Я бы никакие не стал рекомендовать. Есть, конечно, postfixadmin (mysql-зависимо), webmin (в общем для сервера, но для почты там управление тоже есть). Лучше все-таки уметь (и) администрировать его через шелл.
Ну тогда так, в качестве рекомендации. В зависимости, конечно, от вебморды, имеет смыл дополнительно запоролить папку с ней basic auth. Тогда дырки, которые в ней найдут не будут фатальны, так как прямой доступ до скриптов будут у одного-двухчеловек, а не у всех сканирующих ботов и хацкеров.