Достаточно ли выключить Exim чтобы уберечься от уязвимости?

Наверное, правильнее обновить.

Новая угроза? Или та которая была 5 месяцев назад? 

Последняя я так думаю, о найденных и исправленных аж 21 уязвимости !

К сожалению советы от владельцев дата центров и профессионалов выше некуда такие:

Из письма от хостинговой компании:

Для операционных систем CentOS 6, Debian 8, Ubuntu 16.04 и более ранних версий обновление недоступно. 
Эти ОС объявлены устаревшими, и для них больше не выпускаются обновления и исправления. 
Если на вашем сервере используется устаревшая ОС, рекомендуем заказать сервер с актуальной версией ОС и перенести на него сайты.

Письмо пришло 6 мая, видимо что-то новое.

Да скорее всего это из-за этого.

О чём сожалеете? О том, что обновляться лень?

Так нельзя её обновить, я понимаю это Linux и все такое, ввел команду и пожалуйста, но как говорится * там плавал. Ну, о чем вы говорите если сам провайдер говорит, что не обновиться тебе братан :-), или вы типа о том, что, а чё такого купил бы новый сервак да перенес сайт, из-за утилиты который я в целом то и не пользуюсь, это мне пока не подходит.

Вы бы лучше подсказали мне если я её выключил и service status показывает, что она остановлена, то и уязвимости не будут работать или это не совсем так и нужно удалять её.

А в чём проблема-то через make установить новую версию если так сильно её хотите (но повторюсь с 4.93 на 4.94.2 переходить надо только если вашим почтовым сервером чужие люди пользуются.

Провайдер как раз говорит, что надо обновляться: