proč to řešit firewallem a NATem, když se to dá elegantně vyřešit DNSkem?
V LAN bude lokální DNS, který ti MX záznam pro mail.doména.sk resolvuje na privátní adresu, v internetu bude fungovat standardní DNS server.
Druhá varianta pomocí firewallu je přes nat 1:1 (netestoval jsem, pravděpodobně bude vhodné omezit minimálně in rozhraní a ideálně i port)
iptables -t nat -A PREROUTING -d verejna_IP_adresa -j NETMAP --to LAN_IP_adresa