SERVFAIL-Fehler können auf einer ganzen Reihe von Ursachen beruhen, was die Fehlersuche erschwert. Man kann daraus unmittelbar nur schliessen, dass irgendeiner der befragten Server einen Fehler gemeldet hat.
Eventuell lassen sich weitere Details herausfinden, wenn Du die fehlerhafte Domäne über einen öffentlichen DNS-Server anfragst, also z.B.:
dig @1.1.1.1 www.apple.com
Wenn das ebenfalls zu einem SERVFAIL führt, lässt sich aus der Antwort vielleicht ein Grund ableiten.
Beispielsweise würde im folgenden Abschnitt:
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; OPT=15: 00 06 ("..")
;; QUESTION SECTION:
die 06 in der Zeile OPT nach RFC 8914 bedeuten, dass eine DNSSEC-Validierung mit DNSSEC Bogus fehlschlug. Weitere Fehlercodes finden sich im RFC. Neuere Versionen von dig werfen ggf. direkt einen Fehlertext aus.
Wenn über den öffentlichen Server kein SERVFAIL zurückkommt, liegt die Vermutung nahe, dass es sich nur um einen temporären Fehler gehandelt hat, oder dass die FB als Pi-holes Upstream diesen Fehler selbst erzeugt.
Da unbound die für die jeweiligen Domänen zuständigen autoritativen DNS-Server direkt befragt, eliminiert der Einsatz von unbound zwei mögliche Fehlerquellen oder besser Fehlerentstehungsorte:
Zum einen die Fritzbox, und zum anderen die von der Fritzbox beauskunfteten DNS-Server und ggf. dahinterliegende weitere rekursive Resolver.
Generell kann ein SERVFAIL aber auch mit unbound durchaus auftreten (von einem befragten DNS-Server gemeldet werden).
DNS-over-TLS schützt den DNS-Verkehr, indem es diesen verschlüsselt.
Während des Transports wird das Mithören durch Dritte damit erheblich erschwert. Auf dem DoT-DNS-Server liegt aber trotzdem Deine kompletten DNS-Historie vor, da Anfragen dort natürlich wieder entschlüsselt werden. Die DNS-Historie wird dabei regelmässig monetarisiert.
Bei Verwendung von unbound erhält kein einzelner DNS-Server mehr Deine Historie, da immer die zuständigen DNS-Server direkt befragt werden.
Darüber hinaus valiidert unbound (in der von Pi-hole empfohlenen Konfiguration) über DNSSEC (sofern von den befragten Servern unterstützt), ob die DNS-Antworten ggf. manipliert wurden. Mit DoT oder DoH alleine wird diese Validierung nicht abgedeckt.
unbound bietet also einen Gewinn an Privatheit/Datenschutz und eine andere Qualität von Sicherheit gegenüber der Verwendung von DoT in der FB.
Im privaten Heimnetz ist das eine Frage der persönlichen Präferenz.
Die meisten Privatanwender müssen dabei nicht annehmen, dass jemand ihre Leitung abhört und DNS-Anfragen mitliest. Man kann jedoch fast sicher davon ausgehen, dass die eigene DNS-Historie vermarktet wird.
Mit einem Laptop in einem öffentlichen WLAN im Cafe würde ich DoT bevorzugen, dann aber bereits für die Verbindung zwischen Laptop und Router. Für einen solchen Einsatzzweck wäre allerdings prinzipiell eine VPN-Verbindung die bessere Wahl.