> они заснифят и потом сольют всё в сеть из неких идейных соображений

Они даже фамилий таких не знают - Якеменко, Потупчик и пр. Можно, конечно, держать свои хосты в анонимных сетях и обрабатывать трафик, но такая задача под силу только спецслужбам с хорошими бюджетами, СОРМ здесь не поможет. И совсем не факт, что анализироваться будет весь трафик.

> В почтовом сообщении передается столько служебной информации

Только она вся имеет отношение к Сети и ничего не говорит о реальном пользователе.

> Дальше-то что?

Я пытаюсь аргументировать возможное судебное решение. Доказательная база объективно должна быть достаточно объемной. Но основной эффект imho уже имел место и с судебным решением он не связан.

> Сходит же, например, с рук регулярная DDoS-активность

Это другая проблема. Доказать факт управления ботнетом - длительная и ресурсоемкая задача.