Changelog
Juli 2026
Cache-Tag-Header entfernen
Eine Zone kann ihre konfigurierten Cache-Tag-Header (z. B. x-cache-tags, xkey) nun aus den Antworten entfernen, bevor sie den Besucher erreichen - bei Cache-Hits, Misses und Bypasses gleichermaßen. Nützlich, wenn außergewöhnlich große Tag-Header wie der xkey-Header von Shopware von nachgelagerten Anwendungen abgelehnt würden. Standardmäßig deaktiviert; aktivierbar in der Karte zur Cache-Key-Anpassung auf der Cache-Seite der Zone oder pro Anfrage über eine Conditional Rule.
Browser-Cache-TTL
Eine Zone kann nun steuern, wie lange Browser die vom CDN ausgelieferten Antworten zwischenspeichern, gesendet als Cache-Control-Direktive max-age. Zur Wahl stehen Von smoxy verwaltet (der Standard), das dem serverseitigen Cache-Ablauf folgt, Kein Browser-Caching oder eine feste Vorgabe zwischen 5 Minuten und 1 Jahr, die die max-age des Origins und die Standard-TTL der Zone überschreibt. Zu finden in der neuen Karte „Browser-Cache-TTL“ auf der Cache-Seite der Zone.
Cache-Key: Variieren nach Request-Header
Der Cache-Key kann nun die Werte benannter Request-Header einbeziehen, sodass eine Anfrage mit Accept-Language: de und eine mit Accept-Language: en separat gecacht werden können. Header-Namen lassen sich unter Header-Wert in der Cache-Key-Karte auf der Cache-Seite der Zone angeben oder pro Anfrage über eine Conditional Rule überschreiben. Die Liste wird beim Speichern normalisiert - Einträge werden getrimmt und Duplikate ohne Berücksichtigung der Groß-/Kleinschreibung entfernt, wobei - und _ als dasselbe Zeichen gelten. Standardmäßig deaktiviert.
Cache-Key: Variieren nach Land
Der Cache-Key kann nun das Land des Besuchers einbeziehen, sodass Besucher aus verschiedenen Ländern separat gecachte Kopien derselben URL erhalten. Das Land wird per GeoIP aus der IP-Adresse ermittelt. Standardmäßig deaktiviert; aktivierbar über Land in der Cache-Key-Karte auf der Cache-Seite der Zone oder pro Anfrage über eine Conditional Rule.
Server-Timing-Header
Eine Zone kann nun einen Server-Timing-Response-Header ausliefern, der die Request-Verarbeitung in einzelne Phasen aufschlüsselt - Edge-Zeit, Origin-Zeit und Cache-Status. Real-User-Monitoring-Tools wie fastmon werten ihn aus, um den Anteil von smoxy an der Seitenlatenz im Browser zu messen. Standardmäßig deaktiviert; aktivierbar auf der Proxy-Seite der Zone.
Redirect Map (Beta)
Eine Zone kann jetzt eine große Liste exakter, pfadgenauer Weiterleitungen direkt am Edge ausliefern. Jede Quelle (host/pfad) wird einem Ziel zugeordnet - mit Modus (Literal, Query erhalten oder Host swap) und Statuscode -, die Liste wird per CSV-Import und -Export gepflegt, und smoxy validiert sie beim Import: Duplikate werden entfernt, Ketten zusammengefasst und Zyklen abgelehnt. Zu finden innerhalb einer Zone unter Konfiguration → Redirects.
Purge nach Inhaltsklasse
Eine einzelne BAN-Anfrage kann jetzt eine ganze Klasse gecachter Inhalte leeren: type: images, type: html oder type: assets. Ganz ohne Tagging-Setup - smoxy klassifiziert jedes gecachte Objekt automatisch. Und type: all ist der neue, dokumentierte Weg, den gesamten Zonen-Cache zu leeren (flushall funktioniert weiterhin).
Interne Response-Header abgeschottet
Die internen s-*-Response-Header von smoxy sind für Besucher nicht mehr sichtbar - sie werden jetzt am Edge entfernt. Der s-cache-Header (HIT/MISS/BYPASS) bleibt öffentlich, und mit aktivierten Debug-Headern bleiben alle internen Header für die Fehlersuche sichtbar.
Verwaltete ignorierte URL-Parameter
smoxy pflegt jetzt eine kuratierte Liste bekannter Tracking-Parameter, die automatisch aus dem Cache-Key entfernt werden: UTM-Tags, Werbe-Klick-IDs wie gclid und fbclid sowie Parameter gängiger Analyse-, E-Mail-Marketing- und Affiliate-Plattformen. Die Liste wird zentral von smoxy aktualisiert und mit den eigenen Ausschlüssen kombiniert; Conditional Rules können sie pro Anfrage übersteuern. Neue Zonen haben die Option standardmäßig aktiviert; bestehende Zonen können sie auf der Cache-Seite einschalten.
Weiterleitungsziele mit Pfad
Ein Weiterleitungsziel ist nicht mehr auf einen Hostnamen beschränkt: Im Modus „Nur Domain" darf es jetzt einen Pfad und Query-String enthalten (z. B. new-domain.com/spring-sale?campaign=relaunch) - jede Anfrage an den Quell-Hostnamen landet dann auf genau diesem Ziel.
Schreibgeschützte API-Tokens
Persönliche Zugriffstokens lassen sich jetzt schreibgeschützt erstellen. Ein schreibgeschütztes Token kann nur Leseanfragen ausführen - jede Schreibanfrage wird abgelehnt - und ist damit die sichere Wahl für Monitoring-, Reporting- und Export-Integrationen.
Automatische DNS-Einrichtung für neue Hostnamen
Wird einer Zone ein Hostname hinzugefügt, der zu einer Domain mit von smoxy verwaltetem DNS gehört, bietet der Hub jetzt an, alle nötigen DNS-Einträge automatisch anzulegen - den Traffic-CNAME und bei automatisch verwalteten Zertifikaten einen fehlenden SAN samt Validierungseintrag. Bestehende Einträge werden nie verändert.
Rate-Limiting für BAN/PURGE-Anfragen
Cache-Invalidierungsanfragen werden jetzt am Edge gedrosselt: Bis zu 5 Anfragen pro Sekunde werden sofort verarbeitet, jede weitere Anfrage wird um 100 ms verzögert. Um alles zu invalidieren, genügt eine einzelne Flush-All-Anfrage statt einer Anfrage pro URL. Der Cache-Clear-Endpunkt der Hub-API erlaubt zusätzlich ein Cache-Clear pro Zone alle 5 Sekunden.
Ein komplett neuer Hub
Am 2. Juli 2026 ist smoxy Hub 2.0 gestartet: Die gesamte Oberfläche wurde von Grund auf neu gestaltet - aufgeräumter, schneller und durchgängig konsistent, vom Dashboard über Regeln bis zur Sicherheit. Alles Gewohnte ist weiterhin da, nur in einer moderneren Umgebung.
Alles sofort finden
Eine neue Suchleiste durchsucht den gesamten Hub von einer Stelle aus. Jede Zone, Domain, jedes Zertifikat oder jede Regel nachschlagen - oder direkt zu einer bestimmten Einstellung springen - mit wenigen Tastenanschlägen.
API-first
smoxy bietet jetzt eine vollständige öffentliche REST-API unter https://api.smoxy.eu. Persönliche Zugriffstokens erstellen, per X-API-TOKEN-Header authentifizieren und alles automatisieren, was im Hub möglich ist - dokumentiert in der API-Referenz.
Verwaltete Sicherheitsszenarien
smoxy pflegt jetzt eine kuratierte, laufend aktualisierte Sammlung von Sicherheitsszenarien - Erkennungsregeln, die Verhalten wie Credential Stuffing, Pfad-Scanning und automatisierte Bot-Angriffe erkennen. Sie sind standardmäßig aktiv und erfordern keinen Aufwand.
Threat Lookup
Jede IP untersuchen - Threat-Score, Netzwerk-Infos und eine Zeitleiste der Szenario-Ereignisse hinter jeder Entscheidung - und direkt darauf reagieren.
Block- und Allowlisten
Pro Zone Block- und Allowlisten von IPs und CIDR-Bereichen verwalten.
Zwei-Faktor-Authentifizierung
Das Konto per 2FA mit jeder Authenticator-App (TOTP) absichern, inklusive einmaliger Wiederherstellungscodes. Organisations-Owner können 2FA für alle Mitglieder vorschreiben.
Ein aussagekräftigeres Zonen-Dashboard
Das Dashboard zeigt deutlich mehr auf einen Blick - sieben KPIs, ein Traffic-Diagramm mit sechs umschaltbaren Ansichten, Ranglisten für Top-Hosts, Statuscodes, Länder und URIs sowie eine Live-Tabelle der neuesten Anfragen - alles über eine flexible Zeitbereichsauswahl von bis zu 30 Tagen.
Aus „Sites" werden „Zonen"
Die wiederverwendbare Konfigurationseinheit, die Hostnamen zugewiesen wird, heißt jetzt Zone. An der Funktionsweise ändert sich nichts - nur der Name. Dokumentation und gesamter Hub verwenden nun durchgängig „Zone".
Geführtes Onboarding
Eine Produkttour stellt Organisationen, Zonen und Hostnamen vor, und eine geführte Einrichtung begleitet die Aktivierung der ersten Zone. Die Tour lässt sich jederzeit über das (?)-Menü erneut abspielen.
Auf der Suche nach älteren Einträgen? Änderungen vor dem neuen Hub sind nach Jahr archiviert: 2026, 2025, 2024.
