Sim, você precisa de um antivírus no seu servidor de e-mail. Você pode terceirizar varredura de e-mails recebidos e enviados em busca de vírus e outros malwares (assim como spam) para várias outras empresas, e eu recomendo essa abordagem, mas mesmo se você fizer isso, seu servidor de e-mail ainda estará exposto à ameaça de ser infectado por todos os clientes internos que você tem conectado a ele.
No mínimo, você precisa de um antivírus em seu servidor de e-mail para proteger seu servidor de e-mail e as soluções hospedadas não o protegem de seus usuários e máquinas clientes. Se você usa o AV para verificar mensagens e para quê, depende se você tem uma empresa hospedada ou um appliance no gateway fazendo isso por você. Se você tem algo mais fazendo isso, você pode pular esta etapa, ou usar uma varredura menos intensiva, se você não quiser, você definitivamente precisa verificar os e-mails completamente.
E sim, haverá um impacto no desempenho, mas em geral é muito pequeno, a menos que seu servidor de e-mail já esteja sendo destruído, a inclusão do antivírus não deve causar problemas de desempenho. No entanto, essa é (uma das razões) por que você desejará testar diferentes soluções de diferentes fornecedores antes de escolher uma, e uma das razões pelas quais os fornecedores de antivírus oferecem versões de demonstração e avaliação para clientes corporativos.