Ao implementar uma lista negra de DNS usando uma "Zona de Política de Resposta" (RPZ), você pode acabar quebrando o DNSSEC.
Existe uma solução para esse problema, quando você é administrador dos clientes e de todo servidor DNS?
No caso atual, nossos clientes internos Windows e Linux contatam uma camada interna de encaminhamento do Windows e "vinculam" o servidor DNS, antes que as solicitações sejam encaminhadas para o servidor DNS "resolvente" "externo". O filtro RPZ em questão está instalado no último.
Um requisito é que o servidor DNS externo deva continuar a fazer a validação DNSSEC.
Tags bind