Если этот пользователь, почту которого нужно прочесть - системный и шелл запущен от его имени, то команда mail без параметров покажет текущие входящие сообщения. В других случаях нужно к конфигам почтового сервера доступ иметь, чтобы пароль подсмотреть. Но я не спец, может чего еще посоветуют.

В зависимости от архитектуры сервера, есть папка mail, где есть входящие и исходящие сообщения.

shell - web-shell? в любом случае не факт что почта хранится именно на этом сервере, как минимум надо прочекать mx сайта и постараться отследить кто принимает почту

сомневаюсь что владелец шелла тот же из под кого работает почтовый демон( если таки почта на этом сервере ), но стоит прочекать доступность конфигов почтового демона, ну и диры в /var/, может что и есть

а так постараться собрать как можно больше инфы о таргет юзере - явки/пароли и натравить брут

А не проще с помощью Shell базу сайта выкачать? Найти ак того чела которого тебе сообщения нужны и зайти под его данными?

это если web-shell и хватает прав, и если пароль таргет юзера из бд совпадет с паролем от почты, в общем то я об этом говорил "а так постараться собрать как можно больше инфы о таргет юзере - явки/пароли и натравить брут"