Esta es una configuración muy común. En general, nunca uses .private y .local ya que terminas (eventualmente) en un mundo de dolor y hacerlo "bien" no es tan difícil.
Básicamente, usted le dirá al mundo que su servidor de correo reside en la dirección IP pública (o establecerá su propia dirección IP real enrutable de Internet y hará que el Proxy/Firewall reenvíe el tráfico a la IP fija interna 10.1.1.20)
A continuación, añadirá dos zonas a su DNS interno para que todas las consultas de mail.whatever.com se resuelvan a 10.1.1.20 y una zona inversa resuelva la IP al nombre.
De este modo, sus clientes obtendrán la dirección correcta cuando estén en la LAN local o en la VPN, pero podrán seguir accediendo al servidor desde la Internet pública cuando el DNS dé la dirección pública.
También hay que tener en cuenta los certificados de los servidores. La mayoría de la gente emite certificados para la dirección IP pública y tiene un perfil para permitir que los clientes internos confíen en un certificado autofirmado para cuando accedan al servidor localmente.
No hay balas de plata aquí - la elección que usted hace para tener un enrutamiento más complicado complicará su SSL y otros pasos de configuración del servidor, pero esta es una situación común para las personas que despliegan el servidor de león por lo que he visto que funciona bien en la mayoría de los casos.