Aturan Anti-Phishing Microsoft Salah Blokir Email dan Pesan Teams

Microsoft mengonfirmasi bahwa insiden yang menyebabkan email sah dikarantina di Exchange Online pekan lalu dipicu oleh kesalahan pada aturan deteksi anti-phishing berbasis heuristik. Gangguan ini juga berdampak pada pesan di Microsoft Teams yang mengandung tautan tertentu.

Insiden tersebut dilacak dengan ID EX1227432 dan berlangsung sejak 5 Februari hingga sepenuhnya dipulihkan pada 12 Februari 2026.

Ribuan URL Sah Dianggap Phishing

Dalam laporan awal pasca-insiden, Microsoft menjelaskan bahwa terjadi kesalahan logika pada sistem deteksi yang dirancang untuk mengidentifikasi kampanye phishing kredensial jenis baru.

Tak lama setelah pembaruan sistem dirilis, mekanisme deteksi mulai menandai URL sah sebagai tautan phishing dalam jumlah jauh lebih tinggi dari yang seharusnya. Akibatnya, ribuan URL salah teridentifikasi sebagai ancaman.

Dampaknya, pengguna Exchange Online dan Microsoft Teams tidak dapat membuka tautan dalam email maupun pesan. Sebagian email bahkan dikarantina secara otomatis.

Administrator juga menerima peringatan bertuliskan “potentially malicious URL click was detected,” yang kemudian dikonfirmasi sebagai false positive.

Efek Domino pada Sistem Keamanan

Lonjakan deteksi yang keliru tersebut memicu respons otomatis lain di dalam infrastruktur keamanan Microsoft, termasuk mekanisme Zero-hour Auto Purge (ZAP) yang menghapus email dan pesan Teams yang mengandung URL tersebut.

Selain itu, sistem Extended Detection and Response (XDR) turut menghasilkan notifikasi keamanan terkait klik pada URL yang dianggap berbahaya.

Microsoft mengakui bahwa bug terpisah pada sistem signature keamanan turut memperlambat proses rollback aturan deteksi yang bermasalah, sehingga memperpanjang durasi gangguan.

Menurut perusahaan, siapa pun yang menerima email atau pesan Teams dengan URL tertentu selama periode tersebut berpotensi terdampak. Namun hingga kini Microsoft belum mengungkap jumlah total pengguna yang terkena dampak.

Insiden ini diklasifikasikan sebagai “incident,” istilah yang biasanya digunakan untuk gangguan layanan dengan dampak pengguna yang signifikan.

Laporan Final Menyusul

Microsoft menyatakan bahwa laporan final akan diterbitkan dalam waktu lima hari kerja setelah insiden sepenuhnya terselesaikan.

Kasus ini menambah daftar gangguan serupa dalam beberapa tahun terakhir, di mana sistem anti-spam atau anti-phishing secara keliru menandai email sah sebagai berbahaya. Sebelumnya, model machine learning di Exchange Online pernah salah mengklasifikasikan email dari Gmail sebagai spam, serta mengarantina email pengguna akibat kesalahan sistem.

Baru-baru ini, Microsoft juga mengatasi bug pada Microsoft 365 Copilot Chat yang memungkinkan AI merangkum email berlabel rahasia, meskipun kebijakan perlindungan data telah diterapkan.

Insiden terbaru ini menunjukkan bahwa sistem keamanan otomatis berbasis heuristik dan machine learning, meski dirancang untuk melindungi dari ancaman siber, tetap memiliki risiko kesalahan yang dapat berdampak luas pada operasional pengguna enterprise.