Ha rendesen be van állítva ki kérhet le zónát illetve kitől fogad el notify-t és be van állítva a TSIG vagy újabban az XoT (XFR over TLS) akkor nincs probléma.
Alapból amúgy az AXFR nem titkosított tehát ha csak IP-re van szűrve ki küldhet/fogadhat zóna transzfert/notifyt akkor egy MITM támadással hamisítható a zóna tartalma.
De a cikk is azt mondja hogy: " if an administrator forgets to limit which servers can perform a zone transfer, the default SELinux policy prevent updates for zone files"
Ez egy extra védelem a béna Bind adminoknak :)