... müsste es doch für den FormularMailer-"Normalfall", ... vollkommen ausreichen, wenn ich einfach das Größerals- und das Kleinerals-Zeichen aus dem Text entferne und z.B. dem Nutzer einen Hinweis ausgeben, dass solche Zeichen nicht erlaubt sind.

Nicht entfernen, sondern maskieren!

Wenn ich per JavaScript garantieren kann, dass die $_POST Variable sozusagen sauber ist,

Kannst du nicht, weil $_POST für javascript unsichtbar ist und bleibt...

muss (oder sollte) ich dann in PHP bei weiterer Verarbeitung der Daten und Ausgabe in HTML trotzdem noch zur Sicherheit htmlentities() verwenden?

Auf jeden Fall htmlspecialchars().
htmlentities() ist Fehl am Platz.

Ich brauche dein Formular nicht um deine serverseitige API zu verwenden.

mfg Beat