Во первых, твоя хсс пассивная, а это означает, что ничего не заработает, пока жертва не нажмёт на твою ссылку(а это должен быть полный ламер(ша), чтоб жать на левые линки).

Во вторых твоя пассивная хсс находится на другом поддомене, а куки на разных поддоменах отличаются. Те куки на mail.yandex.ru свои, а на news.yandex.ru свои.
Так что даже если он(а) и нажмёт - толка не будет.

В третьих - нафига тебе домен? <script>alert(document.domain)</script>
Куки уганяются document.cookie, или когда данные передаются через гет-запрос - document.location

В четвёртых человек может проверять почту используя программы типа зебата, аутлука, мозилы и прочих. И тут хоть тресни.