Lo que sucede es que si es una página pública y no hay ningun protocolo de acceso, ese dato es vulnerable. no se me ocurre en estos momentos una mejor idea. lo que puedes hacer en usar un token para mostrar el mail, de modo que aunque sepan de donde sale el mail, este se pueda proteger por ese token y evitar bots.