach der konfigurierten Verzögerung erneut (typischerweise 5–10 Minuten), woraufhin das Triplet auf die Whitelist gesetzt wird. Spam-Engines versuchen es selten erneut, sodass die Ablehnung in der Praxis dauerhaft ist.

Implementierungsdetail: cPanel implementiert Greylisting über den greylistd-Daemon, der eine SQLite-Datenbank mit Triplets unter /var/cpanel/greylist/ pflegt. Die Datenbank wächst mit der Zeit und sollte auf Servern mit hohem Volumen auf ihre Größe überwacht werden.

Mail-Server-Leistung und Ratenbegrenzung

Maximale Anzahl von Verbindungen

Dies entspricht Exims smtp_accept_max-Direktive. Ein zu niedriger Wert führt dazu, dass legitime Absender 421 Too many connections-Fehler erhalten. Ein vernünftiger Ausgangspunkt für einen Shared-Hosting-Server sind 200–500, abhängig vom verfügbaren RAM (jeder Exim-Prozess verbraucht ungefähr 8–15 MB).

Maximale Anzahl von E-Mails pro Stunde

Dies wird pro cPanel-Konto über einen Zähler in /var/cpanel/ratelimit/ durchgesetzt. Wenn ein Konto das Limit überschreitet, erhalten nachfolgende Sendeversuche eine 550 Message rejected-Antwort. Dies ist Ihre primäre Verteidigung gegen kompromittierte cPanel-Konten, die für Spam-Kampagnen verwendet werden.

Empfohlene Basislimits nach Servertyp:

Wenn Sie eine VPS Hosting-Umgebung mit mehreren Client-Domains betreiben, ist die domänenspezifische Ratenbegrenzung der granularste und effektivste Ansatz zur Missbrauchseindämmung.

E-Mail-Authentifizierung: DKIM und SPF

DKIM (DomainKeys Identified Mail)

Wenn in WHM aktiviert, signiert Exim jede ausgehende Nachricht mit einem 2048-Bit-RSA-Privatschlüssel, der unter /etc/domainkeys/<domain>/ gespeichert ist. Der entsprechende öffentliche Schlüssel wird als DNS-TXT-Eintrag unter default._domainkey.<domain> veröffentlicht. Empfangende MTAs überprüfen die Signatur anhand des öffentlichen Schlüssels und bestätigen, dass die Nachricht während der Übertragung nicht verändert wurde und von einem autorisierten Server stammt.

Wichtiger Konfigurationspunkt: cPanel generiert DKIM-Schlüssel pro Domain automatisch, wenn eine Domain hinzugefügt wird. Wenn Sie jedoch Domains von einem anderen Server migrieren, werden die privaten Schlüssel nicht übertragen — Sie müssen Schlüssel in WHM unter E-Mail > DomainKeys neu generieren und DNS-Einträge entsprechend aktualisieren.

SPF (Sender Policy Framework)

SPF ist ein DNS-basierter Mechanismus, der festlegt, welche IP-Adressen berechtigt sind, E-Mails für eine Domain zu senden. Exim prüft den SPF-Eintrag der Absenderdomain während der SMTP-MAIL FROM-Phase. Eine fehlgeschlagene SPF-Prüfung lehnt E-Mails in cPanels Standardkonfiguration nicht automatisch ab — sie fügt einen Header hinzu. Sie können dies im Advanced Editor auf eine harte Ablehnung eskalieren.

DMARC-Ausrichtung erfordert, dass sowohl SPF als auch DKIM korrekt konfiguriert sind. SPF allein ist für die DMARC-Konformität unzureichend, da SPF den Envelope-Absender (MAIL FROM) validiert, nicht den für Empfänger sichtbaren From:-Header.

E-Mail-Routing-Konfiguration

Backup Mail Exchanger (MX-Backup)

Die Konfiguration eines Servers als Backup-MX (sekundärer MX mit einer höheren Prioritätsnummer, z. B. MX 20) bewirkt, dass Remote-Absender E-Mails an Ihren Server in die Warteschlange stellen, wenn der primäre MX nicht erreichbar ist. Ihr Server hält die E-Mails dann zurück und stellt sie zu, wenn der primäre Server wieder verfügbar ist.

Betrieblicher Fallstrick: Ein Backup-MX, der ohne ordnungsgemäße Spam-Filterung konfiguriert ist, wird zu einem Spam-Relay-Bypass-Vektor. Spammer zielen absichtlich auf sekundäre MX-Einträge ab, da diese oft weniger geschützt sind als primäre Server. Wenden Sie immer identische ACL- und RBL-Regeln auf Backup-MX-Konfigurationen an.

Remote- und lokale E-Mail-Verarbeitung

Diese Einstellung steuert das Router-Verhalten von Exim für jede Domain. Optionen umfassen:

• Lokal — Exim stellt E-Mails direkt im lokalen Maildir zu
• Remote — Exim leitet alle E-Mails für die Domain an einen externen MX weiter
• Backup — Exim stellt E-Mails für eine Domain in die Warteschlange, wenn der primäre MX ausgefallen ist

Für Domains, die externe E-Mail-Anbieter verwenden (Google Workspace, Microsoft 365), setzen Sie das Routing auf Remote und stellen Sie sicher, dass die MX-Einträge der Domain auf den externen Anbieter zeigen. Wenn das Routing für extern gehostete Domains auf Lokal gesetzt bleibt, generiert Exim Bounce-Nachrichten für alle eingehenden E-Mails an diese Domains.

Protokollierungskonfiguration

Exims Protokollierung wird durch die log_selector-Direktive gesteuert. Der Basic Editor bietet die am häufigsten benötigten Optionen:

• SMTP-Transaktionsprotokollierung — zeichnet MAIL FROM-, RCPT TO– und DATA-Befehle mit Zeitstempeln und IP-Adressen auf
• Protokollierung empfangener E-Mails — schreibt einen Protokolleintrag für jede akzeptierte Nachricht, einschließlich Nachrichtengröße und Warteschlangen-ID

Exim-Protokolle werden in /var/log/exim_mainlog (Haupttransaktionsprotokoll) und /var/log/exim_rejectlog (Protokoll abgelehnter Nachrichten) geschrieben. Auf Servern mit hohem Volumen rotieren diese Dateien täglich und können mehrere Gigabyte erreichen. Implementieren Sie die Protokollrotation über logrotate mit angemessenen Aufbewahrungsrichtlinien.

Forensischer Tipp: Bei der Untersuchung einer Spam-Beschwerde oder eines Zustellungsfehlers ist der effizienteste Arbeitsablauf:

grep "message-id@example.com" /var/log/exim_mainlog

Dies ruft die vollständige Zustellungskette für eine bestimmte Nachrichten-ID ab, einschließlich aller Routing-Entscheidungen und Remote-Server-Antworten.

Advanced Editor: Direkte Konfigurationskontrolle

Der Advanced Editor präsentiert das rohe Exim-Konfigurationstemplate und ermöglicht Administratoren das Einfügen von Direktiven, für die es im Basic Editor keinen entsprechenden Schalter gibt. Hier implementieren erfahrene Systemadministratoren Konfigurationen, die über cPanels voreingestellte Optionen hinausgehen.

Warnung: Änderungen im Advanced Editor bleiben bei der WHM-Template-Neugenerierung nur erhalten, wenn sie in den richtigen Override-Abschnitten platziert werden. Direktiven, die außerhalb der vorgesehenen benutzerdefinierten Blöcke platziert werden, können überschrieben werden, wenn WHM die Exim-Konfiguration aktualisiert (z. B. bei cPanel-Versions-Upgrades).

Benutzerdefinierte ACL-Implementierung (Access Control List)

ACLs sind Exims leistungsfähigster Filtermechanismus. Sie werden an bestimmten Punkten der SMTP-Transaktion ausgeführt und können Nachrichten basierend auf nahezu jedem Nachrichtenattribut akzeptieren, ablehnen, verzögern oder verwerfen.

ACL-Ausführungspunkte in Exim:

Beispiel: Blockierung einer bestimmten sendenden Domain im Advanced Editor

# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted

Beispiel: Durchsetzung von DMARC-ähnlicher Ablehnung bei SPF-Hard-Fails

# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address

Benutzerdefinierte Mail-Routing-Regeln

Erweitertes Routing in Exim verwendet Router — geordnete Verarbeitungsstufen, die bestimmen, wie eine Nachricht behandelt wird. Im Advanced Editor können Sie benutzerdefinierte Router hinzufügen, um Folgendes zu implementieren:

• Lastverteilung über mehrere ausgehende IPs — nützlich für transaktionale E-Mail-Server, die mehrere sendende Domains verwalten
• Pro-Domain-Relay zu Drittanbieter-SMTP-Diensten — E-Mails für @domain.com über SendGrid oder Mailgun weiterleiten, während alle anderen Domains lokal verarbeitet werden
• Bedingtes Routing basierend auf Nachrichten-Headern — Nachrichten mit bestimmten X-Priority-Headern über einen dedizierten Hochprioritäts-Transport weiterleiten

Beispiel: Eine bestimmte Domain über ein externes SMTP-Relay weiterleiten

# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net

SMTP-Parameter-Optimierung

Der Advanced Editor ermöglicht die Änderung von SMTP-Timing- und Wiederholungsparametern, die das Zustellungsverhalten und das Warteschlangenverhalten erheblich beeinflussen:

• smtp_connect_backoff — Verzögerung zwischen Wiederholungsversuchen bei fehlgeschlagenen ausgehenden Verbindungen
• retry_data_expire — wie lange Exim Wiederholungsdatensätze aufbewahrt (Standard: 7 Tage)
• timeout_frozen_after — Dauer, bevor eine eingefrorene Nachricht automatisch gelöscht wird
• ignore_bounce_errors_after — Zeitpunkt, nach dem Bounce-Nachrichten für unzustellbare E-Mails verworfen werden

Optimierungsempfehlung für Server mit hohem Volumen: Reduzieren Sie retry_data_expire auf 3 Tage und timeout_frozen_after auf 4 Tage, um zu verhindern, dass sich in der Mail-Warteschlange große Mengen unzustellbarer Nachrichten ansammeln, die bei Warteschlangen-Runner-Durchläufen Festplatten-I/O verbrauchen.

SpamAssassin-Tiefenkonfiguration

Über den Ein/Aus-Schalter des Basic Editors hinaus ermöglicht der Advanced Editor die Änderung der SpamAssassin-Aufrufparameter innerhalb der Exim-Konfiguration:

# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc

Benutzerdefinierte SpamAssassin-Regeln werden in /etc/mail/spamassassin/local.cf platziert. Um beispielsweise einen Score-Boost für Nachrichten hinzuzufügen, die sowohl SPF als auch DKIM nicht bestehen:

# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0

Nach der Änderung von SpamAssassin-Regeln starten Sie den Daemon neu:

systemctl restart spamassassin

Exim vs. alternative MTAs: Architekturvergleich

Das Verständnis, wo Exim im Vergleich zu anderen MTAs steht, hilft bei der Begründung von Konfigurationsentscheidungen, insbesondere bei der Bewertung, ob ein Wechsel oder eine Ergänzung des Mail-Stacks sinnvoll ist.

Für cPanel-basierte Umgebungen — ob Shared Web Hosting oder dedizierte Infrastruktur — ist Exim der einzige vollständig unterstützte MTA. Die Ersetzung durch Postfix auf einem cPanel-Server ist technisch möglich, wird jedoch nicht unterstützt und schließt cPanels Hilfe bei E-Mail-bezogenen Problemen aus.

Sicherheitshärtung: Über die Standardkonfiguration hinaus

Die Standard-cPanel-Exim-Konfiguration ist funktional, aber nicht gehärtet. Die folgenden Maßnahmen gehen über das hinaus, was der Basic Editor bietet, und stellen produktionsreife Sicherheitspraktiken dar.

Open-Relay-Verifizierung deaktivieren

Bestätigen Sie unmittelbar nach jeder Konfigurationsänderung, dass Ihr Server kein Open Relay ist:

exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF

Ein korrekt konfigurierter Server sollte in der RCPT TO-Phase 550 für jede Empfängerdomain zurückgeben, die nicht lokal gehostet wird.

TLS für ausgehende Verbindungen erzwingen

Fügen Sie Folgendes zum Advanced Editor hinzu, um TLS für ausgehende Verbindungen zu Domains zu verlangen, die STARTTLS ankündigen:

hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt

Die Kombination mit einem gültigen SSL-Zertifikat auf Ihrem Mail-Server stellt sicher, dass sowohl eingehende als auch ausgehende Verbindungen verschlüsselt und verifizierbar sind.

Ratenbegrenzung auf ACL-Ebene

WHMs Pro-Konto-Ratenbegrenzung arbeitet auf der Anwendungsschicht. Für die volumetrische Missbrauchsprävention auf SMTP-Ebene fügen Sie die Ratenbegrenzung direkt zur acl_smtp_connect-ACL hinzu:

defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.

Dies begrenzt jede einzelne IP-Adresse auf 100 neue Verbindungen pro Minute — effektiv gegen Botnet-gesteuerte Spam-Bursts, ohne legitime Hochvolumen-Absender zu beeinträchtigen, die persistente Verbindungen aufrechterhalten.

DMARC-Durchsetzung implementieren

DMARC wird von Exim in cPanels Standardkonfiguration nicht nativ durchgesetzt — es werden nur Berichte generiert. Um die DMARC-Ablehnung durchzusetzen, installieren Sie den opendmarc-Daemon und integrieren Sie ihn mit Exim über einen Milter oder einen lokalen Socket. Alternativ verwenden Sie das Mail::DMARC-Perl-Modul über einen benutzerdefinierten Exim-Filter.

Für Server, bei denen die E-Mail-Zustellbarkeit geschäftskritisch ist — wie solche, die E-Mail-Hosting-Dienste betreiben — ist die Implementierung der vollständigen DMARC-Durchsetzung (p=reject) auf Ihren sendenden Domains die einzelne wirkungsvollste verfügbare Verbesserung der Zustellbarkeit.

Diagnose häufiger Exim-Probleme

Mail-Warteschlangen-Inspektion und -Verwaltung

# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm

Testen der Exim-Konfigurationssyntax

Bevor Sie Exim nach manuellen Konfigurationsänderungen neu starten, validieren Sie immer die Syntax:

exim -C /etc/exim.conf -bV

Eine saubere Ausgabe bestätigt, dass die Konfigurationsdatei fehlerfrei geparst wird. Jeder Syntaxfehler wird mit einer Zeilennummernreferenz gemeldet.

Verfolgung einer bestimmten Nachricht

# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>

Überprüfung des DKIM-Signierungsstatus

# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com

Betriebliche Überlegungen für verschiedene Hosting-Umgebungen

Die geeignete Exim-Konfiguration variiert erheblich je nach Rolle und Größe des Servers.

Shared-Hosting-Server, auf denen Dutzende bis Hunderte von cPanel-Konten laufen, erfordern aggressive Ratenbegrenzung, obligatorisches SpamAssassin-Scanning und RBL-Durchsetzung. Ein einziges kompromittiertes Konto kann dazu führen, dass die IP des Servers innerhalb von Stunden auf eine Blacklist gesetzt wird. Wenn Sie einen VPS mit cPanel verwalten, ist die Implementierung von Pro-Konto-Ratenlimits und automatisierten Kontosperrungsauslösern über WHMs Notify on Spam-Funktion unerlässlich.

Dedizierte Mail-Server, die transaktionale E-Mails für eine einzelne Organisation verarbeiten, profitieren von entspannten Ratenlimits, benutzerdefiniertem Routing zu mehreren ausgehenden IPs (IP-Rotation für Zustellbarkeit) und direkter DMARC-Durchsetzung. Ein Dedizierter Server gibt Ihnen die vollständige Kontrolle über die IP-Reputation und PTR-Eintragskonfiguration — beides kritische Faktoren für die Posteingangsplatzierungsraten.

Hochdurchsatz-KI- oder Datenpipeline-Umgebungen, die automatisierte E-Mail-Benachrichtigungen generieren, können davon profitieren, transaktionale E-Mails auf MTA-Ebene von Massen-E-Mails zu trennen, indem separate Transportkonfigurationen und ausgehende IP-Adressen für jede Verkehrsklasse verwendet werden.

Technische Entscheidungsmatrix: Konfigurationscheckliste

Verwenden Sie diese Checkliste, um Ihre Exim-Konfiguration gegen produktionsreife Standards zu prüfen:

Authentifizierung und Signierung

• DKIM-2048-Bit-Schlüssel generiert und DNS-TXT-Einträge für alle sendenden Domains veröffentlicht
• SPF-Einträge mit -all (Hard Fail) für alle Domains veröffentlicht
• DMARC-Richtlinie auf mindestens p=quarantine mit konfigurierter Berichtsadresse gesetzt
• TLS-Zertifikat gültig und den primären Hostnamen des Servers abdeckend (mail.yourdomain.com)

Anti-Missbrauchskontrollen

• Mindestens zwei RBLs aktiviert (empfohlen: zen.spamhaus.org + eine sekundäre)
• SpamAssassin aktiviert mit einem Score-Schwellenwert von 5.0 und automatischem Löschen bei 10.0
• Pro-Konto-E-Mail-Ratenlimits konfiguriert (300–500/Stunde für Shared Hosting)
• Verbindungsebenen-Ratenbegrenzung in acl_smtp_connect implementiert
• Greylisting für unbekannte Absender aktiviert

Routing und Zustellung

• Alle Domains als Lokal, Remote oder Backup verifiziert — keine Domains in einem mehrdeutigen Zustand
• Backup-MX (falls konfiguriert) wendet identische ACL-Regeln wie primärer MX an
• Open-Relay-Test bestanden (kein unbefugtes Relay möglich)

Überwachung und Protokollierung

• SMTP-Transaktionsprotokollierung aktiviert
• Protokollrotation mit mindestens 30-tägiger Aufbewahrung konfiguriert
• Alarmierung für Warteschlangentiefe konfiguriert, die einen Schwellenwert überschreitet (z. B. 500+ Nachrichten)
• Regelmäßige Überprüfung von /var/log/exim_rejectlog auf falsch-positive Muster

Wartung

• cPanel/WHM-Auto-Updates für Sicherheitsversionen aktiviert
• Exim-Version vierteljährlich gegen upstream Release Notes geprüft
• SpamAssassin-Regelaktualisierungen über sa-update-Cron-Job automatisiert

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

FAQ

Was ist der Unterschied zwischen dem Basic Editor und dem Advanced Editor im Exim Configuration Manager?

Der Basic Editor bietet schalterbasierenden Zugriff auf die am häufigsten benötigten Exim-Einstellungen — Spam-Filter, Ratenlimits, DKIM, SPF und Routing — ohne rohe Konfigurationssyntax offenzulegen. Der Advanced Editor bietet direkten Zugriff auf das Exim-Konfigurationstemplate und ermöglicht das Einfügen benutzerdefinierter ACLs, Router, Transporte und Direktiven, die im Basic Editor keine Entsprechung haben. Beide schreiben in dieselbe zugrunde liegende Konfigurationsdatei.

Überleben Änderungen im Exim Configuration Manager von WHM ein cPanel-Update?

Änderungen, die über den Basic Editor vorgenommen werden, werden in WHMs Konfigurationsdatenbank gespeichert und bei der Neugenerierung des Exim-Templates während Updates erneut angewendet. Änderungen im Advanced Editor bleiben nur erhalten, wenn sie in den vorgesehenen benutzerdefinierten Override-Abschnitten des Templates platziert werden. Direktiven, die außerhalb dieser Abschnitte eingefügt werden, können bei cPanel-Versions-Upgrades überschrieben werden.

Wie stoppe ich ein kompromittiertes cPanel-Konto beim Versenden von Spam über Exim?

Sperren Sie das Konto sofort in WHM und bereinigen Sie dann seine Nachrichten in der Warteschlange:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Prüfen Sie nach der Sperrung das gesendete Mail-Protokoll des Kontos, rotieren Sie alle Anmeldedaten und scannen Sie nach Web-Shells oder Backdoors. Implementieren Sie Pro-Konto-Ratenbegrenzung und WHMs Notify on Spam-Schwellenwert, um zukünftige Vorfälle früher zu erkennen.

Warum werden legitime E-Mails von meinem Exim-Server nach der Aktivierung von RBLs abgelehnt?

RBL-Falschpositive treten am häufigsten bei E-Mails von großen Anbietern gemeinsam genutzter Infrastruktur (AWS, Google, Microsoft) auf, deren IP-Bereiche aufgrund des Missbrauchs anderer Mieter auf einigen Listen erscheinen können. Überprüfen Sie die spezifische RBL, die die Ablehnung verursacht hat, mit dig <reversed-ip>.zen.spamhaus.org und setzen Sie die IP oder den CIDR-Bereich in Exims host_list auf die Whitelist, wenn der Absender legitim ist. Erwägen Sie die Verwendung von warn anstelle von deny für sekundäre RBLs, um Treffer zu protokollieren, ohne abzulehnen.

Unterstützt der Exim Configuration Manager DMARC-Durchsetzung nativ?

Nein. cPanels Exim Configuration Manager verarbeitet SPF-Prüfungen und DKIM-Signierung nativ, aber die DMARC-Durchsetzung (Handeln auf der Grundlage von p=reject– oder p=quarantine-Richtlinien, die von sendenden Domains veröffentlicht werden) erfordert zusätzliche Software wie opendmarc, integriert als Milter, oder einen benutzerdefinierten Exim-Filter unter Verwendung des Mail::DMARC-Perl-Moduls. DMARC-Berichterstattung (Empfang von Aggregatberichten) ist eine separate Funktion, die von einem dedizierten DMARC-Berichtsprozessor verarbeitet wird.