Exim times out sending relay traffic

We have been using Astaro for some years now, but are trying for the first time to implement mail security. Most of it works well, but when our own staff are outside the office and use SMTP to send a message to an outside party (i.e. authenticated relay traffic), the messages wind up in the SMTP spool and repeatedly fail with timeouts from the destination email server. E.g.:

2012-07-29 17:33:52 mx4.hotmail.com [65.55.92.168]:25 Connection timed out
2012-07-29 17:34:13 mx4.hotmail.com [65.55.92.184]:25 Connection timed out
2012-07-29 17:34:34 mx4.hotmail.com [65.54.188.94]:25 Connection timed out
2012-07-29 17:34:55 mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012-07-29 17:35:16 mx4.hotmail.com [65.55.92.152]:25 Connection timed out
2012-07-29 17:35:16 @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012-07-29 17:36:21 mx3.hotmail.com [65.54.188.94]:25 Connection timed out

This happens for many, if not all, external destinations (I can't find any that worked properly). But traffic sent via the internal exchange server (be it from people inside the office, outside staff accessing via OWA, or outside staff using Exchange over RPC/HTTP) works fine.

Testing with nslookup shows that the addresses are correct, and I can telnet from an internal machine into port 25 at hotmail and get valid reponses -- I have tried using both HELO ourcompany.com and HELO firewallmachinename.internaldomain.local and don't get kicked off, so it's not because of how the SMTP proxy identifies itself. The relay traffic is set to use AD-authentication, which is apparently working fine, as the proxy has accepted the relay and is trying to send it out. 

Could the SMTP proxy be sending out on the wrong interface? The default gateway is correct, and everything else works fine.

The SMTP proxy log provides no further info:

2012:07:29-20:55:00 friday exim-out[11843]: 2012-07-29 20:55:00 Start queue run: pid=11843
2012:07:29-20:55:21 friday exim-out[11845]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 mx0.gmx.com [74.208.5.90]:25 Connection timed out
2012:07:29-20:55:21 friday exim-out[11844]: 2012-07-29 20:55:21 1SvbA6-0003Jj-99 == @insurer.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:55:42 friday exim-out[11855]: 2012-07-29 20:55:42 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.88]:25 Connection timed out
2012:07:29-20:56:03 friday exim-out[11855]: 2012-07-29 20:56:03 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.72]:25 Connection timed out
2012:07:29-20:56:24 friday exim-out[11855]: 2012-07-29 20:56:24 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.72]:25 Connection timed out
2012:07:29-20:56:45 friday exim-out[11855]: 2012-07-29 20:56:45 1Svb7C-0003Io-EJ mx4.hotmail.com [65.54.188.110]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11855]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ mx4.hotmail.com [65.55.37.120]:25 Connection timed out
2012:07:29-20:57:06 friday exim-out[11854]: 2012-07-29 20:57:06 1Svb7C-0003Io-EJ == @hotmail.com R=dnslookup T=remote_smtp defer (110): Connection timed out
2012:07:29-20:57:06 friday exim-out[11843]: 2012-07-29 20:57:06 End queue run: pid=11843

Short of putting a managed switch in between the firewall and the modem and running wireshark to see the actual exchange between the proxy and the other server, how can I see what's actually going on?

This thread was automatically locked due to age.