comunque temo che l'anteprima di outlook utilizzi il motore di exploder, e che quindi basti visualizzare una mail fatta per bene... [credo dico credo]
Nel caso delle email e outlook express 6sp1 non sono riuscito a farlo funzionare ma credo sia una protezione del client di posta. Non vorrei azzardare ma secondo me dalla versione 6 hanno completamente disabilitato gli IFRAME nelle email in formato HTML (idem per i semplici FRAME). Infatti non sono riuscito neanche a visualizzare un semplice IFRAME contenente una pagina web. Chi avesse notizie in merito...
Per le versioni precedenti di outlook l'exploit non credo funzioni visto che dovrebbe essere un bug di IE6.

A questo punto mi è venuto il dubbio che fosse possibile far funzionare l'exploit su vari siti di webmail. Direi che in generale sono abbastanza intelligenti da disabilitare sia i Frame che gli IFrame oltre agli Script.

Sembrerebbe (lasciatemi il beneficio del dubbio) quindi che l'unico modo per attivare il bug sia cliccare su un link che apra la pagina incriminata...