Isso pode ser um pouco trabalhoso (já que o log de auditoria está desativado), mas você pode revisar o histórico do Powershell. Como tudo no Exchange 2007/2010/2013 é baseado no Powershell, você pode ver onde alguém executou o cmdlet Add-MailboxPermission com os parâmetros associados. Para encontrar o log de comandos do Powershell, abra eventvwr.msc. Em vez de procurar na área normal de Logs do Windows, procure em Logs de Aplicativos e Serviços. Você verá uma fonte de eventos do Gerenciamento do MSExchange que possui todo o histórico de execução do PowerShell.
Acabei de verificar em meu próprio ambiente de 2010 e adicionei uma permissão completa de caixa de correio, e ela aparece nesse log.