Aqui está a solução! Cada parte do email de spam terá um uid nos cabeçalhos mostrando qual conta no servidor está sendo usada para enviar os emails. Eu era capaz de ver os cabeçalhos dos e-mails na fila do qmail olhando no Plesk (8.6.0) em Servidor > Mail > Fila de Correio. Quando eu cliquei no assunto, pude ver na primeira linha algo como:
qmail 11850 invoked by uid 10059
O uid 10059 identifica o usuário no servidor que chamou o qmail. Para ver qual usuário é, faça login no seu servidor como root e execute o seguinte comando no terminal:
grep 10059 /etc/passwd
Isso irá procurar no arquivo passwd em seu servidor pela string 10059 e retornar o texto resultante.
Depois que descobri que usuário era esse, consegui desativar o acesso ao shell, adicionar CAPTCHAs a todos os formulários da Web no site e alterar o FTP e outras senhas associadas. Isso me ajudou a impedir que o spammer ganhasse controle.