proč to řešit firewallem a NATem, když se to dá elegantně vyřešit DNSkem?

V LAN bude lokální DNS, který ti MX záznam pro mail.doména.sk resolvuje na privátní adresu, v internetu bude fungovat standardní DNS server.

Druhá varianta pomocí firewallu je přes nat 1:1 (netestoval jsem, pravděpodobně bude vhodné omezit minimálně in rozhraní a ideálně i port)

iptables -t nat -A PREROUTING -d verejna_IP_adresa -j NETMAP --to LAN_IP_adresa