Ja, ein SERVFAIL ist klar, wenn gar nichts daher kommt. Aber du hattest geschrieben, dass sie langsam sind und teilweise hohe Response Zeiten bis 10 Sekunden haben. Das kann aber nicht sein. Ein kompletter Fail auf TCP schon. So meinte ich das ☺
10 Sekunden hab ich nicht behauptet 😉 Wenn der Recursor auf eine TCP-Antwort wartet, die aber von eurer Firewall discarded wird dauert das eben eine Weile bis der Recursor aufgibt. Euer DNS-Server mag theoretisch schnell geantwortet haben, aber hilft nix, wenn die Antwort ins Nirvana geht^^