ここで使われたスパム送信手法のことを「サブミッションスパム」と呼ぶことにします。 このサブミッションスパムがどうやって送信されていると考えられるか、またその対策について説明します。

【サブミッションスパムの出し方】
ということは、なんらかの手法でユーザのメールアカウント(ユーザIDとパスワード)を取得しているということです。
ユーザIDとパスワードが取得されてしまえば、メールサーバ側では正規のユーザかbotかを見分けることは出来ないため、メールサーバの管理者側はアカウントを乗っ取られていると思われるユーザIDをログから調べ、そのアカウントIDのパスワードを変更することで新規のスパム送信を止めたはずです。

「サブミッションスパム」による5/15〜16のメール障害の解説と対策 - モーグルとカバとパウダーの日記

どうやってユーザのアカウントを取得したかは、具体的な証拠はありませんが、状況からみて以前に該当ユーザのPCにウイルスを感染させて取得した可能性が高いと考えられます。

「サブミッションスパム」による5/15〜16のメール障害の解説と対策 - モーグルとカバとパウダーの日記