iptables如何設定使別人無法使用port 25發內部信 - Linux

最近正在學習Linux, 架設Mail Server.
使用固定的public IP, 也有申請.com的網域.
因為有對外, 因此不想成為別人的發信站(??)
但仍有一些不明處, 希望高手解惑一下

我設定 /etc/mail/access (有Make成.db) 只有
Connect:localhost RELAY
這是第一道防線

有設定iptables policy
INPUT DROP
OUTPUT ACCEPT
FORWORD DROP
(當然有加lo ACCEPT, ssh ACCEPT, ptivate ip DROP)
這不算是第二防線,但安全點

問題來了, 要如何開放 smtp 的連線才安全(適當)呢?

有試過依書本上教的
$IPTABLES -A INPUT -p tcp --dport smtp --syn -m state --state NEW -j ACCEPT
但這樣的情形下, 使用另一台PC(另一個public IP)試試使用
telnet 我Server網域.com 25
是可以連上(好像合理啊)

問題是,別人就可以用我的Server對我內部亂發信了啊
(如發給root,而root的信會轉給系統管理者)
這我要如何設定iptables(or sendmail)才可以
防止別人使用我的Mail Server對內部發信呢?
因為這種信很難過濾

我是一個新手, 問題如有不清楚/不合適的請多包含


--
Sincerely Yours,
I_Love_Linux
如有離題,請略過;如有錯誤,請回報;如有不懂,請再問;如有幫助,請享用;如有感謝,請告知

--