Apa yang Diungkapkan Alamat Email tentang Pengguna (ID)

Pengguna baru mengetikkan email saat mendaftar. Terlihat seperti sebuah string. Padahal tidak.

Sebelum Anda meminta dokumen atau melakukan pencocokan wajah, alamat tersebut sudah memberi tahu Anda banyak hal: apakah kotak masuknya nyata, apakah domainnya menerima email, apakah penyedianya adalah layanan sekali pakai, dan apakah alamat tersebut pernah muncul dalam data pelanggaran. Tidak ada yang mengharuskan pengguna untuk melakukan apa pun — Anda mendapatkannya saat mereka memasukkan string tersebut.

Postingan ini menjelaskan apa arti sinyal-sinyal tersebut, bagaimana tim penipuan menindaklanjutinya, dan bagaimana Verifikasi Email Didit mengemasnya menjadi pemeriksaan seharga $0,03 yang dapat Anda tempatkan di awal alur orientasi apa pun.

Poin-poin penting

• Alamat email adalah sinyal penipuan multi-dimensi: kemampuan pengiriman, jenis penyedia, reputasi domain, dan paparan pelanggaran masing-masing menangkap pola risiko yang berbeda.
• Email sekali pakai dapat ditandai sebelum pemeriksaan KYC dibayar.
• Paparan pelanggaran berkorelasi dengan risiko credential-stuffing dan pengambilalihan akun; jumlah pelanggaran yang tinggi saat pendaftaran memiliki profil yang berbeda dengan alamat perusahaan yang baru.
• Intelijen email adalah filter bergesekan rendah — pengguna yang sah hampir tidak menyadarinya, sedangkan pengguna yang mengakali orientasi Anda memiliki lebih sedikit pilihan murah.
• Verifikasi Email Didit menjalankan pengiriman OTP ditambah sinyal risiko — BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, INVALID_EMAIL, DUPLICATED_EMAIL — dalam satu panggilan seharga $0,03, dapat dikonfigurasi per peringatan untuk menyetujui, meninjau, atau menolak.

Apa sebenarnya yang terkandung dalam alamat email

Singkirkan @ dan Anda memiliki dua bagian: bagian lokal dan domain. Keduanya membawa sinyal.

Bagian lokal dapat menunjukkan otomatisasi. String berurutan, pola keyboard, atau string alfanumerik acak yang panjang tidak biasa bagi pengguna sungguhan. Cincin penipuan yang membuat akun dalam jumlah besar sering kali menghasilkan bagian lokal secara terprogram.

Domain memberi tahu Anda apakah kotak masuk itu nyata dan dapat dijangkau — kesehatan catatan MX dan konfigurasi DNS itu penting. Domain yang didaftarkan tiga bulan lalu tanpa riwayat email sebelumnya terlihat sangat berbeda dari gmail.com atau acme-corp.com.

Penyedia memberi tahu Anda tentang niat. Penyedia email sekali pakai — layanan yang dibuat untuk menghasilkan alamat sekali pakai yang kedaluwarsa dalam hitungan menit — tidak normal di mana pun. Ada ribuan di antaranya, dan daftarnya terus bertambah seiring dengan evolusi alat penipuan.

Empat sinyal penipuan dalam alamat email

1. Kemampuan pengiriman dan validitas MX

Jika domain tidak memiliki catatan MX yang valid, sintaksnya salah bentuk, atau kotak surat diketahui memantul, alamat tersebut tidak dapat dikirim — OTP tidak akan sampai dan tidak ada gunanya melanjutkan. Menangkap ini lebih awal menghemat biaya verifikasi penuh dan menghindari orientasi pengguna yang tidak dapat Anda hubungi.

2. Deteksi penyedia sekali pakai

Layanan email sekali pakai ada untuk satu tujuan: menyelesaikan pendaftaran tanpa meninggalkan identitas yang dapat dilacak. Pengguna yang benar-benar menginginkan akun tidak punya alasan untuk menggunakannya. Pengguna yang menyalahgunakan program rujukan, memanfaatkan uji coba gratis, atau berganti-ganti akun yang dilarang melakukannya. Mendeteksi penyedia sekali pakai memerlukan basis data layanan yang diketahui yang terus diperbarui — Didit menyimpannya sebagai bagian dari penilaian risiko pada setiap pemeriksaan.

3. Paparan pelanggaran

Ketika basis data bocor, catatan yang terekspos berisi alamat email yang dipasangkan dengan kata sandi atau data pribadi. Alamat yang muncul di banyak pelanggaran yang diketahui mengubah profil risiko: alamat tersebut sudah lama, digunakan secara luas, dan mungkin memiliki kredensial yang beredar. Untuk risiko pengambilalihan akun, jumlah pelanggaran yang tinggi saat pendaftaran patut dicermati. Untuk penipuan akun sintetis, yang sebaliknya sering terjadi — alamat sekali pakai yang dibuat untuk penipuan cenderung tidak memiliki riwayat pelanggaran.

4. Penggunaan duplikat

Email yang sudah terdaftar di bawah identitas pengguna yang berbeda adalah kesalahan atau akun ganda. Email duplikat biasanya merupakan sinyal peninjauan daripada penolakan keras — keluarga terkadang berbagi alamat — tetapi ini memunculkan pola tersebut lebih awal.

Mengapa email adalah filter pertama, bukan keputusan akhir

Intelijen email berjalan kurang dari 2 detik, tidak memerlukan upaya pengguna, dan menghentikan penipuan berupaya rendah sebelum Anda menghabiskan uang untuk analisis dokumen atau pemeriksaan keaktifan. Dengan $0,03 di depan alur inti KYC $0,33, menangkap email sekali pakai menghemat $0,30 per upaya yang diblokir — dan sepenuhnya mencegah dokumen penipuan masuk ke antrean peninjauan Anda.

Email saja bukanlah gambaran lengkap — pengguna yang sah dapat menggunakan Gmail, muncul di basis data pelanggaran lama, atau mengalami perilaku MX yang aneh. Ini mengkalibrasi pengeluaran hilir Anda; ini tidak menggantikan verifikasi dokumen dan biometrik.

Bagaimana Didit membantu

Verifikasi Email Didit menggabungkan pengiriman OTP dengan penilaian risiko penuh seharga $0,03 per pemeriksaan. Didit mengirimkan kode waktu terbatas ke alamat tersebut (6 digit, dapat dikonfigurasi 4–8), kode kedaluwarsa dalam 5 menit, dan hingga 3 upaya masuk diizinkan per sesi.

Bersamaan dengan OTP, Didit menampilkan empat peringatan risiko:

Peringatan	Artinya
BREACHED_EMAIL	Alamat tersebut muncul di satu atau lebih basis data pelanggaran data yang diketahui; responsnya mencantumkan layanan yang terekspos.
DISPOSABLE_EMAIL	Alamat tersebut milik penyedia email sementara atau sekali pakai yang diketahui.
UNDELIVERABLE_EMAIL	Alamat tersebut tidak dapat menerima email — domain buruk, tidak ada catatan MX, atau alamat pantulan yang diketahui.
INVALID_EMAIL	Alamat tersebut secara sintaksis salah bentuk.
DUPLICATED_EMAIL	Alamat tersebut telah terdaftar di bawah identitas pengguna yang berbeda di ruang kerja Anda.

Setiap peringatan dapat dikonfigurasi secara independen — atur duplicated_email_action, breached_email_action, dan disposable_email_action ke APPROVE, REVIEW, atau DECLINE di Pembuat Alur Kerja. Tersedia mode berbasis sesi (alur Didit yang dihosting) dan mode API mandiri (POST /v3/email/send/ → POST /v3/email/check/).

Kasus penggunaan

Orientasi fintech konsumen — pemeriksaan sekali pakai dan tidak dapat dikirim menghentikan penipuan akun berupaya rendah sebelum pemeriksaan dokumen apa pun dibayar. Paparan pelanggaran menandai kredensial yang didaur ulang saat pendaftaran.

Verifikasi penjual marketplace — domain email yang baru dibuat di akun penjual adalah bendera kuning sebelum KYB. Intelijen email memberikan sinyal cepat dan murah sebelum pemeriksaan mahal.

Penyalahgunaan rujukan dan promosi — deteksi email sekali pakai adalah tindakan pencegahan utama untuk pertanian rujukan: aktor jahat yang berganti-ganti alamat sekali pakai untuk mengumpulkan bonus pendaftaran.

Alur peningkatan — jika email pengguna berubah di tengah siklus hidup, menjalankan ulang pemeriksaan akan menangkap penggantian ke penyedia sekali pakai — langkah umum dalam persiapan pengambilalihan akun.

Cara berintegrasi dengan Didit

Berbasis sesi (alur yang dihosting)

1. Di Konsol Bisnis, tambahkan fitur EMAIL ke alur kerja Anda dan konfigurasikan tiga tindakan risiko.
2. Buat sesi — POST /v3/session/ dengan workflow_id, vendor_data, dan callback.
3. Buka session.url untuk pengguna — pengumpulan email, OTP, dan penilaian risiko terjadi secara in-band.
4. Baca hasilnya melalui GET /v3/session/{sessionId}/decision/ atau session.status.updated. Hasil email mendarat di email_verifications[].

API mandiri (pasangan OTP server-ke-server)

# Langkah 1 — kirim kode
curl -X POST 'https://verification.didit.me/v3/email/send/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "vendor_data": "user-1234" }'

# Langkah 2 — periksa kode (setelah pengguna memasukkannya di UI Anda)
curl -X POST 'https://verification.didit.me/v3/email/check/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "code": "123456", "disposable_email_action": "DECLINE" }'

Respons pemeriksaan selalu menyertakan metadata email lengkap: breaches[] dengan layanan yang terekspos, bendera disposable, dan bendera deliverable.

Referensi lengkap: Gambaran umum Verifikasi Email, katalog peringatan, skema laporan.

Pertanyaan yang sering diajukan

Apakah verifikasi email menggantikan verifikasi dokumen?

Tidak — ini adalah pra-filter yang menghentikan penipuan berupaya rendah sebelum Anda menghabiskan uang untuk pemeriksaan dokumen dan biometrik.

Apa yang dianggap sebagai penyedia email sekali pakai?

Didit memelihara basis data langsung dari layanan email sementara yang diketahui, yang terus diperbarui. Webmail gratis generik (Gmail, Outlook) tidak ditandai sebagai sekali pakai; sinyal reputasi terpisah mencakup pola-pola tersebut.

Bisakah alamat email yang bocor masih sah?

Ya. Paparan pelanggaran berarti alamat tersebut muncul di basis data yang bocor, bukan berarti pengguna adalah penipu. Seberapa agresif Anda bertindak berdasarkan BREACHED_EMAIL tergantung pada toleransi risiko Anda dan jumlah pelanggaran yang dikembalikan oleh respons.

Bagaimana jika email pengguna tidak dapat dikirim?

OTP tidak dikirim dan pemeriksaan berhenti di situ. Konsultasikan perjanjian penagihan Anda untuk mengetahui bagaimana deteksi yang tidak dapat dikirim dihitung.

Bagaimana cara kerja pemeriksaan email duplikat?

DUPLICATED_EMAIL akan aktif ketika alamat yang sama didaftarkan di bawah vendor_data yang berbeda di ruang kerja Anda. Pengguna yang sama yang memverifikasi ulang tidak akan memicunya.

Siap untuk memulai?

Verifikasi email adalah salah satu lapisan dalam permukaan penipuan Didit yang lebih luas — pasangkan dengan analisis IP dan perangkat, verifikasi dokumen, biometrik, dan penyaringan AML, semuanya dapat dikomposisikan dalam satu alur kerja.

• Pelajari fitur → Dokumen Verifikasi Email
• Lihat di platform → Verifikasi Pengguna
• Periksa harga → Harga — Verifikasi Email seharga $0,03, 500 verifikasi gratis/bulan
• Mulai gratis → business.didit.me