Кто такой tls внутри сети?
Почему все подключены без учета того, какую информацию обрабатывают?
Почему веб-сервер и почта вообще во внутренней сети, а не dmz?
И непонятно, по ответам, мы защищаем сайт или внутреннюю сеть?
Короче бьешь сигменты по критичности обрабатываемой информации, изолируешь, все к чему имеет доступ хоть как-то внешний юзер - изолируешь отдельно. Прорабатываешь как информация ходит между сегментами.