En una palabra:
Reenvío: solo pasa la consulta DNS a otro servidor DNS (por ejemplo, su ISP). Los enrutadores domésticos utilizan el reenvío para pasar consultas DNS de los clientes de su red doméstica a los servidores DNS de su ISP. Por ejemplo, para foo.example.com, un servidor DNS de reenvío primero verificaría su caché (ya hizo esta pregunta antes), y si la respuesta no está en su caché, le preguntaría a su reenviador (servidor DNS de su ISP) para la respuesta, que respondería con una respuesta en caché o realizaría una recursión hasta que descubriera la respuesta.
Recursión: el servidor DNS que recibe la consulta se encarga de averiguar la respuesta a esa consulta al consultar de forma recurrente servidores DNS autorizados para ese dominio. Por ejemplo, para foo.example.com, un recurrente primero consultaría a los servidores raíz qué servidores DNS son responsables del TLD .com, luego preguntaría a esos servidores por ejemplo.com, luego consultaría a los servidores, por ejemplo. com para foo.example.com, finalmente obteniendo la respuesta a la consulta original.
En términos de seguridad, debe separar los recurrentes / reenviadores (generalmente servidores DNS utilizados para dar servicio a un grupo de clientes) y los servidores DNS autorizados (generalmente estos son responsables SOLAMENTE de responder consultas sobre dominios para los que tienen autoridad; estos servidores NO funcionarán consultas recursivas para cualquier persona).
Espero que esto aclare las cosas un poco...