Se non vuoi che nessuno vicino a te annusi il traffico DNS, puoi utilizzare una VPN per un endpoint affidabile e quindi utilizzare il server DNS lì.
Se vuoi servire i tuoi record DNS in modo sicuro, puoi configurare DNSSec, ma fai attenzione che non tutti i client lo capiscono (di solito non ricadono nell'insicurezza, ma alcuni potrebbero semplicemente fallire).
Se vuoi essere sicuro di non ricevere risposte DNS falsificate, devi configurare l'host in modo che esegua solo le query DNSSec e accetti solo le risposte DNSSec. Sfortunatamente gran parte di Internet non protegge ancora i propri domini con DNSSec, quindi è necessario accettare risposte insicure (e possibili spoofed) o limitarsi alla parte "più sicura" di Internet.
Aiuta anche a utilizzare solo SSL (https) in modo che il nome host nel certificato venga confrontato con il nome nell'URL e si ottengano errori se qualcuno ha spoofato la risposta DNS. Ovviamente ciò dipende dall'architettura PKI più o meno interrotta di Internet (ad esempio, ogni CA può firmare un certificato, nessuna revoca funzionante ...).
O vuoi un server DNS che scherma le risposte in modo da ottenere una protezione da malware rudimentale. Un esempio di questo servizio è aperto.