Veja os logs do IIS no servidor CAS, que apontarão na direção certa. Um problema comum é um usuário com vários dispositivos que tentam se conectar com uma senha desatualizada e bloquear a conta. No entanto, pode ser abuso.
2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.eas User=ratishnair&DeviceId=Appl8xxxxx4S&DeviceType=iPhone&Cmd=FolderSync&Log=PrxFrom:10.123.33.88_Error:BackingOffMailboxServer_ 443 CONTOSO\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765
Entrada de registro entre link
Isso mostra o IP, o nome de usuário e o dispositivo do cliente.