Postfix : résoudre l'avertissement "Untrusted TLS connection established" photo

Postfix : corriger “Untrusted TLS connection established”

par · Lecture: 8 minutes

Si vous possédez votre propre serveur email avec Postfix, vous pouvez parfois voir passer cet avertissement dans les logs lorsque Postfix établit une connexion TLS vers un serveur distant :

postfix/smtp[13461]: Untrusted TLS connection established to gmail-smtp-in.l.google.com[64.233.166.27]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)Langage du code : JavaScript (javascript)

À première vue, le message peut inquiéter. Pourtant, il ne signifie pas forcément que la connexion n’est pas chiffrée. Il signifie plutôt que Postfix a bien établi une connexion TLS, mais qu’il ne considère pas le certificat du serveur distant comme vérifié ou digne de confiance.

En clair : la session est chiffrée, mais la chaîne de confiance du certificat n’a pas été validée comme Postfix l’attendait.

Comprendre le message “Untrusted TLS connection established”

Le log contient deux informations importantes :

  • TLS connection established : la connexion TLS a bien été établie ;
  • Untrusted : Postfix n’a pas pu valider la confiance du certificat présenté.

Donc le problème ne vient pas forcément du chiffrement lui-même. Il vient souvent de la vérification du certificat : bundle CA absent, chemin CA non déclaré, certificats racines non installés, certificat distant incomplet, ou niveau de sécurité TLS qui ne force pas la validation.

Postfix distingue la configuration TLS côté client SMTP, utilisée quand votre serveur envoie un mail vers un autre serveur, et la configuration TLS côté serveur SMTPD, utilisée quand un autre serveur ou client se connecte au vôtre. Dans les noms de paramètres, smtp_ concerne le client sortant, tandis que smtpd_ concerne le serveur entrant. La documentation TLS de Postfix sépare d’ailleurs clairement les deux rôles.

Vérifier les certificats racines du système

Sur Debian ou Ubuntu, commencez par vérifier que le paquet ca-certificates est installé. C’est lui qui fournit les certificats racines utilisés pour valider les chaînes TLS.

sudo apt update
sudo apt install ca-certificates
sudo update-ca-certificates

Ensuite, vérifiez que le répertoire des certificats existe :

ls -ld /etc/ssl/certs
ls -l /etc/ssl/certs/ca-certificates.crt

Sur Debian et Ubuntu, les deux chemins les plus fréquents sont :

/etc/ssl/certs
/etc/ssl/certs/ca-certificates.crt

Le premier est un répertoire de certificats hachés. Le second est un fichier bundle contenant les certificats racines.

Lire la suite

Un cercle vert lumineux avec le logo blanc de Linux Mint est centré sur un arrière-plan en dégradé de sombre à clair, mettant en évidence l'édition Debian. Derrière le cercle, un logo plus grand et semi-transparent s'estompe dans l'arrière-plan avec un éclairage vert vibrant.

Installer wine sous Linux Mint Debian Edition

par · Lecture: 7 minutes

J’ai réinstallé Linux Mint Debian Edition, aussi appelée LMDE, sur mon portable, et j’en suis toujours aussi satisfait. On retrouve le confort de Linux Mint, mais avec une base Debian directe, sans couche Ubuntu.

Depuis les premières versions de LMDE, beaucoup de choses ont changé. À l’époque, il fallait parfois ajouter un dépôt tiers pour installer Wine. Aujourd’hui, ce n’est plus une bonne idée : on privilégie les dépôts officiels Debian/Linux Mint, ou le dépôt officiel WineHQ si l’on veut une version plus récente.

Dans cet article, nous allons installer Wine proprement sur Linux Mint Debian Edition 7 “Gigi”, basée sur Debian 13 “Trixie”. LMDE 7 est la version actuelle de Linux Mint Debian Edition et utilise la base Debian plutôt qu’Ubuntu. Page officielle de téléchargement de LMDE 7

À quoi sert Wine ?

Wine permet d’exécuter certaines applications Windows sous Linux, macOS ou d’autres systèmes compatibles POSIX. Wine n’est pas un émulateur au sens classique : il traduit les appels de l’API Windows vers des appels système compatibles avec l’environnement hôte. WineHQ le définit justement comme une couche de compatibilité, et non comme une machine virtuelle. WineHQ : présentation de Wine

En pratique, Wine peut servir à lancer un ancien logiciel Windows, un utilitaire métier, un petit programme portable, un installeur, ou certains jeux. Tout ne fonctionne pas parfaitement, mais c’est souvent très utile.

Pour les jeux, on utilisera parfois plutôt Steam Proton, Lutris ou Bottles. Pour un logiciel Windows précis, Wine reste une excellente base.

Méthode recommandée : installer Wine depuis les dépôts LMDE/Debian

La méthode la plus simple et la plus stable consiste à utiliser les paquets fournis par la distribution.

On commence par mettre à jour les dépôts :

sudo apt update

Ensuite, on installe Wine :

sudo apt install wine

Sur une machine 64 bits, beaucoup d’applications Windows restent en 32 bits, ou utilisent encore des composants 32 bits. Il est donc conseillé d’activer l’architecture i386 avant d’installer Wine. Le wiki Debian indique justement qu’une installation Wine complète sur une architecture 64 bits nécessite l’ajout de l’architecture étrangère i386. Debian Wiki : Wine

sudo dpkg --add-architecture i386
sudo apt update
sudo apt install wine wine32 wine64

Cette méthode suffit dans la plupart des cas. Elle a l’avantage d’être simple, cohérente avec le système, et maintenue via les mises à jour classiques de LMDE/Debian.

Lire la suite

Un raton laveur polygonal sort d'une boîte orange portant le logo Ubuntu, sur un fond géométrique violet et orange. Parfait pour présenter Ubuntu 24.04 LTS ou pour inspirer votre prochain projet de serveur de migration.

Serveur : migration vers Ubuntu 26.04 LTS depuis Ubuntu 24.04 LTS

par · Lecture: 20 minutes

Ubuntu 26.04 LTS, nom de code Resolute Raccoon, est disponible depuis le 23 avril 2026. C’est une version LTS, donc une version de support longue durée, maintenue jusqu’en avril 2031 en support standard, avec une extension possible via Ubuntu Pro.

Comme toujours avec une LTS, la promesse est simple : moins de panique, plus de stabilité. Enfin, en théorie. En pratique, une migration de serveur reste une opération chirurgicale : il faut préparer, sauvegarder, lire les logs, tester les services, puis corriger les petits dragons qui sortent du bois.

Dans mon cas, la migration d’un serveur Ubuntu 24.04 LTS vers Ubuntu 26.04 LTS s’est globalement bien passée. Cependant, trois services ont demandé une intervention après redémarrage :

  • Nginx, car le support Brotli nécessite désormais d’installer explicitement les modules Brotli.
  • Dovecot, car la configuration 2.3 ne fonctionne plus telle quelle avec Dovecot 2.4.
  • Postfix, car certaines directives TLS historiques sont désormais obsolètes ou remplacées.

Rien d’insurmontable, mais assez pour transformer une mise à jour tranquille en soirée « journalctl et bière triple ».

Ce qu’apporte Ubuntu 26.04 LTS

Ubuntu 26.04 LTS consolide deux années d’évolutions depuis Ubuntu 24.04 LTS. Si vous migrez depuis 24.04, vous récupérez donc les changements introduits dans les versions intermédiaires 24.10, 25.04 et 25.10, puis ceux propres à 26.04.

Canonical met surtout l’accent sur la sécurité, la résilience, le support matériel récent, les composants mémoire-safe, les permissions applicatives, le chiffrement TPM, les optimisations serveur et le support Arm Livepatch.

Pour un serveur, les points intéressants sont les suivants.

Support long terme jusqu’en 2031

Ubuntu 26.04 LTS reçoit cinq ans de correctifs de sécurité et de maintenance critique. Cela en fait une base saine pour un serveur web, un serveur mail, une stack WordPress/WooCommerce, un serveur Nextcloud ou une machine dédiée OVH.

Avec Ubuntu Pro, le support étendu peut aller jusqu’à dix ans. C’est utile pour les environnements où l’on ne veut pas refaire une migration complète tous les cinq ans.

Kernel plus récent et meilleur support matériel

Ubuntu 26.04 LTS arrive avec un noyau plus moderne, ce qui améliore le support du matériel récent : CPU, contrôleurs réseau, stockage NVMe, cartes graphiques, pilotes et plateformes serveur plus récentes. Pour un serveur dédié, ce n’est pas forcément spectaculaire au quotidien, mais cela compte dès qu’on utilise du matériel récent ou des fonctionnalités bas niveau.

Sur une machine OVH, Hetzner, Scaleway ou un serveur maison, cela peut régler des détails pénibles : meilleure gestion d’énergie, meilleure détection matériel, pilotes réseau plus propres, ou meilleure prise en charge du stockage.

Sécurité renforcée

Ubuntu 26.04 LTS continue le gros travail de durcissement côté système. Canonical cite notamment le chiffrement complet du disque adossé au TPM, une meilleure gestion des permissions applicatives, plus de composants mémoire-safe, ainsi que Livepatch sur davantage de plateformes.

Sur un serveur web, ce n’est pas une raison pour relâcher AppArmor, SSH, UFW/nftables, Fail2ban ou les mises à jour automatiques. Mais c’est une base plus moderne.

Toolchain et paquets serveur plus récents

Comme toujours, une nouvelle LTS apporte des versions plus récentes des outils système, bibliothèques, compilateurs, runtimes et paquets serveur.

C’est une bonne nouvelle pour les stacks modernes, mais cela peut casser des configurations anciennes. Et c’est précisément ce qui m’est arrivé avec Dovecot et Postfix. Les fichiers de configuration qui vivaient leur meilleure vie depuis dix ans n’aiment pas toujours le futur.

Faut-il migrer tout de suite ?

Sur un poste de test, oui. Sur un serveur de production, cela dépend.

Canonical indique que les utilisateurs d’Ubuntu 25.10 se verront proposer la mise à niveau vers 26.04 rapidement, tandis que les utilisateurs d’Ubuntu 24.04 LTS recevront normalement la proposition de mise à niveau automatique avec Ubuntu 26.04.1 LTS, prévue pour le 4 août 2026.

Donc, pour un serveur client critique, j’aurais tendance à attendre 26.04.1, sauf besoin réel. Pour un serveur personnel, un serveur bien sauvegardé, ou une machine que l’on sait réparer en SSH, la migration est faisable maintenant.

Dans tous les cas : sauvegarde d’abord, héroïsme ensuite.

Lire la suite

← PrécédentSuivant →