JAVA no es lo mismo que JavaScript y validar con JavaScript no es nada seguro, tan simple como desactivarlo y tu validación ya no sirve; no deberías dejar en manos de el cliente cosas que quieres sean seguras.

Agregando el comentario de que la propuesta en JavaScript que planteas tampoco es segura... según explicas solo verifica la existencia del "@" y de ".", entonces, pregunto: ¿qué pasa si introdusco simplemente "@." o " @ . "?

La validación que se busca esta en las FAQ, incluso por repetido: la 56 y la 112.