ARC & SEG für Exim — natives ARC ab Version 4.91
Exim bringt ARC seit Version 4.91 nativ mit — anders als Postfix, das dafür OpenARC als Milter benötigt. ARC ist auch hier ein echtes MTA-Feature: ARC-Validierung läuft über arc_verify in der DATA-ACL, ARC-Signierung über arc_sign im smtp-Transport. Diese Anleitung zeigt, wie Sie den ARC-Support sicherstellen, ARC in der Exim-Konfiguration einrichten und eine SEG-Schicht mit SpamAssassin oder rspamd ergänzen.
ARC und SEG für selbst gehostete Exim-Mailserver
Exim bringt ARC seit Version 4.91 nativ mit — kein separates Milter wie OpenARC nötig. ARC ist auch bei Exim ein echtes Feature des Mail-Transfer-Agents: Die ARC-Validierung eingehender Ketten konfigurieren Sie mit arc_verify in der DATA-ACL, die ARC-Signierung weitergeleiteter Nachrichten mit arc_sign im smtp-Transport. Der entscheidende Unterschied zu BIMI bleibt: ARC läuft in der Exim-Konfiguration, nicht im DNS.
ARC ist ein Compile-Zeit-Feature. Die ARC-Unterstützung trägt den Build-Schalter EXPERIMENTAL_ARC — sie muss zur Kompilierzeit aktiviert sein. Viele Distributionspakete liefern sie bereits mit; das Debian-Paket exim4-daemon-heavy etwa enthält die experimentellen Features. Prüfen Sie mit exim -bV, ob in der Zeile „Support for:“ der Eintrag Experimental_ARC erscheint. Die offizielle Exim-Dokumentation (exim.org, Abruf 2026-05-21) beschreibt die ARC-Optionen im Kapitel zu den experimentellen Features.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Ein SEG schützt Exim-Postfächer vor Phishing und gefährlichen Anhängen.
Der ARC-Support in Exim ist seit 4.91 als experimentell gekennzeichnet — und das passt zum Standard selbst: ARC (RFC 8617) trägt den IETF-Status Experimental, das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt die Reklassifizierung als Historic. Nachfolger ist DKIM2. Für einen produktiven Exim mit Weiterleitungslast bleibt ARC dennoch nützlich, weil Google, Microsoft 365 und Yahoo ARC-Ketten auswerten. Testen Sie die Konfiguration gründlich in einer Staging-Umgebung, bevor Sie sie produktiv einsetzen.
DMARC-Voraussetzung und Exim-Version prüfen
ARC konserviert geprüfte Authentifizierungsergebnisse — ein korrektes SPF/DKIM/DMARC-Setup ist Voraussetzung. Prüfen Sie zuerst die Exim-Version (ARC ist ab 4.91 verfügbar) und ob die kompilierten Features ARC enthalten.
# Exim-Version und kompilierte Features prüfen
exim -bV | head -20
# In der Zeile "Support for:" muss "Experimental_ARC" stehen.
# DKIM ist ab Exim 4.70 dabei, ARC ab Exim 4.91.
# DMARC / SPF als Voraussetzung der ARC-Kette
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
dig TXT ihre-domain.de +short | grep "v=spf1"
# DKIM-Selector im DNS (Exim signiert DKIM nativ im Transport)
dig TXT arc2026._domainkey.ihre-domain.de +shortAnders als Postfix signiert Exim DKIM direkt im smtp-Transport über die Optionen dkim_domain, dkim_selector und dkim_private_key — ein OpenDKIM-Milter ist nicht erforderlich. ARC baut auf dieser DKIM-Signatur auf. Ist DKIM in Exim noch nicht eingerichtet, arbeiten Sie zuerst die DKIM-Anleitung für Exim durch.
ARC-Support in Exim sicherstellen (EXPERIMENTAL_ARC)
ARC ist in Exim ein Compile-Zeit-Feature. Wenn exim -bV in der „Support for:“-Zeile bereits Experimental_ARC zeigt, ist nichts zu tun — die Distribution liefert ARC mit. Andernfalls bauen Sie Exim mit dem Build-Schalter EXPERIMENTAL_ARC neu.
# ARC ist in Exim ein Compile-Zeit-Feature.
# Viele Distributionspakete liefern es bereits aktiviert —
# z. B. Debian "exim4-daemon-heavy". Zuerst prüfen:
exim -bV | grep -i arc
# Falls ARC fehlt: Exim aus dem Quellcode mit ARC-Support bauen.
# In Local/Makefile folgende Zeile ergänzen:
EXPERIMENTAL_ARC=yes
# Danach neu bauen und installieren:
make && sudo make install
# ARC setzt vorhandenes DKIM voraus — DKIM nicht deaktivieren.Auf Debian und Ubuntu enthält das Paket exim4-daemon-heavy die experimentellen Features inklusive ARC — ein Eigenbau ist dort meist unnötig. Ein selbst gebautes Exim muss bei jedem Distributions-Update nachgezogen werden und entkoppelt Sie von den Sicherheits-Patches der Distribution. Bevorzugen Sie daher das Distributionspaket, sofern es ARC bereits enthält — das ist auch im Sinne der NIS2-Anforderung an gepflegte Versionsstände.
Im Postfix-Universum führt der Weg zu ARC zwangsläufig über OpenARC als externer Milter — Postfix hat ARC nicht nativ. Bei Exim besteht 2026 eine echte Wahl, und die ist nicht so eindeutig wie auf den ersten Blick: Native Variante (Exim 4.91+ EXPERIMENTAL_ARC mit arc_sign/arc_verify): Vorteile — keine zusätzliche Daemon-Komponente, ARC läuft im Exim-Hauptprozess, Konfiguration im gleichen exim.conf wie SPF/DKIM, keine separate Service-Überwachung nötig, einfache Logfile-Korrelation (alles in /var/log/exim4/mainlog). Nachteile — als „experimental“ markiert, Compile-Schalter, eingeschränkter Funktionsumfang gegenüber dem aktiv weiterentwickelten OpenARC v1.3.0. OpenARC-Milter (flowerysong-Fork): Vorteile — gemeinsame Codebasis mit Postfix-/Sendmail-Setups (einheitliches Tooling), aktive Weiterentwicklung mit Bug-Fixes (z. B. v1.3.0 Microsoft-Comment-Parser), Microsoft Defender-Comment-Inkompatibilität via AuthResComments=false mitigiert. Nachteile — zusätzliche Daemon-Komponente, separate Konfig in /etc/openarc.conf, GNU-Autotools-Build, eigene Service-Überwachung. Empfehlungs-Schema: (1) Exim < 4.91: Update auf eine aktuelle Distribution, dort nativ EXPERIMENTAL_ARC nutzen. (2) Exim 4.91+ in produktiver Distribution (Debian/Ubuntu/RHEL): nativ — die zusätzliche Komplexität von OpenARC lohnt sich nur bei spezifischem Anforderungsprofil. (3) Multi-MTA-Setup mit Postfix UND Exim: OpenARC einheitlich auf allen Hosts, weil die gleiche Konfig wiederverwendbar ist. (4) Microsoft-365-Trusted-ARC-Sealing kritisch: OpenARC v1.3.0 mit AuthResComments=false, das die Microsoft-Comment-Parser-Inkompatibilität fixt, die in v1.2 und älter nicht enthalten war.
ARC-Validierung und ARC-Signierung in der Exim-Konfiguration
Jetzt wird ARC in der Exim-Konfiguration aktiv: arc_verify prüft eingehende ARC-Ketten in der DATA-ACL, arc_sign versiegelt weitergeleitete Nachrichten im smtp-Transport. Der ARC-Public-Key wird zusätzlich im DNS veröffentlicht.
# 1. ARC-Validierung eingehender Mail in der DATA-ACL
# (Debian-Layout: /etc/exim4/conf.d/acl/40_exim4-config_check_data)
acl_check_data:
warn
arc_verify = *
add_header = X-ARC-Verify: $arc_state ($arc_state_reason)
# 2. ARC-Signierung weitergeleiteter Mail im smtp-Transport
# (Debian-Layout: /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp)
remote_smtp:
driver = smtp
arc_sign = example.com : arc2026 : /etc/exim4/arc2026.private
# Voraussetzung für arc_sign: ein Authentication-Results-Header
# derselben ADMD muss bereits vorhanden sein.
# ARC-Public-Key im DNS (gleiches Format wie ein DKIM-Key):
# arc2026._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGf..."Die Option arc_sign bildet ein ARC-Set nur, wenn die Nachricht bereits einen Authentication-Results-Header derselben administrativen Domäne (ADMD) trägt — denn ARC versiegelt genau dieses geprüfte Ergebnis. Bei einem reinen Weiterleitungs-Setup muss Exim die eingehende Mail also zuerst per arc_verify beziehungsweise über die SPF/DKIM-Prüfung bewertet haben. Der Selector in arc_sign (hier arc2026) muss mit dem DNS-TXT-Record übereinstimmen.
SEG-Schicht ergänzen und Verifikation
ARC sichert die Authentifizierungskette — die inhaltliche Filterung übernimmt eine SEG-Schicht. Exim bindet Inhaltsfilter über die DATA-ACL ein: SpamAssassin oder das modernere rspamd. Anschließend verifizieren Sie die ARC-Verarbeitung im Mainlog.
# SEG-Schicht für Exim — Inhaltsfilter über die DATA-ACL
# Variante A: SpamAssassin + ClamAV
sudo apt-get install spamassassin clamav clamav-daemon
# in acl_check_data ergänzen:
# warn spam = nobody:true
# add_header = X-Spam-Score: $spam_score ($spam_bar)
# deny malware = *
# message = Schadsoftware im Anhang erkannt
# Variante B: rspamd als moderner ML-basierter Filter
# Variante C: Cloud-SEG vorschalten — MX auf den SEG-Anbieter;
# Exim akzeptiert dann nur Verbindungen aus den SEG-IP-Bereichen
# (acl_check_connect mit hosts = ). Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Exim automatisch über die Banner-Detection für „ESMTP Exim“, bewertet die ARC-Detection und gleicht die MX-Records gegen die SEG-Provider-Datenbank ab. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG für Exim
arc_verify wird nicht erkannt
Problem: Exim meldet beim Reload einen Konfigurationsfehler bei arc_verify oder arc_sign. Ursache: Das laufende Exim wurde ohne EXPERIMENTAL_ARC kompiliert — die ARC-Optionen sind unbekannt. Lösung: Mit exim -bV prüfen, ob Experimental_ARC in „Support for:“ steht; falls nicht, das Paket exim4-daemon-heavy installieren oder Exim mit dem Build-Schalter neu bauen.
arc_sign signiert nicht — kein ARC-Set
Problem: arc_sign ist konfiguriert, weitergeleitete Mail trägt aber kein ARC-Set. Ursache: Die Nachricht hat keinen Authentication-Results-Header derselben ADMD — ARC hat nichts zu versiegeln. Lösung: Sicherstellen, dass Exim eingehende Mail bewertet und einen Authentication-Results-Header schreibt, bevor der smtp-Transport sie weiterleitet.
Selbst gebautes Exim ohne Update-Disziplin
Problem: Ein für ARC selbst kompiliertes Exim läuft monatelang ohne Sicherheits-Updates. Ursache: Der Eigenbau ist von den Distributions-Patches entkoppelt — historische Exim-CVEs wie CVE-2019-10149 zeigen, wie kritisch das ist. Lösung: Wenn möglich das Distributionspaket mit ARC nutzen; bei Eigenbau einen Update-Prozess etablieren (NIS2 lit. e).
SEG-Schicht ganz weggelassen
Problem: ARC ist eingerichtet, eine inhaltliche Filterung fehlt. Ursache: ARC wird mit einem SEG verwechselt — ARC authentifiziert die Weiterleitungskette, es prüft keine Inhalte. Lösung: SpamAssassin oder rspamd über die DATA-ACL ergänzen oder ein dediziertes SEG vorschalten — die BSI-Anforderung APP.5.3.A4 verlangt Spam- und Schadsoftware-Prüfung.
Compliance: NIS2 lit. a + lit. e, BSI APP.5.3.A4, DSGVO mit Exim
Ein selbst gehosteter Exim mit nativer ARC-Funktion und einer SEG-Schicht erfüllt mehrere NIS2-Anforderungen: lit. a (Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme) durch die inhaltliche Filterschicht, lit. d (Sicherheit der Lieferkette) durch die ARC-Absicherung der Weiterleitungskette und lit. e (Sicherheitsmaßnahmen bei Wartung und Schwachstellen-Management) durch die Versions-Hygiene von Exim. Die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 verlangt Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server — bei Self-Hosting liegt diese Verantwortung beim Betreiber.
Exim-ARC-SEG-Compliance-Stack: NIS2 lit. a (SEG als Defense-in-Depth-Schicht) + NIS2 lit. d (natives ARC sichert die Forwarding-Lieferkette) + NIS2 lit. e (Versions-Hygiene von Exim, historische CVEs als Risiko) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten). Wolf-Agents-USP: Der Email Security Check erkennt Exim automatisch über die Banner-Detection für „ESMTP Exim“, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und ordnet den experimentellen ARC-Status transparent ein. Cross-Verweis: Phishing und gefährliche Anhänge.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Exim?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.