Er behandelt ihn nicht als solchen, es ist einer... Der Browser muss das Bild ja irgendwie vom Server bekommen.

Sorry, da habe ich mich wohl unklar ausgedrückt. Dass es ein HTTP-Aufruf ist, ist klar - aber wieso ein "externer"?
Durch das "Allow from www.domain.de" dachte ich, er lässt HTTP-Anfragen der Domain selbst durch...

Das ist meine .htaccess:

<Files>
Order allow,deny
Deny from all
Allow from www.domain.de
</Files>

Wie kann ich es anders lösen?

(PS: Zur Sicherheit, die Dateien liegen in einem gesonderten Verzeichnis, nicht im Root. CHMOD kommt nicht in Frage, da teilweise andere Benutzer selbst Dateien einstellen und ich die nicht jedes Mal "chmod'en" will...)