Como faço para desviar todo o volume de e-mail destinado da rede interna para o servidor de e-mail em uma DMZ.

A rede está assim montada:

Internet ---> Firewall --> Rede Interna
                         |
                     D M Z
eth0 - internet
eth1 - rede interna
eth2 - DMZ

O Firewall tem três placas de rede e para permitir o NAT para rede interna eu uso:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Para receber os e-mails eu uso a seguinte regra:
iptables -A INPUT -i eth0 -m state --state NEW -m tcp -p tcp --syn --dport 25 -j ACCEPT

O problema é qual(is) regra(s) eu tenho que criar para não deixar que uma máquina na rede interna tente enviar e-mail diretamente para a internet e possa se comunicar com o servidor de e-mail. Isto evitará que eu seja constantemente classificado como servidor de spam e controlar melhor a rede.