Las comprobaciones que hacen las CA's son las que ponen en su documento de políticas de certificación, y cada una sigue unos criterios distintos, las habrá que si que comprueben esa dirección y otras que no ya que snifar correo o dar con la clave y el usuario de un POP3 es relativamente sencillo. Lo que si comprueban es la identidad, que es de lo que se trata.

Perdona, pero daba por obvio que tienes que guardar los campos del certificado en los procesos de alta de tus usuarios. Yo lo que hago es guardar en bbdd el cert completo (sin clave privada claro) es decir, guardo el Request.ClientCertificate("Certificate") pero si te es mas cómodo, guarda los campos que necesites, por ejemplo el campo E: Request.ClientCertificate("SubjectEMAIL").

Lo de la clave publica... no se pueden cambiar las claves de los cert, ya que la fima de la CA es el cifrado del hash del cert, si cambia algo se rompe la firma. Si cambia la pública de un usuario es que cambia el certificado, que tendrá los campos iguales, o distintos, salvo en el caso de renovación que será practicamente igual cambiando la fecha de expiración.