Em poucas palavras:
Encaminhamento: apenas passa a consulta de DNS para outro servidor DNS (por exemplo, o seu ISP). Os roteadores domésticos usam o encaminhamento para passar consultas DNS dos clientes da sua rede doméstica para os servidores DNS do seu provedor. Por exemplo, para foo.example.com, um servidor DNS de encaminhamento primeiro verifica seu cache (já fez essa pergunta antes) e, se a resposta não estiver em seu cache, ele solicitaria ao encaminhador (servidor DNS do seu provedor) para a resposta, que responderia com uma resposta armazenada em cache ou executaria uma recursão até descobrir a resposta.
Recursão: o servidor DNS que recebe a consulta toma para si a tarefa de descobrir a resposta para essa consulta consultando de forma recursiva servidores DNS autoritativos para esse domínio. Por exemplo, para foo.example.com, um recursor primeiro consultaria os servidores raiz sobre quais servidores DNS são responsáveis pelo TLD .com, em seguida, perguntaria a esses servidores por exemplo.com e, em seguida, consultaria os servidores, por exemplo. com for foo.example.com, finalmente obtendo a resposta para a consulta original.
Em termos de segurança, você deve separar recursores / encaminhadores (geralmente servidores DNS usados para atender vários clientes) e servidores DNS autoritativos (normalmente, eles são responsáveis APENAS por responder a consultas re: domínios para os quais são autoritários - esses servidores NÃO executará consultas recursivas para ninguém).
Espero que isso elimine as coisas um pouco ...