DNS キャッシュポイズニング対策

当社では自社ドメインすべてを自前のサーバで管理していますが最近そのDNSサーバへ不正にアクセスしようとする不届き者が・・・。
　
キャッシュおよびコンテンツ（作成したゾーン）はアクセス制限しているためキャッシュを汚染されることは、まずないと思われるのですが、
キャッシュポイズニング対策として念のためキャッシュ機能は使わないように変更します。
　
キャッシュポイズニングとは簡単に言うとキャッシュされているDNS情報を不正に書き換えてしまう。
これにより問い合わせをしたとき本来とは違う回答を返してしまうため偽サイトに誘導されたりする。

　named.confを以下のように修正します。（bind9.2.4）

　options部分にrecursion no;を追記する。

　"."ゾーンを参照させないように変更する。
　zone "." IN {
　　　　　　type hint;
　// 　　　file "named.ca";
　　　　　　file "/dev/null";
　};
　
　namedをrestartする。
　
　簡単にDNSサーバをチェックしてくれるサイトがあるので試してみましょう。
http://recursive.iana.org/の「Provide a domain namename to analyse」欄にドメインを入力してクエリ送信ボタンを押してみましょう。
　
　結果
　・Safe　安全です
　・Vulnerable　危険な状態
　・Highly vulnerable　大変危険な状態

　Name Serverにはサーバごとに個別結果が表示されます
　・Not recursive　安全です（ドメイン管理のみしている）
　・is recursive　危険な状態（ドメイン管理以外にキャッシュサーバとしても機能している）
　・could not detect source port randomisation　大変危険（ポートが固定化されている）
　・Could not scan　スキャンできない（正常稼動していないのでは・・・）
　・Completely lame　機能に問題あり？