Domains

Domain verifizieren

Füge unter Dashboard → Domains einen Hostname hinzu. Wähle eine von zwei Verifizierungsmethoden:

• DNS TXT — füge unter _fixweb.<hostname> einen Record mit dem von uns generierten Token hinzu. Wir lösen ihn von unserem Server aus erneut auf, nicht von deinem, damit SPF / DMARC-Einstellungen nicht stören. Typische Propagation: 1-5 Minuten; wir prüfen 10 Minuten lang alle 30 Sekunden erneut.
• HTTP-Datei — hoste unter /.well-known/fixweb-verification.txt eine kleine Textdatei mit dem Token. Wir rufen sie über HTTPS über den SSRF-geschützten Request-Pfad ab.

Verifizierungen werden täglich vom domain-reverify-Cron erneut geprüft. Wenn eine zuvor verifizierte Domain den Token nicht mehr auflöst (z. B. weil du den DNS-Record entfernt hast), wird die Verifizierung widerrufen und aktive Scans dagegen fallen auf verify_required zurück, bis du ihn wieder hinzufügst.

Geplante Neu-Scans Pro+

Der Pro-Plan kann eine verifizierte Domain mit einer Kadenz von ≥3h erneut scannen; der Unlimited-Plan mit ≥1h. Öffne Dashboard → Domains → Zeitplan, aktiviere den Schalter und wähle eine Kadenz:

• 1 Stunde — nur im Unlimited-Plan verfügbar
• 3h, 6h, 12h, täglich, alle 2 Tage, wöchentlich

Bei jedem Cron-Tick (alle 15 min) nimmt der Scheduler fällige Zeitpläne auf, claimt sie über ein optimistisches compare-and-swap auf next_run_at (damit zwei Crons nicht doppelt einreihen), erhöht deinen Scan-Usage-Zähler und reiht einen frischen passiven Scan ein. Der Scan übernimmt deine Domain-Verifizierungs-Attestation. Du musst also nicht pro Lauf neu bestätigen; deaktiviere den Zeitplan, um sie zu widerrufen.

Nach Abschluss wird die Scan-abgeschlossen-E-Mail über die Einstellung scheduled_scan_email verschickt (verwaltbar unter Konto → Einstellungen).

Live-Bedrohungserkennung Unlimited+

Der Unlimited-Plan überwacht automatisch jede verifizierte Domain auf drei Signale zwischen geplanten Scans:

• Certificate transparency — alle 30 Minuten fragen wir crt.sh nach neuen Zertifikaten ab, die deinen Hostname oder eine Subdomain enthalten. Neue Zertifikate lösen einen new_certificate-Alert aus.
• DNS diff — alle 30 Minuten lösen wir A, AAAA, MX, TXT, NS, CNAME auf und vergleichen mit dem letzten Snapshot. Änderungen lösen einen dns_change-Alert aus.
• Threat-intel — jede Stunde prüfen wir Spamhaus DBL und URLhaus auf Listings des Apex-Hostnamens. Listings lösen einen threat_intel_listing-Alert aus.

Alerts deduplizieren über eine Content-Hash-Signatur, damit dieselbe erneut erkannte Änderung nicht erneut feuert. Du kannst Alerts unter Dashboard → Domains → [domain] → Monitor ansehen / verwerfen. E-Mail-Benachrichtigungen folgen der Einstellung threat_alert_email.

Snapshot-Aufbewahrung

Monitor-Snapshots werden nach 7 Tagen automatisch bereinigt, außer der jeweils neuesten Baseline pro (domain, signal-type)-Paar. Diese bleibt unabhängig vom Alter, damit der nächste Diff korrekt ist. Verworfene Alerts werden nach 90 Tagen gelöscht.

Aus API oder MCP auslösen

Domain-Verwaltung ist derzeit nur über die UI möglich: keine API-Oberfläche für Verifizierung oder Zeitplanänderungen. Um per API einen Scan gegen eine bereits verifizierte Domain zu starten, verwende POST /api/v1/scans:

curl -X POST https://fixweb.app/api/v1/scans \
  -H "Authorization: Bearer fxw_..." \
  -H "content-type: application/json" \
  -d '{"target":"https://example.com"}'