Não há necessidade de IPSEC Tunnel ou VPN, basta usar o SMTP relay com SSL e auth. Altere as propriedades SMTP dos servidores de retransmissão para usar um certificado TLS, permitir retransmissão para usuários autenticados (mantenha a caixa de seleção para exigir TLS) e faça com que eles se conectem dessa maneira. Você pode fazer com que eles usem a porta 25 ou a porta padrão "secure SMTP" de 465 adicionando isso ao ouvinte SMTP.