Unicodeの状態でサニタイズしても、それをANSIに変換するとサニタイズする必要がある文字が再度現れてしまうというのがキモでしょうか。
QMAIL3でもANSI版(Windows 9x系版)を使うと、添付ファイルのファイル名に「..<0xa5>..<0xa5>..<0xa5>hogehoge.txt」などと指定すると、指定したディレクトリより上の階層にファイルを書き込めてしまいそうな気がします。