Menedżer Konfiguracji Exim w cPanel/WHM: Kompletny Przewodnik Techniczny

Exim to Agent Transferu Poczty (MTA) opracowany na Uniwersytecie Cambridge, szeroko stosowany na serwerach hostingowych opartych na Linux jako domyślny szkielet poczty elektronicznej dla środowisk cPanel/WHM. Menedżer Konfiguracji Exim w WHM to graficzny interfejs, który udostępnia dyrektywy konfiguracyjne Exim — od podstawowych przełączników filtrowania spamu po edycję surowych ACL — bez konieczności bezpośredniej manipulacji /etc/exim.conf.

Dla administratorów serwerów narzędzie to jest najważniejszą powierzchnią kontrolną dla dostarczalności poczty, poziomu bezpieczeństwa i zapobiegania nadużyciom. Błędna konfiguracja może skutkować ujawnieniem otwartej przekaźni, umieszczeniem na czarnej liście lub całkowitym niepowodzeniem dostarczania poczty. Prawidłowa konfiguracja oznacza wzmocniony, wydajny stos poczty, który przechodzi walidację SPF, DKIM i DMARC dla każdej wiadomości wychodzącej.

Czym jest Exim i dlaczego ma znaczenie na serwerach cPanel

Exim przetwarza zarówno przychodzący, jak i wychodzący ruch SMTP, stosując potok List Kontroli Dostępu (ACL), reguł routingu, sterowników transportu i skryptów filtrów na każdym etapie obsługi wiadomości. Na typowym serwerze cPanel Exim działa obok Dovecot (IMAP/POP3) i SpamAssassin, tworząc trójwarstwowy stos poczty, w którym Exim jest punktem wejścia i wyjścia dla wszystkich sesji SMTP.

W przeciwieństwie do Postfix lub Sendmail, konfiguracja Exim to pojedynczy monolityczny plik (/etc/exim.conf w systemach cPanel, dowiązany symbolicznie z /etc/exim.conf.local dla niestandardowych nadpisań), który definiuje routery, transporty, ACL i reguły przepisywania w określonej kolejności. WHM cPanel generuje ten plik dynamicznie z systemu szablonów — i właśnie dlatego istnieje Menedżer Konfiguracji Exim: aby pozwolić WHM bezpiecznie regenerować konfigurację bez nadpisywania Twoich dostosowań.

Kluczowe role architektoniczne Exim na serwerze cPanel:

• Przyjmuje przychodzące połączenia SMTP na portach 25, 465 (SMTPS) i 587 (submission)
• Stosuje ACL przed-DATA i po-DATA dla spamu, uwierzytelniania i egzekwowania polityk
• Kieruje pocztę do lokalnego dostarczania Maildir przez Dovecot LDA lub przekazuje wychodzące wiadomości do zdalnych MTA
• Wykonuje skanowanie SpamAssassin przez demona spamd
• Podpisuje wychodzące wiadomości DKIM przy użyciu kluczy prywatnych per-domena przechowywanych w /etc/domainkeys/

Dostęp do Menedżera Konfiguracji Exim w WHM

Menedżer Konfiguracji Exim jest wyłącznie narzędziem WHM (Web Host Manager) — nie jest dostępny z indywidualnych kont cPanel. Potrzebujesz dostępu WHM na poziomie root lub resellera.

Ścieżka nawigacji:

1. Zaloguj się do WHM pod adresem https://your-server-ip:2087
2. W lewym pasku wyszukiwania wpisz Exim
3. Wybierz Menedżer Konfiguracji Exim w sekcji Konfiguracja Usług

Alternatywnie przejdź bezpośrednio do:

WHM > Home > Service Configuration > Exim Configuration Manager

Po załadowaniu interfejs prezentuje dwie zakładki: Edytor Podstawowy i Edytor Zaawansowany. Nie są to niezależne narzędzia — zmiany w Edytorze Podstawowym zapisują ustrukturyzowane dyrektywy do tego samego bazowego szablonu, który Edytor Zaawansowany udostępnia w surowej formie.

Krytyczna uwaga operacyjna: Za każdym razem, gdy klikniesz Zapisz w którymkolwiek edytorze, WHM wywołuje exim_tidydb i restartuje usługę Exim. Na zajętym serwerze planuj zmiany konfiguracji podczas okien niskiego ruchu, aby uniknąć przerywania aktywnych połączeń SMTP.

Edytor Podstawowy: Szczegółowe omówienie funkcji

Edytor Podstawowy organizuje konfigurowalne opcje Exim w logiczne sekcje. Każdy przełącznik lub pole wejściowe mapuje się na konkretną dyrektywę lub makro w generowanym exim.conf. Zrozumienie, co każde ustawienie faktycznie robi na poziomie protokołu — nie tylko co mówi etykieta — jest niezbędne do podejmowania świadomych decyzji.

Bezpieczeństwo Serwera Pocztowego i Funkcje Antyspamowe

Integracja SpamAssassin

Po włączeniu Exim przepuszcza każdą przychodzącą wiadomość przez spamd przy użyciu klienta spamc. SpamAssassin przypisuje wynik numeryczny na podstawie analizy nagłówków, filtrowania bayesowskiego i dopasowywania reguł. Wiadomości przekraczające skonfigurowany próg (domyślnie: 5,0) otrzymują nagłówek X-Spam-Status: Yes. Implementacja WHM obsługuje również automatyczne usuwanie wiadomości powyżej wyższego progu (domyślnie: 10,0).

Często pomijany szczegół: skanowanie SpamAssassin dodaje opóźnienie do każdej przychodzącej transakcji SMTP. Na serwerach obsługujących ponad 50 jednoczesnych połączeń upewnij się, że spamd działa z odpowiednią liczbą procesów potomnych (--max-children), aby zapobiec gromadzeniu się kolejki.

RBL (Listy Czarnych Dziur w Czasie Rzeczywistym)

RBL wykonują wyszukiwanie DNS w bazie danych czarnej listy dla każdego łączącego się adresu IP. Jeśli IP jest na liście, Exim odrzuca połączenie na etapie SMTP RCPT TO z błędem 550 — przed przesłaniem jakichkolwiek danych wiadomości, oszczędzając przepustowość i zasoby przetwarzania.

Domyślna lista RBL cPanel zawiera:

zen.spamhaus.org — lista złożona obejmująca SBL, XBL i PBL
bl.spamcop.net — lista oparta na raportach SpamCop
b.barracudacentral.org — Lista Blokowania Reputacji Barracuda

Pułapka: Agresywne używanie RBL może powodować fałszywe alarmy, szczególnie dla poczty pochodzącej z dużej współdzielonej infrastruktury (AWS SES, Google Workspace, adresy IP wychodzące Office 365). Zawsze testuj dodawane RBL względem swoich legalnych źródeł poczty przed włączeniem w środowisku produkcyjnym.
Weryfikacja Nadawcy (Weryfikacja Callout)
Ta funkcja instruuje Exim, aby otworzył tymczasowe połączenie SMTP z powrotem do serwera pocztowego nadawcy i wydał RCPT TO dla podanego adresu nadawcy. Jeśli zdalny serwer odrzuci adres, Exim odrzuca przychodzącą wiadomość.
Znany przypadek brzegowy: Weryfikacja nadawcy może powodować błędy dostarczania, gdy domena wysyłająca używa pustego nadawcy (MAIL FROM:<>) dla wiadomości zwrotnych, lub gdy zdalny MTA implementuje środki anty-callout (zwracając 250 dla wszystkich sond RCPT). Jest to częste źródło fałszywych odrzuceń dla zautomatyzowanych systemów powiadomień i oprogramowania list mailingowych.
Greylisting
Greylisting tymczasowo odrzuca pocztę od nieznanych trójek nadawca/IP/odbiorca odpowiedzią 451 Try again later. Legalne MTA ponawiają próbę po skonfigurowanym opóźnieniu (zazwyczaj 5–10 minut), po czym trójka jest umieszczana na białej liście. Silniki spamu rzadko ponawiają próby, więc odrzucenie jest w praktyce trwałe.
Szczegół implementacji: cPanel implementuje greylisting przez demona greylistd, który utrzymuje bazę danych SQLite trójek w /var/cpanel/greylist/. Baza danych rośnie z czasem i powinna być monitorowana pod kątem rozmiaru na serwerach o dużym wolumenie.
Wydajność Serwera Pocztowego i Ograniczanie Szybkości
Maksymalna Liczba Połączeń
To mapuje się na dyrektywę smtp_accept_max Exim. Ustawienie zbyt niskiej wartości powoduje, że legalni nadawcy otrzymują błędy 421 Too many connections. Rozsądny punkt wyjścia dla serwera hostingu współdzielonego to 200–500, w zależności od dostępnej RAM (każdy proces Exim zużywa około 8–15 MB).
Maksymalna Liczba Wiadomości na Godzinę
Jest to egzekwowane per konto cPanel przez licznik przechowywany w /var/cpanel/ratelimit/. Gdy konto przekroczy limit, kolejne próby wysłania otrzymują odpowiedź 550 Message rejected. Jest to Twoja podstawowa obrona przed przejętymi kontami cPanel używanymi do kampanii spamowych.
Zalecane limity bazowe według typu serwera:



Typ Serwera
Wiadomości/Godzinę na Domenę
Maks. Połączeń
Interwał Kolejki








—
—
—
—








Hosting Współdzielony
300–500
200
5 minut








VPS (MŚP)
500–1000
300
3 minuty








Dedykowany Serwer Pocztowy
Bez limitu lub 5000+
500–1000
1 minuta








Transakcyjny Serwer Pocztowy
SLA per konto
1000+
30 sekund





Jeśli prowadzisz środowisko Hostingu VPS z wieloma domenami klientów, ograniczanie szybkości per domena jest najbardziej szczegółowym i skutecznym podejściem do ograniczania nadużyć.
Uwierzytelnianie Poczty: DKIM i SPF
DKIM (DomainKeys Identified Mail)
Po włączeniu w WHM Exim podpisuje każdą wychodzącą wiadomość 2048-bitowym kluczem prywatnym RSA przechowywanym w /etc/domainkeys/<domain>/. Odpowiadający klucz publiczny jest publikowany jako rekord DNS TXT w default._domainkey.<domain>. Odbierające MTA weryfikują podpis względem klucza publicznego, potwierdzając, że wiadomość nie została zmieniona podczas przesyłania i pochodzi z autoryzowanego serwera.
Krytyczny punkt konfiguracji: cPanel generuje klucze DKIM per domena automatycznie po dodaniu domeny. Jednak jeśli migrujesz domeny z innego serwera, klucze prywatne nie są przenoszone — musisz zregenerować klucze w WHM w sekcji Poczta > DomainKeys i odpowiednio zaktualizować rekordy DNS.
SPF (Sender Policy Framework)
SPF to mechanizm oparty na DNS, który określa, które adresy IP są autoryzowane do wysyłania poczty dla danej domeny. Exim sprawdza rekord SPF domeny nadawcy podczas fazy SMTP MAIL FROM. Nieudane sprawdzenie SPF nie odrzuca automatycznie poczty w domyślnej konfiguracji cPanel — dodaje nagłówek. Możesz to zmienić na twarde odrzucenie w Edytorze Zaawansowanym.
Wyrównanie DMARC wymaga prawidłowej konfiguracji zarówno SPF, jak i DKIM. Sam SPF jest niewystarczający dla zgodności z DMARC, ponieważ SPF weryfikuje nadawcę koperty (MAIL FROM), a nie nagłówek From: widoczny dla odbiorców.
Konfiguracja Routingu Poczty
Zapasowy Serwer Wymiany Poczty (Backup MX)
Konfiguracja serwera jako zapasowego MX (pomocniczy MX z wyższym numerem priorytetu, np. MX 20) powoduje, że zdalni nadawcy kolejkują pocztę na Twoim serwerze, gdy główny MX jest niedostępny. Twój serwer przechowuje pocztę i dostarcza ją po odzyskaniu głównego serwera.
Pułapka operacyjna: Zapasowy MX skonfigurowany bez odpowiedniego filtrowania spamu staje się wektorem obejścia przekaźnika spamu. Spamerzy celowo atakują pomocnicze rekordy MX, ponieważ są często mniej chronione niż serwery główne. Zawsze stosuj identyczne reguły ACL i RBL do konfiguracji zapasowego MX.
Obsługa Poczty Zdalnej i Lokalnej
To ustawienie kontroluje zachowanie routera Exim dla każdej domeny. Opcje obejmują:

Lokalna — Exim dostarcza pocztę bezpośrednio do lokalnego Maildir
Zdalna — Exim przekazuje całą pocztę dla domeny do zewnętrznego MX
Zapasowa — Exim kolejkuje pocztę dla domeny, gdy główny MX jest niedostępny

Dla domen używających zewnętrznych dostawców poczty (Google Workspace, Microsoft 365) ustaw routing na Zdalny i upewnij się, że rekordy MX domeny wskazują na zewnętrznego dostawcę. Pozostawienie routingu ustawionego na Lokalny dla domen hostowanych zewnętrznie powoduje, że Exim generuje wiadomości zwrotne dla całej przychodzącej poczty do tych domen.
Konfiguracja Logowania
Logowanie Exim jest kontrolowane przez dyrektywę log_selector. Edytor Podstawowy udostępnia najczęściej potrzebne opcje:

Logowanie transakcji SMTP — rejestruje polecenia MAIL FROM, RCPT TO i DATA ze znacznikami czasu i adresami IP
Logowanie odebranych wiadomości — zapisuje wpis dziennika dla każdej zaakceptowanej wiadomości, w tym rozmiar wiadomości i identyfikator kolejki

Logi Exim są zapisywane do /var/log/exim_mainlog (główny dziennik transakcji) i /var/log/exim_rejectlog (dziennik odrzuconych wiadomości). Na serwerach o dużym wolumenie pliki te rotują codziennie i mogą osiągać kilka gigabajtów. Zaimplementuj rotację logów przez logrotate z odpowiednimi politykami retencji.
Wskazówka śledcza: Podczas badania skargi na spam lub błędu dostarczania, najbardziej efektywny przepływ pracy to:
grep "message-id@example.com" /var/log/exim_mainlog
Pobiera to kompletny łańcuch dostarczania dla konkretnego identyfikatora wiadomości, w tym wszystkie decyzje routingu i odpowiedzi zdalnych serwerów.
Edytor Zaawansowany: Bezpośrednia Kontrola Konfiguracji
Edytor Zaawansowany prezentuje surowy szablon konfiguracji Exim, umożliwiając administratorom wstawianie dyrektyw, które nie mają odpowiedniego przełącznika w Edytorze Podstawowym. To tutaj doświadczeni administratorzy systemów implementują konfiguracje wykraczające poza predefiniowane opcje cPanel.
Ostrzeżenie: Zmiany wprowadzone w Edytorze Zaawansowanym są zachowywane podczas regeneracji szablonu WHM tylko wtedy, gdy są umieszczone w odpowiednich sekcjach nadpisań. Dyrektywy umieszczone poza wyznaczonymi blokami niestandardowymi mogą zostać nadpisane, gdy WHM aktualizuje konfigurację Exim (np. podczas aktualizacji wersji cPanel).
Implementacja Niestandardowych ACL (List Kontroli Dostępu)
ACL to najpotężniejszy mechanizm filtrowania Exim. Wykonują się w określonych punktach transakcji SMTP i mogą akceptować, odrzucać, odraczać lub odrzucać wiadomości na podstawie praktycznie dowolnego atrybutu wiadomości.
Punkty wykonania ACL w Exim:



Hak ACL
Punkt Wyzwalania
Typowe Przypadki Użycia








—
—
—








`acl_smtp_connect`
Nawiązano połączenie TCP
Blokowanie reputacji IP, ograniczanie szybkości połączeń








`acl_smtp_helo`
Odebrano polecenie HELO/EHLO
Walidacja nazwy hosta HELO, sprawdzanie rekordów PTR








`acl_smtp_mail`
Polecenie MAIL FROM
Walidacja domeny nadawcy, egzekwowanie SPF








`acl_smtp_rcpt`
Polecenie RCPT TO
Walidacja odbiorcy, sprawdzanie RBL, greylisting








`acl_smtp_data`
Po odebraniu DATA
Skanowanie SpamAssassin, filtrowanie treści, weryfikacja DKIM








`acl_smtp_mime`
Per część MIME
Blokowanie typów załączników, skanowanie złośliwego oprogramowania





Przykład: Blokowanie konkretnej domeny wysyłającej w Edytorze Zaawansowanym
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Przykład: Egzekwowanie odrzucenia w stylu DMARC dla twardych błędów SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Niestandardowe Reguły Routingu Poczty
Zaawansowany routing w Exim używa routerów — uporządkowanych etapów przetwarzania, które określają sposób obsługi wiadomości. W Edytorze Zaawansowanym możesz dodawać niestandardowe routery do implementacji:

Równoważenie obciążenia między wieloma wychodzącymi adresami IP — przydatne dla transakcyjnych serwerów pocztowych zarządzających wieloma domenami wysyłającymi
Przekazywanie per domena do zewnętrznych usług SMTP — kieruj pocztę dla @domain.com przez SendGrid lub Mailgun, obsługując wszystkie inne domeny lokalnie
Warunkowy routing oparty na nagłówkach wiadomości — kieruj wiadomości z określonymi nagłówkami X-Priority przez dedykowany transport o wysokim priorytecie

Przykład: Kierowanie konkretnej domeny przez zewnętrzny przekaźnik SMTP
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Dostrajanie Parametrów SMTP
Edytor Zaawansowany umożliwia modyfikację podstawowych parametrów czasowych SMTP i ponownych prób, które znacząco wpływają na dostarczalność i zachowanie kolejki:

smtp_connect_backoff — opóźnienie między próbami ponowienia dla nieudanych połączeń wychodzących
retry_data_expire — jak długo Exim przechowuje rekordy ponowień (domyślnie: 7 dni)
timeout_frozen_after — czas, po którym zamrożona wiadomość jest automatycznie usuwana
ignore_bounce_errors_after — czas, po którym wiadomości zwrotne dla niedostarczalnej poczty są odrzucane

Zalecenie dostrajania dla serwerów o dużym wolumenie: Zmniejsz retry_data_expire do 3 dni i timeout_frozen_after do 4 dni, aby zapobiec gromadzeniu się w kolejce poczty dużej liczby niedostarczalnych wiadomości, które zużywają I/O dysku podczas przebiegów kolejki.
Głęboka Personalizacja SpamAssassin
Poza przełącznikiem włącz/wyłącz Edytora Podstawowego, Edytor Zaawansowany pozwala modyfikować parametry wywołania SpamAssassin w konfiguracji Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Niestandardowe reguły SpamAssassin są umieszczane w /etc/mail/spamassassin/local.cf. Na przykład, aby dodać zwiększenie punktacji dla wiadomości, które nie przeszły zarówno SPF, jak i DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Po modyfikacji reguł SpamAssassin zrestartuj demona:
systemctl restart spamassassin
Exim vs. Alternatywne MTA: Porównanie Architektury
Zrozumienie miejsca Exim względem innych MTA pomaga uzasadnić decyzje konfiguracyjne, szczególnie przy ocenie, czy migrować lub uzupełnić stos poczty.



Funkcja
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








Domyślny na cPanel/WHM
Tak
Nie
Nie
Nie








Model konfiguracji
Pojedynczy plik monolityczny
Modularny (main.cf + master.cf)
Oparty na makrach M4
Prosta, czytelna składnia








Elastyczność ACL
Bardzo wysoka
Wysoka
Umiarkowana
Umiarkowana








Wydajność (duży wolumen)
Dobra
Doskonała
Umiarkowana
Dobra








Podpisywanie DKIM (natywne)
Przez integrację cPanel
Przez `opendkim`
Przez `opendkim`
Natywne








Krzywa uczenia się
Stroma
Umiarkowana
Bardzo stroma
Niska








Głębokość integracji cPanel
Natywna, pełna
Nieobsługiwana
Nieobsługiwana
Nieobsługiwana








Dokumentacja społeczności
Obszerna
Obszerna
Malejąca
Rosnąca





Dla środowisk opartych na cPanel — zarówno Hostingu Współdzielonego, jak i dedykowanej infrastruktury — Exim jest jedynym w pełni obsługiwanym MTA. Zastąpienie go Postfix na serwerze cPanel jest technicznie możliwe, ale nieobsługiwane i unieważnia pomoc cPanel w kwestiach związanych z pocztą.
Wzmacnianie Bezpieczeństwa: Poza Domyślną Konfiguracją
Domyślna konfiguracja Exim cPanel jest funkcjonalna, ale nie wzmocniona. Poniższe środki wykraczają poza to, co udostępnia Edytor Podstawowy i reprezentują praktyki bezpieczeństwa klasy produkcyjnej.
Wyłączanie Weryfikacji Otwartej Przekaźni
Potwierdź, że Twój serwer nie jest otwartą przekaźnią natychmiast po każdej zmianie konfiguracji:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Prawidłowo skonfigurowany serwer powinien zwrócić 550 na etapie RCPT TO dla każdej domeny odbiorcy niehosted lokalnie.
Wymuszanie TLS dla Połączeń Wychodzących
Dodaj następujące do Edytora Zaawansowanego, aby wymagać TLS dla połączeń wychodzących do domen, które ogłaszają STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Połączenie tego z ważnym Certyfikatem SSL na Twoim serwerze pocztowym zapewnia, że zarówno połączenia przychodzące, jak i wychodzące są szyfrowane i weryfikowalne.
Ograniczanie Szybkości na Poziomie ACL
Ograniczanie szybkości per konto WHM działa na warstwie aplikacji. Dla zapobiegania nadużyciom wolumenowym na warstwie SMTP dodaj ograniczanie szybkości bezpośrednio do ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Ogranicza to dowolny pojedynczy adres IP do 100 nowych połączeń na minutę — skuteczne przeciwko seriom spamu napędzanym przez botnety bez wpływu na legalnych nadawców o dużym wolumenie, którzy utrzymują trwałe połączenia.
Implementacja Egzekwowania DMARC
DMARC nie jest natywnie egzekwowany przez Exim w domyślnej konfiguracji cPanel — generuje tylko raporty. Aby egzekwować odrzucenie DMARC, zainstaluj demona opendmarc i zintegruj go z Exim przez milter lub lokalny socket. Alternatywnie użyj modułu Perl Mail::DMARC przez niestandardowy filtr Exim.
Dla serwerów, gdzie dostarczalność poczty jest krytyczna dla biznesu — takich jak te prowadzące usługi Hostingu Poczty — implementacja pełnego egzekwowania DMARC (p=reject) na domenach wysyłających jest pojedynczym najważniejszym dostępnym ulepszeniem dostarczalności.
Diagnozowanie Typowych Problemów Exim
Inspekcja i Zarządzanie Kolejką Poczty
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Testowanie Składni Konfiguracji Exim
Przed restartem Exim po ręcznej edycji konfiguracji zawsze waliduj składnię:
exim -C /etc/exim.conf -bV
Czyste wyjście potwierdza, że plik konfiguracyjny parsuje się bez błędów. Każdy błąd składni zostanie zgłoszony z odniesieniem do numeru linii.
Śledzenie Konkretnej Wiadomości
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Sprawdzanie Statusu Podpisywania DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Rozważania Operacyjne dla Różnych Środowisk Hostingowych
Odpowiednia konfiguracja Exim różni się znacząco w zależności od roli i skali serwera.
Serwery hostingu współdzielonego obsługujące dziesiątki do setek kont cPanel wymagają agresywnego ograniczania szybkości, obowiązkowego skanowania SpamAssassin i egzekwowania RBL. Jedno przejęte konto może spowodować umieszczenie IP serwera na czarnej liście w ciągu kilku godzin. Jeśli zarządzasz VPS z cPanel, implementacja limitów szybkości per konto i wyzwalaczy automatycznego zawieszania kont przez funkcję Powiadamiaj o Spamie WHM jest niezbędna.
Dedykowane serwery pocztowe obsługujące transakcyjną pocztę dla jednej organizacji korzystają z rozluźnionych limitów szybkości, niestandardowego routingu do wielu wychodzących adresów IP (rotacja IP dla dostarczalności) i bezpośredniego egzekwowania DMARC. Serwer Dedykowany daje Ci pełną kontrolę nad reputacją IP i konfiguracją rekordów PTR — oba krytyczne czynniki wpływające na wskaźniki umieszczania w skrzynce odbiorczej.
Środowiska AI lub potoków danych o dużej przepustowości, które generują automatyczne powiadomienia e-mail, mogą skorzystać z oddzielenia transakcyjnej poczty od masowej na poziomie MTA, używając odrębnych konfiguracji transportu i wychodzących adresów IP dla każdej klasy ruchu.
Macierz Decyzji Technicznych: Lista Kontrolna Konfiguracji
Użyj tej listy kontrolnej, aby audytować konfigurację Exim względem standardów klasy produkcyjnej:
Uwierzytelnianie i podpisywanie

Klucze DKIM 2048-bitowe wygenerowane i rekordy DNS TXT opublikowane dla wszystkich domen wysyłających
Rekordy SPF opublikowane z -all (twarde odrzucenie) dla wszystkich domen
Polityka DMARC ustawiona na co najmniej p=quarantine ze skonfigurowanym adresem raportowania
Certyfikat TLS ważny i obejmujący główną nazwę hosta serwera (mail.yourdomain.com)

Kontrole antynadużyciowe

Co najmniej dwa RBL włączone (zalecane zen.spamhaus.org + jeden pomocniczy)
SpamAssassin włączony z progiem punktacji 5,0 i automatycznym usuwaniem przy 10,0
Limity szybkości poczty per konto skonfigurowane (300–500/godzinę dla hostingu współdzielonego)
Ograniczanie szybkości na poziomie połączeń zaimplementowane w acl_smtp_connect

• Greylisting włączony dla nieznanych nadawców

Routing i dostarczanie

• Wszystkie domeny zweryfikowane jako Lokalne, Zdalne lub Zapasowe — żadne domeny nie pozostawione w niejednoznacznym stanie
• Zapasowy MX (jeśli skonfigurowany) stosuje identyczne reguły ACL jak główny MX
• Test otwartej przekaźni zaliczony (brak możliwości nieautoryzowanego przekazywania)

Monitorowanie i logowanie

• Logowanie transakcji SMTP włączone
• Rotacja logów skonfigurowana z minimalną retencją 30 dni
• Alerty skonfigurowane dla głębokości kolejki przekraczającej próg (np. 500+ wiadomości)
• Regularne przeglądanie /var/log/exim_rejectlog pod kątem wzorców fałszywych alarmów

Konserwacja

• Automatyczne aktualizacje cPanel/WHM włączone dla wydań bezpieczeństwa
• Wersja Exim sprawdzana względem informacji o wydaniach upstream kwartalnie
• Aktualizacje reguł SpamAssassin zautomatyzowane przez zadanie cron sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

FAQ

Jaka jest różnica między Edytorem Podstawowym a Edytorem Zaawansowanym w Menedżerze Konfiguracji Exim?

Edytor Podstawowy zapewnia dostęp oparty na przełącznikach do najczęściej potrzebnych ustawień Exim — filtrów spamu, limitów szybkości, DKIM, SPF i routingu — bez ujawniania surowej składni konfiguracji. Edytor Zaawansowany daje bezpośredni dostęp do szablonu konfiguracji Exim, umożliwiając wstawianie niestandardowych ACL, routerów, transportów i dyrektyw, które nie mają odpowiednika w Edytorze Podstawowym. Oba zapisują do tego samego bazowego pliku konfiguracyjnego.

Czy zmiany w Menedżerze Konfiguracji Exim WHM przetrwają aktualizację cPanel?

Zmiany wprowadzone przez Edytor Podstawowy są przechowywane w bazie danych konfiguracji WHM i są ponownie stosowane podczas regeneracji szablonu Exim w trakcie aktualizacji. Zmiany wprowadzone w Edytorze Zaawansowanym są zachowywane tylko wtedy, gdy są umieszczone w wyznaczonych sekcjach niestandardowych nadpisań szablonu. Dyrektywy wstawione poza tymi sekcjami mogą zostać nadpisane podczas aktualizacji wersji cPanel.

Jak zatrzymać przejęte konto cPanel przed wysyłaniem spamu przez Exim?

Natychmiast zawieś konto w WHM, a następnie wyczyść jego kolejkowane wiadomości:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Po zawieszeniu przeprowadź audyt dziennika wysłanej poczty konta, zmień wszystkie dane uwierzytelniające i przeskanuj w poszukiwaniu web shelli lub backdoorów. Zaimplementuj limity szybkości per konto i próg Powiadamiaj o Spamie WHM, aby wcześniej wykrywać przyszłe incydenty.

Dlaczego legalne wiadomości e-mail są odrzucane przez mój serwer Exim po włączeniu RBL?

Fałszywe alarmy RBL występują najczęściej w przypadku poczty od dużych dostawców współdzielonej infrastruktury (AWS, Google, Microsoft), których zakresy IP mogą pojawiać się na niektórych listach z powodu nadużyć innych najemców. Sprawdź konkretny RBL, który spowodował odrzucenie, używając dig <reversed-ip>.zen.spamhaus.org i umieść IP lub zakres CIDR na białej liście w host_list Exim, jeśli nadawca jest legalny. Rozważ użycie warn zamiast deny dla pomocniczych RBL, aby rejestrować trafienia bez odrzucania.

Czy Menedżer Konfiguracji Exim obsługuje natywnie egzekwowanie DMARC?

Nie. Menedżer Konfiguracji Exim cPanel obsługuje natywnie sprawdzanie SPF i podpisywanie DKIM, ale egzekwowanie DMARC (działanie na politykach p=reject lub p=quarantine publikowanych przez domeny wysyłające) wymaga dodatkowego oprogramowania, takiego jak opendmarc zintegrowany jako milter lub niestandardowy filtr Exim używający modułu Perl Mail::DMARC. Raportowanie DMARC (odbieranie raportów zbiorczych) to oddzielna funkcja obsługiwana przez dedykowany procesor raportów DMARC.