Hola,
Lo primero que puedes mirar (para ver si hay alguna irregularidad), es desde la propia consola de Exchange:
Donde aparece el listado de buzones, con el tamaño actual (creo que esta en Servidores > Nombre Servidor > First Storage Group > Mailboxes), hay una columna que indica el último login del mismo. Con un vistazo rápido, puedes ver si "cuadra" el nombre del buzón con el último usuario que ha entrado en el (que si todo esta bien tendría que ser el mismo). Ten en cuenta de todos modos, que Exchange tiene una serie de usuarios de mantenimiento o copia, que también se logean contra el buzón.
He encontrado esto:
Fíjate en la fila que tiene el foco, el buzón es de "User1", pero el último usuario del dominio que se ha logeado a el es "NGH\User3". Esto te servirá, pero poco, porque si cuando lo miras, el usuario "original", consulta el buzón después del "no-autorizado", todo parecerá correcto.
Desconozco si hay un log como fichero de todos los logins a buzones. Pero mírate el enlace que adjunto, utilizan la auditoria de Windows para registrar los logins a buzones que no son los principales asociados a la cuenta. Yo no lo he tenido que utilizar nunca, por lo tanto no puedo asegurar que funciona, pero creo que es lo que buscas:
http://www.msexchange.org/tutorials/Auditing-Mailbox-Access-Exchange-System-Manager-Event-Viewer.html 
) pero si saber si se ha dado permisos para leer otros buzones. Es decir, no me importa lo que el recibe y manda (es personal) pero si me imoporta mucho saber si puede estar leyendo correos que no son suyos.
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
