akelsey

1. Настроить MX записи, dns-хостинг либо купить (nic.ru - зажимает, и хочет за это деньги), либо использовать бесплатный, например от CloudFlare
2. На Exchange - добавить новый домен в AcceptedDomains, обновить политику почтовых адресов (или добавить новую, смотря какая задача).
3. На Exchange - настроить коннекторы если необходимо.

Т.к. инфраструктура описана в общих чертах, ответ тоже описан крупными блоками.

Если ещё актуально, вероятно проблема в том что ваш IPv6 адрес не имеет корректной PTR записи в DNS, на что гугл ругается.
Как вариант решения проблемы - попробовать убрать IPv6 адрес с SMTP Send Connector, оставить только IPv4. Возможно может помочь.

Общая практика - не использовать фильтрацию в цепочке NAT, но Микротик это позволяет.
В вашем случае разрешено подключатся на порт всем, вы либо ограничиваете в NAT либо в Filter Rules - делайте фильтрацию в цепочке Forward, т.к. Input это фильтрация трафика на роутер, для фильтрации NAT используйте Forward.

Изначально выбран неверный дизайн, видимо как всегда бестолковый первый отдел на производстве двойного назначения влез не в свои дела и получилось такое.
Видимо задача стояла обеспечить работу почту внутри VPN, но запретить отправку почту во-вне. Отчего выбрана модель когда суффикс AD-домена выбран в качестве почтового суффикса.
Отвечая на ваш вопрос - стандартными методами Exchange 2007 - реализовать вами задуманное - нельзя.
При помощи изучения API на Technet и владением C# - теоретически можно написать транспортного агента - который на лету будет делать ваши подмены, плюс нарастить функционал до GUI морды с тонкими настройками - кому можно - кому нельзя и потом продавать это решение похожим заводам, но это всё фантастика, вряд ли кто будет сейчас в это вкладываться.
В вашем варианте наиболее реалистичный вариант это добавить всем нормальный домен, настроить нормальную почту, а аудит отправки обеспечить покупкой дополнительного ПО. Роутинг почты между филиалами и так будет ходить внутри VPN, а EDGE сервер в демзоне - уже тюнить до нужной вам консистенции. (Ну и я бы еще мигрировал хотя бы до 2010 - т.к. там возможностей то немного поболее будет)

купить впску (лучше две) по доллару за месяц, настроить там postfix/exim/sendmail по вкусу и эксчи натравить на смарт-хост
PS
Либо попросить провайдера открыть рилей с их почтового сервера.

Не очень ясна задача, ничто не мешает сделать цепочку postfix - edge - exchange
Просто обычно для эджей создается подписка, который стоит в дмз, на нем поднят адам, этой подпиской создаются два коннектора, один для исходящей почты во вне, второй соединитель на эксченджи которые стоят в вашей сети.
Т.е. по умолчанию всю почту эксченджи роутят на эджи, которые уже роутят почту во вне, но на определенный домен - вы можете их роутить так как вам угодно.
Что почитать? Всё )
Начните отсюда: https://technet.microsoft.com/library/bb124558(v=exchg.141)

В задаче есть недостаток информации, а стало быть возможно просто потратить деньги, а работать не будет.
Теоретически авторизацию мог админ настроить по имени или IP, тогда это полбеды, дело поправимое.
Если же авторизация по MAC, или NTLM - то уже как бы появляются нюансы.
Без знания точной конфигурации, вряд ли можно определенно дать дельный совет.
Хотя один есть: Обратится к системному администратору.

Не совсем понятно где стоят принтера, где стоит OpenVPN сервер.

А зачем на Windows FTP то что-то менять, пусть слушает на 21 порту, делайте на IPFire проброс с 49021 -> 21.
Или задача на оборот на Windows сделать другой порт это обязательно, а на IPFire оставить 21?

В Microsoft Exchange 2013 есть и гибкие "Transport Rules" и "DLP".
Нужный функционал, они вам обеспечат.

Помню что до 6ой версии в реализации layer7-protocol была ошибка - проблема была с регистром букв, у вас вроде в нижнем регистре, но вполне возможно были и другие проблемы. Попробуйте обновится до последней версии 6.

По-моему надо заморочиться написанием скрипта для микротика, который будет получать через fetch настройки с закрытого раздела корп. веб-сервера, и обновлять параметры локального dhcp на Микротик. Как раз о чем то подумывал сделать у себя.

1. Ставим Exchange, настраиваем send/recieve connectors, прописываем accepted domains, прописываем recipient policy
2. Верно, релеем всю зону company.com -> Exchange IP (не забываем открывать smtp)
3. Миграцию почты я б оставил на потом, т.к. почта юзеров останется в их старом зандербёрде - они её смогут так же получать через что-та у вас стоит (Dovecot?)
4. Я бы оставил постфикс, или бы настроил его на отдельном VPS/VDS как смартхост для эксчендж и как антиспам+антивирь, и после проверки релеить почту на Exchange
5. Сделать третий шаг, уже не спеша - когда почта ходит и уходит с Exchange.

Dst.Address - убрать, на 192.168.1.220 убедится что в качестве шлюза по умолчанию - стоит локальный адрес микротика.