>>428さん、そーいう逃げ道があるんですね。
>>429さん、RFC1918はすべてコメントアウトしてみましたが、状況が変わりませんでした。
>>430さん、1,1',2はできています。
firewall_type="OPEN"
では、問題なくSMTP箱の25/tcpを叩けています。
SIMPLEの状態で、外からSMTP(を5回)叩いたときのipfw showをdiffしたところ、

-02400 0 0 deny log logamount 100 tcp from any to any in recv fxp0 setup
+02400 5 300 deny log logamount 100 tcp from any to any in recv fxp0 setup

ってのが出ました。
これって
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup
これ?と思ってコメントアウトしたところ、外からNAT内のSMTPが見えるようになりました。
# って中身のコメントのまんまじゃん。コメントくらい嫁>ヲレ
telnet 25した後、反応があるまでちょうど80秒かかりました。
smtpdが名前でも引きに行ってタイムアウトしてるのでしょうね。
>>428,>>429,>>430さん、ありがとうございました。