Richtig, laut letzter Received-Zeile (die ist entscheidend) wurde GMX per HTTP (also Webinterface) von 109.102..etc genutzt. Diese IP-Adresse gehört zu ROMTelecom S.A., Rumänien.
Ein weiterer Hinweis ist "X-Authenticated: #2234..etc", diese Nummer müsste meines Wissens die Kundennummer bei GMX darstellen.
Allerdings können solche Header-Angaben teilweise auch gefälscht werden.
In dem von dir verlinkten Artikel heißt es "Die Angreifer kannten die Passworte also längst und wussten, für welchen Account sie gelten. Möglich wird das, wenn Nutzer unvorsichtig werden. Denn so mancher hat tatsächlich nur ein Passwort, das er überall angibt."
Also sind die Passwörter nicht GMX abhanden gekommen, sondern der Angreifer hat die Passwörter wahrscheinlich durch einen anderen kompromittierten Dienst erhalten können. Und in den Fällen, bei denen dort von den Usern das gleiche Passwort gewählt wurde wie bei GMX -> Freie Bahn für die Spammer. Das kann meiner Meinung nach nicht GMX angekreidet werden.
Eine andere denkbare Möglichkeit wäre ein Trojaner/Keylogger, der das Passwort beim letzten Login deiner Eltern abgefangen und weitergeleitet hat.
Ein Wechsel des Passworts in ein neues, das nirgendwo anders (!) verwendet wird, ist daher ratsam. Ebenso auch überall dort die PW zu wechseln, wo ebenfalls das gleiche Passwort verwendet wird/wurde. VORHER sollte aber noch eine Überprüfung des Rechners auf Schadsoftware erfolgen, denn falls ein Logger weiterhin alles abfangen sollte, so würde dieser natürlich auch das neue PW mitschneiden.