У меня робит с fixup protocol smtp (остальные команды на смтп нафиг не нужны, так что все ок). По теме ДМЗ - граничная область между защищаемой сетью и внешней сетью. Туда, как правило, выводятся различные сервисы, которые д.б. доступны из локальной сети и из внешней сети. Как сделанно у меня:global (outside) 1 xx.xx.xx.xx <- IP с которого все будут выходить
global (dmz) 1 192.168.хх.100-192.168.хх.110 <- пул адресов, для "ната" из локалки в ДМЗ
static (dmz,outside) xx.xx.xx.xx 192.168.xx.xx netmask 255.255.255.255 <- СМТП
nat (dmz) 1 192.168.xx.xx 255.255.255.0 <- нат для дмз
access-list dmz-out extended permit tcp any host xx.xx.xx.xx eq 25 <- разрешаем извне ходить на smtp
access-list vip-acl extended permit tcp any host 192.168.xx.xx eq smtp <- изнутри разрешаем по смтп ходить в дмз
Не забудь прописать акцесс группы на интерфейсы outside и inside
access-group dmz-out in interface outside
access-group vip-acl in interface inside
Ну в общем у меня робит окейна.