Боюсь, что нет способа защитить вызовы API Static Maps от реферера в электронных письмах. Вы должны применить другой подход. Вы можете сгенерировать ключ API исключительно для вызовов Static Maps и защитить его с помощью API, кроме того, вы можете защитить свои вызовы с помощью цифровой подписи. Это альтернативный способ защиты, который вы можете использовать для API статических карт.
Для стандартного API рекомендуемый метод аутентификации состоит в том, чтобы включать ключ API и цифровую подпись во все запросы к Статическому API Карт. Требуется ключ API. Цифровая подпись требуется, если вы включили оплату по мере использования. Уникальная подпись позволяет нашим серверам проверять, разрешено ли на это любому сайту, генерирующему запросы с использованием вашего API-ключа.
источник: https://developers.google.com/maps/documentation/maps-static/get-api-key#standard-auth
Я бы предложил попробовать этот подход.