Hai detto "Ho determinato che il mio server è stato compromesso". Come hai fatto questa determinazione? Hai trovato voci nei tuoi registri? Hai visto accessi attivi? Ecc.
O stai supponendo che il tuo server sia stato compromesso perché ricevi email di rimbalzo che non hai inviato, o forse ricevi una lista nera come spammer, ecc.?
Sono necessari più dettagli su ciò che hai trovato (fatti non asserzioni senza dettagli) per essere in grado di determinare se sei stato compromesso e di avere almeno un'ipotesi a livello di compromesso.
Come accennato da altri, le intestazioni delle e-mail sono fondamentali per capire cosa sta succedendo con le e-mail ricevute / inviate in modo che possano essere molto utili se si stanno monitorando le e-mail. Per quanto riguarda la tua domanda, è banale falsificare gli indirizzi di invio e non richiede che il tuo sistema sia compromesso (nel qual caso le intestazioni mostrerebbero i sistemi effettivi attraverso i quali l'email è passata e non il tuo sistema).
Per quanto riguarda la diagnosi di ciò che potrebbe accadere al tuo sistema, inizia con i file di registro. Controlla gli accessi per vedere chi ha effettuato l'accesso al tuo sistema. Controlla le connessioni attive per monitorare se qualcuno potrebbe entrare di nascosto. Controlla il tuo log della posta per vedere se le email provengono dal tuo sistema - e per questo, devi vedere se sei usato come un relay aperto o come un relay di ritorno (qualcuno ti manda come mittente falso a un invalid destinatario, il tuo sistema lo rimbalza, il che significa che ora stai inviando spam a tutti questi falsi mittenti e il tuo IP è visto come il mittente dell'e-mail).
Spero che questo aiuti all'inizio. Aggiungi ulteriori dettagli e potremmo essere in grado di fornire ulteriori suggerimenti.