Hola:
También tengo un servidor de correo en una DMZ detrás de pfSense. En mi caso tengo un prefijo /29 con mi ISP. Por ejemplo mi pfsense tiene la ip 172.16.0.2 y mi servidor de correo la 172.16.0.3. En este caso creé una Virtual IP (Firewall->Virtual IPs), con tipo IP Alias, interface WAN Dirección 172.16.0.3/32 y su descripción. Efectué el port forwarding con interfaz WAN y Destination la IP 172.16.0.3. En la pestaña Nat Outbund realicé lo que tu dices:
Interface: WAN
SOURCE: IPservidor/32 #Sólo hago match con ese host
SOURCE PORT:*
DESTINATION: *
DESTINATION PORT: *
NAT ADDRESS: 172.16.0.3
NAT port: *
Sobre el orden de las reglas, recuerda que si tienes un NAT Outbund para la misma red del servidor, esta regla debe quedar arriba, para que haga match antes que el outbund del resto de la red. También nota sobre el prefijo a usar. En mi caso quiero que sólo ese servidor salga con esa ip pública, por eso el /32. Recuerda también que si es un servidor de correo, la regla de port forwarding también tiene que hacer match en en el Destination Address.
Saludos y me comentas que tal te fue.
