DNS/実装/KnotDNSresolver/policyについて、ここに記述してください。

https://github.com/CZ-NIC/knot-resolver/tree/master/modules/policy

-- Load default policies
modules = { 'policy' }
-- Whitelist 'www[0-9].badboy.cz'
policy:add(policy.pattern(policy.PASS, '\4www[0-9]\6badboy\2cz'))
-- Block all names below badboy.cz
policy:add(policy.suffix(policy.DENY, {'\6badboy\2cz'}))

こんな設定でいいかも。

policy:add(policy.suffix(policy.TC, {'\3com', '\3net'}))

TC=1で問い合わせ直すのはKnot resolverにやってもらいたいのだが。