ciao
i dati che ti servono sono in /var/log/qpsmtpd e /var/log/sqpsmtpd a seconda che siano stati inviati da webmail o thunderbird
prima di tutto ricorda che tali log sono sottoposti a rotazione e la rotazione dipende da quanta posta il server in oggetto si smazza.. se è tanta, i log presenti possono essere relativi ad un ristretto ambito temporale e questo ti limita nella ricerca del dato (soprattutto i quelli in uscita -> qpsmtpd)
per avere la posta inviata, creati un file test.sh (o come preferisci) nella directory dei log e mettici dentro:
for f in current \@*
do
echo "Processing $f"
grep '<KEY@' $f | grep logterse | tai64nlocal | awk ' {print $1,$2 $10, $11} '
done
dove KEY è l'indirizzo da cercare, nella forma utente@ o, meglio, indirizzo completo
Occhio che questo troverà tutti i messaggi inviati da utente (in sqpsmtpd), inviati da altri utenti del server a utente (sempre in sqpsmtpd) e tutti i messaggi ricevuti da utente da indirizzi esterni (in qpsmtpd)
l'output è del tipo:
2017-09-13 12:09:46.244515500 <utente@tuodominio.tld> <dest1@dominio.tld>
2017-09-13 18:02:48.981511500 <utente@tuodominio.tld> <dest1@dominio.tld>,<dest2@dominio.tld>
2017-09-14 18:21:48.870518500 <utente@tuodominio.tld> <destX@dominioY.tld>
l'ideale è redirigere l'output su un file di testo e poi elaborarlo esternamente
HTH