9erhard

Серьезно с вашими конфигами не разбирался. Но по опыту:
1) Чтобы интерфейс начал пропускать пакеты на вход-выход (замыкая обработку трафика на себе, без передачи другим интерфейсам) в Shorewall нужно использовать опцию routeback в файле interfaces. Как в примере по вашей ссылке, в Example 5.
2) Не понял зачем в zones описан eth1 дважды для обоих внутр.подсетей. В моих конфигах такое не используется. Ну может и не сильно влияет на проблему. Хотя..

Делал нечто подобное в 2009г как раз для перехода на Zimbra. Только нужно уметь писать руками правила в sendmail, стандартными опциями не решить. Насколько помню, в наборе правил обработки локальных адресов sendmail добавлял к доменной части адреса на конверте произвольную метку. Затем отправлял письма с данной меткой на хост с Zimbra. После чего другим правилом снимал метку, для локальной доставки. Подробнее увы рассказать уже вряд ли смогу.
Sendmail вообще устроен как универсальный парсер, умея писать под него правила можно реализовать любую логику. Правда в наше время это уже не актуально.