Una altra per recordar-la per més endavant.

Si de sobte el teu servidor comença a enviar correus brossa, tens el postfix com a servidor de correu, i vols saber qui els envia i mitjançant quin script ho fa, el que has de fer és:

Revisar la cua de correu i agafar l'id d'un dels correus brossa:

$ mailq 9C8CA22893D 2045 Tue Aug 18 21:09:43 ljennie4_152006@yahoo.com (delivery temporarily suspended:
lost connection with mta6.am0.yahoodns.net[x.x.x.x] while sending RCPT TO)

Llegir la capçalera del correu amb la comanda (per exemple):

$ postcat -hq 9C8CA22893D

Identificar el camp "X-PHP-Originating-Script" de la sortida de la anterior comanda, la qual identifica qui envia els correus brossa i/o des de quin fitxer.

Prendre les mesures adequades amb el fitxer en qüestió, com ara, modificar els permisos perquè no puga enviar més correus i sobretot, actualitzar el software en qüestió o cancel·lar el compte de correu problemàtic.

En el meu cas era una versió antiga d'un joomla que tenia al servidor i feien servir el phpmailer per enviar correus en massa.

Queda una tasca important: revisar que la ip del teu servidor no ha estat blocada a algun servidor antibrossa si ha estat enviant correu brossa durant una llarga estona, i anar sol·licitant el dellistat de la teua ip.

Solucionat.