Referência:
Isso agora está concluído.
Use a configuração do site enforce_canonical_emails (padrão: false) para ativar essa proteção.
Uma vez ativada, não permitiremos registros duplicados para pessoas que usam o truque do . em googlemail.com e gmail.com, bem como o truque do + globalmente.
A correção é muito segura e não tem impacto algum fora da caixa quando está desativada.
Um efeito colateral da implementação é que mais uma conta duplicada passará por uma vez que você ativar a configuração, pois não armazenamos e-mails na forma canônica na tabela de e-mails do usuário, a menos que você ative a configuração. Isso é perfeitamente aceitável, na minha opinião, pois, em geral, não consigo encontrar casos desse abuso exato em vários sites que hospedamos.