Consegui resolver isso por meio de restrições de IPv4 no IIS 7.
Eu defino a política padrão como DENY e defino um intervalo de permissão para a sub-rede local.
Agora, quando eu faço logon de fora da rede, recebo uma página de acesso negado.
As restrições acima foram aplicadas apenas aos sites remoto, mycompany e owa.
O rpc, a sincronização ativa e outros sites foram deixados como estão.