Не надо думать! (Нет, думать, конечно, надо, но только после того, как все исходные данные перепроверены!)
Надо читать логи. В логах у тебя явно написано, что отправка происходит под именем конкретного пользователя с внешнего адреса.
Т.е. пользователь куда-то слил свой пароль. Например, в какой-то кафешке на вебморду заходил, либо вирусню подцепил.