Sebagian besar insiden keamanan email di bisnis kecil dan menengah tidak dimulai dari serangan yang canggih. Mastercard Global SMB Cybersecurity Survey 2025 mencatat bahwa 46% pemilik bisnis kecil pernah mengalami serangan siber — dan mayoritas bukan karena sistemnya dibobol secara teknis, tapi karena ada celah kecil yang tidak pernah ditutup.
Celah-celah ini tidak terlihat sampai dieksploitasi. Dan yang membuat ini lebih mudah diatasi dari yang dikira: sebagian besar bisa diperbaiki hari ini, tanpa biaya tambahan, tanpa tim IT khusus.
Password yang Sama di Banyak Akun
Ini adalah kebiasaan yang hampir universal — dan salah satu celah yang paling sering dieksploitasi. Ketika satu layanan yang dipakai karyawan mengalami kebocoran data, kombinasi email dan password mereka masuk ke database yang diperjualbelikan di dark web. Penyerang kemudian mencoba kombinasi yang sama di akun email bisnis, dan kalau password-nya sama, akses langsung terbuka.
Cara memperbaikinya cukup sederhana. Gunakan password yang unik untuk setiap akun kerja — minimal 12 karakter, kombinasi huruf besar kecil, angka, dan simbol. Password manager memudahkan ini karena karyawan tidak perlu mengingat semuanya. Dan pastikan MFA aktif untuk semua akun email bisnis sebagai lapisan kedua jika password bocor.
Domain Bisnis Tanpa Konfigurasi SPF, DKIM, dan DMARC
SPF, DKIM, dan DMARC adalah tiga konfigurasi DNS yang memverifikasi bahwa email yang dikirim dari domain bisnis Anda benar-benar berasal dari server yang sah — bukan dari penyerang yang menyamar menggunakan nama domain Anda.
Tanpa konfigurasi ini, siapapun bisa mengirim email yang terlihat berasal dari domain bisnis Anda ke klien, vendor, atau karyawan. Ini adalah teknik yang dipakai dalam banyak serangan BEC dan vendor impersonation. Berdasarkan panduan CISA tentang email security, konfigurasi SPF, DKIM, dan DMARC adalah langkah dasar yang wajib ada di setiap domain bisnis — dan ketiganya gratis untuk dikonfigurasi di DNS provider yang digunakan.
Cara cek apakah domain Anda sudah terkonfigurasi: gunakan tools gratis seperti MXToolbox atau Google Admin Toolbox. Hasilnya langsung menunjukkan apakah ketiga record sudah ada dan dikonfigurasi dengan benar.
Email Lama Karyawan yang Sudah Resign Masih Aktif
Akun email karyawan yang sudah tidak bekerja tapi belum dinonaktifkan adalah celah yang sering diabaikan. Akun ini biasanya tidak dimonitor, tidak dilindungi MFA yang diperbarui, dan bisa diakses oleh siapapun yang punya password lama — termasuk mantan karyawan itu sendiri atau penyerang yang mendapatkan kredensialnya.
Prosedur yang perlu ada: setiap kali karyawan keluar, ada checklist offboarding yang mencakup penonaktifan akun email di hari yang sama, reset password dan pencabutan sesi aktif, serta backup email yang diperlukan sebelum akun diarsipkan. Langkah ini tidak butuh waktu lebih dari 15 menit tapi menutup celah yang bisa terbuka berbulan-bulan tanpa disadari.
Tidak Ada Kebiasaan Verifikasi untuk Email Permintaan Pembayaran
Email yang meminta transfer dana, perubahan nomor rekening vendor, atau persetujuan pembayaran adalah target utama Business Email Compromise. Penyerang menyamar sebagai eksekutif, vendor, atau rekan kerja — dan emailnya terlihat sah karena tidak ada link atau attachment mencurigakan yang bisa dipindai filter.
Satu kebiasaan yang bisa langsung diterapkan: untuk setiap permintaan pembayaran atau perubahan data finansial yang datang lewat email, verifikasi selalu dilakukan via saluran terpisah — telepon langsung ke nomor yang sudah dikenal, atau konfirmasi via chat internal. Bukan reply ke email yang sama. Kebiasaan sederhana ini memutus rantai serangan BEC sebelum transfer terjadi.
Karyawan Tidak Tahu Cara Mengenali Email Mencurigakan
Filter email menangkap banyak ancaman secara otomatis. Tapi serangan yang paling berbahaya justru yang lolos dari filter — karena dirancang untuk terlihat normal. Di titik itu, satu-satunya pertahanan adalah karyawan yang bisa mengenali tanda-tanda email mencurigakan dan tahu apa yang harus dilakukan.
Berdasarkan Norton Small Business Email Security Guide 2025, human error tetap menjadi faktor terbesar dalam insiden keamanan email di bisnis kecil. Tiga hal yang perlu diketahui semua karyawan: bagaimana mengenali email yang mencurigakan meski terlihat sah, ke mana melaporkannya, dan apa yang tidak boleh dilakukan — termasuk mengklik link atau membuka attachment sebelum verifikasi.
Untuk deteksi ancaman yang melampaui kemampuan filter bawaan Google Workspace dan Microsoft 365, Ironscales menambahkan lapisan keamanan berbasis AI yang mendeteksi anomali perilaku — termasuk serangan yang tidak meninggalkan jejak teknis apapun. Dan untuk memastikan komunikasi email bisnis tetap bisa dipulihkan jika terjadi insiden, Dropsuite menyimpan arsip email secara independen dari infrastruktur platform.
Pertanyaan yang Sering Diajukan
Apa itu SPF, DKIM, dan DMARC dan apakah bisnis kecil perlu mengonfigurasinya?
SPF, DKIM, dan DMARC adalah tiga protokol autentikasi email yang memverifikasi bahwa email yang dikirim dari domain bisnis Anda berasal dari server yang sah. Ketiganya wajib dikonfigurasi untuk semua bisnis yang punya domain email sendiri — bukan hanya enterprise. Tanpa konfigurasi ini, domain bisnis Anda bisa dipakai oleh penyerang untuk mengirim email palsu ke klien dan vendor Anda.
Seberapa sering password email bisnis perlu diganti?
Rekomendasi terbaru dari NIST tidak mewajibkan penggantian password secara berkala jika password sudah kuat dan MFA aktif. Yang lebih penting adalah memastikan password unik per akun dan segera diganti jika ada indikasi kebocoran. Penggantian rutin tanpa alasan justru mendorong karyawan memilih password yang lebih lemah.
Apa yang harus dilakukan jika karyawan sudah terlanjur mengklik link mencurigakan di email?
Tiga langkah pertama yang perlu dilakukan segera: putuskan koneksi perangkat dari jaringan, laporkan ke tim IT atau person in charge keamanan, dan jangan coba “membatalkan” dengan mengklik link lain di email yang sama. Semakin cepat insiden dilaporkan, semakin kecil dampak yang bisa ditimbulkan.
Apakah konfigurasi keamanan email ini perlu diulangi untuk karyawan baru?
Sebagian besar konfigurasi seperti SPF, DKIM, DMARC, dan MFA berlaku di level domain atau tenant — otomatis berlaku untuk semua pengguna termasuk yang baru. Yang perlu dilakukan untuk karyawan baru adalah memastikan mereka mendaftarkan MFA sebelum mulai bekerja dan mendapat briefing singkat tentang prosedur keamanan email yang berlaku di bisnis.
Celah keamanan email di bisnis kecil hampir selalu bukan soal teknologi yang kurang canggih. Ini soal kebiasaan kecil yang belum terbentuk dan konfigurasi dasar yang belum pernah disentuh. Memperbaiki lima hal di atas sudah menutup sebagian besar celah yang paling sering dieksploitasi.
Punya pertanyaan atau butuh solusi IT?
Hubungi tim Pixa Teknologi untuk konsultasi gratis.
Hubungi Kami →