sigue mirando el encabezado para que te enteres por dónde entra el spammer. Los servidores linux no envían sólos mails... esto es alguien enviándolo. Esto es técnicamente invasión (allanamiento) de morada, y deben tomarse medidas para reportar y actuar contra estos entrometidos descarados.

de momento te garantizo que una de las siguientes será la situación, luego me confirmas que fue una de ellas dos:
1- un usuario con clave débil (soporte@concope.gob.ec por ejemplo, cuya clave es soporte) y está siendo usado para autenticar y enviar mails, ya sea mediante outlook o mediante el webmail.

la técnica más bonita y actual es esta del webmail. Solución: inmediatamente poner claves serias por favor!! Estoy muy seguro que esta es la razón. Y educarse uno y a los usuarios: las claves tienen que ser complejas, nada de usuario123 ni de usuario2001 ni nada de eso

2- otra variante, que tampoco deja de ser válida y usada: un joomla del año de la corneta (es decir, antes de la 1ra guerra mundial) y el spammer está usando un módulo con falla para enviar cientos de spam.

solución: tomarse en serio que los sitios web no es sólo ponerlos, sino además mantenerlos y mantener un sitio web cuesta mucho tiempo y dinero.
saludos
epe