Наклон PHPmailer соединяется с удаленным сервером SMTP

Скажите Вашему брандмауэру отбрасывать любые исходящие пакеты SMTP ко всем хостам кроме Вашего почтового сервера. Это предотвратит любой прямой спам SMTP от любой из Ваших потенциально зараженных рабочих станций.

Вы говорите, что Ваш почтовый сервер не является открытым реле, но Вы позволяете реле от LAN? Много людей делает это, когда они устанавливают MFPs, сканеры, и т.д. Можно протестировать путем скачкообразного движения на другой рабочей станции и выполнении:

telnet <your.mail.server.ip> 25
helo <mail.yourdomain.tld>
mail from: nobody@example.com
rcpt to: somebody@notyourdomain.com

если Вы возвращаетесь 250 OK, Вы позволяете реле, и бот может легко передавать почту от Вашего почтового сервера.

Для нахождения рабочей станции, это посылает спам, захватите ноутбук, установите WireShark. Поместите свой ноутбук на концентратор (удостоверьтесь, что это - концентратор), и включите свой интерфейс LAN на Вашем брандмауэре в порт концентратора № 2 и затем включите другой кабель от порта концентратора № 3 в интерфейс LAN.

Осветите получение с фильтром дисплейного отображения как:

tcp.port eq 25 && src.ip != <your.mail.server.ip>