Processo de origem de ID de mensagem de postfix?

Ontem à noite, meu servidor de e-mail postfix (Debian Squeeze com dovecot, roundcube, opendkim e spamassassin ativado) começou a enviar spam de um único domínio como este:

$cat mail.log|grep D6930B76EA9
Jul 31 23:50:09 myserver postfix/pickup[28675]: D6930B76EA9: uid=65534 from=<[email protected]>
Jul 31 23:50:09 myserver postfix/cleanup[27889]: D6930B76EA9: message-id=<[email protected]>
Jul 31 23:50:09 myserver postfix/qmgr[7018]: D6930B76EA9: from=<[email protected]>, size=957, nrcpt=1 (queue active)
Jul 31 23:50:09 myserver postfix/error[7819]: D6930B76EA9: to=<[email protected]>, relay=none, delay=0.03, delays=0.02/0/0/0, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.33] while sending RCPT TO)

O domínio em questão não tinha nenhuma conta ativada, mas apenas um apelido catchall definido por postfixadmin - a maioria dos e-mails era enviada de um endereço específico que eu uso com frequência, mas alguns também eram enviados de endereços falsos. Nenhum dos outros domínios virtuais manipulados pelo postfix foi afetado.

Como posso descobrir qual processo estava alimentando o postfix / sendmail ou mais informações sobre onde eles se originaram? Tanto quanto eu posso dizer php mail () não foi usado e eu tenho executado vários testes de retransmissão abertos. Eu fiz um pouco de mexer (removido winbind do servidor e endereços ipv6 do main.cf) após o ataque e parece ter diminuído, mas eu ainda não tenho idéia de como o meu servidor foi repentinamente enviando spam. Talvez eu tenha consertado - talvez não tenha feito isso. Alguém pode ajudar a descobrir como eu estava comprometida? Em qualquer outro lugar que eu deveria olhar? Eu executei o Linux Malware Detect em arquivos recentemente alterados, mas nada foi encontrado.