Eu geralmente concordo com o bloqueio de tudo que não é necessário. Agora parece que você tem tudo em aberto.
O ASP classic ainda deve conseguir acessar o SQL diretamente, mas você precisará entrar no IIS e alterar a conta de usuário que está representando e conceder a essa conta acesso a qualquer informação necessária no SQL. Eu recomendaria criar uma nova conta apenas para isso e apenas dar acesso a essa conta para os arquivos e componentes necessários para fazer o seu trabalho. Eu concordaria que o acesso externo ao SQL geralmente não é um bom caminho a percorrer. Eu provavelmente também faria um pouco de script SQL e certifique-se de que a nova conta de usuário não possa fazer coisas como excluir ou modificar o esquema. Basicamente reduza sua exposição tanto quanto possível.
Parece que você provavelmente só precisa de 25.110.143,80,443, qualquer porta em que seu webmail esteja sendo executado se não for IIS integrado e qualquer porta de acesso remoto que você possa precisar (3389 se você precisar de RDP). Tenha em mente que você pode permitir portas internamente e restringir portas externamente (daí as três seções no firewall do Windows).
Você tem um firewall de hardware na frente dessa caixa? Você pode considerar isso também. Na minha opinião, eu prefiro ter outro dispositivo dedicado lidando com a carga de tráfego do que atrapalhando uma caixa SQL / IIS com tentativas de acesso falsas.