Manajer Konfigurasi Exim di cPanel/WHM: Panduan Teknis Lengkap

Exim adalah Mail Transfer Agent (MTA) yang dikembangkan di Universitas Cambridge, banyak digunakan pada server web hosting berbasis Linux sebagai tulang punggung email default untuk lingkungan cPanel/WHM. Exim Configuration Manager di WHM adalah antarmuka grafis yang mengekspos direktif konfigurasi Exim — mulai dari toggle pemfilteran spam dasar hingga pengeditan ACL mentah — tanpa memerlukan manipulasi langsung pada /etc/exim.conf.

Bagi administrator server, alat ini adalah permukaan kontrol tunggal yang paling berpengaruh untuk kemampuan pengiriman email, postur keamanan, dan pencegahan penyalahgunaan. Kesalahan konfigurasi dapat mengakibatkan paparan open relay, masuk daftar hitam, atau kegagalan pengiriman email secara total. Mengonfigurasinya dengan benar berarti memiliki tumpukan mail yang diperkuat dan berkapasitas tinggi yang melewati validasi SPF, DKIM, dan DMARC pada setiap pesan keluar.

Apa Itu Exim dan Mengapa Penting di Server cPanel

Exim memproses lalu lintas SMTP masuk dan keluar, menerapkan pipeline Access Control Lists (ACLs), aturan routing, driver transport, dan skrip filter di setiap tahap penanganan pesan. Pada server cPanel yang umum, Exim beroperasi bersama Dovecot (IMAP/POP3) dan SpamAssassin, membentuk tumpukan mail tiga lapis di mana Exim adalah titik masuk dan keluar untuk semua sesi SMTP.

Tidak seperti Postfix atau Sendmail, konfigurasi Exim adalah satu file monolitik tunggal (/etc/exim.conf pada sistem cPanel, disimlink dari /etc/exim.conf.local untuk penggantian kustom) yang mendefinisikan router, transport, ACL, dan aturan penulisan ulang dalam urutan sekuensial tertentu. WHM cPanel menghasilkan file ini secara dinamis dari sistem template — itulah tepatnya mengapa Exim Configuration Manager ada: untuk membiarkan WHM meregenerasi konfigurasi dengan aman tanpa menimpa kustomisasi Anda.

Peran arsitektur utama yang dimainkan Exim pada server cPanel:

• Menerima koneksi SMTP masuk pada port 25, 465 (SMTPS), dan 587 (submission)
• Menerapkan ACL pre-DATA dan post-DATA untuk spam, autentikasi, dan penegakan kebijakan
• Merutekan mail ke pengiriman Maildir lokal melalui Dovecot LDA atau meneruskan keluar ke MTA jarak jauh
• Menjalankan pemindaian SpamAssassin melalui daemon spamd
• Menandatangani pesan keluar dengan DKIM menggunakan kunci privat per domain yang disimpan di /etc/domainkeys/

Mengakses Exim Configuration Manager di WHM

Exim Configuration Manager secara eksklusif adalah alat WHM (Web Host Manager) — tidak dapat diakses dari akun cPanel individual. Anda memerlukan akses WHM tingkat root atau reseller.

Jalur navigasi:

1. Masuk ke WHM di https://your-server-ip:2087
2. Di bilah pencarian kiri, ketik Exim
3. Pilih Exim Configuration Manager di bawah bagian Service Configuration

Atau, navigasikan langsung ke:

WHM > Home > Service Configuration > Exim Configuration Manager

Setelah dimuat, antarmuka menampilkan dua tab: Basic Editor dan Advanced Editor. Ini bukan alat yang independen — perubahan di Basic Editor menulis direktif terstruktur ke dalam template dasar yang sama yang diekspos oleh Advanced Editor dalam bentuk mentah.

Catatan operasional penting: Setiap kali Anda mengklik Save di salah satu editor, WHM memanggil exim_tidydb dan memulai ulang layanan Exim. Pada server yang sibuk, rencanakan perubahan konfigurasi selama jendela lalu lintas rendah untuk menghindari pemutusan koneksi SMTP yang sedang berjalan.

Basic Editor: Rincian Fitur per Fitur

Basic Editor mengorganisir opsi yang dapat dikonfigurasi Exim ke dalam bagian-bagian yang logis. Setiap toggle atau kolom input memetakan ke direktif atau makro tertentu dalam exim.conf yang dihasilkan. Memahami apa yang sebenarnya dilakukan setiap pengaturan di tingkat protokol — bukan hanya apa yang dikatakan labelnya — sangat penting untuk membuat keputusan yang tepat.

Keamanan Server Mail dan Fitur Anti-Spam

Integrasi SpamAssassin

Ketika diaktifkan, Exim menyalurkan setiap pesan masuk melalui spamd menggunakan klien spamc. SpamAssassin memberikan skor numerik berdasarkan analisis header, pemfilteran Bayesian, dan pencocokan aturan. Pesan yang melebihi ambang batas yang dikonfigurasi (default: 5.0) menerima header X-Spam-Status: Yes. Implementasi WHM juga mendukung penghapusan otomatis pesan di atas ambang batas yang lebih tinggi (default: 10.0).

Detail yang sering diabaikan: pemindaian SpamAssassin menambahkan latensi pada setiap transaksi SMTP masuk. Pada server yang menangani lebih dari 50 koneksi bersamaan, pastikan spamd berjalan dengan proses anak yang memadai (--max-children) untuk mencegah penumpukan antrean.

RBL (Real-time Blackhole Lists)

RBL melakukan pencarian DNS terhadap database daftar hitam untuk setiap alamat IP yang terhubung. Jika IP terdaftar, Exim menolak koneksi pada tahap RCPT TO SMTP dengan kesalahan 550 — sebelum data pesan apa pun dikirimkan, menghemat bandwidth dan overhead pemrosesan.

Daftar RBL default cPanel mencakup:

zen.spamhaus.org — daftar komposit yang mencakup SBL, XBL, dan PBL
bl.spamcop.net — daftar berbasis pelaporan SpamCop
b.barracudacentral.org — Barracuda Reputation Block List

Jebakan: Penggunaan RBL yang agresif dapat menghasilkan false positive, terutama untuk mail yang berasal dari infrastruktur bersama besar (AWS SES, Google Workspace, IP egress Office 365). Selalu uji penambahan RBL terhadap sumber mail sah Anda sebelum mengaktifkan di produksi.
Verifikasi Pengirim (Callout Verification)
Fitur ini menginstruksikan Exim untuk membuka koneksi SMTP sementara kembali ke server mail pengirim dan mengeluarkan RCPT TO untuk alamat pengirim yang diklaim. Jika server jarak jauh menolak alamat tersebut, Exim menolak pesan masuk.
Kasus tepi yang diketahui: Verifikasi pengirim dapat menyebabkan kegagalan pengiriman ketika domain pengirim menggunakan null sender (MAIL FROM:<>) untuk pesan bounce, atau ketika MTA jarak jauh menerapkan langkah anti-callout (mengembalikan 250 untuk semua probe RCPT). Ini adalah sumber umum penolakan false positive untuk sistem notifikasi otomatis dan perangkat lunak mailing list.
Greylisting
Greylisting menolak sementara mail dari triplet pengirim/IP/penerima yang tidak dikenal dengan respons 451 Try again later. MTA yang sah mencoba ulang setelah penundaan yang dikonfigurasi (biasanya 5–10 menit), di mana triplet tersebut kemudian masuk daftar putih. Mesin spam jarang mencoba ulang, sehingga penolakan bersifat permanen dalam praktiknya.
Detail implementasi: cPanel mengimplementasikan greylisting melalui daemon greylistd, yang mempertahankan database SQLite dari triplet di /var/cpanel/greylist/. Database tumbuh seiring waktu dan harus dipantau ukurannya pada server bervolume tinggi.
Performa Server Mail dan Pembatasan Laju
Jumlah Maksimum Koneksi
Ini memetakan ke direktif smtp_accept_max Exim. Menetapkan ini terlalu rendah menyebabkan pengirim yang sah menerima kesalahan 421 Too many connections. Titik awal yang wajar untuk server shared hosting adalah 200–500, tergantung pada RAM yang tersedia (setiap proses Exim mengonsumsi sekitar 8–15 MB).
Jumlah Maksimum Email Per Jam
Ini diberlakukan per akun cPanel melalui penghitung yang disimpan di /var/cpanel/ratelimit/. Ketika sebuah akun melebihi batas, upaya pengiriman berikutnya menerima respons 550 Message rejected. Ini adalah pertahanan utama Anda terhadap akun cPanel yang disusupi yang digunakan untuk kampanye spam.
Batas dasar yang direkomendasikan berdasarkan jenis server:



Jenis Server
Email/Jam Per Domain
Maks Koneksi
Interval Queue Runner








—
—
—
—








Shared Hosting
300–500
200
5 menit








VPS (UKM)
500–1000
300
3 menit








Server Mail Dedicated
Tidak Terbatas atau 5000+
500–1000
1 menit








Server Email Transaksional
SLA per akun
1000+
30 detik





Jika Anda menjalankan lingkungan VPS Hosting dengan beberapa domain klien, pembatasan laju per domain adalah pendekatan yang paling granular dan efektif untuk penahanan penyalahgunaan.
Autentikasi Email: DKIM dan SPF
DKIM (DomainKeys Identified Mail)
Ketika diaktifkan di WHM, Exim menandatangani setiap pesan keluar dengan kunci privat RSA 2048-bit yang disimpan di /etc/domainkeys/<domain>/. Kunci publik yang sesuai diterbitkan sebagai catatan DNS TXT di default._domainkey.<domain>. MTA penerima memverifikasi tanda tangan terhadap kunci publik, mengonfirmasi bahwa pesan tidak diubah dalam transit dan berasal dari server yang berwenang.
Poin konfigurasi penting: cPanel menghasilkan kunci DKIM per domain secara otomatis ketika domain ditambahkan. Namun, jika Anda memigrasikan domain dari server lain, kunci privat tidak ikut ditransfer — Anda harus meregenerasi kunci di WHM di bawah Email > DomainKeys dan memperbarui catatan DNS yang sesuai.
SPF (Sender Policy Framework)
SPF adalah mekanisme berbasis DNS yang menentukan alamat IP mana yang berwenang untuk mengirim mail untuk suatu domain. Exim memeriksa catatan SPF domain pengirim selama fase MAIL FROM SMTP. Pemeriksaan SPF yang gagal tidak secara otomatis menolak mail dalam konfigurasi default cPanel — ia menambahkan header. Anda dapat meningkatkan ini menjadi penolakan keras di Advanced Editor.
Keselarasan DMARC mengharuskan SPF dan DKIM dikonfigurasi dengan benar. SPF saja tidak cukup untuk kepatuhan DMARC karena SPF memvalidasi pengirim amplop (MAIL FROM), bukan header From: yang terlihat oleh penerima.
Konfigurasi Routing Email
Backup Mail Exchanger (MX Backup)
Mengonfigurasi server sebagai MX cadangan (MX sekunder dengan nomor prioritas lebih tinggi, misalnya MX 20) menyebabkan pengirim jarak jauh mengantrekan mail ke server Anda ketika MX primer tidak dapat dijangkau. Server Anda kemudian menyimpan mail dan mengantarkannya ketika primer pulih.
Jebakan operasional: MX cadangan yang dikonfigurasi tanpa pemfilteran spam yang tepat menjadi vektor bypass relay spam. Spammer dengan sengaja menargetkan catatan MX sekunder karena sering kali kurang terlindungi dibandingkan server primer. Selalu terapkan aturan ACL dan RBL yang identik pada konfigurasi MX cadangan.
Penanganan Mail Jarak Jauh dan Lokal
Pengaturan ini mengontrol perilaku router Exim untuk setiap domain. Opsi meliputi:

Lokal — Exim mengantarkan mail langsung ke Maildir lokal
Jarak Jauh — Exim meneruskan semua mail untuk domain ke MX eksternal
Cadangan — Exim mengantrekan mail untuk domain ketika MX primer sedang down

Untuk domain yang menggunakan penyedia mail eksternal (Google Workspace, Microsoft 365), atur routing ke Jarak Jauh dan pastikan catatan MX domain mengarah ke penyedia eksternal. Membiarkan routing diatur ke Lokal untuk domain yang dihosting secara eksternal menyebabkan Exim menghasilkan pesan bounce untuk semua mail masuk ke domain tersebut.
Konfigurasi Logging
Logging Exim dikendalikan oleh direktif log_selector. Basic Editor mengekspos opsi yang paling umum dibutuhkan:

Logging transaksi SMTP — mencatat perintah MAIL FROM, RCPT TO, dan DATA dengan timestamp dan alamat IP
Logging email yang diterima — menulis entri log untuk setiap pesan yang diterima, termasuk ukuran pesan dan ID antrean

Log Exim ditulis ke /var/log/exim_mainlog (log transaksi utama) dan /var/log/exim_rejectlog (log pesan yang ditolak). Pada server bervolume tinggi, file-file ini dirotasi setiap hari dan dapat mencapai beberapa gigabyte. Implementasikan rotasi log melalui logrotate dengan kebijakan retensi yang sesuai.
Tips forensik: Saat menyelidiki keluhan spam atau kegagalan pengiriman, alur kerja yang paling efisien adalah:
grep "message-id@example.com" /var/log/exim_mainlog
Ini mengambil rantai pengiriman lengkap untuk ID pesan tertentu, termasuk semua keputusan routing dan respons server jarak jauh.
Advanced Editor: Kontrol Konfigurasi Langsung
Advanced Editor menyajikan template konfigurasi Exim mentah, memungkinkan administrator untuk menyisipkan direktif yang tidak memiliki toggle yang sesuai di Basic Editor. Di sinilah sysadmin berpengalaman mengimplementasikan konfigurasi yang melampaui opsi preset cPanel.
Peringatan: Perubahan yang dibuat di Advanced Editor hanya dipertahankan selama regenerasi template WHM jika ditempatkan di bagian penggantian kustom yang benar. Direktif yang ditempatkan di luar blok kustom yang ditentukan dapat ditimpa ketika WHM memperbarui konfigurasi Exim (misalnya, selama peningkatan versi cPanel).
Implementasi ACL (Access Control List) Kustom
ACL adalah mekanisme pemfilteran Exim yang paling kuat. Mereka dieksekusi pada titik-titik tertentu dalam transaksi SMTP dan dapat menerima, menolak, menunda, atau membuang pesan berdasarkan hampir semua atribut pesan.
Titik eksekusi ACL di Exim:



Hook ACL
Titik Pemicu
Kasus Penggunaan Umum








—
—
—








`acl_smtp_connect`
Koneksi TCP terbentuk
Pemblokiran reputasi IP, pembatasan laju koneksi








`acl_smtp_helo`
Perintah HELO/EHLO diterima
Validasi hostname HELO, pemeriksaan catatan PTR








`acl_smtp_mail`
Perintah MAIL FROM
Validasi domain pengirim, penegakan SPF








`acl_smtp_rcpt`
Perintah RCPT TO
Validasi penerima, pemeriksaan RBL, greylisting








`acl_smtp_data`
Setelah DATA diterima
Pemindaian SpamAssassin, pemfilteran konten, verifikasi DKIM








`acl_smtp_mime`
Per bagian MIME
Pemblokiran jenis lampiran, pemindaian malware





Contoh: Memblokir domain pengirim tertentu di Advanced Editor
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Contoh: Menegakkan penolakan bergaya DMARC untuk kegagalan keras SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Aturan Routing Mail Kustom
Routing lanjutan di Exim menggunakan router — tahap pemrosesan berurutan yang menentukan bagaimana pesan ditangani. Di Advanced Editor, Anda dapat menambahkan router kustom untuk mengimplementasikan:

Penyeimbangan beban di beberapa IP keluar — berguna untuk server email transaksional yang mengelola beberapa domain pengirim
Relay per domain ke layanan SMTP pihak ketiga — rutekan mail untuk @domain.com melalui SendGrid atau Mailgun sambil menangani semua domain lain secara lokal
Routing kondisional berdasarkan header pesan — rutekan pesan dengan header X-Priority tertentu melalui transport prioritas tinggi yang didedikasikan

Contoh: Rutekan domain tertentu melalui relay SMTP eksternal
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Penyetelan Parameter SMTP
Advanced Editor memungkinkan modifikasi parameter timing dan percobaan ulang SMTP inti yang secara signifikan memengaruhi kemampuan pengiriman dan perilaku antrean:

smtp_connect_backoff — penundaan antara upaya percobaan ulang untuk koneksi keluar yang gagal
retry_data_expire — berapa lama Exim menyimpan catatan percobaan ulang (default: 7 hari)
timeout_frozen_after — durasi sebelum pesan yang dibekukan dihapus secara otomatis
ignore_bounce_errors_after — waktu setelah pesan bounce untuk mail yang tidak dapat dikirim dibuang

Rekomendasi penyetelan untuk server bervolume tinggi: Kurangi retry_data_expire menjadi 3 hari dan timeout_frozen_after menjadi 4 hari untuk mencegah antrean mail menumpuk sejumlah besar pesan yang tidak dapat dikirim yang mengonsumsi I/O disk selama proses queue runner.
Kustomisasi Mendalam SpamAssassin
Di luar toggle on/off Basic Editor, Advanced Editor memungkinkan Anda memodifikasi parameter pemanggilan SpamAssassin dalam konfigurasi Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Aturan SpamAssassin kustom ditempatkan di /etc/mail/spamassassin/local.cf. Misalnya, untuk menambahkan peningkatan skor untuk pesan yang gagal SPF dan DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Setelah memodifikasi aturan SpamAssassin, mulai ulang daemon:
systemctl restart spamassassin
Exim vs. MTA Alternatif: Perbandingan Arsitektur
Memahami posisi Exim relatif terhadap MTA lain membantu membenarkan keputusan konfigurasi, terutama saat mengevaluasi apakah akan memigrasikan atau melengkapi tumpukan mail Anda.



Fitur
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








Default pada cPanel/WHM
Ya
Tidak
Tidak
Tidak








Model konfigurasi
File monolitik tunggal
Modular (main.cf + master.cf)
Berbasis makro M4
Sintaks sederhana dan mudah dibaca








Fleksibilitas ACL
Sangat tinggi
Tinggi
Sedang
Sedang








Performa (volume tinggi)
Baik
Sangat baik
Sedang
Baik








Penandatanganan DKIM (native)
Melalui integrasi cPanel
Melalui `opendkim`
Melalui `opendkim`
Native








Kurva pembelajaran
Curam
Sedang
Sangat curam
Rendah








Kedalaman integrasi cPanel
Native, penuh
Tidak didukung
Tidak didukung
Tidak didukung








Dokumentasi komunitas
Ekstensif
Ekstensif
Menurun
Berkembang





Untuk lingkungan berbasis cPanel — baik Shared Web Hosting maupun infrastruktur dedicated — Exim adalah satu-satunya MTA yang didukung penuh. Mengganti Exim dengan Postfix pada server cPanel secara teknis memungkinkan tetapi tidak didukung dan membatalkan bantuan cPanel untuk masalah terkait mail.
Penguatan Keamanan: Melampaui Konfigurasi Default
Konfigurasi Exim cPanel default berfungsi tetapi tidak diperkuat. Langkah-langkah berikut melampaui apa yang diekspos Basic Editor dan mewakili praktik keamanan tingkat produksi.
Nonaktifkan Verifikasi Open Relay
Konfirmasikan server Anda bukan open relay segera setelah perubahan konfigurasi apa pun:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Server yang dikonfigurasi dengan benar harus mengembalikan 550 pada tahap RCPT TO untuk domain penerima mana pun yang tidak dihosting secara lokal.
Terapkan TLS untuk Koneksi Keluar
Tambahkan yang berikut ke Advanced Editor untuk mewajibkan TLS untuk koneksi keluar ke domain yang mengiklankan STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Memasangkan ini dengan Sertifikat SSL yang valid pada server mail Anda memastikan koneksi masuk dan keluar dienkripsi dan dapat diverifikasi.
Pembatasan Laju di Tingkat ACL
Pembatasan laju per akun WHM beroperasi di lapisan aplikasi. Untuk pencegahan penyalahgunaan volumetrik di lapisan SMTP, tambahkan pembatasan laju langsung ke ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Ini membatasi alamat IP tunggal mana pun hingga 100 koneksi baru per menit — efektif melawan lonjakan spam yang digerakkan botnet tanpa memengaruhi pengirim bervolume tinggi yang sah yang mempertahankan koneksi persisten.
Mengimplementasikan Penegakan DMARC
DMARC tidak ditegakkan secara native oleh Exim dalam konfigurasi default cPanel — hanya menghasilkan laporan. Untuk menegakkan penolakan DMARC, instal daemon opendmarc dan integrasikan dengan Exim melalui milter atau soket lokal. Atau, gunakan modul Perl Mail::DMARC melalui filter Exim kustom.
Untuk server di mana kemampuan pengiriman email sangat penting bagi bisnis — seperti yang menjalankan layanan Email Hosting — mengimplementasikan penegakan DMARC penuh (p=reject) pada domain pengirim Anda adalah peningkatan kemampuan pengiriman dengan dampak tertinggi yang tersedia.
Mendiagnosis Masalah Exim yang Umum
Inspeksi dan Manajemen Antrean Mail
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Menguji Sintaks Konfigurasi Exim
Sebelum memulai ulang Exim setelah pengeditan konfigurasi manual, selalu validasi sintaks:
exim -C /etc/exim.conf -bV
Output yang bersih mengonfirmasi file konfigurasi diurai tanpa kesalahan. Kesalahan sintaks apa pun akan dilaporkan dengan referensi nomor baris.
Melacak Pesan Tertentu
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Memeriksa Status Penandatanganan DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Pertimbangan Operasional untuk Berbagai Lingkungan Hosting
Konfigurasi Exim yang tepat bervariasi secara signifikan berdasarkan peran dan skala server.
Server shared hosting yang menjalankan puluhan hingga ratusan akun cPanel memerlukan pembatasan laju yang agresif, pemindaian SpamAssassin wajib, dan penegakan RBL. Satu akun yang disusupi dapat mengakibatkan IP server masuk daftar hitam dalam hitungan jam. Jika Anda mengelola VPS dengan cPanel, mengimplementasikan batas laju per akun dan pemicu penangguhan akun otomatis melalui fitur Notify on Spam WHM sangat penting.
Server mail dedicated yang menangani email transaksional untuk satu organisasi mendapat manfaat dari batas laju yang lebih longgar, routing kustom ke beberapa IP keluar (rotasi IP untuk kemampuan pengiriman), dan penegakan DMARC langsung. Server Dedicated memberi Anda kendali penuh atas reputasi IP dan konfigurasi catatan PTR — keduanya merupakan faktor penting dalam tingkat penempatan kotak masuk.
Lingkungan AI atau pipeline data berkapasitas tinggi yang menghasilkan notifikasi email otomatis dapat memperoleh manfaat dari pemisahan mail transaksional dari mail massal di tingkat MTA, menggunakan konfigurasi transport yang berbeda dan alamat IP keluar untuk setiap kelas lalu lintas.
Matriks Keputusan Teknis: Daftar Periksa Konfigurasi
Gunakan daftar periksa ini untuk mengaudit konfigurasi Exim Anda terhadap standar tingkat produksi:
Autentikasi dan penandatanganan

Kunci DKIM 2048-bit dihasilkan dan catatan DNS TXT diterbitkan untuk semua domain pengirim
Catatan SPF diterbitkan dengan -all (hard fail) untuk semua domain
Kebijakan DMARC diatur minimal p=quarantine dengan alamat pelaporan yang dikonfigurasi
Sertifikat TLS valid dan mencakup hostname utama server (mail.yourdomain.com)

Kontrol anti-penyalahgunaan

Setidaknya dua RBL diaktifkan (rekomendasikan zen.spamhaus.org + satu sekunder)
SpamAssassin diaktifkan dengan ambang batas skor 5.0 dan penghapusan otomatis pada 10.0
Batas laju email per akun dikonfigurasi (300–500/jam untuk shared hosting)
Pembatasan laju tingkat koneksi diimplementasikan di acl_smtp_connect

• Greylisting diaktifkan untuk pengirim yang tidak dikenal

Routing dan pengiriman

• Semua domain diverifikasi sebagai Lokal, Jarak Jauh, atau Cadangan — tidak ada domain yang dibiarkan dalam keadaan ambigu
• MX cadangan (jika dikonfigurasi) menerapkan aturan ACL yang identik dengan MX primer
• Uji open relay lulus (tidak ada relay tidak sah yang memungkinkan)

Pemantauan dan logging

• Logging transaksi SMTP diaktifkan
• Rotasi log dikonfigurasi dengan retensi minimum 30 hari
• Peringatan dikonfigurasi untuk kedalaman antrean yang melebihi ambang batas (misalnya, 500+ pesan)
• Tinjauan rutin /var/log/exim_rejectlog untuk pola false positive

Pemeliharaan

• Pembaruan otomatis cPanel/WHM diaktifkan untuk rilis keamanan
• Versi Exim diperiksa terhadap catatan rilis upstream setiap kuartal
• Pembaruan aturan SpamAssassin diotomatiskan melalui cron job sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

FAQ

Apa perbedaan antara Basic Editor dan Advanced Editor di Exim Configuration Manager?

Basic Editor menyediakan akses berbasis toggle ke pengaturan Exim yang paling umum dibutuhkan — filter spam, batas laju, DKIM, SPF, dan routing — tanpa mengekspos sintaks konfigurasi mentah. Advanced Editor memberikan akses langsung ke template konfigurasi Exim, memungkinkan penyisipan ACL kustom, router, transport, dan direktif yang tidak memiliki padanan di Basic Editor. Keduanya menulis ke file konfigurasi dasar yang sama.

Apakah perubahan di Exim Configuration Manager WHM akan bertahan setelah pembaruan cPanel?

Perubahan yang dibuat melalui Basic Editor disimpan dalam database konfigurasi WHM dan diterapkan kembali ketika template Exim diregenerasi selama pembaruan. Perubahan yang dibuat di Advanced Editor hanya dipertahankan jika ditempatkan dalam bagian penggantian kustom yang ditentukan dari template. Direktif yang disisipkan di luar bagian ini dapat ditimpa selama peningkatan versi cPanel.

Bagaimana cara menghentikan akun cPanel yang disusupi dari pengiriman spam melalui Exim?

Segera tangguhkan akun di WHM, lalu hapus pesan yang diantreannya:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Setelah penangguhan, audit log mail terkirim akun, rotasi semua kredensial, dan pindai web shell atau backdoor. Implementasikan pembatasan laju per akun dan ambang batas Notify on Spam WHM untuk mendeteksi insiden di masa mendatang lebih awal.

Mengapa email yang sah ditolak oleh server Exim saya setelah mengaktifkan RBL?

False positive RBL paling sering terjadi dengan mail dari penyedia infrastruktur bersama besar (AWS, Google, Microsoft) yang rentang IP-nya mungkin muncul di beberapa daftar karena penyalahgunaan penyewa lain. Periksa RBL spesifik yang menyebabkan penolakan menggunakan dig <reversed-ip>.zen.spamhaus.org dan masukkan IP atau rentang CIDR ke daftar putih di host_list Exim jika pengirim sah. Pertimbangkan menggunakan warn alih-alih deny untuk RBL sekunder guna mencatat hit tanpa menolak.

Apakah Exim Configuration Manager mendukung penegakan DMARC secara native?

Tidak. Exim Configuration Manager cPanel menangani pemeriksaan SPF dan penandatanganan DKIM secara native, tetapi penegakan DMARC (bertindak berdasarkan kebijakan p=reject atau p=quarantine yang diterbitkan oleh domain pengirim) memerlukan perangkat lunak tambahan seperti opendmarc yang diintegrasikan sebagai milter, atau filter Exim kustom menggunakan modul Perl Mail::DMARC. Pelaporan DMARC (menerima laporan agregat) adalah fungsi terpisah yang ditangani oleh prosesor laporan DMARC khusus.