依大大的描述堆測如下:

1. 分公司的MAIL一律經VPN回到台北MAIL Server 再進行收送信.
   優點: MAIL SPAM及MAIL LOG只在台北總部裝一套即可, 並可有效管制內容, 公司內部郵件亦由VPN保護, 重保密.
   缺點: 因VPN加密, 網路LOADING較重, 且台北的單點故障會影响分公司的運作.
   取捨方向: 保密重要, 且分公司數不要太多 (我以前的公司用這種方法)

2. 分公司的MAIL SERVER直接對外(置於DMZ), 對總部一律視為對外郵件.
   優點: 不會因為任一單點故障造成全部停線, 非VPN封包, 對網路LOADING也較輕, 未來新的分公司再加入, 一律視為單點處理, 單純.
   缺點: 無加密封包對外, 各點的維護人員亦需有基本郵件管理能力, SPAM及LOG需各點自管, 成本較高, 若人員素質差, 更易發生資料外流事件.
   取捨方向: 各點信件要穩定對外收送. 或分公司數太多(>10). (我現在的公司用這方法)

3. 混合型: MAIL SERVER 的路由設二段, 若為公司內部郵件走VPN, 對外直接由各點自行出去(SERVER置於FW內設好NAT).
   因方法二的保密性欠佳, 但各分公司有自己Domain, 在影响最小的狀況下, 我公司目前在以此方向修正中...

以上, 供參考.

我的公司也是將 Mail Server 架設在 192.168.1.* 上,還有 WEB 及 DNS 等服務在上面,也和版主一樣透過 NAT 將對應的 25/53/80/110 等PORT 對應到外部去.
最近將兩地的網路串起VPN模式,使用 Sharetech LB-22** 的VPN, Mail 寄/收信就使用VPN的寄信(例如:寄上海分公司=abc.cn-->192.168.0.20)應可避免郵件的明碼傳遞被攔截看光.存取兩地資料,要用外部IP與192.168.1.*皆可.
至於安全性,我想再好的設計都可能有漏洞,還是盡量做好權限管控,作業系統與病毒碼更新比較實在.

因為vpn的頻寬很高貴，所以全使用vpn來收送郵件是蠻不划算的
站在安全性的考量上，經由網際的網路來存取當然是危險了點

1,如果需要安全又要省錢的話，可以請isp對mail服務做頻寬限流的設定
這樣一來還能保證自家vpn的頻寬，不至於全都被mail的流量給佔走
2,如果需要速度快，又加上可有雙重備援時。可以考慮將mail server設定對外，但是可以限制住可連入使用的ip網段，減少被其他來源的ip攻擊。

目前我們公司是二者都有做，但是因為寬頻寶貴
所以我們平常還是將大陸地區的使用者，設定為由internet收發信件

個人認為貴公司的廠商所建議的方式與前幾位的說法似乎不大相同,先不論依廠商的方式建置所須花費的設備費用問題(因為也不清楚貴公司目前的設備狀況),單純就我理解的架構來說明
首先先說明一下所謂的DMZ,DMZ一般翻譯為(非戰區),而依架構來說,你可以把他想成 WAN LAN DMZ 三個都是獨立的區塊,而三者是透過防火牆去做連結,其中只有WAN一定要是真實IP,而LAN跟DMZ都可以用private ip,可能您會想這樣跟你現在的架構有何不同,比較簡單的舉例,LAN一樣使用192.168.X.X 而DMZ可以使用10.1.1.X ,不知道你發現不一樣的地方了嗎
因為三區都是不同的ip區間,所以需要透過防火牆或路由器去轉換,自然你就可以去控管中間可通過的封包了
通常會使用DMZ的原因為,不希望LAN的使用者可直接連到SERVER(因為可能有users搞破壞或中毒的問題),但又不希望將SERVER直接對外,用此方法即可對中間可放行的通訊埠等做控管,若仍不清楚,可至網路上搜尋一下,建議先瞭解所謂DMZ的用途與架構,方能對貴公司的網路做更好的規劃
至於要使用DMZ的話,防火牆一定要有此功能才行,中階的產品應該都可以符合需求
我是建議你先對公司的需求做一份評估,若真有此需求再去尋找適當的產品,廠商不外乎想賺錢,當然這樣的方式安全性較好,但相對來講架構更複雜,發生問題時的處理也較難解決,而以廠商的立場是,這樣就可以再賣設備或賺安裝建置的費用了
希望對您有幫助

廠商建議將 Mail Server 放在 DMZ 較為安全，
應該是為了加強 Server的安全性(謎之音：順便做做業績 逃～～)
可是，版主的 Mail Server 和 DNS Server、Web Server放在一起，
這樣搬移網路區段的動作除了影響現有的網路架構，
相關的 Server Service 勢必得做相關的調整，
到時又是一段不為人知的辛酸血淚史......

如果可以加強 Server 安全性，又不需要變更網路架構，
二個願望一次滿足，應該是更加理想的方式吧！

建議：
添加透通式(Transparent)的防火牆，將內部 Server 的實體線路移到該防火牆之後。
如此一來，IP設定完全不需要變更，相關 Server 也就不需要調整，
Server 完全不需要關機， Service 中斷的時間也只有更換網路孔的短短數秒鐘，
管理人員不需要辛苦加班，使用者也幾乎沒有感覺 ^_^
最後，別忘了，要在防火牆裡要加上該有的管理政策(Rule Policy)，
才能達到原先保護 Server 的目標。

如果不想花錢買防火牆，也可以改裝舊電腦代替：
[urlhttp://linux.vbird.org/somepaper/20070416-transparent_firewall.pdf]Linux Transparent Firewall架設完全攻略[/url]

如果按照樓主的問題來找解決方案的話，其實蠻簡單的。只要利用ISA SERVER架设DMZ区域，然后将MAIL SERVER放置于DMZ区域，最后利用ISA SERVER将设VPN到DMZ路由应该就可以实现了.而且根据目前樓主將WEB SERVER,DNS SERVER架設在同一臺伺服器上，實在太不安全。強烈建議分開架設，並且利用ISA SERVER應用層防火牆，可以大大的防禦網路攻擊。

以上屬於個人觀點，(^O^)

我個人是覺得,大大要先釐清一下,
貴公司有沒有防火牆?是什麼品牌型號?
VPN架構是什麼(IPSEC/MPLS/IPLC?)是接內網還是接DMZ?
以上簡單的資料可先讓大家知道,這樣比較好提供給你後續相關的資訊.

另外,廠商說MAIL放在DMZ的建議各有利弊,這部份可自行爬文找一下就有了.
但以你的狀況來講還是建議放在LAN裡(192.168.X.X)
因為你有DNS相信AD也存在,如果放到DMZ區,LAN的人要去DMZ找AD及DNS也是個怪邏輯,
所以我個人是覺得放在LAN裡就好了.

至於在台灣及海外公司收信,反正VPN都架了,就以現有架構來收就好,如果在公司以外的地方要收信,你就在F/W上把相關的PORT設MAPPING出去就好了(這時如果知道F/W資料,就可提供更明確的資訊了)

樓上也有人提到一點,所以想提醒你一下,DNS,WEB,MAIL都放在同一台主機,
LOADING會重一點(因我不知你主機是什麼等級),如果你有AD且也放同一台的話,
這台主機一有狀況,USER都會受影響,相信公司對你的評價也會打折.
所以假設公司預算允許的話,建議再買一台主機來分擔,錢不多的話,
主機等級就不用太高,廉價SERVER就夠了,不要去買PC當SERVER操哦~~

以上是個人淺見