Атаки XSS возможны когда HTML-код сайта зависит от ввода пользователя. Пользователь вводит скрипт и если ввод не экранируется, этот скрипт попадает на сайт и будет выполнен у других пользователей. Характерно для всяких там онлайн-редакторов HTML. Обычно это отфутболивается через HttpUtility.HtmlEncode. Однако, поле для ввода e-mail адреса предполагает коротким, и ввести туда серьезный скрипт все равно не получится. 

Самый надежный способ валидации почтого адреса - прислать на него письмо с сылкой подтверждения. Если пришло письмо и пользователь смог нажать по ссылке, значит адрес 100% правильный. (Только надо предусмотреть ограничение на количество таких отправок в единицу времени, чтобы сервис не использовали для спаминга недругов). Проблема текстовой валидации - то что стандарты меняются и могут в будущем появиться адреса не вписывающиеся в заданные правила. (Я сам часто вижу что мой абсолютно правильный адрес со вхождением сочетания символов "--" не принимается некоторыми сайтами). Просто проверьте наличие символов @ и .

  

да, думаю так тоже можно