“Grün ist die Farbe der Hoffnung”. Gehört hast du den Satz bestimmt schon mal, aber hast du dich schon mal gefragt, warum das so ist?
In meinem Studium habe ich mich in einer Hausarbeit mit dem Thema Farbwirkung beschäftigt. Konkret ging es dabei um die Kundenpsychologie und wie Farben Gefühle in uns wecken können. Dabei habe ich einige spannende Punkte herausgefunden, die ich dir hier gerne mitteilen möchte 🙂
Es gibt zwei große Thesen, warum wir bestimmte Farben mit bestimmten Dingen in Verbindung bringen. Die eine These vermutet, dass durch unsere kulturelle Prägung Verbindungen zwischen Farben und Emotionen hervorrufen. So verbinden wir in Deutschland beispielsweise die Farbe “Blau” mit Betrunkenen, weil früher die Färber von Wäsche viel Alkohol getrunken haben, um mit Ihrem alkoholisierten Urin eine Reaktion zu erzeugen, die die Wäsche dann blau gefärbt hat (daher kommt übrigens auch der Begriff “Blaumachen”, weil der Job ansonsten größtenteils aus dem Abwarten bestand und die Färber dabei nur rumsaßen 🙂 ).
Die zweite These besagt, dass wir durch evolutionäre Prägung Farben mit bestimmten Emotionen verbinden (beispielsweise “Rot=Wut”, weil eine aggressive Person rot im Gesicht wird). In mehreren Studien hat sich allerdings gezeigt, dass eine Kombination aus beiden Thesen am wahrscheinlichsten zutrifft.
Zu meiner Arbeit habe ich dann eine Umfrage mit ca. 130 Teilnehmer*innen durchgeführt. Dabei wurde beispielsweise die Frage zur Lieblingsfarbe wie folgt beantwortet:
Die Antworten zur persönlichen Lieblingsfarbe
Interessanterweise unterschieden sich die Antworten kaum zwischen Geschlechtern, in dem Dokument am Ende der Seite ist aber noch die Grafik eingefügt.
Die spannendste Frage für meine Arbeit war allerdings diejenige nach den Farbassoziationen zu bestimmten Emotionen. So habe ich Emotionen wie “beruhigend” oder “nervös” vorgegeben und die Teilnehmer*innen sollten anschließend eine Farbe angeben, die sie damit in Verbindung bringen. Dabei kam folgendes Ergebnis zustande:
Antworten zur Farbassoziation bestimmter Emotionen
Man sieht hier anhand der jeweiligen farbigen Balkengröße, wie viele Personen bei der Emotion zu welcher Farbe abgestimmt haben. So kann man die folgenden Farben für die Emotionen herauskristallisieren:
Emotion
Farbe/n
beruhigend
Blau
nervös
Orange
seriös
Grau
bedrohlich
Rot
informativ
Blau
langweilig
Grau
sachlich
Blau, Grau
irrational
Lila
vertrauensvoll
Grün
hinterhältig
Lila
sicher
Blau
skeptisch
Lila
Erfragte Farb-Emotions-Assoziationen
Die meisten dieser Assoziationen sind erklärbar, da vieles durch eine Wechselwirkung miteinander verbunden wird. So ist Blau beispielsweise die häufigste Lieblingsfarbe auf der Welt, da wir vermutlich durch die beruhigende Wirkung von Meer und dem Himmel Blau mit positiven Gefühlen verbinden. Rot dagegen ist sehr polarisierend, da man es sowohl mit Wut als auch mit Liebe assoziieren kann. Grau ist dagegen oft die Farbe des Alters (vermutlich wegen der grauen Haare älterer Menschen). Lila wird oft mit Magischem, Übernatürlichem oder Religiösem verbunden. Grün ist dagegen die Farbe der Natur. Sie wird, ähnlich wie Blau, fast nur mit positiven Dingen assoziiert. Vermutlich kommt auch der Begriff der “Hoffnung” bei Grün von der Natur: So fällt in jedem Winter das Laub der Bäume ab und die tristen Wintertage ermöglichen kaum Ernte. Der Gedanke an das erneute Ergrünen im Frühling bringt somit “Hoffnung” um über den Winter zu kommen.
Insgesamt sind sehr viele Farbassoziationen anhand von solchen Gedankengängen wie der Hoffnung erklärbar. Wenn dich diese Erklärungen im Detail interessieren, kann ich dir das Buch “Wie Farben wirken” von Eva Heller wärmstens empfehlen 🙂
Da die Beschreibung meiner gesamten Hausarbeit den Rahmen hier etwas sprengen würde, findest du unten noch das komplette Dokument.
Endlich nochmal ein Abenteuer erleben trotz Pandemie und Reisewarnungen? Das hat mich dazu bewegt mit meinem Gravelbike das Saarland zu umrunden.
Mit ein paar Taschen für das Fahrrad habe ich mich auf den Weg gemacht, um die ca. 380km mit über 3.500 Höhenmetern in 4 Tagen zu bestreiten. Der Saarlandradweg ist dabei überall sehr gut beschildert, man findet auf der Saarland-Homepage aber auch die GPX-Daten, die man dann über Komoot oder eine andere App zum Navigieren nutzen kann.
Mit meinem Radcomputer und der Strecke versorgt machte ich mich Montags morgens ab Saarburg auf den Weg zum Radweg. Ich bin anschließend gegen den Uhrzeigersinn gestartet um am ersten Abend in Überherren-Berus zu übernachten. So habe ich am ersten Tag zwar nur ca. 83km hinter mich gebracht, dafür aber schon knapp 1500 Höhenmeter – und man war das anstrengend! Abends habe ich mir dann aber noch den Sonnenuntergang beim Europadenkmal in Berus angeschaut.
Am zweiten Tag habe ich mich dann von Berus aus auf den Weg nach Gersheim an der französischen Grenze gemacht. Mit knapp 101km war das die weiteste Strecke für einen Tag, aber auch die mit den wenigsten Höhenmetern. Ungefähr ab Völklingen habe ich dort aber auch etwas Tempo gegeben, da ich durchgehend Rückenwind hatte und es sehr ebenerdig war. Perfekte Bedingungen für den Unterlenker!
Der dritte Tag ging dann von Gersheim nach Bosen am Bostalsee. Der Tag hat leider sehr verregnet gestartet und auch bis zum Schluss so weitergemacht. Das ständige An- und Ausziehen der Regenjacke und Überschuhe war relativ lästig und hat mich nur langsam voran kommen lassen. Die nebeligen Waldwege waren dagegen wirklich schön – wenn auch teilweise wirklich sehr steil und nur geschottert. Aber genau darum heißt meine Fahrradart ja Gravelbike.
Angekommen in Bosen war ich natürlich auch noch zum Abendessen am Bostalsee.
Am letzten Tag ging es dann von Bosen aus zurück nach Saarburg. Das Wetter hatte sich zum Glück gebessert und ich konnte fast ohne Pause die gesamte Strecke durchfahren.
Somit bin ich mit ca. 90km am Tag in 4 Tagen einmal über den Saarlandradweg um das Saarland gefahren.
Im Wald bei Oberweiler gibt es einen wunderschönen Aussichtspunkt. Von dort aus kann man über eine Schleife der Prüm und ein wunderschönes Wald-Tal schauen. In diesem Beitrag beschreibe ich, wie du den Aussichtspunkt findest.
Die Wegbeschreibung
Der Aussichtspunkt befindet sich im Wald kurz hinter Oberweiler:
Direkt an der Hauptstraße von Oberweiler kommend, führt ein Feldweg in den Wald. Von dort aus erreicht man die Stelle fußläufig in ca. 15 Minuten.
Im Wald kommt man nach ca. 15 Minuten an eine Weggabelung. Wenn man an dieser Gabelung steht, sieht man einen Trampelpfad der einen kleinen Hang hinunter zum Aussichtspunkt führt. Von Oberweiler aus kommend sieht das wie folgt aus:
Nach ca. 70 Metern erreicht man dann auch schon die Stelle. Beim Aussichtspunkt selbst liegt ein Baumstamm quer, der perfekt zum Hinsetzen und Ausruhen ist. Man sollte allerdings halbwegs schwindelfrei sein, da es sich um einen natürlichen Aussichtspunkt handelt (es gibt also kein Geländer )
Im ersten Teil dieser Serie haben wir uns angeschaut, wie man einfache Abfragen gegen das Active Directory machen kann. In diesem Teil wollen wir nun herausfinden, was wir für Aktionen mit den User-Abfragen machen können.
Nachdem wir nun wissen, wie wir Benutzer mithilfe des “Get-ADUser” Befehls finden können, können wir uns auch überlegen viele Benutzer beispielsweise in Gruppen zu stecken.
Viele User in eine Gruppe aufnehmen
Nehmen wir an, ich möchte gerne alle Mitarbeiter der Abteilung “IT” in eine Gruppe namens “IT-Mitarbeiter” stecken. Als erstes würde ich mir in diesem Fall gerne mal anschauen, wer momentan in der Gruppe “IT-Mitarbeiter” ist:
Get-ADGroupMember "IT-Mitarbeiter"
Wie kann ich jetzt alle Benutzer der Abteilung in die Gruppe stecken? Dazu muss ich erst herausfinden, was alle User der IT-Abteilung gemeinsam haben. Schauen wir uns doch nochmal an, welche Attribute es innerhalb eines Benutzers gibt:
Get-ADUser "LLange" -Properties *
#Zur Wiederholung: mit -Properties * zeige ich mir alle Attribute des Users an
Hier findet sich ein Attribut namens “Department”! Department ist die englische Übersetzung für Abteilung, hier steht bereits “IT” bei allen Benutzern drin.
Was gilt es also nun zu tun? Richtig, alle User anzeigen lassen, bei denen “IT” in Department eingetragen ist. Dazu benutzen wir die Vergleichsoperatoren aus dem ersten Teil:
Get-ADUser -Filter {Department -eq "IT"}
#Zeige Alle User, deren Attribut Department IT entspricht
Nun haben wir eine Liste mit Usern, die wir gerne in die Gruppe aufnehmen wollen. Da wir bereits den Befehl “Get-ADGroupmember” kennen, suchen wir doch einfach mal nach weiteren ähnlichen Befehlen. Dazu gibt es in der Powershell den Befehl “Get-Command”, um alle verfügbaren Befehle anzuzeigen
Get-Command
#Um direkt spezifischer zu suchen, kann ich auch einen gewünschten Befehl anzeigen lassen:
#Der Befehl wird vermutlich irgendetwas mit "ADGroup" heißen, deshalb suche ich mit Sternchen nach dem Befehl:
Get-Command *ADGroup*
Hier gibt es einen Befehl “Add-ADGroupMember”, das klingt doch perfekt! Wir können also alle User abfragen und anschließend mit der Pipe an den zweiten Befehl weiterreichen. Schauen wir uns mal die Hilfe zu dem Befehl an:
Get-Help Add-ADGroupMember
<#
SYNTAX
Add-ADGroupMember [-Identity] <ADGroup> [-Members] <ADPrincipal[]> [-AuthType {Negotiate | Basic}] [-Credential <PSCredential>] [-Partition <String>] [-PassThru] [-Server <String>] [-Confirm] [-WhatIf] [<CommonParameters>]
BESCHREIBUNG
The Add-ADGroupMember cmdlet adds one or more users, groups, service accounts, or computers as new members of an Active Directory group.
The Identity parameter specifies the Active Directory group that receives the new members. You can identify a group by its distinguished name (DN), GUID, security identifier (SID) or Security Accounts Manager (SAM) account name.
You can also specify group object variable, such as $<localGroupObject>, or pass a group object through the pipeline to the Identity parameter. For example, you can use the Get-ADGroup cmdlet to get a group object and then pass the
object through the pipeline to the Add-ADGroupMember cmdlet.
The Members parameter specifies the new members to add to a group. You can identify a new member by its distinguished name (DN), GUID, security identifier (SID) or SAM account name. You can also specify user, computer, and group
object variables, such as $<localUserObject>. If you are specifying more than one new member, use a comma-separated list. You cannot pass user, computer, or group objects through the pipeline to this cmdlet. To add user, computer,
or group objects to a group by using the pipeline, use the Add-ADPrincipalGroupMembership cmdlet.
#>
Der vorletzte Satz macht uns leider Probleme. “You cannot pass user, computer, or group objects through the pipeline to this cmdlet.” Das bedeutet, wir müssen uns einen anderen Befehl suchen. Aber zum Glück wird uns der Befehl auch direkt im letzten Satz verraten. “To add user, computer, or group objects to a group by using the pipeline, use the Add-ADPrincipalGroupMembership cmdlet.”
Super! Also schauen wir uns davon mal die Hilfe an:
Und schwupps, sind alle IT-Mitarbeiter Mitglied der Gruppe 🙂 Kontrollieren können wir das natürlich nochmal mit der Abfrage vom Anfang. Hier sollten jetzt alle User zu sehen sein.
Alle Gruppenmitglieder in eine weitere Gruppe aufnehmen
Nehmen wir an, Mitglieder von GruppeA müssen alle auch Mitglied von GruppeB werden. Auch das können wir ganz bequem mit den uns bekannten Befehlen machen:
Get-ADGroupmember "GruppeA" | Add-ADPrincipalGroupMembership "GruppeB"
#Die Ausgebe von allen Mitgliedern von GruppeA wird an den Befehl "Add-ADPrincipalGroupMembership GruppeB" übergeben
Das ging sehr schnell! Was aber wenn wir Mitglieder von einer Gruppe in mehrere Gruppen aufnehmen wollen? Muss ich den Befehl jetzt viele Male ausführen? Schauen wir uns dazu nochmal die Hilfe des Befehls an:
Get-Help Add-ADPrincipalGroupMembership
<#
BESCHREIBUNG
The Add-ADPrincipalGroupMembership cmdlet adds a user, group, service account, or computer as a new member to one or more Active Directory groups.
#>
Super, also kann ich meinen Befehl einfach mit mehreren Gruppen angeben! So kann ich mit einem Befehl alle Mitglieder einer Gruppe in beliebig viele andere Gruppen aufnehmen.
Get-ADGroupmember "GruppeA" | Add-ADPrincipalGroupMembership "GruppeB","GruppeC","GruppeD"
# Die Mitglieder von GruppeA werden Mitglied in GruppeB, GruppeC und GruppeD
Viele AD-Objekte auf einmal bearbeiten
Im nächsten Schritt fällt uns auf, dass bei keinem User das Attribut “City” gesetzt ist. In diesem Attribut sollte aber eigentlich die Stadt des Benutzers eingetragen sein. Deshalb entscheiden wir uns dazu, das Attribut bei allen Usern zu setzen. Über den Get-Command Befehl habe ich nach *ADUser* gesucht und den Befehl “Set-ADUser” gefunden:
Get-ADUser -Filter * | Set-ADUser -City "Bitburg"
#Durch -Filter * werden alle User abgerufen und werden per Pipe an den Befehl "Set-ADUser" weitergegeben
Seit der Powershell in Windows 10/Server 2016 gibt es auch die Möglichkeit die Schalter des Befehls anzuzeigen. Dazu schreibst du den Befehl den du benutzen möchtest und ein “-” und drückst anschließend STRG+LEERTASTE. Daraufhin werden dir alle möglichen Schalter angezeigt. Durch die verschiedenen Möglichkeiten kannst du dann einfach mit der TAB-Taste scrollen:
Auf diesem Weg musst du dir oft nicht erst die komplette Hilfe eines Befehls anzeigen lassen um die nötige Einstellung zu finden.
SPF, DKIM und DMARC einrichten: Spätestens seit Emotet und den fast täglich ankommenden Rechnungen die angeblich von Amazon stammen, ist es sinnvoll sich dem Thema Email Authentifizierung zu widmen. In diesem Artikel versuche ich etwas Licht in die Zusammenhänge zu bringen.
Wie können Absender/ Empfänger überhaupt gefälscht werden?
Dazu müssen wir kurz einen Schritt zurück gehen und eine theoretische Situation betrachten:
Stell dir vor du schreibst eine Postkarte. Dort schreibst du als Absender “Angela Merkel” drauf, als Empfänger “Max Mustermann“.
Diese Postkarte legst du nun in einen Briefumschlag und klebst ihn zu. Was musst du nun auf diesen Briefumschlag schreiben, damit du ihn verschicken kannst? Richtig: Einen Absender und einen Empfänger.
In meinem Beispiel adressieren wir den Brief an Bob in der Musterstraße 17. Damit der Briefumschlag nun auch bei Bob ankommt, musst du logischerweise auch die richtige Adresse angeben. Wie soll die Post ihn sonst richtig abgeben? Den Absender dagegen, kontrolliert beim Absenden niemand. Selbst wenn du dort als Absender Luke Skywalker in der Sternenstraße 42 drauf schreibst, ist die Wahrscheinlichkeit groß, dass der Brief an Bob zugestellt wird.
Der Brief kommt nun bei Bobs Briefkasten an. Sein Sekretär packt den Brief für ihn aus und schmeißt den Briefumschlag weg. Bob erhält also nur die Postkarte, schaut sie sich an und wundert sich:
Auf der Postkarte stehen seltsame Empfänger und Absender. Der Empfänger der auf dieser Postkarte zu sehen ist, ist doch überhaupt nicht Bob. Warum ist diese Postkarte nun bei Bob angekommen? Und warum schickt Angela Merkel diese Postkarte ab?
Jetzt hast du einen Überblick darüber, wie E-Mails aufgebaut sind und wo das Problem liegt.
Die verschiedenen Absender- und Empfänger-Felder
Bei E-Mails haben wir das gleiche Prinzip. Eine E-Mail hat einen Envelope (Briefumschlag) mit Empfänger und Absender. Der Envelope wird zum Zustellen von den Mailservern genutzt (in unserem Beispiel die Post). Dein E-Mail Programm (Sekretär) blendet diesen Teil dann für dich aus. Die Empfänger und Absender die du nun in deinem Mail-Programm siehst, sind diejenigen des Mail-Headers (Postkarte).
Hier findest du nun die Namen der Felder, wie du sie oft vorfinden wirst:
Name aus Beispiel
SMTP-Name
Envelope Absender
MAIL FROM: (Envelope-From, Return-Path, …)
Envelope Empfänger
RCPT TO:
Header Empfänger
To
Header Absender
From
Du siehst also, es gibt nur eine einzige Adresse, die man nicht fälschen kann: die Envelope Empfänger Adresse (Die Empfänger-Adresse des Briefumschlag). Denn wenn man diese falsch angeben würde, kommt die Mail nicht beim gewünschten Empfänger an. Alle anderen Adressen könnte man theoretisch beliebig fälschen!
Um nun sicher zu stellen, dass beide Absender-Adressen (Envelope und Header) meiner Domain nicht gefälscht werden können, brauche ich zwei verschiedene Werkzeuge.
SPF (Sender Policy Framework)
SPF schützt die Envelope (Briefumschlag) Absender Adresse. Das ist also die Adresse, die der Mailserver betrachtet. Die Idee hinter SPF ist relativ einfach: Ich nenne bestimmte Server denen ich erlaube unter meiner Domain Mails zu versenden. Das mache ich, indem ich einen DNS-Eintrag für meine Domain veröffentliche. Ich erzeuge einen sogenannten TXT-Record und gebe dort beispielhaft folgendes an:
IPv4 Adresse (bzw. Bereich, wenn ein Bereich nach dem / folgt)
include:
Ich inkludiere einen weiteren SPF-Eintrag In diesem Beispiel dürfen also alle Outlook-Server ebenfalls Mails für diese Domain versenden
-all
Was soll passieren wenn die Mail nicht von einem erlaubten Server kam -all = Ablehnen ~all = Softfail ?all = Nichts unternehmen
Gerade Include: Einträge machen es leicht SPF einzurichten, da ich so einem E-Mail Dienstleister die Verwaltung meines SPF-Eintrags übertragen kann. So kann ich z.B. sagen “Outlook Online verwaltetet meinen SPF-Eintrag, schaut dort nach”. In einem SPF-Eintrag dürfen allerdings maximal 10 DNS-Anfragen vorkommen. In meinem Eintrag oben ist nur eine DNS-Anfrage enthalten, nämlich auf spf.protection.outlook.com. Würden aber hinter diesem Outlook-DNS-Eintrag nochmal 2 include Einträge stecken, wäre mein SPF-Eintrag schon bei insgesamt 3 DNS-Anfragen.
Eine super Seite um sich das im Detail anzeigen zu lassen, ist emailstuff.org. Dort kann man unter Authentication/SPF den eigenen Domainnamen eingeben. Anschließend überprüft die Seite, ob der Record gültig ist.
Du kannst aber natürlich auch jederzeit selbst eine DNS-Anfrage machen. Eine sehr einfache Seite dazu ist http://kloth.net/ . Dort musst du oben auf TXT umstellen und findest anschließend den SPF-Eintrag:
DKIM (Domain Key Identified Mail)
DKIM schützt ebenfalls die Envelope (Briefumschlag) Absender Adresse. Dazu wird ein kleines Programm auf deinem Mail Server installiert, welches ausgehende Mails signiert. Das kannst du dir so vorstellen:
Als erstes wird die Mail generiert. In dem Header der Mail stehen jetzt schon viele verschiedene Dinge, wie die beiden Absender-Adressen, welches E-Mail Programm du nutzt, wie groß die Mail ist, … viele Informationen halt 🙂
All diese Informationen werden jetzt mit einem privaten Schlüssel eines Zertifikats signiert. Diese Signatur wird ebenfalls in den Header der Mail eingefügt. Der öffentliche Schlüssel dieses Zertifikats wird nun ebenfalls als DNS-Eintrag in deiner Domain veröffentlicht. Wenn du also jetzt eine Mail versendest, wird diese im Header automatisch mit deinem eigenen privaten Schlüssel signiert.
Der Empfänger sieht jetzt diese Mail und bemerkt den signierten Header-Teil. Er schaut in deinem DNS nach, ob er dort den öffentlichen Schlüssel dazu finden kann. Wenn er den signierten Teil mit dem öffentlichen Schlüssel entschlüsseln kann, weiß er, dass diese Mail wirklich von deinem Mailserver kam.
DKIM baut dabei auf sogenannte “Selectors”. So kannst du beispielsweise auf deinem Mailserver im DKIM-Programm mehrere Selectors anlegen, die unterschiedliche Namen haben und unterschiedliche Zertifikate benutzen.
Falls du dich fragst warum: Wir benutzen hierbei Zertifikate, die natürlich irgendwann mal ablaufen. Wenn das Zertifikat von Selector1 getauscht werden soll, kann ich in der Zeit einfach auf Selector2 umstellen. Ab dann werden alle Mails mit dem Selector2 signiert und ich kann in der Zwischenzeit in aller Ruhe Selector1 austauschen. Würde ich diesen Schwenk auf Selector2 nicht vorher machen, würde in der Zeit, in der ich das Zertifikat von Selector1 tausche, die Mails nicht signiert werden. Somit würde die Mail für meine Empfänger gefälscht aussehen!
In dem Mail-Header siehst du aber sofort, welcher Selector zum Signieren genutzt wurde. Deshalb brauchst du auch den Selector und den Domain-Namen, um einen DKIM-Record zu kontrollieren. Im Header sieht das dann wie folgt aus:
Hinter dem s= siehst du den Namen des DKIM Selectors. Hinter d= siehst du diejenige Domain, die im Header-FROM (Postkarte, die sichtbare E-Mailadresse) Teil angegeben wurde. Somit kannst du selbst diesen Record überprüfen, indem du z.B. bei Emailstuff.org unter Authentication DKIM auswählst und dann dort nach dem Selector strato-dkim-0002 und der Domain lukaslange.de suchst. Präsentiert wird dir der öffentliche Schlüssel, den Strato veröffentlicht hat und mit dem diese Mail signiert wurde 🙂 Genau das macht dein E-Mail Server dann automatisch für dich und schreibt es anschließend in den Authentication-Results Teil des Headers.
Ein DKIM Record im DNS ist wie folgt aufgebaut:
SELECTORNAME._domainkey.domainname.de
In meinem Beispiel von oben findest du den Record also unter:
strato-dkim-0002._domainkey.lukaslange.de
Der DKIM Selector für lukaslange.de
Super! Nun könnte man meinen, dass alles sicher ist! Aber was soll ein Empfänger machen, wenn SPF nicht stimmt, aber DKIM? Oder was soll er machen, wenn DKIM stimmt, aber SPF nicht?
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Mit DMARC kommt nun das letzte wichtige Konzept ins Spiel: Das sogenannte “Domain Alignment”. DMARC erfordert eine Domain-Übereinstimmung über SPF oder DKIM.
Damit SPF übereinstimmt, muss die versteckte Envelope-From (Briefumschlag) und die sichtbare Header-From (Postkarte) Domain übereinstimmen.
Damit DKIM übereinstimmt, muss die sichtbare Header-From (Postkarte) und die DKIM d= Domain übereinstimmen.
Wie SPF und DKIM baut auch DMARC auf einem DNS-Eintrag auf. Ein DMARC Record sieht dabei wie folgt aus:
Policy – Was soll passieren? none = Nichts unternehmen reject = Ablehnen quarantine = In die Quarantäne verschieben
pct=100
Auf wie viel Prozent der Emails soll das angewandt werden?
rua
Eine Adresse an die aggregierte Berichte gesendet werden sollen
ruf
Eine Adresse an die forensische Berichte gesendet werden sollen
fo=1
Failure reporting 1 = Generiere einen Fehler-Report wenn irgendeine Authentifizierungs-Methode fehlschlägt
sp=none
Subdomain Policy Ist relevant wenn auch von Subdomains gesendet wird (z.B. blog.lukaslange.de oder shop.lukaslange.de). Hier kann angegeben werden ob die Policy für die Subdomains gleich gilt
aspf=r
SPF Regelwerk r= relaxed
Über die DMARC Regeln kannst du also ganz genau sagen, was dein Empfänger machen soll, wenn etwas fehlschlägt.
Praktisch ist dabei, wenn man p=none für den Anfang aktiviert. Dadurch nimmt der Empfänger trotzdem jede E-Mail von dir an, selbst wenn SPF oder DKIM nicht stimmt. Durch die Adressen die bei rua und ruf angegeben sind, wird jedesmal eine Email mit einem kleinen Report an diese Adressen gesendet. Auf diesem Weg kannst du also kontrollieren, ob es vielleicht noch andere Adressen oder Anbieter gibt, die unter deiner Domain E-Mails verschicken. Je nachdem kann es sich dabei um Fälscher handeln, oder natürlich auch echten Dienst-Anbietern (Z.B. Ein Newsletter-Anbieter der in deinem Namen Mails versendet!)
Bei den Forensichen Reports solltest du aber unbedingt auf die Vereinbarkeit mit der DSGVO achten. Hierbei werden teilweise die Mails als Anhang an die Adresse gesendet. Da momentan sowieso viele Report-Sender nur die zusammengefassten Reports (Aggregate Reports) versenden, empfehle ich deshalb gerne, die ruf-Adresse nicht zu setzen.
DMARC DNS-Records sind immer wie folgt aufgebaut:
_dmarc.domainname.de
In meinem Beispiel also:
_dmarc.lukaslange.de
Der DMARC Eintrag für lukaslange.de
Die Reports, die an diese Adressen gesendet werden, enthalten dabei immer XML-Dokumente. In diesen XML-Dokumenten findest du dann die Authentication-Stati einzelner Mails.
Lesbarkeit der DMARC XML-Reports
Die XML-Dateien werden teilweise doppelt gezippt und so an die Empfänger-Adresse gesendet. Somit ist die Lesbarkeit und Analyse dieser Sender wirklich sehr schwierig. Glücklicherweise gibt es aber diverse Anbieter, die dir die Reports automatisch aufbereiten. In meinem DMARC-Record siehst du oben schon angedeutet, dass ich dmarc.postmarkapp.com nutze. Der Dienst ist völlig kostenlos und kann einfach auf der Seite angefordert werden.
Dazu musst du deinen Domainnamen dort angeben und anschließend die angezeigte E-Mail Adresse mit in deine rua Adressen aufnehmen. Anschließend werden dir wöchentlich leicht lesbare Reports zugesandt, die dir auf einen Blick alles verraten.
Für Office 365 Kunden gibt es sogar ein kostenloses Angebot mit einem eigenen Dashboard, von der Firma Valimail. Das Prinzip ist das gleiche, man muss ebenfalls Domains einrichten und dann im eigenen Record die rua Adresse von Valimail hinzufügen.
Empfangen von Reports anderer Domains
Gerade wenn du mehrere Domains hast, kann es gut sein, dass du gerne eine zentrale Mailadresse verwenden möchtest, um alle Reports zu erhalten. Damit das aber möglich ist, musst du von der empfangenden Domain aus dein Okay dazu geben.
Nehmen wir als Beispiel den Dienst-Anbieter postmarkapp.com. Wenn ich in meinem DMARC-Record angebe, dass die Mails an die Adresse in dieser Domain gesendet werden sollen, würde das nicht ohne weiteres funktionieren. Damit das aber doch möglich ist, muss dmarc.postmarkapp.com nochmal einen DNS-Record für meine Domain veröffentlichen. Der ist dabei wie folgt aufgebaut:
meinedomain.de._report._dmarc.reportdomain.de
In diesem Beispiel also:
lukaslange.de._report._dmarc.postmarkapp.com
Diejenige Domain, die Reports von meiner Domain erhalten soll, erlaubt das also durch einen DNS-Eintrag in der meine Domain angegeben ist.
SPF, DKIM und DMARC zusammen
Wir haben nun erfolgreich alle Authentisierungs-Verfahren eingerichtet. Was passiert nun, wenn jemand meine Domain als Absender fälscht?
Fälscht der Angreifer den Absender im Envelope-Absender (der Briefumschlag, also die Adresse die hauptsächlich vom Server genutzt wird) mit meiner Domain, überprüft der Empfänger im SPF Record, ob dieser Server überhaupt unter dieser Domain senden darf. Da der Angreifer das natürlich nicht darf und sein Email Server nicht in meinem SPF Record steht, wird SPF=Fail registriert. Ist kein Record vorhanden, wird SPF=none registriert.
Fälscht er den Absender in der Header-Absender (die Postkarte, also die Adresse die der User im Programm direkt sieht), gibt es drei Möglichkeiten. DKIM=pass, DKIM=fail und DKIM=none
Der Empfänger prüft, ob eine DKIM Signatur vorhanden ist. Wenn ja, wird geprüft ob der passende Record auch vorhanden ist. Ist er vorhanden und die Signatur passt, wird DKIM=pass angegeben. Ist er vorhanden, aber die Signatur stimmt nicht überein, wird es DKIM=fail. Wird aber überhaupt keine DKIM Signatur mitgesendet, wird es DKIM=none.
Jetzt wird der DMARC Record wichtig. Wie du dir sicher schon denken kannst, gäbe es ohne DMARC ein Problem. Denn dann könnte der Angreifer die Mail einfach wie folgt aufbauen:
Absender-Adresse
Wert
Envelope-From
Angreifer@AngreiferDomainMitSPF.de
Header-From
Chef@meinedomain.de
Was passiert nun? Der Empfänger schaut im Envelope-From (Briefumschlag) und findet dort die Domain AngreiferDomainMitSPF.de. Er schaut also bei AngreiferDomainMitSPF.de nach, ob es einen SPF-Record dafür gibt. In diesem Fall gibt es den und unter dieser Domain darf der Angreifer auch von diesem Server aus senden. Somit wird SPF=Pass!
Der Header-From ist hierbei also die gefälschte Adresse. Dort steht jetzt meine Domain drin, aber es wird keine DKIM Signatur gemacht. Somit wird DKIM=None
Der Angreifer hat also SPF=PASS und DKIM=NONE. Ohne DMARC weiß der Empfänger aber nicht, dass das ein Problem ist!
Nur wenn mein DMARC-Record jetzt vorhanden ist, gilt die Mail als richtig wenn SPF ODER DKIM auf Pass stehen, damit DMARC=Pass wird.
Ich hoffe der Beitrag hat dir geholfen die Thematik besser zu verstehen. Schreibe mir gerne einen Kommentar wenn du Fragen oder Anregungen hast!
Der OneDrive Sync Client unter Windows hat eine Fehlermeldung mit dem Code 0x800701AA ausgegeben. Dabei war Files On Demand aktiv und die Dokumente als “Cloud Only” Dokumente vorhanden. Nach mehreren Recherchen und Lösungs-Ansätzen hat es schließlich nur geholfen den OneDrive Client einmal komplett zu deinstallieren und neu zu installieren.
Dazu kann man wie folgt vorgehen:
Die Synchronisation aller Teamsites und OneDrive im Client beenden
Wenn wir versuchten die Windows 10 Spotify App zu starten, erschien immer der folgende Fehler:
Anfangs etwas ratlos, wussten wir nicht woran es liegen könnte. Es schien, als wäre der Fehler bei allen Windows 10 Apps vorhanden, die auf das Internet zugreifen. Reine offline-Apps funktionierten.
Mithilfe von Procmon.exe haben wir festgestellt, dass ein Dienst (svchost.exe) auf die Datei C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.84.344.0_x86__zpdnekdrzrea0\SpotifyMigrator.exe zugreift. Es wurde anschließend ein Zugriffsfehler beim Lesen des Ordners C:\Users\USERNAME\AppData\Local\Microsoft\Windows\Temporary Internet Files gemeldet.
In einer Testumgebung wurde dieser Pfad allerdings überhaupt nicht angefragt, weshalb die Vermutung nahe lag, dass es sich um eine alte Gruppenrichtlinie handelte. Der Ordner “Temporary Internet Files” wurde bis Windows 8 als Standard genommen, seit dem ist er aber unter:
Wir haben den Fehler also gefunden! Nach einer kurzen Google-Recherche stellte sich heraus, dass die Cache Ordner in der Registry an folgenden Stellen angegeben werden:
Bei den Problem-Rechnern (bzw. Usern) war hier der Ordner “Temporary Internet Files” angegeben, der eigentlich von modernen Browsern nicht mehr genutzt werden sollte.
Wie finde ich nun heraus, welche GPO diese Einstellung setzt?
Öffne eine Kommandozeile (CMD.EXE) und generiere darüber einen Bericht der angewendeten Gruppenrichtlinien mit folgendem Befehl:
gpresult /H c:\gpresult.html
Es wird eine HTML-Datei unter c:\gpresult.html angelegt. Hier gibt es jetzt relativ weit oben irgendwo die Möglichkeit auf “Alle Einblenden” zu klicken. Du solltest also nun alle Einstellungen sehen, die gesetzt werden. Am besten nutzt du nun die Suchfunktion deines Browsers, indem du STRG+F drückst. Wenn du jetzt nach dem fehlerhaften Pfad suchst, solltest du direkt an die Stelle springen, wo die Einstellung gesetzt ist. Darüber findest du dann den Namen der GPO und kannst es entsprechend anpassen.
Viele der täglichen Arbeiten eines Administrators im Active Directory lassen sich mit der Powershell schneller erledigen als über viele Klick-Wege in der GUI. Allerdings besteht oftmals eine gewisse Angst davor Massen-Aktionen auszuführen. In diesem Artikel möchte ich allen interessierten schildern, wie man sich Schritt für Schritt der Verwaltung mit der Powershell nähern kann (bzw. aufzeigen wie ich mich selbst rangetastet habe). Etwas beruhigendes vorweg: Wir arbeiten im ersten Part nur mit “Get-” Befehlen. Allgemein kannst du dir merken dass ein Get-Befehl keine Auswirkungen haben kann, solange nirgends in dem Befehl ein “Set-” oder “Update-” steht.
Hinweis: Dieser Text ist als Fließtext geschrieben, du kannst aber natürlich auch einfach zwischen den Code-Snippets und den Überschriften hin und her springen.
Anzeigen eines AD-Users
Nehmen wir als erstes Beispiel die Abfrage eines AD-Users. Üblicherweise auf einem Domaincontroller oder einem Computer auf dem die RSAT-Tools installiert sind, gibt es die Konsole “Active Directory Users & Computers”. In dieser GUI würde mich der Weg jetzt über mehrere Klicks und Suchen führen; und das obwohl ich sogar weiß dass der User den ich suche LLange heißt. Ich öffne also das Startmenü, suche nach “Active Directory Users & Computers”, klicke dort oben auf das Suchen Symbol und geben anschließend den Usernamen ein.
Sind die RSAT-Tools auf dem Computer installiert, oder handelt es sich um einen Domaincontroller, sind aber auch die Powershell-Module für die Active Directory Verwaltung installiert. In der Powershell kann ich also ebenfalls Infos zu einem User anzeigen. Das erledige ich mit dem einfachen Befehl “Get-ADUser”:
Get-ADUser -Identity "LLange"
Diesen Befehl kann ich sogar noch weiter kürzen:
Get-ADUser -Identity "LLange"
# den Schalter -Identity kann man weglassen, da es der Standard Input ist
Get-ADUser "LLange"
# Drückt man die TAB-Taste, kann man Befehle automatisch vervollständigen lassen. So tippe ich nur noch folgendes:
Get-ADU<#TAB-Taste#> "LLange"
Was wird mir nun angezeigt? Nur wenige Attribute des AD-Users (DistinguishedName, SAMAccountName, UserPrincipalName etc). In Wirklichkeit gibt es aber natürlich noch viel mehr Attribute eines Users, die ich natürlich ebenfalls explizit mit anzeigen kann. Dazu gebe ich den Parameter -Properties gefolgt von dem gewünschten Attribut mit. In diesem Beispiel lasse ich zusätzlich die Mailadresse und das Erstellerdatum des Users anzeigen:
Get-ADUser "LLange" -Properties mail, whencreated
Was aber tun, wenn man nicht weiß wie das gewünschte Feld heißt? In traditioneller Trial & Error Methode, lassen wir uns einfach alle Attribute des Users anzeigen:
# Das Stern-Symbol ist eine sogenannte Wildcard. Gibt man nichts außer dem Stern an, ist es gleichzusetzen mit "Alles"
Get-ADUser "LLange" -Properties *
Jetzt sieht man natürlich einiges 🙂 Wir können aber einfach schauen welche Attribute für uns interessant sind und anschließend nur die für uns wichtigen Attribute anzeigen. Dazu nutzen wir die sogenannte Pipe | (Falls du das Symbol noch nicht genutzt hast, auf der deutschen Tastatur findest du es auf der Taste der spitzen Klammern < > ). Pipe heißt übersetzt Rohr und soll symbolisieren was dieses Symbol macht.
Pipe zum Weiterleiten von Befehls-Outputs
Im Normalfall geben wir etwas in eine Konsole ein und die Konsole gibt uns anschließend wieder etwas aus. Was aber wenn mich aber der Output dieses ersten Befehls nicht interessiert, sondern ich nur das was ich dort herausgefunden habe weiterverarbeiten möchten? In diesem Fall kann ich den Output eines Befehls mit der Pipe (dem Rohr) an einen weiteren Befehl weiterleiten. Ein sehr einfaches Beispiel ist hierbei der select Befehl:
Get-ADUser "LLange" -Properties * | select name, samaccountname, mail
Der Output des ersten Befehls war uns viel zu viel. Deshalb haben wir diesen Output nun weitergeleitet an den Befehl select und haben dort nur die 3 Attribute name, samaccountname und mail angegeben. Wir haben also alles angezeigt und anschließend davon nur 3 Dinge ausgewählt (“selected” auf englisch).
Schnelles Abrufen von versteckten Attributen
Du hast es vielleicht noch nicht gemerkt, aber du kannst bereits jetzt schon etwas viel schneller als vorher: Stell dir beispielsweise vor, du möchtest die PersonalNummer eines Users auslesen. Im Active Directory ist das Standard Feld dazu “employeeID“. In der GUI (Active Directory Users & Computers) findest du diese Information aber nicht ohne weiteres. Damit du sie anzeigen kannst, musst du als erstes unter View die Erweiterte Ansicht aktivieren
Anschließend reicht es nicht nach dem User zu suchen. Denn was wir brauchen ist der Attribut Editor. Diesen findest du aber nur, wenn du einen User direkt anklickst. Du musst dich also zuerst durch alle OUs hangeln, anschließend Rechtsklick/Eigenschaften machen, den Attribut-Editor auswählen und dort nach dem Feld “employeeID” suchen.
Wie würdest du das jetzt in der Powershell erledigen? Du weißt bereits alles was du dazu benötigst:
Das war auf jeden Fall erheblich leichter und schneller als über die GUI, oder? Du zeigst dir einfach alle Attribute des Users an und selektierst anschließend nur das interessante, die employeeID.
Hilfe eines Befehls aufrufen um die Funktion zu verstehen
Was ist wenn ich beispielsweise nicht genau weiß wie der Username eines Benutzers ist? Der Befehl nimmt für den -Identity Parameter nur vorhandene Benutzernamen. In diesem Fall lohnt sich der Blick in die Hilfe des Befehls:
Get-Help "Get-ADUser"
Der Output verrät uns einiges über den Befehl, unter anderem die Syntax:
Es gibt also die Möglichkeit den Parameter -Filter zu nutzen. Um einen Filter zu nutzen, müssen wir allerdings zuerst einen kleinen Ausflug zu den Operatoren machen.
Vergleichsoperatoren
Ein Operator wird genutzt um zu beschreiben wie etwas verglichen werden soll. Stell dir beispielsweise vor du möchtest einen User finden, dessen SAMAccountName “LLange” ist. In diesem Fall nutzt du in Powershell den Operator “-eq“was für “equals” steht:
Get-ADUser -Filter {SamAccountName -eq "LLange"}
Möchtest du etwas finden, das alles außer “LLange” heißt, kannst du das Gegenteil benutzen (du ahnst es vielleicht schon) “-ne” für “not equals“:
Get-ADUser -Filter {SamAccountName -ne "LLange"}
Je nachdem wie viele User es in deinem Active Directory gibt, ist jetzt eine ganz schön lange Liste vor dir abgelaufen 🙂 Du hast dir alle User angezeigt, die NICHT den SAMAccountName LLange haben.
Was machst du aber wie in unserem Beispiel, wenn du dir nicht sicher bist wie der SamAccountName ist? “Equals” wäre in diesem Fall falsch, da es ganz genau stimmen muss. Für diese “ungenauen” Abfragen gibt es in Powershell den Operator “-like“. Like muss zusammen mit Platzhaltern genutzt werden. Einen Platzhalter kennst du bereits, die Wildcard “*“:
Mir werden nun alle User angezeigt, die einen SAMAccountNamen haben, der mit lange endet. Möchte ich alle User haben die mit Lange beginnen, kann ich die Wildcard hinter den Suchbegriff setzen (“Lange*”).
Es gibt viele weitere Operatoren auf die ich nun nicht genauer eingehen möchte, hier findet ihr aber trotzdem mal eine kurze Liste:
-eq
equals
-ne
not equals
-lt
lower than
-gt
greater than
-le
lower or equals
-ge
greater or equals
-like
ungefähre Übereinstimmung mit Platzhaltern
-match
eine Anzahl von Zeichen muss genau so vorkommen
-contains
In einer Liste muss ein Objekt übereinstimmen
Filtern mit mehreren Bedingungen
Möchten wir nun mehrere Bedingungen in unsere Abfrage einbauen, können wir das wie oben mit logischen UND und OR machen:
Jetzt werden mir nur diejenigen User angezeigt deren Nachname (SurName) Lange ist und gleichzeitig der Vorname (GivenName) Lukas ist. Gibt es also nur einen Lukas Lange im Active Directory, finde ich nur diesen einen User. Ist dagegen nur eins der beiden Dinge wichtig, kann ich ein OR verwenden:
Hier werden mir jetzt alle diejenigen User angezeigt die mit Nachnamen Lange heißen oder mit Vornamen Lukas. Gibt es also 3 User die mit Vornamen Lukas heißen und 2 User die mit Nachnamen Lange heißen, werden mir diese 5 User angezeigt.
Ich hoffe diese Informationen helfen dir etwas weiter und du traust dir nun zu einige Funktionen der Powershell zu nutzen.
Im nächsten Teil schauen wir uns dann an, was man mit den Usern sonst so anstellen kann.
Viele Fotografen speichern Ihre Bilder als RAW und JPG Dateien gleichzeitig. Das ist natürlich sehr praktisch, da man auf diesem Weg direkt beide Formate zur Verfügung hat und sich entscheiden kann welche man nutzt. In meinem Workflow hat sich dann aber immer folgendes Problem ergeben:
Ich schaue mir die JPG Version der Bilder an und lösche diejenigen, die nichts geworden sind, oder mir nicht gefallen. Wie werde ich jetzt auf schnelle Art und Weise diejenigen RAW-Dateien los, deren JPG ich bereits gelöscht habe?
Dazu habe ich ein kurzes Powershell-Script geschrieben, was genau das erledigt. Meine Kamera erstellt RAW-Dateien im .cr2 Format. Ich durchlaufe also alle .cr2 Dateien im aktuellen Ordner und teste ob es eine zugehörige JPG Datei gibt. Gibt es diese nicht, wird die RAW-Datei gelöscht.
foreach ($raw in (Get-Item *.cr2))
{# Durchlaufen aller .cr2 Dateien
if (!(Test-Path "$(($raw.Name).split(".")[0]).jpg"))
{<#
Wenn kein passendes .jpg zum aktuellen Raw vorhanden ist, lösche das Raw
Hier wird er Dateiname der RAW (z.B. img01.cr2) am . gesplittet und stattdessen ein .jpg angehängt
#> Remove-Item $raw
}
}
Am schnellsten kannst du das Script nutzen indem du im Datei-Explorer den Ordner öffnest in dem sich die Bilder befinden. Tippe anschließend oben “powershell.exe” im Datei-Pfad ein. Es öffnet sich ein Powershell-Fenster genau in diesem Ordner. Kopierst du nun das Script in das Fenster und drückst die Enter-Taste, werden die .cr2 Dateien ohne zugehörige JPG Datei gelöscht.
Wir erreichten Hanoi gegen 21:00 Uhr abends. Der Busfahrer ließ uns in der Nähe des “Flipside Hostels”, inmitten der Altstadt von Hanoi raus. Uns kam es bereits kurz nach der Ankunft so vor, als hätte Hanoi etwas mehr Charme als Saigon. Aber vermutlich ist das reine Geschmackssache. Im Hostel angekommen, fragten wir nach einem privaten Zimmer, da ich die letzten drei Tage gerne noch etwas Ruhe haben wollte. Das Leben in Mehr-Bett-Zimmern hat natürlich auch etwas, allerdings ist es doch angenehmer, wenn man nur unter sich ist. Für die erste Nacht war nur noch ein Zimmer mit Doppelbett frei, was für uns aber kein Problem war. Das Zimmer an sich war ganz gemütlich, wir hatten sogar eine Badewanne auf dem Balkon! Die würden wir aber natürlich weniger gebrauchen können 🙂
Beer Street
Nachdem wir uns etwas frisch gemacht hatten, entschieden wir uns, die bekannte “Beer Street” zu besuchen. Hier gab es viele kleine Lokale und Bars, in denen jeweils Bier getrunken und gegessen wurde.
Wir entschieden uns für eine der ersten Bars, allerdings aufgrund der angebotenen Speisen nur für zwei Bier. Im nächsten Restaurant bestellten wir anschließend etwas zu essen, was allerdings nicht besonders lecker war: Es waren diese Instant-Mie-Eier-Nudeln zusammen mit frittiertem Hähnchen-Fleisch und ein bisschen Kohl. Egal, wir brauchten sowieso nur etwas als Grundlage! Während des Essens wurden wir von zwei Chinesen angesprochen, die anscheinend sehr amüsiert darüber waren, in Vietnam mit zwei Deutschen sprechen zu können. Da sie allerdings fast kein Englisch konnten, musste mal wieder die Google-Übersetzer App herhalten. Da hier aber oft sehr “interessante” Sätze bei uns ankamen, vermute ich, dass Chinesisch hier nicht besonders gut übersetzt wird 🙂
Um Mitternacht passierte dann etwas interessantes: Die vorher volle Straße wurde komplett von der Polizei geräumt. Überall sprangen hektisch die Bar-Inhaber und Angestellten auf, scheuchten alle Gäste die draußen saßen in ihre Bars hinein und räumten alle Sitzmöglichkeiten von der Straße. Man versicherte uns aber, dass dies jeden Abend passiert. Anscheinend wird gegen ein kleines Schmiergeld an die Polizei dann auch akzeptiert, wenn man trotzdem im Inneren weiterfeiert.
Mittwoch, 27.11.19
Kurz nach der Sperrstunde um Mitternacht gingen wir zu “Toms Bar”, die von außen so aussah, als sei sie geschlossen. Die Rollläden waren bereits halb geschlossen und die Leucht-Werbung vor der Tür war ebenfalls ausgeschaltet. Die Promoterin vor der Tür schob aber daraufhin die Rollläden hoch und führte uns in die Bar, die tatsächlich ziemlich gefüllt war. Die “Bar” erinnerte allerdings eher an einen Nachtclub: Alle Gäste tanzten ausgelassen zu lauter, europäischer Club-Music, man sah in regelmäßigen Abständen Leute mit riesigen Lachgas-Ballons vorbeilaufen und es floss eine Menge Alkohol. Es war auf jeden Fall ein wirklich seltsames Gefühl, da von außen so getan wurde, als wäre die Bar bereits geschlossen. Ungefähr gegen 01:00 Uhr wurde dann allerdings die Musik ausgemacht und die Bar-Angestellten befahlen uns leise zu sein. Bei einem Blick nach draußen, verstanden wir dann auch warum: Die Polizei stand wieder vor der Tür und störte sich scheinbar daran, dass im Inneren doch noch weiter gefeiert wurde. “Da hat wohl jemand zu wenig Schmiergeld gezahlt!” sagte Ingo lachend. Die Barkeeperin sagte uns anschließend, dass wir ihr folgen sollen. Wir gingen an der Polizei vorbei aus der Bar hinaus. Direkt hinter einer Ecke bogen wir dann aber zu einem Hintereingang ab und gingen anschließend direkt wieder in die Bar. Nachdem wir ein bis zwei Minuten leise im Flur warteten, gab uns die Barkeeperin das Zeichen für reine Luft. Weiter geht’s! Wir feierten weiter bis die Bar schließlich gegen 03:00 Uhr schloss. Danach gingen wir noch auf ein paar letzte Biere in eine weitere Bar nebenan danach dann gegen 04:30 Uhr zurück in unser Hostel. Das mit den “aber nur für drei bis vier Bier” hat wohl doch nicht so gut geklappt!
Die Altstadt
Am nächsten Morgen (der ein oder andere würde es vielleicht Mittag nennen 🙂 ) aßen wir nochmal eine Pho Bò zum Frühstück. Direkt neben unserem Hostel gab es direkt mehrere Suppen-Küchen, von denen wir uns für eine an der Straßen-Kreuzung entschieden. Wir beobachteten anschließend das wilde Treiben der Straße im “Old Quarter”, also der Altstadt, in der man wirklich viele verrückte Dinge kaufen und sehen konnte. Überall waren kleine Läden, in denen man etwas spezielles kaufen konnte: In einem Laden wurden Suppen-Kessel hergestellt, daneben wurden Lichterketten repariert und verkauft, in anderen gab es Tabak-Pfeifen. Uns fiel dort das erste mal auf, dass wir für alle diese Dinge nur an einen Ort fahren würden; den Supermarkt. So etwas wie einen Supermarkt haben wir in Vietnam allerdings nirgends gesehen. Hier scheint man wirklich für sämtliche Dinge den zugehörigen Laden zu besuchen.
Eine Dame mit einem mobilen VerkaufsstandDie Rikschafahrer waren überallIn Hanoi schienen die Hocker besonders niedrig zu sein
Nachdem wir ein bisschen das Treiben im “Old Quarter” betrachteten, entschieden wir uns dazu als Abendessen das legendäre “Banh Mi 25” auszuprobieren. Bahn Mi wird oft als der “Offizielle Snack Vietnams” bezeichnet, da man es tatsächlich überall bekommt. Es handelt sich um ein Baguette-Brötchen welches meistens mit Fleisch, einem Kohl und diversen Kräutern belegt ist. Als Sauce gab es meist eine scharfe Chilli-Sauce mit einem Hauch von Fischsauce. Wir entschieden uns hier für Banh Mi mit Rindfleisch und Käse, eher untypisch.
Nach dem ersten Banh Mi bestellten wir uns direkt ein weiteres, bei dem ich mich dieses Mal an Schweinerücken mit Pate traute, was wohl unter anderem Hühnchen-Leber ist. Davon hat man allerdings nicht besonders viel geschmeckt, es kam lediglich eine leichte Note von Leberwurst durch.
Zurück im Hostel, besuchten wir die Rooftop Bar. Hier waren bereits ein paar Holländer Trinkspiele am Spielen. Nachdem wir eingestiegen sind, kamen irgendwann immer mehr und mehr Leute von den unterschiedlichsten Nationen dazu. Als wir irgendwann mit über 15 Leuten King’s Cup spielten, animierte uns ein schottischer Angestellter des Hostels zu einem Pubcrawl. Der Schotte erklärte uns im Laufe des Abends, dass er bereits seit acht Jahren durch Asien reise und immer mal wieder irgendwo in Hostels arbeite. Faszinierend wie manche Menschen leben!
Beer Street, die Zweite
Der Schotte führte uns in diverse Pubs und Clubs, in denen wir jeweils einen “Free Shot” bekamen und ein paar Getränke tranken. Die anfangs große Gruppe verlor sich allerdings relativ bald auf sechs Leute. Ingo und ich feierten schließlich wieder in Toms Bar mit zwei Holländern, zwei Französinnen und diversen anderen Menschen die wir dort trafen.
Donnerstag, 28.11.19
Gegen 01:00 Uhr mussten wir mal wieder durch den Hintereingang in die Bar kommen, aber das kannten wir ja bereits 🙂 Ich entschied mich gegen 03:00 Uhr zurück zum Hostel zu gehen, Ingo blieb noch etwas länger. Am nächsten Morgen berichtete mir Ingo, dass er sich mehrfach in den engen Gassen der Altstadt verlaufen habe. Nachdem sein Akku auch noch leer war, fragte er diverse Menschen nach dem Weg. Als er endlich zwei Südkoreaner traf, die ihm den Weg auf ihrem iPhone zeigten, geschah allerdings etwas unangenehmes: Der Südkoreaner zeigte Ingo den Weg auf seinem Handy, als ein Rollerfahrer vorbei fuhr und dem Südkoreaner das Handy aus der Hand riss. Das ist schon wirklich mies, wenn jemandem das Handy gestohlen wird, weil er hilfsbereit war!
Altstadt und Markt
Wir besuchten Vormittags eine (laut Google Maps) bekannte Pho-Küche namens Pho Thin. Ich fand die Suppe hier besonders lecker! Es war eine wirklich intensiv duftende und schmeckende Rinderbrühe mit viel frischem Rindfleisch und Kräutern. Hier wurde das Rindfleisch roh in die Suppe gegeben, sodass es während des Essens garte und besonders zart blieb.
Hier sieht man die Suppen-Küche, durch die auch regelmäßig Roller fuhrenDie wirklich leckere Suppe mit nachgegartem Rindfleisch
Danach besuchten wir einen Markt, auf dem es über vier Stockwerke wirklich alles zu kaufen gab.
Die Markt-Halle erstreckte sich über vier Etagen erstreckteHier machte ein Händler einen PowernapEine Obst-Verkäuferin die ihre Einnahmen zählte
Wir besuchten mehrere Cafés, versuchten ein bisschen Streetfood und setzen uns gegen Mittag schließlich in ein Café, in dem es auch Banh Mi zu essen gab. Ich bestellte mir eins mit gemischtem Fleisch und Gemüse, woraufhin ich fast eine halbe Stunde auf das belegte Baguette wartete. Als der Café Besitzer dann mit dem Banh Mi um die Ecke kam, war mir auch klar warum: Er verkaufte gegen einen kleinen Aufpreis einfach das Banh Mi von einem anderen Stand! Ich bezahlte also umgerechnet 2€ statt den 1,80€ direkt an dem Laden selbst. Die 0,20€ war mir die Bedienung allerdings auf jeden Fall wert 🙂
Bia Hoi Corner
Gegen Abend machten wir uns auf den Weg zum “Bia Hoi Corner”. Bia Hoi ist ein Bier, dass jeden morgen frisch gebraut wird. Es wird anschließend möglichst schnell heruntergekühlt, um es direkt abends überall zu verkaufen. Bier war ja allgemein nirgends wirklich teuer in Vietnam, aber die Preise hier waren wirklich sagenhaft: Ein Bia Hoi gab es von 5.000 Dong bis 10.000 Dong (~ 0,20€ bis 040€). Gezapft wurde das Bier direkt aus den Bier-Fässern in die bereits bekannten Plastik-Humpen.
Hier wurde das Bia Hoi frisch aus dem Fass gezapft
Ein Mittel-teures Bier für ungefähr 30 Cent
Wir fanden einen Platz bei einer wild zusammengewürfelten Gruppe aus einem Bolivianer, einem Kanadier, einem Australier und einem Kolumbianer. Der Kanadier und Australier stellten sich als besonders witzig heraus. Kennst du die Art von Mensch, die man in irgend einen Raum stellen kann und innerhalb von wenigen Minuten jeder von diesen unterhalten wird? Genau so waren die zwei!
Irgendwann stießen noch mehrere Amerikaner zu uns, die anscheinend bereits den Australier und Kanadier kannten. Einer der Amerikaner hatte einen kleinen Stoff-Esel namens “Pedrito Mader” dabei hatte. Der kleine Stoff-Esel hat bereits einiges erlebt, wie du dir gerne selbst auf seiner Facebook-Seite anschauen kannst 🙂 Irgendwann entschieden wir uns dazu, mit dem wild zusammengewürfelten Haufen weiter zu ziehen. Nach ein paar enttäuschenden Stopps landeten wir allerdings irgendwann (bereits zum dritten Mal in Folge) in Toms Bar. Ich verließ die Bar gegen 03:00 Uhr morgens, Ingo blieb nochmal etwas länger.
Der letzte Tag
Freitag, 29.11.19
Da Ingo gegen 09:00 Uhr morgens nicht den Anschein machte, als hätte er Lust mit mir zu frühstücken, packte ich meine Tasche und machte mich anschließend auf den Weg zu einer Suppen-Küche. Ein letztes mal Pho zum Frühstück! Nachdem ich mir (mit meinem leider immer noch beschränkten Wortschatz) eine Suppe auf vietnamesisch bestellte, unterhielt ich mich noch kurz mit der Besitzerin. Danach ging ich in ein kleines Café um dort einen “Egg-Coffee zu trinken”. Der Egg-Coffee ist ein Kaffee, in den ein rohes Ei aufgeschlagen wird, wodurch der Kaffee sehr cremig wird. Irgendwann kam Ingo dazu und bestellte sich ebenfalls einen Kaffee. Mittags aß ich noch ein letztes Mal eine wirklich leckere frische Frühlingsrolle, Ingo ein Bahn Mi. Nach einiger Zeit wanderten wir noch ein wenig durch die Altstadt von Hanoi und besuchten diverse Shops, um noch ein paar T-Shirts und Jacken zu kaufen.
Danach machten wir uns mit einem Grab-Taxi auf den Weg zum Flughafen.
Am Flughafen hatten wir noch ein paar Dong übrig, die wir kurzerhand in einen Massage-Sessel und ein letztes Bier investierten.
für ungefähr 40 Cent konnte man sich 6 Minuten lang massieren lassen
Danach ging unser Flug sehr pünktlich zurück nach Istanbul und anschließend weiter nach Düsseldorf. Zu diesem Zeitpunkt hatte ich zwiegespaltene Gefühle: Einerseits freute ich mich sehr darauf Nadine und natürlich meine Freunde und Familie wiederzusehen. Andererseits war es wirklich schade, dass die Reise nun endete. In Düsseldorf erwarteten Nadine und meine Eltern uns bereits mit einem kleinen Plakat mit unseren Namen 🙂
Aber Südost-Asien hat es mir nach wie vor angetan! Ich denke, dass ich noch mehrere Male eine Reise in diesen Teil der Welt machen werde!
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
FunktionalImmer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
