Wenn er Zugriff auf deinen Rechner hätte, dann hätte man auch direkt auf deinem Rechner eine Nachricht interlassen können und eine eMail wäre unnötig.
Ja, aber irgendwoher muss das Kennwort kommen. Entweder es wurde irgendwo ebenfalls verwendet, wo es ein Leak gab, oder es wurde via Phishing eingegeben oder es hatte vielleicht doch jemand Malware auf dem PC. Das muss aber nicht der Schreiber der Mail sein, so dass das noch lange nicht hieße, dass derjenige Zugriff hat oder hatte. Solche abgegriffenen Daten werden ja im Darknet verkauft, so dass die "Verwertung" andere übernehmen.