Gestionnaire de Configuration Exim dans cPanel/WHM : Un Guide Technique Complet

Exim est un Agent de Transfert de Courrier (MTA) développé à l’Université de Cambridge, largement déployé sur les serveurs d’hébergement web sous Linux comme infrastructure email par défaut pour les environnements cPanel/WHM. Le Gestionnaire de Configuration Exim dans WHM est une interface graphique qui expose les directives de configuration d’Exim — des bascules de filtrage anti-spam de base à l’édition brute des ACL — sans nécessiter de manipulation directe de /etc/exim.conf.

Pour les administrateurs de serveurs, cet outil est la surface de contrôle la plus déterminante pour la délivrabilité des emails, la posture de sécurité et la prévention des abus. Une mauvaise configuration peut entraîner une exposition en relais ouvert, une mise sur liste noire ou un échec complet de la distribution du courrier. Une configuration correcte signifie une pile de messagerie renforcée et à haut débit qui passe la validation SPF, DKIM et DMARC sur chaque message sortant.

Qu’est-ce qu’Exim et pourquoi est-il important sur les serveurs cPanel

Exim traite le trafic SMTP entrant et sortant, appliquant un pipeline de Listes de Contrôle d’Accès (ACL), de règles de routage, de pilotes de transport et de scripts de filtrage à chaque étape du traitement des messages. Sur un serveur cPanel typique, Exim fonctionne aux côtés de Dovecot (IMAP/POP3) et SpamAssassin, formant une pile de messagerie à trois couches où Exim est le point d’entrée et de sortie pour toutes les sessions SMTP.

Contrairement à Postfix ou Sendmail, la configuration d’Exim est un fichier monolithique unique (/etc/exim.conf sur les systèmes cPanel, lié symboliquement depuis /etc/exim.conf.local pour les remplacements personnalisés) qui définit les routeurs, les transports, les ACL et les règles de réécriture dans un ordre séquentiel spécifique. Le WHM de cPanel génère ce fichier dynamiquement à partir d’un système de modèles — c’est précisément pourquoi le Gestionnaire de Configuration Exim existe : pour permettre à WHM de régénérer la configuration en toute sécurité sans écraser vos personnalisations.

Rôles architecturaux clés d’Exim sur un serveur cPanel :

• Accepte les connexions SMTP entrantes sur les ports 25, 465 (SMTPS) et 587 (soumission)
• Applique des ACL pré-DATA et post-DATA pour le spam, l’authentification et l’application des politiques
• Achemine le courrier vers la distribution Maildir locale via Dovecot LDA ou relaie les messages sortants vers des MTA distants
• Exécute l’analyse SpamAssassin via le démon spamd
• Signe les messages sortants avec DKIM en utilisant des clés privées par domaine stockées dans /etc/domainkeys/

Accéder au Gestionnaire de Configuration Exim dans WHM

Le Gestionnaire de Configuration Exim est exclusivement un outil WHM (Web Host Manager) — il n’est pas accessible depuis les comptes cPanel individuels. Vous avez besoin d’un accès WHM de niveau root ou revendeur.

Chemin de navigation :

1. Connectez-vous à WHM à https://your-server-ip:2087
2. Dans la barre de recherche de gauche, tapez Exim
3. Sélectionnez Gestionnaire de Configuration Exim sous la section Configuration des Services

Vous pouvez également naviguer directement vers :

WHM > Home > Service Configuration > Exim Configuration Manager

Une fois chargée, l’interface présente deux onglets : Éditeur Basique et Éditeur Avancé. Ce ne sont pas des outils indépendants — les modifications dans l’Éditeur Basique écrivent des directives structurées dans le même modèle sous-jacent que l’Éditeur Avancé expose sous forme brute.

Note opérationnelle critique : Chaque fois que vous cliquez sur Enregistrer dans l’un ou l’autre éditeur, WHM appelle exim_tidydb et redémarre le service Exim. Sur un serveur occupé, planifiez les modifications de configuration pendant les fenêtres à faible trafic pour éviter d’interrompre les connexions SMTP en cours.

Éditeur Basique : Analyse Fonctionnalité par Fonctionnalité

L’Éditeur Basique organise les options configurables d’Exim en sections logiques. Chaque bascule ou champ de saisie correspond à une directive ou macro spécifique dans le fichier exim.conf généré. Comprendre ce que chaque paramètre fait réellement au niveau du protocole — pas seulement ce que l’étiquette indique — est essentiel pour prendre des décisions éclairées.

Sécurité du Serveur de Messagerie et Fonctionnalités Anti-Spam

Intégration SpamAssassin

Lorsqu’il est activé, Exim achemine chaque message entrant via spamd en utilisant le client spamc. SpamAssassin attribue un score numérique basé sur l’analyse des en-têtes, le filtrage bayésien et la correspondance de règles. Les messages dépassant le seuil configuré (par défaut : 5,0) reçoivent un en-tête X-Spam-Status: Yes. L’implémentation de WHM prend également en charge la suppression automatique des messages au-dessus d’un seuil plus élevé (par défaut : 10,0).

Un détail souvent négligé : l’analyse SpamAssassin ajoute une latence à chaque transaction SMTP entrante. Sur les serveurs gérant plus de 50 connexions simultanées, assurez-vous que spamd fonctionne avec suffisamment de processus enfants (--max-children) pour éviter l’accumulation de la file d’attente.

RBL (Listes de Trous Noirs en Temps Réel)

Les RBL effectuent une recherche DNS dans une base de données de liste noire pour chaque adresse IP qui se connecte. Si l’IP est répertoriée, Exim rejette la connexion au stade SMTP RCPT TO avec une erreur 550 — avant que des données de message ne soient transmises, économisant ainsi la bande passante et la surcharge de traitement.

La liste RBL par défaut de cPanel comprend :

zen.spamhaus.org — liste composite couvrant SBL, XBL et PBL
bl.spamcop.net — liste basée sur les signalements de SpamCop
b.barracudacentral.org — Liste de Blocage de Réputation Barracuda

Piège : Une utilisation agressive des RBL peut produire des faux positifs, notamment pour le courrier provenant d’une grande infrastructure partagée (AWS SES, Google Workspace, adresses IP de sortie Office 365). Testez toujours les ajouts de RBL par rapport à vos sources de courrier légitimes avant de les activer en production.
Vérification de l’Expéditeur (Vérification par Rappel)
Cette fonctionnalité demande à Exim d’ouvrir une connexion SMTP temporaire vers le serveur de messagerie de l’expéditeur et d’émettre un RCPT TO pour l’adresse d’expéditeur déclarée. Si le serveur distant rejette l’adresse, Exim rejette le message entrant.
Cas limite connu : La vérification de l’expéditeur peut provoquer des échecs de distribution lorsque le domaine expéditeur utilise un expéditeur nul (MAIL FROM:<>) pour les messages de rebond, ou lorsque le MTA distant implémente des mesures anti-rappel (retournant 250 à toutes les sondes RCPT). C’est une source courante de rejets erronés pour les systèmes de notification automatisés et les logiciels de liste de diffusion.
Greylisting
Le greylisting rejette temporairement le courrier provenant de triplets expéditeur/IP/destinataire inconnus avec une réponse 451 Try again later. Les MTA légitimes réessaient après le délai configuré (généralement 5 à 10 minutes), moment auquel le triplet est mis en liste blanche. Les moteurs de spam réessaient rarement, donc le rejet est permanent en pratique.
Détail d’implémentation : cPanel implémente le greylisting via le démon greylistd, qui maintient une base de données SQLite de triplets dans /var/cpanel/greylist/. La base de données grossit avec le temps et doit être surveillée en termes de taille sur les serveurs à volume élevé.
Performance du Serveur de Messagerie et Limitation du Débit
Nombre Maximum de Connexions
Cela correspond à la directive smtp_accept_max d’Exim. Définir cette valeur trop basse entraîne des erreurs 421 Too many connections pour les expéditeurs légitimes. Un point de départ raisonnable pour un serveur d’hébergement partagé est 200 à 500, selon la RAM disponible (chaque processus Exim consomme environ 8 à 15 MB).
Nombre Maximum d’Emails Par Heure
Ceci est appliqué par compte cPanel via un compteur stocké dans /var/cpanel/ratelimit/. Lorsqu’un compte dépasse la limite, les tentatives d’envoi suivantes reçoivent une réponse 550 Message rejected. C’est votre principale défense contre les comptes cPanel compromis utilisés pour des campagnes de spam.
Limites de référence recommandées par type de serveur :



Type de Serveur
Emails/Heure Par Domaine
Connexions Max
Intervalle du Gestionnaire de File








—
—
—
—








Hébergement Partagé
300–500
200
5 minutes








VPS (PME)
500–1000
300
3 minutes








Serveur de Messagerie Dédié
Illimité ou 5000+
500–1000
1 minute








Serveur d’Email Transactionnel
SLA par compte
1000+
30 secondes





Si vous exploitez un environnement d’Hébergement VPS avec plusieurs domaines clients, la limitation du débit par domaine est l’approche la plus granulaire et la plus efficace pour contenir les abus.
Authentification Email : DKIM et SPF
DKIM (DomainKeys Identified Mail)
Lorsqu’il est activé dans WHM, Exim signe chaque message sortant avec une clé privée RSA de 2048 bits stockée dans /etc/domainkeys/<domain>/. La clé publique correspondante est publiée en tant qu’enregistrement DNS TXT à default._domainkey.<domain>. Les MTA destinataires vérifient la signature par rapport à la clé publique, confirmant que le message n’a pas été altéré en transit et qu’il provient d’un serveur autorisé.
Point de configuration critique : cPanel génère automatiquement des clés DKIM par domaine lorsqu’un domaine est ajouté. Cependant, si vous migrez des domaines depuis un autre serveur, les clés privées ne sont pas transférées — vous devez régénérer les clés dans WHM sous Email > DomainKeys et mettre à jour les enregistrements DNS en conséquence.
SPF (Sender Policy Framework)
SPF est un mécanisme basé sur DNS qui spécifie quelles adresses IP sont autorisées à envoyer du courrier pour un domaine. Exim vérifie l’enregistrement SPF du domaine de l’expéditeur pendant la phase SMTP MAIL FROM. Un échec de vérification SPF ne rejette pas automatiquement le courrier dans la configuration par défaut de cPanel — il ajoute un en-tête. Vous pouvez faire évoluer cela vers un rejet ferme dans l’Éditeur Avancé.
L’alignement DMARC nécessite que SPF et DKIM soient correctement configurés. SPF seul est insuffisant pour la conformité DMARC car SPF valide l’expéditeur de l’enveloppe (MAIL FROM), et non l’en-tête From: visible par les destinataires.
Configuration du Routage des Emails
Serveur de Messagerie de Secours (MX Backup)
Configurer un serveur comme MX de secours (MX secondaire avec un numéro de priorité plus élevé, par exemple MX 20) amène les expéditeurs distants à mettre en file d’attente le courrier vers votre serveur lorsque le MX primaire est inaccessible. Votre serveur conserve alors le courrier et le distribue lorsque le primaire récupère.
Piège opérationnel : Un MX de secours configuré sans filtrage anti-spam approprié devient un vecteur de contournement de relais de spam. Les spammeurs ciblent délibérément les enregistrements MX secondaires car ils sont souvent moins protégés que les serveurs primaires. Appliquez toujours des règles ACL et RBL identiques aux configurations MX de secours.
Gestion du Courrier Distant et Local
Ce paramètre contrôle le comportement du routeur d’Exim pour chaque domaine. Les options comprennent :

Local — Exim distribue le courrier directement au Maildir local
Distant — Exim relaie tout le courrier du domaine vers un MX externe
Sauvegarde — Exim met en file d’attente le courrier d’un domaine lorsque le MX primaire est indisponible

Pour les domaines utilisant des fournisseurs de messagerie externes (Google Workspace, Microsoft 365), définissez le routage sur Distant et assurez-vous que les enregistrements MX du domaine pointent vers le fournisseur externe. Laisser le routage défini sur Local pour les domaines hébergés en externe amène Exim à générer des messages de rebond pour tout le courrier entrant vers ces domaines.
Configuration de la Journalisation
La journalisation d’Exim est contrôlée par la directive log_selector. L’Éditeur Basique expose les options les plus couramment nécessaires :

Journalisation des transactions SMTP — enregistre les commandes MAIL FROM, RCPT TO et DATA avec les horodatages et les adresses IP
Journalisation des emails reçus — écrit une entrée de journal pour chaque message accepté, incluant la taille du message et l’ID de file d’attente

Les journaux Exim sont écrits dans /var/log/exim_mainlog (journal principal des transactions) et /var/log/exim_rejectlog (journal des messages rejetés). Sur les serveurs à volume élevé, ces fichiers tournent quotidiennement et peuvent atteindre plusieurs gigaoctets. Implémentez la rotation des journaux via logrotate avec des politiques de rétention appropriées.
Conseil forensique : Lors de l’investigation d’une plainte de spam ou d’un échec de distribution, le flux de travail le plus efficace est :
grep "message-id@example.com" /var/log/exim_mainlog
Cela récupère la chaîne de distribution complète pour un ID de message spécifique, incluant toutes les décisions de routage et les réponses des serveurs distants.
Éditeur Avancé : Contrôle Direct de la Configuration
L’Éditeur Avancé présente le modèle de configuration brut d’Exim, permettant aux administrateurs d’insérer des directives qui n’ont pas de bascule correspondante dans l’Éditeur Basique. C’est là que les administrateurs système expérimentés implémentent des configurations qui vont au-delà des options prédéfinies de cPanel.
Avertissement : Les modifications apportées dans l’Éditeur Avancé ne sont préservées lors de la régénération du modèle WHM que si elles sont placées dans les sections de remplacement correctes. Les directives placées en dehors des blocs personnalisés désignés peuvent être écrasées lorsque WHM met à jour la configuration Exim (par exemple, lors des mises à niveau de version cPanel).
Implémentation d’ACL (Liste de Contrôle d’Accès) Personnalisée
Les ACL sont le mécanisme de filtrage le plus puissant d’Exim. Elles s’exécutent à des points spécifiques de la transaction SMTP et peuvent accepter, rejeter, différer ou ignorer des messages en fonction de pratiquement n’importe quel attribut de message.
Points d’exécution des ACL dans Exim :



Point d’Accroche ACL
Point de Déclenchement
Cas d’Usage Courants








—
—
—








`acl_smtp_connect`
Connexion TCP établie
Blocage par réputation IP, limitation du débit de connexion








`acl_smtp_helo`
Commande HELO/EHLO reçue
Validation du nom d’hôte HELO, vérifications des enregistrements PTR








`acl_smtp_mail`
Commande MAIL FROM
Validation du domaine expéditeur, application SPF








`acl_smtp_rcpt`
Commande RCPT TO
Validation du destinataire, vérifications RBL, greylisting








`acl_smtp_data`
Après réception des DATA
Analyse SpamAssassin, filtrage de contenu, vérification DKIM








`acl_smtp_mime`
Par partie MIME
Blocage des types de pièces jointes, analyse des logiciels malveillants





Exemple : Bloquer un domaine expéditeur spécifique dans l’Éditeur Avancé
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Exemple : Appliquer un rejet de style DMARC pour les échecs SPF stricts
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Règles de Routage de Courrier Personnalisées
Le routage avancé dans Exim utilise des routeurs — des étapes de traitement ordonnées qui déterminent comment un message est géré. Dans l’Éditeur Avancé, vous pouvez ajouter des routeurs personnalisés pour implémenter :

Équilibrage de charge sur plusieurs IP sortantes — utile pour les serveurs d’email transactionnel gérant plusieurs domaines d’envoi
Relais par domaine vers des services SMTP tiers — acheminer le courrier pour @domain.com via SendGrid ou Mailgun tout en gérant tous les autres domaines localement
Routage conditionnel basé sur les en-têtes de message — acheminer les messages avec des en-têtes X-Priority spécifiques via un transport dédié haute priorité

Exemple : Acheminer un domaine spécifique via un relais SMTP externe
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Réglage des Paramètres SMTP
L’Éditeur Avancé permet la modification des paramètres de temporisation et de nouvelle tentative SMTP de base qui affectent significativement la délivrabilité et le comportement de la file d’attente :

smtp_connect_backoff — délai entre les tentatives de reconnexion pour les connexions sortantes échouées
retry_data_expire — durée pendant laquelle Exim conserve les enregistrements de nouvelle tentative (par défaut : 7 jours)
timeout_frozen_after — durée avant qu’un message gelé soit automatiquement supprimé
ignore_bounce_errors_after — délai après lequel les messages de rebond pour le courrier non distribuable sont supprimés

Recommandation de réglage pour les serveurs à volume élevé : Réduisez retry_data_expire à 3 jours et timeout_frozen_after à 4 jours pour éviter que la file d’attente de courrier n’accumule un grand nombre de messages non distribuables qui consomment des E/S disque lors des passages du gestionnaire de file d’attente.
Personnalisation Approfondie de SpamAssassin
Au-delà de la bascule on/off de l’Éditeur Basique, l’Éditeur Avancé vous permet de modifier les paramètres d’invocation de SpamAssassin dans la configuration d’Exim :
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Les règles SpamAssassin personnalisées sont placées dans /etc/mail/spamassassin/local.cf. Par exemple, pour ajouter un bonus de score pour les messages échouant à la fois SPF et DKIM :
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Après avoir modifié les règles SpamAssassin, redémarrez le démon :
systemctl restart spamassassin
Exim vs. MTA Alternatifs : Comparaison d’Architecture
Comprendre où Exim se situe par rapport aux autres MTA aide à justifier les décisions de configuration, notamment lors de l’évaluation d’une migration ou d’un complément à votre pile de messagerie.



Fonctionnalité
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








Par défaut sur cPanel/WHM
Oui
Non
Non
Non








Modèle de configuration
Fichier monolithique unique
Modulaire (main.cf + master.cf)
Basé sur les macros M4
Syntaxe simple et lisible








Flexibilité ACL
Extrêmement élevée
Élevée
Modérée
Modérée








Performance (volume élevé)
Bonne
Excellente
Modérée
Bonne








Signature DKIM (native)
Via intégration cPanel
Via `opendkim`
Via `opendkim`
Native








Courbe d’apprentissage
Élevée
Modérée
Très élevée
Faible








Profondeur d’intégration cPanel
Native, complète
Non supporté
Non supporté
Non supporté








Documentation communautaire
Étendue
Étendue
En déclin
En croissance





Pour les environnements basés sur cPanel — qu’il s’agisse d’Hébergement Web Partagé ou d’infrastructure dédiée — Exim est le seul MTA entièrement supporté. Remplacer Exim par Postfix sur un serveur cPanel est techniquement possible mais non supporté et annule l’assistance de cPanel pour les problèmes liés à la messagerie.
Renforcement de la Sécurité : Au-delà de la Configuration par Défaut
La configuration Exim par défaut de cPanel est fonctionnelle mais non renforcée. Les mesures suivantes vont au-delà de ce que l’Éditeur Basique expose et représentent des pratiques de sécurité de niveau production.
Désactiver la Vérification du Relais Ouvert
Confirmez que votre serveur n’est pas un relais ouvert immédiatement après tout changement de configuration :
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Un serveur correctement configuré devrait retourner 550 au stade RCPT TO pour tout domaine destinataire non hébergé localement.
Imposer TLS pour les Connexions Sortantes
Ajoutez ce qui suit à l’Éditeur Avancé pour exiger TLS pour les connexions sortantes vers les domaines qui annoncent STARTTLS :
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Associer cela à un Certificat SSL valide sur votre serveur de messagerie garantit que les connexions entrantes et sortantes sont chiffrées et vérifiables.
Limitation du Débit au Niveau ACL
La limitation du débit par compte de WHM fonctionne au niveau de la couche applicative. Pour la prévention des abus volumétriques au niveau SMTP, ajoutez la limitation du débit directement à l’ACL acl_smtp_connect :
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Cela limite toute adresse IP unique à 100 nouvelles connexions par minute — efficace contre les rafales de spam pilotées par des botnets sans impacter les expéditeurs légitimes à volume élevé qui maintiennent des connexions persistantes.
Implémentation de l’Application DMARC
DMARC n’est pas appliqué nativement par Exim dans la configuration par défaut de cPanel — il génère uniquement des rapports. Pour appliquer le rejet DMARC, installez le démon opendmarc et intégrez-le avec Exim via un milter ou un socket local. Vous pouvez également utiliser le module Perl Mail::DMARC via un filtre Exim personnalisé.
Pour les serveurs où la délivrabilité des emails est critique pour l’activité — comme ceux qui exploitent des services d’Hébergement Email — l’implémentation de l’application DMARC complète (p=reject) sur vos domaines d’envoi est l’amélioration de délivrabilité à l’impact le plus élevé disponible.
Diagnostic des Problèmes Exim Courants
Inspection et Gestion de la File d’Attente de Courrier
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Test de la Syntaxe de Configuration Exim
Avant de redémarrer Exim après des modifications manuelles de la configuration, validez toujours la syntaxe :
exim -C /etc/exim.conf -bV
Une sortie propre confirme que le fichier de configuration est analysé sans erreurs. Toute erreur de syntaxe sera signalée avec une référence de numéro de ligne.
Traçage d’un Message Spécifique
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Vérification du Statut de Signature DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Considérations Opérationnelles pour Différents Environnements d’Hébergement
La configuration Exim appropriée varie significativement selon le rôle et l’échelle du serveur.
Les serveurs d’hébergement partagé gérant des dizaines à des centaines de comptes cPanel nécessitent une limitation de débit agressive, une analyse SpamAssassin obligatoire et l’application des RBL. Un seul compte compromis peut entraîner la mise sur liste noire de l’IP du serveur en quelques heures. Si vous gérez un VPS avec cPanel, l’implémentation de limites de débit par compte et de déclencheurs de suspension automatique de compte via la fonctionnalité Notifier en cas de Spam de WHM est essentielle.
Les serveurs de messagerie dédiés gérant des emails transactionnels pour une seule organisation bénéficient de limites de débit assouplies, d’un routage personnalisé vers plusieurs IP sortantes (rotation IP pour la délivrabilité) et d’une application directe de DMARC. Un Serveur Dédié vous donne un contrôle total sur la réputation IP et la configuration des enregistrements PTR — deux facteurs critiques dans les taux de placement en boîte de réception.
Les environnements d’IA ou de pipeline de données à haut débit qui génèrent des notifications email automatisées peuvent bénéficier de la séparation du courrier transactionnel du courrier en masse au niveau MTA, en utilisant des configurations de transport distinctes et des adresses IP sortantes pour chaque classe de trafic.
Matrice de Décision Technique : Liste de Contrôle de Configuration
Utilisez cette liste de contrôle pour auditer votre configuration Exim par rapport aux normes de niveau production :
Authentification et signature

Clés DKIM de 2048 bits générées et enregistrements DNS TXT publiés pour tous les domaines d’envoi
Enregistrements SPF publiés avec -all (échec strict) pour tous les domaines
Politique DMARC définie au minimum sur p=quarantine avec une adresse de rapport configurée
Certificat TLS valide couvrant le nom d’hôte principal du serveur (mail.yourdomain.com)

Contrôles anti-abus

Au moins deux RBL activées (recommandation zen.spamhaus.org + une secondaire)
SpamAssassin activé avec un seuil de score de 5,0 et suppression automatique à 10,0
Limites de débit d’email par compte configurées (300 à 500/heure pour l’hébergement partagé)
Limitation du débit au niveau connexion implémentée dans acl_smtp_connect

• Greylisting activé pour les expéditeurs inconnus

Routage et distribution

• Tous les domaines vérifiés comme Local, Distant ou Sauvegarde — aucun domaine laissé dans un état ambigu
• Le MX de secours (si configuré) applique des règles ACL identiques au MX primaire
• Test de relais ouvert réussi (aucun relais non autorisé possible)

Surveillance et journalisation

• Journalisation des transactions SMTP activée
• Rotation des journaux configurée avec une rétention minimale de 30 jours
• Alertes configurées pour la profondeur de file d’attente dépassant le seuil (par exemple, 500+ messages)
• Révision régulière de /var/log/exim_rejectlog pour les modèles de faux positifs

Maintenance

• Mises à jour automatiques cPanel/WHM activées pour les versions de sécurité
• Version Exim vérifiée par rapport aux notes de version en amont trimestriellement
• Mises à jour des règles SpamAssassin automatisées via une tâche cron sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

FAQ

Quelle est la différence entre l’Éditeur Basique et l’Éditeur Avancé dans le Gestionnaire de Configuration Exim ?

L’Éditeur Basique fournit un accès par bascule aux paramètres Exim les plus couramment nécessaires — filtres anti-spam, limites de débit, DKIM, SPF et routage — sans exposer la syntaxe de configuration brute. L’Éditeur Avancé donne un accès direct au modèle de configuration Exim, permettant l’insertion d’ACL personnalisées, de routeurs, de transports et de directives qui n’ont pas d’équivalent dans l’Éditeur Basique. Les deux écrivent dans le même fichier de configuration sous-jacent.

Les modifications dans le Gestionnaire de Configuration Exim de WHM survivront-elles à une mise à jour cPanel ?

Les modifications apportées via l’Éditeur Basique sont stockées dans la base de données de configuration de WHM et sont réappliquées lorsque le modèle Exim est régénéré lors des mises à jour. Les modifications apportées dans l’Éditeur Avancé ne sont préservées que si elles sont placées dans les sections de remplacement personnalisées désignées du modèle. Les directives insérées en dehors de ces sections peuvent être écrasées lors des mises à niveau de version cPanel.

Comment empêcher un compte cPanel compromis d’envoyer du spam via Exim ?

Suspendez immédiatement le compte dans WHM, puis purgez ses messages en file d’attente :

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Après la suspension, auditez le journal des courriers envoyés du compte, faites tourner toutes les informations d’identification et recherchez les shells web ou les portes dérobées. Implémentez la limitation du débit par compte et le seuil Notifier en cas de Spam de WHM pour détecter les incidents futurs plus tôt.

Pourquoi des emails légitimes sont-ils rejetés par mon serveur Exim après l’activation des RBL ?

Les faux positifs RBL se produisent le plus fréquemment avec le courrier provenant de grands fournisseurs d’infrastructure partagée (AWS, Google, Microsoft) dont les plages IP peuvent apparaître sur certaines listes en raison des abus d’autres locataires. Vérifiez la RBL spécifique qui a causé le rejet en utilisant dig <reversed-ip>.zen.spamhaus.org et mettez en liste blanche l’IP ou la plage CIDR dans host_list d’Exim si l’expéditeur est légitime. Envisagez d’utiliser warn au lieu de deny pour les RBL secondaires afin de journaliser les correspondances sans rejeter.

Le Gestionnaire de Configuration Exim prend-il en charge l’application DMARC nativement ?

Non. Le Gestionnaire de Configuration Exim de cPanel gère la vérification SPF et la signature DKIM nativement, mais l’application DMARC (agissant sur les politiques p=reject ou p=quarantine publiées par les domaines expéditeurs) nécessite un logiciel supplémentaire tel que opendmarc intégré comme milter, ou un filtre Exim personnalisé utilisant le module Perl Mail::DMARC. Le reporting DMARC (réception de rapports agrégés) est une fonction distincte gérée par un processeur de rapports DMARC dédié.