лазить смотреть лень, рассказываю с теоретической точки зрения.

всякая ссылка в тексте письма автоматом заменяется на линк вида <a href="#" onClick="goto('http://yoursite.ru');">http://yoursite.ru</A>
(возможны вариации).
Именно скриптовая защита goto() выводит окно и обрабатывает результат выбора.

"что бы окошко защиты не всплывало" это надо сделать так, чтобы двиг не распознавал и не заменял ссылку. Т.е. попробуй просто ссылку текстом (если двиг текст не заменяет ссылкой) - заставь получателя сделать копипаст в строку адреса.
Если не пройдет - не факт что это вообще возможно. Хотя все можно взломать. Вопрос - за сколько лет =)