А у юзера есть VPN? С наружи как юзеры получают доступ к "чанге"?
Как вариант, в свойствах маилбокса отключить "ова", "астивсинк".
Еще вариант в аккаунте AD разрешить логон только с определеного компа, который стоит у него на работе.
Если у него ноут и он его таскает с собой, то несколько сложнее.
Если используется VPN, то можно на уровне сети закрыть доступ к "чанге".
Мало входных данных. Если сеть на управляемых свитчах, можно ACL настроить так, что доступ к серверу только с определеных подсетей.