SMTP being hijacked - trying to block sender

Yeah, that's what I thought. I don't think you have any evidence of any infection in your configuration - only what now seems to be an obvious exposure. 

Cheers -  Bob

Sorry for any short responses!  Posted from my iPhone.

Edit: With the help of an IT colleague, I was able to finally figure this out. What was happening was we were being bombarded by external spammers, not an internal infection, as you rightly guessed Bob. It looked like our SMTP was being used to send mail but it was really just spooling incoming mail that spammers were trying to send to us. None of the Mail Security features for AntiSpam or Relaying worked to block these people (Sender Blacklist, Expression Filter, Known Bad Hosts etc) so I added the IP addresses of the top spammers to a Packet Filter rule I have that automatically blocks bad IPs, and that did the trick. CPU usage dropped back to where it should be and SMTP is back in business. 

As for the brute force attacked that guessed that 'test' LDAP account, I think that was part of this same general spam attack, and they were able to temporarily use our SMTP to send out mass spam mail to outside users, resulting in us being blackilsted with a couple RBLs. But that shouldn't be too hard to remedy with a couple emails.

As a precaution I scanned & deleted thousands of old malware-infected emails from the mail server (migrated over from the old Cyrus-based server to the new Dovecot one), and also tightened up password security requirements in Open Directory. I'll be keeping a much more watchful eye on SMTP from now on - those Astaro Daily Executive Reports are a lifesaver. 

Thanks everyone for your suggestions and input, it's greatly appreciated. Very nice community here and having people to troubleshoot with helped a lot.

Edit: With the help of an IT colleague, I was able to finally figure this out. What was happening was we were being bombarded by external spammers, not an internal infection, as you rightly guessed Bob. It looked like our SMTP was being used to send mail but it was really just spooling incoming mail that spammers were trying to send to us. None of the Mail Security features for AntiSpam or Relaying worked to block these people (Sender Blacklist, Expression Filter, Known Bad Hosts etc) so I added the IP addresses of the top spammers to a Packet Filter rule I have that automatically blocks bad IPs, and that did the trick. CPU usage dropped back to where it should be and SMTP is back in business. 

As for the brute force attacked that guessed that 'test' LDAP account, I think that was part of this same general spam attack, and they were able to temporarily use our SMTP to send out mass spam mail to outside users, resulting in us being blackilsted with a couple RBLs. But that shouldn't be too hard to remedy with a couple emails.

As a precaution I scanned & deleted thousands of old malware-infected emails from the mail server (migrated over from the old Cyrus-based server to the new Dovecot one), and also tightened up password security requirements in Open Directory. I'll be keeping a much more watchful eye on SMTP from now on - those Astaro Daily Executive Reports are a lifesaver. 

Thanks everyone for your suggestions and input, it's greatly appreciated. Very nice community here and having people to troubleshoot with helped a lot.