reseni je DNSSEC, ale je to dost pracne... (tip na IPSec byl dost mimo :)
mimojine Unbound (unbound.net) je pokud vim jeden z mala, jeste s MaraDNS (ale ten ma probles s IPv6), ktery timto utokem nebyly postihnutelny. Unbound je by default v chrootu, podporuje IPv6 (bind to socket i query)...