以编程方式检查域名是否受到DNSSEC保护。

使用DNS解析器（例如dnspython），您可以查询域名的DNSKEY RRset并打开DO（dnssec OK）查询标志。如果查询成功，则答案将设置AD（已验证的数据）标志，并包含区域（如果已签名）的RRSIG签名。

更新：使用dnspython的基本示例：

import dns.name
import dns.query
import dns.dnssec
import dns.message
import dns.resolver
import dns.rdatatype

# get nameservers for target domain
response = dns.resolver.query('example.com.',dns.rdatatype.NS)

# we'll use the first nameserver in this example
nsname = response.rrset[0].to_text() # name
response = dns.resolver.query(nsname,dns.rdatatype.A)
nsaddr = response.rrset[0].to_text() # IPv4

# get DNSKEY for zone
request = dns.message.make_query('example.com.',
                                 dns.rdatatype.DNSKEY,
                                 want_dnssec=True)

# send the query
response = dns.query.udp(request,nsaddr)
if response.rcode() != 0:
    # HANDLE QUERY FAILED (SERVER ERROR OR NO DNSKEY RECORD)

# answer should contain two RRSET: DNSKEY and RRSIG(DNSKEY)
answer = response.answer
if len(answer) != 2:
    # SOMETHING WENT WRONG

# the DNSKEY should be self signed, validate it
name = dns.name.from_text('example.com.')
try:
    dns.dnssec.validate(answer[0],answer[1],{name:answer[0]})
except dns.dnssec.ValidationFailure:
    # BE SUSPICIOUS
else:
    # WE'RE GOOD, THERE'S A VALID DNSSEC SELF-SIGNED KEY FOR example.com

要查看特定请求是否受保护，请查看请求数据包中的DO标志。无论你使用哪种语言和库来接口DNS，都应该有一个访问器（可能被称为其他名称，如“dnssec”）。
如果你想知道某个区域是否受保护，第一个答案是正确的，但不完整。所述过程将告诉你区域自己的数据是否已签名。为了检查委托到该区域的保护情况，你需要向父区域的名称服务器请求所需区域的（正确签名的）DS记录。