se scrivi in chiaro il tuo indirizzo, un qualsiasi bot sa leggerlo. cosa poi ci si fa dipende dalle intenzioni del creatore del bot. quindi anche tenerselo in archivio come mittente civetta per lo spam.

script non sicuro vuol dire che lo si può sfruttare per inviare mail senza la tua volontà; vedi ad esempio l'inserimento in querystring dei destinatari (metodo get), questa è una possibilità.

ma chi o cosa ti fa questa segnalazione di spam?