Ответ 1
да, действительный адрес электронной почты может использоваться как контейнер для некоторых тщательно обработанных строк.
выйти из "фильтрационного" мышления и войти в "ускользающий" образ мышления. Универсальный фильтр "сделать его безопасным" просто не существует.
например, если адрес электронной почты будет выведен в текстовый документ, то ничего не нужно делать. если его выводят в html-документ, в виде текста node, тогда его нужно экранировать для специальных символов html и entitites. если он помещен в html-документ, и его значение будет находиться внутри атрибута html, то очень нужно выполнить тщательное экранирование, и это будет зависеть от контекста. если он используется в sql-запросе, тогда он должен быть экранирован с помощью специальной функции экранирования базы данных. и так далее.
все о контексте использования, а не о содержании строки. это касается всего (а не только электронных писем или другого пользовательского ввода), и это не только вопрос безопасности, но и вопрос правильности программирования.
fyi, я помню спецификацию адреса электронной почты, позволяющую процитировать строки, поэтому что-то вроде "<script>alert('xss')</script>"@example.com будет действительным. возможности очевидны.