Não acho que isso seja possível em nenhum resolvedor de DNS padrão. Além disso: ocultar as respostas do IPv6 dos clientes pode quebrar a validação do DNSSEC, dependendo de se / onde você valida.
Um servidor DNS autoritativo não deve retornar um SERVFAIL quando solicitado pelos dados que não tem, portanto, o problema real é esses servidores. Eu pessoalmente vejo esse mau comportamento muito raramente, mas você parece ver isso com mais frequência. Se houver apenas alguns servidores que se comportam mal assim, pode ser uma boa ideia informar ao operador ou aos titulares do nome de domínio para que possam corrigi-lo.
Alguns firewalls podem processar determinado tráfego sem estado. Você poderia filtrar como
internal DNS cache address port > 1024 <--> * port 53
e torne todo esse tráfego sem estado. Você não perderá muita proteção e seu firewall terá uma carga menor. Para ser honesto, estou surpreso que seu firewall tenha problemas com o tratamento de sessões de consulta DNS. Você nunca especificou qual marca e modelo está usando. Eu fiz isso em um Juniper SRX 210 para um servidor BitTorrent. Se você acha que os pedidos de DNS causam muitas sessões ...; -)
E se tudo mais falhar, você poderia mover o trabalho para um resolvedor de DNS externo. Se você configurar seu cache DNS para encaminhar todas as consultas para um resolvedor externo (os resolvedores do seu provedor de serviços de Internet e o 8.8.8.8/8.8.4.4 vêm à mente), seu cache de DNS não precisará percorrer a própria árvore de DNS, o que diminuirá o número de consultas muito.