Threema — salah satu dari sedikit aplikasi pesan yang benar-benar dibuat dengan fokus pada keamanan korporat: enkripsi end-to-end, minimal metadata, server di Swiss. Namun, bahkan aplikasi ini memiliki titik lemah — tingkat jaringan. Jika penyedia Anda memblokir lalu lintas, departemen TI korporat membatasi koneksi, atau Anda perlu menyembunyikan fakta penggunaan aplikasi pesan — proxy menjadi solusi yang diperlukan.
Dalam artikel ini, kita akan membahas cara menghubungkan proxy ke Threema Work dan versi biasa, jenis proxy mana yang cocok untuk tugas korporat, dan bagaimana tidak kehilangan keamanan saat melakukan pengaturan.
Mengapa Threema memerlukan proxy: skenario korporat nyata
Banyak yang berpikir bahwa karena Threema mengenkripsi semua dengan enkripsi end-to-end, maka proxy tidak diperlukan. Namun, dalam praktiknya, ini tidak benar. Enkripsi melindungi isi pesan, tetapi tidak menyembunyikan fakta koneksi ke server Threema. Justru di tingkat jaringan, sebagian besar masalah korporat muncul.
Mari kita lihat situasi konkret di mana proxy menjadi suatu keharusan:
Skenario 1: Pemblokiran regional
Di sejumlah negara dan jaringan korporat, lalu lintas ke server Threema diblokir di tingkat firewall. Ini sangat relevan untuk perusahaan yang memiliki kantor di negara dengan regulasi internet yang ketat. Seorang karyawan membuka Threema Work — dan melihat kesalahan koneksi. Proxy dalam hal ini berfungsi sebagai node perantara: lalu lintas tidak langsung menuju server Threema, tetapi melalui alamat IP di yurisdiksi yang diizinkan.
Skenario 2: Kontrol TI korporat
Perusahaan besar sering mengarahkan seluruh lalu lintas karyawan melalui server proxy korporat — untuk pemantauan, penyaringan, dan pencatatan. Jika Threema Work tidak disetel untuk bekerja melalui proxy ini, aplikasi tersebut tidak akan terhubung di jaringan kantor. Administrator TI perlu secara eksplisit menetapkan proxy dalam konfigurasi aplikasi, jika tidak, aplikasi pesan tidak akan tersedia di perangkat kerja.
Skenario 3: Intelijen kompetitif dan anonimitas negosiasi
Bagi manajemen puncak dan departemen hukum, penting tidak hanya isi negosiasi, tetapi juga metadata: dari IP mana komunikasi dilakukan, di wilayah mana peserta berada. Proxy memungkinkan menyembunyikan alamat IP nyata dari kantor korporat atau karyawan tertentu — terutama selama negosiasi M&A, ketika bahkan fakta berkomunikasi dengan pihak tertentu bisa menjadi informasi sensitif.
Skenario 4: Pekerjaan karyawan jarak jauh
Karyawan yang bekerja dari jarak jauh dari berbagai negara menghadapi koneksi yang tidak stabil ke server Threema. Proxy dengan server di wilayah yang diperlukan membantu mengurangi latensi dan memastikan koneksi yang stabil — terutama untuk tim di Asia, Amerika Latin, dan Afrika, di mana koneksi langsung ke server Threema di Swiss bisa tidak stabil.
Penting untuk dipahami:
Proxy tidak menggantikan enkripsi Threema — ia bekerja di tingkat yang berbeda. Bersama-sama, mereka memberikan lapisan perlindungan ganda: isi dienkripsi, dan sumber lalu lintas disembunyikan.
Threema Work vs Threema biasa: apa perbedaannya untuk bisnis
Sebelum melanjutkan ke pengaturan, penting untuk memahami versi mana yang Anda gunakan. Ini akan mempengaruhi bagaimana proxy ditetapkan.
| Parameter | Threema (pribadi) | Threema Work (korporat) |
|---|---|---|
| Manajemen | Pengguna | Administrator TI melalui MDM |
| Pengaturan proxy | Melalui pengaturan sistem perangkat | Melalui profil MDM atau file konfigurasi |
| Dukungan SOCKS5 | Tergantung pada pengaturan sistem | Didukung melalui konfigurasi |
| Kebijakan keamanan | Tidak ada | Kebijakan terpusat |
| Target audiens | Individu | Perusahaan dari 10 orang |
Untuk sebagian besar skenario korporat, Threema Work digunakan — ini memungkinkan administrator TI untuk mengelola pengaturan secara terpusat, termasuk proxy, melalui sistem MDM (Mobile Device Management) — misalnya, Jamf, Microsoft Intune, atau VMware Workspace ONE.
Jika Anda menggunakan Threema biasa — proxy diatur melalui pengaturan sistem perangkat (proxy Wi-Fi di iOS atau proxy global di Android). Ini kurang fleksibel, tetapi merupakan opsi yang dapat diterima untuk tim kecil.
Jenis proxy apa yang dipilih untuk Threema
Tidak semua proxy cocok untuk aplikasi pesan korporat. Mari kita bahas jenis-jenis utama dan penerapannya untuk Threema.
Proxy Residensial
Proxy residensial menggunakan alamat IP dari pengguna rumah yang nyata. Ini adalah jenis yang paling tidak terlihat: lalu lintas dari IP tersebut terlihat seperti pengguna internet biasa, bukan seperti server korporat. Untuk Threema, ini penting dalam kasus di mana perlu untuk menghindari pemblokiran berdasarkan jenis alamat IP — banyak firewall memblokir IP dari pusat data, sementara alamat residensial diizinkan.
Kekurangan proxy residensial untuk aplikasi pesan korporat adalah rotasi IP. Jika proxy mengubah alamat setiap beberapa menit, ini dapat menyebabkan masalah dengan otorisasi di Threema. Oleh karena itu, untuk tugas ini, Anda perlu memilih proxy residensial dengan sticky-sessions — IP tetap untuk waktu yang lama (dari 10 menit hingga 24 jam).
Proxy Seluler
Proxy seluler bekerja melalui alamat IP dari operator seluler (3G/4G/5G). Ini adalah jenis lalu lintas yang paling dipercaya dari sudut pandang sistem penyaringan mana pun — IP seluler jarang masuk dalam daftar blokir. Untuk Threema, proxy seluler sangat baik jika karyawan menggunakan aplikasi di smartphone: lalu lintasnya secara alami sesuai dengan pola seluler.
Proxy seluler lebih mahal daripada proxy residensial, tetapi untuk keamanan korporat, ini adalah pengeluaran yang dibenarkan — terutama untuk manajemen puncak dan departemen hukum, di mana anonimitas negosiasi sangat penting.
Proxy Pusat Data
Proxy pusat data — opsi tercepat dan paling terjangkau. Mereka sangat cocok untuk menghindari firewall korporat di dalam perusahaan, ketika administrator TI sendiri mengatur server proxy untuk merutekan lalu lintas Threema. Namun, jika tujuannya adalah untuk menyembunyikan lalu lintas korporat dari pengamat eksternal, IP pusat data lebih mudah diidentifikasi sebagai "bukan rumah".
| Jenis proxy | Kecepatan | Anonimitas | Skenario terbaik untuk Threema |
|---|---|---|---|
| Residensial | Sedang | Tinggi | Menghindari pemblokiran regional |
| Seluler | Sedang | Maksimal | Anonimitas manajemen puncak |
| Pusat data | Tinggi | Sedang | Server proxy korporat |
Pengaturan proxy di Threema di Android
Di Android, ada dua cara untuk menghubungkan proxy ke Threema: melalui pengaturan sistem Wi-Fi atau melalui aplikasi proxy (misalnya, ProxyDroid atau Shadowsocks). Cara pertama lebih sederhana, yang kedua lebih fleksibel.
Cara 1: Melalui pengaturan Wi-Fi (HTTP proxy)
Cara ini berfungsi jika proxy Anda mendukung protokol HTTP/HTTPS. Langkah-langkahnya:
- Buka Pengaturan → Wi-Fi di perangkat Anda.
- Tekan dan tahan jaringan yang terhubung — pilih "Ubah jaringan".
- Perluas "Opsi tambahan".
- Di kolom "Proxy", pilih "Manual".
- Masukkan Host proxy (alamat IP server proxy Anda) dan Port.
- Jika proxy memerlukan otorisasi — masukkan nama pengguna dan kata sandi di kolom yang sesuai (tersedia di Android 10+).
- Tekan "Simpan" dan restart Threema.
Periksa koneksi: di Threema, masuk ke Pengaturan → Tentang Threema dan tekan versi untuk mengirim diagnosis — jika koneksi terhubung, aplikasi akan menunjukkan status hijau.
Cara 2: Melalui SOCKS5 (untuk pengguna lanjutan)
Android tidak mendukung SOCKS5 di tingkat sistem secara langsung. Untuk menggunakan SOCKS5 dengan Threema, gunakan aplikasi ProxyDroid (memerlukan root) atau atur tunnel melalui SSH. Pengguna korporat lebih mudah menggunakan VPN korporat bersamaan dengan proxy — ini adalah solusi yang lebih terkelola.
Tip untuk penerapan korporat:
Jika Anda mengelola perangkat karyawan melalui MDM (misalnya, Microsoft Intune), pengaturan proxy dapat diterapkan secara terpusat ke semua perangkat Android korporat melalui profil konfigurasi. Ini menghilangkan kebutuhan untuk mengatur setiap perangkat secara manual.
Pengaturan proxy di Threema di iPhone (iOS)
Di iOS, Threema menggunakan pengaturan sistem proxy — tidak ada pengaturan terpisah di dalam aplikasi. Proxy perlu ditetapkan di tingkat jaringan Wi-Fi atau melalui profil MDM.
Pengaturan melalui Wi-Fi
- Buka Pengaturan → Wi-Fi.
- Tekan ikon (i) di sebelah jaringan yang terhubung.
- Gulir ke bawah hingga bagian "HTTP-proxy".
- Pilih "Manual".
- Masukkan Server (alamat IP proxy) dan Port.
- Jika otorisasi diperlukan — aktifkan saklar "Otentikasi" dan masukkan nama pengguna dan kata sandi.
- Tekan "Selesai" — iOS secara otomatis akan menerapkan pengaturan ke semua aplikasi, termasuk Threema.
Pengaturan melalui file PAC
Untuk penggunaan korporat, lebih nyaman menggunakan file PAC (Proxy Auto-Configuration) — ini memungkinkan Anda menetapkan aturan: lalu lintas mana yang melalui proxy, dan mana yang langsung. Misalnya, Anda dapat mengarahkan hanya lalu lintas Threema melalui proxy, membiarkan lalu lintas lainnya tanpa perubahan.
- Di bagian "HTTP-proxy", pilih "Otomatis".
- Masukkan URL file PAC yang disediakan oleh departemen TI Anda.
- iOS akan mengunduh konfigurasi dan menerapkannya secara otomatis.
Pengaturan melalui MDM (Jamf, Intune)
Cara korporat — menerapkan profil konfigurasi melalui MDM. Di Jamf Pro, ini dilakukan melalui Configuration Profiles → Network → Proxy. Profil secara otomatis diterapkan ke semua iPhone korporat karyawan tanpa keterlibatan mereka. Ini adalah pendekatan yang paling tepat untuk perusahaan dengan armada perangkat dari 20 unit.
Pengaturan proxy di Threema di komputer (Windows/Mac)
Threema Desktop (versi untuk komputer) juga menggunakan pengaturan sistem proxy dari sistem operasi. Tidak ada pengaturan proxy terpisah di dalam aplikasi — ini adalah keputusan arsitektur yang disengaja dari pengembang untuk menyederhanakan manajemen.
Windows 10/11
- Buka Pengaturan → Jaringan dan Internet → Proxy.
- Di bagian "Pengaturan proxy secara manual", aktifkan saklar "Gunakan server proxy".
- Masukkan Alamat (IP proxy) dan Port.
- Jika perlu mengecualikan alamat lokal — centang "Jangan gunakan server proxy untuk alamat lokal".
- Tekan "Simpan" dan restart Threema Desktop.
macOS
- Buka Pengaturan Sistem → Jaringan.
- Pilih koneksi jaringan aktif (Wi-Fi atau Ethernet) dan tekan "Lanjutan".
- Pindah ke tab "Proxy".
- Aktifkan jenis proxy yang diperlukan: "Web proxy (HTTP)" atau "Secure web proxy (HTTPS)".
- Masukkan alamat dan port server proxy. Jika perlu — nama pengguna dan kata sandi.
- Tekan "OK" dan "Terapkan". Restart Threema Desktop.
Pemeriksaan kerja proxy:
Setelah pengaturan, buka browser dan kunjungi whatismyip.com — jika alamat IP proxy Anda yang ditampilkan, bukan alamat IP nyata kantor, pengaturan telah dilakukan dengan benar. Kemudian jalankan Threema Desktop dan periksa status koneksi.
Keamanan korporat: apa yang perlu diperhatikan saat penerapan
Penggunaan proxy dengan Threema di lingkungan korporat bukan hanya tugas teknis, tetapi juga tugas organisasi. Berikut adalah aspek kunci yang perlu dipertimbangkan sebelum memulai penerapan.
1. Pemilihan yurisdiksi server proxy
Server Threema berada di Swiss. Untuk latensi minimal, pilih proxy dengan server di Eropa Barat. Jika karyawan bekerja dari Asia — cari proxy dengan titik kehadiran di Singapura atau Hong Kong. Penting: pastikan yurisdiksi penyedia proxy tidak mewajibkan mereka untuk menyimpan dan menyerahkan log lalu lintas — ini sangat penting untuk kerahasiaan korporat.
2. Kebijakan pencatatan penyedia proxy
Minta kepada penyedia proxy kebijakan pencatatan (No-logs policy). Untuk komunikasi korporat melalui Threema, sangat penting bahwa penyedia tidak menyimpan metadata: siapa, kapan, dan dari IP mana yang terhubung. Meskipun isi percakapan dienkripsi di tingkat Threema, metadata koneksi bisa menjadi sensitif.
3. Protokol: HTTP vs SOCKS5
Untuk Threema, disarankan menggunakan SOCKS5, jika secara teknis memungkinkan. SOCKS5 bekerja di tingkat yang lebih rendah dan tidak mengubah header permintaan — ini penting untuk fungsi pemberitahuan push dan sinkronisasi pesan yang benar. Proxy HTTP juga berfungsi, tetapi dapat menyebabkan latensi saat mentransfer data biner (file, pesan suara).
4. Otorisasi proxy: IP-whitelist vs login/kata sandi
Untuk penggunaan korporat, otorisasi melalui whitelist IP (IP-whitelist) lebih disukai — ini tidak memerlukan penyimpanan kata sandi di perangkat karyawan dan lebih mudah dikelola. Jika karyawan bekerja dengan IP dinamis (misalnya, dari rumah), gunakan otorisasi dengan nama pengguna dan kata sandi dengan rotasi kredensial setiap kuartal.
5. Pemantauan dan proxy cadangan
Untuk komunikasi korporat yang sangat penting, atur pemantauan ketersediaan server proxy. Gunakan setidaknya dua proxy di pusat data yang berbeda — utama dan cadangan. Jika proxy utama tidak tersedia, karyawan harus tahu bagaimana beralih ke cadangan tanpa kehilangan akses ke Threema Work.
Kesalahan umum saat menggunakan proxy dengan Threema
Dalam praktiknya, sebagian besar masalah dengan Threema melalui proxy muncul karena beberapa kesalahan umum. Mari kita bahas secara rinci agar Anda tidak mengulangi kesalahan yang sama.
Kesalahan 1: Menggunakan proxy gratis
Proxy gratis adalah ancaman langsung bagi keamanan korporat. Mereka sering mencatat seluruh lalu lintas yang lewat, dapat menyisipkan kode berbahaya, dan sering kali sudah diblokir di tingkat server Threema. Untuk aplikasi pesan korporat yang Anda gunakan karena alasan keamanan, proxy gratis sepenuhnya menghilangkan keuntungan Threema.
Kesalahan 2: Proxy dengan rotasi IP tanpa sticky-sessions
Jika proxy Anda mengubah IP setiap 1-5 menit, Threema akan terus kehilangan koneksi dan meminta otorisasi ulang. Untuk aplikasi pesan, diperlukan sticky-sessions — IP tetap minimal selama 30 menit. Saat memilih penyedia proxy, pastikan untuk menanyakan waktu maksimum sticky-session.
Kesalahan 3: Proxy hanya untuk sebagian perangkat
Situasi umum: proxy diatur di laptop korporat, tetapi tidak di smartphone karyawan. Akibatnya, akun Threema Work yang sama terhubung melalui proxy atau langsung — dari IP yang berbeda. Ini dapat menimbulkan kecurigaan sistem keamanan dan menyebabkan pemblokiran akun. Atur proxy secara konsisten di semua perangkat karyawan tertentu.
Kesalahan 4: Mengabaikan kebocoran DNS
Bahkan dengan proxy yang disetel, permintaan DNS dapat melewati proxy — langsung ke server DNS penyedia. Ini disebut kebocoran DNS. Akibatnya, meskipun menggunakan proxy, lokasi nyata kantor dapat terungkap. Periksa adanya kebocoran DNS di situs dnsleaktest.com setelah pengaturan proxy. Untuk mengatasi ini, gunakan DNS-over-HTTPS (DoH) atau atur proxy dengan dukungan DNS-proxying (SOCKS5 dengan DNS jarak jauh).
Kesalahan 5: Proxy tanpa dukungan WebSocket
Threema menggunakan WebSocket untuk mempertahankan koneksi permanen dengan server (pemberitahuan push, pengiriman pesan cepat). Beberapa proxy HTTP tidak mendukung WebSocket atau memblokir koneksi jangka panjang. Sebelum memilih penyedia, pastikan dukungan WebSocket — jika tidak, pemberitahuan akan datang dengan keterlambatan atau tidak datang sama sekali.
Kesalahan 6: Tidak melakukan pengujian sebelum penerapan
Sebelum menerapkan proxy di semua perangkat korporat, uji konfigurasi di 2-3 perangkat selama seminggu. Periksa: stabilitas koneksi, kecepatan pengiriman pesan, fungsi panggilan suara, dan transfer file. Hanya setelah pengujian yang berhasil, lanjutkan ke penerapan massal.
Kesimpulan dan rekomendasi
Threema adalah alat yang kuat untuk komunikasi korporat, tetapi keamanannya dapat ditingkatkan secara signifikan dengan menambahkan proxy di tingkat jaringan. Proxy menyelesaikan tugas yang tidak ditangani oleh enkripsi sendiri: menghindari pemblokiran regional, menyembunyikan IP korporat, merutekan lalu lintas melalui firewall korporat, dan memastikan koneksi yang stabil untuk karyawan jarak jauh.
Kesimpulan kunci dari artikel ini:
- Untuk menghindari pemblokiran regional, gunakan proxy residensial dengan sticky-sessions.
- Untuk anonimitas maksimal manajemen puncak — gunakan proxy seluler.
- Untuk penerapan korporat, atur proxy melalui MDM (Jamf, Intune), bukan secara manual.
- Selalu periksa kebocoran DNS setelah pengaturan.
- Mintalah dukungan WebSocket dan sticky-sessions minimal 30 menit dari penyedia.
- Jangan pernah menggunakan proxy gratis untuk komunikasi korporat.
Jika Anda mencari solusi yang dapat diandalkan untuk melindungi komunikasi korporat melalui Threema, kami merekomendasikan untuk mempertimbangkan proxy residensial — mereka memberikan tingkat anonimitas yang tinggi, risiko pemblokiran yang minimal, dan dukungan sticky-sessions yang diperlukan untuk operasi stabil aplikasi pesan. Untuk tugas di mana anonimitas negosiasi sangat penting, pilihan terbaik adalah proxy seluler — lalu lintas mereka paling alami terlihat untuk semua sistem penyaringan.
```