Geht ja nicht nur darum, daß die Emails nicht sicher sind..
Dein Server ist eine öffentliche Gefahr für das Internet.

Du solltest dringend das System härten..Zumindest aber noch zusätzliche Tools wie Portsentry oder ähnliches aufsetzen..

PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD
22/tcp open ssh OpenSSH 4.6 (protocol 2.0)
25/tcp open smtp Postfix smtpd
53/tcp open domain ISC BIND 9.4.1-P1
80/tcp open http Apache httpd 2.2.4 ((Linux/SUSE))
110/tcp open pop3 Dovecot pop3d
143/tcp open imap Dovecot imapd
443/tcp open http Apache httpd 2.2.4 ((Linux/SUSE))
1720/tcp filtered H.323/Q.931
3306/tcp open mysql MySQL 5.0.67
10000/tcp open http Webmin httpd
Über den Webmin brauchen wir da nicht zu streiten, sowas benutzt man einfach nicht..
Ungefilterte Ports sind immer Sicherheitslücken..
MySQL hat nach aussen hin abgeschlossen zu sein, oder zumindest über SSH zu tunneln, wenn die Datenbank nicht lokal liegt.

Mit den richtigen Mitteln ist es aufgrund Deines ungehärteten PHP eine Sache weniger Minuten, Dir das System komplett zu entreissen. Mal abgesehen von dem ganzen Tamtam, das Strato da immer aufführt (Strafbewehrte Unterlassungserklärung für die erneute Freischaltung) und der Arbeit, die da auf Dich zukäme, kann man auch sämtliche realen Emailadressen abziehen und verwerten..

Das soll jetzt kein Vorwurf sein sondern Dich nur anregen, nochmal über das System zu gehen..