Основен редактор на Exim

 

Основен редактор на Exim – Преглед и обяснения

 

В Exim Configuration Manager има раздел, наречен Basic Editor, чрез който можеш лесно да променяш настройките за пощенския сървър Exim.

Раздел „All“ (Всички настройки)

Тук ще видиш всички налични настройки. Можеш да ги филтрираш по категории или да търсиш конкретна опция с текстовото поле Find.

 

ACL Опции – Контрол кой може да изпраща имейли до сървъра ти

 

1. Спиране на спам чрез SpamAssassin

Тази настройка казва на SpamAssassin кога да отхвърли даден имейл като спам, според неговия „спам рейтинг“.

• Въвеждаш число (напр. 1.6), но имай предвид: ако въведеш 1.6, системата го умножава по 10 и го третира като 16.

• По подразбиране това е изключено – No reject rule by spam score.

2. Защита от “речникови атаки”

Това блокира опити за налучкване на имейл адреси, като прекъсва хостове с повече от 4 неуспешни опита.

• По подразбиране е включено – On.

3. Отхвърляне на поща, адресирана към основното име на сървъра

Това спира имейли, насочени директно към основното име (hostname) на сървъра, което често се използва от спамери.

• По подразбиране е изключено – Off.

4. Включване на SpamAssassin за вторични MX домейни

Позволява сканиране на спам и за домейни, посочени в файла /etc/secondarymx.

• По подразбиране е включено – On.

5. Ограничаване на съмнителни SMTP сървъри

Ограничава честотата на входящи връзки от сървъри, които не следват стандартите или наскоро са били в черен списък.

• Ако искаш да изключиш даден сървър от това правило – добави го в whitelist (бял списък).

• По подразбиране: On.

6. Ограничение според спам рейтинг от SpamAssassin

Ограничава честотата на имейли от сървъри, които изпращат спам. Това става само ако:

• Спам рейтингът надвиши зададената стойност

• И броят на писмата е по-голям от позволеното по формула (например 1.2 / 1h / strict / per_conn / noupdate)

• По подразбиране: не е активирано.

7. Ограничение при само неуспешни получатели

Ограничава входящи връзки, при които всички получатели са били невалидни, и това се е случило поне 5 пъти за час.

• По подразбиране: On.

8. HELO команда преди MAIL

Изисква HELO команда преди да се приеме поща – това помага срещу фалшиви имейли и спам.

• По подразбиране: On.

9. Забавяне на съмнителни връзки

Добавя няколко секунди забавяне за съобщения, разпознати като спам. Истинските сървъри изчакват, спамерите – не.

• Някои надеждни IP адреси (като доверени хостове или сървъри за наблюдение) не се забавят.

• Ако получаваш грешки от външна мониторинг система, може да се наложи да я добавиш в списъка с доверени IP-та или да увеличиш таймаута.

• По подразбиране: On.

10. Без забавяне за доверени хостове (Greylisting)

Хостовете от списъка „Trusted Hosts“ няма да бъдат забавяни.

• По подразбиране: On.

11. Без забавяне за основни пощенски доставчици

Ако си добавил доставчици в списъка „Common Mail Providers“, техните сървъри също няма да бъдат забавяни.

• По подразбиране: Off.

12. Изискване HELO с външно име/IP

Изисква HELO от домейн или IP, който не е твоят. Това помага срещу фалшиви имейли.

• По подразбиране: On.

13. Изискване HELO с външен домейн

Изисква HELO, който не съвпада с твоите локални домейни.

• По подразбиране: Off.

14. Изискване на валиден HELO по стандарт (RFC)

Задължава използването на правилен HELO формат според интернет стандартите.

• Ако е включено – игнорира някои списъци с доверени сървъри.

• По подразбиране: On.

15. Позволяване на проверка чрез DKIM

Позволява проверка на входящите съобщения чрез DKIM – сигурен начин за потвърждаване на подателя.

• Това обаче може да забави сървъра.

• По подразбиране: Off.

16. Отхвърляне на DKIM неуспешни съобщения

Ако DKIM проверката се провали – съобщението се отхвърля още при връзката.

• Работи само ако горната настройка е включена.

• По подразбиране: Off.

17. Максимален брой получатели (меко ограничение)

Ограничава броя на получателите в един имейл, но не прекъсва връзката – само го отбелязва.

• По подразбиране: няма ограничение.

18. Максимален брой получатели преди прекъсване (твърдо ограничение)

Ограничение на броя получатели, след което връзката се прекъсва и се активира ограничение.

• По подразбиране: няма ограничение.

 

Access Lists – Кой може да се свързва със сървъра за изпращане на имейли

Тези настройки ти позволяват допълнително да ограничиш кои IP адреси или потребители могат да изпращат поща до твоя сървър.

1. Черен списък с SMTP IP адреси

Тук можеш да въведеш IP адреси, които искаш да блокираш напълно. Сървърът отказва връзка с тях и връща грешка 550 (т.е. „достъп отказан“).

• Натисни Edit, за да добавиш или премахнеш адреси.

2. Прескачане на проверка на подателя за определени IP адреси

Позволява ти да зададеш IP адреси, които да не минават през проверката на подателя (дали изпращачът е валиден).

• Полезно е за доверени сървъри, от които не очакваш спам.

• Натисни Edit, за да промениш списъка.

3. Само проверка на получателя

Можеш да въведеш IP адреси или сървъри, за които ще се прави само проверка дали получателят съществува, но няма да се правят други проверки за спам.

• Тези адреси се записват във файла /etc/trustedmailhosts.

• Натисни Edit, за да редактираш списъка.

4. Доверени SMTP IP адреси

Сървърът няма да проверява следните неща за адресите, които добавиш тук:

• дали получателят съществува,

• дали подателят е валиден,

• дали съобщението е спам,

• и дали се прави опит за неправомерно препращане (relay).

Но ако имаш активирано изискване за валиден HELO (RFC-compliant HELO), то ще важи и тук.

• IP адресите се записват във файла /etc/skipsmtpcheckhosts.

• Натисни Edit, за да добавиш IP адреси.

5. Backup MX сървъри

Позволяваш на определени пощенски сървъри (например резервни), да се свързват със сървъра ти без ограничения, независимо от текущите лимити.

• Важно е тези сървъри да имат правилно настроен reverse DNS.

• Натисни Edit, за да добавиш такива сървъри.

6. Доверени потребители на пощата

Системните администратори могат да посочат кои потребители да се третират като „доверени“. Това е свързано с една експериментална настройка, която автоматично променя заглавието „From:“ (от кого е писмото).

• Доверените потребители могат да променят свободно полето „From:“, без системата да го преправя.

• Въвеждай по един потребител или имейл адрес на ред.

• Натисни Edit, за да ги зададеш.

7. Блокиране на имейли по домейн

Тази опция позволява да филтрираш входящата поща по домейн – например, можеш да блокираш всички имейли от „example.com“.

• Когато натиснеш Manage, се отваря нов прозорец с настройките в WHM.

8. Блокиране на имейли по държава

С тази опция можеш да ограничиш имейли, идващи от определени страни.

• Например, ако не комуникираш с клиенти от определен регион, можеш да спреш поща оттам.

• Когато натиснеш Manage, се отваря нов прозорец с настройките в WHM.

 

Domains and IPs – Как се определя от кой IP се изпраща пощата

Тези настройки определят от кой IP адрес Exim изпраща имейли от сървъра ти. Ако ги изключиш, пощата ще се изпраща от основния споделен IP на сървъра. Повече техническа информация има в документацията на WHM: How to Configure the Exim Outgoing IP Address.

1. Изпращане на поща от IP адреса на акаунта

Ако даден потребител няма собствен (dedicated) IP адрес, тази опция казва на системата да използва споделения IP адрес на неговия реселър, вместо основния IP на сървъра.

• Това важи само за IPv4 адреси.

• Ако акаунтът споделя IP адрес с hostname-а на сървъра – ще се използва и той.

• Ако искаш нещо различно – трябва да направиш ръчна (custom) конфигурация.

Важно: Увери се, че имаш правилно настроени reverse DNS (rDNS) записи. Ако са грешни или липсват, получатели може да откажат имейлите ти.

Когато включиш тази настройка:

• Сценарият /usr/local/cpanel/scripts/updateuserdomains ще попълни автоматично файловете /etc/mailhelo и /etc/mailips.

• Това ще замени всичко, което си променял ръчно в тези файлове.

• Ще бъдат изключени следните настройки:
  • Reference /etc/mailhelo for custom outgoing SMTP HELO

  • Reference /etc/mailips for custom IP on outgoing SMTP connections

• По подразбиране: Off (изключено)

2. Използвай reverse DNS записа за HELO/EHLO

Когато се изпраща поща, сървърът ще използва IP адреса и неговия reverse DNS запис като част от HELO/EHLO комуникацията (началното „здравей“ между сървъри).

• Това работи само по време на HELO/EHLO етапа на връзката.

• По подразбиране: On (включено)

3. Обновяване на reverse DNS кеш и HELO информация

Тази настройка презарежда кеша за reverse DNS и актуализира HELO информацията за всички потребители.

• Вижда се само ако е включена предната опция (Use the reverse DNS…).

4. Използвай /etc/mailhelo за персонализиран HELO

Позволява ти да зададеш ръчно какво да използва сървърът като HELO за изходящата поща, като използва информация от файла /etc/mailhelo.

• Това е полезно, ако искаш HELO да отговаря на домейна, а не на hostname-а на сървъра.

• Автоматично се изключва, ако е включена някоя от следните опции:
  • Send mail from account’s IP address

  • Use the reverse DNS entry for the mail HELO/EHLO if available

• По подразбиране: Off

5. Използвай /etc/mailips за персонализиран IP за изходяща поща

Позволява изпращането на имейли от конкретен IP адрес, съответстващ на даден домейн – конфигурира се чрез файла /etc/mailips.

• Полезно е, ако хостваш много домейни и искаш всеки да изпраща от различен IP.

• Автоматично се изключва, ако е активирана опцията Send mail from account’s IP address.

• По подразбиране: Off

Filters – Филтри за спам и опасни прикачени файлове

Тези настройки ти позволяват да използваш различни филтри, за да блокираш нежелана поща и потенциално опасни прикачени файлове.

1. Системен филтър на Exim (System Filter File)

Тази настройка ти позволява да използваш системния филтър на Exim, който по подразбиране се намира във файла:

/etc/cpanel_exim_system_filter

• Можеш да използваш този файл, или да посочиш свой собствен (ако искаш по-специализирани правила).

Важно: Без значение какво избереш, Exim винаги включва и файловете от папката:

/usr/local/cpanel/etc/exim/sysfilter/options/

• По подразбиране се използва: /etc/cpanel_exim_system_filter

2. Филтриране на опасни прикачени файлове

С тази настройка можеш да блокираш имейли, които съдържат прикачени файлове с опасни разширения (например .exe, .bat, .scr и други подобни).

• Полезно е срещу вируси, троянци и друг зловреден софтуер.

• По подразбиране: On (включено)

3. Добавяне на префикс към заглавието (Subject) на спам писма

Тази настройка позволява да се добавя текст отпред в заглавието на спам писмата, например:

***SPAM*** Important Message

• Вместо да се използва специален ред „X-Spam-Subject“, информацията се премества директно в заглавието „Subject“.

• Това улеснява филтрирането на спам в пощенските клиенти.

• По подразбиране: On (включено)

4. SpamAssassin: Спам рейтинг за “bounce” (отхвърляне)

Тук можеш да зададеш рейтинг, при който системата изцяло ще отхвърля (bounce) писмото още при получаването му, ако SpamAssassin го отчете като спам.

• Въвеждаш число, което може да е положително или отрицателно и да съдържа десетична точка (например 5.0).

• По подразбиране: няма отхвърляне по спам рейтинг (изключено)

5. Персонализиране на префикса за спам в заглавието (Subject)

Можеш да използваш собствен текст като префикс, който се добавя към заглавието на имейлите, отчетени като спам – например вместо ***SPAM*** можеш да зададеш !!! ВНИМАНИЕ !!!.

• Поддържа и променливи на Exim, ако искаш динамичен префикс.

• По подразбиране: ***SPAM***

 

Настройки на имейл сървъра (Exim)

Записване на честотата на изпращане на имейли

Тази настройка позволява да се води лог (дневник) за това колко често всеки подател изпраща имейли. Това е полезно при търсене на проблеми или за засичане на спамери. По подразбиране е изключено.

Проверка на изпращачите (Sender Verification Callouts)

Exim може да се свърже със сървъра на получателя, за да провери дали посоченият имейл съществува, преди да приеме съобщението. Полезно срещу фалшиви податели. По подразбиране е изключено.

Smarthost поддръжка

Позволява изпращането на имейли през външен сървър (smarthost). Трябва да въведете специален формат в полето, за да го активирате.

• При използване на IPv6, IP адресите трябва да са в кавички и да започват с </.

• Трябва да има звездичка ( * ) пред IP адресите, иначе няма да работи.

Примери:

• Един IP: * 192.168.0.1

• Множествено: * 192.168.0.1:192.168.0.2

• С домейни: example.com 192.168.0.1; second.com 192.168.0.2

По подразбиране тази функция е изключена.

SMTP удостоверяване за smarthost

Ако smarthost изисква потребителско име и парола, тук можеш да ги въведеш. Трябва първо да е активирана горната настройка и да си въвел маршрут в Smarthost support.

Важно: Името и паролата не трябва да започват или завършват с празни интервали, нито със символа ^.

Автоматично добавяне на SPF записи

Системата може автоматично да добавя SPF записи за smarthost-овете, което помага за по-добра имейл репутация. По подразбиране е включено.

Глобални SPF включвания

Тук можеш да добавиш имена на сървъри, които да се включват като SPF записи за всички домейни. Разделят се със запетаи. По подразбиране е празно.

Експериментално: ARC подписване

Позволява добавянето на дигитални подписи (ARC), които показват дали имейлът е преминал SPF и DKIM проверки. Може да подобри доставяемостта при някои доставчици. Изисква DKIM/SPF да са активирани. По подразбиране е изключено.

Експериментално: Пренаписване на From адреса

Показва реалния подател, дори ако опита да скрие самоличността си. Препоръчително е за сигурност.

• remote: променя From само при изпращане до външни сървъри

• all: променя From винаги, дори при вътрешни имейли

• disable: не променя нищо (по подразбиране)

Доставка при повреден скенер за зловреден софтуер

Ако скенерът за вируси спре да работи, можеш да избереш дали все пак да се доставят имейлите. По подразбиране е включено (имейлите се доставят).

Проверка на подателя (Sender Verification)

Системата проверява дали подателят на имейла е валиден. По подразбиране е включено.

Настройка на SMTP Sender хедър

Позволява промяната на Sender: хедъра при изпращане. Ако е изключено, Outlook няма да показва “On behalf of”, което може да затрудни проследяването на злоупотреби. По подразбиране е изключено.

Доставка при повреден скенер за спам

Какво се случва, ако скенерът за спам спре да работи? По подразбиране имейлите се доставят нормално.

SRS (Sender Rewriting Scheme) поддръжка

Позволява пренаписване на имейл адреса на подателя при препращане, така че SPF проверките да минават. По подразбиране е изключено.

Установяване на изпращача при изпращане от nobody

Когато скриптове (напр. PHP) изпращат имейли от името на потребителя nobody, системата може:

• Да пита Apache кой е реалният потребител (по-сигурно, но по-бавно)

• Или да се довери на X-PHP-Script хедъра (по-бързо, но може да се подправи)

И двете опции са включени по подразбиране.

SMTP DSN реклама

Можеш да посочиш към кои сървъри да се рекламира поддръжката за DSN (Delivery Status Notifications). По подразбиране е изключено.

SMTPUTF8 реклама

Позволява изпращане на имейли с международни (UTF-8) символи в адресите. По подразбиране е изключено.

Поведение при спрени cPanel акаунти

Когато даден акаунт е спрян, можеш да настроиш дали имейлите да се приемат и складират. По подразбиране се приемат и чакат.

Максимална дължина на ред при SMTP

Можеш да ограничиш колко дълъг да е един ред в съобщение. Ако е над лимита – се връща грешка. По подразбиране е 2048 байта.

Изключване на pipelining

Ако някои сървъри имат проблеми с pipelining, можеш да го изключиш. По подразбиране е изключено (т.е. pipelining се използва).

Изчакване при проверка на квотата на пощенска кутия

Колко време да изчаква Exim при проверка на свободното място в пощенските кутии. Ако кутиите са големи, можеш да увеличиш това време. По подразбиране е 45 секунди.

 

RBLs – Проверка на имейли чрез черни списъци

Тези настройки ти позволяват да настроиш имейл сървъра така, че да проверява входящата поща срещу RBL списъци (Real-time Blackhole Lists). Това са черни списъци с IP адреси и хостове, които са известни с разпространение на спам.

Ако IP адресът или домейнът на подателя е в такъв списък, сървърът ще блокира съобщението още при опита за връзка (SMTP ниво).

WHM използва два такива списъка по подразбиране:

• bl.spamcop.net

• zen.spamhaus.org

Управление на RBL списъци

Натисни бутона Manage, за да отвориш интерфейса за управление на списъците. Ще видиш таблица с текущите RBL списъци, съдържаща:

• Origin (Произход):
  • Custom – ти си добавил списъка.

  • System – списъкът е вграден от cPanel.

• RBL name – името на списъка.

• DNS list – DNS адрес, чрез който се прави проверката.

• Info URL – връзка с информация за списъка.

• Action (Действие) – можеш да изтриеш само custom списъци. Вградените от cPanel не могат да се трият.

Добавяне на нов RBL: Въведи нужната информация (име, DNS адрес, URL) и натисни Add.
След това ще се появи в списъка по-долу и можеш да го активираш с On.

По подразбиране добавените от теб RBL списъци са изключени.

Специални RBL списъци

bl.spamcop.net

Тази настройка блокира имейли, ако изпращачът се намира в този списък.
По подразбиране: Изключено

zen.spamhaus.org

Също блокира имейли от податели в този RBL.
По подразбиране: Изключено

Изключения от проверка

Изключване на сървъри от същия „netblock“

Това означава, че имейли от сървъри в същия мрежов диапазон като твоя (според IANA) няма да бъдат проверявани в RBL списъците.

По подразбиране: Включено

Изключване на “Общи имейл доставчици” (от Greylisting)

Ако използваш функцията Greylisting и си включил списъка с „Общи доставчици“ (като Gmail, Outlook и др.), техните сървъри също няма да се проверяват в RBL списъци.

По подразбиране: Включено

Изключване на “Доверени хостове” (от Greylisting)

Можеш да изключиш определени IP адреси, които си добавил като доверени, от RBL проверките.
По подразбиране: Изключено

 

WhiteList (Бял списък на IP адреси)

Можеш ръчно да добавиш IP адреси, които никога няма да се проверяват срещу RBL списъци.

• Въвеждаш по един IP адрес на ред.

• Можеш да използваш и CIDR формат за диапазони. Например:

10.88.135.144/31 ще позволи два адреса – 10.88.135.144 и 10.88.135.145.

 

Security – Настройки за сигурност на имейл сървъра

 

Разрешаване на слаби SSL/TLS алгоритми (шифри)

С тази опция можеш да разрешиш използването на по-слаби и по-стари методи за криптиране (шифри) при SSL/TLS връзки.

Важно:
Използването на слаби шифри не отговаря на PCI стандартите за сигурност, които са задължителни за някои бизнеси (напр. обработка на плащания).
По подразбиране тази настройка е изключена, което е препоръчително.

Забележка:

• Поддържат се само TLS 1.2 и 1.3

• TLS 1.3 изисква OpenSSL 1.1.1 или по-нов
  

 

Изискване на SSL/STARTTLS за автентикация

Тази настройка изисква всички клиенти (имейл програми и приложения) да се свържат чрез SSL или да използват командата STARTTLS, преди да могат да се идентифицират (логнат) в сървъра.

По този начин се гарантира, че паролите и данните се изпращат криптирано.
По подразбиране тази опция е включена, което е силно препоръчително за сигурността.

 

Сканиране за вируси от автентифицирани податели (изисква ClamAV)

Ако на сървъра е инсталиран ClamAV, тази опция ще позволи сканиране за зловреден софтуер (вируси) на всички изходящи имейли, които се изпращат от влезли (автентифицирани) потребители.

Ако бъде открит вирус – съобщението няма да бъде изпратено.
По подразбиране е изключено.

 

Сканиране за вируси на изходящи съобщения (от недоверени домейни)

Отново, изисква ClamAV да бъде инсталиран.
Тази опция проверява изходящите имейли, но само от домейни, които не са в белия списък (не са whitelisted). Ако има вирус – съобщението се блокира.

По подразбиране е изключено.

 

Опции за OpenSSL протоколи

Позволява да определиш кои SSL/TLS протоколи да се използват от Exim за криптирана комуникация с клиентите.
Можеш да използваш стойността по подразбиране, или да въведеш списък с протоколи, които искаш да забраниш (разделени с интервал).

Пример: ако не искаш да се използва TLS 1.0, можеш да го въведеш ръчно.

 

Списък с SSL/TLS шифри (Cipher Suites)

Позволява ти да настроиш кои шифри (алгоритми за криптиране) да се използват при комуникация между Exim и имейл клиентите.
Можеш да оставиш настройката по подразбиране или да въведеш конкретен списък с шифри, ако имаш специфични изисквания.

 

Apache SpamAssassin – Настройки за засичане на спам

 

Apache SpamAssassin е програма, която анализира съдържанието на имейлите и определя колко приличат на спам. Всеки имейл получава оценка (spam score), базирана на различни подозрителни характеристики. Ако тази оценка надвиши определен праг, имейлът се маркира или директно се отхвърля като спам.

Важно:
След промени в някои от настройките, може да е нужно да се изпълни скриптът:
/usr/local/cpanel/3rdparty/bin/sa-compile,
за да влязат в сила промените.

 

Apache SpamAssassin: Задължително активиран за всички акаунти

С тази опция можеш да включиш SpamAssassin за всички потребители, без те да могат да го изключат.

По подразбиране: Изключено

 

Размер на съобщенията, които да се сканират

Тук определяш максималния размер (в KB) на имейлите, които ще се проверяват за спам.
Големите съобщения рядко са спам – повечето спам съобщения са по-малки от 4 KB.

По подразбиране: 1000 KB

 

Сканиране на изходящи съобщения с вътрешния spam_score (5)

Позволява SpamAssassin да проверява изходящи имейли към външни домейни и да ги отхвърля, ако оценката им надвишава вътрешната стойност 5.

Забележка:

• Не се отнася за препратени имейли (forwarders).

• Активирането на тази опция изключва настройката за потребителски зададен spam_score.

По подразбиране: Изключено

 

Сканиране на изходящи съобщения по зададена spam_score стойност

Позволява ти сам да зададеш праг на spam_score, при който изходящ имейл да бъде отхвърлен.
Можеш да въведеш число между 0.1 и 99.9 (с една цифра след десетичната точка).

Забележка:

• Не се отнася за препратени имейли.

• Активирането на тази опция изключва вътрешната оценка 5.

По подразбиране: Изключено

 

Не препращай имейли към външни получатели при spam_score над 5

Ако даден имейл чака да бъде препратен (forwarded), но има spam_score над 5, той ще бъде спрян.

По подразбиране: Изключено

Важно:

• Потребителите трябва да имат включен SpamAssassin.

• Можеш да активираш глобално принудително използване чрез Forced Global ON.
  

 

Не препращай имейли според зададена spam_score стойност

Подобно на горната настройка, но ти избираш колко да е прагът на spam_score (0.1 до 99.9), при който спамът ще бъде блокиран при препращане към външни домейни.

По подразбиране: Изключено

Важно:

• Потребителите трябва да имат включен SpamAssassin.

• Може да се включи глобално чрез Forced Global ON.

 

Активиране на BAYES_POISON_DEFENSE

Това е специална защита, която предпазва системата от спамъри, които се опитват да объркат обучението на SpamAssassin (известно като „Bayesian poisoning“).

По подразбиране: Включено

 

Активиране на Passive OS Fingerprinting

Позволява на SpamAssassin да използва технология за определяне на операционната система на изпращача (пасивно засичане). Това може да помогне при разпознаване на подозрителни източници.

Изисква: Опцията да е включена в WHM > Service Manager.

По подразбиране: Включено

 

Използване на KAM правила

Позволява на SpamAssassin да използва специални правила, създадени от Kevin A. McGrail (KAM Ruleset), които подобряват засичането на спам. Има и принос от други експерти.

По подразбиране: Включено

 

Използване на cPanel.net правила

Позволява използване на същия набор от правила, които cPanel използва на своите сървъри (cpanel.net).

По подразбиране: Включено