Dado que você está executando sites no sistema, você também pode ter um script de cliente comprometido. Um remetente de spam pode enviar dados para o script via HTTP, e o script ficará feliz em enviar e-mails em nome do remetente de spam.
A sugestão mais fácil que posso dar é correlacionar seus logs do Apache e seus logs de injeção de mensagens via timestamp. Procure por um registro de data e hora em seus logs de acesso do Apache em torno do mesmo tempo que o envio da mensagem (o mesmo ou alguns segundos antes) e procure uma postagem bem-sucedida. Se você encontrar algumas entradas consistentes, veja o script e veja se ele envia um e-mail. Em caso afirmativo, você provavelmente tem o seu culpado.
Se este servidor também executar um servidor de e-mail, exija autenticação SMTP e, em seguida, leia seus registros.