Por que o domínio de pesquisa em /etc/resolv.conf é usado para TODAS as consultas?

De acordo com muitos guias que encontrei, o domínio de pesquisa em /etc/resolv.conf deve ser usado apenas para consultas sem ponto . No entanto, man resolve.conf diz isso sobre a opção ndots :

sets a threshold for the number of dots which must appear in a name given to res_query(3) (see resolver(3)) before an initial absolute query will be made. The default for n is 1, meaning that if there are any dots in a name, the name will be tried first as an absolute name before any search list elements are appended to it. The value for this option is silently capped to 15.

Isso contradiz as afirmações sobre domínios de pesquisa sendo usados apenas para consultas sem ponto, e também parece ser verdade. Eu notei pela primeira vez acidentalmente usando o tcpdump. Ao resolver, por exemplo, reallynonexistentdomain.com, e meu resolv.conf contém 'search test.com', o resultado são duas consultas: reallynonexistentdomain.com e reallynonexistentdomain.com.test.com. Ambas as consultas obtêm a resposta NXDOMAIN e a resolução parece funcionar como deveria, mas existe alguma maneira de impedir a última consulta? É obviamente falso e (não tem 100% de certeza sobre isso) um potencial risco de segurança.

Quais razões práticas existem para anexar o domínio de busca a um nome de domínio totalmente qualificado (ou mais especificamente, um nome com pelo menos ndots dots)? Eu não consigo pensar em nenhum. Não seria melhor se o resolvedor simplesmente não tentasse usar o domínio de busca quando a consulta original fosse respondida com NXDOMAIN, contanto que tivesse pelo menos ndots dots?

Estou usando o Debian wheezy. O comportamento poderia ser diferente em outras distribuições ou em outros sistemas semelhantes ao UNIX?