Você precisa de um proxy reverso. A equipe de produtos do Exchange descreveu como fazer isso em um blog de 2013.
Isso permitirá que você controle o acesso ao 443, para que você possa permitir o OWA, o ActiveSync, mas bloquear o Outlook em Qualquer Lugar.
Embora as restrições de endereço IP devam ter funcionado. Você rodou o IISRESET depois, então entrou em vigor?