Se você suspeitar que um elemento de rede (como o roteador) esteja truncando ou corrompendo o tráfego de DNS UDP, tente o seguinte:
- Execute a mesma consulta, novamente, com escavação e veja se você também está obtendo FORMERR como o código de resposta. O Dig (com as opções certas) terá um desempenho semelhante ao do servidor recursivo, mas dará mais visibilidade ao processo.
- Se você está obtendo FORMERRs com escavação, tente dig + tcp e veja se o erro persiste (para descartar problemas de UDP)
- Use o Wireshark ou outro sniffer para capturar o que realmente está sendo recebido pelo seu servidor quando ele recorrer para satisfazer uma consulta.
Todos os erros do FORMERR em seu log estão reclamando de referências que não melhoram? O que dig dig dizem está na seção "adicional" das consultas que geram essas mensagens de erro?
Finalmente, você tem zonas de stub ou zonas de forward-first ou forward-only configuradas que você não mencionou?