<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 20, 2022 at 8:00 AM Antonia Affinito <<a href="mailto:antoniaaffinito12@gmail.com">antoniaaffinito12@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><div>I noticed that, in case of a malicious domain name, some local resolvers send an NXDOMAIN and others a courtesy page address. Do you know if the resolvers (for example TIM, Wind or Fastweb) can return an NXDomain in order to protect their clients? <br></div></div></div></blockquote><div><br></div><div>Howdy,</div><div><br></div><div>From a network engineering perspective, any resolver that responds to an authoritative NXDOMAIN by generating an address for a courtesy page -is- the malicious actor. Doubly so if they lie about the DNSSEC status in the response.<br></div></div><div><br></div><div>Regards,</div><div>Bill Herrin</div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>William Herrin</div><div><a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><a href="https://bill.herrin.us/" target="_blank"><br></a></div><div><a href="https://bill.herrin.us/" target="_blank">https://bill.herrin.us/</a></div></div></div></div></div></div></div></div>