dnsmasqは上位のDNSサーバ(upstream server)が分かると自動的に再帰検索してしまう。
デフォルトは/etc/resolv.confを読んでupstream serverを探すようになっている。
再帰検索をやめさせるには/etc/resolv.confを読ませなければいいので、「no-resolv=」と/etc/dnsmasq.confに書けばいい。

そうするとNXDOMAINを返すようになる...と思ったらdigの結果が「REFUSED」となっている。委譲されてるゾーンと違うとNXDOMAINではなくREFUSED?を返すらしい 参考リンク
dnsmasq楽で便利だけどDNSレコードとか知らずに運用できちゃうので*1、勉強したいなら他のDNSサーバ使った方がいいなぁ。