L'opzione nat (network address translation) ti permette di fare il masquerading, ossia di mascherare il tuo IP con quello dell'interfaccia di rete specificata nel firewall. Esempio: ho una macchina con eth1 per il traffico in entrata/uscita dalla LAN e ppp0 per l'ingresso in entrata/uscita verso Internet. Applicando il masquerading su eth1, questa prenderà l'indirizzo di ppp0 quando uscirà su Internet. In pratica, l'indirizzo privato di eth1 viene mascherato con quello di ppp0. E' utile, ad esempio, perchè non puoi navigare in Internet con un IP privato.
Non so molto bene le differenze tra postfix e sendmail, se non che il primo è più facile da configurare.