Infelizmente, você provavelmente não pode fazer nada sobre isso. A boa notícia é que você não foi hackeado.
Apesar do meu trabalho como profissional de TI, conheci um homem, 25 anos mais novo que eu, através de torneios de xadrez, que era um dos spammers mais prolíficos do mundo (antes da lei CAN SPAM) até que a AOL o processou fora do negócio. Eu tive a rara oportunidade de ver como funciona uma grande operação de spam, e francamente foi incrível. Isso também me deu uma grande visão de como eles funcionam, embora eu tenha certeza de que evoluiu muito desde então, embora não para ele.Ele tinha um T-3 e mais 40 linhas DSL de 1Mb bombeando milhões de mensagens de SPAM diariamente (250.000 / hora 24/7). Uma das coisas que os spammers fazem é falsificar cabeçalhos, o que significa que eles vêm de alguém que eles gostam. Eu faço muito trabalho de servidor de e-mail, e parte do que muitas vezes tenho que fazer é testar e-mail usando o Telnet. Eu coloquei os comandos de e-mail linha por linha e, como parte disso, eu poderia enviar um e-mail como qualquer pessoa no mundo, até mesmo o presidente dos Estados Unidos. Não há verificação de verificação.
Podemos dizer que um cabeçalho é falsificado observando de perto as informações do cabeçalho quando o e-mail chega e o que realmente conta é o endereço IP de onde ele originou. É claro que, se você tivesse o endereço IP deles, você poderia rastreá-los rapidamente, então eles também o imitam: Eles enviam mensagens por meio de computadores infectados com vírus projetados apenas para permitir essa retransmissão. Esses spammers encontram programas clandestinos para fazer a varredura desses relés abertos ou, muitas vezes, pagam apenas o proprietário de uma botnet.
Então, de volta para como e por que você recebe as mensagens de devolução: Eu sei que meu conhecimento escolheria aleatoriamente 40-50 endereços de e-mail com azar por computador fora de sua lista de milhões, e os colocaria no "De" caixa de seus programas de spam. Portanto, sempre que um desses e-mails for enviado para um endereço de e-mail não entregue, a mensagem retornará ao endereço de e-mail que foi usado no cabeçalho falsificado.A única coisa que você pode fazer é desligar ou bloquear todas as mensagens devolvidas, mas isso é algo que realmente é feito no nível do servidor, um nível que a maioria das pessoas não tem acesso.
A boa notícia é que eles provavelmente escolherão aleatoriamente endereços de e-mail diferentes da próxima vez, então o problema vai acabar ... para você.
Para quem está tentando combater spammers, eu não acho que você pode lutar contra eles tentando localizá-los usando endereços IP, mas uma coisa que me impressionou foi ver a operação que eu mencionei: Siga o dinheiro. Isso é como realmente rastrear alguém.