Não é interessante bloquear por que não há uma regra que padronize esses tokens em todos os servidores de email. As rfc que designam as notações do que seria um email, mesmo que fossem atualizadas padronizando o **+** como um alias, podem não sutir efeitos já que não há garantias que elas serão adotadas por todos os provedores.

então usando como base o **+**, se você aplicasse a regra de sempre bloquear, independentemente do dominio, poderia bloquear de provedores que são realmente duas contas.

se fosse bloqueio limitados aos provedores, por exemplo apenas os **+** do gmail, você traria responsabilidades pra sua aplicação e ficaria a seu cargo "aprender" as regras de alias em todos provedores, e mesmo no caso do gmail, existem mais de uma forma de tratar alias, por exemplo adicionando um **. (ponto)** também é válido, exemplo um email `conta.to@gmail.com` é a mesma coisa que `contato@gmail.com` pro gmail.

Sendo assim o email é a camada mais simples de validação mas pra casos importantes não deveria ser a unica, usar combinações como vinculação a cpf ou mesmo numero de telefone podem restrigir bastante isso.

Não é interessante bloquear por que não há uma regra que padronize esses tokens em todos os servidores de email. As rfc que designam as notações do que seria um email, mesmo que fossem at...