¿Es seguro para la aplicación web recibir y analizar correos electrónicos?

No hay ningún problema específico con el correo electrónico. El procesamiento de cualquier tipo de contenido externo (y, por lo tanto, probablemente, controlado por un atacante) tiene su riesgo y no solo en el servidor. Por ejemplo, mostrar el correo electrónico dentro de una aplicación web puede dar lugar a secuencias de comandos entre sitios, CSRF, etc., similar a cualquier otro contenido que se muestra en el navegador.

Muchas aplicaciones web ya realizan este tipo de análisis, incluso en software muy conocido. Sistemas de emisión de entradas (para el equipo de soporte), sistemas de reserva famosos, etc., donde los usuarios reciben notificaciones por correo electrónico y pueden responder directamente por correo electrónico a un "buzón" gestionado por la aplicación web.

La forma en que analizas el correo electrónico y lo que haces con su contenido es el punto. Dado que planea analizar y generar el contenido de estos correos electrónicos en una aplicación web, se aplican dos reglas:

1. filtre en la entrada (y desinfecte)
2. escape en la salida (para evitar XSS, en particular)

El peligro de tomar datos de una fuente no confiable desde una perspectiva técnica (a diferencia de cuestiones como recibir contenido ilegal) proviene de la posibilidad de tratar esos datos como una instrucción. Existen dos formas (sin intervención humana) que pueden suceder: su sistema está diseñado para hacerlo o hay una falla en su procesamiento que hace que los datos se traten como instrucciones. Lo primero podría existir en tu análisis. Por ejemplo, si busca URL de imágenes y sigue el enlace. Un ejemplo de esto último podría ser algo así como una saturación de búfer si recibe una gran cantidad de datos o una inyección de SQL.