Этот способ нарушает принцип когда GET запросы используются только для чтения.
Не стоит так заморачиваться в данном случае. Но если хотите, сформируйте в HTML форму с POST запросом по сабмиту.
По таким ссылкам могут ходить боты. Если у пользователя почта на yandex или google, то боты читают почту и переходят по ссылкам из писем.
А валидация почты вовсе не для защиты от ботов. Основная цель - удостовериться, что почта была введена корректно и с ней работать дальше.
Можно конечно попытаться отсеять ботов, но ценой юзабилити: сделать переход на страницу, где будет требоваться ввод капчи для окончательного подтверждения.
