Não há nada realmente difícil no que você está planejando, apenas algum trabalho.
Você não especificou o tipo de VPN que planeja usar, de modo que só posso fornecer uma recomendação genérica: você deve garantir que o servidor de e-mail receba sempre o mesmo endereço IP (particular); na outra extremidade do túnel (ou ponte, isso depende ...), então você deve se certificar de que sabe como configurar endereços IP estáticos para clientes VPN.
Quanto ao servidor de e-mail, eu strongmente sugiro que você use IRedMail , uma solução totalmente abrangente para servidores de e-mail no mundo do Linux que podem cuidar de tudo para você e que tornarão sua vida, tanto como instalador quanto como administrador, muito mais fácil.
Agora vem minha pergunta: se você já passou pela despesa de uma conta DO, por que não colocar seu servidor de e-mail nela, em vez de mantê-la em casa? A vantagem disso é que o IRedMail vem com um firewall e fail2ban pré-configurado, e eles oferecem uma segurança muito boa. Se, em vez disso, você colocar o servidor de correio em outro lugar, será necessário colocar o firewall e o fail2ban, separadamente, na máquina DO.
Se você decidir manter o servidor de e-mail em casa, precisará encaminhar algumas portas do DO para o servidor de e-mail. Supondo que o servidor de e-mail tenha endereço IP, na VPN, 10.0.0.2, as regras de que você precisa são:
iptables -t nat -A PREROUTING -p tcp -i etho --dport 110 -j DNAT --to-destination 10.0.0.2:110
iptables -A FORWARD -p tcp -d 10.0.0.2 --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Isso funciona para a porta 110 (porta de escuta do dovecot), conexão TCP e presume que a interface outer do seu DO é chamada eth0 . Você terá que estabelecer quais portas você deseja deixar abertas para o mundo.