>>netstat -anp|grep ":25" и смотрите какой у вас мта. в зависимости от
>>названия ищите его конфиги и логи.
>
>ну так мне придется долго смотреть сетевую активность... а рассылка спама в
>данный момент может не активна...
>Нет ли другого способа? Сохраняются ли где-нить отправленые письма?
Ууу... молодой человек. Вы не совсем понимаете, IMHO, суть вещей.
Cyrus - pop3/imap сервер. Он принимает почту от MTA, вися на 110-м порту и складывает письма в ящики пользователей.

Движением почты по протоколу SMTP занимается MTA : Exim, Sendmail, Postfix, etc...
Так вот не зависимо от того, спамит вас в данный момент кто-то или просто нормальные письма идут или ваще никаких писем не хоит к вам, на 25-м порту висит MTA и слушает, не постучиться ли к нему кто-то с HELO.

Сделайте как вам писал bass или же
telnet localhost 25
Вы (скорее всего) увидите какой MTA (Mail Transfer Agent) у вас работает. Опыт мне  подсказывает мне что вместе с Cyrus ставять или Posfix или Exim, хотя можно что угодно поставить. Просто это распространённые связки.
p.s. Какой именно Linux у вас стоит? На основании этой информации можно сделать что-то типа
rpm -qa | grep exim
rpm -qa | grep postfix
rpm -qa | grep sendmail  (скорее всего будет стоять, но он может и не быть работающим MTA)
На основании вывода этих команд (man rpm) можно сделать вывод о том какой именно MTA у вас работает и соответственно сделать вывод о том в какие логи смотреть.

p.p.s. Если глазами пробежаться по каталогу /var/log/ то можно , IMHO, сразу узнать что именно у вас почту гоняет :)