> Суть примеров: если то, что ты называешь "адекватными настройками", существенно урезает возможность использования core functionality софта, то называть это "адекватными настройками" как-то странновато, и уж тем более говорить о том, что это есть mitigation для проблемы.

Ты или слушаешь в пол уха или не хочешь понимать меня, похоже.
Core functionality урезается не в принципе, а только в поставке по-умолчанию.
Если мы говорим о продукте OpenSMTPD, то да, это практически никак не влияет на его безопасность, потому что первое, что в нём включат - "слушать не только localhost".
Если мы говорим о продукте OpenBSD, то ограниченность OpenSMTPD локалхостом влияет на безопасность продукта. Не все используют OpenBSD исключительно как почтовый сервер, а local root, гораздо лучше, чем remote root. Хотя тоже плохо, да.

> Переводя пример с sshd в плоскость opensmtpd: нахрена мне  _по_умолчанию_ в системе сервис, предназначенный в том числе для релеинга писем за пределы локалхоста, но которым я не могу воспользоваться без повышения уровня опасности уязвимости ?

А что, есть способ поднять на машине сервис, слушаюший/пишущий в сеть, не подняв уровень опасности для сервера? Очевидно, что сервер, слушающий сеть менее безопасен, чем сервер, который этого не делает. Очевидно, что если тебе нужен полноценный почтовый сервер, тебе придётся устанавливать ПО, которое умеет в smtp не только на локалхосте.

> Класть нотификации в локальный mbox можно более простыми способами, без россказней об "адекватности настроек", а софт просто снести нафиг за ненадобностью, ибо самая безопасный сервис в системе по умолчанию - это потушенный сервис, либо его отсутствие.

Ну то есть ты предлагаешь вместо одного потенциально уязвимого сервиса сделать два (или более) потенциально уязвимых сервиса, я всё правильно понял?
Ещё раз: если функциональность нужна, она всё равно будет включена, тем или иным способом. И в её реализации может быть уязвимость.

> Посыл: считать существенное урезание функционала софта через "адекватные настройки" в поставке по умолчанию преимуществом есть некорректность и не более чем маркетинговый ход, поэтому упоминать это как некое преимущество есть глупость

Точно? То есть, если бы OpenSMTPD, например, по-умолчанию позволял бы без какой либо проверки любому внешнему пользователю отправить письмо с любого адреса - ты бы высказывался в таком же духе?

Минималистичные настройки по-умолчанию - это не серебрянная пуля, как и все прочие митигации. Безопасность - это комплексный процесс и каждая отдельно взятая мера - это кусок пазла. Глупо ждать, что настройки по-умолчанию решат все проблемы или отменят найденную уязвимость (типа той, про которую пост). Ещё более глупо - делать из этого вывод, что настройки в стиле "воруй-убивай, можно всё" по-умолчанию могут привести к чему-то хорошему.