A razão pela qual a Microsoft recomenda usar o ISA para publicar o OWA na Internet é superar a sensação de "counterintuituve" que você está tendo: expor um servidor na LAN diretamente à Internet (pelo menos, na camada 3 ).
Eu não colocaria meu servidor de back-end hospedando as outras funções do Exchange na DMZ, se não por outro motivo, não acho que eu queira expor meu dispositivo de firewall a todo o tráfego do cliente Outlook de computadores na LAN.
Se você não se sentir confortável em expor o servidor que hospeda o OWA e o ActiveSync na camada 3, pegue algum proxy HTTP de código aberto e coloque-o entre a Internet e a LAN para proxy HTTP no OWA.