Ne penso che il problema non è tanto l'estensione quanto il comportamento del client e dell'utente. Se il client legge il codice di una mail come un browser è un grave errore. Se l'utente apre allegati perchè li ritiene sicuri non basta rinominarli, perchè l'utente medio ritiene che da una mail conosciuta non possa arrivare virus, se Za lo rinomina, lui gli togli l'estensione in più e lo apre lo stesso. Il controllo deve essere, ed è, nel codice.
Non dimenticare che molti sfruttano bug del sw più in uso Outluk.

Comunque in linea di massima con Win basta avere Av aggiornati e un client di posta un minimo sicuro e il rischio virus è lontanissimo.
Per i pc di casa, per le Lan aziendali il discorso è più ampio e complesso.