Em poucas palavras:
Encaminhamento: apenas passa a consulta DNS para outro servidor DNS (por exemplo, seus ISPs). Os roteadores domésticos usam o encaminhamento para passar consultas DNS dos clientes da sua rede doméstica para os servidores DNS do seu ISP. Por exemplo, para foo.example.com, um servidor DNS de encaminhamento primeiro verifica seu cache (ele já fez essa pergunta antes) e, se a resposta não estiver no cache, solicita ao encaminhador (servidor DNS do seu ISP) para a resposta, que responderia com uma resposta em cache ou executaria recursão até descobrir a resposta.
Recursão: o servidor DNS que recebe a consulta decide descobrir a resposta para essa consulta consultando recursivamente servidores DNS autoritativos para esse domínio. Por exemplo, para foo.example.com, um recursor consultaria primeiro os servidores raiz por quais servidores DNS são responsáveis pelo TLD .com, depois perguntaria a esses servidores por exemplo.com, depois consultaria os servidores por exemplo. com para foo.example.com, finalmente obtendo a resposta para a consulta original.
Em termos de segurança, você deve separar recursores / encaminhadores (geralmente servidores DNS usados para atender a vários clientes) e servidores DNS autoritativos (normalmente, eles são responsáveis APENAS por responder a perguntas sobre domínios que têm autoridade - esses servidores NÃO executam consultas recursivas para qualquer pessoa).
Espero que isso esclareça um pouco as coisas ...