Working out client rules

Hi folks!
 
I am configuring ASC but am struggling to find an optimum configuration.
 
I have two configs in mind and would appreciate any feedback on security/experiences:
 
Both configs ASC in default DENY mode
 
1. unknown networks ports 80, 443 and 53 outgoing, friendly and VPN networks, bidirectional allow all and filter on the firewall itself
 
2. unknown networks outgoing allow all, friendly and VPN bidirectional allow all and again filter on the firewall
 
My assumption using the SPI is that anything inbound will be blocked UNLESS it originated from the outbound allow rule so this should stop anything 'unauthorised' coming in?  Is this correct?
 
I have to allow for IM clients and SkyPE traffic and their port usage seems random :-)  I need a workable config which allows people to work but does not mean it is too open for abuse.
 
Thanks in advance for any feedback and experiences
 
 
Regards
 
Chris