Isso não deve ser um problema.
O tráfego de saída na porta 25, smtp, originado de sua rede interna deve ser bloqueado por seus firewalls para todos os emails, com exceção de um retransmissor de email autorizado.
Os sistemas internos só podem enviar e-mails usando o servidor de retransmissão autorizado e esse é um que você pode configurar facilmente para rotear o e-mail dos seus domínios corretamente, independentemente de como o DNS está configurado.