Подскажите, как сделать так, чтобы почтовый сервер видел, с какого адреса идет подключение? Он сидит внутри DMZ и ему кажется, что все подключения к нему идут от адреса DFL. А нужно бы, чтобы он видел реальные адреса. Как?

Как проброс в DMZ настроен?

Mail-SMTP-IN
SAT
SMTP-IN
WAN1
all-nets
WAN1
Ext-Mail (внешний IP mail-server)
(sat): Translate destination address DMZ-Mail (адрес интерфейса сетевой карты, 192.168.2.2)

Mail-NAT
NAT
all services
WAN1
all-nets
WAN1
Ext-Mail

Все. НАТ идет с адреса интерфейса ДМЗ, т.е. 192.168.2.1.

Правильно ли я понимаю, что можно без умаления общности поставить одно правило NAT all-services в конце, и оно будет действовать на все правила SAT, расположенные выше него, но не являться какой-нибудь "дырой" само по себе?

И причем тут DMZ? При пробросе SAT&Allow адрес источника не меняется.

Так-с! Что-то я не понимаю тогда.
Пара SAT&Allow у меня никогда не работала. Т.е., просто не понимаю, как этим люди пользуются. А пара SAT/NAT - работает. (Ext-Mail - внешний белый IP вида 82.140.х.х, DMZ-Mail - сервер внутри DMZ, DMZ-IP - 192.168.2.1, т.е. адрес не маршрутизируемый)
Но работает с потерей адреса источника.
Или я что-то делаю не так?

SAT/NAT подменяет адрес источника, SAT/Allow - нет.
Проверяте настройки MDemona и логи DFL, скорее всего обратные пакеты идут не туда или прибиваются файрволом.

Так и есть, шли существенно не в ту сторону. Разобрался, спасибо.