Zeer vage post....
Je hebt een domein dat misbruikt wordt via http(s)? Hoe wordt dit dan misbruikt? Hoe weet je dat? Jij beheerd toch de DNS records?

whitelist op je firewall, of dnscrypt zijn mogelijkheden

In Pi-hole kun je via Groups bepalen wie kan resolven en wie een 0.0.0.0 als IP terug krijgt. Dit werkt alleen voor clients die gebruik maken van Pi-hole als DNS server.

Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.

Nee. DNS is een wereldwijde en openbare database.

Nee.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.

Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.

Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.

Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.

Je kan nog even testen of je dezelfde records terug krijgt als je test via verschillende resolvers (Cloudflare, Google) etc en daar misschien wel een geldig record terug krijgt. Misschien zit er ook nog een verschil tussen A en AAAA records? Of een HTTPS record wat vrij niew is?

Wij gebruiken een eigen DNS server waar groepen op aangemaakt zijn. Verschillende groepen krijgen een ander antwoord op basis van het IP adres. Maar zoals je aangeeft werkt dat lokaal goed bij de apparatuur die de DNS server rechtstreeks benaderd. Als je de server indirect benaderd via een 2e DNS server, zal het IP van de oorspronkelijke opvrager niet bekend zijn.

Ooit van recursive resolvers gehoord? Het kan alleen binnen je eigen kantooromgeving met bijvoorbeeld een split view.

Ik denk dat je een security probleem probeert op te lossen op een verkeerde manier.

Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.

Analyseer de attack-vector en mitigeer dat.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?

Netwerk verkeer

recursion requested but not available

Top, hier kan ik wat mee. Dan is het probleem opgelost.

Als je nou niet wilt leren hoe dingen werken, waarom is een antwoord op een klein onderdeeltje dan nuttig voor je ?

'upstream DNS' . Waarschijnlijk bedoel je een DNS resolver - evt 'full resolver' . De term 'recursor' of 'recursive resolver' wordt ook wel gebruikt voor deze DNS taak.

Die stuurt een query naar de root DNS servers , en krijgt (als het een geldig TLD is), NS records en A-records voor die NS'en terug .
Zo'n A-record voor een NS heet in dat geval een 'glue record' , want anders heb je een kip-ei probleem .

www.google.com A -> root . Antwoord : NS'en voor .com .
www.google A -> NS server voor .com . Antwoord : NS records (en A records) voor google.com .
www.google.com A -> NS server voor google.com : Antwoord : A records voor www.google.com

Dat is kortgezegd de simpele variant van een volledige lookup .

Je resolver zal typisch de NSen van TLDs wel in de cache hebben, dus niet voor elke query naar de roots gaan.

Maar dit soort dingen is ZO makkelijk te vinden - waarom willen mensen op een slow chat forum voorgesneden brokjes krijgen ?

(Trouwens - iemand die misbruik onderzoekt en blijkbaar met TLP te maken heeft (Traffic Light Protocol ? - kleurcodes voor informatie die wel of niet breed gedeeld mag worden ) - leer je vak. DNS kunnen nalopen is een basis ding voor als je misbruik domeinen wilt onderzoeken.

https://securitytrails.com/blog/dns-root-servers:
A. Root servers will return the list of TLD servers so the provider or configured server can again send a query, this time to a TLD server.
B. The TLD server will then return the authoritative name server where the desired domain is stored.
C. This is when the server that made the request sends a query to the authoritative server hosting the zone of the domain in question.
D. Once the request has reached the authoritative server, it will respond to the requesting server with the IP address for jouwbedrijfkes-voorbeeld.nl.

Die rootservers geven voor zover mij bekend nooit het antwoord voor iets van subje.jouwbedrijfkes-voorbeeld.nl, maar alleen waar moet je zijn voor .nl. dan zegt de SIDN dns server waar je voor jouwbedrijfkes-voorbeeld.nl moet zijn en jij haalt jouw antwoord op bij die nameserver (bv. ns.jouwbedrijfkes-voorbeeld.nl). Daarna mag je het wel ff cachen.

Mocht ik ernaast zitten, mogelijk goed toe te lichten hoe het wel werkt.