Если существует больше людей, знающих пароль root, который все еще не означает, что это был один из них. Если Ваш сервер выставляется Интернету и не обновляется с патчами безопасности, он, возможно, принадлежал.
Хорошая практика для отладки таких проблем должна настроить удаленный вход. Если взломщик получает контроль и делает плохие вещи, он не может вытереть журналы для покрытия, потому что они не хранятся на том же компьютере.
Если IP, на котором находится Ваш VPS, не был помещен в черный список от предыдущего пользователя, или Ваш ISP является просто злым, необходимо быть прекрасной отсылкой электронных писем с локального сервера SMTP.
Для максимальной пропускной способности Вы захотите посмотреть на:
Ваш подход AppEngine кажется замысловатым, если бы Вы хотели использовать стороннюю систему, то что-то как SendGrid было бы лучшим соответствием.
Если бы у Вас есть менее затем 500 почтовых/день, я использовал бы приложения Google (свободный!), этот способ, которым Вы знаете 100%, что все хорошо работает. Плюс, никакая потребность установить Ваш собственный почтовый сервер.
Для заплаченных приложений Google предел является 2 000 почтовых/день.