Isso parece mais correto para uma implementação totalmente aberta de todos os protocolos. Algumas sugestões:
A menos que você tenha clientes de e-mail, com uma justificativa comercial, que exijam tudo isso, limite-os a apenas 25, 80, 443. Não permita o acesso POP, que é uma senha em texto simples. Não permita o acesso SMTP do cliente, que é uma senha de texto simples. (Claro, para aceitar e-mails da Internet, você precisa do TCP 25 aberto.)
Qualquer pessoa que use um dispositivo móvel ou o Outlook em Qualquer Lugar usará o HTTPS para o Outlook em Qualquer Lugar ou o EWS / Activesync.
Se quiséssemos escrever um ensaio completo sobre segurança, você estaria aceitando e-mail para um registro MX que não faz parte do seu domínio, e seu servidor do Exchange aceitaria somente o TCP 25 desses / desses hosts. Você pode usar o Transporte de Borda ou um produto de terceiros ou um serviço hospedado.