O bloqueio de conexões de saída para a porta TCP de destino 25 é algo que muitos ISPs fazem atualmente. Embora eu não goste particularmente, é uma coisa bastante típica que é feita.
Desde que você publique para seus usuários que você está fazendo essa alteração, e talvez faça algumas capturas de pacotes para ver preventivamente quem pode ser afetado pela mudança, acho razoável. Eu daria aos usuários que têm uma necessidade legítima uma maneira de recusar também.
O Outlook não deve ser sua preocupação. Em vez disso, você deve estar pensando no fluxo de SMTP em geral.
Nos "velhos tempos", os usuários individuais geralmente executavam um cliente de email configurado para enviar email para um servidor remoto na porta TCP 25. Cada vez mais, com ISPs bloqueando a porta TCP de saída 25, muitos servidores de email corporativos passaram a usar a porta TCP 587 (a porta SMTP "envio"). Indiscutivelmente, usar a porta 587 é a configuração certa, mas você pode ter alguns clientes que estão usando servidores que ficaram para trás das tendências atuais.
O Outlook, quando implantado para usuários corporativos, normalmente não usa SMTP / IMAP / POP, etc. Em vez disso, você verá o Outlook conversando com um computador do Exchange Server por HTTPS (que é usado para encapsular o RPC, MAPI proprietário da Microsoft) e protocolos ActiveSync) ou uma VPN. Da mesma forma, a maioria dos clientes de telefones celulares que estão conversando com um computador com o Microsoft Exchange Server também usará HTTPS encapsulando o protocolo ActiveSync.