¿Debería utilizarse la dirección de correo electrónico en la SOA para validar el control de dominio?

Si envía un correo electrónico a una dirección que encuentra en la SOA, técnicamente no está validando el control del dominio ; estás validando el control de esa dirección de correo electrónico específica . Lo que no es lo mismo.

Para validar realmente el control del dominio, envíe un desafío al supuesto propietario del dominio: haga que cree una nueva entrada en el DNS, por ejemplo. un campo TXT, o un CNAME personalizado. Si aparece la entrada solicitada, entonces sí, su interlocutor parece tener el control del dominio. Al igual que con cualquier protocolo de desafío / respuesta, el desafío debe ser impredecible (es decir, el CNAME personalizado debe incluir un elemento de nombre aleatorio grande).

Las direcciones de correo electrónico en la SOA no están necesariamente actualizadas. La mayoría de las SOA tienen esta dirección porque es parte del formato, pero rara vez se verifica, por lo que supongo que muchos dominios tienen una dirección incorrecta allí o una dirección que termina en un buzón que nadie mira. En cualquier caso, no creo que mucha gente considere que colocar esta dirección en la SOA constituye una delegación de poder sobre el dominio a la persona que podría leer los correos electrónicos enviados a esa dirección (especialmente porque los correos electrónicos no son exactamente el sistema de comunicación más protegido de la historia).