Administrador de Configuración de Exim en cPanel/WHM: Una Guía Técnica Completa

Exim es un Agente de Transferencia de Correo (MTA) desarrollado en la Universidad de Cambridge, ampliamente implementado en servidores de alojamiento web basados en Linux como la columna vertebral de correo electrónico predeterminada para entornos cPanel/WHM. El Administrador de Configuración de Exim en WHM es una interfaz gráfica que expone las directivas de configuración de Exim — desde controles básicos de filtrado de spam hasta edición de ACL sin procesar — sin requerir la manipulación directa de /etc/exim.conf.

Para los administradores de servidores, esta herramienta es la superficie de control más importante para la entregabilidad del correo electrónico, la postura de seguridad y la prevención de abusos. Una configuración incorrecta puede resultar en exposición de relay abierto, inclusión en listas negras o fallo completo en la entrega de correo. Configurarla correctamente significa una pila de correo robusta y de alto rendimiento que supera la validación SPF, DKIM y DMARC en cada mensaje saliente.

Qué es Exim y por qué es importante en los servidores cPanel

Exim procesa el tráfico SMTP entrante y saliente, aplicando una canalización de Listas de Control de Acceso (ACLs), reglas de enrutamiento, controladores de transporte y scripts de filtrado en cada etapa del manejo de mensajes. En un servidor cPanel típico, Exim opera junto con Dovecot (IMAP/POP3) y SpamAssassin, formando una pila de correo de tres capas donde Exim es el punto de entrada y salida para todas las sesiones SMTP.

A diferencia de Postfix o Sendmail, la configuración de Exim es un único archivo monolítico (/etc/exim.conf en sistemas cPanel, enlazado simbólicamente desde /etc/exim.conf.local para anulaciones personalizadas) que define enrutadores, transportes, ACLs y reglas de reescritura en un orden secuencial específico. WHM de cPanel genera este archivo dinámicamente desde un sistema de plantillas — que es precisamente la razón por la que existe el Administrador de Configuración de Exim: para permitir que WHM regenere la configuración de forma segura sin sobrescribir sus personalizaciones.

Roles arquitectónicos clave que Exim desempeña en un servidor cPanel:

• Acepta conexiones SMTP entrantes en los puertos 25, 465 (SMTPS) y 587 (envío)
• Aplica ACLs pre-DATA y post-DATA para spam, autenticación y aplicación de políticas
• Enruta el correo a la entrega local de Maildir a través de Dovecot LDA o retransmite el correo saliente a MTAs remotos
• Ejecuta el análisis de SpamAssassin a través del daemon spamd
• Firma los mensajes salientes con DKIM usando claves privadas por dominio almacenadas en /etc/domainkeys/

Acceso al Administrador de Configuración de Exim en WHM

El Administrador de Configuración de Exim es exclusivamente una herramienta de WHM (Web Host Manager) — no es accesible desde cuentas cPanel individuales. Necesita acceso WHM de nivel root o revendedor.

Ruta de navegación:

1. Inicie sesión en WHM en https://your-server-ip:2087
2. En la barra de búsqueda izquierda, escriba Exim
3. Seleccione Exim Configuration Manager bajo la sección Service Configuration

Alternativamente, navegue directamente a:

WHM > Home > Service Configuration > Exim Configuration Manager

Una vez cargada, la interfaz presenta dos pestañas: Basic Editor y Advanced Editor. Estas no son herramientas independientes — los cambios en el Basic Editor escriben directivas estructuradas en la misma plantilla subyacente que el Advanced Editor expone en forma sin procesar.

Nota operativa crítica: Cada vez que hace clic en Save en cualquiera de los editores, WHM llama a exim_tidydb y reinicia el servicio Exim. En un servidor ocupado, planifique los cambios de configuración durante ventanas de bajo tráfico para evitar interrumpir las conexiones SMTP en curso.

Basic Editor: Desglose función por función

El Basic Editor organiza las opciones configurables de Exim en secciones lógicas. Cada control o campo de entrada se corresponde con una directiva o macro específica en el exim.conf generado. Comprender qué hace realmente cada configuración a nivel de protocolo — no solo lo que dice la etiqueta — es esencial para tomar decisiones informadas.

Seguridad del servidor de correo y funciones anti-spam

Integración con SpamAssassin

Cuando está habilitado, Exim canaliza cada mensaje entrante a través de spamd usando el cliente spamc. SpamAssassin asigna una puntuación numérica basada en el análisis de encabezados, filtrado bayesiano y coincidencia de reglas. Los mensajes que superan el umbral configurado (predeterminado: 5.0) reciben un encabezado X-Spam-Status: Yes. La implementación de WHM también admite la eliminación automática de mensajes por encima de un umbral más alto (predeterminado: 10.0).

Un detalle que se pasa por alto con frecuencia: el análisis de SpamAssassin añade latencia a cada transacción SMTP entrante. En servidores que manejan más de 50 conexiones simultáneas, asegúrese de que spamd esté ejecutándose con suficientes procesos secundarios (--max-children) para evitar la acumulación de colas.

RBLs (Listas de Agujeros Negros en Tiempo Real)

Las RBLs realizan una búsqueda DNS en una base de datos de listas negras para cada dirección IP que se conecta. Si la IP está listada, Exim rechaza la conexión en la etapa SMTP RCPT TO con un error 550 — antes de que se transmitan datos del mensaje, ahorrando ancho de banda y sobrecarga de procesamiento.

La lista de RBLs predeterminada de cPanel incluye:

zen.spamhaus.org — lista compuesta que cubre SBL, XBL y PBL
bl.spamcop.net — lista basada en informes de SpamCop
b.barracudacentral.org — Lista de Bloqueo de Reputación de Barracuda

Inconveniente: El uso agresivo de RBLs puede producir falsos positivos, particularmente para correo originado desde grandes infraestructuras compartidas (AWS SES, Google Workspace, IPs de salida de Office 365). Siempre pruebe las adiciones de RBL contra sus fuentes de correo legítimas antes de habilitarlas en producción.
Verificación del remitente (Verificación por llamada)
Esta función instruye a Exim para que abra una conexión SMTP temporal de vuelta al servidor de correo del remitente y emita un RCPT TO para la dirección del remitente declarada. Si el servidor remoto rechaza la dirección, Exim rechaza el mensaje entrante.
Caso límite conocido: La verificación del remitente puede causar fallos de entrega cuando el dominio remitente usa un remitente nulo (MAIL FROM:<>) para mensajes de rebote, o cuando el MTA remoto implementa medidas anti-llamada (devolviendo 250 a todas las sondas RCPT). Esta es una fuente común de rechazos falsos para sistemas de notificación automatizados y software de listas de correo.
Greylisting
El greylisting rechaza temporalmente el correo de tripletas remitente/IP/destinatario desconocidas con una respuesta 451 Try again later. Los MTAs legítimos reintentarán después del retraso configurado (típicamente 5–10 minutos), momento en el que la tripleta es incluida en la lista blanca. Los motores de spam raramente reintentan, por lo que el rechazo es permanente en la práctica.
Detalle de implementación: cPanel implementa el greylisting a través del daemon greylistd, que mantiene una base de datos SQLite de tripletas en /var/cpanel/greylist/. La base de datos crece con el tiempo y debe monitorearse por tamaño en servidores de alto volumen.
Rendimiento del servidor de correo y limitación de velocidad
Número máximo de conexiones
Esto se corresponde con la directiva smtp_accept_max de Exim. Establecer este valor demasiado bajo hace que los remitentes legítimos reciban errores 421 Too many connections. Un punto de partida razonable para un servidor de alojamiento compartido es 200–500, dependiendo de la RAM disponible (cada proceso Exim consume aproximadamente 8–15 MB).
Número máximo de correos por hora
Esto se aplica por cuenta cPanel a través de un contador almacenado en /var/cpanel/ratelimit/. Cuando una cuenta supera el límite, los intentos de envío posteriores reciben una respuesta 550 Message rejected. Esta es su principal defensa contra cuentas cPanel comprometidas que se utilizan para campañas de spam.
Límites de referencia recomendados por tipo de servidor:



Tipo de servidor
Correos/hora por dominio
Máx. conexiones
Intervalo del ejecutor de cola








—
—
—
—








Alojamiento compartido
300–500
200
5 minutos








VPS (PYME)
500–1000
300
3 minutos








Servidor de correo dedicado
Ilimitado o 5000+
500–1000
1 minuto








Servidor de correo transaccional
SLA por cuenta
1000+
30 segundos





Si está ejecutando un entorno de VPS Hosting con múltiples dominios de clientes, la limitación de velocidad por dominio es el enfoque más granular y efectivo para la contención de abusos.
Autenticación de correo electrónico: DKIM y SPF
DKIM (DomainKeys Identified Mail)
Cuando está habilitado en WHM, Exim firma cada mensaje saliente con una clave privada RSA de 2048 bits almacenada en /etc/domainkeys/<domain>/. La clave pública correspondiente se publica como un registro DNS TXT en default._domainkey.<domain>. Los MTAs receptores verifican la firma contra la clave pública, confirmando que el mensaje no fue alterado en tránsito y se originó desde un servidor autorizado.
Punto de configuración crítico: cPanel genera claves DKIM por dominio automáticamente cuando se añade un dominio. Sin embargo, si migra dominios desde otro servidor, las claves privadas no se transfieren — debe regenerar las claves en WHM bajo Email > DomainKeys y actualizar los registros DNS en consecuencia.
SPF (Marco de Política del Remitente)
SPF es un mecanismo basado en DNS que especifica qué direcciones IP están autorizadas para enviar correo para un dominio. Exim verifica el registro SPF del dominio del remitente durante la fase SMTP MAIL FROM. Una verificación SPF fallida no rechaza automáticamente el correo en la configuración predeterminada de cPanel — añade un encabezado. Puede escalar esto a un rechazo definitivo en el Advanced Editor.
La alineación DMARC requiere que tanto SPF como DKIM estén configurados correctamente. SPF por sí solo es insuficiente para el cumplimiento de DMARC porque SPF valida el remitente del sobre (MAIL FROM), no el encabezado From: visible para los destinatarios.
Configuración de enrutamiento de correo
Intercambiador de correo de respaldo (MX Backup)
Configurar un servidor como MX de respaldo (MX secundario con un número de prioridad más alto, p. ej., MX 20) hace que los remitentes remotos pongan en cola el correo en su servidor cuando el MX primario no está disponible. Su servidor entonces retiene el correo y lo entrega cuando el primario se recupera.
Inconveniente operativo: Un MX de respaldo configurado sin el filtrado de spam adecuado se convierte en un vector de bypass de relay de spam. Los spammers deliberadamente apuntan a los registros MX secundarios porque a menudo están menos protegidos que los servidores primarios. Aplique siempre reglas ACL y RBL idénticas a las configuraciones de MX de respaldo.
Manejo de correo remoto y local
Esta configuración controla el comportamiento del enrutador de Exim para cada dominio. Las opciones incluyen:

Local — Exim entrega el correo directamente al Maildir local
Remote — Exim retransmite todo el correo del dominio a un MX externo
Backup — Exim pone en cola el correo para un dominio cuando el MX primario está caído

Para dominios que usan proveedores de correo externos (Google Workspace, Microsoft 365), establezca el enrutamiento en Remote y asegúrese de que los registros MX del dominio apunten al proveedor externo. Dejar el enrutamiento establecido en Local para dominios alojados externamente hace que Exim genere mensajes de rebote para todo el correo entrante a esos dominios.
Configuración de registro
El registro de Exim está controlado por la directiva log_selector. El Basic Editor expone las opciones más comúnmente necesarias:

Registro de transacciones SMTP — registra los comandos MAIL FROM, RCPT TO y DATA con marcas de tiempo y direcciones IP
Registro de correo recibido — escribe una entrada de registro para cada mensaje aceptado, incluyendo el tamaño del mensaje y el ID de cola

Los registros de Exim se escriben en /var/log/exim_mainlog (registro principal de transacciones) y /var/log/exim_rejectlog (registro de mensajes rechazados). En servidores de alto volumen, estos archivos rotan diariamente y pueden alcanzar varios gigabytes. Implemente la rotación de registros a través de logrotate con políticas de retención apropiadas.
Consejo forense: Al investigar una queja de spam o un fallo de entrega, el flujo de trabajo más eficiente es:
grep "message-id@example.com" /var/log/exim_mainlog
Esto recupera la cadena de entrega completa para un ID de mensaje específico, incluyendo todas las decisiones de enrutamiento y las respuestas del servidor remoto.
Advanced Editor: Control directo de la configuración
El Advanced Editor presenta la plantilla de configuración de Exim sin procesar, permitiendo a los administradores insertar directivas que no tienen un control correspondiente en el Basic Editor. Aquí es donde los administradores de sistemas experimentados implementan configuraciones que van más allá de las opciones preestablecidas de cPanel.
Advertencia: Los cambios realizados en el Advanced Editor se conservan durante la regeneración de plantillas de WHM solo si se colocan en las secciones de anulación correctas. Las directivas colocadas fuera de los bloques personalizados designados pueden sobrescribirse cuando WHM actualiza la configuración de Exim (p. ej., durante las actualizaciones de versión de cPanel).
Implementación de ACL (Lista de Control de Acceso) personalizada
Las ACLs son el mecanismo de filtrado más potente de Exim. Se ejecutan en puntos específicos de la transacción SMTP y pueden aceptar, rechazar, diferir o descartar mensajes basándose en prácticamente cualquier atributo del mensaje.
Puntos de ejecución de ACL en Exim:



Gancho ACL
Punto de activación
Casos de uso comunes








—
—
—








`acl_smtp_connect`
Conexión TCP establecida
Bloqueo por reputación de IP, limitación de velocidad de conexión








`acl_smtp_helo`
Comando HELO/EHLO recibido
Validación del nombre de host HELO, verificaciones de registros PTR








`acl_smtp_mail`
Comando MAIL FROM
Validación del dominio del remitente, aplicación de SPF








`acl_smtp_rcpt`
Comando RCPT TO
Validación de destinatarios, verificaciones RBL, greylisting








`acl_smtp_data`
Después de recibir DATA
Análisis de SpamAssassin, filtrado de contenido, verificación DKIM








`acl_smtp_mime`
Por parte MIME
Bloqueo de tipos de archivos adjuntos, análisis de malware





Ejemplo: Bloquear un dominio de envío específico en el Advanced Editor
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Ejemplo: Aplicar rechazo estilo DMARC para fallos definitivos de SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Reglas de enrutamiento de correo personalizadas
El enrutamiento avanzado en Exim usa enrutadores — etapas de procesamiento ordenadas que determinan cómo se maneja un mensaje. En el Advanced Editor, puede añadir enrutadores personalizados para implementar:

Balanceo de carga entre múltiples IPs salientes — útil para servidores de correo transaccional que gestionan múltiples dominios de envío
Relay por dominio a servicios SMTP de terceros — enrutar el correo de @domain.com a través de SendGrid o Mailgun mientras se manejan todos los demás dominios localmente
Enrutamiento condicional basado en encabezados de mensajes — enrutar mensajes con encabezados X-Priority específicos a través de un transporte dedicado de alta prioridad

Ejemplo: Enrutar un dominio específico a través de un relay SMTP externo
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Ajuste de parámetros SMTP
El Advanced Editor permite la modificación de los parámetros principales de temporización y reintento de SMTP que afectan significativamente la entregabilidad y el comportamiento de la cola:

smtp_connect_backoff — retraso entre intentos de reintento para conexiones salientes fallidas
retry_data_expire — cuánto tiempo retiene Exim los registros de reintento (predeterminado: 7 días)
timeout_frozen_after — duración antes de que un mensaje congelado sea eliminado automáticamente
ignore_bounce_errors_after — tiempo después del cual se descartan los mensajes de rebote para correo no entregable

Recomendación de ajuste para servidores de alto volumen: Reduzca retry_data_expire a 3 días y timeout_frozen_after a 4 días para evitar que la cola de correo acumule grandes cantidades de mensajes no entregables que consumen E/S de disco durante los pases del ejecutor de cola.
Personalización avanzada de SpamAssassin
Más allá del control de activación/desactivación del Basic Editor, el Advanced Editor le permite modificar los parámetros de invocación de SpamAssassin dentro de la configuración de Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Las reglas personalizadas de SpamAssassin se colocan en /etc/mail/spamassassin/local.cf. Por ejemplo, para añadir un aumento de puntuación para mensajes que fallan tanto SPF como DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Después de modificar las reglas de SpamAssassin, reinicie el daemon:
systemctl restart spamassassin
Exim vs. MTAs alternativos: Comparación de arquitectura
Comprender dónde se sitúa Exim en relación con otros MTAs ayuda a justificar las decisiones de configuración, particularmente al evaluar si migrar o complementar su pila de correo.



Característica
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








Predeterminado en cPanel/WHM
Sí
No
No
No








Modelo de configuración
Archivo monolítico único
Modular (main.cf + master.cf)
Basado en macros M4
Sintaxis simple y legible








Flexibilidad de ACL
Extremadamente alta
Alta
Moderada
Moderada








Rendimiento (alto volumen)
Bueno
Excelente
Moderado
Bueno








Firma DKIM (nativa)
A través de integración cPanel
A través de `opendkim`
A través de `opendkim`
Nativa








Curva de aprendizaje
Pronunciada
Moderada
Muy pronunciada
Baja








Profundidad de integración con cPanel
Nativa, completa
No compatible
No compatible
No compatible








Documentación de la comunidad
Extensa
Extensa
En declive
En crecimiento





Para entornos basados en cPanel — ya sea Alojamiento Web Compartido o infraestructura dedicada — Exim es el único MTA completamente compatible. Reemplazarlo con Postfix en un servidor cPanel es técnicamente posible pero no está soportado y anula la asistencia de cPanel para problemas relacionados con el correo.
Endurecimiento de seguridad: Más allá de la configuración predeterminada
La configuración predeterminada de Exim en cPanel es funcional pero no está endurecida. Las siguientes medidas van más allá de lo que expone el Basic Editor y representan prácticas de seguridad de nivel de producción.
Deshabilitar la verificación de relay abierto
Confirme que su servidor no es un relay abierto inmediatamente después de cualquier cambio de configuración:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Un servidor correctamente configurado debe devolver 550 en la etapa RCPT TO para cualquier dominio destinatario no alojado localmente.
Aplicar TLS para conexiones salientes
Añada lo siguiente al Advanced Editor para requerir TLS para conexiones salientes a dominios que anuncian STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Combinar esto con un Certificado SSL válido en su servidor de correo garantiza que tanto las conexiones entrantes como las salientes estén cifradas y sean verificables.
Limitación de velocidad a nivel de ACL
La limitación de velocidad por cuenta de WHM opera en la capa de aplicación. Para la prevención de abusos volumétricos en la capa SMTP, añada la limitación de velocidad directamente a la ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Esto limita cualquier dirección IP única a 100 nuevas conexiones por minuto — efectivo contra ráfagas de spam impulsadas por botnets sin afectar a los remitentes legítimos de alto volumen que mantienen conexiones persistentes.
Implementación de la aplicación de DMARC
DMARC no es aplicado de forma nativa por Exim en la configuración predeterminada de cPanel — solo genera informes. Para aplicar el rechazo DMARC, instale el daemon opendmarc e intégrelo con Exim a través de un milter o socket local. Alternativamente, use el módulo Perl Mail::DMARC a través de un filtro Exim personalizado.
Para servidores donde la entregabilidad del correo electrónico es crítica para el negocio — como aquellos que ejecutan servicios de Alojamiento de Correo Electrónico — implementar la aplicación completa de DMARC (p=reject) en sus dominios de envío es la mejora de entregabilidad de mayor impacto disponible.
Diagnóstico de problemas comunes de Exim
Inspección y gestión de la cola de correo
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Prueba de sintaxis de configuración de Exim
Antes de reiniciar Exim después de ediciones manuales de configuración, valide siempre la sintaxis:
exim -C /etc/exim.conf -bV
Una salida limpia confirma que el archivo de configuración se analiza sin errores. Cualquier error de sintaxis se reportará con una referencia al número de línea.
Rastreo de un mensaje específico
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Verificación del estado de firma DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Consideraciones operativas para diferentes entornos de alojamiento
La configuración apropiada de Exim varía significativamente según el rol y la escala del servidor.
Los servidores de alojamiento compartido que ejecutan decenas o cientos de cuentas cPanel requieren una limitación de velocidad agresiva, análisis obligatorio de SpamAssassin y aplicación de RBL. Una sola cuenta comprometida puede resultar en que la IP del servidor sea incluida en listas negras en cuestión de horas. Si gestiona un VPS con cPanel, implementar límites de velocidad por cuenta y activadores de suspensión automática de cuentas a través de la función Notify on Spam de WHM es esencial.
Los servidores de correo dedicados que manejan correo transaccional para una sola organización se benefician de límites de velocidad relajados, enrutamiento personalizado a múltiples IPs salientes (rotación de IP para entregabilidad) y aplicación directa de DMARC. Un Servidor Dedicado le da control total sobre la reputación de IP y la configuración de registros PTR — ambos factores críticos en las tasas de colocación en la bandeja de entrada.
Los entornos de IA o canalización de datos de alto rendimiento que generan notificaciones de correo electrónico automatizadas pueden beneficiarse de separar el correo transaccional del correo masivo a nivel del MTA, usando configuraciones de transporte distintas y direcciones IP salientes para cada clase de tráfico.
Matriz de decisión técnica: Lista de verificación de configuración
Use esta lista de verificación para auditar su configuración de Exim contra los estándares de nivel de producción:
Autenticación y firma

Claves DKIM de 2048 bits generadas y registros DNS TXT publicados para todos los dominios de envío
Registros SPF publicados con -all (fallo definitivo) para todos los dominios
Política DMARC establecida como mínimo en p=quarantine con una dirección de informes configurada
Certificado TLS válido que cubre el nombre de host principal del servidor (mail.yourdomain.com)

Controles anti-abuso

Al menos dos RBLs habilitadas (se recomienda zen.spamhaus.org + una secundaria)
SpamAssassin habilitado con un umbral de puntuación de 5.0 y eliminación automática en 10.0
Límites de velocidad de correo electrónico por cuenta configurados (300–500/hora para alojamiento compartido)
Limitación de velocidad a nivel de conexión implementada en acl_smtp_connect

• Greylisting habilitado para remitentes desconocidos

Enrutamiento y entrega

• Todos los dominios verificados como Local, Remote o Backup — ningún dominio en estado ambiguo
• El MX de respaldo (si está configurado) aplica reglas ACL idénticas al MX primario
• Prueba de relay abierto superada (no es posible ningún relay no autorizado)

Monitoreo y registro

• Registro de transacciones SMTP habilitado
• Rotación de registros configurada con retención mínima de 30 días
• Alertas configuradas para profundidad de cola que supere el umbral (p. ej., 500+ mensajes)
• Revisión periódica de /var/log/exim_rejectlog para patrones de falsos positivos

Mantenimiento

• Actualizaciones automáticas de cPanel/WHM habilitadas para versiones de seguridad
• Versión de Exim verificada contra las notas de la versión upstream trimestralmente
• Actualizaciones de reglas de SpamAssassin automatizadas a través de un trabajo cron sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

Preguntas frecuentes

¿Cuál es la diferencia entre el Basic Editor y el Advanced Editor en el Administrador de Configuración de Exim?

El Basic Editor proporciona acceso basado en controles a las configuraciones de Exim más comúnmente necesarias — filtros de spam, límites de velocidad, DKIM, SPF y enrutamiento — sin exponer la sintaxis de configuración sin procesar. El Advanced Editor da acceso directo a la plantilla de configuración de Exim, permitiendo la inserción de ACLs personalizadas, enrutadores, transportes y directivas que no tienen equivalente en el Basic Editor. Ambos escriben en el mismo archivo de configuración subyacente.

¿Sobrevivirán los cambios en el Administrador de Configuración de Exim de WHM a una actualización de cPanel?

Los cambios realizados a través del Basic Editor se almacenan en la base de datos de configuración de WHM y se vuelven a aplicar cuando la plantilla de Exim se regenera durante las actualizaciones. Los cambios realizados en el Advanced Editor se conservan solo si se colocan dentro de las secciones de anulación personalizadas designadas de la plantilla. Las directivas insertadas fuera de estas secciones pueden sobrescribirse durante las actualizaciones de versión de cPanel.

¿Cómo detengo una cuenta cPanel comprometida para que no envíe spam a través de Exim?

Suspenda inmediatamente la cuenta en WHM, luego purgue sus mensajes en cola:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Después de la suspensión, audite el registro de correo enviado de la cuenta, rote todas las credenciales y analice en busca de web shells o puertas traseras. Implemente la limitación de velocidad por cuenta y el umbral Notify on Spam de WHM para detectar incidentes futuros con mayor anticipación.

¿Por qué los correos electrónicos legítimos están siendo rechazados por mi servidor Exim después de habilitar las RBLs?

Los falsos positivos de RBL ocurren con mayor frecuencia con correo de grandes proveedores de infraestructura compartida (AWS, Google, Microsoft) cuyos rangos de IP pueden aparecer en algunas listas debido al abuso de otros inquilinos. Verifique la RBL específica que causó el rechazo usando dig <reversed-ip>.zen.spamhaus.org e incluya en la lista blanca la IP o el rango CIDR en host_list de Exim si el remitente es legítimo. Considere usar warn en lugar de deny para las RBLs secundarias para registrar coincidencias sin rechazar.

¿El Administrador de Configuración de Exim admite la aplicación de DMARC de forma nativa?

No. El Administrador de Configuración de Exim de cPanel maneja la verificación SPF y la firma DKIM de forma nativa, pero la aplicación de DMARC (actuar sobre las políticas p=reject o p=quarantine publicadas por los dominios remitentes) requiere software adicional como opendmarc integrado como milter, o un filtro Exim personalizado usando el módulo Perl Mail::DMARC. Los informes DMARC (recepción de informes agregados) son una función separada manejada por un procesador de informes DMARC dedicado.