Si los usuarios pueden instalar lo que quieran... entonces edonkey podrá salir al exterior de múltiples formas: encapsulado, tunelizado. También se puede configurar para usar el puerto 80 directamente. Una buena política sería restringir este privilegio.

Puedes también identificar el tráfico mediante par de conexiones de protocolo. Los programas P2P suelen usar TCP y UDP para un mismo destino. Si ves muchas conexiones de este tipo, ahí lo tendrás.

También puedes usar Edonkey de forma legítima para observar y estudiar el tráfico en busca de firmas o huellas en el payload o carga útil que detecten su uso. Por ejemplo, la cadena 0xe319010000 antes era identificativo de Endonkey2000. No sé si esto ha cambiado pero puede ser una pista. No tengo agora ningún Edonkey a mano para poder comprobar este extremo. (Si alguien fuera tan amable de capturar algunos paquetes en una sesión Edonkey... )

Otra cosa. Si no puedes "capar el puerto 80", es posible que tu firewall puedad establecer límites de consumo. Los programas P2P consumen, normalmente, mucho. Si no es necesario tanto consumo para el desarrolo de los trabajos por parte de los usuarios, puedes usar esta medida.