MX für Exim einrichten

Schritt-für-Schritt-Anleitung: MX-Record für Self-Hosted Exim-Mailserver konfigurieren — DNS-Records, PTR/FCrDNS beim IP-Provider, acl_smtp_rcpt und helo_verify in der Exim-Konfiguration. Inklusive DNSSEC, native ARC-Unterstützung ab Exim 4.91 und Wolf-Agents Email Security Check.

MX prüfen Plattform entdecken
Exim · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

MX-Records für Exim (Self-Hosted Linux)

Exim ist der Default-MTA auf Debian (Standard-Installation ist exim4) und wird zusätzlich von vielen Universitäten, Forschungseinrichtungen und Cypherpunk-Communities eingesetzt. Ab Version 4.91 (2018) unterstützt Exim nativ ARC (Authenticated Received Chain, RFC 8617) — wichtig für Mailing-Listen und Forward-Setups mit DMARC. Wie bei Postfix definieren Sie den MX-Hostnamen selbst (typisch mail.ihre-domain.de) und müssen DNS, Reverse-DNS und Exim-ACLs sauber konfigurieren.

Als Maßnahme nach NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) und BSI TR-03108 ist die MX-Konfiguration die Basis für SPF, DKIM und DMARC. Bei Self-Hosted-Setups gehört die TOM-Verantwortung (Patches, PTR, ACLs, TLS) komplett in die NIS2-Dokumentation. Der Wolf-Agents Email Security Check erkennt Exim-Stack-Pattern automatisch (Banner-Detection für 220 mail.ihre-domain.de ESMTP Exim), validiert PTR/FCrDNS für IPv4 und IPv6, scannt DNSSEC, prüft TLS und erkennt typische Exim-Misskonfigurationen (CVE-historische Schwachstellen werden im 7-Tage-Rhythmus aktualisiert).

Hardening-Pfad: Nach dem MX-Record folgt SPF für Exim, DKIM mit nativer Exim-Signing (seit 4.70 integriert) und DMARC mit OpenDMARC. Bedrohungs-Cluster: Ein korrekt gehärteter Exim-MX-Record schließt DNS-Hijacking-Spoofing und SubdoMailing.

Ausführliche Einführung in MX-Infrastruktur

1 Schritt 1 von 4

MX-Record + A/AAAA für Exim-Server anlegen

Im DNS-Provider den MX-Record auf den Mailserver-Hostnamen (mail.ihre-domain.de) setzen, plus A- und AAAA-Records für den Hostnamen auf die Server-IP.

DNS Zone-File (Exim Self-Hosted) DNS 
; Exim Self-Hosted Mailserver — DNS-Zone
ihre-domain.de.       IN  MX  10  mail.ihre-domain.de.
mail.ihre-domain.de.  IN  A         203.0.113.10
mail.ihre-domain.de.  IN  AAAA      2001:db8:42::10

; PTR-Records beim IP-Hosting-Provider setzen:
;   10.113.0.203.in-addr.arpa.   IN  PTR  mail.ihre-domain.de.
;   ...ip6.arpa.                 IN  PTR  mail.ihre-domain.de.
Exim Patch-Disziplin als Compliance-Vorbedingung

Exim hat in der Vergangenheit mehrere kritische CVEs gehabt (CVE-2019-10149 „Return of the WIZard“, CVE-2018-6789, CVE-2020-28017 bis CVE-2020-28026). Vor jeder NIS2-Audit-Vorbereitung: Exim-Version aktualisieren (apt update && apt upgrade exim4), CVE-Status via exim -bV prüfen. Quelle: exim.org/exim-html-current/doc/html/spec_html (abgerufen 2026-05-14).

acl_smtp_rcpt: vier zentrale Direktiven für MX-Hardening (NEU R3-Mehrwert)

Aus der offiziellen Exim-Spezifikation (Access Control Lists): acl_smtp_rcpt wird bei jedem RCPT-Befehl ausgeführt und ist der zentrale Punkt für Eingangs-Härtung, weil „die Mehrheit der Richtlinientests bei eingehenden Nachrichten beim Empfang von RCPT-Befehlen durchgeführt werden kann“. Vier Direktiven für robustes MX-Hardening: (1) verify = recipient — prüft Empfänger-Existenz, blockiert Spam-Adressen-Pickerei. (2) verify = sender — DNS- und Routing-Prüfung der Absender-Adresse. (3) helo_verify — verlangt FQDN-HELO mit gültigem DNS-Record, blockiert klassische Snowshoe-Spam-Wellen. (4) !verify = helo kombiniert mit deny — Ablehnung bei HELO-Verstoß. Wichtig: Wenn acl_smtp_rcpt NICHT definiert ist, ist die Standard-Aktion „deny“ — explizite Konfiguration ist Pflicht, sonst sind alle eingehenden Mails abgelehnt. Mehrschichtiger Ansatz empfohlen: Kombination hosts + verify + dnslists für robustes Hardening. Quelle direkt-verifiziert: exim.org/exim-html-current/doc/html/spec_html/ch-access_control_lists (abgerufen 2026-05-16).

2 Schritt 2 von 4

PTR/FCrDNS beim IP-Provider setzen

PTR-Records werden beim Hosting-Provider Ihrer IP-Adresse gesetzt (Hetzner Cloud Console, IONOS, AWS), nicht in der eigenen DNS-Zone. FCrDNS verlangt bidirektionale Konsistenz für IPv4 und IPv6 separat.

Ohne PTR landet Mail im Spam-Filter

Google, Microsoft und Spamhaus PBL bewerten fehlende oder generische PTRs als starkes Spam-Signal. Setzen Sie den PTR exakt auf den MX-Hostnamen Ihrer Domain — für IPv4 und IPv6 separat. Bei IPv6 wird der PTR in der ip6.arpa-Zone gesetzt.

3 Schritt 3 von 4

acl_smtp_rcpt + helo_verify konfigurieren

Exim nutzt ein ACL-System (Access Control Lists) statt deklarativer Direktiven wie Postfix. Die ACL acl_smtp_rcpt wird bei jedem RCPT-Kommando aufgerufen und prüft HELO-Konsistenz, FCrDNS und Relay-Permissions.

/etc/exim4/exim4.conf.template (Auszug) ACL 
# Exim Konfiguration — Hardening-Auszug
# Debian/Ubuntu: /etc/exim4/exim4.conf.template oder
#                Split-Config in /etc/exim4/conf.d/

# FQDN + Primary Hostname
primary_hostname = mail.ihre-domain.de
qualify_domain   = ihre-domain.de

# HELO-Validierung
helo_verify_hosts = *
helo_try_verify_hosts = *

# acl_smtp_rcpt ACL — verlangt FQDN-HELO, FCrDNS, korrekte Domain
acl_smtp_rcpt = acl_check_rcpt

begin acl
acl_check_rcpt:
    deny  message       = HELO needs to be fully qualified
          condition      = $\{if eq $\{strlen:$sender_helo_name}{0}{1}}
    deny  message       = HELO has no DNS record
          !verify        = helo
    accept hosts        = +relay_from_hosts
    accept              = authenticated = *
    accept              = domains = +local_domains
    deny  message       = relay not permitted
Native ARC seit Exim 4.91

Exim ab Version 4.91 (Februar 2018) unterstützt ARC (Authenticated Received Chain, RFC 8617) nativ. ARC ist relevant für Mailing-Listen, Forwarding und SEG-Setups, bei denen die ursprüngliche DKIM-Signatur durch die Weiterverarbeitung gebrochen wird. Aktivierung in der ACL: acl_smtp_data mit acl_check_data und ARC-Verify-Directive. Wolf-Agents Email Security Check erkennt ARC-Header in eingehenden Mails.

4 Schritt 4 von 4

DNSSEC + Exim-Verifikation

Nach DNS-Setup und Exim-Restart prüfen Sie alle Schichten: MX, A/AAAA, PTR/FCrDNS, DNSSEC und Exim-Konfiguration.

Terminal Verifikation dig + exim 
# Linux / macOS
dig MX ihre-domain.de +short
dig A mail.ihre-domain.de +short
dig AAAA mail.ihre-domain.de +short

# Reverse DNS (PTR/FCrDNS-Prüfung)
dig -x 203.0.113.10
dig -x 2001:db8:42::10

# DNSSEC-Validierung
dig +dnssec MX ihre-domain.de | grep -E "RRSIG|ad;"

# Exim-Konfiguration prüfen
exim -bV                            # Version + Build-Info
exim -bP primary_hostname           # Hostname-Wert
exim -bh 198.51.100.42              # Simuliere eingehende Verbindung von Test-IP

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt Exim-Stack-Pattern (Banner-Detection), validiert PTR/FCrDNS, scannt die DNSSEC-Kette und prüft typische Exim-CVE-Stati gegen bekannte Schwachstellen.

Häufige Fehler bei Exim MX-Records

Veraltete Exim-Version (CVE-anfällig)

Problem: exim -bV zeigt Version vor 4.94. Ursache: Patch-Disziplin nicht eingehalten. Lösung: apt update && apt upgrade exim4 ausführen — Exim hat in der Vergangenheit mehrere kritische CVEs gehabt. Wolf-Agents Monitoring prüft Exim-Version gegen bekannte Schwachstellen.

Fehlender helo_verify (HELO-Spam-Welle)

Problem: Exim akzeptiert Mails mit gefälschtem oder leerem HELO. Ursache: helo_verify_hosts oder acl_check_rcpt ohne HELO-Check. Lösung: In der ACL acl_check_rcpt einen !verify = helo-Block ergänzen — verhindert klassische Snowshoe-Spam-Wellen.

CNAME als MX-Ziel

Problem: mail.ihre-domain.de ist CNAME statt A/AAAA. Ursache: Setup über Web-UI mit CNAME-Default. Lösung: RFC 2181 § 10.3 verbietet CNAMEs als MX-Ziel — direkte A/AAAA-Records anlegen.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2, BSI TR-03108 und DSGVO mit Exim

Eine korrekt konfigurierte Exim-Architektur mit DNSSEC, PTR/FCrDNS, ACLs und Patch-Disziplin ist der prüfbare Nachweis für NIS2 Art. 21 Abs. 2 lit. h (Kryptografie und Verschlüsselung), lit. e (Sicherheit bei Erwerb, Entwicklung und Wartung von Systemen) und BSI TR-03108. Exim-spezifisch: Die Patch-Disziplin (CVE-Updates) ist besonders kritisch — historische Schwachstellen wie CVE-2019-10149 zeigen, wie schnell ein nicht-gepatchter MTA zur Backdoor wird. Diese Eigenverantwortung gehört explizit in die NIS2-TOM-Dokumentation.

Exim MX-Compliance-Stack: NIS2 lit. h (DNSSEC für MX, DNS-Provider aktivierbar) + lit. e (Mailserver-Hardening + CVE-Patch-Disziplin) + BSI TR-03108 (FCrDNS kundenseitig, ACLs, TLS-Zertifikate) + DSGVO Art. 32 lit. b (Verfügbarkeit kundenseitig). Wolf-Agents-USP: Der Email Security Check erkennt Exim-Stack (Banner-Detection für „ESMTP Exim“), validiert PTR/FCrDNS, scannt DNSSEC, prüft CVE-Stati gegen bekannte Exim-Schwachstellen und erkennt ARC-Header — kein anderer DACH-Scanner deckt diese vier Exim-spezifischen Drift-Klassen plus CVE-Monitoring ab. Cross-Verweis: DNS-Hijacking-Spoofing und SubdoMailing.

MX-Anleitung für weitere Provider:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointInfomaniakWorld4YouProton MailPostfixEximMailcowCloudflare DNSHetzner DNS

Wie steht Ihre Domain bei MX-Infrastruktur · Exim?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten