Sobre o estranho comportamento do mailto:

Nada está errado.

“No entanto, ele também abre minha caixa de correio para que todo o seu conteúdo seja exposto ao público.”

Ele abre sua caixa de correio apenas na sua máquina. Para outro usuário, ele poderia abrir o Apple Mail (macOS) ou o Thunderbird (cliente de e-mail alternativo) em sua máquina e isso não é grande coisa.

Abrir o Outlook em sua máquina local não é um risco à segurança; é um comportamento esperado.

A forma como funciona é mailtoum manipulador de protocolo que informa ao navegador do cliente: “Ei! Quando clicar aqui, abra seu cliente de e-mail local!” E então o e-mail adicionado depois disso pode ser qualquer toendereço de e-mail de destino; não apenas o seu.

Você pode até configurá-lo para abrir um cliente de e-mail com uma nova janela de e-mail com o endereço de e-mail de destino definido como .mailto:[email protected]to[email protected]

Aqui estão informações dos documentos da Web da MDN (Mozilla Developer Network) especificamente sobre mailto:; a ênfase ousada é minha:

É bastante comum encontrar páginas da web vinculadas a recursos que usam protocolos não http. Um exemplo é o mailto:protocolo:

<a href="mailto:[email protected]">Web Master</a>

Os autores da Web podem usar um mailto:link quando desejam fornecer uma maneira conveniente para os usuários enviarem um email, diretamente da página da Web. Quando o link for ativado, o navegador deverá iniciar o aplicativo de desktop padrão para lidar com e-mail. Você pode pensar nisso como um manipulador de protocolo baseado em desktop .