Alias-Strategie für Exim — Router-System für System- und Virtual-Aliases

Exim ist der Debian-/Ubuntu-Default-MTA und unterstützt Aliase über sein flexibles Router-System nativ. Die Standard-Debian-Konfiguration unter /etc/exim4/conf.d/router/ liest System-Aliase aus /etc/aliases (über den aliasfile-Router), Virtual-Aliases lassen sich über zusätzliche Router-Blöcke konfigurieren. Anders als bei Postfix ist kein newaliases-Build-Schritt nötig — Exim liest die Alias-Dateien direkt. Diese Anleitung zeigt die Router-Konfiguration, die Service-Alias-Strategie und eine optionale Privacy-Layer-Empfehlung wie SimpleLogin (Proton-Tochter seit 8. April 2022).

Email Security prüfen Plattform entdecken

Exim · Self-Hosted · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 24. Mai 2026

Exim-Alias-Strategie — Router-System statt Postfix-Hash-Files

Exim ist der Debian-/Ubuntu-Default-MTA und nutzt für Aliase ein flexibles Router-System — anders als Postfix (das Hash-Files mit /etc/aliases.db und /etc/postfix/virtual.db nutzt). Die Standard-Debian-Konfiguration /etc/exim4/conf.d/router/400_exim4-config_system_aliases definiert einen aliasfile-Router, der /etc/aliases als Quelle liest — für lokale System-Aliase im Localpart-only-Format (analog Postfix). Virtual-Aliases (Multi-Domain, vollqualifizierte Adressen) konfigurieren Sie über einen zusätzlichen Router-Block mit driver = redirect und einer lsearch-Datei.

Anders als bei Postfix ist bei Exim kein newaliases-Build-Schritt nötig — Exim liest die Alias-Dateien bei jeder Mail neu (mit internem Caching). Bei großen Setups oder aggressivem Caching hilft sudo systemctl reload exim4 oder im Zweifel restart. Wie bei Postfix sind Aliase ein echtes natives MTA-Feature, nicht ein BIMI-artiger Mythos — Aliase sind RFC-5321-Standard-Mechanik. Die Exim-Doku (exim.org/exim-html-current) ist die kanonische Referenz.

Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → ARC & SEG → Alias-Strategie (dieser Guide).

Ausführliche Einführung in die Alias-Strategie

1 Schritt 1 von 4

Exim-Router-Konfiguration und vorhandene Aliase prüfen

Bestandsaufnahme: aktuelle Aliase auflisten, Router-Konfiguration prüfen.

# Exim-Konfiguration pruefen
exim4 -bV
# Erwartet: Exim version 4.9x

# Aktuelle System-Aliase auflisten (Debian-Default)
cat /etc/aliases
# Format: name: target (analog Postfix)

# Router-Konfiguration pruefen
ls /etc/exim4/conf.d/router/
# Standard-Router (Debian): 200_exim4-config_primary,
#   400_exim4-config_system_aliases,
#   450_exim4-config_system_aliases (alias-Router)

cat /etc/exim4/conf.d/router/400_exim4-config_system_aliases
# Definiert den system_aliases-Router auf /etc/aliases

2 Schritt 2 von 4

Service-Aliase via /etc/aliases oder virtual_aliasfile anlegen

Pro externem Dienst ein eigener Service-Alias. Bei Exim kein newaliases-Build nötig — Aliase wirken sofort (ggf. systemctl reload exim4).

# /etc/aliases — System-Aliase (Debian-Default via aliasfile-Router)
sudo nano /etc/aliases

# Role-Mailboxes (RFC 2142)
postmaster:   admin@firma.de
abuse:        security@firma.de
hostmaster:   admin@firma.de
webmaster:    admin@firma.de

# Service-Aliase fuer Leak-Erkennung
hubspot-2026: marketing@firma.de
slack-2026:   it@firma.de
aws-billing:  buchhaltung@firma.de

# Verteiler
support:      alice@firma.de, bob@firma.de

# Bei Exim KEIN newaliases-Befehl noetig (anders als Postfix)
# Exim liest /etc/aliases direkt — Aenderungen sofort aktiv.
# Bei aggressivem Caching: sudo systemctl restart exim4

# Virtual-Aliases fuer Multi-Domain-Setups
# Eigener Router-Block in /etc/exim4/conf.d/router/350_virtual_aliases
sudo nano /etc/exim4/conf.d/router/350_virtual_aliases

virtual_aliases:
  driver = redirect
  domains = +virtual_domains
  data = ${lookup{$local_part@$domain}lsearch{/etc/exim4/virtual}}

# /etc/exim4/virtual
hubspot-2026@firma.de   marketing@firma.de
slack-2026@firma.de     it@firma.de

# Exim-Reload
sudo systemctl reload exim4

3 Schritt 3 von 4

Externe Privacy-Anbieter optional empfehlen

Self-Hosted-Exim ist datensouverän. Zusätzliche Privacy-Anbieter für besondere Schutzbedarfe.

Privacy-Anbieter-Empfehlung mit Souveränitäts-Tag

Self-Hosted (volle Datensouveränität): addy.io (vorher AnonAddy, Rebrand 9. August 2023) self-hosted neben dem eigenen Exim. EU-/CH-souverän: SimpleLogin (Proton-Tochter seit 8. April 2022, Genf) oder Proton Pass-Email. US-Konzern: Firefox Relay, DuckDuckGo Email Protection, Apple Hide My Email. Detail in der Auswahl-Matrix im Kapitel-Index.

4 Schritt 4 von 4

Verifikation und Leak-Erkennung via Service-Alias plus HIBP-Monitoring

Verifikation per exim4 -bt-Lookup und Mail-Log. Dauerhaft Spam-Erkennung an Service-Aliasen plus HIBP.

# Test-Mail senden und im Mail-Log pruefen
sudo tail -f /var/log/exim4/mainlog
# Erwartet: <= ... for hubspot-2026@firma.de
#           => marketing@firma.de 

# Alias-Lookup direkt testen
exim4 -bt hubspot-2026@firma.de
# Erwartet: zeigt die Aufloesungs-Kette

# Leak-Erkennung — Spam an Service-Alias = Leak-Quelle
# Mail an "hubspot-2026@firma.de" von unbekanntem Absender
# -> HubSpot hat Adresse weitergegeben oder wurde geleakt.

# HIBP API v3
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
  https://haveibeenpwned.com/api/v3/breacheddomain/firma.de

# Wolf-Agents Email Security Check erkennt selbst-betriebenen
# Exim ueber MX-Hostname und prueft Role-Mailboxes (RFC 2142).

Häufige Fehler bei der Exim-Alias-Strategie

newaliases-Befehl bei Exim erwartet (Postfix-Drift)

Problem: newaliases wird aufgerufen, gibt aber „command not found“. Ursache: Verwechslung mit Postfix — Exim braucht kein newaliases, liest /etc/aliases direkt. Lösung: Bei Exim Aliase einfach in /etc/aliases eintragen, ggf. sudo systemctl reload exim4 bei Caching-Problemen.

Router-Reihenfolge ignoriert — Virtual-Aliases werden nicht erkannt

Problem: Virtual-Aliases-Router wirkt nicht. Ursache: Exim-Router werden in numerischer Reihenfolge der Dateinamen geladen — der Virtual-Aliases-Router muss vor dem dnslookup-Router stehen (typisch 350_). Lösung: Router-Datei mit numerischem Präfix kleiner als 400 anlegen (z.B. 350_virtual_aliases).

domains-Bedingung im Router fehlt

Problem: Virtual-Aliases werden auch für lokale Mail angewandt — unerwartete Effekte. Ursache: Im Router fehlt die domains-Bedingung zur Einschränkung auf bestimmte Domains. Lösung: domains = +virtual_domains oder explizite Domain-Liste setzen.

Aliase als „kompliziertes BIMI-MTA-Feature“ missverstanden

Problem: Aliase werden mit BIMI verwechselt. Lösung: Aliase sind Standard-SMTP-Mechanik nach RFC 5321 §4.1.2, nativ in jedem Exim-Setup verfügbar. BIMI dagegen ist DNS+SVG+VMC, kein MTA-Feature.

Compliance · DSGVO · MITRE · RFC

DSGVO Art. 32, MITRE M1054 und volle Datensouveränität bei Self-Hosted-Exim

Eine Alias-Strategie in Exim zahlt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein. Self-Hosted-Exim bedeutet volle Datensouveränität — eigene Server, eigene Verarbeitungs-Kette, kein externes Eigentum.

Exim-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + RFC 5321 §4.1.2 (SMTP Mail Aliasing) + RFC 2142 (Role-Mailboxes) + MITRE M1054. Wolf-Agents-USP: Der Email Security Check erkennt selbst betriebene Exim-Setups über MX-Hostnamen und prüft Role-Mailboxes (RFC 2142). Cross-Verweis: DMARC für Exim, ARC & SEG für Exim und Postfix / Mailcow.

Mehrwert — Exim Router-System ohne newaliases plus redirect-Router mit lsearch

Exim unterscheidet sich von Postfix beim Alias-Routing fundamental: Es gibt KEIN newaliases-Kommando — Aliase werden direkt aus der Datei gelesen, ohne Hash-Datenbank-Bau. Das Debian-Default-Setup nutzt /etc/exim4/conf.d/router/400_exim4-config_system_aliases als System-Alias-Router (/etc/aliases-Datei wie bei Postfix, aber direkt linear gelesen). Für Multi-Domain-Setups kommt der redirect-Router mit lsearch zum Einsatz: pro Domain eine eigene Alias-Datei (/etc/exim4/aliases/firma.de, /etc/exim4/aliases/firma.ch) mit Standard-Format alias: target1, target2.

ACL-Optionen für Alias-Filterung: Exim erlaubt ACL-Conditions, die Alias-Verarbeitungs-Limits durchsetzen — z.B. Reject bei mehr als 5 Aliasen pro Empfänger oder Loop-Detection bei zirkulären Forwardings (received-headers-Check). Der Vorteil gegenüber Postfix: feiner-granulare Kontrolle bei komplexen Forwarding-Ketten. Der Nachteil: höhere Konfigurations-Komplexität.

RFC-2142-Role-Mailboxes (Dave Crocker, IMC, Mai 1997, Proposed Standard — datatracker.ietf.org/doc/rfc2142): Wie bei Postfix sind postmaster@, abuse@, hostmaster@, security@, info@, webmaster@ Pflicht. Hardening-Anker: Self-Hosted Exim ist nativ-natives Alias-Routing — KEIN Mythos wie BIMI-MTA. Wolf-Agents-USP: Der 165-Punkte-Scanner erkennt Self-Hosted-Exim über das EHLO-Banner-Pattern (Exim-Versions-String) und prüft Catch-All + RFC-2142-Role-Mailboxes als Hygiene-Indikator. Cross-Verweis: Postfix (mit newaliases-Pflicht), Mailcow (UI-Komfort) und Exim ARC nativ ab 4.91 für ARC-Sealing.

Alias-Strategie-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei Alias-Strategie · Exim?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten