Gerenciador de Configuração do Exim no cPanel/WHM: Um Guia Técnico Completo

Exim é um Agente de Transferência de Correio (MTA) desenvolvido na Universidade de Cambridge, amplamente utilizado em servidores de alojamento web baseados em Linux como a infraestrutura de email padrão para ambientes cPanel/WHM. O Gestor de Configuração Exim no WHM é uma interface gráfica que expõe as diretivas de configuração do Exim — desde alternâncias básicas de filtragem de spam até edição de ACL em bruto — sem necessitar de manipulação direta de /etc/exim.conf.

Para administradores de servidores, esta ferramenta é a superfície de controlo mais importante para a entregabilidade de email, postura de segurança e prevenção de abusos. Uma configuração incorreta pode resultar em exposição a relay aberto, inclusão em listas negras ou falha completa na entrega de correio. Configurá-la corretamente significa uma pilha de correio robusta e de alto desempenho que passa na validação SPF, DKIM e DMARC em cada mensagem enviada.

O que é o Exim e por que é importante em servidores cPanel

O Exim processa tráfego SMTP de entrada e saída, aplicando um pipeline de Listas de Controlo de Acesso (ACLs), regras de encaminhamento, controladores de transporte e scripts de filtragem em cada fase do processamento de mensagens. Num servidor cPanel típico, o Exim opera em conjunto com o Dovecot (IMAP/POP3) e o SpamAssassin, formando uma pilha de correio de três camadas onde o Exim é o ponto de entrada e saída para todas as sessões SMTP.

Ao contrário do Postfix ou Sendmail, a configuração do Exim é um único ficheiro monolítico (/etc/exim.conf em sistemas cPanel, com ligação simbólica a partir de /etc/exim.conf.local para substituições personalizadas) que define routers, transportes, ACLs e regras de reescrita numa ordem sequencial específica. O WHM do cPanel gera este ficheiro dinamicamente a partir de um sistema de modelos — razão pela qual existe o Gestor de Configuração Exim: para permitir que o WHM regenere a configuração de forma segura sem sobrescrever as suas personalizações.

Funções arquiteturais principais que o Exim desempenha num servidor cPanel:

• Aceita ligações SMTP de entrada nas portas 25, 465 (SMTPS) e 587 (submissão)
• Aplica ACLs pré-DATA e pós-DATA para spam, autenticação e aplicação de políticas
• Encaminha correio para entrega local em Maildir via Dovecot LDA ou retransmite para MTAs remotos
• Executa a análise do SpamAssassin através do daemon spamd
• Assina mensagens enviadas com DKIM usando chaves privadas por domínio armazenadas em /etc/domainkeys/

Aceder ao Gestor de Configuração Exim no WHM

O Gestor de Configuração Exim é exclusivamente uma ferramenta do WHM (Web Host Manager) — não está acessível a partir de contas cPanel individuais. É necessário ter acesso WHM de nível root ou revendedor.

Caminho de navegação:

1. Inicie sessão no WHM em https://your-server-ip:2087
2. Na barra de pesquisa à esquerda, escreva Exim
3. Selecione Exim Configuration Manager na secção Service Configuration

Em alternativa, navegue diretamente para:

WHM > Home > Service Configuration > Exim Configuration Manager

Após carregar, a interface apresenta dois separadores: Basic Editor e Advanced Editor. Não são ferramentas independentes — as alterações no Basic Editor escrevem diretivas estruturadas no mesmo modelo subjacente que o Advanced Editor expõe em formato bruto.

Nota operacional crítica: Sempre que clicar em Save em qualquer um dos editores, o WHM chama exim_tidydb e reinicia o serviço Exim. Num servidor ocupado, planeie as alterações de configuração em janelas de baixo tráfego para evitar interromper ligações SMTP em curso.

Basic Editor: Análise Funcionalidade a Funcionalidade

O Basic Editor organiza as opções configuráveis do Exim em secções lógicas. Cada alternância ou campo de entrada corresponde a uma diretiva ou macro específica no exim.conf gerado. Compreender o que cada definição realmente faz ao nível do protocolo — não apenas o que a etiqueta indica — é essencial para tomar decisões informadas.

Segurança do Servidor de Correio e Funcionalidades Anti-Spam

Integração com SpamAssassin

Quando ativado, o Exim encaminha cada mensagem recebida através do spamd usando o cliente spamc. O SpamAssassin atribui uma pontuação numérica com base na análise de cabeçalhos, filtragem Bayesiana e correspondência de regras. As mensagens que excedem o limiar configurado (predefinição: 5.0) recebem um cabeçalho X-Spam-Status: Yes. A implementação do WHM também suporta a eliminação automática de mensagens acima de um limiar superior (predefinição: 10.0).

Um detalhe frequentemente ignorado: a análise do SpamAssassin adiciona latência a cada transação SMTP de entrada. Em servidores que processam mais de 50 ligações simultâneas, certifique-se de que o spamd está em execução com processos filho adequados (--max-children) para evitar acumulação na fila.

RBLs (Listas de Bloqueio em Tempo Real)

As RBLs realizam uma consulta DNS a uma base de dados de listas negras para cada endereço IP que se liga. Se o IP estiver listado, o Exim rejeita a ligação na fase RCPT TO do SMTP com um erro 550 — antes de qualquer dado de mensagem ser transmitido, poupando largura de banda e sobrecarga de processamento.

A lista RBL predefinida do cPanel inclui:

zen.spamhaus.org — lista composta que abrange SBL, XBL e PBL
bl.spamcop.net — lista baseada em relatórios do SpamCop
b.barracudacentral.org — Lista de Bloqueio de Reputação da Barracuda

Problema: O uso agressivo de RBLs pode produzir falsos positivos, particularmente para correio originário de grandes infraestruturas partilhadas (AWS SES, Google Workspace, IPs de saída do Office 365). Teste sempre as adições de RBL em relação às suas fontes de correio legítimas antes de ativar em produção.
Verificação do Remetente (Verificação por Callout)
Esta funcionalidade instrui o Exim a abrir uma ligação SMTP temporária de volta ao servidor de correio do remetente e emitir um RCPT TO para o endereço do remetente indicado. Se o servidor remoto rejeitar o endereço, o Exim rejeita a mensagem de entrada.
Caso extremo conhecido: A verificação do remetente pode causar falhas de entrega quando o domínio de envio usa um remetente nulo (MAIL FROM:<>) para mensagens de rejeição, ou quando o MTA remoto implementa medidas anti-callout (devolvendo 250 a todas as sondagens RCPT). Esta é uma fonte comum de rejeições falsas para sistemas de notificação automatizados e software de listas de correio.
Greylisting
O greylisting rejeita temporariamente correio de triplos remetente/IP/destinatário desconhecidos com uma resposta 451 Try again later. Os MTAs legítimos tentam novamente após o atraso configurado (tipicamente 5–10 minutos), altura em que o triplo é colocado na lista branca. Os motores de spam raramente tentam novamente, pelo que a rejeição é permanente na prática.
Detalhe de implementação: O cPanel implementa o greylisting através do daemon greylistd, que mantém uma base de dados SQLite de triplos em /var/cpanel/greylist/. A base de dados cresce ao longo do tempo e deve ser monitorizada quanto ao tamanho em servidores de alto volume.
Desempenho do Servidor de Correio e Limitação de Taxa
Número Máximo de Ligações
Isto corresponde à diretiva smtp_accept_max do Exim. Definir este valor demasiado baixo faz com que os remetentes legítimos recebam erros 421 Too many connections. Um ponto de partida razoável para um servidor de alojamento partilhado é 200–500, dependendo da RAM disponível (cada processo Exim consome aproximadamente 8–15 MB).
Número Máximo de Emails Por Hora
Isto é aplicado por conta cPanel através de um contador armazenado em /var/cpanel/ratelimit/. Quando uma conta excede o limite, as tentativas de envio subsequentes recebem uma resposta 550 Message rejected. Esta é a sua principal defesa contra contas cPanel comprometidas que são usadas para campanhas de spam.
Limites de base recomendados por tipo de servidor:



Tipo de Servidor
Emails/Hora Por Domínio
Máx. de Ligações
Intervalo do Executor de Fila








—
—
—
—








Alojamento Partilhado
300–500
200
5 minutos








VPS (PME)
500–1000
300
3 minutos








Servidor de Correio Dedicado
Ilimitado ou 5000+
500–1000
1 minuto








Servidor de Email Transacional
SLA por conta
1000+
30 segundos





Se estiver a gerir um ambiente de Alojamento VPS com múltiplos domínios de clientes, a limitação de taxa por domínio é a abordagem mais granular e eficaz para contenção de abusos.
Autenticação de Email: DKIM e SPF
DKIM (DomainKeys Identified Mail)
Quando ativado no WHM, o Exim assina cada mensagem enviada com uma chave privada RSA de 2048 bits armazenada em /etc/domainkeys/<domain>/. A chave pública correspondente é publicada como um registo DNS TXT em default._domainkey.<domain>. Os MTAs recetores verificam a assinatura em relação à chave pública, confirmando que a mensagem não foi alterada em trânsito e que teve origem num servidor autorizado.
Ponto de configuração crítico: O cPanel gera chaves DKIM por domínio automaticamente quando um domínio é adicionado. No entanto, se migrar domínios de outro servidor, as chaves privadas não são transferidas — deve regenerar as chaves no WHM em Email > DomainKeys e atualizar os registos DNS em conformidade.
SPF (Sender Policy Framework)
O SPF é um mecanismo baseado em DNS que especifica quais os endereços IP autorizados a enviar correio para um domínio. O Exim verifica o registo SPF do domínio do remetente durante a fase MAIL FROM do SMTP. Uma verificação SPF falhada não rejeita automaticamente o correio na configuração predefinida do cPanel — adiciona um cabeçalho. Pode escalar isto para uma rejeição definitiva no Advanced Editor.
O alinhamento DMARC requer que tanto o SPF como o DKIM estejam configurados corretamente. O SPF por si só é insuficiente para conformidade com DMARC porque o SPF valida o remetente do envelope (MAIL FROM), não o cabeçalho From: visível para os destinatários.
Configuração de Encaminhamento de Email
Servidor de Correio de Reserva (MX Backup)
Configurar um servidor como MX de reserva (MX secundário com um número de prioridade mais alto, por exemplo, MX 20) faz com que os remetentes remotos coloquem o correio em fila no seu servidor quando o MX primário está inacessível. O seu servidor retém então o correio e entrega-o quando o primário recuperar.
Problema operacional: Um MX de reserva configurado sem filtragem de spam adequada torna-se um vetor de contorno de relay de spam. Os spammers visam deliberadamente registos MX secundários porque são frequentemente menos protegidos do que os servidores primários. Aplique sempre regras ACL e RBL idênticas às configurações de MX de reserva.
Processamento de Correio Remoto e Local
Esta definição controla o comportamento do router do Exim para cada domínio. As opções incluem:

Local — O Exim entrega o correio diretamente ao Maildir local
Remote — O Exim retransmite todo o correio do domínio para um MX externo
Backup — O Exim coloca em fila o correio de um domínio quando o MX primário está inativo

Para domínios que utilizam fornecedores de correio externos (Google Workspace, Microsoft 365), defina o encaminhamento como Remote e certifique-se de que os registos MX do domínio apontam para o fornecedor externo. Deixar o encaminhamento definido como Local para domínios alojados externamente faz com que o Exim gere mensagens de rejeição para todo o correio de entrada para esses domínios.
Configuração de Registos
O registo do Exim é controlado pela diretiva log_selector. O Basic Editor expõe as opções mais frequentemente necessárias:

Registo de transações SMTP — regista comandos MAIL FROM, RCPT TO e DATA com marcas temporais e endereços IP
Registo de emails recebidos — escreve uma entrada de registo para cada mensagem aceite, incluindo o tamanho da mensagem e o ID da fila

Os registos do Exim são escritos em /var/log/exim_mainlog (registo principal de transações) e /var/log/exim_rejectlog (registo de mensagens rejeitadas). Em servidores de alto volume, estes ficheiros rodam diariamente e podem atingir vários gigabytes. Implemente a rotação de registos via logrotate com políticas de retenção adequadas.
Dica forense: Ao investigar uma reclamação de spam ou falha de entrega, o fluxo de trabalho mais eficiente é:
grep "message-id@example.com" /var/log/exim_mainlog
Isto recupera a cadeia de entrega completa para um ID de mensagem específico, incluindo todas as decisões de encaminhamento e respostas do servidor remoto.
Advanced Editor: Controlo Direto da Configuração
O Advanced Editor apresenta o modelo de configuração Exim em bruto, permitindo aos administradores inserir diretivas que não têm alternância correspondente no Basic Editor. É aqui que os administradores de sistemas experientes implementam configurações que vão além das opções predefinidas do cPanel.
Aviso: As alterações feitas no Advanced Editor são preservadas nas regenerações de modelos do WHM apenas se forem colocadas nas secções de substituição corretas. As diretivas colocadas fora dos blocos personalizados designados podem ser sobrescritas quando o WHM atualiza a configuração do Exim (por exemplo, durante atualizações de versão do cPanel).
Implementação de ACL (Lista de Controlo de Acesso) Personalizada
As ACLs são o mecanismo de filtragem mais poderoso do Exim. Executam em pontos específicos da transação SMTP e podem aceitar, rejeitar, diferir ou descartar mensagens com base em praticamente qualquer atributo da mensagem.
Pontos de execução de ACL no Exim:



Gancho ACL
Ponto de Acionamento
Casos de Uso Comuns








—
—
—








`acl_smtp_connect`
Ligação TCP estabelecida
Bloqueio por reputação de IP, limitação de taxa de ligação








`acl_smtp_helo`
Comando HELO/EHLO recebido
Validação do nome de anfitrião HELO, verificações de registo PTR








`acl_smtp_mail`
Comando MAIL FROM
Validação do domínio do remetente, aplicação de SPF








`acl_smtp_rcpt`
Comando RCPT TO
Validação do destinatário, verificações RBL, greylisting








`acl_smtp_data`
Após receção de DATA
Análise SpamAssassin, filtragem de conteúdo, verificação DKIM








`acl_smtp_mime`
Por parte MIME
Bloqueio de tipo de anexo, análise de malware





Exemplo: Bloquear um domínio de envio específico no Advanced Editor
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Exemplo: Aplicar rejeição no estilo DMARC para falhas definitivas de SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Regras de Encaminhamento de Correio Personalizadas
O encaminhamento avançado no Exim usa routers — fases de processamento ordenadas que determinam como uma mensagem é tratada. No Advanced Editor, pode adicionar routers personalizados para implementar:

Balanceamento de carga entre múltiplos IPs de saída — útil para servidores de email transacional que gerem múltiplos domínios de envio
Relay por domínio para serviços SMTP de terceiros — encaminhar correio para @domain.com através do SendGrid ou Mailgun enquanto processa todos os outros domínios localmente
Encaminhamento condicional baseado em cabeçalhos de mensagem — encaminhar mensagens com cabeçalhos X-Priority específicos através de um transporte dedicado de alta prioridade

Exemplo: Encaminhar um domínio específico através de um relay SMTP externo
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Ajuste de Parâmetros SMTP
O Advanced Editor permite a modificação dos parâmetros principais de temporização e repetição SMTP que afetam significativamente a entregabilidade e o comportamento da fila:

smtp_connect_backoff — atraso entre tentativas de repetição para ligações de saída falhadas
retry_data_expire — quanto tempo o Exim retém registos de repetição (predefinição: 7 dias)
timeout_frozen_after — duração antes de uma mensagem congelada ser automaticamente eliminada
ignore_bounce_errors_after — tempo após o qual as mensagens de rejeição para correio não entregável são descartadas

Recomendação de ajuste para servidores de alto volume: Reduza retry_data_expire para 3 dias e timeout_frozen_after para 4 dias para evitar que a fila de correio acumule grandes quantidades de mensagens não entregáveis que consomem I/O de disco durante as passagens do executor de fila.
Personalização Avançada do SpamAssassin
Para além da alternância de ativação/desativação do Basic Editor, o Advanced Editor permite modificar os parâmetros de invocação do SpamAssassin na configuração do Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
As regras personalizadas do SpamAssassin são colocadas em /etc/mail/spamassassin/local.cf. Por exemplo, para adicionar um aumento de pontuação para mensagens que falham tanto no SPF como no DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Após modificar as regras do SpamAssassin, reinicie o daemon:
systemctl restart spamassassin
Exim vs. MTAs Alternativos: Comparação de Arquitetura
Compreender onde o Exim se posiciona em relação a outros MTAs ajuda a justificar decisões de configuração, particularmente ao avaliar se deve migrar ou complementar a sua pilha de correio.



Funcionalidade
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








Predefinição em cPanel/WHM
Sim
Não
Não
Não








Modelo de configuração
Ficheiro monolítico único
Modular (main.cf + master.cf)
Baseado em macros M4
Sintaxe simples e legível








Flexibilidade de ACL
Extremamente alta
Alta
Moderada
Moderada








Desempenho (alto volume)
Bom
Excelente
Moderado
Bom








Assinatura DKIM (nativa)
Via integração cPanel
Via `opendkim`
Via `opendkim`
Nativa








Curva de aprendizagem
Íngreme
Moderada
Muito íngreme
Baixa








Profundidade de integração cPanel
Nativa, completa
Não suportado
Não suportado
Não suportado








Documentação da comunidade
Extensa
Extensa
Em declínio
Em crescimento





Para ambientes baseados em cPanel — seja Alojamento Web Partilhado ou infraestrutura dedicada — o Exim é o único MTA totalmente suportado. Substituí-lo pelo Postfix num servidor cPanel é tecnicamente possível, mas não suportado e invalida a assistência do cPanel para questões relacionadas com correio.
Reforço de Segurança: Para Além da Configuração Predefinida
A configuração predefinida do Exim no cPanel é funcional, mas não está reforçada. As medidas seguintes vão além do que o Basic Editor expõe e representam práticas de segurança de nível de produção.
Desativar a Verificação de Relay Aberto
Confirme que o seu servidor não é um relay aberto imediatamente após qualquer alteração de configuração:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Um servidor corretamente configurado deve devolver 550 na fase RCPT TO para qualquer domínio destinatário não alojado localmente.
Aplicar TLS para Ligações de Saída
Adicione o seguinte ao Advanced Editor para exigir TLS para ligações de saída a domínios que anunciam STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Combinar isto com um Certificado SSL válido no seu servidor de correio garante que tanto as ligações de entrada como as de saída são encriptadas e verificáveis.
Limitação de Taxa ao Nível da ACL
A limitação de taxa por conta do WHM opera ao nível da aplicação. Para prevenção de abusos volumétricos ao nível SMTP, adicione limitação de taxa diretamente à ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Isto limita qualquer endereço IP único a 100 novas ligações por minuto — eficaz contra rajadas de spam impulsionadas por botnets sem afetar remetentes legítimos de alto volume que mantêm ligações persistentes.
Implementar Aplicação de DMARC
O DMARC não é aplicado nativamente pelo Exim na configuração predefinida do cPanel — apenas gera relatórios. Para aplicar a rejeição DMARC, instale o daemon opendmarc e integre-o com o Exim via milter ou socket local. Em alternativa, utilize o módulo Perl Mail::DMARC através de um filtro Exim personalizado.
Para servidores onde a entregabilidade de email é crítica para o negócio — como os que executam serviços de Alojamento de Email — implementar a aplicação completa de DMARC (p=reject) nos seus domínios de envio é a melhoria de entregabilidade de maior impacto disponível.
Diagnóstico de Problemas Comuns do Exim
Inspeção e Gestão da Fila de Correio
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Testar a Sintaxe da Configuração do Exim
Antes de reiniciar o Exim após edições manuais de configuração, valide sempre a sintaxe:
exim -C /etc/exim.conf -bV
Uma saída limpa confirma que o ficheiro de configuração é analisado sem erros. Qualquer erro de sintaxe será reportado com uma referência ao número de linha.
Rastrear uma Mensagem Específica
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Verificar o Estado de Assinatura DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Considerações Operacionais para Diferentes Ambientes de Alojamento
A configuração adequada do Exim varia significativamente com base na função e escala do servidor.
Os servidores de alojamento partilhado que executam dezenas a centenas de contas cPanel requerem limitação de taxa agressiva, análise obrigatória do SpamAssassin e aplicação de RBL. Uma única conta comprometida pode resultar na inclusão do IP do servidor em listas negras em poucas horas. Se gerir um VPS com cPanel, implementar limites de taxa por conta e acionadores de suspensão automática de conta através da funcionalidade Notify on Spam do WHM é essencial.
Os servidores de correio dedicados que processam email transacional para uma única organização beneficiam de limites de taxa mais relaxados, encaminhamento personalizado para múltiplos IPs de saída (rotação de IP para entregabilidade) e aplicação direta de DMARC. Um Servidor Dedicado dá-lhe controlo total sobre a reputação do IP e a configuração do registo PTR — ambos fatores críticos nas taxas de colocação na caixa de entrada.
Os ambientes de IA ou pipeline de dados de alto desempenho que geram notificações de email automatizadas podem beneficiar da separação do correio transacional do correio em massa ao nível do MTA, usando configurações de transporte distintas e endereços IP de saída para cada classe de tráfego.
Matriz de Decisão Técnica: Lista de Verificação de Configuração
Utilize esta lista de verificação para auditar a sua configuração Exim em relação a padrões de nível de produção:
Autenticação e assinatura

Chaves DKIM de 2048 bits geradas e registos DNS TXT publicados para todos os domínios de envio
Registos SPF publicados com -all (falha definitiva) para todos os domínios
Política DMARC definida para pelo menos p=quarantine com um endereço de relatório configurado
Certificado TLS válido e que abrange o nome de anfitrião principal do servidor (mail.yourdomain.com)

Controlos anti-abuso

Pelo menos duas RBLs ativadas (recomenda-se zen.spamhaus.org + uma secundária)
SpamAssassin ativado com um limiar de pontuação de 5.0 e eliminação automática a 10.0
Limites de taxa de email por conta configurados (300–500/hora para alojamento partilhado)
Limitação de taxa ao nível da ligação implementada em acl_smtp_connect

• Greylisting ativado para remetentes desconhecidos

Encaminhamento e entrega

• Todos os domínios verificados como Local, Remote ou Backup — sem domínios em estado ambíguo
• MX de reserva (se configurado) aplica regras ACL idênticas ao MX primário
• Teste de relay aberto aprovado (nenhum relay não autorizado possível)

Monitorização e registo

• Registo de transações SMTP ativado
• Rotação de registos configurada com retenção mínima de 30 dias
• Alertas configurados para profundidade de fila que exceda o limiar (por exemplo, 500+ mensagens)
• Revisão regular de /var/log/exim_rejectlog para padrões de falsos positivos

Manutenção

• Atualizações automáticas do cPanel/WHM ativadas para versões de segurança
• Versão do Exim verificada em relação às notas de versão upstream trimestralmente
• Atualizações de regras do SpamAssassin automatizadas via tarefa cron sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

FAQ

Qual é a diferença entre o Basic Editor e o Advanced Editor no Gestor de Configuração Exim?

O Basic Editor fornece acesso baseado em alternâncias às definições Exim mais frequentemente necessárias — filtros de spam, limites de taxa, DKIM, SPF e encaminhamento — sem expor a sintaxe de configuração em bruto. O Advanced Editor dá acesso direto ao modelo de configuração Exim, permitindo a inserção de ACLs personalizadas, routers, transportes e diretivas que não têm equivalente no Basic Editor. Ambos escrevem no mesmo ficheiro de configuração subjacente.

As alterações no Gestor de Configuração Exim do WHM sobrevivem a uma atualização do cPanel?

As alterações feitas através do Basic Editor são armazenadas na base de dados de configuração do WHM e são reaplicadas quando o modelo Exim é regenerado durante as atualizações. As alterações feitas no Advanced Editor são preservadas apenas se forem colocadas nas secções de substituição personalizadas designadas do modelo. As diretivas inseridas fora destas secções podem ser sobrescritas durante as atualizações de versão do cPanel.

Como posso impedir que uma conta cPanel comprometida envie spam através do Exim?

Suspenda imediatamente a conta no WHM e, em seguida, elimine as suas mensagens em fila:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Após a suspensão, audite o registo de correio enviado da conta, rode todas as credenciais e analise em busca de web shells ou backdoors. Implemente limitação de taxa por conta e o limiar Notify on Spam do WHM para detetar incidentes futuros mais cedo.

Por que razão os emails legítimos estão a ser rejeitados pelo meu servidor Exim após ativar as RBLs?

Os falsos positivos de RBL ocorrem mais frequentemente com correio de grandes fornecedores de infraestrutura partilhada (AWS, Google, Microsoft) cujos intervalos de IP podem aparecer em algumas listas devido a abusos de outros inquilinos. Verifique a RBL específica que causou a rejeição usando dig <reversed-ip>.zen.spamhaus.org e coloque na lista branca o IP ou intervalo CIDR em host_list do Exim se o remetente for legítimo. Considere usar warn em vez de deny para RBLs secundárias para registar ocorrências sem rejeitar.

O Gestor de Configuração Exim suporta a aplicação de DMARC nativamente?

Não. O Gestor de Configuração Exim do cPanel trata a verificação SPF e a assinatura DKIM nativamente, mas a aplicação de DMARC (agindo sobre políticas p=reject ou p=quarantine publicadas por domínios de envio) requer software adicional como o daemon opendmarc integrado como milter, ou um filtro Exim personalizado usando o módulo Perl Mail::DMARC. O relatório DMARC (receção de relatórios agregados) é uma função separada tratada por um processador de relatórios DMARC dedicado.