Se spieghi lo scopo... se non e' autorizzto non mettere nemmeno il link

Se proprio insisti:

" onclick="alert('Non puoi inviare email')"><%=rs("mail")%>

purtuttavia cio' non impedisce che la mail venga inviata... come risulta dal tuo quesito.

Va be', lo aggiungo lo stesso:

" onclick="alert('Non puoi inviare email');return false"><%=rs("mail")%>

In ogni caso e' sufficiente disabilitare javascript perche il tutto non funzioni... e la mail venga inviata lo stesso.

E comunque gli spammer si approprieranno del tuo indirizzo... se vuoi evitarlo devi agire tutto lato server (consigliato!!!).

ciao