Você precisa do servidor de e-mail para que seus processos locais (como o logwatch) possam enviar e-mails. No entanto, você pode configurar o servidor de e-mail para escutar somente em 127.0.0.1 e não em todas as redes, e isso significa que pessoas de fora não podem usá-lo. Isso reduzirá sua "superfície de ataque" (bom termo, a propósito, nunca ouvi isso antes).
A resposta usual para a parte 3 da sua pergunta é colocar um alias em / etc / aliases ou onde o servidor de email escolhido mantiver seu arquivo de alias. Por padrão, esses arquivos geralmente aliasm um monte de coisas (como "webmaster" e "bin") para root, e então, no final de tudo isso, você coloca outro alias que aliases root para você.