Исключения для DNS-спуфинга
 

Есть межсетевой экран, который осуществляет фильтрацию DNS запросов, проходящих через него, и в случае обнаружения доменного имени подменяет в DNS response адрес сервера на адрес страницы с заглушкой, что, по сути, является DNS спуфингом.
Между пользователем и межсетевым экраном есть промежуточные DNS серверы на Windows Server 2012 R2, на которых в качестве серверов пересылки указан шлюз МСЭ. Соответственно, эти промежуточные DNS серверы распознают спуфинг от МСЭ и эти пакеты отбрасывают, а пользователь вместо страницы-заглушки с указанием причины блокировки видит в браузере ошибку DNS_PROBE_FINISHED_NXDOMAIN, потому что ответа от DNS-сервера не поступает.
Внимание вопрос: можно ли как-то разрешить на Windows DNS Server спуфинг от сервера пересылки?
Я подозреваю, что дело во включенном DNSSEC на Windows Server, но отключать его полностью не хотелось бы, т.к. безопасность в этом случае сильно снижается.
Гугление за несколько дней не дало результата.