Að nota document.write er alveg pottþétt öruggara og betra en ekkert. Á meðan maður notar það ekki á þennan hátt a.m.k:

document.write('me@myserver.is')

Þá er það vita gagnslaust.

Aftur á móti er ekkert sem segir að þessir and******* bottar (afsakið orðbragðið) geti ekki “lært” javascript, eflaust einhverjir sem kunna það nú þegar.

Ég held að þú sért ekki orðinn alveg öruggur nema með því að nota myndir, sem eru ekki ásmellanlegar. Um leið og þetta er orðið að mailto link, þá ertu farinn að birta viðkomandi e-mail addressu í HTML-kóðanum, sem er auðvitað nóg.

En ef þú notar myndir og ert hvergi með texta-útgáfu af netfanginu, þá koma upp aðgengisvandamál, t.d með fólk sem notar upplestrartól og þá sem eru einhverrahluta vegna ekki með vafra sem birta myndir.

Svo er náttúrulega nokkuð öruggt að vera bara með contact-form á vefsíðunni sem notar server-side script til að senda póst :)