O encaminhamento de porta do IMAP da Internet para a LAN significa a adição de uma regra de encaminhamento bastante seletiva. Você não tem coisas feias como atribuição de porta dinâmica acontecendo no lado do servidor (como você faria com protocolos como FTP ou MSRPC). A exposição à LAN é mínima, na minha opinião. Você está confiando na pilha IP em seu servidor IMAP para não fazer nada estúpido (já que você está dando acesso IP não solicitado ao servidor) e está confiando no próprio software do servidor IMAP para não fazer nada estúpido.
Com o cenário da DMZ, você descreve que está limitando a conectividade IP direta para o servidor IMAP à Internet e está limitando o grau de estupidez do servidor IMAP, o que pode expor você a riscos. Você está negociando o risco de conectividade IP direta com o servidor IMAP com conectividade IP direta com o servidor proxy IMAP, e está confiando no software do servidor proxy IMAP para não fazer nada estúpido. Ainda existe a possibilidade, nesse cenário, de que uma vulnerabilidade no servidor IMAP possa ser explorada por meio do proxy IMAP, dependendo de como o proxy IMAP é "stateful" e da quantidade de "verificação de sanidade" que ele faz.
A meu ver, a abordagem da DMZ está adicionando partes móveis e complexidade sem acrescentar muita segurança real. Acho que você seria mais bem encaminhado pela porta para a LAN e usando o esforço que teria gasto com a abordagem do proxy DMZ / IMAP, certificando-se de ter um bom registro para o servidor IMAP, políticas de senha / bloqueio que resistir à quebra de senha de força bruta e um mecanismo de alerta que permite saber se você está vendo um tráfego inesperado para o servidor IMAP (análise "nunca antes vista").