Hola astur I.
Para acceder al correo, debes conocer el usuario y contraseña. Si la contraseña no es muy complicada, es cuestión de probar (normalmentte con algún programa).
Respecto a demostrar quién ha sido.... lo normal es que el servidor almacene en los logs desde qué IP se ha accedido, intentos fallidos, etc. No sabrán quién ha sido, pero si el usuario tiene IP fija, lo tienes relativamente fácil, pero es posible que accedan desde un ciber, una universidad, o utilizando el proxy de alguna universidad, lo que haría muy difícil localizar la IP original.
Deberías ponerte en contacto con el proveedor, para ver si te quieren facilitar esa información.
un saludo.