BIMI für Exim — DNS-Record, SVG-Hosting und DKIM-Signing in main.conf

Analog zu Postfix hat auch Exim keine eigene BIMI-Konfiguration — BIMI ist ein DNS-Record, der vom empfangenden Mailserver ausgewertet wird. Der sendende Exim muss DMARC-konform versenden: DKIM-Signing erfolgt im remote_smtp-Transport über dkim_domain, dkim_selector und dkim_private_key. Ab Exim 4.91 ergänzt ARC-Signing die Forwarding-Robustheit. Diese Anleitung zeigt das DMARC-Setup im Exim-Stack, das SVG-Hosting auf einem eigenen nginx/Apache, den BIMI-Record beim DNS-Provider und die Verifikation.

BIMI prüfen Plattform entdecken

Exim · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 19. Mai 2026

BIMI für selbst gehostete Exim-Mailserver

Exim stellt — analog zu Postfix — keinen BIMI-Konfigurationsbereich bereit. BIMI ist ein DNS-Record nach IETF Internet-Draft Version 14 (1. Mai 2026), der vom EMPFANGENDEN Mailserver ausgewertet wird, nicht vom sendenden. Die offizielle Exim-Dokumentation (exim.org/exim-html-current, Abruf 2026-05-19) enthält keine BIMI-Sektion. Der sendende Exim muss aber DMARC-konform versenden — SPF-pass, DKIM-Signatur mit Alignment auf die From-Domain, DMARC-Policy p=quarantine oder p=reject.

DKIM-Signing in Exim — drei Pflicht-Optionen im remote_smtp-Transport: dkim_domain (Domain für die signiert wird), dkim_selector (DNS-Selector, typisch default), dkim_private_key (Pfad zum privaten Schlüssel). Anders als bei Postfix mit OpenDKIM-Milter ist DKIM in Exim nativ integriert. ARC-Signing ab Exim 4.91 ergänzt für Forwarding-Szenarien die arc_sign-Option und hält DMARC trotz Header-Modifikationen am Forwarder am Leben.

Versions-Hinweis NIS2 lit. e: Aktuelle Exim-Releases (4.94+ auf Debian 12, 4.96+ auf Ubuntu 24.04 LTS) sind Pflicht für Schwachstellen-Management — historische Exim-CVEs (CVE-2019-10149, CVE-2020-28017) machen das sicherheitskritisch. Outlook-Limitation Stand Februar 2026: Microsoft Outlook und Exchange Online unterstützen BIMI NICHT — Tests gegen Outlook zeigen kein Logo, das ist erwartet. Hardening-Pfad: MX → SPF → DKIM in main.conf → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI. Bedrohungs-Cluster: Email-Spoofing und Phishing.

Das BIMI-Selector-Header-Feld: via Exim setzbar, praktisch unnötig

Der BIMI Internet-Draft 14 sieht ein optionales BIMI-Selector-Header-Feld vor, mit dem ein Absender einen anderen DNS-Selector als default adressieren kann. Technisch ließe sich ein solcher Header in Exim über headers_add in einem Router oder Transport ergänzen. Praktisch ist das jedoch unnötig: Produktive E-Mail-Clients werten ausschließlich den festen Selector default._bimi aus — ein abweichender Selector bleibt wirkungslos. Die beiden anderen BIMI-Header — BIMI-Location und BIMI-Indicator — fügt grundsätzlich der empfangende Mailserver ein, nicht der sendende; sie tragen den geprüften Indicator zum Mail-Client. Für einen sendenden Exim heißt das: kein headers_add, kein BIMI-spezifischer ACL-Eintrag, keine BIMI-Zeile in der main.conf — die einzige Aufgabe ist DMARC-konformes Signieren (DKIM und bei Forwardings ergänzend ARC).

Ausführliche Einführung in BIMI und VMC

1 Schritt 1 von 4

DMARC-Voraussetzung am sendenden Exim prüfen

BIMI ist die Belohnung für ein vollständig konfiguriertes DMARC-Setup. In Exim laufen SPF, DKIM und ARC alle in der nativen Konfiguration — keine separaten Milter nötig. Prüfen Sie alle Komponenten in einem Schwung.

# DMARC-Voraussetzung am sendenden Exim prüfen
exim -bV
# Erwartet: "Exim version 4.94+" (Debian 12), "4.96+" (Ubuntu 24.04 LTS)
# DKIM seit 4.70, ARC ab 4.91

# DKIM-Signing-Optionen im remote_smtp-Transport
grep -E "dkim_domain|dkim_selector|dkim_private_key" \
  /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp
# Erwartet (Beispiel):
#   dkim_domain      = $sender_address_domain
#   dkim_selector    = default
#   dkim_private_key = /etc/exim4/dkim/$dkim_domain.private

# DKIM-Selector im DNS
dig TXT default._domainkey.ihre-domain.de +short
# Erwartet: v=DKIM1; k=rsa; p=<2048-Bit-Public-Key>

# DMARC-Policy
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...

# SPF (muss den sendenden Exim-Server autorisieren)
dig TXT ihre-domain.de +short | grep "v=spf1"

ARC-Signing für Forwarding-Szenarien (ab Exim 4.91)

Bei Mailing-Listen oder Weiterleitungen modifizieren Forwarder typisch Subject- und From-Header — DKIM-Signaturen brechen, DMARC fällt durch, BIMI greift nicht. ARC (Authenticated Received Chain, RFC 8617) löst das: Exim 4.91+ unterstützt arc_sign im remote_smtp-Transport. Empfangende Mailserver wie Gmail werten ARC aus und akzeptieren DMARC-pass auch nach Modifikationen. Details unter DKIM für Exim.

2 Schritt 2 von 4

SVG Tiny PS Logo erstellen und auf eigenem nginx/Apache hosten

Das Logo muss als SVG Tiny Portable/Secure vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute laut BIMI-Draft V14: baseProfile gleich tiny-ps, version gleich 1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.

SVG-Hosting auf eigenem nginx/Apache

Exim selbst bringt keinen Webserver mit. Sie hosten das Logo auf einem nginx- oder Apache-Webserver auf dem Exim-Host oder separat. Pflicht: HTTPS mit gültigem TLS-Zertifikat (Let's Encrypt), Content-Type image/svg+xml, öffentlich erreichbar ohne Login. VMC-Anbieter für das Gmail-Häkchen: DigiCert, Sectigo oder GlobalSign — registrierte Marke (EUIPO/DPMA/USPTO) ist Pflicht, Verifizierung 2-6 Wochen, Standardlaufzeit 397 Tage.

3 Schritt 3 von 4

BIMI-Record im DNS — niemals in /etc/exim4/exim4.conf

Der BIMI-Record gehört NICHT in die Exim-Konfiguration (/etc/exim4/exim4.conf, conf.d/transport/30_exim4-config_remote_smtp oder die main.conf). BIMI ist ein DNS-TXT-Record, der beim DNS-Provider Ihrer Domain hinterlegt wird — Cloudflare, deSEC, Netcup oder Hetzner DNS. TTL-Empfehlung 3600 Sekunden.

; BIMI-Record - beim DNS-Provider der Domain, NICHT in /etc/exim4/exim4.conf
; Exim hat keinen BIMI-Konfigurationsbereich.
; Selector immer: default._bimi (BIMI Draft V14, 1. Mai 2026)
;
; v=BIMI1   Version (Pflicht)
; l=URL     SVG-Logo-URL, HTTPS Pflicht
; a=URL     VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)

default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"

; Variante OHNE VMC (Yahoo/Fastmail/AOL/Apple-iCloud, KEIN Gmail-Logo):
default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="

Trennung von MTA und DNS-Authority

Exim ist der Mail-Transfer-Agent — DNS-Verwaltung läuft beim DNS-Provider Ihrer Domain. Diese Trennung ist by-design: BIMI-Records, SPF, DKIM-Public-Keys, DMARC, MX, DNSSEC-DS, TLSA und CAA werden alle beim DNS-Provider gepflegt, nie im MTA. Wenn Sie auf dem Exim-Host gleichzeitig einen eigenen authoritativen DNS-Server betreiben (BIND, Unbound, Knot), wird der BIMI-Record dort in der Zone-Datei eingetragen — aber niemals in der Exim-Konfiguration.

4 Schritt 4 von 4

Verifikation per dig, curl und Exim-Mainlog

Nach DNS-Propagation (typisch 1-24 Stunden) verifizieren Sie den BIMI-Record per dig, die SVG-Erreichbarkeit per curl, das DKIM-Signing im Exim-Mainlog und die Logo-Anzeige per Test-Mail an Gmail, Apple Mail, Yahoo, GMX und WEB.DE. Outlook zeigt KEIN Logo — das ist erwartet (Stand Februar 2026 keine BIMI-Unterstützung).

# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short

# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml

# VMC-Erreichbarkeit
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5

# Exim-Mainlog: DKIM-Signing pro ausgehender Mail
grep "DKIM signing" /var/log/exim4/mainlog | tail -5
# Erwartet: "DKIM signing: domain=ihre-domain.de selector=default"

# ARC-Header (Exim 4.91+) bei Forwarding-Szenarien
grep "ARC-Authentication-Results" /var/log/exim4/mainlog | tail -3

# Test-Mail vom Exim an Gmail / Apple / Yahoo / GMX / WEB.DE senden.
# Outlook ignoriert BIMI Stand Februar 2026.

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Exim automatisch über die Banner-Detection für „ESMTP Exim“, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift, abgelaufene VMCs und Content-Type-Fehler beim SVG-Hosting.

Häufige Fehler bei BIMI für Exim

BIMI-Record in main.conf gesucht

Problem: BIMI-Konfigurationsparameter werden in /etc/exim4/exim4.conf oder den conf.d/-Snippets gesucht. Ursache: Exim hat keine BIMI-Konfiguration — BIMI ist ein DNS-Record, der vom empfangenden Mailserver ausgewertet wird. Lösung: BIMI-Record beim DNS-Provider der Domain setzen (Cloudflare, deSEC, Netcup, Hetzner DNS).

DKIM-Signing-Optionen fehlen im remote_smtp-Transport

Problem: BIMI-Record gesetzt, DMARC-Policy p=reject, kein Client zeigt das Logo. Ursache: Die drei Pflicht-Optionen dkim_domain, dkim_selector, dkim_private_key fehlen im remote_smtp-Transport — ausgehende Mails werden ohne DKIM-Signatur versendet, DMARC scheitert. Lösung: Optionen in /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp ergänzen, Public-Key im DNS unter default._domainkey.ihre-domain.de veröffentlichen. Details unter DKIM für Exim.

ARC-Signing fehlt — DMARC fällt bei Forwardings durch

Problem: Mailing-Listen-Mails oder Weiterleitungen erreichen Empfänger ohne BIMI-Logo, obwohl direkte Mails das Logo zeigen. Ursache: Forwarder modifizieren Subject- und From-Header — DKIM-Signatur bricht, DMARC fällt durch, BIMI greift nicht. Lösung: Ab Exim 4.91 die arc_sign-Option im remote_smtp-Transport setzen — ARC (RFC 8617) bewahrt die ursprüngliche Authentifizierung in einer signierten Chain.

Outlook-Test als Konfigurations-Fehler interpretiert

Problem: Test-Mail vom Exim an Outlook-Konto kommt OHNE Logo an — Annahme „Exim-BIMI-Setup ist defekt“. Ursache: Microsoft Outlook und Exchange Online unterstützen BIMI Stand Februar 2026 NICHT. Lösung: Test ausschließlich gegen Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail durchführen.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2 lit. a + lit. e + lit. h, BSI TR-03108, DSGVO mit Exim BIMI

Eine BIMI-Plus-VMC-Kombination auf einem selbst gehosteten Exim-Stack erfüllt drei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse + Sicherheit) durch visuelle Brand-Identity-Authentifizierung, lit. e (Schwachstellen-Management) durch Exim-Versions-Hygiene (4.94+ auf Debian 12, 4.96+ auf Ubuntu 24.04 LTS — CVE-2019-10149 und CVE-2020-28017 als historische Risiken) und lit. h (Kryptografie) durch X.509-PKI-Logo-Bindung im VMC plus DKIM-2048-Bit-Signing plus ARC-Chain.

Exim-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. e (Exim-Versions-Hygiene + Debian/Ubuntu-LTS-Patch-Disziplin) + NIS2 lit. h (VMC-Kryptografie + DKIM-2048-Bit + ARC-Signing) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing). Wolf-Agents-USP: Der Email Security Check erkennt Exim automatisch über die Banner-Detection für „ESMTP Exim“, prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität und warnt vor abgelaufenen VMCs. Cross-Verweis: Email-Spoofing und Phishing.

BIMI-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei BIMI · Exim?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten