Сложно очень что-то советовать. Вы не указали даже окружение, котором сайты работают...
Но если применить телепатию, то видимо, вам надо почитать вот этот кусок документации php(
http://php.net/manual/ru/mail.configuration.php):
"mail.log string
Путь к лог-файлу, в который будут записываться все вызовы функции mail(). Записи в логе содержат полный путь до скрипта, номер строки, адрес получателя To и заголовки."
И логирование это включить.
Также, теоретически, рассылаться спам может и не через php, соответственно надо посмотреть логи почтового сервера, и посмотреть хотя бы, от какого пользователя он рассылается. Может это даст вам пищу для размышлений...
Простой
Средний
