Пароль на imap забит в настройках сайта в Клиентской службе, работает, как я понимаю, при отправке сообщений из магазина на Входящие mail.ru. После смены пароля взломы прекратились, но и клиентская служба перестала работать. Т.е. у злоумышленника есть доступ к настройкам и паролю в админке...
А как будет работать двухуровневая авторизация при smtp? Каждый раз будет приходить код подтверждения на мобильник (так предлагает mail.ru)? А если письма из магазина о заказах приходят десятками через автоматическую smtp авторизацию? Хлопотно...
Задал вопрос провайдеру. Разбираются.