Email bisnis yang berjalan lancar setiap hari bukan berarti email bisnis yang aman. Sebagian besar celah keamanan email tidak mengirim peringatan — mereka diam, dan baru terlihat setelah dieksploitasi.
Verizon DBIR 2025 mencatat bahwa 60% pelanggaran keamanan melibatkan faktor human error, dan email tetap menjadi vektor serangan nomor satu. Bukan karena teknologinya lemah, tapi karena tanda-tanda bahwa sistem email bisnis tidak cukup terlindungi sering diabaikan — atau bahkan tidak pernah disadari.
Tidak Ada Lapisan Keamanan di Luar Filter Bawaan
Filter bawaan Google Workspace dan Microsoft 365 dirancang untuk menangkap ancaman yang sudah dikenal. Spam massal, malware dengan signature lama, phishing template yang sudah beredar luas — semuanya tertangkap dengan baik oleh filter ini.
Tapi ada kategori ancaman yang memang tidak dirancang untuk mereka tangkap: email yang ditulis secara personal tanpa link atau attachment mencurigakan, serangan yang menggunakan domain baru yang belum masuk daftar hitam, dan phishing yang dibuat unik setiap kali dikirim. Jika satu-satunya lapisan keamanan email bisnis Anda adalah filter bawaan platform, celah ini terbuka setiap hari.
Tanda yang perlu dicermati: apakah ada email mencurigakan yang sesekali lolos ke inbox karyawan? Jika jawabannya ya — dan itu bukan spam biasa — kemungkinan besar filter bawaan sudah sampai di batas kemampuannya.
Tidak Ada yang Tahu Harus Lapor ke Mana
Ini salah satu tanda yang paling sering diabaikan. Ketika karyawan menerima email yang terasa mencurigakan, apa yang mereka lakukan? Jika jawabannya “tidak tahu” atau “hapus saja” — ada masalah di sini.
Email mencurigakan yang tidak dilaporkan adalah ancaman yang tidak terdeteksi. Tim IT tidak tahu bahwa ada serangan yang sedang berlangsung, tidak bisa menginvestigasi apakah email serupa dikirim ke karyawan lain, dan tidak bisa mengambil tindakan sebelum ada yang terkena dampak.
Bisnis yang sistem email security-nya sehat punya satu hal yang sederhana: prosedur pelaporan yang diketahui semua orang. Siapa yang dihubungi, lewat mana, dan apa yang terjadi setelah laporan masuk.
MFA Belum Aktif untuk Semua Akun Email
Multi-Factor Authentication (MFA) adalah lapisan perlindungan paling dasar untuk akun email bisnis. Jika password karyawan bocor karena phishing atau credential stuffing, MFA adalah yang mencegah akun diakses oleh pihak yang tidak berhak.
Masalahnya, banyak bisnis yang mengaktifkan MFA hanya untuk akun admin atau akun tertentu — bukan semua pengguna. Akun karyawan biasa yang tidak dilindungi MFA adalah titik masuk yang sama rentannya. Berdasarkan data dari Microsoft Security, MFA memblokir lebih dari 99,9% serangan berbasis credential yang mencoba mengakses akun. Ini bukan fitur opsional — ini baseline.
Tidak Ada Proses Verifikasi untuk Permintaan Transfer atau Akses
Business Email Compromise (BEC) adalah serangan email di mana pelaku menyamar sebagai eksekutif, vendor, atau rekan kerja untuk meminta transfer dana atau akses ke sistem tertentu. Tidak ada link, tidak ada attachment — hanya email yang terlihat sangat sah.
BEC menyebabkan kerugian USD 3,04 miliar di 2025 berdasarkan FBI IC3 Annual Report 2025, menjadikannya kategori kejahatan siber kedua terbesar secara finansial. Bisnis yang tidak punya proses verifikasi out-of-band — misalnya konfirmasi via telepon atau chat terpisah untuk setiap permintaan transfer — adalah target yang mudah.
Tanda bahwa bisnis Anda rentan: apakah ada karyawan yang pernah memproses permintaan transfer atau perubahan data hanya berdasarkan instruksi lewat email, tanpa konfirmasi tambahan?
Tidak Ada Rekam Jejak Aktivitas Email yang Bisa Diinvestigasi
Ketika ada insiden keamanan yang melibatkan email — akun yang dikompromikan, data yang bocor, atau transaksi yang tidak diotorisasi — investigasi membutuhkan data. Email apa yang masuk dan keluar, dari mana, ke mana, dan kapan.
Bisnis yang tidak punya audit log email atau solusi email archiving independen tidak punya fondasi untuk investigasi ini. Lebih dari itu, tanpa archiving yang memadai, bukti yang dibutuhkan untuk keperluan hukum atau compliance — termasuk kewajiban di bawah UU No. 27/2022 tentang Pelindungan Data Pribadi — bisa tidak tersedia saat paling dibutuhkan.
Untuk Google Workspace maupun Microsoft 365, platform bawaan menyimpan log aktivitas dengan periode retensi terbatas. Solusi seperti Dropsuite melengkapi ini dengan archiving email independen yang bisa diakses untuk investigasi kapan pun dibutuhkan. Dan untuk deteksi ancaman yang melampaui kemampuan filter bawaan platform, Ironscales menambahkan lapisan keamanan berbasis AI yang mendeteksi anomali — termasuk BEC dan phishing yang dibuat khusus untuk tidak terlihat oleh filter konvensional.
Pertanyaan yang Sering Diajukan
Apa tanda paling umum bahwa email bisnis sudah dikompromikan?
Ada beberapa indikator yang perlu diwaspadai: email terkirim yang tidak pernah dibuat oleh pemilik akun, perubahan pengaturan filter atau forwarding yang tidak diotorisasi, login dari lokasi atau perangkat yang tidak dikenal, dan karyawan lain yang melaporkan mendapat email mencurigakan dari akun internal. Jika ada salah satu dari ini, investigasi harus dilakukan segera.
Apakah filter spam bawaan Google Workspace dan Microsoft 365 sudah cukup untuk bisnis kecil?
Filter bawaan sangat efektif untuk ancaman yang sudah dikenal dan serangan massal. Celahnya ada di serangan yang dirancang khusus untuk melewati filter berbasis signature, seperti BEC tanpa payload teknis dan phishing yang dibuat unik per target. Untuk bisnis yang menangani transaksi finansial atau data sensitif, lapisan tambahan di atas filter bawaan sangat direkomendasikan.
Seberapa sering bisnis kecil menjadi target serangan email?
Lebih sering dari yang diasumsikan. Barracuda Email Threat Report 2025 yang menganalisis lebih dari 670 juta email mencatat bahwa bisnis kecil justru menjadi target yang diprioritaskan karena diasumsikan tidak punya sistem keamanan yang matang. Skala bisnis tidak mengurangi risiko — justru sering menjadi alasan bisnis dipilih sebagai target.
Apa langkah pertama yang bisa dilakukan hari ini untuk meningkatkan keamanan email bisnis?
Tiga langkah yang bisa dimulai hari ini tanpa biaya tambahan: aktifkan MFA untuk semua akun email, aktifkan audit log di platform yang digunakan, dan buat prosedur sederhana tentang apa yang harus dilakukan karyawan jika menerima email mencurigakan. Tiga langkah ini menutup celah paling dasar yang sering dieksploitasi.
Keamanan email bisnis bukan tentang punya sistem yang paling canggih. Ini tentang tidak punya celah yang paling mudah dieksploitasi — dan lima tanda di atas adalah tempat yang paling sering ditemukan celah itu.
Punya pertanyaan atau butuh solusi IT?
Hubungi tim Pixa Teknologi untuk konsultasi gratis.
Hubungi Kami →