Esses erros de encaminhamento de atualização do BIND são seguros para serem ignorados?

Recentemente, substituí meus servidores BIND autorizados do CentOS 5 pelo CentOS 7. Tudo está funcionando bem, mas meus logs mostram algumas estranhezas. Eu uso um mestre oculto e meus servidores de nomes primários e secundários são escravos do mestre oculto.

Meu servidor de nomes principal tem um grande número de entradas como esta no arquivo de log named.run:

08-Apr-2017 08:39:05.785 update-security: error: client 117.239.55.98#50131: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:39:08.500 update-security: error: client 166.171.122.223#38067: update forwarding 'XXY.org/IN' denied
08-Apr-2017 08:39:20.855 update-security: error: client 69.43.159.190#51671: update forwarding 'yyz.com/IN' denied
08-Apr-2017 08:40:01.163 update-security: error: client 117.239.55.98#54976: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:06.379 update-security: error: client 117.239.55.98#65535: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:23.952 update-security: error: client 117.239.55.98#59592: update forwarding 'ABC.COM/IN' denied

Tenho certeza de que esse é um comportamento benigno e esperado porque:

1. meus registros SOA listam meu servidor de nomes principal (não o mestre oculto). Então, isso explica porque o ns1 registra todos esses erros, enquanto o ns2 nunca registra erros como este.
2. Eu não permito permitir atualizações do cliente e o named.conf está configurado como tal.

O que leva a minhas perguntas:

1. É seguro ignorar esses erros?
2. Em caso afirmativo, existe uma maneira de configurar meu registro nomeado para suprimir esses erros, mas ainda registrar outros erros legítimos? A parte relevante do named.conf se parece com isto:

logging {
        channel default_debug {
                file "data/named.run" versions 3 size 5m;
                severity notice;        
                print-time yes;
                print-severity yes;
                print-category yes;
        }; };