Im Cryptography Whitepaper befindet sich für Threema Safe folgender Abschnitt
Zitat
User Agent Validation
All requests from a real Threema app contain a user agent header containing the string “Threema”. If the user
agent does not contain that string, HTTP 400 SHOULD be returned by the server.
Dafür erstellt man im Ordner backups (siehe hier) eine .htaccess mit diesem Inhalt