Existem algumas formas de resolver este problema.
Antes de mais nada, certifique-se de que você é necessário para ter um servidor de retransmissão de saída. Atualmente, parece que o protocolo adequado é forçar os usuários a usar o servidor de e-mail de saída do provedor para enviar qualquer mensagem. Alguns ISPs até bloqueiam conexões de saída na porta 25 por esse motivo.
Na sua situação, parece que a parte do webmail foi comprometida. Você precisa ter a autenticação por senha ativada, mas também tem isso. Então, o que você pode fazer?
Eu recomendaria um pacote de software como CSF / LFD ( Configuração do Server Security e Firewall / Daemon de falha de login). Este software analisa seus registros e sinaliza quando um limite é atingido. Nos servidores que eu executo, estou configurado para me alertar se mais de 100 mensagens forem enviadas em mais de 5 minutos. Este é um número relativamente seguro para confiar. Se um spammer quiser limitar-se a contornar este limite, poderá fazê-lo, mas existem muitos outros servidores com protocolos mais fracos em vigor.
Tendo pegado algumas contas que fazem isso (eles estavam pagando clientes) peguei o TOS e sua cláusula anti-spam e terminei com eles. No seu caso, ele teria apenas alertado você de que a conta estava enviando spam e você poderia alterá-la. E, só para você saber, a "minha senha foi comprometida" é uma das # 1 razões que os spammers lhe darão para tentar continuar usando seus serviços! Certifique-se de verificar novamente para garantir que seu cliente seja legítimo.
Os outros estão certos. Se você pretende que os clientes usem seu servidor para enviar e-mails, é muito importante verificar as mensagens de saída da mesma forma que você faria com as mensagens recebidas, para garantir que sejam legítimas. As penalidades de ter seu servidor na lista negra são muito grandes.