Exchange Online Tandai Email Sah sebagai Spam, Apa yang Terjadi?
Info Tekno> Exchange Online mengalami gangguan sistem keamanan yang menyebabkan sejumlah email sah ditandai sebagai spam dan phishing, sehingga masuk karantina dan tidak sampai ke kotak masuk pengguna. Microsoft mengakui masalah ini dipicu oleh aturan deteksi URL yang terlalu sensitif, mengakibatkan lonjakan false positive di berbagai organisasi yang menggunakan layanan email berbasis cloud tersebut.
Insiden ini terungkap setelah banyak administrator TI melaporkan bahwa pesan bisnis rutin—termasuk komunikasi klien, vendor, hingga internal perusahaan—secara tiba-tiba dikarantina oleh sistem keamanan Microsoft Defender untuk Office 365. Masalah tersebut berdampak langsung pada operasional organisasi yang sangat bergantung pada komunikasi email harian.
Microsoft menyatakan bahwa perbaikan sedang diluncurkan secara bertahap ke seluruh penyewa (tenant), namun pemulihan pesan berlangsung bertahap sehingga sebagian pengguna masih mengalami gangguan.
Apa Penyebab Email Sah Masuk Karantina?
Aturan Deteksi URL Terlalu Agresif
Menurut keterangan resmi Microsoft dalam pembaruan layanan Microsoft 365, masalah ini disebabkan oleh pembaruan aturan deteksi URL yang salah mengklasifikasikan tautan sah sebagai berbahaya. Sistem keamanan email menaikkan skor risiko pesan karena menganggap URL tertentu memiliki pola mirip kampanye phishing.
Akibatnya, email dengan tautan yang sebenarnya aman diperlakukan sebagai ancaman dan langsung dipindahkan ke karantina.
Dalam sistem keamanan modern, URL memang menjadi salah satu indikator utama ancaman. Pelaku serangan siber sering menggunakan:
- Pemendek tautan (URL shortener)
- Rantai pengalihan (redirect chains)
- Domain mirip merek resmi
- Teknik obfuscation
Untuk mengantisipasi taktik tersebut, filter anti-phishing terus diperketat. Namun dalam kasus ini, penyesuaian aturan dinilai terlalu agresif hingga memicu false positive.
Siapa yang Terdampak dan Seberapa Besar Dampaknya?
Organisasi dan Penyewa Microsoft 365
Gangguan ini berdampak pada organisasi yang menggunakan Exchange Online dan Microsoft Defender sebagai sistem keamanan email. Penyewa yang terdampak melaporkan:
- Email klien tidak masuk ke inbox
- Notifikasi bisnis tertunda
- Pesan internal perusahaan terblokir
- Gangguan komunikasi lintas departemen
Karena Exchange Online merupakan bagian dari ekosistem Microsoft 365 yang digunakan jutaan organisasi global, potensi dampaknya luas, terutama bagi perusahaan yang mengandalkan email untuk transaksi bisnis harian.
Microsoft belum merilis angka pasti jumlah tenant terdampak, tetapi laporan dari komunitas admin TI menunjukkan insiden terjadi secara global.
Kapan Insiden Terjadi dan Bagaimana Respons Microsoft?
Masalah ini muncul setelah pembaruan aturan deteksi URL diterapkan. Microsoft kemudian mengakui adanya kesalahan klasifikasi dan menyatakan sedang menyesuaikan ulang kebijakan pemfilteran.
Perbaikan dilakukan dengan:
- Menyetel ulang parameter deteksi URL
- Memproses ulang pesan yang dikarantina
- Melepaskan email sah secara bertahap ke inbox
Namun karena volume pesan yang harus diproses ulang cukup besar, pemulihan berlangsung tidak serentak di semua penyewa.
Bagaimana Cara Memulihkan Email yang Dikarantina dengan Aman?
Akses Halaman Karantina di Microsoft Defender
Pengguna dan admin dapat memeriksa email yang dikarantina melalui portal Microsoft Defender. Langkah awal yang direkomendasikan:
- Masuk ke akun kerja atau sekolah
- Buka halaman Karantina
- Filter kategori seperti “Phishing” dan “High Confidence Phishing”
- Gunakan fitur pratinjau untuk memeriksa header email
Sebelum melepaskan pesan, penting untuk memverifikasi:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication)
Jika terdapat keraguan, administrator disarankan menghubungi pengirim melalui saluran alternatif seperti telepon atau aplikasi pesan resmi.
Panduan Admin Selama Proses Perbaikan Berlangsung
1. Gunakan Aturan Izin Terbatas
Admin dapat membuat aturan alur email sementara untuk pengirim yang benar-benar tepercaya. Namun pengecualian harus:
- Terbatas pada domain atau IP spesifik
- Memiliki tanggal kedaluwarsa
- Ditinjau secara berkala
Pengecualian luas di seluruh tenant tidak disarankan karena berisiko membuka celah keamanan.
2. Manfaatkan Daftar Izinkan/Blokir Penyewa
Jika kesalahan terjadi pada URL tertentu, admin dapat menambahkan URL tersebut ke Tenant Allow/Block List di Microsoft Defender. Praktik terbaiknya:
- Gunakan entri berbatas waktu
- Dokumentasikan persetujuan internal
- Hindari izin permanen tanpa evaluasi
3. Hindari Menonaktifkan Anti-Phishing
Microsoft menyarankan organisasi tidak mematikan perlindungan anti-phishing secara total. Sebagai alternatif, admin dapat:
- Mengalihkan deteksi phishing berisiko rendah ke folder Junk
- Tetap menahan phishing berisiko tinggi di Karantina
- Mengedukasi pengguna untuk memeriksa folder Spam secara rutin
Pendekatan ini menjaga keseimbangan antara kelangsungan bisnis dan keamanan.
Mengapa False Positive Sering Terjadi pada Filter Email?
Tantangan Besarnya Volume Spam Global
Data industri keamanan siber menunjukkan sebagian besar lalu lintas email global adalah spam. Beberapa lembaga riset keamanan memperkirakan angka spam global dapat mencapai lebih dari 80% dari total trafik email.
Dalam kondisi tersebut, penyedia layanan email seperti Microsoft harus terus memperbarui sistem deteksi ancaman. Tantangannya adalah menjaga keseimbangan antara:
- Ketat menangkap serangan phishing
- Tidak mengorbankan email sah
Perubahan kecil pada algoritma dapat berdampak besar terhadap tingkat false positive.
Risiko Phishing dan Alasan Filter Dibuat Agresif
Laporan investigasi pelanggaran data global secara konsisten menunjukkan bahwa phishing dan pencurian kredensial menjadi penyebab utama insiden keamanan siber. Serangan Business Email Compromise (BEC) bahkan menyebabkan kerugian miliaran dolar setiap tahun.
Dengan latar belakang tersebut, Microsoft dan penyedia keamanan lain cenderung memberi bobot risiko tinggi pada URL mencurigakan.
Kasus Exchange Online ini menunjukkan bagaimana strategi perlindungan agresif dapat berdampak pada operasional bisnis jika tidak dikalibrasi secara tepat.
Apa yang Harus Dipantau Selanjutnya?
Dashboard Kesehatan Layanan Microsoft 365
Organisasi disarankan memantau:
- Service Health Dashboard
- Volume karantina harian
- Lonjakan deteksi phishing
- Aktivitas pelepasan pesan
Selain itu, admin dianjurkan untuk melaporkan false positive melalui portal pengajuan Microsoft agar sistem klasifikasi dapat dilatih ulang lebih cepat.
Pentingnya Kebersihan Autentikasi Email
Meskipun insiden ini berpusat pada URL, organisasi tetap perlu memastikan konfigurasi domain mereka optimal, termasuk:
- SPF valid
- DKIM aktif
- DMARC enforcement
Penyelarasan autentikasi yang baik dapat menurunkan skor risiko keseluruhan email dan mengurangi kemungkinan pemfilteran berantai.
Kesimpulan: Keseimbangan Antara Keamanan dan Kelangsungan Bisnis
Kasus Exchange Online menandai email sah sebagai spam menunjukkan betapa kompleksnya sistem keamanan email modern. Di satu sisi, perlindungan agresif diperlukan untuk menangkal phishing dan rekayasa sosial yang terus berkembang. Di sisi lain, kesalahan klasifikasi dapat menghambat komunikasi bisnis penting.
Microsoft telah mengakui masalah ini dan sedang menerapkan perbaikan secara bertahap. Namun organisasi tetap perlu proaktif dengan:
- Memantau karantina
- Mengatur pengecualian secara hati-hati
- Tidak menonaktifkan proteksi keamanan
- Melaporkan false positive
Insiden ini menjadi pengingat bahwa keamanan siber bukan hanya soal teknologi, tetapi juga soal keseimbangan kebijakan dan manajemen risiko.
Ke depan, efektivitas perbaikan Microsoft akan terlihat dari stabilisasi volume karantina dan menurunnya laporan false positive di berbagai tenant global.
Aaf Afiatna (Aura OS) adalah seorang WordPress Developer, Administrator IT, dan penggerak di balik infrastruktur berbagai portal media digital PT Arina Duta Sehati. Ia memiliki ketertarikan mendalam pada rekayasa sistem tingkat rendah, implementasi AI on-device, dan pengembangan proyek open-source seperti Neural Standby Kernel (NSK). Saat tidak sedang berurusan dengan server atau kode, ia aktif mengeksplorasi ekosistem Web3 dan berbagi wawasan melalui channel YouTube CryptoFansWorld.
