i file sono sempre in /etc, l'aggiornamento non è così stupido da sovrascriverteli

Al massimo se upgradi ad una nuova "major release" (tipo da 2.6.1 a 3.0) potrebbero cambiare alcuni direttive del file di configurazione stesso, ma una cosa del genere in debian stable è abbastanza rara.

Se ti interessa la sicurezza prova Dovecot (mail server) e dai un'occhiata a mod_security per apache.