Que tal usar o OpenDNS como seus forwarders de DNS (e abandonar a porta de saída 53 UDP / TCP para que nenhum "usuário avançado" possa usar seus próprios DNS upstream; obviamente, você desejaria usar o encaminhador de DNS do seu firewall em seus encaminhadores de DNS do SBS ou adicionar uma regra de firewall para permitir que seu servidor do SBS saia na porta 53 UDP / TCP).
Com o OpenDNS, você pode criar uma conta gratuita, verificar seu endereço IP e, em seguida, fazer login e bloquear quantos sites quiser de uma lista pré-configurada (pornografia, jogos de azar etc.) e adicionar seus próprios através do Gerenciar seção de domínios.
Eu tenho usado isso com grande sucesso para vários clientes e algumas casas de familiares também.
O bom do OpenDNS é que eles fazem todo o trabalho duro para manter essa lista (que se tornará rapidamente desatualizada) pela parceria com uma organização de pesquisa de conteúdo (não se lembra qual deles).