qpsmtpd-0.40 に同梱されている設定ファイル config.sample/plugins には以下のような記述がある。

# sender_permitted_from

auth/auth_flat_file
auth/authnull
auth/authdeny

この authnull が曲者というか危険な奴で、SMTP認証を試みてきた奴はユーザ名とパスワードがなんであれ全部通す (relay を許可する) というプラグイン。
なので、この状態で外から見えるところに置いておくと踏み台にされる恐れアリ。最近の spammer はご丁寧にも SMTP認証を使ってくる奴もいるもので……
Wiki の http://wiki.qpsmtpd.org/install:rpm-install_howto から辿れる RPM をインストールしても設定ファイルはこの状態なので、「動いた動いた」と喜んでそのまま放置したりすると結構危険です。
願わくばデフォルトで入る設定ファイルは安全側に倒して欲しいものだが。