- Usar versões mais recentes do software DNS
- Se for BIND, ele deve ter sido compilado com –with-openssl=yes –enable-ipv6 –with-ecdsa
- Autorizar a transferência de zona para os ips informados pela STI
- Liberar consultas DNS na porta TCP 53 de acordo com a RFC 7766
- O servidor DNS autoritativo de um domínio público deverá permitir conexões provenientes de qualquer ip para as portas TCP e UDP 53.
- Manter o sistema operacional atualizado