Nach jedem neuen Amoklauf/Anschlag/Hochwasser/Unwetter/etc. liest man, dass sich die Leute völlig uninformiert fühlen. Das mag ja auch alles stimmen, aber was daraus resultiert, wird immer abenteuerlicher.

Da wird dann der Schrei nach Yet-Another-Warn-App laut, die gefälligst von Behörde XYZ betrieben werden muss.

Warum denn eine App?

Ich sehe da absolut keinen Vorteil drin, eine App draus zu machen. Die Leute sind es zwar gewohnt, heutzutage sogar für den verwirrenden Weg zum eigenen Klo eine App zu installieren, allerdings braucht man doch mit Sicherheit keine Apps, um einen Warnhinweis zu bekommen.

In anderen Ländern ist es gang und gäbe, dass einem die Behörden einfach eine SMS zukommen lassen, wenn sich in der Region, in der man sich aufhält, etwas passiert - sei es eben ein nahendes Unwetter, jemand mit Waffen im Einkaufszentrum, oder was auch immer. Ohne Anmeldung. Einfach an alle Handynummern, die in bestimmten Regionen auf Mobilfunkmasten eingeloggt sind.

Die SMS ist auch ein viel besserer Service

Während man in der tiefsten Pampa auch heute noch oft ein Empfangsproblem hat, zeigt das eigene Mobiltelefon gerne »Nur Notrufe« an. Das bedeutet: Dein eigener Provider bietet dir grad nix an, aber ein anderer Empfangsturm lässt dich weiterhin den Notruf wählen. Oder SMS empfangen - wenn man es denn dann dafür nutzen würde.

Handymasten sind regional, man muss also als Nutzer nicht erst auswählen, für welche Regionen man gerne Notifications erhalten möchte. Nein, man bekommt einfach in einem gewissen Umkreis um die Region eine SMS für die nahende/vorhandene Problematik.

Für so eine Lösung müssten allerdings die Behörden in Deutschland zusammenarbeiten. Und das ist ja nun wirklich ein bisschen zu viel verlangt.

Es gibt schon Warnapps, die allesamt eher so lala sind

Die Versuche, solche Warn-Apps zu etablieren, haben sich auch scheinbar allesamt als mehr Schein als Sein herausgestellt. Während Katwarn von der Versicherungswirtschaft herausgebracht wurde und gar nicht in allen Regionen Deutschlands angeboten wird, ist NINA ein Angebot des Bundesamtes für Bevölkerungsschutz und laut der Kommentare im Play Store wurde der Amoklauf in München nicht mal gepushed: "Bei welchem Ereignis NINA aktiviert wird, entscheiden die jeweils verantwortlichen Stellen im Rahmen ihrer Zuständigkeiten." Das klingt irgendwie falsch.

Im letzten Blogbeitrag schrieb ich noch, dass Jogger wohl lachen, wenn sie meine Zeiten sehen. Zu dem Zeitpunkt hieß mein Training noch: Schnelles Gehen. Das hat sich jetzt geändert.

Was hat sich verändert?

Zuallerst mal war da diese Sache, dass ich noch nie laufen (nicht gehen!) konnte. Schon im Schulsport, wenn es hieß dass wir > 200 Meter laufen sollten, dann war ich der Letzte, der in’s Ziel kam.

Beim 4km-Lauf hat der Sportlehrer dann irgendwann abgebrochen, weil die Stunde halt auch nur 45 Minuten lang ist und ich eben noch nicht mal in der letzten Runde war. Ich konnte halt schon nach den ersten 250m nicht mehr laufen, weil ich Seitenstechen hatte. Falsche Atmung? Vermutlich. Diesen Fluch wollte ich jedenfalls brechen.

Wie habe ich jetzt angefangen?

Nachdem ich jetzt also mein Zielgewicht erreicht bzw. unterschritten habe, hab ich auf dem Laufband in den letzten 5 Wochen mal etwas rumprobiert. Es begann damit, dass ich mal getestet habe, ob ich mehr als 250 Meter am Stück laufen kann. Konnte ich nicht. Zwar war Seitenstechen nicht mein Problem, aber die Puste war weg.

Der Vorteil an McFit ist ja, dass es dort nach Feierabend schön voll ist - auch mit Leuten, die auf Laufbändern laufen. Also hab ich mir mal angeschaut, wie andere das so machen. Es war gar nicht so einfach, jemanden zu finden, der lange laufen wollte - die meisten Besucher wärmen sich nur auf. Irgendwann hab ich einen gefunden und ihn mal 10 Minuten beobachtet. Dabei ist mir aufgefallen, dass dieser sehr durchtrainierte Mensch nicht so schnell läuft, wie ich ihm zugetraut habe.

Der Trick war also: Einfach nicht so schnell laufen. Also hab ich mich auf die Spur gemacht: Was ist meine Laufgeschwindigkeit? Es war 8.8 bis 9.3 km/h. Und siehe da: Ich konnte mal eben 1,5km am Stück laufen, ohne direkt einen Notarzt zu brauchen. Vorher hab ich es immer mit 10 bis 12km/h probiert.

Und nu?

Nu hab ich also meine Geschwindigkeit gefunden und über 3 Wochen sogar etwas gesteigert - vorgestern bin ich also die 10km erstmals in unter 1 Stunde und 10 Minuten gelaufen. Wir erinnern uns: »Anfangs brauchte ich für 5km noch 1,5 Stunden, schaffe ich inzwischen 10km in der gleichen Zeit«.

Was mir ein Kollege allerdings immer wieder sagte: Laufband ist ja nicht das Selbe, da es ja eine unterstützende Wirkung hat. Außerdem ist die Welt auch nicht flach, sondern man läuft in diesem echten Leben Hügel auf und ab.

Der aktuelle Trainingserfolg

Meinen Wochenendausflug in die Lüneburger Heide und der entsprechenden Entfernung zum nächsten McFit (alle mind. 1 Stunde entfernt) habe ich dafür genutzt, das nächste Level zu erreichen (und damit meine ich nicht bei Pokémon Go): Draußen laufen.

Was soll ich sagen? Es war doch erfolgreicher als gedacht. Bis auf, dass es auf dem ersten Kilometer ungewohnt ist, dass da auch Wind ins Gesicht weht und beim Laufen die Welt wirklich an einem vorbei zieht - das kennt man so gar nicht, wenn man den ganzen Tag auf Monitore starrt.

Nach den ersten 3 Kilometern dachte ich mir dann, direkt umzudrehen - man soll es ja nicht übertreiben. Hmm, aber dann kam Kilometer 4 und ich war immer noch nicht so richtig fertig. Also auf zu Kilometer 5. Der Nachteil am Laufen in diesem "Draußen": Man muss im Zweifel den Weg auch wieder zurück.

Also durchhalten(!) und als mein mir Mann im Ohr (Google Fit - siehe Bild rechts mit der Gesamtstatistik des Laufs) dann erklärte, ich sei jetzt angekommen, bin ich direkt umgedreht und zurückgelaufen. Leider musste ich manchmal ein paar Hindernisse umgehen, sodass einige Geh-Schritte zusammenkamen, aber das finde ich nicht schlimm, denn am Ende stand auf der finalen Uhr: 10km in 1 Stunde und 4 Minuten. Also schneller als auf dem Laufband. Entweder stimmt also die Unterstützung des Laufbandes nicht oder das Draußen funktioniert bei mir anders als bei anderen Menschen.

Egal. Wichtig ist, dass mein Puls (zweites Bild, unten) nicht in den roten Bereich ging (was beim Laufband doch häufiger vorkommt) und ich hoffentlich in ein paar Tagen die 10km in unter 60 Minuten schaffe.

Je besser das Training also verläuft, desto eher bestünde die Chance, vielleicht nächstes Jahr mal an einem Lauf (Halbmarathon?) mitzumachen. Ob ich weiter draußen laufen kann, liegt auch ein bisschen am Wetter - also bitte lieber Sommer, lass dir was einfallen! Ansonsten muss das Laufband neben der stickigen Luft im Fitnessstudio herhalten.

Also Teile von mir sind dann mal weg. Der überwiegende Teil davon ist der Bauch, die Hüfte oder eben das Doppelkinn. Einfach so? Nein, natürlich nicht - durch eine Diät. Wieviel? Och, so 22kg in nicht mal 10 Wochen.

Warum das Ganze?

Vor der Diät meinte mein Körper, genauer gesagt mein Rücken, mal wieder etwas rumzicken zu müssen. Nach meiner OP der Bandscheibenvorfälle vor 3 Jahren war das natürlich eher semi-cool und für mich ein Zeichen, dass ich zwingend etwas ändern muss.

Und wie jetzt genau?

Bei mir ist das so eine Kombi-Geschichte. Zu allererst muss man einfach mal aufhören, Scheiße in seinen Körper zu stopfen. Bis man mal so realisiert hat, was man alles so zu sich nimmt den ganzen Tag, das ist schon mal ein harter Weg - aber machbar.

Dann mache ich außerdem noch Bodymed - das ist Abnehmen mit ärztlicher Unterstützung. Man macht einen Kurs mit und bekommt erstmal erzählt, wie der Körper und wie Nahrung wirklich funktioniert. Diesen Kurs habe ich schon vor einigen Jahren mitgemacht, damals habe ich aber selbst ein paar bedeutende Fehler gemacht, die mir heute erst bewusst sind. Dazu muss ich etwas ausholen. Bei Bodymed ersetzt man während der Abnehmphase 2 Mahlzeiten durch einen Eiweiss-Drink und eine Mahlzeit (man sucht sich selbst aus, ob es Frühstück, Mittag oder Abendessen ist) isst man dann ganz normal. Dieses "normal" habe ich damals zu wörtlich genommen und weiterhin Kohlenhydrate in rauhen Mengen zu mir genommen. Heute weiss ich, dass dies das Problem war, was zum typischen Jojo-Effekt geführt hat. Jetzt habe ich meine Ernährung komplett umgestellt und es kommt eiweißreiche und kohlenhydratarme Nahrung auf den Tisch.

Da sind wir auch schon am nächsten Punkt: Low Carb. Einfach mal die Kohlenhydrate weglassen. Auch wenn ich früher viele Nudeln und Kartoffeln gegessen habe, fehlen sie mir gar nicht. Jetzt kommt eher mal Gemüse auf den Tisch, zusammen mit Fleisch. Ich achte dabei im Übrigen nicht streng darauf, nicht aus der Ketose raus zu kommen, sondern schaue eher, dass es ausgewogen bleibt. So kommt der Körper später nicht unbedingt auf die Idee, jegliche frisch zugeführten Kohlenhydrate direkt wieder aufzubewahren für schlechte Zeiten.

Hinzu kommt, dass ich nicht mehr nach 18 Uhr esse. Das ist für mich weniger schlimm als für mein Umfeld. Das typische "lass uns morgen um 19 Uhr zum Essen treffen" lehne ich halt einfach ab und der Körper hat noch die Möglichkeit, während meiner Wachphase die Nährstoffe zu verbrauchen. Damit er das überhaupt schaffen kann, versuche ich, unter 1000 kcal an Nahrung täglich zu mir zu nehmen. Das klappt nicht immer ganz, aber es hält sich so um und bei diesen Werten. Manchmal mehr, oft aber eher weniger. Mein Umfeld ist schon stark genervt, dass ich ständig gucke, wieviel Nährstoffe eigentlich in diversen Lebensmitteln sind - aber nur so lerne ich stetig, wie und wovon ich mich ernähre.

Was daraus resultiert, ist das weniger Essen. Konnte ich bis vor der Diät pro Mahlzeit locker ein halbes Schwein verdrücken, schaffe ich heute nicht mal bei meinen üblichen Restaurants die kleinen Portionen. Diese resultierte Magenverkleinerung finde ich persönlich als eines der erstrebenswertesten Ziele. Inzwischen kenne ich dadurch wieder den Unterschied zwischen satt und überfressen sein.

Als letzte Maßnahme ist da noch Sport. Das widerum ist eines der für mich überraschendsten Entwicklungen. Da ich selbst zu blöd zum Joggen bin (ich kann nicht sinnvoll atmen, das ging mir schon in meiner Kindheit so), habe ich mich für schnelles Gehen entschieden. Anfangs brauchte ich für 5km noch 1,5 Stunden (Jogger werden lachen), schaffe ich inzwischen 10km in der gleichen Zeit (Jogger werden immer noch lachen). Für mich selbst ist das ein riesiger Fortschritt und da ich diese Trainingseinheit täglich, teilweise sogar doppelt am Tag mache, lohnt es sich für den Körper. Meinen Rücken freut dieser Fortschritt und durch meine neue Mitgliedschaft im Fitnessstudio, die ich fast täglich nutze, kann ich das Programm auch bei schlechtem Wetter durchziehen.

Was hat sich verändert?

Einiges! Ich fühle mich viel fitter. Das Aufstehen bereitet mir keine Rückenschmerzen mehr, durch die tägliche Messung von Gewicht und Bauchumfang sehe ich, wie ich von Adipositas Grad I über "nur noch Übergewicht" hin zum Normalgewicht und einem gesunden Bauchumfang wandere.

Jeden Tag geht es ein kleines bisschen weiter und besser und ich freue mich, auf meine Bikini-Figur im Sommer. Dann muss ich mir nur noch einen Bikini kaufen. Und braun werden.

Es ist jetzt 2 Wochen her, als ich einen DNS-Eintrag für viele meiner Domains hinzugefügt habe:

$ host -t txt _dmarc.mthie.com
_dmarc.mthie.com descriptive text "v=DMARC1\; p=reject\; rua=mailto:antispam@mthie.com"

Was macht dieser Eintrag genau?

Empfängt ein Mailserver mit DMARC-Unterstützung eine E-Mail von der Domain mthie.com, prüft es die SPF- und DKIM-DNS-Einträge der Domain und schaut, ob der sendende Server auf die SPF-Einträge passt und ob die DKIM-Signatur korrekt sind und verarbeitet die Mail dann entsprechend der DMARC-Regeln.

Reichen die SPF- und DKIM-Einträge nicht aus?

Nunja, mehr oder weniger. Hat man nur SPF und DKIM, werden Mail entsprechend mit Punkten im Spam-Ranking versehen und ab einem bestimmten Wert als Spam markiert und wegsortiert oder bei manchen Servern direkt abgelehnt. Mit DMARC widerum kann man als Domaininhaber selbst bestimmen, was passieren soll. Es geht ja nicht um Mails, die man selbst verschickt, sondern die andere im Namen der Domain versenden.

Ich kann selbst bestimmen, ob die invaliden Mails erstmal nur im Spam des Empfängers landen oder direkt auf SMTP-Ebene abgelehnt werden sollen. Dies kann man sogar anfangs prozentual festlegen, da man sich bei einer Migration nicht immer ganz sicher ist, ob man auch alle Server im SPF-Eintrag hat oder ob alle Server korrekte Signaturen mitgenerieren.

Schickt also ein Spammer im Namen meiner Domain Spam, bekomme ich bei invaliden Empfängern keine Fehlermail mehr, die eh im Spam-Folder landet, sondern der spammende Server wird seine Mail gar nicht erst los.

Woher weiss man jetzt, ob das alles so klappt?

Was ich ganz smart finde: unterstützende Server können einem Reports schicken, wieviele Mails von welchen Servern abgelehnt oder im Zweifel angenommen wurden und bisher hab ich von Microsoft- als auch Google-Servern reichlich Feedback bekommen. Das sieht dann so aus:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>12441399634249292487</report_id>
    <date_range>
      <begin>1455148800</begin>
      <end>1455235199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>mthie.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>reject</p>
    <sp>reject</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>123.17.108.44</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>reject</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mthie.com</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>mthie.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Und nu?

Und nu wäre es voll schnafte, wenn diese DMARC-Sache sich verbreiten würde und es mehr Mailserver-Admins gäbe, die diese Unterstützung einbauen würden, vor allem die E-Mail-Made-In-Germany-Hansel, denn damit wären die großen in Deutschland vertretenen Mailer schon mal abgedeckt. Wie das Ganze funktioniert, kann man sich auf DMARC.org anschauen.

Vor einigen Wochen hat Google angekündigt, https-Seiten bevorzugen zu wollen. Soweit so gut, aber wie steht es denn um die Webseiten, die in Deutschland mit den meisten Traffic abbekommen, also die üblichen News-Seiten?

Jetzt fragen sich wahrscheinlich viele: “Warum müssen die denn https unterstützen?” Dazu hat Golem.de vor über einem Jahr mal eine Quasi-FAQ gebastelt.

Was haben wir da für Möglichkeiten?

Seite ganz normal über https aufrufbar (die Seite stellt alle Inhalte auch über https bereit)

  • Spiegel Online (leider werden alte Verschlüsselungsmechanismen verwendet, das könnte mal jemand aktualisieren)
  • N-TV (leider werden alte Verschlüsselungsmechanismen verwendet, das könnte mal jemand aktualisieren)

Seite leitet auf HTTP um (hier fanden sich die meisten Webseiten)

Was an diesen Seiten so schlimm ist: Sie nutzen ihr Potential nicht aus. Viele von ihnen bieten einen Login für ihre Benutzer. Meist wird der Login auch über https geregelt, aber die Inhalte inkl. der Cookies zur Authentifizierung werden unverschlüsselt übertragen. Oft lässt sich so auch Session-Hijacking betreiben.

Seite liefert ein fremdes Zertifikat (hier passiert es oft, dass das Zertifikat des CDN-Providers ausgespielt wird, weil man z.B. mit Akamai nach einem Monat intensiver HTTPS-Nutzung direkt Insolvenz beantragen kann)

Meine Einstellung dazu: Wenn ich so viel Traffic habe, sollte ich so viel Geld mit dieser Website verdienen, um die Bereitstellung über HTTPS einrichten zu können.

Seite akzeptiert keine HTTPS-Verbindung (Der Browser liefert eine Fehlermeldung, weil die Connection gar nicht aufgebaut werden kann)

Sehr konsequent bei der Abendzeitung ist, dass sie sogar ihre Kundendaten unverschlüsselt verschicken, während das Abendblatt wenigstens noch HTTPS beim Abo-Service und im Shop anbietet. Warum sie dann nicht gleich den Rest auch in HTTPS anbieten, wissen wohl nur die Götter, an die ich nicht glaube.

1