Hallo,

ob popup oder nicht, ist doch dem bot vollkommen egal.
er findet irgendwo in dem quelltext die adresse der seite, die ja beim window.open angegeben werden musst, und rennt dann dieser nach.

Die "schlauen" Schutz-Skriptchen schreiben schon laengst
nicht mehr vollstaendige URLs in den Quelltext, sondern
nur Haeppchen.
anfang="http://";
mitte="www.example";
ende=".com/seite2.html";
window.open(anfang+mitte+ende, ...);

Fuer _sowas_ muesste der Spambot effektiv JavaScript
auswerten, und ich denke, diesen Aufwand haben die
Spambot-Programmierer noch nicht auf sich genommen,
solange es noch soviele <a href="mailto:..."> gibt...

Gruesse,

Thomas