Esto seguramente ocurre porque han adivinado la contraseña de esa cuenta de email y a través del Webmail han creado una redirección. La contraseña era débil o bien el ordenador del cliente está infectado con algún malware.
Para solucionar este problema primero elimina la redirección que han creado. Lo puedes hacer desde el cPanel de esa cuenta en la opción Correo electrónico - Reenviadores:
Una vez eliminada la redirección, cambia la contraseña de esa cuenta de correo por una segura que incluya mayúsculas, minúsculas, números y algún símbolo y tenga al menos 8 ó 10 caracteres.