[kim-aa]

В общем пока почтовик живет физически на одном сервере сконтроллером домена о всякой фильтрации (DMZ) можно забыть.
Рекомендации:
1) Прокси и почта должны жить отдельно, лучше каждой по серверу, но вполне терпимо и на 1й
2) Пока не будет выделенного фаервола (именно фаервола в чистом виде) будет тяжело говорить о сегментации. Вобще идеал это 1 функция 1 сегмент (сервер).
3) Фаервол можно купить (только нужен обязательно трехвходовый, т.е. у него 3 группы портов WAN, LAN, DMZ)
Можно собрать из чего-либо старого.

Подитоживаю.
Необходимо получить 1 выделенный компьютер под почту + прокси, а лучше 2.
Купить или собрать 3х портовый фаервол.

В общем можно и при имеющейся конфигурации мапить 25й порт наружу, угроза для безопасности минимальна.
DMZ нужен как средство контроля трафика от сервера на внутреннюю сеть. Если у вас не шибко интеллектуальный свич, то боюсь даже при разделении функций на сервера ограничить доступ тяжко.
А вслучае проживания всех в "общаге" причем DC - в случае чего будет "алесмахен, 31415здохен шварц"