Se invii un'email a un indirizzo che trovi nella SOA, non stai, tecnicamente, convalidando il controllo del dominio ; stai convalidando il controllo di quello specifico indirizzo email . Quale non è la stessa cosa.
Per validare veramente il controllo del dominio, inviare una richiesta al presunto proprietario del dominio: fagli creare una nuova voce nel DNS, ad es. un campo TXT o un CNAME personalizzato. Se viene visualizzata la voce richiesta, allora sì, il tuo interlocutore sembra avere il controllo del dominio. Come per qualsiasi protocollo di sfida / risposta, la sfida deve essere imprevedibile (ad esempio, il CNAME personalizzato dovrebbe includere un elemento di nome casuale grande).
Gli indirizzi email nella SOA non sono necessariamente aggiornati. La maggior parte SOA ha questo indirizzo perché fa parte del formato, ma è raramente verificato quindi immagino che molti domini abbiano un indirizzo errato lì o un indirizzo che termina in una casella di posta che nessuno guarda. In ogni caso, non penso che molte persone considerino che inserire questo indirizzo nella SOA costituisca una delega di potere sul dominio all'individuo che sarebbe in grado di leggere le email inviate a quell'indirizzo (soprattutto dal momento che le e-mail non sono esattamente il sistema di comunicazione più protetto di sempre)