Я думаю это стандартная уязвимость php mail(), когда переехал на vds тоже с таким столкнулся, уж не знаю создаю эти хуцкеры свою форму и через неё шлют сообщения от вашего имени или ещё что. Но стоит включить стандартный протокол почты в опке как эти жучары сразу лезут в мою почту. Есть простой выход это использовать SMTP и любой ящик. есть более сложный с перепиливанием стандартной мейл функции и требованием капчи) А вообще если попробовать $php -a и там поковырять mail() то там в принципе кем угодно можно представиться и слать что угодно куда угодно)
Ещё возможно стоит убрать формы обратной связи по почте, заменив их заказом обратного звонка, ну или хотя бы капчу туда прикрутить)
Сторонние модули обратной связи повышают такой шанс в разы)
Internal server error ваш связан с любой ошибкой при доступе к ящику по smtp, но их не так много, и самая частая в том что забыли дописать ssl:\\ к смтп хосту либо не так его указали. Вбиваете в гугл "настройки smtp и доменящика(yandex, mail, etc...)" и смотрите как конкретно этот провайдер предоставляет ящик под смтп
Вот в кратце про уязвимость этой библы -> https://xakep.ru/2017/01/12/phpmailer-exploit/#toc02.