DNSSECに対応しようかと思います。

DNS Security Extensions（略称DNSSEC）は、
DNSにおける応答の正当性を保証するための拡張仕様である。
サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、
DNS応答の偽造や改竄を検出することができる。

1)キーを取得します

# cd /etc/bind/
# dig +noall +answer +multiline DNSKEY . > pubkey
#
# cat pubkey 
. 172800 IN DNSKEY 257 3 8 (
 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
                 ・
                 ・
 LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
 ) ; key id = 19036

. 172800 IN DNSKEY 256 3 8 (
 AwEAAcy4Eo1P5B3ut9Vm9ZP92JnCFSALJqdhO5fOq1Us
                 ・
                 ・
 APASbKmoGx1oceRKzr/UdwyB1G5aIEtwK7/DQFrn3zRj
 ) ; key id = 39283

上の「DNSKEY 257 3 8」こちらを使います。

キーを作成します。

# vi /etc/bind/named.conf.managed-keys
managed-keys {
. initial-key 257 3 8
 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
                 ・
                 ・
 LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=";
};

2)DNSSECを有効にします

「named.conf.options」に以下を追記します。

# vi /etc/bind/named.conf.options
options {
    dnssec-enable yes;
    dnssec-validation yes;
};

「named.conf」に作成したキーを読み込みます。

# vi /etc/bind/named.conf
include "/etc/bind/named.conf.managed-keys";

でBINDを再起動します。

3)有効になったか調べてみる

オプション「+adflag」を使います
（警視庁を調べてみよう）

# dig www.keishicho.metro.tokyo.jp +adflag
; <<>> DiG 9.7.0-P1 <<>> www.keishicho.metro.tokyo.jp +adflag
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11794
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.keishicho.metro.tokyo.jp.	IN	A

;; ANSWER SECTION:
www.keishicho.metro.tokyo.jp. 56 IN	A	203.180.140.67

;; Query time: 1 msec
;; SERVER: 192.168.*.*#53(192.168.*.*)
;; WHEN: Fri Aug  5 15:32:13 2011
;; MSG SIZE  rcvd: 62

「flags: qr rd ra ad」でadが付いているのが分かります。

外からの問い合わせにはtkドメインしか返さないので、
僕のDNSサーバを使ってもだめよｗ

参考URL
DNSSEC の設定
DNSSECの検証を行う

[tegaki]汚染は怖い。。[/tegaki]