Hast du einen Server/vServer? Dann gäbe es viele Möglichkeiten, Scriptlücken, Passwort geknackt, Fehler in irgendeiner der Software, die da läuft etc.
Andereseits findet man da auch leichter raus, was es war, da man ja vollen Zugriff hat.

Wenns ein Webspace ist, bleibt ja für dich nur Lücke im Script oder Passwort, wobei 2. eher unwahrscheinlich ist, aber natürlich nicht auszuschließen.

Welcher Hoster ist das denn? Manchmal haben die Sicherheitslücken bspw. in der Software vom SMTP Server und bekommen das selber gar nicht mit Gerade wenns ein kleinere Hoster wär.