Wenn Du ein Mailprogramm baust, das nur den Textbody von Mails darstellt, gehst Du überhaupt keine Sicherheitsrisiken ein. Sobald Du aber HTML Mails anzeigen lässt (z.B. über die TWebBrowser Kompo), kommt der IE ins Spiel, mit all seinen Tücken und Lücken. Da ist der Punkt, wo Du selbst anpacken musst... die Verarbeitung von HTML Mails.

Aber warum noch einen EMail Client basteln, der nicht mehr und nicht weniger kann, wie viele anderen Mailclients auch. Was Weltbewegendes wirst Du nicht bauen. Nutze doch statt Outlook z.B. TheBat. Klasse EMailclient, ohne Sicherheitslücken (bislang).