El protocolo DNSSEC, diseñado para garantizar la autenticidad de las respuestas del Sistema de Nombres de Dominio, sigue sin activarse por defecto en la mayoría de distribuciones y sistemas operativos, lo que expone a usuarios y servicios a ataques de intermediario (MITM). Cuando un cliente de correo consulta los registros SRV para localizar el servidor IMAP o SMTP, un atacante puede envenenar la respuesta DNS y redirigir la conexión hacia un servidor malicioso con un certificado TLS válido para el dominio falsificado. El certificado se verifica sin problemas, de modo que el ataque resulta invisible para la inmensa mayoría de los usuarios, incluidos los que utilizan proveedores conocidos como Gmail. En el lado del servidor, la consulta de registros MX de un dominio también puede manipularse: aunque el correo interceptado suele dejar rastro al no llegar al destino legítimo, el ataque es viable. El protocolo Matrix, al delegar dominios mediante registros DNS estándar, hereda la misma vulnerabilidad. XMPP, en cambio, exige que el servidor delegado presente un certificado TLS del dominio original, lo que limita el riesgo a una denegación de servicio. Mecanismos como MTA-STS mitigan parcialmente el problema, pero pueden eludirse en escenarios concretos. El artículo recomienda habilitar un resolvedor local con validación DNSSEC, como unbound en GNU/Linux o unwind en OpenBSD, en lugar de delegar la validación en un servicio externo de terceros.
