Pár javaslatom - tényleg csak pár, mert hosszú lenne a lista:
1. A host OS és a vm-k ne legyenek ugyanabban az IP tartományban. Legyenek izolálva egymástól ssh kulcs szinten is.
2. A host OS csak a virtualizációért feleljen. Ne legyen rajta se SMTP szerver, se Nginx. Tedd azokat külön vm-re.
3. A konfigokat tárold valami verziózható tárolóban. Ez lehet Git, de lehet akár Etckeeper is.
4. Authentikáció nélküli SMTP ne legyen. Sehol. Kifelé se.
5. A vm-eknek könnyen mozgathatóaknak kell lenniük másik hostra.
6. Nem látok VPN-t a leírásban. Gondolom ennek megvan az oka. Célszerű a nem publikus forgalmat VPN-be terelni a gépek között. Így kifelé csak tényleg 1-2 vm, 1-2 publikus szolgáltatással kell látszódnia (publikus weboldal, publikus SMTP szerver stb.).