Aktualizując Rainloop Webmail spotkałem się z taką podatnością, iż widoczny jest plik apllication.ini dla wszystkich z zewnątrz po wpisaniu:

/data/_data_/_default_/configs/application.ini

Rozwiązaniem okazało się dodanie w pliku Apache2 a dokładnie w conf-enabled -> rainloop.conf linijki jak poniżej:

<Directory /usr/share/rainloop/data/data/default/configs/>
     deny from all
 </Directory>