Завернуть весь DNS трафик на микротик. Вписать вручную в /ip dns static соответствие хосту который надо заблокировать на что угодно другое, хоть на 127.0.0.1
Как говорили выше - весь днс трафик на микротик, на микротике создаете адрес лист, в котором указываете неугодный домен, пишите правило в цепочке forward на drop всего трафика на основании созданного адрес листа.
микротик автоматически резолвит имя в IP. А блокировка нужна по имени, потому что MS очень хитро размещает телеметрию например на одном сайте с бингом :D