# Менеджер конфігурації Exim у cPanel/WHM: Повний технічний посібник

Exim — це агент передачі пошти (MTA), розроблений в Кембриджському університеті, широко розгорнутий на веб-хостингових серверах на базі Linux як стандартна поштова основа для середовищ cPanel/WHM. Менеджер конфігурації Exim у WHM — це графічний інтерфейс, який надає доступ до директив конфігурації Exim — від базових перемикачів фільтрації спаму до редагування необроблених ACL — без необхідності безпосередньої маніпуляції з /etc/exim.conf.

Для адміністраторів серверів цей інструмент є найважливішою панелью керування для доставки електронної пошти, стану безпеки та запобігання зловживанням. Неправильна конфігурація може призвести до відкритого ретрансляційного доступу, внесення до чорних списків або повного збою доставки пошти. Правильне налаштування означає захищений, високопродуктивний поштовий стек, який проходить перевірку SPF, DKIM та DMARC для кожного вихідного повідомлення.

Що таке Exim і чому він важливий на серверах cPanel

Exim обробляє як вхідний, так і вихідний SMTP-трафік, застосовуючи конвеєр списків контролю доступу (ACL), правил маршрутизації, транспортних драйверів і скриптів фільтрації на кожному етапі обробки повідомлень. На типовому сервері cPanel Exim працює разом із Dovecot (IMAP/POP3) та SpamAssassin, утворюючи трирівневий поштовий стек, де Exim є точкою входу та виходу для всіх SMTP-сесій.

На відміну від Postfix або Sendmail, конфігурація Exim — це єдиний монолітний файл (/etc/exim.conf на системах cPanel, з символічним посиланням з /etc/exim.conf.local для користувацьких перевизначень), який визначає маршрутизатори, транспорти, ACL та правила перезапису у певному послідовному порядку. WHM cPanel динамічно генерує цей файл із системи шаблонів — саме тому існує Менеджер конфігурації Exim: щоб дозволити WHM безпечно регенерувати конфігурацію без перезапису ваших налаштувань.

Ключові архітектурні ролі Exim на сервері cPanel:

• Приймає вхідні SMTP-з’єднання на портах 25, 465 (SMTPS) та 587 (submission)
• Застосовує ACL до та після DATA для фільтрації спаму, автентифікації та застосування політик
• Маршрутизує пошту до локальної доставки Maildir через Dovecot LDA або ретранслює вихідну пошту до віддалених MTA
• Виконує сканування SpamAssassin через демон spamd
• Підписує вихідні повідомлення за допомогою DKIM, використовуючи приватні ключі для кожного домену, що зберігаються в /etc/domainkeys/

Доступ до Менеджера конфігурації Exim у WHM

Менеджер конфігурації Exim — це виключно інструмент WHM (Web Host Manager) — він недоступний з окремих облікових записів cPanel. Вам потрібен доступ до WHM на рівні root або реселера.

Шлях навігації:

1. Увійдіть до WHM за адресою https://your-server-ip:2087
2. У лівому рядку пошуку введіть Exim
3. Виберіть Exim Configuration Manager у розділі Service Configuration

Або перейдіть безпосередньо до:

WHM > Home > Service Configuration > Exim Configuration Manager

Після завантаження інтерфейс відображає дві вкладки: Basic Editor та Advanced Editor. Це не незалежні інструменти — зміни в Basic Editor записують структуровані директиви в той самий базовий шаблон, який Advanced Editor відображає у необробленому вигляді.

Критична операційна примітка: Кожного разу, коли ви натискаєте Save в будь-якому редакторі, WHM викликає exim_tidydb та перезапускає службу Exim. На завантаженому сервері плануйте зміни конфігурації у вікна з низьким трафіком, щоб уникнути переривання активних SMTP-з’єднань.

Basic Editor: детальний огляд функцій

Basic Editor організовує параметри конфігурації Exim у логічні розділи. Кожен перемикач або поле введення відповідає певній директиві або макросу у згенерованому exim.conf. Розуміння того, що кожне налаштування насправді робить на рівні протоколу — а не лише того, що написано на мітці — є необхідним для прийняття обґрунтованих рішень.

Безпека поштового сервера та функції захисту від спаму

Інтеграція SpamAssassin

Коли увімкнено, Exim передає кожне вхідне повідомлення через spamd за допомогою клієнта spamc. SpamAssassin присвоює числову оцінку на основі аналізу заголовків, байєсівської фільтрації та зіставлення правил. Повідомлення, що перевищують налаштований поріг (за замовчуванням: 5.0), отримують заголовок X-Spam-Status: Yes. Реалізація WHM також підтримує автоматичне видалення повідомлень, що перевищують вищий поріг (за замовчуванням: 10.0).

Часто overlooked деталь: сканування SpamAssassin додає затримку до кожної вхідної SMTP-транзакції. На серверах, що обробляють більше 50 одночасних з’єднань, переконайтеся, що spamd запущено з достатньою кількістю дочірніх процесів (--max-children), щоб запобігти накопиченню черги.

RBL (списки блокування в реальному часі)

RBL виконують DNS-запит до бази даних чорного списку для кожної IP-адреси, що підключається. Якщо IP є в списку, Exim відхиляє з’єднання на етапі SMTP RCPT TO з помилкою 550 — до передачі будь-яких даних повідомлення, що економить пропускну здатність та обчислювальні ресурси.

Стандартний список RBL cPanel включає:

zen.spamhaus.org — зведений список, що охоплює SBL, XBL та PBL
bl.spamcop.net — список SpamCop на основі звітів
b.barracudacentral.org — список блокування репутації Barracuda

Застереження: Агресивне використання RBL може призводити до хибних спрацьовувань, особливо для пошти, що надходить із великої спільної інфраструктури (AWS SES, Google Workspace, вихідні IP Office 365). Завжди перевіряйте додавання RBL щодо ваших легітимних джерел пошти перед увімкненням у виробничому середовищі.
Перевірка відправника (Callout Verification)
Ця функція інструктує Exim відкрити тимчасове SMTP-з’єднання назад до поштового сервера відправника та надіслати RCPT TO для заявленої адреси відправника. Якщо віддалений сервер відхиляє адресу, Exim відхиляє вхідне повідомлення.
Відомий граничний випадок: Перевірка відправника може спричиняти збої доставки, коли домен відправника використовує нульового відправника (MAIL FROM:<>) для повідомлень про недоставку, або коли віддалений MTA реалізує заходи проти callout (повертаючи 250 на всі RCPT-запити). Це є поширеним джерелом хибних відхилень для автоматизованих систем сповіщень та програмного забезпечення для розсилок.
Сірий список (Greylisting)
Greylisting тимчасово відхиляє пошту від невідомих триплетів відправник/IP/одержувач з відповіддю 451 Try again later. Легітимні MTA повторюють спробу після налаштованої затримки (зазвичай 5–10 хвилин), після чого триплет вноситься до білого списку. Спам-рушії рідко повторюють спроби, тому відхилення є постійним на практиці.
Деталь реалізації: cPanel реалізує greylisting через демон greylistd, який підтримує базу даних SQLite триплетів за адресою /var/cpanel/greylist/. База даних зростає з часом і на серверах з великим обсягом трафіку її розмір слід контролювати.
Продуктивність поштового сервера та обмеження швидкості
Максимальна кількість з’єднань
Це відповідає директиві smtp_accept_max Exim. Занадто низьке значення призводить до того, що легітимні відправники отримують помилки 421 Too many connections. Розумна відправна точка для сервера спільного хостингу — 200–500, залежно від доступної RAM (кожен процес Exim споживає приблизно 8–15 MB).
Максимальна кількість електронних листів на годину
Це застосовується для кожного облікового запису cPanel через лічильник, що зберігається в /var/cpanel/ratelimit/. Коли обліковий запис перевищує ліміт, наступні спроби надсилання отримують відповідь 550 Message rejected. Це ваш основний захист від скомпрометованих облікових записів cPanel, що використовуються для спам-кампаній.
Рекомендовані базові ліміти за типом сервера:



Тип сервера
Листів/годину на домен
Макс. з’єднань
Інтервал запуску черги








—
—
—
—








Спільний хостинг
300–500
200
5 хвилин








VPS (SMB)
500–1000
300
3 хвилини








Виділений поштовий сервер
Без обмежень або 5000+
500–1000
1 хвилина








Транзакційний поштовий сервер
SLA для кожного облікового запису
1000+
30 секунд





Якщо ви керуєте середовищем VPS Хостингу з кількома клієнтськими доменами, обмеження швидкості на рівні домену є найбільш детальним та ефективним підходом до стримування зловживань.
Автентифікація електронної пошти: DKIM та SPF
DKIM (DomainKeys Identified Mail)
Коли увімкнено у WHM, Exim підписує кожне вихідне повідомлення 2048-бітним приватним ключем RSA, що зберігається за адресою /etc/domainkeys/<domain>/. Відповідний публічний ключ публікується як DNS TXT-запис за адресою default._domainkey.<domain>. Приймаючі MTA перевіряють підпис щодо публічного ключа, підтверджуючи, що повідомлення не було змінено під час передачі та надійшло з авторизованого сервера.
Критична точка конфігурації: cPanel автоматично генерує ключі DKIM для кожного домену при його додаванні. Однак якщо ви переносите домени з іншого сервера, приватні ключі не переносяться — вам потрібно регенерувати ключі у WHM у розділі Email > DomainKeys та відповідно оновити DNS-записи.
SPF (Sender Policy Framework)
SPF — це механізм на основі DNS, який визначає, які IP-адреси авторизовані для надсилання пошти від імені домену. Exim перевіряє SPF-запис домену відправника під час фази SMTP MAIL FROM. Невдала перевірка SPF не відхиляє пошту автоматично у стандартній конфігурації cPanel — вона додає заголовок. Ви можете посилити це до жорсткого відхилення в Advanced Editor.
Вирівнювання DMARC вимагає правильного налаштування як SPF, так і DKIM. Лише SPF недостатньо для відповідності DMARC, оскільки SPF перевіряє відправника конверта (MAIL FROM), а не заголовок From:, видимий одержувачам.
Конфігурація маршрутизації електронної пошти
Резервний поштовий обмінник (MX Backup)
Налаштування сервера як резервного MX (вторинний MX з вищим пріоритетним номером, наприклад, MX 20) змушує віддалених відправників ставити пошту в чергу на вашому сервері, коли основний MX недоступний. Ваш сервер утримує пошту та доставляє її після відновлення основного.
Операційне застереження: Резервний MX, налаштований без належної фільтрації спаму, стає вектором обходу спам-ретрансляції. Спамери навмисно атакують вторинні MX-записи, оскільки вони часто менш захищені, ніж основні сервери. Завжди застосовуйте ідентичні правила ACL та RBL до конфігурацій резервного MX.
Обробка віддаленої та локальної пошти
Це налаштування керує поведінкою маршрутизатора Exim для кожного домену. Варіанти включають:

Local — Exim доставляє пошту безпосередньо до локального Maildir
Remote — Exim ретранслює всю пошту для домену до зовнішнього MX
Backup — Exim ставить пошту для домену в чергу, коли основний MX недоступний

Для доменів, що використовують зовнішніх поштових провайдерів (Google Workspace, Microsoft 365), встановіть маршрутизацію на Remote та переконайтеся, що MX-записи домену вказують на зовнішнього провайдера. Якщо залишити маршрутизацію на Local для доменів із зовнішнім хостингом, Exim генеруватиме повідомлення про недоставку для всієї вхідної пошти на ці домени.
Конфігурація журналювання
Журналювання Exim контролюється директивою log_selector. Basic Editor надає доступ до найбільш часто потрібних параметрів:

Журналювання SMTP-транзакцій — записує команди MAIL FROM, RCPT TO та DATA з мітками часу та IP-адресами
Журналювання отриманої електронної пошти — записує запис журналу для кожного прийнятого повідомлення, включаючи розмір повідомлення та ідентифікатор черги

Журнали Exim записуються до /var/log/exim_mainlog (основний журнал транзакцій) та /var/log/exim_rejectlog (журнал відхилених повідомлень). На серверах з великим обсягом трафіку ці файли ротуються щодня і можуть досягати кількох гігабайт. Реалізуйте ротацію журналів через logrotate з відповідними політиками зберігання.
Порада для криміналістики: При розслідуванні скарги на спам або збою доставки найефективніший робочий процес такий:
grep "message-id@example.com" /var/log/exim_mainlog
Це отримує повний ланцюжок доставки для конкретного ідентифікатора повідомлення, включаючи всі рішення маршрутизації та відповіді віддаленого сервера.
Advanced Editor: пряме керування конфігурацією
Advanced Editor відображає необроблений шаблон конфігурації Exim, дозволяючи адміністраторам вставляти директиви, для яких немає відповідного перемикача в Basic Editor. Тут досвідчені системні адміністратори реалізують конфігурації, що виходять за межі стандартних параметрів cPanel.
Попередження: Зміни, внесені в Advanced Editor, зберігаються після регенерації шаблону WHM лише якщо вони розміщені у правильних розділах перевизначення. Директиви, розміщені поза призначеними користувацькими блоками, можуть бути перезаписані при оновленні WHM конфігурації Exim (наприклад, під час оновлень версії cPanel).
Реалізація користувацьких ACL (списків контролю доступу)
ACL — це найпотужніший механізм фільтрації Exim. Вони виконуються у певних точках SMTP-транзакції та можуть приймати, відхиляти, відкладати або відкидати повідомлення на основі практично будь-якого атрибута повідомлення.
Точки виконання ACL в Exim:



Хук ACL
Точка спрацювання
Поширені випадки використання








—
—
—








`acl_smtp_connect`
TCP-з’єднання встановлено
Блокування за репутацією IP, обмеження швидкості з’єднань








`acl_smtp_helo`
Отримано команду HELO/EHLO
Перевірка імені хоста HELO, перевірка PTR-записів








`acl_smtp_mail`
Команда MAIL FROM
Перевірка домену відправника, застосування SPF








`acl_smtp_rcpt`
Команда RCPT TO
Перевірка одержувача, перевірки RBL, greylisting








`acl_smtp_data`
Після отримання DATA
Сканування SpamAssassin, фільтрація вмісту, перевірка DKIM








`acl_smtp_mime`
Для кожної частини MIME
Блокування типів вкладень, сканування на шкідливе програмне забезпечення





Приклад: блокування певного домену відправника в Advanced Editor
# Add to acl_smtp_rcpt section
deny
  sender_domains = spammerdomain.example.com
  message = Mail from this domain is not accepted
Приклад: застосування відхилення у стилі DMARC для жорстких збоїв SPF
# Add to acl_smtp_mail section
deny
  condition = ${if eq{${run{/usr/bin/spfquery --ip=$sender_host_address 
    --sender=$sender_address --helo=$sender_helo_name}}{fail}{yes}{no}}}
  message = SPF check failed: $sender_address is not authorized to send from $sender_host_address
Користувацькі правила маршрутизації пошти
Розширена маршрутизація в Exim використовує маршрутизатори — впорядковані етапи обробки, що визначають, як обробляється повідомлення. В Advanced Editor ви можете додавати користувацькі маршрутизатори для реалізації:

Балансування навантаження між кількома вихідними IP — корисно для транзакційних поштових серверів, що керують кількома доменами відправки
Ретрансляція для конкретного домену через сторонні SMTP-сервіси — маршрутизація пошти для @domain.com через SendGrid або Mailgun, обробляючи всі інші домени локально
Умовна маршрутизація на основі заголовків повідомлень — маршрутизація повідомлень із певними заголовками X-Priority через виділений високопріоритетний транспорт

Приклад: маршрутизація певного домену через зовнішній SMTP-ретранслятор
# Custom router — add before the standard remote_smtp router
sendgrid_route:
  driver = manualroute
  domains = transactional.example.com
  route_list = * smtp.sendgrid.net
  transport = sendgrid_transport

sendgrid_transport:
  driver = smtp
  hosts = smtp.sendgrid.net
  port = 587
  hosts_require_auth = smtp.sendgrid.net
  hosts_require_tls = smtp.sendgrid.net
Налаштування параметрів SMTP
Advanced Editor дозволяє змінювати основні параметри часу та повторних спроб SMTP, що суттєво впливають на доставку та поведінку черги:

smtp_connect_backoff — затримка між спробами повторного підключення для невдалих вихідних з’єднань
retry_data_expire — як довго Exim зберігає записи про повторні спроби (за замовчуванням: 7 днів)
timeout_frozen_after — тривалість до автоматичного видалення замороженого повідомлення
ignore_bounce_errors_after — час, після якого повідомлення про недоставку для недоставлених листів відкидаються

Рекомендація з налаштування для серверів з великим обсягом трафіку: Зменшіть retry_data_expire до 3 днів та timeout_frozen_after до 4 днів, щоб запобігти накопиченню у черзі великої кількості недоставлених повідомлень, які споживають дисковий I/O під час проходів запуску черги.
Глибоке налаштування SpamAssassin
Окрім перемикача увімкнення/вимкнення в Basic Editor, Advanced Editor дозволяє змінювати параметри виклику SpamAssassin у конфігурації Exim:
# Increase SpamAssassin timeout for large messages
spamd_address = 127.0.0.1 783 variant=spamc
Користувацькі правила SpamAssassin розміщуються в /etc/mail/spamassassin/local.cf. Наприклад, щоб додати підвищення оцінки для повідомлень, що не пройшли як SPF, так і DKIM:
# /etc/mail/spamassassin/local.cf
score SPF_FAIL 5.0
score DKIM_INVALID 4.0
score MISSING_FROM 3.5
required_score 6.0
Після зміни правил SpamAssassin перезапустіть демон:
systemctl restart spamassassin
Exim порівняно з альтернативними MTA: порівняння архітектур
Розуміння місця Exim відносно інших MTA допомагає обґрунтувати рішення щодо конфігурації, особливо при оцінці доцільності міграції або доповнення вашого поштового стека.



Функція
Exim
Postfix
Sendmail
OpenSMTPD








—
—
—
—
—








За замовчуванням на cPanel/WHM
Так
Ні
Ні
Ні








Модель конфігурації
Єдиний монолітний файл
Модульна (main.cf + master.cf)
На основі макросів M4
Простий, читабельний синтаксис








Гнучкість ACL
Надзвичайно висока
Висока
Помірна
Помірна








Продуктивність (великий обсяг)
Хороша
Відмінна
Помірна
Хороша








Підписання DKIM (нативне)
Через інтеграцію cPanel
Через `opendkim`
Через `opendkim`
Нативне








Крива навчання
Крута
Помірна
Дуже крута
Низька








Глибина інтеграції з cPanel
Нативна, повна
Не підтримується
Не підтримується
Не підтримується








Документація спільноти
Обширна
Обширна
Скорочується
Зростає





Для середовищ на базі cPanel — чи то Спільний веб-хостинг, чи виділена інфраструктура — Exim є єдиним повністю підтримуваним MTA. Заміна його на Postfix на сервері cPanel технічно можлива, але не підтримується та позбавляє допомоги cPanel у питаннях, пов’язаних із поштою.
Посилення безпеки: за межами стандартної конфігурації
Стандартна конфігурація Exim cPanel є функціональною, але не захищеною. Наступні заходи виходять за межі того, що відображає Basic Editor, та представляють практики безпеки виробничого рівня.
Вимкнення перевірки відкритої ретрансляції
Підтвердіть, що ваш сервер не є відкритим ретранслятором одразу після будь-якої зміни конфігурації:
exim -bh 1.2.3.4 <<EOF
HELO test.example.com
MAIL FROM:<test@external-domain.com>
RCPT TO:<victim@another-external-domain.com>
EOF
Правильно налаштований сервер повинен повертати 550 на етапі RCPT TO для будь-якого домену одержувача, що не розміщений локально.
Примусове використання TLS для вихідних з’єднань
Додайте наступне до Advanced Editor, щоб вимагати TLS для вихідних з’єднань до доменів, що рекламують STARTTLS:
hosts_try_starttls = *
tls_verify_hosts = *
tls_verify_certificates = /etc/ssl/certs/ca-certificates.crt
Поєднання цього з дійсним SSL-сертифікатом на вашому поштовому сервері гарантує, що як вхідні, так і вихідні з’єднання зашифровані та перевіряються.
Обмеження швидкості на рівні ACL
Обмеження швидкості WHM для кожного облікового запису працює на рівні застосунку. Для запобігання об’ємним зловживанням на рівні SMTP додайте обмеження швидкості безпосередньо до ACL acl_smtp_connect:
defer
  ratelimit = 100 / 1m / per_conn / $sender_host_address
  message = Connection rate limit exceeded. Try again later.
Це обмежує будь-яку окрему IP-адресу до 100 нових з’єднань на хвилину — ефективно проти спам-сплесків, керованих ботнетами, без впливу на легітимних відправників з великим обсягом, що підтримують постійні з’єднання.
Реалізація застосування DMARC
DMARC не застосовується нативно Exim у стандартній конфігурації cPanel — він лише генерує звіти. Щоб застосувати відхилення DMARC, встановіть демон opendmarc та інтегруйте його з Exim через milter або локальний сокет. Або використовуйте модуль Perl Mail::DMARC через користувацький фільтр Exim.
Для серверів, де доставка електронної пошти є критично важливою для бізнесу — наприклад, тих, що надають послуги Хостингу електронної пошти — реалізація повного застосування DMARC (p=reject) на ваших доменах відправки є найбільш ефективним покращенням доставки, доступним на сьогодні.
Діагностика поширених проблем Exim
Перевірка черги пошти та керування нею
# View the current mail queue
exim -bp

# Count queued messages
exim -bpc

# Force immediate delivery attempt for all queued messages
exim -qff

# Delete a specific message from the queue by ID
exim -Mrm <message-id>

# Delete all frozen messages
exiqgrep -z -i | xargs exim -Mrm
Перевірка синтаксису конфігурації Exim
Перед перезапуском Exim після ручного редагування конфігурації завжди перевіряйте синтаксис:
exim -C /etc/exim.conf -bV
Чистий вивід підтверджує, що файл конфігурації аналізується без помилок. Будь-яка синтаксична помилка буде повідомлена з посиланням на номер рядка.
Відстеження конкретного повідомлення
# Find all log entries for a sender address
grep "sender@example.com" /var/log/exim_mainlog | tail -50

# Trace delivery of a specific queue ID
exim -Mvl <message-id>

# View message headers for a queued message
exim -Mvh <message-id>

# View message body for a queued message
exim -Mvb <message-id>
Перевірка статусу підписання DKIM
# Verify DKIM key exists for a domain
ls -la /etc/domainkeys/yourdomain.com/

# Test outbound DKIM signing by sending a test message
echo "Test" | exim -v -odf test@mail-tester.com
Операційні міркування для різних середовищ хостингу
Відповідна конфігурація Exim суттєво відрізняється залежно від ролі та масштабу сервера.
Сервери спільного хостингу, що обслуговують десятки або сотні облікових записів cPanel, вимагають агресивного обмеження швидкості, обов’язкового сканування SpamAssassin та застосування RBL. Один скомпрометований обліковий запис може призвести до внесення IP сервера до чорного списку протягом кількох годин. Якщо ви керуєте VPS з cPanel, реалізація обмежень швидкості для кожного облікового запису та тригерів автоматичного призупинення облікового запису через функцію WHM Notify on Spam є обов’язковою.
Виділені поштові сервери, що обробляють транзакційну електронну пошту для однієї організації, виграють від послаблених обмежень швидкості, користувацької маршрутизації до кількох вихідних IP (ротація IP для доставки) та прямого застосування DMARC. Виділений сервер надає вам повний контроль над репутацією IP та конфігурацією PTR-запису — обидва є критичними факторами у показниках розміщення у вхідних.
Середовища з великою пропускною здатністю для ШІ або конвеєрів даних, що генерують автоматизовані сповіщення електронною поштою, можуть виграти від розділення транзакційної пошти від масової пошти на рівні MTA, використовуючи окремі конфігурації транспорту та вихідні IP-адреси для кожного класу трафіку.
Матриця технічних рішень: контрольний список конфігурації
Використовуйте цей контрольний список для аудиту вашої конфігурації Exim відповідно до стандартів виробничого рівня:
Автентифікація та підписання

Ключі DKIM 2048-біт згенеровані та DNS TXT-записи опубліковані для всіх доменів відправки
SPF-записи опубліковані з -all (жорстке відхилення) для всіх доменів
Політика DMARC встановлена принаймні на p=quarantine з налаштованою адресою для звітування
SSL-сертифікат дійсний та охоплює основне ім’я хоста сервера (mail.yourdomain.com)

Засоби захисту від зловживань

Увімкнено принаймні два RBL (рекомендується zen.spamhaus.org + один вторинний)
SpamAssassin увімкнено з порогом оцінки 5.0 та автоматичним видаленням при 10.0
Налаштовано обмеження швидкості електронної пошти для кожного облікового запису (300–500/годину для спільного хостингу)
Обмеження швидкості на рівні з’єднань реалізовано в acl_smtp_connect

• Greylisting увімкнено для невідомих відправників

Маршрутизація та доставка

• Всі домени перевірені як Local, Remote або Backup — жоден домен не залишено в неоднозначному стані
• Резервний MX (якщо налаштований) застосовує ідентичні правила ACL як основний MX
• Тест відкритої ретрансляції пройдено (несанкціонована ретрансляція неможлива)

Моніторинг та журналювання

• Журналювання SMTP-транзакцій увімкнено
• Ротацію журналів налаштовано з мінімальним зберіганням 30 днів
• Сповіщення налаштовано для глибини черги, що перевищує поріг (наприклад, 500+ повідомлень)
• Регулярний перегляд /var/log/exim_rejectlog на предмет шаблонів хибних спрацьовувань

Обслуговування

• Автоматичні оновлення cPanel/WHM увімкнено для випусків безпеки
• Версія Exim перевіряється щодо приміток до випуску upstream щоквартально
• Оновлення правил SpamAssassin автоматизовано через завдання cron sa-update

# Add to crontab for daily SpamAssassin rule updates
0 3 * * * /usr/bin/sa-update && systemctl restart spamassassin

Часті запитання

У чому різниця між Basic Editor та Advanced Editor у Менеджері конфігурації Exim?

Basic Editor надає доступ на основі перемикачів до найбільш часто потрібних налаштувань Exim — спам-фільтрів, обмежень швидкості, DKIM, SPF та маршрутизації — без відображення необробленого синтаксису конфігурації. Advanced Editor надає прямий доступ до шаблону конфігурації Exim, дозволяючи вставляти користувацькі ACL, маршрутизатори, транспорти та директиви, що не мають еквівалента в Basic Editor. Обидва записують до одного базового файлу конфігурації.

Чи збережуться зміни в Менеджері конфігурації Exim WHM після оновлення cPanel?

Зміни, внесені через Basic Editor, зберігаються в базі даних конфігурації WHM та повторно застосовуються при регенерації шаблону Exim під час оновлень. Зміни, внесені в Advanced Editor, зберігаються лише якщо вони розміщені у призначених розділах користувацького перевизначення шаблону. Директиви, вставлені поза цими розділами, можуть бути перезаписані під час оновлень версії cPanel.

Як зупинити скомпрометований обліковий запис cPanel від надсилання спаму через Exim?

Негайно призупиніть обліковий запис у WHM, потім очистіть повідомлення з черги:

exiqgrep -f "compromised@domain.com" -i | xargs exim -Mrm

Після призупинення перевірте журнал надісланої пошти облікового запису, змініть усі облікові дані та перевірте наявність веб-оболонок або бекдорів. Реалізуйте обмеження швидкості для кожного облікового запису та поріг Notify on Spam WHM для раннього виявлення майбутніх інцидентів.

Чому легітимні електронні листи відхиляються моїм сервером Exim після увімкнення RBL?

Хибні спрацьовування RBL найчастіше виникають із поштою від великих провайдерів спільної інфраструктури (AWS, Google, Microsoft), чиї IP-діапазони можуть з’являтися в деяких списках через зловживання інших орендарів. Перевірте конкретний RBL, що спричинив відхилення, використовуючи dig <reversed-ip>.zen.spamhaus.org, та внесіть IP або діапазон CIDR до білого списку в host_list Exim, якщо відправник є легітимним. Розгляньте використання warn замість deny для вторинних RBL, щоб реєструвати збіги без відхилення.

Чи підтримує Менеджер конфігурації Exim застосування DMARC нативно?

Ні. Менеджер конфігурації Exim cPanel обробляє перевірку SPF та підписання DKIM нативно, але застосування DMARC (реагування на політики p=reject або p=quarantine, опубліковані доменами відправки) вимагає додаткового програмного забезпечення, такого як opendmarc, інтегрованого як milter, або користувацького фільтра Exim з використанням модуля Perl Mail::DMARC. Звітування DMARC (отримання зведених звітів) — це окрема функція, що обробляється спеціалізованим процесором звітів DMARC.