Как определить источник спама (+кто нагружает ОЗУ) на сервере debian?

1. Как выяснить, откуда создаются письма на рассылку?

В логах твоего MTA(что у тебя там кстати - exim, postfix, sendmail?) будет видно от кого идут письма. Если у тебя нет авторизации на отправку - тогда это мало чем поможет, если есть - увидишь из под какого пользователя шлют почту - и отключишь его(или сменишь пароль на более сложный)

2. Как выяснить, кто конкретно и откуда нагружает ОЗУ?

Слишком общий вопрос. По процессам ты уже посмотрел кто грузит. Чтобы смотреть более детально в разрезе функционирование самого процесса - надо включать логирование средствами этого конкретного процесса.

На сервере установлен Exim. Ввел команду exiwhat, чтобы узнать, чем МТА занимается прямо сейчас. Получил ответ: 6798 daemon: -q30m, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SM TPS on port 465 (IPv6 and IPv4)

Как прочитать и какие выводы можно сделать, исходя из этих данных? Есть ли здесь что-то важное? Может быть какой-то порт открыт/закрыт (если я не ошибаюсь, какие-то порты должны быть закрыты, а какие-то открыты специально).

Начать с банального netstat и tcpdump

По загрузке: top Он тебе расскажет кто и чего грузит. Поставь LogWatch. Через сутки получишь подробный отчет о происходящем. В том числе кто, сколько, и куда спамит. Все будет в понятном сжатом виде.

Загрузку процессов посмотри.