Toch nog een paar vragen over 'haveibeenpwned'

Dag,
Naar aanleiding van recente forum topics over gehackte acounts, heb ik de security strategy in huize MicroVAX toch nog eens bekeken. 'haveibeenpwned' toegevoegd aan de routine, nadat ik begreep dat deze site toch echt te vertrouwen is. Elke acount heeft zijn eigen unieke password. Random.org is mijn favoriete psswd generator. En een aantal acounts hebben hun eigen unieke email adres, binnen mijn domein.
Dit gaf toch een paar vragen: Hoe check ik alle email fwrdrs en acounts binnen mijn domein, Dit blijkt 'haveibeenpwned' heel goed te kunnen. Zo makkelijk zelfs dat je de verificatie code alleen maar ff uit de catch-all forwarder hoeft te vissen en dus niet eens een acount hoeft aan te maken om eigendom van het domein te bewijzen.
Toch blijf ik twijfelen aan de security strategie van het hebben van unieke email adressen voor een aantal acounts, ik kon op de interwebs niet echt een goede analyse vinden van deze strategy.
Hopelijk kan iemand er hier iets zinnigs over zeggen.

Dag Kodak, Dank voor je input. Interessant punt. Inderdaad elk denkbaar email adress binnen het domein komt binnen in die ene inbox die als catch-all staat ingesteld. Iemand die zich onrechtmatig toegang verschaft tot die ene inbox, kan dus eigenlijk email adressen aanmaken binnen het domein zonder toegang tot de directadmin van het domein.
Veiliger zou dus zijn om de catch-all een aparte inbox te laten zijn.