Érdekes kérdés, töprengetem rajta egy cseppet :)
Jelenlegi álláspont szerint az email cím lehet személyes adat, ha azonosít valakit (pl. kovacs.szombra.geza@microsoft-budapest.hu, elég konkrét), de lehet nem személyes is, ha csak valami fantázia név. Ez nem sokat segít, hasonló az IP logoláshoz, a dinamikus IP mögött nem tudod ki van, de egy megvásárolt fix IP mögött már tudhatod, mégis szükség van arra hogy mindenféle hozzájárulás nélkül tárold a szerven a dolgot. A CJEU állásfoglalása szerint az IP nem személyes adat például (ignorálták a fix IP kérdést). No ez nem sokat segít, csak leírtam érdekességként :)
Gyakorlatibb vizeken a lényegesebb dolog az, hogy a GDPR elismeri a vállalkozás "jogos érdekét", mint jogalapot. Ilyen jogos érdek lehet kiberbűnözés elleni védekezés, így a szerver logok esetében vagy a te esetedben a csalással összefüggő azonosítók tárolása nem jelenthet problémát. Más contextusban (pl telekommunikáció esetén) kifejzetten előkerül a WP29-es útmutatókban a csalás elleni védekezés kapcsán elismert adatkezelés. Annyi kérése van a rendeletnek, hogy a transzparencia legyen meg, azaz az oldalad privacy notification oldalán jelezd a kedves látogatóknak, hogy az e-mail címek tárolásra kerülhetnek, ám _kizárólag_ a visszélések megelőzése érdekében használod azt (és nem spammeled őket). Ha pedig valaki explicit kéri az eltávolítását az adatbázisodból, akkor azt pedig tedd meg...