Questa è una configurazione molto comune. In generale, non usare mai .private e .local da quando finisci (eventualmente) in un mondo di dolore e farlo "giusto" non è poi così difficile.
Fondamentalmente, dirai al mondo che il tuo server di posta risiede sull'indirizzo IP pubblico (o imposta il proprio indirizzo IP Internet instradabile e che il Proxy / Firewall inoltra il traffico verso l'IP fisso interno 10.1.1.20)
Quindi, aggiungerai due zone al tuo DNS interno in modo che tutte le query per mail.whatever.com risolvessero il 10.1.1.20 e una zona inversa risolvesse l'IP con il nome.
In questo modo i tuoi clienti otterranno l'indirizzo giusto quando si trovano nella LAN locale o VPN, ma potranno comunque accedere al server da internet pubblico quando DNS fornirà l'indirizzo pubblico.
Controlla anche i certificati del tuo server. La maggior parte delle persone rilascia certificati per l'indirizzo IP pubblico e ha un profilo per consentire ai client interni di fidarsi di un certificato autofirmato per quando colpiscono il server localmente.
Qui non ci sono pallottole d'argento - la scelta che fai per avere un routing più complicato complicherà il tuo SSL e le altre fasi di configurazione del server, ma questa è una situazione comune per le persone che implementano Lion Server, quindi ho visto che funziona bene la maggior parte dei casi.