Com base nos requisitos fornecidos, você não precisa de uma DMZ verdadeira. Um front-end Exchange Server (para executar o OWA) deve estar tecnicamente no domínio, o que significa que ele realmente precisa estar na rede privada. E o número de portas que você precisa abrir torna proibitivo considerar qualquer outra coisa. A solução da Microsoft é usar o ISA como um software / firewall de aplicativo e host bastion na frente do servidor OWA. Além disso, para usá-lo para canalizar o tráfego SMTP.
Não sou admitido como um grande fã do ISA Server. Eu prefiro uma solução de hardware que inclua uma capacidade de terminação SSL como um F5 BigIP ou algo parecido. No entanto, pode ser a solução certa para você. Caso contrário, você ainda quer ter certeza de ter uma solução de firewall de hardware decente e reconhecida pelo setor, como da Cisco ou da SonicWall. Entenda as capacidades dos vários modelos. Seu revendedor deve ser capaz de ajudá-lo a determinar o melhor ajuste para o que você precisa.