Windows 11

Ich erinnere mich noch wie damals Windows 10 angeworben wurde.
Das letzte Windows. Alles kommt per Featureupdate. Man muss für zentrale Komponenten keine größeren Systemupdates mehr fahren. Mehr Möglichkeiten im Windows Store. Nun kommt Windows 11.

Warum denn nicht per Featureupdate?

Das ist die eigentliche zentrale Frage. Wenn man doch Windows 10 mit genau diesem Slogan anwab, warum denn nicht Featureupdates?
Womöglich weil man an den Featureupdates eben nichts verdient.

Nun ist also Windows 11 in den Startlöchern. Zum ersten Weihnachtsfeiertag gibts das Update gratis für alle Windows 10 User. Erste Berichte dass selbst Windows 7-Keys angenommen werden gibt es auch schon.

Gibts zumindest was?

Hier und da ist mal was rausgenommen worden. Den 3D Viewer den vielleicht einige wenige 3D-Druckende verwendet hatten gibt es nicht mehr, auch gibts ein Comeback von Windows Vista-Startmenüelementen. Das Design ist einfach noch mehr Milchglas als es Windows 10 schon ist. Rund ist jetzt auch das neue Eckig. Sonst ist halt alles Milchglas.

Android Apps – zumindest diejenigen die Amazon vertreibt, kann man auf Windows 11 mal eben installieren. Ich wette mit euch dass es nicht lange dauert bis irgendwelche Tüftler über Google Entwickleraccounts den PlayStore aufs Windows-Gerät bringen. Schließlich müsste es dann nicht mehr sonderlich viel Tüftlerei brauchen wenn Microsoft einem das schon vor die Füße wirft.
Das könnte das Ruder rumreißen, die Generation Y hätte dann ihre gewohnten Apps auf einer Windows Maschine. Sonderlich helfen wird es Microsoft aber trotzdem nicht, warum sollte man sich schließlich ein Windows Gerät kaufen wenn darauf nur über die merkwürdigen Amazon-Nebenwege überhaupt die gewohnten Apps laufen?
Prinzipiell kann sich Microsoft also nur mit guter Hardware retten. Windows als System wird nichts mehr rumreißen können, egal welche Iteration.

Schauen wir also mal was Windows 11 bringt. Wer sich die komplette Einführung antun möchte findet sie hier. Schlimm wird es schon nicht werden, auch wenn wir jetzt im Gut/Schlecht Wechsel zwischen den Versionen mal wieder bei „Schlecht“ angekommen sind.

Das einfach beste Office Headset

Vorab: Das hier ist keine Werbung, ich bin nicht mit Jabra verbandelt oder bin auch nie dafür entlohnt worden. Das hier ist also tatsächlich meine persönliche Meinung:

Ich bin immer ein Fan von Qualität. Wer billig kauft kauft mehrfach – das gilt einfach für alles.

Wenn es um Headsets geht die wirklich nur im Office verwendet werden greift man zum Jabra Evolve2 85. Ein sehr stolzer Preis, der aber total gerechtfertigt ist wenn man das Ding einmal hat.

Warum?

  • Das Noise Cancelling ist für das Großraumbüro entwickelt worden. In dem Headset steckt ein spezielles Active Noise Cancelling, das dafür gemacht wurde um Bürogeräusche zu eliminieren. Fährt man damit Zug oder Auto merkt man das ganz deutlich – da setzt man sich doch lieber wieder ANC von Bose auf.
  • Mikrofon am Kopfbügel, das braucht man auch heute noch, gerade wenn es an Großraumbüros geht die sich nicht von Restaurant-Geräuschkulisse unterscheiden.
  • Wegen dem Kopfbügel ist man geneigt das Headset tatsächlich nur im Office zu verwenden, als Bonus dazu gibts die Ladestation, die das Headset noch mal ein bisschen teurer macht.
  • Over-Ear, weil du die lautesten Kollegen tatsächlich nur physisch von deinem Ohr fernhalten kannst.
  • Teams-Zertifizierung – oder wahlweise Unified Communications – für so Schnickschnack wie Anrufannahme und so.

Ja, ich weiß, 300+ Euro wird auch für Firmen nicht immer drin sein, aber ich rate euch schon dazu zumindest die Führungskraft oder ein paar Entscheider damit auszustatten, wenn es schon nicht für alle Mitarbeiter in die Standardausstattung gesetzt werden kann. Für alle anderen würde ich trotzdem empfehlen zumindest bei Jabra als Hersteller zu bleiben. Auch gegenüber Plantronics kann Jabra deutlich überzeugen, das kann man aber erst verstehen wenn man z.B. ein Evolve2 85 produktiv verwendet hat.
Jabra ist vernünftig, weil es oftmals von einem Gerät gleich mehrere Varianten gibt, z.B. USB-A, USB-C, jeweils Kabelgebunden oder mit Funkempfänger, Bluetooth, etc. Man merkt einfach dass Jabra verstanden hat dass es trotz USB ziemlich viele verschiedene Anschluss-Szenarien gibt. Für jede von diesen produziert Jabra eine variante.

Das Jabra Evolve2 65 ist das gleiche, mit der Einschränkung Over-Ear – und damit Einbußen im Noise Cancelling. Dafür statt 300 € preislich etwa die Hälfte. Ein Evolve2 85 lohnt sich aber nicht wenn der Laptop selbst genau so teuer war.

Vertrieblich und bezüglich der RMA-Abwicklung kann ich Jabra nicht bewerten – da mir tatsächlich noch nie ein Jabra-Headset kaputt gegangen ist – ich weiß auch noch von keinem Jabra-Headset welches je ein RMA-Fall geworden wäre.
Die Creme de la Creme wäre es nun wenn Jabra dran bleibt und ähnlich Bose für den Consumer-Markt permanent Firmwareupdates fährt. Einerseits um die Teams-Headsetfunktionen aktuell zu halten und andererseits um regelmäßig neues Noise Cancelling zu machen.
Bose tut das regelmäßig, vorausgesetzt die Nutzer behalten die Kopfhörer-Apps auch auf dem Telefon und öffnen diese auch gelegentlich mal.

Alles in Allem würde ich also in Zukunft bei beruflich benötigten Headsets immer zu erst einmal bei Jabra nachschauen.

Dem Spotify „Mix der Woche“ anderer Leute folgen

Kopiert man den Link der eigenen „Mix der Woche“ Liste auf Spotify bekommen alle Link-Klicker ihre eigene Discover Weekly angezeigt.
Daher:

Profillink kopieren: Oben Rechts bei eurem Benutzernamen aufs Profil gehen und dann Rechtsklick auf Avatar oder Username.

Diesen Link könnt ihr teilen, der Empfänger hat dann eure Playlists, und die eigene Discover Weekly ist unter diesen. So aufgerufen kann man einem fremden Discover Weekly folgen und hat wöchentliche Mixes nach dem vielleicht nicht ganz so uninteressanten Musikgeschmack anderer Leute.

Firefox Gruppenrichtlinien vollständig umgehen

Ihr kennt das sicherlich, auf einmal ist man in einem Domänennetz und die Gruppenrichtlinien schreiben dem Firefox vor das alles was about: ist gesperrt ist.

Umgehen kann man das mit einer user.js im Profilordner. Bzw. schreibt man sich die Änderungen dessen GUI durch die GPO gesperrt ist direkt ins User-Profil vom Firefox. Das liegt in %AppData% und das anzufassen macht dem Endanwender seine Software doch kaputt. Also wissen wie:

%AppData%\Mozilla\Firefox\Profiles\

hier ein wenig raten welches Profil bei euch wirkt, schließlich könnt ihr about:profiles nicht aufrufen. Wenn da mehrere Profile sind schadet es sicherlich auch nicht eure user.js dann in jedes dieser Profile zu kopieren, dann wisst ihr dass sie auf jeden Fall wirkt.

Da drin gehört dann eine user.js-Datei. Wenn sie schon vorhanden ist, umso besser, dann müsst ihr sie nur erweitern. Nach folgendem Schema:

user_pref("about:config-Wert", boolean);
user_pref("about:config-Wert", "string/integer/etc");

Damit habt ihr nun alles was euch about:config bietet auch bei wirkenden Gruppenrichtlinien.
Das kann absolut jeder normale Benutzer der Domäne tun, weil er ja Schreibzugriff auf seine eigenes %AppData% braucht um überhaupt arbeiten zu können.

Persönliche Präferenz:

user_pref("network.http.max-connections", 96);
user_pref("network.http.max-connections-per-server", 64);
user_pref("network.http.pipelining", true);
user_pref("network.http.pipelining.maxrequests", 16);
user_pref("network.http.proxy.pipelining", true);

Poloshirts

Jeder kennt ja sicher die Modephasen. Damit meine ich nicht die allgemeine Mode die gerade Trend ist, sondern die eigenen Phasen. Was man in welchem Lebensabschnitt eben trägt.

Bei mir gab es neben der üblichen „Schwarz“-Phase in der Pubertät danach eine kleine „bunt“-Phase, man könnte es auch „Scherz-Shirt-Phase“-nennen. Wenn es nicht die Scherz-Shirts mit dummen Sprüchen sind, dann sind es halt Bandshirts mit denen man seinen genau so schnell vergehenden Musikgeschmack zum Ausdruck bringen will.

Um aus der Scherzshirt-Phase rauszukommen musste ich mal was anderes raussuchen. Prompt überlegte ich wie „overdressed“ man sich erlauben könnte. Ein paar Versuche mit einem Mantel – der irgendwie nie zu Rucksäcken passt (und unterwegs beide Hände frei zu haben ist ein unschätzbarer Vorteil), kurze Überlegung ob man es sich wirklich erlauben kann mit Hemd und Sakko als Standard voll aus der Reihe zu tanzen und dann doch dagegen entschieden.
Heraus kamen – wie hätte es anders kommen können – Poloshirts!

Irgendein Artikelbild musste es ja sein. Lacoste ist die einzige Marke die ich „durchgespielt“ habe. Deshalb so viel…

Nun hatte ich über den Lauf der Pandemie und in den letzten Jahren doch so einige. Fangen wir mal ganz unverhohlen mit dem absolut unbrauchbaren an – damit sich auch ganz klar rausstellt dass mich hierfür keiner bezahlt:

  • Lidl: Deren Eigenmarken sind unbrauchbar. Ein Polo muss trotzdem sitzen und darf weder Tshirt mit Nackenmuskel-Auflage noch so steif wie ein Hemd sein, aber doch eher Hemd als Tshirt. Lidl und deren Eigenmarken (die ja doch alle in der gleichen Fabrik gemacht werden) sind nun mal eben genau das unpassende: Tshirts mit schwererer Auflage auf dem Nacken.
  • Superdry: Wer auch immer auf die Idee kam ein Sweatshirt zum Poloshirt zu machen. Eines was irgendwie nicht Sweatshirt ist, aber auch nicht Polo. Genau das ist Superdry. Der Stoff an sich passt nicht. Der Schnitt ist auch merkwürdig kurz und unproportional, aber prinzipiell ist der Stoff überhaupt nicht Polo.
  • Chiemsee: Der See stellt auch das absolute Ende dar. Silikonzeug statt Aufnäher und nach ein mal tragen kaputt. Da wäre Lidl schon besser.

So – jetzt versteht ihr dass hier niemand irgendwie Interesse hat mich für das hier zu bezahlen.
Fangen wir also mit dem Besseren an:

  • McNeal und Christian Berg: Das sind Peek & Cloppenburg Eigenmarken, McNeal günstiger und deshalb auch etwas minderwertiger als Christian Berg. Aber vernünftige Polos die man tragen kann.
  • Lacoste Outlet: Damit meine ich jetzt nicht direkt die Boutique-Ware die wegen Rabatt im Fenster hängt. Wer anfangen will kann auch mal in Outlets schauen oder Lacoste nach Tiefstpreis-Sortierung kaufen. Dann bekommt ihr die Outlet-Waren, die trotzdem von Lacoste gemacht werden, aber eben halt doch nicht das Original darstellen – der Preis muss ja irgendwo auch hergeholt werden. (Geheimtipps aus Erfahrung: „Lacoste Sport“ aber ohne wirklich Sportfunktionskleidung zu sein, ist immer die Billigware von Lacoste, aber brauchbar)

Kommen wir jetzt mal auf der qualitativen Schiene weiter. Jetzt ist uns der Preis zunehmend egaler.

  • Ragman: Wer preislich auf etwa gleichem Niveau mit Lacoste Outletware bleiben will, aber doch qualitativ besseres sehen möchte könnte mal bei Ragman nachsehen. Hut ab für die beste „Kragentechnik“ überhaupt. Das Ding musst du nicht bügeln, weder für Kragenstabilität noch für irgendwas anderes. Egal ob auf Kleiderbügel oder über Ständer getrocknet.
  • Engelbert Strauss: Das ist mein echter Geheimtipp. Das Deluxe-Poloshirt war und ist überraschend gut. Keine Schildchen und die Stoffe sind doch was besseres als Christian Berg, welche in meinen Augen qualitativ am dichtesten rankommen.
  • Lacoste Boutiqueware: Ja, genau. Die Boutiquen die es von Lacoste gibt. Keine Outlets, auch nicht das was als „Vorserie“ in eben jenen Outlets verkauft wird. Alternativ auch der Onlineshop von Lacoste selbst. Hier bitte darauf achten dass ihr von Lacoste kauft. Ich habe die Vermutung dass Lacoste für andere Shops auch andere Ware produzieren lässt, die genau so aussieht, aber qualitativ schlechter ist. Hier hilft es dann auch nicht über MyDealz oder andere Affiliate-Blog-Zeugs-Geschichten zu gehen. Geht in die Boutique und schaut es euch mal an. Das ist was anderes als ein Kleiderladen, das verspreche ich euch.

Jetzt ist uns der Preis komplett egal. Hauptsache Qualität, die muss passen.

  • Anfertigungen von Lacoste: Also die Personalisierten Polos aus dem Onlineshop von Lacoste. Die werden definitiv in Frankreich gefertigt und deren Piquee-Stoff ist doch noch mal was anderes als Boutiqueware.
  • Polo Ralph Lauren: Hier ein bisschen aufpassen. Ich glaube dass Lauren in allen Bereichen mit gleichem Namen mitspielt, deren „Normalbepreiste“ Polos (und normal ist in der Klasse gut 80-100€) – sind qualitativ doch besser als Lacoste L12.12er Originale.
  • Emporio Armani: auch hier aufpassen. Armani hat viele Marken. So ist EA7 und Armani Exchange eher das was bei Lacoste die Outletware wäre. Auch würde EA7 und Armani Exchange als Logo auf der Kleidung schon offen ausdrücken dass man sich halt kein original Armani leisten konnte. Qualitativ auf einer Ebene mit Lauren.

Ihr merkt vielleicht dass es doch sehr proportional nach höherer Preis gleich bessere Qualität geht. Das wird überall so sein. Daher hole ich im Abschluss beim Too long… part noch mal eine Liste mit Geheimtipps nach.

Wovon ich nicht reden kann

  • Lacoste Designerware: Die Kollaborationen mit anderen Modelabels oder Designern. Polaroid kürzlich und alles was da halt so läuft.
  • Mehr Luxusmarken wie Off-white und so. Das braucht man dann doch wiederum nicht. Auch nach Oben gibt es irgendwelche Grenzen und die Luxusmarken sind alleine wegen ihrem Zweck schon über dieser Grenze.

Too long, didn’t read

Poloshirts, von brauchbar bis richtig gut aufsteigend:

  • Christian Berg
  • Engelbert Strauss Deluxe Polo (<- Geheimtipp – ja wirklich nicht von Strauss gesponsert, Ehrenwort)
  • Ragman
  • Lacoste (Boutique)
  • Ralph Lauren / Emporio Armani

Was jetzt auf meiner Watchlist steht

Über Poloshirts kann man sich in meiner Social-Blase irgendwie perfekt unterhalten. Ich habe mal kurz rumgefragt den Preis völlig außer Acht zu lassen und da auch keinen Bogen um Luxus rum zu machen, aber doch beim Fokus auf Qualität zu bleiben.
Über die Folgenden Marken kann ich also überhaupt nichts sagen, außer dass sie nun doch auf meiner „Watchlist“ stehen.

  • John Smedley – ein Britischer Shop der auf Strick fokussiert zu sein scheint.
  • Loro Piana – ein definitiv in die Luxusregion einzustufender italienischer Shop. Unter 300€ bekommt man dort selten etwas.
  • Fjällräven Övik – der Hersteller dieses komischen Rucksacks scheint auch ein Polo zu machen, welches wohl nicht schlecht sein soll.
  • Trigema – die deutsche Traditionsmarke wird auch gelegentlich empfohlen – und bleibt wenn sie Qualität auf Ebene Lacoste und Ragman anbietet doch recht günstig. Der lokale „Made in Germany“ Aspekt wäre mir da ziemlich egal, weil der Fokus auf Qualität bzw. Preis/Leistung liegen sollte, das kann man auch in Bangladesh schaffen.

WhatsApp Gruppeneinstellungs-Kettenbrief debunk

Wir nehmen einen aktuellen Kettenbrief in Whatsapp:

Ich bin mir nicht sicher, ob Du das schon weißt, aber WhatsApp hat heimlich die Gruppeneinstellungen auf „Jeder“ geändert, so dass Leute, die Du nicht kennst, Dich zu einer Gruppe hinzufügen kann, einschließlich zwielichtiger Wettchats, Kredithaie, Finanzbetrugsgruppen…

Du kannst Deine Einstellungen ändern:
1. Gehe zu WhatsApp:
2. Gehe in die Einstellungen
3. Gehe zu Konto (Account)
4. Gehe zu Datenschutz
5. Gehe zu Gruppen
6. Ändere von „Jeder“ zu „Meine Kontakte“, drücke (Fertig).

Ich habe meine überprüft und sie war auf „Jeder“ eingestellt. Bitte informiere Deine Freunde.

Whatsapp Kettenbrief zu Datenschutzeinstellungen bei WhatsApp

Warum ist das ein Kettenbrief?

Formulierungen wie „Bitte informiere Deine Freunde“ und der Druckaufbau mit „heimlich“ und „über Nacht“ und übertriebener Beispiele – in dem Fall halt Wettchat oder Finanzbetrug.
Gleiche Techniken wendet man übrigens beim Social Engineering an.
Wahlweise werden Aufmerksamkeit erheischende Emoji-Ketten hinzugefügt.

Fakten

  • Die Einstellung zum Hinzufügen in Gruppen wurde nicht erst kürzlich geändert, sie war schon immer so.
  • Ändert ihr diese Einstellungen müsst ihr die Person die euch zu Gruppen hinzufügen soll im eigenen Adressbuch haben, das ist auch im normalen Umfeld nicht immer der Fall. Es umzustellen bedeutet also trotzdem eine weitere Verkomplizierung.
  • Die Personen die euch zu Gruppen hinzufügen soll, muss eure Telefonnummer erst einmal haben und im Adressbuch abgespeichert haben. Das ist selbst bei Spam-SMS eher selten der Fall, oft wird heutzutage Spam via SMS auch weiterhin per Nummern raten durchprobiert und versendet.
  • Ganz ehrlich: Ihr würdet doch Gruppen erkennen die euch gar nicht erst betreffen und dort auch sofort wieder raus gehen, oder?

Im Grunde genommen also wieder ein Kettenbrief der so gar nichts inhaltlich sinnvolles enthält. Klar, sie zeigt die Optionen für Datenschutz für Anwender die diese vielleicht noch nicht kennen, das macht sie zumindest weniger schlimm. Die Tatsache dass das nur per Kettenbrief zu funktionieren scheint ist allerdings traurig.

Denkt dran: In jedem Kettenbrief steckt immer eine Unwahrheit, das haben alle gemeinsam.

via Spiegel (Vorsicht: agressive Cookiewarnung auf Desktoprechnern, keine Paywall)

Clubhouse auf Android

Clubhouse gibts jetzt auch für Android. Offiziell nur in den USA. Hier aber in ganz kurzer Form wie ihr das bewerkstelligt, egal wo auf der Welt ihr nun gerade seid:

  • Auf eurem Android diese Seite aufrufen
  • dort den Download der neuesten Version in der Variante „nodpi“ suchen und herunterladen
  • Den Download starten.
  • Euer Android bittet euch nun die Installation von Apps zuzulassen, das solltet ihr in dem Fall auch tun

Jetzt seid ihr in Clubhouse dabei und braucht auch weiterhin eine Telefonnummer die bereits eingeladen wurde um die App ohne Warteliste zu nutzen.

Dazu noch ganz kurz: Die App ist im Early Access – ihr solltet also Fehler erwarten und nicht böse sein wenn die App mal abstürzt oder rumspinnt. Kommt ihr nicht mehr weiter, startet euer Smartphone einmal neu.
Auch sollte euch klar sein dass Stand heute alle in den Talks von Apple ausgehen, besonders wenn es um die Bedienung von Clubhouse geht ist das bei euch anders, oder fehlt komplett, weil die App nicht fertig ist.

Der Google PlayStore erkennt die App, weil sie dort ja auch registriert ist, bietet euch aber nicht an die App zu aktualisieren, ihr seid ja nicht in Amerika. Zur Aktualisierung geht bitte wieder wie oben vor. Genau so wie in Windows auch können Android-Apps einfach „drüberinstalliert“ werden.

Exchange On-Premise: Mails von Freigegebenen Postfächern in der Outlook App

Nachgetragenes Vorwort

Letztendlich gibt es einige Methoden – von der besten hin zur schlechtesten:

  • Der OnPrem wird komplett zu einem Exchange-Online in der Azure Cloud transferiert, nach Umstellung den OnPrem komplett abschalten. (Dazu gehören allerdings auch Gedanken was man dann mit den Domaincontrollern tut)
  • Im Hybridbetrieb ist die Online-Variante mit Microsoft 365 autodiscover für die Mailabhandlung zuständig, der OnPrem Exchange schiebt dann nur ein noch nicht modernisiertes altes AD hoch und dient nur als Schnittstelle eines veralteten ADs hin zum Exchange Online. Die Variante anders herum, wenn der OnPrem die Mails abhandelt funktioniert meines Wissens nicht.
  • Das AD-Objekt vom Postfach aktivieren und ihm ein Kennwort setzen. Mit diesen Daten dann anmelden. Das verstößt allerdings gegen Lizenzrecht und bricht jeden Microsoft Audit. Ansatz hier ist dann das Umdrehen der gesamten Lizenzierung auf Gerätebasierte Lizenzen, damit könnt ihr womöglich dieses Problem umgehen.
  • die kommende Methode hier die vollkommen entgegen Datensparsamkeitsgedanken ist – damit kopiert ihr Mails

jetzt aber zurück zum Thema:

Eine direkte Methode gibt es nicht, aber eine indirekte. Die ist sehr sehr „dreckig“.
Die sauberste Lösung ist eine Kombi aus Azure AD und Exchange-Online – hier kann ich auch nur vermuten, meine aber gesehen zu haben dass sich hier Exchange verhält wie vom Anwender erwartet. Das tut OnPrem leider nicht.
Hier soll es aber um die dreckige Lösung gehen, weil man ja gewisse Datenschutz-Spinnereien bei der bloßen Erwähnung von „Azure“ und „Exchange Online“ hat

Gedanken zur dreckigen Methode

Mit der Methode kopiert ihr E-Mails. Das hat einmal den Datenschutz zur Folge, weil ihr automatisiert Mails an Postfächer anderswo hin kopiert.
Andererseits vergrößert es die Datenbank, da ja jede Mail doppelt abgelegt wird. Je nachdem wie viele Postfächer die Mail dann empfangen.
Speicherplatz sollte aktuell kein Problem mehr sein, dazu gehören aber Gedanken bzgl. der Performance und ob die Datenmenge in 2-3 Jahren weiterhin flüssig abgearbeitet werden kann. Stetig langsamer werdende Systeme wird der Anwender nicht bemerken, wohl aber abrupt nicht mehr funktionierendes.
Das hättet ihr mit der skalierbaren Lösung im Azure Umfeld mit Exchange Online direkt erschlagen. Siehe Vorwort und deren Priorisierung.

Die Mails zu kopieren ist also genau so viel Speicher wie bei einem Verteiler – es ist ja auch einer. Man könnte also auch absprechen ob man freigegebene Postfächer so umstellt, dass es dann Verteiler sind. Damit verliert man die übersichtliche Auflistung als extra Postfach und die Alten Mails aus dem Postfach zu kopieren ist ein ziemlicher Aufwand. Wenn die Anwender sich dazu keine Filterregeln im Outlook anlegen können ist das ein starker Negativ-Punkt der euch auch von Kunden oder Anwendern entgegen kommen wird.

In Kürze – oder für die Erfahrenen

ForwardingSMTPAddress, darauf achten dass DeliverToMailboxAndForward auf $true steht. Sonst stibitzt ihr den ganzen Desktop-Anwendern die Mails weg.
Begleitende Gefahren: ForwardingSMTPAddress ist als erweitertes AD-Attribut genügend intransparent und wird in kaum einer GUI angezeigt, oft ist es auch der letzte Punkt an dem der dann schon verzweifelte IT-Dienstleister nachsieht. Im MessageTrackingLog steht dann urplötzlich einfach ne andere Mailadresse drin.
Zudem sind alle Empfänger, auch externe möglich.
Das macht es enorm gefährlich, ForwardingSMTPAddress sollte also bei jedem IT-Sicherheitsmenschen auf der Liste stehen.

Code in der Management Shell:

Set-Mailbox -Identity "XY" -DeliverToMailboxAndForward $true -ForwardingSMTPAddress irgendeinemail@irgendeinedomain.com

Bei mehreren Empfängern benötigt es eine DistributionGroup, da das AD-Attribut nur eine Mail pro AD-Objekt fassen kann. Sind mehrere externe Empfänger notwendig arbeitet man mit Contacts.
Kontrolle:

Get-Mailbox -Identity "XY" | Format-List ForwardingSMTPAddress,DeliverToMailboxAndForward

Länger – für die nicht ganz so erfahrenen

Methodik: Mails von Freigegeben Postfächern an persönliche Postfächer weiterleiten. Microsoft hat stand heute (siehe Artikeldatum) noch nicht geschafft OnPrem-Exchanges den Abruf von Freigegebenen Postfächern in der eigenen Outlook App zu integrieren.
Geht die Mail doch ins persönliche gibts nen Pling auf dem Smartphone und Mobiluser sind glücklich.

Culprit: User von Outlook für den Desktop bekommen Mails doppelt zugestellt, solange sie das freigegebene Postfach ebenfalls abrufen.

Einrichtung

Erst einmal Exchange Management Shell aufmachen, ich gehe davon aus dass ihr wisst wie das geht. Ansonsten halt DuckDuckGo…
Jetzt gehts weiter:

Set-Mailbox -Identity "XY" -DeliverToMailboxAndForward $true -ForwardingSMTPAddress "irgendeinemail@irgendeinedomain.com"

Set-Mailbox: Fasse Postfach an, -Identity als Marker welche Mailbox gemeint ist
-DeliverToMailboxAndForward ist ein AD-Attribut, das sichert dass Mails zugestellt UND weitergeleitet werden, ist das nicht drin wird die Mail nur weitergeleitet und kommt gar nicht erst im Freigegebenen Postfach an. – $true ist ein Boolean, wollt ihr das nicht, lasst das Attribut weg, $false Booleans setzt man nur dann wenn man explizit false ausdrücken möchte.
-ForwardingSMTPAddress ist das wichtige Attribut hier, das muss die Empfängermail enthalten, als Mailadresse, nicht als -Identity. Kann alles sein, Hacker, externe Mails. Wir nutzen das hier aber nur um an intern weiterzuleiten, also Mail des persönlichen Postfachs rein an das weitergeleitet werden soll.

ForwardingSMTPAddress fässt genau eine Adresse, sind mehrere gefordert muss eine Verteilergruppe angelegt werden, dann ist der Verteiler der Wert fürs Attribut.

Der Befehl gibt nichts aus, wundert euch nicht. Deswegen die Kontrolle:

Get-Mailbox -Identity "XY" | Format-List ForwardingSMTPAddress,DeliverToMailboxAndForward

Get-Mailbox: Rufe Postfach auf,
-Identity kennt ihr schon.
| ist ein verketteter Befehl, ihr wollt was anderes als üblich haben.
Format-List (Ausgabe formatieren) – und dann die Attribute die wir eben angefasst haben.

Nun werden Mails an das freigegebene Postfach schön abgezwackt und in persönliche Postfächer zugestellt.
Nachteil wie oben aus dem Experten-Bereich: Niemand sieht das, jedenfalls niemand der nicht explizit daran denkt.

Dies ist nur die technische Methode, Datenschutz weiter auszuführen sollte jeder für sich machen. Das ist zu individuell.

Diese Methode weiterspinnen

Zusätzlich dazu sehe ich die Möglichkeit für die Empfänger von Freigegebenen Postfächern extra private-postboxes zu erstellen an die eben jene Mails dann weiter gehen, weil eben nur Private von Outlook Apps abgerufen werden kann. Damit haben die User dann eben zwei Postfächer in den Apps hinterlegt, von denen eins eine Spiegelung des freigegebenen ist.
Diese Methodik zieht allerdings andere Probleme mit, besonders wenn doppelte Privat-Postboxen eben auch doppelte AD-Accounts benötigen.

Fazit

Die Tage von On-Premise Exchanges sind gezählt. Heutzutage geht man statt lokaler Server eher den Weg zu redundanten Internet-Strecken um eben Azure und Microsoft 365 verlässlich erreichen zu können.
Microsoft wird sich also bezüglich Featureupdates für On-Premise Exchanges eher zurückhalten und die volle Energie in Microsoft 365 für Endkunden und Enterprise stecken. Das lässt die Zeitbombe für Unternehmen und Dienstleister ticken, die vielleicht aus finanzieller Sicht On-Premise weiterhin promoten, mit einem Stück Hardware, entweder beim Kunden oder als vom Dienstleister gemietetes Rechenzentrum lässt sich halt gut Marge fahren. Darauf sollte ein Vertrieb achten. Ich bin sowieso immer für sehr viel mehr Langzeit-Planung im vertrieblichen Bereich. Besonders beim Konflikt zwischen nachhaltig-verlässlicher Lösung und größerer Marge.

Das Problem von Freigegebenen Postfächern auf Mobilgeräten wird sich also auf längere Sicht selbst beheben, weil es früher oder später einfach gar keine andere Möglichkeit mehr als Exchange-Online geben wird.
Ein Quick-Win ist aber nur über diese „dreckige“ Methode aus shared-postbox mails private-postbox mails zu machen verfügbar.

Wie man gegen Lieferando-Domains arbeitet

Lieferando kapert erfundene Domainnamen der Restaurants die an Lieferando angebunden sind. Eine sehr fiese Praktik eines ohnehin schon als Monopol arbeitenden Unternehmens. So kommt man auf eine Website, teilweise sogar bei Google im Maps-Eintrag eingetragen, die für jeden Millenial der das Internet halbwegs kennen gelernt hat, nach Domain-Parking aussieht. Dinge wie Restaurant-Antalya.de, Der-grieche-Muenchen.de, bestfoodmunich.city etc. Ihr wisst was ich meine. Domains mit direktem Bezug auf den Namen teilnehmender Restaurants.
Mögt ihr Domain-Parking? Habt ihr das jemals für gut geheißen? Nein? Okay, dann wollen wir mal…

Photo by Monstera from Pexels

Vorsicht: Wer hier an LOIC und DoS denkt begibt sich recht schnell auf einen illegalen Pfad. Wir wollen hier keine Websites kapern, oder sie unaufrufbar machen. Wir wollen gegen eine Geschäftspraktik arbeiten die Restaurantinhabern verfügbare Domainnamen vorab nimmt – nur damit sie ein verdammtes Monopol gegen Gebühr eben jenem Restaurant anbieten kann. Einem Restaurant dass wegen hoher Provision und der Coronakrise ohnehin schon am finanziellen Limit läuft. Genau in einer Zeit in der die Restaurants selbst sich sicherlich keine Gedanken machen können wie sie digitalisieren. Weil sie ihre verdammten Mitarbeiter nicht mehr halten können und damit der Kern des Restaurants, der Geschäftsbetrieb stehen bleibt.

Was tut Lieferando hier genau?

Ich weiß dass Lieferando solche Domains besitzt und sie bucht. Kürzlich stolperte ich allerdings über einen Google Maps Eintrag der mich auf eben jenes Domain Parking geworfen hat. Mit der dort eingetragenen Homepage! Selbst mit der Speisekarte die dann wieder Domainparking war.
Die Seite war ein simples Lieferando-Logo, keine Links, kein gar nichts. Man konnte ja nicht einmal bei Lieferando über diese Website bei eben jenem Restaurant bestellen.

Kurzes TL;DR, oder wie Lieferando vorgeht:

  • Website registrieren, das tun sie über eigene Nameserver der Mutterfirma Takeaway.com, das Vorgehen ist also genau das gleiche wie bei Lieferando.de und den regionalen Landes-Homepages.
  • Das Kritische: Sie scheinen sich der SEO-Trickkiste zu bemühen und sind damit scheinbar recht erfolgreich. Dagegen kann man an sich nicht viel unternehmen. Man müsste ziemlich viel Geld in Google AdWords stecken – zumindest mehr als das Monopol bereit wäre zu zahlen – um damit fertig zu werden
  • Was das Fass zum Überlaufen bringt: Lieferando stellt in den Unternehmenseinträgen eben jene Website als Homepage und als Speisekarte ein. Genau dort wo die meisten User heutzutage klicken – und verdammtes Domainparking ausgeliefert bekommen.

Unternehmenseinträge kapern

Was Lieferando hier tut ist sicherlich eine rechtliche Grauzone. „Restaurants werden vorab informiert“ bedeutet umgangssprachlich und hier einmal deutlich übertrieben – ich bitte um Vorsicht, dies ist nur meine Vermutung: „Wir werden in 30 Sekunden folgende Domains registrieren: a.de, b.de. c.de, … , xyz.food. Fülle bitte dieses Formular aus und sende es per Post wenn du nicht einverstanden bist.“ – Wahlweise mit Nettigkeiten die Domains wieder freizugeben (was nichts bringt, weil sie dann an einen anderen Domainparking-Dienst fallen – der auch erst in fünf oder zehn oder zwanzig Jahren die Lust verliert) oder sie dem Restaurant zum eigenen Management zu übergeben.
Lieferando wird dann sicherlich auch erwähnen dass sie dann damit Branchenbucheinträge füllen werden.

Das mag jetzt natürlich sehr übertrieben klingen. „Restaurants werden vorab informiert“ bedeutet aber noch lange nicht, dass die Restaurants vorab mit ausreichender Karenzzeit die einem Restaurantbetrieb angemessen ist um Erlaubnis geboten worden sind.
Das wird eine Änderung in den Bedingungen gewesen sein, die Restaurantbesitzer akzeptieren mussten, weil sie finanziell von Lieferando abhängig sind und ohne das Monopol gar nicht erst existieren würden.

Unternehmenseinträge zurück-kapern

Dies als Apell an alle Restaurantbesitzer:
Google macht es möglich Inhaberschaft eines Google Maps eintrags zu beanspruchen. Genau das solltet ihr tunlichst auch machen. Dazu ist leider ein Google Account notwendig, welcher aber recht schnell angelegt sein sollte.
Danach ruft ihr euer Restaurant auf und klickt im Eintrag auf die entsprechenden Links.
Lieferando darf dies nicht tun, egal ob AGB oder Bedingungen oder nicht, wenn Lieferando euren Maps-Eintrag als Inhaber registriert, dann ist das illegal – jeder Anwalt wird sich dann fröhlich die Hände reiben – und vielleicht ins Schwitzen kommen, weil Lieferando als Monopol deutlich mehr Geld für Anwälte hat – das ganze Geld haben sie ja schließlich von euch Restaurants.

Man kann den eigenen Google-Maps Eintrag also in zwei oder drei Minuten an euren eigenen, eventuell neu erstellten Google Account binden.
Danach könnt ihr nach belieben Lieferando-Domains aus dem Eintrag raushauen, Speisekarten-Links wegnehmen, mit etwas mehr Einarbeitungszeit sogar kleine Nachrichtenkarten mit freiem Text in den Eintrag setzen.

Der Grundschutz gegen Lieferando-Maps-Gekapere dauert also 5-10 Minuten Arbeitszeit und beinhaltet es nur, ganz kurz bei Maps als Inhaber von eurem Eintrag registriert zu werden.
Danach kann Lieferando an dem Eintrag nichts mehr tun, ohne dass ihr das bestätigt. Dazu bekommt ihr dann Mails.

Google Local Guides als Community gegen Lieferando

Es gibt ein nettes Programm von Google, welches auch schon Leid erfahren hat, und deshalb doch etwas stärker eingeschränkt wurde.
Die Rede ist von Google Local Guides. Googles Gamifizierung damit Benutzer kostenlos Maps-Daten pflegen. Mit entsprechenden Annehmlichkeiten wenn man Google zur Genüge zuarbeitet.
Google wird mit zunehmender Aktivität im Local Guides Programm mit den Einschränkungen lascher. Ihr werdet zu Anfang keine Maps-Daten ohne Zustimmung oder Prüfung abändern dürfen. Ihr dürft zu Anfang nur vorschlagen, nach gewisser Zeit sind sie dann umgesetzt oder nicht.
Ich rede hier von Öffnungszeiten, von Fotos, von Branchenbuch-Datenpflege – alles was eben dafür notwendig ist.
Tut ihr genügend im Local Guides Programm werdet ihr merken dass Google irgendwann eure Änderungen viel schneller übernimmt und diese auch sehr viel schneller direkt Öffentlich sein werden.
Genügend ist allerdings eine Zeitspanne von ein bis zwei Jahren, ab Level-Stufe 5 oder 6 habe ich erfahren dass doch Vertrauen aufgebaut werden konnte – so kann ich nun eben jene Domainparking-Links von Lieferando einfach so wieder aus diesen Einträgen rausnehmen. Bis jemand von Lieferando wieder mal dran denkt die wieder rein zu setzen.

Das kann die Community also tun, vielleicht seid ihr schon im Local Guides Programm aktiv? Habt ihr die gleichen Erfahrungen? – Dann mal los, lauft ihr bei einem Restaurant ins leere, mit dezentem Hinweis auf Lieferando, dann tut euch keine Muße und nehmt zumindest die Speisekarte und die Homepage aus dem Eintrag raus.
Damit haben wir Lieferandos SEO-Leuten (eine Berufsbezeichnung bei der ich sowohl Interesse als auch Abscheu verspüre) ein Schnippchen geschlagen.

Was sollte Lieferando tun?

Wir Kunden wollen auf euch nicht verzichten. Ihr seid nun mal eben Monopol und genau so wie mit der Bahn, oder Flixbus, oder der Post, oder wasweißichwen kommt man eben nicht mehr um euch rum. Das ist nun mal eben der Vorteil eines Monopols und der sei euch auch gegönnt. Ein Monopol zu werden ist eine Höllenarbeit.

Wie ihr mit den Domains umgeht ist allerdings nicht okay. Ich rate euch zu voller Transparenz. Das seid ihr nun schuldig – und zwar Öffentlich im Internet.
Also:

  • Wann wird eine Domain registriert?
  • Wird der Restaurantinhaber darüber informiert? Wie wird er darüber informiert? Auf welchen Wegen?
  • Wie viel Zeit vergeht vor Information des Inhabers und Registrierung der Domain?
  • Sind die Vermittlungsgebühren höher oder niedriger, wenn der Restaurantinhaber den Domains nicht zustimmt?
  • Was genau tut ihr, wenn ein Restaurant die Domains übernehmen möchte?

Will ein Restaurant die Domain übernehmen ist es in meinen Augen die Pflicht von Lieferando hier keinen eigenen „Websitebaukasten“ anzubieten, sondern ebenfalls die Access Codes der Domain herauszugeben, damit der Restaurant-Inhaber oder dessen IT-Dienstleister diese Domain dahin bewegen kann wohin er möchte – oder ihr gebt nach Anweisung des Inhabers die Domain wieder frei, Ihr habt da kein Mitspracherecht. Alle Möglichkeiten sollten beim Inhaber liegen.
Der Restaurant-Inhaber oder dessen Vertreter sollte vollen Zugriff auf die Domain bekommen, inklusive DNS-Einträge und freier Entscheidung was er damit tun möchte.

Es sollte jedem betroffenen Restaurant während Lieferando die Domain hält klar sein was damit passiert, was diese anzeigt und wo diese eingetragen wird. E-Mails reichen hier eventuell nicht aus. Die Kommunikation muss hier auch in leichterer Sprache passieren. Ein in schwerem Techniker-Deutsch geschriebenes Dokument verfehlt seinen Zweck.
Wenn es dann dem Restaurant egal ist – dann freut euch, ihr habt eine Domain die euch das Restaurant hoffentlich nicht in höheren Gebühren abbezahlt.
Wenn das Restaurant das so möchte, dann ist rechtlich sicherer „consent“ geschaffen, genau das was vor Registrierung aller Restaurant-Domains hätte passieren müssen. Im Einzelfall, als Opt-In, nicht als Opt-Out.

Too long, didn’t read (TL;DR)

Hallo Restaurants? Nehmt euch bitte kurz Zeit und tut genau das was Google will um die Inhaberschaft eures Google Maps Eintrags zu übernehmen. Viel mehr müsst ihr nicht tun, nur diesen Eintrag registrieren. Dann haben „Fremde“ weniger Möglichkeiten Falschinformationen zu streuen.

Hallo Local Guides? Seht ihr hinter einem Restaurant-Eintrag eine Domainparking-Website ohne eigentliche Bestellmöglichkeit bei dem gesuchten Restaurent, nehmt die Website aus dem Eintrag raus. Das dient der Zufriedenheit aller, man will ja bestellen und nicht auf Domainparking landen.

Hallo liebe Kunden? Seid euch bewusst dass das Restaurant oftmals auch ein Telefon hat. Ja, diese Telefon-App auf euren Smartphones. Der Weg übers Telefon und gesprochene Sprache ist der Favorit aller Restaurants. Das garantiere ich euch.
Wenn ihr Lieferando nutzt, seid euch zumindest bewusst was eine Monopolstellung bedeutet.

Hallo Lieferando? Euch gebe ich kein TL;DR, ihr solltet diesen Beitrag schon lesen.

Googles FLoC auf Uberspace 7 blocken

Googles neues FLoC bezieht prinzipiell jede Website ein die nicht opt-outet.
(Hier sehe ich noch einige relativ große Rechtsstreitigkeiten auf Google zukommen).

Google sichert seinen Umsatz durch Werbung, der öffentliche Trend hin zu Datenschutz trieb die Browser immer weiter zum Blockieren von Drittanbieter-Cookies, eben jenen die Seitenübergreifendes Tracking ermöglichen. Selbst Google Chrome muss dies auf Druck der Öffentlichkeit nun umsetzen.
Da Google finanziell von eben jenen kleinen Textschnipseln abhängt ist Google gezwungen eine Alternative zu finden. Der Trick mit dem sie die DSGVO und die Privatsphärebedenken umgehen ist wie so üblich die Verhinderung von Einzel-Tracking, per Design erlaubt FLoC nur Tracking von so genannten Interessensgruppen. Wer hier weiter gehen will liest auf GitHub weiter, hier soll es ja um das Verhindern auf Uberspaces gehen.

Zum Blocken ist ein Anpassen des Headers notwendig. Damit ist nicht <head>der HTML-Header</head> gemeint:

Permissions-Policy "interest-cohort=()" muss in jedem HTTP-REPLY mitgegeben werden.

Sehr sehr trickreich von Google. Ich schätze mal dass genau 5% aller kleinen bis mittelgroßen Websites überhaupt die Möglichkeit auf einen OptOut haben, weil es der Hosting-Dienstleister schlicht nicht möglich macht (Hallo Anwälte, ich gebe euch hiermit schon Ansätze gegen Google vor)

Kurze unqualifizierte Erklärungen für die Laien von jemandem der sich selbst noch nicht als Experte ansehen würde: Nach dem Three-Way-Handshake muss der Server auf jede Anfrage reagieren, auf ein HTTP-GET (Anforderung einer Internetseite eines Users) müssen also Pakete zurückgegeben werden. In diesen Antwortpaketen muss der Text im HTTP-REPLY Header mitgegeben werden. Das sieht hier dann eben so aus, könnt ihr mit jedem curl nachvollziehen:

StatusCode        : 200
StatusDescription : OK
RawContent        : HTTP/1.1 200 OK
                    Transfer-Encoding: chunked
                    Connection: keep-alive
                    Vary: Accept-Encoding,Accept-Encoding
                    Pragma: no-cache
                    X-UA-Compatible: IE=edge
                    X-Xss-Protection: 1; mode=block
                    Permissions-Pol...

Zurück zum Thema: auf Uberspace 7 geht das in der SSH-Shell so:

uberspace web header set / Permissions-Policy "interest-cohort=()"

und genau deswegen solltet ihr alle Uberspace nutzen.
Für alle Fortgeschritteneren geht das so: FLoC opt out (zgp.org)
Für alle die bei Uberspace bleiben wollen geht es hier weiter.
Für alle die bei etwas anderem sind geht in dieser großartigen Auflistung weiter.

Selbstverständlich habe ich dies hier auch getan – wie im Code oben ja schon zu sehen.
Ich würde sogar versuchen eine Let’s Encrypt Mäßige Welle zu starten um genau diesen Optout mehr und mehr zum Standard zu machen. Nur so bekommt man solche Geschäftspraktiken im Keim erstickt. Größere Webhoster die eben jene Permissions-Policy genau so rigoros als Standard für alle setzen wie Google diejenigen ohne Eintrag ungefragt kategorisiert.

Dank an den Uberspace Support, der immer super unterstützt und oft im genau richtigen Maß Tipps gibt ohne dass gleich alles Vorweg genommen wird.

Update: WordPress ohne Apache-Anpassungsmöglichkeit

Ich erwähnte oben dass es nicht jedem möglich ist den Apache-Reply-Header einfach so anzupassen. Viele Websites laufen tatsächlich auf Basis von WordPress und das geht in dem Fall dann so:

Das hier muss in eure functions.php, entweder via SSH oder über den Dateieditor in eurem Theme von WordPress.

add_filter(
	'wp_headers',
	function ( $headers ) {
		if ( empty( $headers['Permissions-Policy'] ) ) {
			$headers['Permissions-Policy'] = 'interest-cohort=()';
		} elseif (
			! empty( $headers['Permissions-Policy'] )
			&& false === strpos( $headers['Permissions-Policy'], 'interest-cohort' )
		) {
			$headers['Permissions-Policy'] .= ', interest-cohort=()';
		}

		return $headers;
	}
);

Der Code ist von Paramedo, die ich hier im Beitrag schon mindestens drei mal verlinkt habe.
Habt ihr die Möglichkeit den Apache oder nginx Header anzupassen, dann tut das bitte auch über die Apache oder nginx, diese Variante ist sicherer als WordPress-Files.

Aktueller Stand zur Geschichte

Ich möchte hier einmal laufend aktualisieren was auf dem Gebiet so passiert: