O Exchange está usando o mesmo tipo de autenticação / autorização que, por exemplo, compartilhamentos de arquivos.
Quando você se conecta a um transporte adequadamente configurado (os Pipes nomeados são os mais simples), as informações de autenticação são transmitidas. Em um domínio (necessário para o Exchange), isso usa o sistema derivado do Kerberos do Active Directory, o que significa que sua senha (ou um hash da sua senha) não é enviada, mas sim um token que o AD fornece ao seu computador. O servidor do Exchange, em seguida, verifica esse token com um AD para verificar sua identidade.
Veja Kerberos para mais informações.
(O NTLM também fornece SSO de maneira semelhante, mas tem alguns problemas de segurança e foi substituído pelo Kerberos na maioria dos lugares.)