Eu ainda estou um pouco perdido quanto à sua explicação de por que você está fazendo o que está fazendo com o bloco da porta 53. Seu DNS interno em seu firewall não deve ter nenhum motivo para estar exposto à Internet, portanto, você tem o direito de bloquear a porta de entrada 53 no seu firewall. Seu DNS externo deve fornecer resolução de nomes para o seu nome de domínio externo (com acesso à Internet), incluindo autodiscover.domain.com.
Eu acho que você está complicando demais as coisas.
O Exchange pode ser configurado para lidar com clientes Mac que executam o Outlook 2011 facilmente, usando os mesmos métodos de descoberta automática que o Outlook em Qualquer Lugar e smartphones usam.
Você simplesmente configurará o certificado apropriado, verifique se as URLs internas e externas do Outlook em Qualquer Lugar estão corretas e certifique-se de que as portas adequadas (80/443) sejam permitidas através do firewall para o servidor Exchange e que as a autenticação é configurada para o Outlook em Qualquer Lugar.
Depois de fazer isso, e você pode confirmar através do teste em www.testexchangeconnectivity.com que tudo está configurado corretamente, então você não deve ter problemas para configurar um cliente Mac executando o Outlook naquele momento.
Alguns URLs para ajudar você: