Existe algum motivo específico pelo qual seu servidor precisa responder a consultas externas?
O ideal seria configurar um resolvedor externo para seu resolvedor público (usado para resolver todos os recursos que devem ser acessados externamente: MX, servidor web, etc), usar o servidor DNS do Windows somente para sua rede interna e bloquear todo o DNS recebido consultas no seu perímetro.
No entanto, há uma coisa que você simplesmente não pode evitar: assim que você tiver um servidor DNS que responda a consultas externas, mesmo que seja apenas para seu próprio domínio, ele poderá ser usado em um ataque de rejeição de DNS. Você pode configurá-lo para impedir a amplificação do DNS, mas não para evitar saltos simples. Não deve ser um grande problema, a menos que você esteja recebendo DDoS mesmo.
Editar:
A maneira típica de configurar o dns na estrutura pequena (ish) é a seguinte:
- Você usa um servidor DNS interno dentro do limite de sua rede. Esse servidor só é acessível a partir da rede interna e de hosts e redes com VPN.
- Para resolução externa, você configura o servidor interno para encaminhar consultas para o dispositivo de gateway (geralmente um roteador de modem DLS multiuso) ou diretamente para o servidor DNS do seu provedor. Você DEVE permitir que esse tráfego flua, mas você pode limitá-lo completamente.
- Se você possui um domínio público, use um servidor DNS externo para hospedá-lo (normalmente, pelo menos dois servidores). Esses servidores devem ser configurados para responder a consultas para zonas nas quais eles são autoritários e SOMENTE para essas consultas. (Há muitas ofertas de hospedagem DNS e praticamente todo o hosting de domínio vem com essa oferta).