Depende, Álvaro. En la solución que planteo, la petición asíncrona no devolvería la dirección de correo electrónico, solo una respuesta para avisarle al usuario si se envió o no el mensaje. La obtención de dicha dirección y el envío se realizaría en el lado del servidor y lo único que podría ver el usuario de esto sería la respuesta devuelta, es decir, el mensaje de éxito o error acerca del envío del mensaje. Ahora, para evitar algún tipo de ataque al servidor, tendría que implementarse algún protocolo de seguridad, lo cual es algo básico si del lado del servidor y base de datos se trata.