diff --git a/config/docker/caddy/web-app/Caddyfile b/config/docker/caddy/web-app/Caddyfile
index b3b4dec7..21b8d5e9 100644
--- a/config/docker/caddy/web-app/Caddyfile
+++ b/config/docker/caddy/web-app/Caddyfile
@@ -19,18 +19,26 @@
 
 	# Reverse Proxy: Plan-B leitet nur /api/mail an den Mail-Service weiter
 	handle /api/mail/* {
+		@options method OPTIONS
+		handle @options {
+			header {
+				Access-Control-Allow-Origin "https://app.mo-code.at"
+				Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
+				Access-Control-Allow-Headers "Content-Type, Authorization, *"
+				Access-Control-Allow-Credentials "true"
+				Access-Control-Max-Age "3600"
+			}
+			respond 204
+		}
+
 		header {
 			Access-Control-Allow-Origin "https://app.mo-code.at"
 			Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
-			Access-Control-Allow-Headers "*"
+			Access-Control-Allow-Headers "Content-Type, Authorization, *"
 			Access-Control-Allow-Credentials "true"
-			Access-Control-Max-Age "3600"
 			defer
 		}
 
-		@options method OPTIONS
-		respond @options 204
-
 		reverse_proxy mail-service:8085
 	}
 
diff --git a/docs/03_Journal/2026-04-23_Plan-B-Formulare.md b/docs/03_Journal/2026-04-23_Plan-B-Formulare.md
index cd785348..0b3c8ad5 100644
--- a/docs/03_Journal/2026-04-23_Plan-B-Formulare.md
+++ b/docs/03_Journal/2026-04-23_Plan-B-Formulare.md
@@ -86,3 +86,9 @@ Die "Hallo Du!" Test-UI wurde durch produktive, fachlich korrekte Formulare erse
     - Im `Caddyfile` wurde das `defer`-Flag für die Header-Direktive hinzugefügt. Dies stellt sicher, dass Caddy die CORS-Header erst ganz am Ende der Response-Verarbeitung setzt und sie nicht von anderen Direktiven (wie `reverse_proxy`) überschrieben werden können.
     - Radikale Vereinfachung des CORS-Blocks im Caddyfile für maximale Zuverlässigkeit bei Preflight-Anfragen.
 - **Status**: Versionsmarker auf v2026-04-23.22 aktualisiert.
+
+
+### v2026-04-23.23 - CADDY CORS OPTIONS FIX
+- **Problem**: CORS Preflight (OPTIONS) wurde blockiert, vermutlich weil 'defer' Header verzögerte oder 'Access-Control-Allow-Headers' nicht spezifisch genug war.
+- **Lösung**: Caddyfile umgebaut. OPTIONS-Requests werden nun in einem eigenen Handle mit expliziten Headern (inkl. Content-Type) beantwortet, ohne 'defer'.
+- **Status**: Versionsmarker auf v2026-04-23.23 aktualisiert.
diff --git a/frontend/shells/meldestelle-web/src/wasmJsMain/kotlin/at/mocode/frontend/shell/web/WebMainScreen.kt b/frontend/shells/meldestelle-web/src/wasmJsMain/kotlin/at/mocode/frontend/shell/web/WebMainScreen.kt
index c030e714..982c5dbc 100644
--- a/frontend/shells/meldestelle-web/src/wasmJsMain/kotlin/at/mocode/frontend/shell/web/WebMainScreen.kt
+++ b/frontend/shells/meldestelle-web/src/wasmJsMain/kotlin/at/mocode/frontend/shell/web/WebMainScreen.kt
@@ -124,7 +124,7 @@ fun MainAppContent() {
       // Dezentraler Versions-Marker in der unteren rechten Ecke
       Box(modifier = Modifier.fillMaxSize().padding(8.dp), contentAlignment = Alignment.BottomEnd) {
         Text(
-          text = "v2026-04-23.22 - CADDY DEFER CORS FIX",
+          text = "v2026-04-23.23 - CADDY CORS OPTIONS FIX",
           style = MaterialTheme.typography.labelSmall,
           color = Color.LightGray.copy(alpha = 0.5f)
         )