Também começamos a bloquear anexos * .ZIP com o mecanismo de transporte da Microsoft semelhante a abordagem que você está usando. No entanto, descobrimos durante uma auditoria que alguns malwares passaram pelo nosso ambiente AntiVirus, que foi enviado como * .rar ou * .jar em vez de * .zip. Também descobrimos que alguns usuários receberam um * .URL como anexo, que contém um URL para malware. Então você pode querer bloquear * .rar, * .jar e * .url também (acho que * .exe, * .com, * .w16, * .pif, ... já estão bloqueados do seu lado, já que o conteúdo mais malicioso do nosso lado).
Adicional: o MS Exchange 2013 tem um build no mecanismo antivírus que não é tão ruim e que você pode querer ativar se ainda não estiver no lugar para adicionar uma camada adicional.