DNS/実装/KnotDNSresolver/policyについて、ここに記述してください。

https://github.com/CZ-NIC/knot-resolver/tree/master/modules/policy

{{{
-- Load default policies
modules = { 'policy' }
-- Whitelist 'www[0-9].badboy.cz'
policy:add(policy.pattern(policy.PASS, '\4www[0-9]\6badboy\2cz'))
-- Block all names below badboy.cz
policy:add(policy.suffix(policy.DENY, {'\6badboy\2cz'}))
}}}

こんな設定でいいかも。
{{{
policy:add(policy.suffix(policy.TC, {'\3com', '\3net'}))
}}}

TC=1で問い合わせ直すのはKnot resolverにやってもらいたいのだが。