Errant Script enviando mail no servidor Debian

Executando o teste debian (wheezy) em um host virtual como servidor web / servidor mysql.

Ele tem o logwatch instalado e, ocasionalmente, estou recebendo um e-mail devolvido para um endereço inválido.

É inconsistente no tempo e é direcionado para [email protected], que é inválido. (é hospedado em aplicativos do gmail, e agora ocorre para mim, eu posso adicionar esse e-mail para descobrir o que está enviando, mas a pergunta permanece, se isso não for uma opção).

Eu verifico os logs do exim e ele não tem informações adicionais além do que está no logwatch.

 2012-09-18 06:27:38 ** [email protected] R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<[email protected]>: host ASPMX.L.GOOGLE.com [173.194.77.26]: 550-5.1.1 The email account that you tried to reach does not exist. Please try\n550-5.1.1 double-checking the recipient's email address 

Então, alguma ideia para descobrir qual script poderia estar enviando este e-mail? Configuração do Exim talvez para mais depuração? Não está colocando nenhum registro, mas o log principal, sem erros ou pânico.

Eu tentei usar o grepping em arquivos de configuração procurando por esse endereço de e-mail, mas sem sorte.

Edit: não é a própria mensagem do logwatch, essa parte funciona bem. É o conteúdo da mensagem que faz referência ao e-mail malvado. (isto é, o logwatch está relatando corretamente o eximlog)